A WordPress biztonságának gyakorlati útmutatója

Az internetes biztonság megsértésének növekedésével rendkívül fontos megelőző lépéseket tenni annak érdekében, hogy webhelye biztonságban legyen a betolakodók ellen. Tehát, ha van WordPress weboldala, olvassa el tovább. Számos tippet és eszközt nyújtunk Önnek, amelyek segítségével a WordPress webhelyét biztonságossá teheti.


“Ez nem történhet meg a webhelyemmel!” Ez az az általános gondolat, amely többségünkben felmerül, amikor azt halljuk, hogy egy hacker megsértette a webhely biztonságát.

Talán az a személy, aki a feltört webhellyel rendelkezik, úgy gondolja, hogy valószínűleg valami rettenetesen rosszat tett, hogy kiszivárogtassa a fontos információkat. Lehet, hogy az a személy szörnyű hibát követett el, hogy webhelye biztonságát magától értetődőnek veszi.

Biztonságban érezheti magát egy olyan népszerű CMS és blogplatform használatával, mint például a WordPress az Ön webhelyén. Ugyanakkor jól megjegyzi, hogy a WordPress óriási globális népszerűsége az egyik elsődleges oka annak, hogy a hackerek ezen platformon alapuló webhelyeket céloznak meg.

A WordPress rendkívül felhasználóbarát platform, és ez még érzékenyebbé teszi a hackerek és a spamerek támadásait. A biztonságot a kezdetektől a webhely elsődleges prioritásává kell tennie, valamint a tárhelyet és a webdesignot.

Itt található egy mélyreható tanulmány a különféle intézkedésekről, amelyeket a WordPress-webhely biztonságának fokozása érdekében meg kell tennie. Megvizsgáljuk a legfontosabb tippeket egy WordPress-webhely védelmére, a legfontosabb WordPress-biztonsági bővítményeket és a tesztelő eszközöket.

Önnek tisztában kell lennie azzal, hogy egyetlen webhely sem lehet 100% -ban biztonságos, és még az itt megosztott információk sem teszik a webhelyet teljesen biztonságossá. A végső cél az, hogy segítsen Önt megtenni az összes szükséges óvintézkedésben, hogy a WordPress webhelyet biztonságban lehessen tartani a legtöbb támadás ellen.

A webbiztonság alapjai

Gondolhatja, hogy nagyon valószínűtlen, hogy a webhelyét később feltörik, mivel a múltban még soha nem találkozott biztonsági problémákkal a rosszindulatú programok, a rosszindulatú kódok, vagy akár a spam megjegyzésével kapcsolatban..

A webbiztonság szempontjából azonban az egyik legalapvetőbb dolog, amelyet meg kell emlékezni, az kell, hogy aktív maradjon és nem reagáljon. Ez azt jelenti, hogy a kezdetektől kezdve meg kell tennie néhány óvintézkedést, ahelyett, hogy úgy gondolja, hogy valaki nem tud feltörni az Ön webhelyét, és törekednie kell annak biztonságának javítására..

Ezenkívül, mielőtt a WordPress biztonsági lépéseire ugrik, fel kell ismernie annak fontosságát, hogy ennek a biztonságnak a helyén legyen.

Rengeteg ember látogatja meg webhelyét. Néhányan feliratkozhatnak webhelyének hírleveleire, mások regisztrálhatnak a webhely fórumainak tagjaként. A látogatók által megosztott adatok szintén ki vannak téve a támadásoknak, ha webhelyét feltörik. Tehát a te felelősséged biztosítani webhelyed adatainak biztonságát, amely viszont megvédi a látogatók adatait.

Ha a WordPress-webhely kevés forgalmat vonz, akkor azt állíthatja, hogy nincs ok a hackereknek arra, hogy megtámadják webhelyét, amikor több ezer más népszerűbb webhely érhető el online. Ha ez így van, akkor valószínűleg ideje megérteni azokat az okokat, amelyek miatt a hackerek megkísérelhetik megsérteni az Ön webhelyét.

A hackerek nem attól tartanak, hogy webhelye csak néhány látogatót vonz, mert ha hozzáférnek a webhelyéhez, kiszolgálójuk segítségével spam e-maileket küldhet. Ezt úgy teszik, hogy segítsék szolgáltatásaik, termékeik vagy webhelyeik értékesítését.
A feltört szerver ilyen típusú spam-tevékenységének növekedésével az IP-cím feketelistára kerülésének esélye óriási mértékben növekszik. Alternatív megoldásként a hackerek inkább a szervert használhatják saját webhely-tevékenységeikhez, mivel az IP-címük már feketelistán szerepel.

A hackelés okának felismerése mellett meg kell értenie a hackerek vagy a spamerek különböző lehetőségeit is, hogy megtámadják webhelyét. Ez tovább segíti a webhely tevékenységeinek megtervezését oly módon, hogy kevesebb legyen a webhelye érzékenyek a biztonsági fenyegetésekre.

Bármely WordPress bővítményen vagy témán keresztül támadhatnak. Valójában vannak olyan esetek, amikor a biztonsági bővítménnyel kapcsolatos problémák lehetővé tették a hackerek számára, hogy megtámadjanak a plugint használó webhelyet. Ezenkívül a hackerek kihasználhatják a tárhely platformjának bármilyen biztonsági rését, és bármilyen URL-paramétert felhasználhatnak az adatbázis eléréséhez.

Ilyen módon módosíthatják az Ön adatait, megváltoztathatják a jelszavát, vagy akár az adatokat is törölhetik. Meglepő, hogy sok támadás történik még a gyenge jelszó miatt is, hogy elérjék a WordPress adminisztrációs panelt, vagy akár a host vezérlőpaneljét is..

Miután kifejlesztette a WordPress-webhely biztonságának biztosításának alapvető ismereteit, most tovább olvashat, és megismerheti a webhely biztonságának növelésének lehetőségeit..

9 biztonsági tipp a WordPress webhelyének a hackerek elleni védelmére

Frissítse a WordPress webhelyét

Ha továbbra is késlelteti a WordPress webhely frissítését, mert attól tart, hogy helytelen frissítés miatt elveszítik az adatokat, akkor azonnal el kell kezdenie biztonsági másolatot készíteni. Miután biztonsági másolatot készített a webhelyéről, könnyen továbblépheti és frissítheti a WordPress verziót a legújabb verzióra. Ezt meg kell tennie, mert a WP minden új elérhető verzióval kijavítja a korábbi verzió biztonsági hibáit.

Ezenkívül a WordPress információ a nyilvánosságot is tájékoztatja ezekről a javításokról, ami az elavult webhelyét még sebezhetőbbé teszi. Tehát tegye szokássá az „elérhető frissítés” opció rendszeres használatát, miután bejelentkezett a WordPress admin irányítópultjába.

Frissítse a használt témákat és beépülő modulokat, és törölje a nem használt elemeket

Meg kell tartania WordPress plugins és témák frissítése ugyanabból az okból, ezért frissítenie kell a WordPress teljes verzióját. A hacker könnyen manipulálhat egy elavult plugint vagy témát (a biztonsági lyukakon keresztül), hogy hozzáférjen a webhely rendszergazdájához.

Tehát ne aggódjon a plugin kompatibilitása miatt a jelenlegi témával, de győződjön meg arról, hogy mindig használja mindkettő legújabb verzióit.

Hasonlóképpen, győződjön meg arról, hogy a WordPress admin irányítópultjának beépülő modulja csak azokat a beépülő modulokat tartalmazza, amelyeket használ. Törölje azokat, amelyeket nem használ, mert kevésbé valószínű, hogy frissíti az ilyen plugineket, és ez ismét növeli a biztonsági támadásokkal szembeni sebezhetőségüket.

Felhívjuk figyelmét, hogy fontos a nem használt beépülő modulok „törlése”, és nem csak „kikapcsolása”.

Kerülje a témák vagy beépülő modulok letöltését ismeretlen forrásokból

Kísértés lehet arra, hogy ingyenesen letölt néhány prémium plugint vagy témát, még akkor is, ha ismeretlen forrásból származik.

Noha izgatottan érzi magát a fejlett funkciók ingyenes megszerzése mellett, elfelejtheti figyelni a biztonsági fenyegetésekre, amelyeket ezek a szolgáltatások okozhatnak. Az ismeretlen forrásból származó plugin rosszindulatú programokat vezethet be, vagy rosszindulatú programokat helyezhet be webhelyére. Ahelyett, hogy ilyen nagy kockázatot vállalna, mindig tanácsos, hogy a témákat és a pluginokat csak ismert forrásokból töltse le.

A Plugin-Check vagy a Theme-Check segítségével ellenőrizze a pluginek és a témák kódját. A rosszul írt kód megkönnyítheti a hackerek hozzáférését az Ön webhelyéhez.

Ha nem teljesen biztos a forrásban, és nem tudja, hogyan kell ellenőrizni a kód minőségét, akkor egyszerűen választhat a WordPress.org platform ingyenes WordPress tervei közül..

Erős WordPress rendszergazda felhasználónévvel és jelszóval rendelkezik

A webhely WordPress platformon történő létrehozásához hozzáférést kap a háttér-irányítópulthoz. Alapértelmezés szerint a WP felhasználónevet (admin) és erős jelszót állít elő, hogy bejelentkezzen a rendszergazdai irányítópultba a WordPress telepítése során. A telepítés után azonban meg kell változtatnia a WordPress rendszergazdai felhasználónevét valamire, ami egyedi az Ön számára.

Ezzel együtt ne felejtsen el megváltoztatni a jelszót olyasmire, amely ismeretlen a környező embereknél vagy a webhely látogatói számára. Ha például a webhely felfedi a születési dátumát vagy a házastársa nevét, győződjön meg arról, hogy a jelszava sem tartalmazza. Ez megkönnyíti a hackerek számára a jelszó kitalálását. A vezérlőpult fiókjának biztonságos jelszavát is meg kell őriznie.

Ezen felül megpróbálhat egy CAPTCHA-t hozzáadni a WordPress bejelentkezési oldalához, hogy tovább növelje webhelyének biztonságát. Ez biztosítja, hogy egy bot vagy szkript brutális erőszakos támadással ne férhessen hozzá webhelyéhez.

Adjon hozzá kétlépéses WordPress biztonsági hitelesítést

Hány jelszót fogok fenntartani és rendszeresen frissíteni? Ez a kérdés felmerülhet a WordPress vagy a vezérlőpanel különböző belépési pontjainak erős jelszavak fenntartásával kapcsolatban.

Nos, élvezheti a jelszó nélküli bejelentkezést a WordPress panelen, valami hasonlóval Clef két tényezős hitelesítési plugin. Ezzel a bővítménnyel mobiltelefonjával hitelesítheti a WordPress rendszergazda irányítópultján a biztonságos bejelentkezéshez a PIN-kódot vagy az ujjlenyomatot. Tehát még a telefon elvesztése esetén is a Clef-fiók adatai biztonságban vannak.

Vagy használhatja a Google Authenticator a kétlépcsős hitelesítés biztosítása. Ezzel ki kell használnia a jelszavát, és be kell írnia az egyedileg létrehozott bejelentkezési kódot, amely SMS-ben jön a telefonra.

Keressen egy biztonságos tárhely szolgáltatót

A legfrissebb WordPress-webhely verziójának megszerzése nem számít, ha a hackerek feltörhetik-e az Ön webhelyét tároló platform régi PHP-verzióját. Szükség van tehát egy rendkívül megbízható web hosting szolgáltató tárhelyszolgáltatására.

A gazdagépnek képesnek kell lennie arra, hogy kiterjessze a legújabb MySQL és PHP verziók támogatását. Emellett hatékony behatolás-észlelési rendszerrel kell rendelkeznie az esetleges támadások időben történő azonosításához, és webhelyének web-alkalmazás tűzfalat kell kínálnia a fokozott biztonság érdekében..

Korlátozza a bejelentkezési kísérletek számát

A hackerek brute force támadásokkal feltörik a WordPress panelen való bejelentkezéshez használt jelszót. Folyamatosan próbálják ki véletlenszerű belépési kísérleteket, amíg sikerül.

Még ha a jelszava is erős, ez segít azonosítani az ilyen ésszerűtlen bejelentkezési kísérleteket és korlátozza az ezeket a kísérleteket végrehajtó IP-címeket. Ezután egy meghatározott ideig megtilthatja az ilyen IP-címeket. Megteheti úgy, hogy olyan plugineket használ, mint a Bejelentkezés bezárása vagy Bejelentkezés biztonsági megoldás.

Ütemezze webhelyének gyakori biztonsági mentését

Ez egy fontos lépés, mivel még akkor is segít, ha valaki feltöri vagy veszélyezteti webhelyét. Amikor valaki feltöri az Ön webhelyét, könnyen visszatérhet a webhely korábbi verziójához, amely nem volt veszélyeztetve. Használhat bármilyen automatikus megoldást biztonsági másolat készítéséhez, például VaultPress vagy BackUpBuddy.

Tartsa a WordPress rendszergazda helyét jól védett helyen

Csak bizonyos számú embernek kell hozzáférnie az adminisztrátori irányítópulthoz. Ezenkívül, ahol csak lehetséges, próbálja meg korlátozni az engedélyt azoknak, akik hozzáférnek az irányítópulthoz. Ez segít csökkenteni az ismeretlen forrásokból származó támadások veszélyét.
Azt is meg kell győződnie arról, hogy mások korlátozottan vagy nem rendelkeznek hozzáféréssel a WordPress / wp-admin / mappa vagy a wp-login.php fájlhoz. Engedélyezheti a hozzáférést a saját IP-címéhez az alábbi kódrészlet hozzáadásával a .htaccess fájlba:

megtagadni, engedélyezni
Mindenkit tagadni
Engedélyezze a zz.zz.zz.zz webhelyről

A fenti kódban egyszerűen ki kell cserélnie a „zz.zz.zz.zz” fájlt a saját IP-címkészletével a különböző helyekre vagy eszközökre.

Ha nem foglalkozik statikus IP-címekkel, akkor előfordulhat, hogy ez a módszer nem fog működni az Ön számára. Ilyen esetekben a fent tárgyalt pluginok segítségével korlátozhatja a bejelentkezési kísérleteket.

A WordPress biztonsági beépülő moduljai a webhely rosszindulatú kódjának felismerésére

Ha egy hacker támadja meg az Ön webhelyét, ez segít korlátozni a károkat, vagy időben megteheti a szükséges lépéseket, ha arról azonnal megismerkedik. Vessen egy pillantást a WordPress legfontosabb biztonsági bővítményeire, amelyek felismerik az Ön webhelyére helyezett rosszindulatú kódot.

WP AntiVirus webhelyvédelem

Ez a népszerű plugin, amelyet a SiteGuarding.com kínál, segíti a WordPress webhelyén található rosszindulatú vírusok vagy kódok felismerését és eltávolítását. Átvizsgálja az elemeket, például a plugin-fájlokat, a témafájlokat és az összes feltöltést, hogy gyorsan felfedezzék a biztonsági fenyegetéseket, ideértve a hátsó ajtókat, az adware-ket, a kémprogramokat, a rootkit-ket, a férgeket, a trójai programokat és a csalási eszközöket..

Ha folyamatosan tölti le a témákat és a pluginokat a torrent webhelyekről (ahelyett, hogy az eredeti példányokat a fejlesztőktől vásárolja), akkor a jobb biztonság érdekében rendelkeznie kell ilyen típusú pluginnel.

Wordfence biztonság

Ez a plugin ingyenes, vállalati szintű biztonságot nyújt, mivel megvédi webhelyét a rosszindulatú programoktól és a lehetséges hackektől. Ellenőrzi, hogy webhelye már tartalmaz-e fertőzést, és ellenőrzi a webhely forráskódjának kiszolgálóoldali oldalát.
Összehasonlítja a kódot a bővítmények, magok és témák hivatalos WordPress tárházával. Ez nemcsak a webhelyet védi a legtöbb fenyegetés ellen, hanem 50-szer gyorsabbá is teszi a webhelyet, mint korábban.

A Wordfence lehetővé teszi az ismert támadók valós idejű blokkolását is. Ez azt jelenti, hogy ha egy hacker egy másik webhelyen támadja meg ezt a bővítményt, akkor a hacker automatikusan blokkolódik az Ön webhelyén is.

Letilthatja a rosszindulatú IP-címek teljes hálózatát, ha fennáll a veszélyes kódok beillesztésének veszélye a webhelyén. Ezenkívül elősegíti a biztonsági ellenőrzések során azonosított kaparók, bejárók és robotok formájában jelentkező veszélyek megakadályozását. Ellenőrzi a trójaiak, a gyanús kódok, a hátsó ajtó, az adathalász URL-eket, a rosszindulatú programokat, a HeartBleed sebezhetőséget és így tovább.

Prémium felhasználóként blokkolhatja az országokat, és a szkenneléseket gyakran ütemezheti egy adott időszakra.

Használja ki a lapolvasót

A Exploit Scanner mindig vár valamit gyanúsnak a WordPress-webhely fájljaiban és adatbázisában, ideértve a hozzászólásokat és a megjegyzés táblákat.

Emellett megvizsgálja a használt pluginokat minden félrevezető vagy szokatlan fájlnév esetében. Ha rosszindulatú kódot vagy fájlt talál, akkor ez a plugin részletes jelentést nyújt a webhely rendszergazdájának, és őt bízza meg a rosszindulatú kód eltávolításával..

Sucuri biztonság

Ez egy átfogó biztonsági eszközkészlet a rosszindulatú programok észleléséhez, a biztonsági edzéshez és a biztonsági integritás megfigyeléséhez. Nagyon támogatja a meglévő webhely biztonsági funkcióit.

A beépülő modul néhány fő funkciója a fájl integritásának megfigyelése, a feketelisták figyelése, a biztonsági tevékenységek ellenőrzése, a rosszindulatú programok távoli letapogatása, a biztonsági edzés és a feltörések utáni biztonsági intézkedések, a biztonsági értesítések és a webhely tűzfala..

Hogyan lehet beolvasni a WordPress webhelyet rejtett rosszindulatú programok számára?

Mivel a WordPress egy nyílt forráskódú platform, könnyen érzékeny a malware fertőzésekre vagy a hackerek által végzett injekciókra. A hackerek rosszindulatú programokat fecskendezhetnek be webhelyére a következők közül:

  • Pharma Hacks (spam injekciók az adatbázisban vagy fájlokban)
  • Adathalászat (érzékeny információk, például e-mail címek, jelszavak és felhasználónevek) beszerzése
  • Rosszindulatú átirányítás (a webhely látogatóinak átirányítása egy másik weboldalra, ahol letöltött fertőzött fájl vagy rosszindulatú kód található)
  • Fájl- és adatbázis-befecskendezések (rosszindulatú kód hozzáadása a webhely adatbázisához vagy fájlokhoz)
  • Hátsó ajtó (hozzáférés az adminisztrációs területhez vagy az FTP-fiókhoz)
  • Minden hackerek azt szeretnék biztosítani, hogy a webhely tulajdonosa ne tanulja meg, hogy feltörte a webhelyét. Ez lehetővé teszi a hackerek számára, hogy hosszabb ideig folyamatos spamküldés révén megfertőzzék a webhely látogatóit.

Tehát a cél az, hogy továbbra is keressen minden olyan rejtett rosszindulatú szoftvert a webhelyén, amelyről még nem tud, és megszabaduljon a fertőzött fájloktól vagy mappáktól.

Ezt megteheti a népszerű rosszindulatú szoftverek szkennelésével, például az alábbiakban felsorolt ​​WordPress bővítmények segítségével:

Használja a Sucuri SiteCheck szkenner a potenciális rosszindulatú programok keresésére. Csak látogasson el a weboldalra itt és írja be webhelye URL-jét. Ez az ingyenes szkenner átfogó módon ellenőrzi a webhelyet rosszindulatú programok, webhelyhibák, feketelistára vonatkozó állapot és elavult szoftverek ellen.

Az egyetlen hátrány, hogy ezt a szkennelést manuálisan kell végrehajtania az ingyenes verzióval. Frissítheti a prémium tervekre, és riasztásokat kaphat Twitter-en, e-mailben vagy RSS-n keresztül, amikor csak rosszindulatú programokat észlel.

Távolítsa el weboldalát a feketelistáktól, ha egy hacker hosszú ideje használt spammel a szerverét. A prémium szolgáltatások a rosszindulatú programok eltávolítását is segítik. Még kipróbálhatja a korábban tárgyalt Sucuri biztonsági bővítményt a fokozott rosszindulatú programok védelme érdekében.

Használja a Anti-Malware szkenner rosszindulatú programok, vírusok, hátsó ajtó és hasonló ismert fenyegetések keresésére, valamint automatikus eltávolítására. A beépülő modul egyik legfontosabb prémium tulajdonsága, hogy javítja a wp-login.php oldalt a brute-force támadások leállításához.

Ezenkívül a fentebb tárgyalt WordPress biztonsági bővítmények bármelyikét felhasználhatja a rosszindulatú kód azonosítására.

Webhelybiztonsági tesztelő eszközök

Annak érdekében, hogy megvédje webhelyét a támadásoktól, folyamatosan ellenőriznie kell webhelyének biztonsági szintjét bizonyos tesztelési eszközök, például:

Amerikai szarvas észleli a webhely biztonsági réseit (fájlok nyilvánosságra hozatala, adatbázis-befecskendezés, webhelyek közötti szkript-befecskendezés, gyenge .htaccess-konfigurációk és egyebek). Ez az eszköz a fekete doboz szkennelési megközelítést használja.

Ez azt jelenti, hogy nem tanulmányozza az alkalmazás forráskódját, hanem ellenőrzi a weboldalakat olyan űrlapok és szkriptek számára, ahol adatot tud adagolni. Hasznos terheket ad be, hogy azonosítsa a sebezhető szkripteket. Különféle formátumokban nyújt jelentéseket, például HTML, XML, szöveg és JSON formátumban.

Google Nogotofail teszteli egy webhely hálózati forgalmát a gyenge TLS vagy SSL kapcsolatok és az érzékeny szöveges forgalom észlelésére és kijavítására a különféle eszközökön. Beállíthatja VPN-kiszolgálóként vagy proxy-kiszolgálóként, vagy akár útválasztóként.

Kipróbálhatja a nevű nyílt forrású szkennert és tesztelőt Vega. Ez a GUI-alapú platform Java nyelven található, és az OS X, Windows és Linux platformokkal működik. Ez egy elfogó proxyból áll a taktikai ellenőrzés végrehajtásához és egy automatizált szkennerből a gyors tesztek elvégzéséhez.

Ez az eszköz felhasználható a webhelyek közötti szkriptek (XSS), az SQL befecskendezés és hasonló biztonsági rések azonosítására.
Reméljük, hogy ezek a tippek és a WordPress biztonságával kapcsolatos információk nagyban hozzájárulnak webhelye biztonságának javításához.

Kipróbált már olyan plug-ineket vagy módszereket, amelyek jelentősen növelik a WordPress webhelyének biztonságát? Kérjük, ossza meg tapasztalatait és terjessze folyamatosan a webhely biztonságának fontosságát a hálózaton belül.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map