Priročnik za varnost WordPress-a

Z naraščanjem kršitev spletne varnosti je najpomembnejše preventivne ukrepe za zaščito vašega spletnega mesta pred vsiljivci. Če imate spletno mesto WordPress, preberite dalje. Zagotovili vam bomo več nasvetov in orodij, ki jih lahko uporabite za varno in varno spletno mesto WordPress.


“Na mojem spletnem mestu se ne more zgoditi!” To je splošna misel, ki jo ima večina od nas, ko slišimo, da je heker kršil varnost spletnega mesta.

Mogoče oseba, ki ima vgrajeno spletno mesto, verjame, da je morala narediti nekaj strašnega narobe, da je puščala življenjske informacije. Mogoče je oseba naredila grozno napako, ker je varnost svojega spletnega mesta sprejela za samoumevno.

Morda se boste počutili varno, če za svoje spletno mesto uporabljate zelo priljubljeno platformo CMS in bloganje, kot je WordPress. Vendar boste dobro ugotovili, da je ogromna svetovna priljubljenost WordPressa eden glavnih razlogov, zakaj hekerji ciljajo na spletna mesta na tej platformi.

WordPress je zelo uporabniku prijazna platforma, zaradi česar je še bolj ranljiv za napade hekerjev in neželene pošte. Že od samega začetka bi morali biti varnostna prednostna naloga vašega spletnega mesta, skupaj z gostovanjem in spletnim oblikovanjem.

Tu je poglobljena študija o različnih ukrepih, ki jih morate sprejeti za izboljšanje varnosti svojega spletnega mesta WordPress. Ogledali si bomo tudi zgornje nasvete za zaščito spletnega mesta WordPress, zgornje varnostne vtičnike WordPress in orodja za testiranje.

Zavedati se morate, da nobeno spletno mesto nikoli ne more biti stoodstotno varno in tudi tukaj objavljene informacije ne bodo naredile vaše spletne strani popolnoma varne. Končni cilj je pomagati pri sprejemanju vseh potrebnih varnostnih ukrepov, da bo vaše spletno mesto WordPress zaščiteno pred večino napadov.

Osnove spletne varnosti

Morda mislite, da je zelo malo verjetno, da bi se vaše spletno mesto v prihodnosti vdrlo, ker se v preteklosti ni nikoli soočilo z varnostnimi težavami v zvezi z zlonamerno programsko opremo, zlonamerno kodo ali celo neželenimi komentarji.

Toda ena od najbolj osnovnih stvari, ki si jo je treba zapomniti o spletni varnosti, je, da morate ostati aktivni in neaktivni. To pomeni, da morate od začetka sprejeti nekaj previdnostnih ukrepov, namesto da verjamete, da nekdo ne more vdreti v vaše spletno mesto, in si prizadevati za izboljšanje njegove varnosti.

Preden stopite na korake za varnost WordPressa, se morate zavedati, kako pomembna je ta varnost.

Veliko ljudi obišče vaše spletno mesto. Nekateri se lahko naročijo na glasila vašega spletnega mesta, nekateri pa se lahko registrirajo kot člani forumov spletnega mesta. Podatki, ki jih delijo vaši obiskovalci, so tudi ranljivi za napade, če se vaše spletno mesto zlomi. Vaša odgovornost je, da zagotovite varnost podatkov svojega spletnega mesta, kar bo posledično zaščitilo podatke vaših obiskovalcev.

Če vaše spletno mesto WordPress pritegne malo prometa, lahko trdite, da ni razloga, da bi heker napadel vaše spletno mesto, ko je na spletu na tisoče drugih bolj priljubljenih spletnih mest. Če je temu tako, je verjetno čas, da razumete razloge, zakaj lahko heker poskusi prekršiti vaše spletno mesto.

Hekerjev ne skrbi, ali vaše spletno mesto privablja le nekaj obiskovalcev, saj lahko, ko dobijo dostop do vašega spletnega mesta, uporabijo vaš strežnik za pošiljanje neželene e-pošte. To jim pomagajo pri trženju svojih storitev, izdelkov ali spletnih mest.
S povečanjem te vrste neželene vsebine s vašega vloženega strežnika se možnosti za naslov IP na črni seznam izjemno povečajo. Hekerji lahko vaš strežnik raje uporabljajo za lastne dejavnosti spletnega mesta, ker so njihovi naslovi IP že na črnem seznamu.

Poleg tega, da se zavedate razlogov za kramp, morate razumeti tudi različne načine, kako lahko heker ali neželena pošta napade vaše spletno mesto. To bo še naprej pomagalo pri načrtovanju dejavnosti spletnega mesta tako, da bo vaše spletno mesto manj ranljivi za varnostne grožnje.

Napadajo lahko prek katerega koli WordPress vtičnika ali teme. Dejansko obstajajo primeri, ko so težave z varnostnim vtičnikom hekerjem omogočile napad na spletno mesto, ki je vtičnik uporabljalo. Prav tako lahko hekerji izkoristijo vsako varnostno šibkost na svoji platformi gostovanja in uporabijo kateri koli parameter URL za dostop do vaše baze podatkov.

Na ta način lahko spremenijo vaše podatke, spremenijo geslo ali celo izbrišejo podatke. Presenetljivo je vedeti, da se veliko napadov zgodi celo zaradi šibkega gesla za dostop do skrbniške plošče WordPress ali celo za dostop do nadzorne plošče gostovanja.

Ko ste razvili osnovno razumevanje potrebe po varovanju svojega spletnega mesta WordPress, lahko zdaj preberete več, če želite izvedeti, kako povečati varnost svojega spletnega mesta..

9 varnostnih nasvetov za zaščito spletnega mesta WordPress pred hekerji

Posodobite spletno mesto WordPress

Če nenehno odlašate s posodabljanjem spletnega mesta WordPress, ker se bojite, da boste izgubili podatke zaradi napačne posodobitve, morate takoj začeti z varnostnimi kopijami. Ko naredite varnostno kopijo spletnega mesta, lahko preprosto nadaljujete in posodobite svojo različico WordPress na najnovejšo. To morate storiti, ker WP odpravi varnostne napake prejšnje različice z vsako novo različico, ki postane na voljo.

Prav tako informacije WordPress obveščajo javnost o teh popravkih, zaradi česar je vaše zastarelo spletno mesto še bolj ranljivo. Torej naj bo navada, ko se enkrat prijavite na nadzorno nadzorno ploščo skrbnika WordPress, uporabljajte možnost »Posodobitev na voljo«.

Posodobite teme in vtičnike, ki jih uporabljate in izbrišite neuporabljene

Obdržati morate svoje WordPress vtičniki in teme, posodobljene iz istih razlogov, ki jih potrebujete za posodobitev celotne različice WordPress-a. Heker lahko zlahka manipulira z zastarelim vtičnikom ali temo (skozi varnostne luknje) in tako pridobi dostop do skrbnika svojega spletnega mesta.

Torej, ne skrbite za združljivost vtičnika z vašo trenutno temo, vendar morate vedno uporabljati najnovejše različice obeh.

V podobnih vrsticah se prepričajte, da odsek vtičnikov na nadzorni plošči WordPress admin vsebuje samo tiste vtičnike, ki jih uporabljate. Izbrišite tiste, ki jih ne uporabljate, ker je manj verjetno, da boste posodobili take vtičnike, kar spet poveča njihovo ranljivost za varnostne napade.

Upoštevajte, da je pomembno, da neuporabljene vtičnike “izbrišete” in ne samo “deaktivirate”.

Izogibajte se nalaganju tem ali vtičnikov iz neznanih virov

Morda vas bo zamikalo, da bi brezplačno prenesli nekaj premijskih vtičnikov ali tem, tudi če so iz neznanih virov.

Čeprav boste morda navdušeni nad pridobivanjem naprednih funkcij brez stroškov, lahko pozabite, da bodite pozorni na varnostno grožnjo, ki jo lahko prinesejo te funkcije. Vtičnik iz neznanega vira lahko na vaše spletno mesto vnese zlonamerno programsko opremo ali vstavi zlonamerno kodo. Namesto tako velikega tveganja je priporočljivo, da teme in vtičnike nalagate le iz znanih virov.

Če želite preveriti kodo svojih vtičnikov in tem, lahko uporabite programski vtičnik ali preverjanje teme. Slabo napisana koda lahko hekerjem olajša dostop do vašega spletnega mesta.

Če niste povsem prepričani o izvoru in ne veste, kako preveriti kakovost kode, se lahko preprosto odločite za brezplačne WordPress zasnove s platforme WordPress.org.

Imejte močno uporabniško ime in geslo za WordPress Admin

Če želite ustvariti svoje spletno mesto s platformo WordPress, dobite dostop do zadnje plošče. WP privzeto ustvari uporabniško ime (admin) in močno geslo za prijavo na to skrbniško ploščo med namestitvijo WordPress-a. Po namestitvi morate spremeniti svoje skrbniško uporabniško ime za WordPress v nekaj, kar je edinstveno za vas.

Poleg tega morate zapomniti, da geslo spremenite v nekaj, česar ljudje okoli vas ali obiskovalci vašega spletnega mesta ne poznajo. Če na primer vaše spletno mesto razkrije datum rojstva ali ime vašega zakonca, se prepričajte, da tudi vaše geslo ne vsebuje. Zaradi tega je vsak heker lahko ugibal svoje geslo. Prav tako morate ohraniti varno geslo za svoj račun na nadzorni plošči.

Poleg tega lahko poskusite dodati CAPTCHA na svojo stran za prijavo v WordPress, da še povečate varnost svojega spletnega mesta. Tako boste zagotovili, da bot ali skripta ne morejo dobiti dostopa do vašega spletnega mesta z napadom grobe sile.

Dodajte dvostopenjsko preverjanje pristnosti WordPress

Koliko gesel bom redno vzdrževal in posodabljal? Morda imate to vprašanje glede ohranjanja močnih gesel za različne vstopne točke na vašo WordPress ploščo ali nadzorno ploščo.

No, lahko uživate v prijavi brez gesla na svojo WordPress ploščo s pomočjo nekaj podobnega Clef dvofaktorski vtičnik za preverjanje pristnosti. S tem vtičnikom lahko z mobilnim telefonom preverite svojo varno prijavo na nadzorno ploščo skrbnika WordPress skupaj s PIN-om ali prstnim odtisom. Tudi če izgubite telefon, bodo podatki o vašem računu Clef ostali varni.

Lahko pa uporabite Google Authenticator za zagotovitev dvostopenjske avtentikacije. S tem morate uporabiti svoje geslo in vnesti edinstveno ustvarjeno prijavno kodo, ki prihaja kot SMS v vaš telefon.

Poiščite varno podjetje za gostovanje

Če imate najnovejšo različico spletnega mesta WordPress, ne bo pomembno, ali lahko heker pokvari staro PHP verzijo platforme, ki gosti vaše spletno mesto. Torej, morate uporabiti storitve gostovanja izjemno zanesljivega ponudnika spletnega gostovanja.

Vaš gostitelj mora imeti možnost razširitve podpore za najnovejše različice MySQL in PHP. Prav tako bi moral imeti učinkovit sistem za zaznavanje vdorov za pravočasno prepoznavanje napadov in vašemu spletnemu mestu ponuditi požarni zid spletne aplikacije za večjo varnost.

Omeji število poskusov prijave

Hekerji uporabljajo napade silovite sile, da pokvarijo geslo, s katerim se prijavite na svojo WordPress ploščo. Nenehno poskušajo naključne poskuse prijave, dokler jim ne uspe.

Tudi če je vaše geslo močno, vam pomaga prepoznati tako nerazumne količine poskusov prijave in omejiti naslove IP, ki izvajajo te poskuse. Takšne naslove lahko nato za določen čas prepovete. To lahko storite tako, da uporabite vtičnike, kot so Zaklepanje prijave ali Varnostna rešitev za prijavo.

Razporedite pogoste varnostne kopije svojega spletnega mesta

To je pomemben korak, saj vam celo pomaga, ko nekdo krade ali ogroža vaše spletno mesto. Ko nekdo prekine vaše spletno mesto, se lahko preprosto vrnete na prejšnjo različico svojega spletnega mesta, ki ni bila ogrožena. Za varnostno kopiranje lahko uporabite tudi katero koli avtomatizirano rešitev, kot je VaultPress ali BackUpBuddy.

Naj bo vaš WordPress Admin prostor dobro zaščiten

Do izbrane nadzorne plošče mora imeti dostop le izbrano število ljudi. Kadar je le mogoče, poskusite omejiti dovoljenje za tiste, ki dostopajo do vaše nadzorne plošče. Tako boste zmanjšali grožnjo napadov iz neznanih virov.
Poskrbeti morate tudi za to, da imajo drugi omejen dostop do mape WordPress / wp-admin / do wp-login.php ali nimajo dostopa do nje. Dostop do lastnega naslova IP lahko omogočite tako, da v datoteko .htaccess dodate naslednji del kode:

naročilo zanikati, dovoliti
Zavrni od vseh
Dovoli zz.zz.zz.zz

V zgornji kodi morate preprosto zamenjati “zz.zz.zz.zz” z lastnim naborom IP naslovov za različne lokacije ali naprave.

Če se ne ukvarjate s statičnimi naslovi IP, potem ta metoda morda ne bo delovala za vas. V takih primerih lahko za omejitev poskusov prijave uporabite zgoraj omenjene vtičnike.

WordPress Varnostni vtičniki za odkrivanje zlonamerne kode na vašem spletnem mestu

Če heker napada vaše spletno mesto, vam bo pomagal omejiti škodo ali pravočasno ukrepati, če se za to takoj naučite. Poglejmo si torej nekaj najboljših varnostnih vtičnikov WordPress, ki lahko zaznajo zlonamerno kodo, vstavljeno na vaše spletno mesto.

Zaščita strani WP AntiVirus

Ta priljubljeni vtičnik, ki ga ponuja SiteGuarding.com, pomaga odkriti in odstraniti vse zlonamerne viruse ali kodo, ki jo najdete na vašem mestu WordPress. Pregleduje elemente, kot so datoteke vtičnikov, tematske datoteke in vsi prenosi, da hitro zazna varnostne grožnje, vključno z zaledjem, adware, vohunsko programsko opremo, rootkiti, črvi, trojanskimi konji in orodji za prevare.

Če teme in vtičnike nenehno prenašate s hudourniških mest (namesto da bi kupili izvirne kopije od razvijalcev), morate imeti tovrstni vtičnik za boljšo varnost.

Varnost Wordfence

Ta vtičnik ponuja brezplačno varnost v podjetniškem razredu z zaščito vašega spletnega mesta pred zlonamerno programsko opremo in morebitnimi kraji. Preveri, ali je na vašem spletnem mestu že okužena, in na strani strežnika globinsko pregleda izvorno kodo spletnega mesta.
Kodo primerja z uradnim shrambo WordPress za vtičnike, jedra in teme. Ne le da vaši spletni strani ščiti pred večino groženj, ampak tudi naredi 50-krat hitrejšo spletno stran kot prej.

Wordfence omogoča tudi blokiranje znanih napadalcev v realnem času. To pomeni, da če heker napada ta vtičnik na drugem spletnem mestu, se ta heker samodejno blokira tudi z vašega spletnega mesta.

Lahko blokira celotno mrežo zlonamernih IP naslovov, kadar obstaja nevarnost, da se na vaše spletno mesto vstavi zlonamerna koda. Nadalje pomaga blokirati grožnje v obliki strgalnikov, pajkov in botov, ugotovljenih med varnostnimi pregledi. Pregleduje tudi Trojane, sumljivo kodo, zaledje, lažne URL-je, zlonamerno programsko opremo, ranljivost HeartBleed itd..

Če ste premijski uporabnik, lahko blokirate tudi države in pogosto lahko načrtujete skeniranja za določena obdobja.

Izkoristite optični bralnik

Exploit Scanner je vedno v iskanju nečesa sumljivega v datotekah in bazi podatkov vašega spletnega mesta WordPress, vključno z objavami in tabelami komentarjev.

Pregleda tudi vtičnike, ki jih uporabljate, za morebitna zavajajoča ali nenavadna imena datotek. Če najde katero koli zlonamerno kodo ali datoteko, ta vtičnik predloži podrobno poročilo skrbniku spletnega mesta in mu prepusti, da odstrani zlonamerno kodo.

Sucuri Varnost

To je celovit varnostni nabor orodij, ki se uporablja za odkrivanje zlonamerne programske opreme, varnostno utrjevanje in nadzor celovitosti varnosti. Odlična je podpora za varnostne funkcije vašega obstoječega spletnega mesta.

Nekatere ključne funkcije tega vtičnika vključujejo spremljanje integritete datotek, spremljanje črnih seznamov, revizijo varnostnih dejavnosti, oddaljeno skeniranje zlonamerne programske opreme, varnostno utrjevanje in varnostne ukrepe, ki so bili izvedeni po vpadih, varnostna obvestila in požarni zid spletnega mesta.

Kako skenirati svoje WordPress spletno mesto za skrito zlonamerno programsko opremo?

Ker je WordPress odprtokodna platforma, je zlahka dovzetna za okužbe z zlonamerno programsko opremo ali injekcije s strani hekerjev. Nekateri od običajnih načinov, kako lahko hekerji na vaše spletno mesto vbrizgajo zlonamerno programsko opremo, vključujejo naslednje:

  • Pharma Hacks (injekcije neželene pošte v vašo bazo podatkov ali datoteke)
  • Lažno predstavljanje (pridobivanje občutljivih informacij, kot so e-poštni naslovi, gesla in uporabniška imena)
  • Zlonamerne preusmeritve (preusmeritev obiskovalcev vašega spletnega mesta na drugo stran spletnega mesta, kjer je prenesena okužena datoteka ali zlonamerna koda)
  • Injekcije datotek in baz podatkov (dodajanje zlonamerne kode v bazo podatkov ali datotek vašega spletnega mesta)
  • V ozadju (dostop do vašega skrbniškega področja ali FTP računa)
  • Vsi hekerji želijo zagotoviti, da se lastnik spletnega mesta ne bo naučil, da je vdiral v njegovo spletno mesto. To omogoča hekerjem, da daljše obdobje okužijo obiskovalce spletnega mesta z nenehno pošiljanjem neželene pošte.

Vaš cilj je nadaljevati iskanje skrite zlonamerne programske opreme na vašem spletnem mestu, za katero ne veste, in se znebite okuženih datotek ali map.

To lahko storite z uporabo priljubljenih vtičnikov za skeniranje zlonamerne programske opreme za WordPress, kot so spodaj navedeni:

Uporabi Sucuri SiteCheck Scanner za iskanje morebitne zlonamerne programske opreme. Preprosto pojdite na spletno stran tukaj in vnesite URL svojega spletnega mesta. Ta brezplačni optični bralnik bo opravil obsežno pregledovanje vašega spletnega mesta glede zlonamerne programske opreme, napak na spletnem mestu, stanja na črnem seznamu in zastarele programske opreme.

Edina pomanjkljivost je, da morate to optično branje opraviti ročno z brezplačno različico. Nadgradite lahko na premijske načrte in prejemate opozorila prek Twitterja, e-pošte ali RSS-a, kadar koli zazna zlonamerno programsko opremo.

Odstranite svoje spletno mesto s črnih seznamov, če je heker vaš strežnik dlje časa uporabljal za neželeno pošto. Premium storitve pomagajo tudi pri odstranjevanju zlonamerne programske opreme. Če želite izboljšati zaščito pred zlonamerno programsko opremo, lahko preizkusite že omenjeni varnostni vtičnik Sucuri.

Uporabi Optični bralnik iskanje zlonamerne programske opreme, virusov, zaledja in podobnih znanih groženj ter samodejno odstranjevanje. Ključna vrhunska funkcija tega vtičnika je, da prilepite svojo stran wp-login.php, da zaustavite napade silovite sile.

Poleg tega lahko za prepoznavanje zlonamerne kode uporabite kateri koli zgoraj omenjeni varnostni vtičnik WordPress.

Orodja za testiranje varnosti spletnih strani

Za zaščito svojega spletnega mesta pred napadi morate stalno preverjati raven varnosti svojega spletnega mesta z uporabo določenih orodij za testiranje, kot so:

Wapiti na svojem spletnem mestu odkrijejo ranljivosti (razkritje datotek, vbrizgavanje baze podatkov, brizganje skript na več mestih, šibke .htaccess konfiguracije in več). To orodje uporablja pristop skeniranja v črnem okvirju.

To pomeni, da ne proučuje izvorne kode aplikacije, ampak preverja na spletnih straneh obrazce in skripte, kamor lahko vnese podatke. Vbrizga koristne obremenitve, da prepozna skripte, ki so ranljivi. Ponuja poročila v različnih oblikah, kot so HTML, XML, Text in JSON.

Google Nogotofail preizkuša omrežni promet spletnega mesta, da zazna in odpravi šibke povezave TLS ali SSL in občutljiv promet jasnega besedila na različnih napravah. Nastavite jo lahko tudi kot strežnik VPN ali proxy strežnik ali celo usmerjevalnik.

Lahko poskusite z odprtokodnim skenerjem in preizkuševalcem z imenom Vega. Ta platforma, ki temelji na GUI, je v Javi in ​​deluje s platformami OS X, Windows in Linux. Sestavljen je iz prestreznega proxyja za izvajanje taktičnega pregleda in avtomatiziranega optičnega bralnika za izvajanje hitrih testov.

To orodje je mogoče uporabiti za prepoznavanje skriptnih skript (XSS), vbrizgavanje SQL in podobne ranljivosti.
Upamo, da vam bodo ti nasveti in informacije o varnosti WordPressa v veliki meri pomagali izboljšati varnost vašega spletnega mesta.

Ste že preizkusili nekaj vtičnikov ali metod, ki znatno povečajo varnost vašega spletnega mesta WordPress? Delite svoje izkušnje in nenehno širite zavest o pomembnosti varnosti spletnega mesta med vašim omrežjem.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map