Käytännön opas WordPress-tietoturvaan

Verkkoturvallisuuden rikkomusten lisääntyessä on ensiarvoisen tärkeää ryhtyä ennaltaehkäiseviin toimiin verkkosivustosi suojaamiseksi tunkeilijoilta. Joten, jos sinulla on WordPress-sivusto, lue tästä. Tarjoamme sinulle useita vinkkejä ja työkaluja, joiden avulla voit tehdä WordPress-verkkosivustostasi turvallisen.


“Sitä ei voi tapahtua sivustooni!” Tämä on yleinen ajatus, joka useimmilla meistä on, kun kuulemme, että hakkeri rikkoo sivuston turvallisuutta.

Ehkä hakkeroituneen verkkosivuston käyttäjä uskoo hänen olevan tehnyt jotain hirveästi väärin vuotaa elintärkeää tietoa. Ehkä henkilö teki kauhean virheen pitäessään verkkosivustonsa tietoturvaa itsestään selvänä.

Voit tuntea olosi turvalliseksi käyttämällä erittäin suosittua CMS: ää ja blogging-alustaa, kuten WordPress sivustollesi. Kuitenkin, sinun on hyvä huomata, että WordPressin valtava maailmanlaajuinen suosio on yksi ensisijaisista syistä, miksi hakkerit kohdistavat tämän alustan perustuvia sivustoja.

WordPress on erittäin käyttäjäystävällinen alusta, ja tämä tekee siitä vieläkin alttiimman hakkereiden ja roskapostittajien hyökkäyksille. Alusta lähtien sinun pitäisi tehdä tietoturvasta verkkosivustosi ensisijainen tavoite, yhdessä isännöinnin ja web-suunnittelun kanssa.

Tässä on perusteellinen tutkimus erilaisista toimenpiteistä, jotka sinun on tehtävä WordPress-sivustosi turvallisuuden parantamiseksi. Tarkastelemme myös tärkeimpiä vinkkejä WordPress-sivuston suojaamiseksi, WordPressin tärkeimpiä tietoturvalaajennuksia ja testaustyökaluja.

Sinun on ymmärrettävä, että mikään verkkosivusto ei voi koskaan olla 100-prosenttisesti turvallinen ja edes täällä jaetut tiedot eivät tee sivustostasi täysin turvallista. Perimmäisenä tavoitteena on auttaa sinua toteuttamaan kaikki tarvittavat varotoimenpiteet WordPress-verkkosivustosi suojaamiseksi suurimmalta osin hyökkäyksiä.

Verkkoturvallisuuden perusteet

Saatat ajatella, että on erittäin epätodennäköistä, että sivustosi hakkeroituu tulevaisuudessa, koska sillä ei ole koskaan ollut edessään turvallisuusongelmia haittaohjelmien, haittaohjelmien tai jopa roskapostikommenttien suhteen.

Mutta yksi tärkeimmistä asioista, jotka Web-tietoturvasta tulee muistaa, on, että sinun on oltava aktiivinen eikä reagoiva. Tämä tarkoittaa, että sinun on ryhdyttävä joihinkin varotoimenpiteisiin heti alusta lähtien, sen sijaan, että uskoisi, että joku ei voi hakkeroida sivustoasi, ja työskentelemään sen turvallisuuden parantamiseksi.

Ennen kuin siirryt WordPress-tietoturvan vaiheisiin, sinun on myös ymmärrettävä tämän tietoturvan pitämisen tärkeys.

Paljon ihmisiä käy verkkosivustollasi. Jotkut heistä voivat tilata sivustosi uutiskirjeitä ja osa rekisteröidä sivustosi foorumien jäseniksi. Kävijöiden jakamat tiedot ovat myös alttiita hyökkäyksille, jos sivustosi hakkeroidaan. Joten, sinun vastuullasi on varmistaa verkkosivustosi tietojen turvallisuus, mikä puolestaan ​​suojaa kävijöiden tietoja.

Jos WordPress-sivustosi houkuttelee vähän liikennettä, saatat väittää, ettei hakkereilla ole mitään syytä hyökätä sivustoosi, kun verkossa on saatavana tuhansia muita suositumpia verkkosivustoja. Jos näin on, sinun on todennäköisesti aika ymmärtää syyt, miksi hakkeri voi yrittää rikkoa verkkosivustoasi.

Hakkerit eivät ole huolissaan siitä, houkutteleuko sivustosi vain muutamaa kävijää, koska he saavat pääsyn sivustoosi palvelimellasi roskapostin lähettämiseen. He tekevät tämän auttaakseen heitä markkinoimaan palveluitaan, tuotteita tai sivustoja.
Kun hakkeroidun palvelimen tyyppinen roskapostitoiminta lisääntyy, IP-osoitteesi todennäköisyys mustalle listalle kasvaa huomattavasti. Hakkerit voivat vaihtoehtoisesti käyttää palvelinta oman verkkosivuston toimintaan, koska heidän IP-osoitteensa ovat jo mustassa luettelossa.

Hakkeroinnin syiden ymmärtämisen lisäksi sinun on myös ymmärrettävä, miten hakkerit tai roskapostittajat voivat hyökätä verkkosivustoosi. Tämä auttaa sinua suunnittelemaan sivustosi toimintaa siten, että sivustosi vähenee alttiita turvallisuusuhkille.

He voivat hyökätä minkä tahansa WordPress-laajennuksen tai -teeman kautta. Itse asiassa on tapauksia, joissa tietoturvalaajennuksen ongelmat ovat mahdollistaneet hakkerit hyökkäämään laajennusta käyttäneelle verkkosivustolle. Hakkerit voivat myös hyödyntää kaikkia isännöintipalvelusi suojausheikkouksia ja käyttää mitä tahansa URL-parametria pääsemään tietokantaan.

Tällä tavalla he voivat muokata tietojasi, vaihtaa salasanasi tai jopa poistaa tietoja. On yllättävää tietää, että monia hyökkäyksiä tapahtuu jopa heikon salasanan takia WordPress-hallintapaneeliin tai jopa isäntäohjauspaneeliin.

Kun olet kehittänyt perustiedon tarpeesta saada WordPress-sivustosi suojattavaksi, voit nyt lukea lisää oppiaksesi tapoista lisätä verkkosivustosi turvallisuutta.

9 tietoturvavinkkiä WordPress-sivustosi suojaamiseksi hakkereilta

Pidä WordPress-sivustosi päivitettynä

Jos viivästyt WordPress-sivustosi päivittämistä, koska pelkäät kadottavanne tietoja väärän päivityksen vuoksi, sinun on heti alkaa tehdä varmuuskopioita. Kun olet varmuuskopioinut sivustosi, voit helposti siirtyä eteenpäin ja päivittää WordPress-version viimeisimmälle. Sinun on tehtävä tämä, koska WP korjaa edellisen version suojausvirheet jokaisella uudella versiolla, joka tulee saataville.

Lisäksi WordPress tiedottaa yleisölle näistä korjauksista, mikä tekee vanhentuneesta sivustostasi entistä haavoittuvamman. Joten tee tapana käyttää ”Päivitä saatavana” -vaihtoehtoa säännöllisesti, kun olet kirjautunut sisään WordPress-järjestelmänvalvojan kojelautaan.

Päivitä käyttämäsi teemat ja laajennukset ja poista käyttämättömät

Sinun on pidettävä WordPress-laajennukset ja teemat päivitetty samoista syistä, jotka sinun on päivitettävä koko WordPress-versio. Hakkeri voi helposti manipuloida vanhentunutta laajennusta tai teemaa (tietoturva-aukkojen kautta) päästäksesi verkkosivustosi järjestelmänvalvojaan.

Joten älä ole huolissasi laajennuksesi yhteensopivuudesta nykyisen teemasi kanssa, mutta sinun tulisi varmistaa, että käytät aina molempien uusimpia versioita.

Samoin kuin rivit, varmista, että WordPress-järjestelmänvalvojan hallintapaneelin laajennusosio sisältää vain käyttämäsi laajennukset. Poista ne, joita et käytä, koska et todennäköisesti päivitä tällaisia ​​laajennuksia, ja tämä lisää jälleen niiden haavoittuvuutta tietoturvahyökkäyksiin.

Huomaa, että on tärkeää “poistaa” käyttämättömät laajennukset eikä vain “poistaa käytöstä” niitä.

Vältä aiheiden tai laajennusten lataamista tuntemattomista lähteistä

Saatat olla houkutus ladata ilmaiseksi muutamia premium-laajennuksia tai teemoja, vaikka ne olisivat tuntemattomista lähteistä.

Vaikka saatat olla innoissasi uusien ominaisuuksien hankkimisesta ilmaiseksi, saatat unohtaa kiinnittää huomiota näiden ominaisuuksien aiheuttamiin turvallisuusuhkiin. Tuntemattoman lähteen plugin saattaa tuoda haittaohjelmia tai lisätä haittaohjelmia sivustoosi. Tällaisen suuren riskin sijasta on aina suositeltavaa ladata vain teemoja ja laajennuksia tunnetuista lähteistä.

Voit käyttää Plugin-Check- tai Theme-Check-ohjelmaa tarkistaaksesi vastaavasti laajennusten ja teemien koodit. Huonosti kirjoitettu koodi voi tehdä hakkereille pääsyn verkkosivustollesi helpoksi.

Jos et ole täysin varma lähteestä ja et tiedä kuinka tarkistaa koodin laatu, voit valita WordPress.org-alustalta ilmaiset WordPress-mallit..

Sinulla on vahva WordPress-järjestelmänvalvojan käyttäjänimi ja salasana

Jos haluat luoda sivustosi WordPress-alustalla, pääset käyttöjärjestelmän taustapaneeliin. Oletuksena WP luo käyttäjänimen (järjestelmänvalvoja) ja vahvan salasanan, jotta voit kirjautua sisään tähän järjestelmänvalvojan kojelautaan WordPress-asennuksen aikana. Asennuksen jälkeen sinun on kuitenkin vaihdettava WordPress-järjestelmänvalvojan käyttäjänimi jotain, joka on sinulle ainutlaatuinen.

Samanaikaisesti sinun on muistettava vaihtaa salasana jotain, jota ympäröivät ihmiset tai verkkosivustosi kävijät eivät tunne. Jos esimerkiksi sivustosi paljastaa syntymäaikasi tai puolisosi nimen, varmista, että salasanasi ei sisällä kumpaakaan. Tämän ansiosta hakkereiden on vaikea arvata salasanasi. Sinun tulisi myös pitää turvallinen salasana ohjauspaneelitilillesi.

Lisäksi voit yrittää lisätä CAPTCHA: n WordPress-kirjautumissivullesi parantaaksesi edelleen sivustosi turvallisuutta. Tämä varmistaa, että robotti tai komentosarja ei pääse verkkosivustollesi raa’an joukkohyökkäyksen avulla.

Lisää kaksivaiheinen WordPress-suojaustunnistus

Kuinka monta salasanaa ylläpidän ja päivitän säännöllisesti? Sinulla voi olla tämä kysymys vahvojen salasanojen ylläpitämisestä WordPress-paneeliin tai ohjauspaneeliin liittyville eri aloituspisteille.

Voit nauttia salasanattomasta kirjautumisesta WordPress-paneeliin käyttämällä jotain Clef kahden tekijän todennuslaajennus. Tämän liitännäisen avulla voit todentaa matkapuhelimesi suojatun kirjautumisen WordPress-järjestelmänvalvojan kojelautaan sekä PIN-koodin tai sormenjäljen. Joten vaikka puhelimesi katoaa, Clef-tilisi tiedot ovat turvassa.

Tai voit käyttää Google Authenticator kaksivaiheisen todennuksen varmistamiseksi. Tämän avulla sinun on käytettävä salasanaasi ja annettava yksilöllisesti luotu kirjautumiskoodi, joka tulee tekstiviestinä puhelimeesi.

Etsi suojattu hosting-yritys

Uusimman WordPress-sivustoversion saaminen ei ole väliä, pystyykö hakkeri murtamaan sivustosi isäntäympäristön vanhan PHP-version. Joten, sinun on käytettävä erittäin luotettavan web-palveluntarjoajan isännöintipalveluita.

Isäntäsi tulisi kyetä laajentamaan uusimpien MySQL- ja PHP-versioiden tukea. Siinä tulisi myös olla tehokas tunkeutumisen havaitsemisjärjestelmä mahdollisten hyökkäysten tunnistamiseksi ajoissa, ja sen pitäisi tarjota sivustollesi verkkosovelluksen palomuuri parannettua tietoturvaa.

Rajoita kirjautumisyritysten määrää

Hakkerit käyttävät raa’ita voimahyökkäyksiä murtaaksesi salasanasi, jota käytät kirjautumiseen WordPress-paneeliin. He yrittävät jatkuvasti satunnaisia ​​kirjautumisyrityksiä, kunnes ne onnistuvat.

Vaikka salasanasi on vahva, se auttaa tunnistamaan kohtuuttomia määriä kirjautumisyrityksiä ja rajoittamaan näitä yrityksiä tekeviä IP-osoitteita. Tämän jälkeen voit kieltää tällaiset IP-osoitteet tietyn ajan. Voit tehdä niin käyttämällä laajennuksia, kuten Sisäänkirjautumisen lukitus tai Sisäänkirjautumisen tietoturvaratkaisu.

Aikataulu Verkkosivustosi usein varmuuskopioita

Tämä on tärkeä askel, koska se auttaa jopa sinua, kun joku hakkeroi tai vaarantaa sivustosi. Kun joku hakkeroi sivustosi, voit helposti palata verkkosivustosi edelliseen versioon, jota ei vaarannettu. Voit myös käyttää mitä tahansa automaattista ratkaisua varmuuskopiointiin, kuten VaultPress tai BackUpBuddy.

Pidä WordPress-järjestelmänvalvojan tila hyvin suojattuna

Vain tietyn määrän ihmisiä on pääsy järjestelmänvalvojan hallintapaneeliin. Yritä myös mahdollisuuksien mukaan rajoittaa lupa vain niihin, jotka käyttävät kojetaulua. Tämä auttaa sinua vähentämään tuntemattomista lähteistä peräisin olevien hyökkäysten uhkaa.
Sinun on myös varmistettava, että muilla on rajoitettu pääsy WordPress / wp-admin / -kansioon tai wp-login.php-tiedostoon tai ettei sillä ole mitään pääsyä siihen. Voit sallia pääsyn omaan IP-osoitteeseesi lisäämällä seuraava kooditiedosto .htaccess-tiedostoon:

tilata kieltää, sallia
Kieltävät kaikki
Salli osoitteesta zz.zz.zz.zz

Yllä olevassa koodissa sinun on yksinkertaisesti korvattava “zz.zz.zz.zz” omilla IP-osoitteiden sarjoillasi eri sijainteja tai laitteita varten.

Jos et käsittele staattisia IP-osoitteita, tämä menetelmä ei ehkä toimi sinulle. Tällaisissa tapauksissa voit käyttää yllä kuvattuja laajennuksia kirjautumisyritysten rajoittamiseen.

WordPress-suojauslaajennukset sivustosi haittaohjelmien havaitsemiseksi

Jos hakkeri hyökkää sivustoosi, se auttaa rajoittamaan vaurioita tai ryhtymään ajoissa toimiin, jos opit siitä heti. Katsotaanpa joitain tärkeimmistä WordPress-tietoturvalaajennuksista, jotka voivat havaita verkkosivustoosi lisätyn haittaohjelman.

WP AntiVirus -sivuston suojaus

Tämä suosittu laajennus, jonka tarjoaa SiteGuarding.com, auttaa tunnistamaan ja poistamaan WordPress-sivustolta löytyneet haitalliset virukset tai koodit. Se skannaa kohteita, kuten laajennustiedostoja, tematiedostoja ja kaikkia latauksia, jotta voidaan nopeasti havaita tietoturvauhat, mukaan lukien takaovet, mainosohjelmat, vakoiluohjelmat, juurikomplektit, madot, troijalaiset ja petosvälineet..

Jos lataat jatkuvasti teemoja ja laajennuksia torrent-sivustoilta (sen sijaan, että ostaisit alkuperäisiä kopioita kehittäjiltä), sinun on oltava tämän tyyppinen laajennus turvallisuuden parantamiseksi.

Wordfence-suojaus

Tämä laajennus tarjoaa ilmaisen yritystason tietoturvan suojaamalla sivustosi haittaohjelmilta ja mahdollisilta hakkeroilta. Se tarkistaa, onko sivustollasi jo tartunta, ja tarkistaa sivustosi lähdekoodin syvällä palvelinpuolella.
Se vertaa koodia laajennusten, ytimien ja teemojen viralliseen WordPress-arkistoon. Se ei vain suojaa verkkosivustoasi useimmilta uhilta, mutta tekee myös verkkosivustosi 50 kertaa nopeammaksi kuin ennen.

Wordfence mahdollistaa myös tunnettujen hyökkääjien reaaliaikaisen estämisen. Tämä tarkoittaa, että jos hakkeri hyökkää tätä laajennusta toiseen sivustoon, myös hakkeri estyy automaattisesti sivustoltasi.

Se voi estää koko haitallisten IP-osoitteiden verkon, kun on olemassa vaara, että haitalliset koodit lisätään sivustoosi. Se auttaa estämään uhat myös kaavinta, indeksointirobotit ja robotit, jotka on tunnistettu turvatarkastuksissa. Se etsii myös troijalaisia, epäilyttävää koodia, takaovia, phishing-URL-osoitteita, haittaohjelmia, HeartBleed-haavoittuvuutta ja niin edelleen.

Jos olet premium-käyttäjä, voit myös estää maita ja voit ajoittaa skannaukset usein tiettyihin ajanjaksoihin.

Hyödynnä skanneri

Exploit Scanner on aina etsimässä jotain epäilyttävää WordPress-sivustosi tiedostoissa ja tietokannassa, mukaan lukien viestit ja kommenttitaulukot.

Se tarkistaa myös käyttämäsi laajennukset mahdollisten harhaanjohtavien tai epätavallisten tiedostojen nimien varalta. Jos se löytää haitallista koodia tai tiedostoa, tämä laajennus toimittaa yksityiskohtaisen raportin sivuston järjestelmänvalvojalle ja jättää sen vastuulle haittaohjelman poistamisen..

Sucuri-turvallisuus

Tämä on kattava tietoturvatyökalu, jota voidaan käyttää haittaohjelmien havaitsemiseen, tietoturvan kovettumiseen ja suojauksen eheyden valvontaan. Se on suuri tuki nykyisen sivustosi suojausominaisuuksille.

Joitakin tämän laajennuksen tärkeimpiä toimintoja ovat tiedostojen eheyden seuranta, mustan listan seuranta, tietoturvatoimintojen tarkastus, haittaohjelmien etätestaus, tietoturvan karkaisu ja hakkeroinnin jälkeiset turvatoimet, tietoturva-ilmoitukset ja verkkosivuston palomuuri.

Kuinka skannata WordPress-sivusto piilotettuja haittaohjelmia varten?

Koska WordPress on avoimen lähdekoodin alusta, se on helposti altis haittaohjelmainfektioille tai hakkereiden tekemille injektioille. Jotkut yleisimmät tavat, joilla hakkerit voivat levittää haittaohjelmia sivustoosi, sisältävät seuraavat:

  • Pharma Hacks (roskapostin lisäykset tietokantaan tai tiedostoihin)
  • Tietokalastelu (arkaluontoisten tietojen, kuten sähköpostiosoitteiden, salasanojen ja käyttäjänimien, hankkiminen)
  • Haitalliset uudelleenohjaukset (sivustosi kävijöiden ohjaaminen toiselle sivustosivulle, jolla on ladattu tartunnan saanut tiedosto tai haittaohjelma)
  • Tiedostojen ja tietokantojen injektiot (haitallisen koodin lisäys sivustosi tietokantaan tai tiedostoihin)
  • Takaovi (pääsy järjestelmänvalvojan alueelle tai FTP-tilille)
  • Kaikki hakkerit haluavat varmistaa, että sivuston omistaja ei oppia tunkeutuneen hänen sivustoonsa. Tämän avulla hakkerit voivat tartuttaa sivuston kävijöitä jatkuvan roskapostin avulla pidemmän ajan.

Joten tavoitteesi on jatkaa etsimääsi piilotettuja haittaohjelmia sivustollasi, joista et tiedä, ja päästä eroon tartunnan saaneista tiedostoista tai kansioista.

Voit tehdä tämän käyttämällä suosittuja haittaohjelmien tarkistuksia, kuten alla lueteltuja WordPress-laajennuksia:

Käytä Sucuri SiteCheck -skanneri etsiäksesi mahdollisia haittaohjelmia. Mene vain sivustolle tässä ja kirjoita verkkosivustosi URL-osoite. Tämä ilmainen skanneri tarkistaa sivustosi kattavasti haittaohjelmien, verkkosivustovirheiden, mustan listan tilan ja vanhentuneiden ohjelmistojen varalta.

Ainoa haittapuoli on, että tämä skannaus on suoritettava manuaalisesti ilmaisen version kanssa. Voit päivittää premium-suunnitelmiin ja saada hälytyksiä Twitterin, sähköpostin tai RSS: n kautta aina, kun se havaitsee haittaohjelman.

Poista verkkosivustosi mustista luetteloista, jos hakkeri on käyttänyt palvelintasi roskapostiksi pitkään. Palkkiopalvelut auttavat myös haittaohjelmien poistamisessa. Voit jopa kokeilla aiemmin keskusteltua Sucuri-tietoturvalaajennusta parantaaksesi haittaohjelmien suojausta.

Käytä Haittaohjelmien torjunta etsiä haittaohjelmia, viruksia, takaovia ja vastaavia tunnettuja uhkia sekä poistaa ne automaattisesti. Tämän laajennuksen tärkein ominaisuus on korjata wp-login.php -sivu lopettaaksesi raa’at hyökkäykset.

Lisäksi voit käyttää mitä tahansa yllä selostettuja WordPress-suojauslaajennuksia haittakoodin tunnistamiseen.

Verkkosivuston suojauksen testaustyökalut

Suojataksesi verkkosivustosi hyökkäyksiltä, ​​sinun on jatkuvasti testattava sivustosi suojaustaso testaamalla tiettyjä testaustyökaluja, kuten:

Kanadanhirvi havaitsee haavoittuvuuksia (tiedostojen paljastaminen, tietokannan injektio, sivustojenvälisten komentosarjojen injektio, heikot .htaccess-kokoonpanot ja paljon muuta) verkkosivustollasi. Tämä työkalu käyttää mustaa laatikkoa -lähestymistapaa.

Tämä tarkoittaa, että se ei tutki sovelluksen lähdekoodia, vaan tarkistaa verkkosivuilta lomakkeita ja skriptejä, joihin se voi syöttää tietoja. Se lisää hyötykuormia haavoittuvien skriptien tunnistamiseksi. Se tarjoaa raportteja eri muodoissa, kuten HTML, XML, Text ja JSON.

Google Nogotofail testaa sivuston verkkoliikennettä heikkojen TLS- tai SSL-yhteyksien ja herkän selkeän tekstin liikenteen havaitsemiseksi ja korjaamiseksi eri laitteilla. Voit myös asettaa sen VPN-palvelimeksi tai välityspalvelimeksi tai jopa reitittimeksi.

Voit kokeilla avoimen lähdekoodin skanneria ja testaajaa nimeltä Vega. Tämä GUI-pohjainen alusta on Java-käyttöjärjestelmä ja toimii OS X-, Windows- ja Linux-ympäristöjen kanssa. Se koostuu sieppaamispalvelimesta taktisen tarkastuksen suorittamiseksi ja automatisoidusta skannerista nopeiden testien suorittamiseksi.

Tätä työkalua voidaan käyttää tunnistamaan sivustojen välinen komentosarja (XSS), SQL-injektio ja muut vastaavat haavoittuvuudet.
Toivomme, että nämä WordPress-tietoturvaa koskevat vinkit ja tiedot auttavat sinua parantamaan sivustosi tietoturvaa suuressa määrin.

Oletko jo kokeillut joitain laajennuksia tai menetelmiä, jotka parantavat WordPress-verkkosivustosi tietoturvaa huomattavasti? Ole hyvä ja jaa kokemuksesi ja levitä tietoisuutta verkkosivustojen turvallisuuden tärkeydestä verkostosi keskuudessa.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map