WordPressi turvalisuse praktiline juhend

Seoses veebiturvalisuse rikkumiste arvu suurenemisega on ülitähtis võtta ennetavaid samme oma veebisaidi sissetungijate eest kaitsmiseks. Niisiis, kui teil on WordPressi sait, lugege edasi. Pakume teile mitmeid näpunäiteid ja tööriistu, mida saate kasutada oma WordPressi veebisaidi turvaliseks ja turvaliseks muutmiseks.


“Minu saidiga ei saa seda juhtuda!” See on üldine mõte, mis enamikul meist on, kui kuuleme, et häkker rikkus saidi turvalisust.

Võib-olla usub häkkinud veebisaidiga inimene, et ta pidi elutähtsa teabe lekitamiseks midagi kohutavalt valesti tegema. Võib-olla tegi inimene kohutava vea, kui võttis oma veebisaidi turvalisuse iseenesestmõistetavana.

Võite tunda end turvaliselt, kasutades oma saidil väga populaarset CMS-i ja ajaveebiplatvormi, näiteks WordPress. Siiski peate hästi märkima, et WordPressi tohutu ülemaailmne populaarsus on üks peamisi põhjuseid, miks häkkerid sellel platvormil põhinevaid saite sihivad.

WordPress on väga kasutajasõbralik platvorm ja see muudab selle häkkerite ja rämpsposti pakkujate rünnakute suhtes veelgi haavatavamaks. Algusest peale peaksite oma veebisaidi turvalisuse ja hostimise ning veebikujunduse seadma esmatähtsaks.

Siin on põhjalik uuring erinevate meetmete kohta, mida peate oma WordPressi saidi turvalisuse parandamiseks võtma. Vaatame ka WordPressi saidi kaitsmise peamisi näpunäiteid, WordPressi peamisi turbepistikprogramme ja testimisriistu.

Peate mõistma, et ükski veebisait ei saa kunagi olla 100 protsenti turvaline ja isegi siin jagatud teave ei muuda teie saiti täiesti turvaliseks. Lõppeesmärk on aidata teil võtta vajalikke ettevaatusabinõusid, et kaitsta oma WordPressi veebisaiti enamiku rünnakute eest.

Veebiturbe põhitõed

Võite arvata, et teie saidi häkkimine tulevikus on väga ebatõenäoline, kuna sellel pole varem olnud mingeid turvaprobleeme seoses pahavara, pahatahtliku koodi ega isegi rämpsposti kommentaaridega.

Kuid üks põhilisi asju, mida veebi turvalisuse juures meeles pidada, on see, et peate olema aktiivne ja mitte reageeriv. See tähendab, et peaksite kohe algusest peale võtma mõned ettevaatusabinõud, mitte uskuma, et keegi ei saa teie saiti häkkida, ja töötage selle turvalisuse suurendamise nimel.

Enne WordPressi turvalisuse tagamise sammudele liikumist peate mõistma, kui oluline on see turvalisus omada.

Teie veebisaiti külastab palju inimesi. Mõned neist võivad tellida teie saidi infolehti ja mõned võivad registreeruda saidi foorumite liikmeteks. Teie saidi häkkimise korral on külastajate jagatud andmed rünnakute suhtes haavatavad. Niisiis, teie vastutus on tagada oma veebisaidi andmete turvalisus, mis omakorda kaitseb teie külastajate andmeid.

Kui teie WordPressi sait meelitab vähe liiklust, võite väita, et häkkeril pole põhjust teie saiti rünnata, kui veebis on saadaval tuhandeid muid populaarsemaid veebisaite. Kui see on nii, siis on tõenäoliselt aeg teil aru saada põhjustest, miks häkker võib proovida teie veebisaiti rikkuda.

Häkkerid ei muretse, kas teie sait meelitab ainult vähe külastajaid, sest kui nad saavad teie saidile juurde pääseda, saavad nad kasutada teie serverit rämpsposti saatmiseks. Nad teevad seda selleks, et aidata neil oma teenuseid, tooteid või saite turustada.
Seda tüüpi rämpspostitegevuse suurenemise tõttu teie häkkinud serverist suurenevad teie IP-aadresside musta nimekirja lisamise võimalused tohutult. Samuti võivad häkkerid eelistada teie serveri kasutamist oma veebisaidi tegevuseks, kuna nende IP-aadressid on juba mustas nimekirjas.

Lisaks häkkimise põhjuste mõistmisele peate mõistma ka erinevaid võimalusi, kuidas häkker või rämpspostitaja teie veebisaiti ründavad. See aitab veelgi teil oma saidi tegevusi kavandada nii, et teie saiti väheneks turvaohtude suhtes haavatav.

Nad võivad rünnata mis tahes WordPressi pistikprogrammi või teema kaudu. Tegelikult on juhtumeid, kus turvapistikprobleemid on võimaldanud häkkeritel rünnata pistikprogrammi kasutanud veebisaiti. Samuti saavad häkkerid ära kasutada teie turundusplatvormi mis tahes turvaauke ja kasutada andmebaasile juurdepääsu saamiseks mis tahes URL-i parameetrit.

Sel viisil saavad nad teie andmeid muuta, parooli muuta või isegi andmeid kustutada. On üllatav teada, et paljud rünnakud leiavad aset isegi nõrga parooli tõttu, et pääseda juurde WordPressi administraatoripaneelile või isegi majutuse juhtpaneelile.

Olles välja töötanud põhiteadmised oma WordPressi saidi turvalisuse tagamiseks, saate nüüd edasi lugeda, et saada teada, kuidas oma veebisaidi turvalisust suurendada.

9 turvanõuannet, et kaitsta oma WordPressi saiti häkkerite eest

Hoidke oma WordPressi saiti värskendatud

Kui viivitate oma WordPressi saidi värskendamisega, kuna kardate, et kaotate andmed vale värskenduse tõttu, peate kohe alustama varukoopiate tegemist. Kui olete oma saidilt varukoopia teinud, saate hõlpsalt edasi minna ja värskendada oma WordPressi versiooni uusimale. Peate seda tegema, kuna WP parandab eelmise saadaolevad versioonid eelmise versiooni turvavead.

Samuti teavitab WordPress neid parandusi avalikkust, mis muudab teie vananenud saidi veelgi haavatavamaks. Niisiis, kui teil on WordPressi administraatori juhtpaneelile sisselogimine, muutke see harjumuseks kasutada võimalust värskendada regulaarselt.

Uuendage kasutatavad teemad ja pistikprogrammid ning kustutage kasutamata saidid

Sa pead hoidma oma WordPressi pluginad ja teemasid värskendatud samadel põhjustel, mida peate värskendama kogu WordPressi versiooni. Häkker saab hõlpsalt vananenud pistikprogrammi või teemaga (turvaaukude kaudu) manipuleerida, et pääseda juurde oma veebisaidi administraatorile.

Seega, ärge muretsege pistikprogrammi ühilduvuse pärast teie praeguse teemaga, kuid peaksite veenduma, et kasutate alati mõlema uusimat versiooni.

Sarnaste joontega veenduge, et WordPressi administraatori juhtpaneeli pistikprogrammide jaotis sisaldab ainult neid pistikprogramme, mida kasutate. Kustutage need, mida te ei kasuta, kuna teil on selliste pistikprogrammide värskendamine vähem tõenäoline, ja see suurendab taas nende haavatavust turvarünnakute suhtes.

Pange tähele, et on oluline oma kasutamata pistikprogrammid “kustutada”, mitte ainult “desaktiveerida”.

Vältige teemade või pistikprogrammide allalaadimist tundmatutest allikatest

Võib tekkida kiusatus tasuta alla laadida mõned lisatasu pluginad või teemad, isegi kui need pärinevad tundmatutest allikatest.

Ehkki võite tunda rõõmu täppisfunktsioonide tasuta hankimise üle, võite unustada pöörata tähelepanu turvalisuse ohule, mida need funktsioonid võivad kaasa tuua. Tundmatust allikast pärit pistikprogramm võib teie saidile tuua pahavara või sisestada pahatahtliku koodi. Nii suure riski võtmise asemel on alati soovitatav alla laadida teemasid ja pistikprogramme ainult tuntud allikatest.

Oma pistikprogrammide ja teemade koodi kontrollimiseks võite kasutada pistikprogrammide kontrollimist või teemakontrolli. Halvasti kirjutatud kood võib häkkeritel teie veebisaidile juurdepääsu hõlbustada.

Kui te pole allika osas täiesti kindel ega tea, kuidas koodi kvaliteeti kontrollida, võite lihtsalt valida WordPress.org platvormi tasuta WordPressi kujunduse.

Kas teil on tugev WordPressi administraatori kasutajanimi ja parool

Oma saidi loomiseks WordPressi platvormi abil saate juurdepääsu taustateabe armatuurlauale. Vaikimisi genereerib WP kasutajanime (admin) ja tugeva parooli, et saaksite selle administraatori armatuurlauale WordPressi installimise ajal sisse logida. Kuid pärast installimist peate oma WordPressi administraatori kasutajanime muutma millekski, mis on teie jaoks ainulaadne.

Lisaks peate meeles pidama, et peaksite parooli muutma millekski, mida teie ümbritsevad inimesed või veebisaidi külastajad ei tunne. Näiteks kui teie sait näitab teie sünnikuupäeva või abikaasa nime, veenduge, et teie parool ei sisalda kumbagi. See teeb häkkerite jaoks parooli ära arvamise raskeks. Samuti peaksite hoidma oma juhtpaneeli konto jaoks turvalist parooli.

Lisaks võite oma saidi turvalisuse suurendamiseks proovida lisada WordPressi sisselogimislehele CAPTCHA. See tagab, et robot või skript ei pääse julma jõu rünnaku kaudu teie veebisaidile juurde.

Lisage kaheastmeline WordPressi turvalisuse autentimine

Kui palju paroole hakkan ma regulaarselt uuendama? See küsimus võib tekkida seoses WordPressi paneeli või juhtpaneeli erinevate sisenemispunktide tugevate paroolide säilitamisega.

Noh, saate nautida WordPressi paneeli paroolivaba sisselogimist, kasutades midagi sarnast Clefi kahefaktoriline autentimisplugin. Selle pistikprogrammi abil saate oma PIN-koodi või sõrmejälje abil autentida oma turvalise sisselogimise autentimiseks WordPressi administraatori armatuurlauale. Niisiis, isegi kui telefon kaob, jäävad Clefi konto üksikasjad turvaliseks.

Või võite kasutada nuppu Google Authenticator et tagada kaheastmeline autentimine. Sellega peate kasutama nii oma parooli kui ka sisestama kordumatult loodud sisselogimiskoodi, mis saadetakse telefoni SMS-na.

Otsige turvalist hosting firmat

Uusima WordPress-saidi versiooni omamine ei oma tähtsust, kas häkker suudab teie saiti võõrustava platvormi vana PHP-versiooni lahti saada. Niisiis, peate kasutama äärmiselt usaldusväärse veebimajutusteenuse pakkuja hostimisteenuseid.

Teie hostil peaks olema võimalus laiendada uusimate MySQL-i ja PHP-versioonide tuge. Sellel peaks olema ka tõhus sissetungimiste tuvastamise süsteem kõigi rünnakute õigeaegseks tuvastamiseks ja täiustatud turvalisuse tagamiseks peaks teie sait pakkuma veebirakenduse tulemüüri.

Piirake sisselogimiskatsete arvu

Häkkerid kasutavad julma jõu rünnakuid selleks, et hävitada parool, mida kasutate oma WordPressi paneelile sisselogimiseks. Nad proovivad pidevalt juhuslikke sisselogimiskatseid, kuni need õnnestuvad.

Isegi kui teie parool on tugev, aitab see tuvastada sisselogimiskatsete ebamõistlikke koguseid ja piirab neid katseid tegevaid IP-aadresse. Seejärel saate sellised IP-aadressid teatud aja jooksul keelata. Saate seda teha, kasutades pistikprogramme nagu Sisselogimise lukustamine või Sisselogimise turvalisuse lahendus.

Planeerige oma veebisaidi sagedasi varukoopiaid

See on oluline samm, kuna see aitab teid isegi siis, kui keegi teie saiti häkkib või selle ohtu seab. Kui keegi teie saiti häkkib, saate hõlpsalt naasta oma veebisaidi eelmise versiooni juurde, mida ei seatud ohtu. Varundamiseks võite kasutada ka mõnda automatiseeritud lahendust, näiteks VaultPress või BackUpBuddy.

Hoidke oma WordPressi administraatori ruumi hästi kaitstud

Teie administraatori juhtpaneelile peab olema juurdepääs ainult valitud hulgal inimestel. Kui vähegi võimalik, proovige ka luba lubada vaid neil, kes saavad juurdepääsu teie armatuurlauale. See aitab teil vähendada tundmatutest allikatest pärit rünnakute ohtu.
Samuti peate veenduma, et teistel oleks piiratud juurdepääs WordPressi / wp-admin / kaustale või failile wp-login.php või üldse mitte. Võite lubada juurdepääsu oma IP-aadressile, lisades .htaccess-faili järgmise kooditüki:

tellida eitada, lubada
Keeldu kõigist
Luba saidil zz.zz.zz.zz

Ülaltoodud koodis peate lihtsalt asendama „zz.zz.zz.zz” omaenda IP-aadresside komplektiga erinevate asukohtade või seadmete jaoks.

Kui te ei tegele staatiliste IP-aadressidega, ei pruugi see meetod teie jaoks töötada. Sellistel juhtudel saate sisselogimiskatsete piiramiseks kasutada ülalpool arutatud pistikprogramme.

Teie saidil pahatahtliku koodi tuvastamiseks WordPressi turbepluginad

Kui häkker ründab teie saiti, aitab see kahju vähendada või võtab õigeaegseid meetmeid, kui sellest kohe teada saada. Vaatame siis mõnda peamist WordPressi turbe pluginat, mis tuvastab teie veebisaidile sisestatud pahatahtliku koodi.

WP viirusetõrje saidi kaitse

See populaarne plugin, mida pakub SiteGuarding.com, aitab teie WordPressi saidilt leitud pahatahtlikke viirusi või koode tuvastada ja eemaldada. See skannib läbi üksuste, nagu pistikfailid, teemafailid ja kõik üleslaaditavad failid, et kiiresti avastada turvaohte, sealhulgas tagauksed, reklaamvara, nuhkvara, juurkomplektid, ussid, Trooja hobused ja pettuseriistad.

Kui jätkate torrent-saitidelt teemade ja pistikprogrammide allalaadimist (selle asemel et osta arendajatelt originaaleksemplare), siis parema turvalisuse tagamiseks peab teil olema seda tüüpi pistikprogramm.

Wordfence’i turvalisus

See pistikprogramm pakub tasuta äriklassi turvalisust, kaitstes teie saiti nii pahavara kui ka võimalike häkkimiste eest. See kontrollib, kas teie saidil on juba nakkus, ja kontrollib teie saidi lähtekoodi sügavat serveripoolset kontrolli.
See võrdleb koodi pistikprogrammide, tuumade ja teemade ametliku WordPressi hoidlaga. See mitte ainult ei kaitse teie veebisaiti enamiku ohtude eest, vaid muudab teie veebisaidi 50 korda kiiremaks kui varem.

Wordfence võimaldab ka tuntud ründajate reaalajas blokeerimist. See tähendab, et kui häkker ründab seda pistikprogrammi mõnel teisel saidil, blokeeritakse see häkker automaatselt ka teie saidilt.

See võib blokeerida terve pahatahtlike IP-aadresside võrgu, kui on oht, et teie saidile sisestatakse pahatahtlikud koodid. Lisaks aitab see turvaskaneerimise käigus tuvastatud kraapide, roomikute ja robotite kujul esinevaid ohte tõkestada. Samuti otsib see troojalasi, kahtlast koodi, tagauksi, andmepüügi URL-e, pahavara, HeartBleedi haavatavust ja nii edasi.

Kui olete esmaklassiline kasutaja, võite blokeerida ka riigid ja saate sageli skaneerida konkreetsete perioodide skaneeringuid.

Kasutage skannerit

Exploit Scanner otsib teie WordPressi saidi failides ja andmebaasis alati kahtlaseid asju, sealhulgas postitusi ja kommentaaritabeleid.

Samuti skannib teie kasutatavaid pistikprogramme eksitavate või ebaharilike failinimede osas. Kui see leiab pahatahtliku koodi või faili, edastab see pistikprogramm saidi administraatorile üksikasjaliku aruande ja jätab pahatahtliku koodi eemaldamise tema enda ülesandeks.

Sucuri turvalisus

See on ulatuslik turbe tööriistakomplekt, mida saab kasutada pahavara tuvastamiseks, turvalisuse tugevdamiseks ja turvalisuse terviklikkuse jälgimiseks. See on teie olemasoleva saidi turvafunktsioonide suurepärane tugi.

Mõned selle pistikprogrammi põhifunktsioonid hõlmavad failide terviklikkuse jälgimist, musta nimekirja jälgimist, turbetoimingute auditeerimist, pahavara kaugkontrolli, turvalisuse tugevdamist ja häkkimisjärgseid turvameetmeid, turvateatisi ja veebisaidi tulemüüri.

Kuidas skannida oma WordPressi saiti varjatud õelvara kohta?

Kuna WordPress on avatud lähtekoodiga platvorm, on see kergesti vastuvõtlik pahavara nakkustele või häkkerite süstidele. Mõned levinumad viisid, kuidas häkkerid võivad teie saidile pahavara süstida, hõlmavad järgmist:

  • Pharma Hacks (rämpsüstid teie andmebaasis või failides)
  • Andmepüük (tundliku teabe, näiteks e-posti aadresside, paroolide ja kasutajanimede hankimine)
  • Pahatahtlikud ümbersuunamised (teie saidi külastajate ümbersuunamine teisele saidi lehele, kus on allalaaditud nakatunud fail või pahatahtlik kood)
  • Faili- ja andmebaasisüstid (pahatahtliku koodi lisamine saidi andmebaasi või failidesse)
  • Tagauksed (juurdepääsu saamine oma administratiivpiirkonnale või FTP-kontole)
  • Kõik häkkerid tahavad tagada, et saidi omanik ei saaks teada, et nad häkkisid tema saiti. See võimaldab häkkeritel nakatada saidi külastajaid pikema aja jooksul pideva rämpsposti kaudu.

Seega on teie eesmärk jätkata oma saidil peidetud pahavara otsimist, mida te ei tea, ja vabaneda nakatunud failidest või kaustadest.

Selleks saate kasutada populaarseid pahavara skannimise WordPressi pistikprogramme, näiteks järgmisi:

Kasuta Sucuri SiteChecki skanner võimaliku pahavara otsimiseks. Minge lihtsalt saidile siin ja sisestage oma veebisaidi URL. See tasuta skanner viib teie saidi põhjaliku skannimise läbi pahavara, veebisaidi vigade, musta nimekirja oleku ja aegunud tarkvara.

Ainus puudus on see, et peate selle skannimise käsitsi läbi viima tasuta versiooni abil. Iga kord, kui see tuvastab pahavara, saate üle minna premium-plaanidele ja saada hoiatusi Twitteri, e-posti või RSS-i kaudu.

Kui häkker on teie serverit juba pikka aega rämpspostiks kasutanud, eemaldage oma veebisait mustast nimekirjast. Lisatasuteenused aitavad ka pahavara eemaldada. Pahatahtliku kaitse tõhustamiseks võite proovida isegi varem arutatud Sucuri turbepistikprogrammi.

Kasuta Pahavaravastane skanner pahavara, viiruste, tagauste ja muude sarnaste ohtude otsimiseks ning nende automaatseks eemaldamiseks. Selle pistikprogrammi peamine lisaomadus on oma saidi wp-login.php paika panemine, et peatada julma jõu rünnakud.

Lisaks võite pahatahtliku koodi tuvastamiseks kasutada mõnda ülalpool käsitletud WordPressi turbepluginat.

Veebisaidi turvalisuse testimise tööriistad

Oma veebisaidi rünnakute eest kaitsmiseks peate oma saidi turvalisuse taset pidevalt testima, kasutades selleks teatud testimisriistu, näiteks:

Wapiti tuvastab teie veebisaidi haavatavused (faili avalikustamine, andmebaasi süstimine, saidiülese skriptimise süstimine, nõrgad .htaccess-konfiguratsioonid ja palju muud). See tööriist kasutab musta kasti skaneerimise meetodit.

See tähendab, et ta ei uuri rakenduse lähtekoodi, vaid kontrollib veebisaite vormide ja skriptide jaoks, kuhu see saab andmeid sisestada. See süstib haavatavaid skripte tuvastamiseks kasulikke koormusi. See pakub aruandeid erinevates vormingutes, näiteks HTML, XML, tekst ja JSON.

Google Nogotofail testib saidi võrguliiklust, et tuvastada ja parandada nõrkade TLS- või SSL-ühenduste ja tundliku kleebitud teksti liiklust erinevates seadmetes. Samuti saate selle seadistada VPN-serveri või puhverserverina või isegi ruuterina.

Võite proovida avatud lähtekoodiga skannerit ja testerit nimega Vega. See GUI-põhine platvorm on Java-keeles ja töötab koos OS X-, Windows- ja Linux-platvormidega. See koosneb taktikalise kontrolli teostamiseks puhverserverist ja automatiseeritud skannerist kiirtestide tegemiseks.

Seda tööriista saab kasutada saitideülese skriptimise (XSS), SQL-i süstimise ja sarnaste haavatavuste tuvastamiseks.
Loodame, et need näpunäited ja teave WordPressi turvalisuse kohta aitavad teil oma saidi turvalisust suuresti parandada.

Kas olete juba proovinud mõnda pistikprogrammi või meetodit, mis suurendavad teie WordPressi veebisaidi turvalisust märkimisväärselt? Jagage oma kogemusi ja levitage oma võrgu kaudu pidevalt teadlikkust veebisaidi turvalisuse olulisuse kohta.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map