Rokasgrāmata WordPress drošībai

Palielinoties tīmekļa drošības pārkāpumiem, ir ārkārtīgi svarīgi veikt preventīvus pasākumus, lai jūsu vietne būtu aizsargāta no iebrucējiem. Tātad, ja jums ir WordPress vietne, lasiet tālāk. Mēs sniegsim jums vairākus padomus un rīkus, kurus varat izmantot, lai jūsu WordPress vietne būtu droša.


“Tā nevar notikt ar manu vietni!” Šī ir vispārējā doma, kas lielākajai daļai no mums rodas, kad dzirdam, ka hakeris ir pārkāpis vietnes drošību.

Iespējams, persona, kurai ir uzlauzta vietne, uzskata, ka viņam / viņai ir jādara kaut kas šausmīgi nepareizs, lai noplūstu būtiska informācija. Varbūt persona ir pieļāvusi briesmīgu kļūdu, uzskatot savas vietnes drošību par pašsaprotamu.

Var justies droši, izmantojot savai vietnei ļoti populāru CMS un emuāru veidošanas platformu, piemēram, WordPress. Tomēr jums būs labi atzīmēt, ka WordPress milzīgā globālā popularitāte ir viens no galvenajiem iemesliem, kāpēc hakeri mērķē uz vietnēm, kuru pamatā ir šī platforma.

WordPress ir ļoti lietotājam draudzīga platforma, un tas padara to vēl neaizsargātāku pret hakeru un surogātpasta izplatītāju uzbrukumiem. Jau no paša sākuma jums vajadzētu padarīt drošību par jūsu vietnes galveno prioritāti, kā arī mitināšanu un Web dizainu.

Šeit ir padziļināts pētījums par dažādiem pasākumiem, kas jāveic, lai uzlabotu jūsu WordPress vietnes drošību. Mēs apskatīsim arī galvenos padomus, kā aizsargāt vietni WordPress, top WordPress drošības spraudņus un testēšanas rīkus..

Jums jāsaprot, ka neviena vietne nekad nevar būt 100% droša un pat šeit kopīgotā informācija nepadara jūsu vietni pilnīgi drošu. Galīgais mērķis ir palīdzēt jums veikt visus nepieciešamos piesardzības pasākumus, lai jūsu WordPress vietne būtu aizsargāta pret lielāko daļu uzbrukumu.

Tīmekļa drošības pamati

Jums var šķist, ka ir maz ticams, ka jūsu vietne nākotnē tiks uzlauzta, jo tā iepriekš nekad nav saskārusies ar drošības problēmām saistībā ar ļaunprātīgu programmatūru, ļaunprātīgu kodu vai pat ar surogātpastu komentāriem.

Tomēr viena no pamata lietām, kas jāatceras par tīmekļa drošību, ir tā, ka jums jāpaliek aktīvam un nevis reaģējošam. Tas nozīmē, ka jums jau pašā sākumā jāveic daži piesardzības pasākumi, nevis jātic, ka kāds nevar uzlauzt jūsu vietni, un jācenšas uzlabot tā drošību.

Pirms pārejat pie WordPress drošības soļiem, jums arī jāsaprot, cik svarīgi ir nodrošināt šo drošību.

Jūsu vietni apmeklē daudz cilvēku. Daži no viņiem var abonēt jūsu vietnes biļetenus, un citi var reģistrēties kā jūsu vietnes forumu dalībnieki. Apmeklētāju kopīgotie dati ir arī neaizsargāti pret uzbrukumiem, ja jūsu vietne tiek uzlauzta. Tātad, jūsu pienākums ir nodrošināt jūsu vietnes datu drošību, kas, savukārt, aizsargās jūsu apmeklētāju datus.

Ja jūsu WordPress vietne piesaista nelielu trafiku, jūs varat apgalvot, ka hakerim nav iemesla uzbrukt jūsu vietnei, kad tiešsaistē ir pieejamas tūkstošiem citu populārāku vietņu. Ja tas tā ir, tad, iespējams, jums ir laiks saprast iemeslus, kāpēc hakeris var mēģināt pārkāpt jūsu vietni.

Hakeri neuztraucas, vai jūsu vietne piesaista tikai dažus apmeklētājus, jo, tiklīdz viņi iegūst piekļuvi jūsu vietnei, viņi var izmantot jūsu serveri, lai nosūtītu surogātpastu. Viņi to dara, lai palīdzētu pārdot savus pakalpojumus, produktus vai vietnes.
Palielinoties šāda veida surogātpastu izplatīšanai no jūsu uzlauztā servera, ievērojami palielinās jūsu IP adreses iekļūšanas melnajā sarakstā iespējas. Alternatīvi, hakeri var dot priekšroku izmantot jūsu serveri savām tīmekļa vietnes darbībām, jo ​​viņu IP adreses jau ir iekļautas melnajā sarakstā.

Neatkarīgi no uzlaušanas iemesliem, jums ir arī jāsaprot dažādi veidi, kā hakeris vai surogātpasta izplatītājs var uzbrukt jūsu vietnei. Tas palīdzēs jums plānot savas vietnes aktivitātes tā, lai jūsu vietne būtu mazāka neaizsargāti pret drošības draudiem.

Viņi var uzbrukt, izmantojot jebkuru WordPress spraudni vai motīvu. Faktiski ir gadījumi, kad problēmas ar drošības spraudni ir ļāvušas hakeriem uzbrukt vietnei, kurā izmantots spraudnis. Arī hakeri var izmantot visas jūsu hostinga platformas drošības ievainojamības un izmantot jebkuru URL parametru, lai piekļūtu datu bāzei.

Tādā veidā viņi var modificēt jūsu datus, mainīt paroli vai pat izdzēst datus. Pārsteidzoši ir zināt, ka daudzi uzbrukumi notiek pat vājas paroles dēļ, lai piekļūtu WordPress administratora panelim vai pat piekļuvei mitināšanas vadības panelim..

Izstrādājis pamatzināšanu par nepieciešamību nodrošināt savas WordPress vietnes drošību, tagad varat lasīt tālāk, lai uzzinātu par veidiem, kā palielināt savas vietnes drošību.

9 drošības padomi, lai aizsargātu jūsu WordPress vietni no hakeriem

Atjauniniet savu WordPress vietni

Ja jūs aizkavējat savas WordPress vietnes atjaunināšanu, jo baidāties, ka nepareizas atjaunināšanas dēļ zaudēsit datus, jums nekavējoties jāsāk dublēt. Kad esat izveidojis savas vietnes dublējumu, varat viegli turpināt darbu un atjaunināt WordPress versiju uz jaunāko. Tas jādara, jo WP novērš iepriekšējās versijas drošības kļūdas ar katru jauno versiju, kas kļūst pieejama.

Arī informācija, ko WordPress informē sabiedrību par šiem labojumiem, kas jūsu novecojušo vietni padara vēl neaizsargātāku. Tāpēc padariet par ieradumu regulāri izmantot opciju “Pieejams atjauninājums”, kad esat pieteicies savā WordPress administratora informācijas panelī.

Atjauniniet izmantotās motīvus un spraudņus un izdzēsiet neizmantotos

Jums ir jāsaglabā WordPress spraudņi un motīvi, kas atjaunināti to pašu iemeslu dēļ, jums ir jāatjaunina kopējā WordPress versija. Hakeris var viegli manipulēt ar novecojušu spraudni vai tēmu (caur drošības caurumiem), lai piekļūtu jūsu vietnes administratoram.

Tāpēc neuztraucieties par spraudņa saderību ar pašreizējo motīvu, bet pārliecinieties, ka vienmēr izmantojat abu šo ierīču jaunākās versijas.

Līdzīgi, pārliecinieties, vai WordPress administratora informācijas panelī esošajā spraudņu sadaļā ir tikai tie spraudņi, kurus izmantojat. Izdzēsiet tos, kurus nelietojat, jo jums ir mazāka iespēja atjaunināt šādus spraudņus, un tas atkal palielina viņu neaizsargātību pret drošības uzbrukumiem.

Lūdzu, ņemiet vērā, ka ir svarīgi “izdzēst” neizmantotos spraudņus, nevis tikai tos “deaktivizēt”.

Izvairieties no motīvu vai spraudņu lejupielādes no nezināmiem avotiem

Jums var rasties kārdinājums bez maksas lejupielādēt dažus premium spraudņus vai motīvus, pat ja tie ir no nezināmiem avotiem.

Lai arī jūs varat justies saviļņoti par to, ka uzlabotas funkcijas tiek iegūtas bez maksas, tomēr varat aizmirst pievērst uzmanību drošības draudiem, ko šīs funkcijas var radīt. Spraudnis no nezināma avota var ieviest ļaunprātīgu programmatūru vai ievietot ļaunprātīgu kodu jūsu vietnē. Tā vietā, lai uzņemtos tik lielu risku, vienmēr ieteicams lejupielādēt motīvus un spraudņus tikai no labi zināmiem avotiem.

Lai pārbaudītu attiecīgi spraudņu un motīvu kodu, varat izmantot spraudņu pārbaudi vai motīvu pārbaudi. Vāji uzrakstīts kods var atvieglot hakeru piekļuvi jūsu vietnei.

Ja neesat pilnīgi pārliecināts par avotu un nezināt, kā pārbaudīt koda kvalitāti, varat vienkārši izvēlēties bezmaksas WordPress dizainus no WordPress.org platformas..

Ir spēcīgs WordPress administratora lietotājvārds un parole

Lai izveidotu savu vietni, izmantojot WordPress platformu, jūs iegūstat piekļuvi aizmugurējā paneļa panelim. Pēc noklusējuma WP ģenerē lietotājvārdu (admin) un spēcīgu paroli, lai jūs varētu pieteikties šajā administratora informācijas panelī WordPress instalēšanas laikā. Bet pēc instalēšanas jums jāmaina WordPress administratora lietotājvārds uz kaut ko tādu, kas jums ir unikāls.

Vienlaikus jums ir jāatceras, ka jāmaina parole uz kaut ko tādu, ko nezina apkārtējie cilvēki vai vietnes apmeklētāji. Piemēram, ja jūsu vietnē tiek parādīts jūsu dzimšanas datums vai jūsu laulātā vārds, pārliecinieties, vai parolē nav neviena no tiem. Tas jebkuram hakerim padara grūtu uzminēt jūsu paroli. Jums vajadzētu arī saglabāt drošu paroli savam vadības paneļa kontam.

Turklāt, lai vēl vairāk uzlabotu vietnes drošību, varat mēģināt pievienot CAPTCHA savai WordPress pieteikšanās lapai. Tas nodrošinās, ka robots vai skripts nevar piekļūt jūsu vietnei, izmantojot brutālu spēku uzbrukumu.

Pievienojiet divpakāpju WordPress drošības autentifikāciju

Cik paroles es uzturēšu un regulāri atjaunināšu? Jums var rasties jautājums par spēcīgu paroļu saglabāšanu dažādiem ieejas punktiem WordPress panelī vai vadības panelī.

Jūs varat baudīt pieteikšanos bez paroles savā WordPress panelī, izmantojot kaut ko līdzīgu Clef divu faktoru autentifikācijas spraudnis. Izmantojot šo spraudni, jūs varat izmantot savu mobilo tālruni, lai autentificētu savu drošo pieteikšanos WordPress administratora informācijas panelī kopā ar PIN vai pirkstu nospiedumu. Pat ja tālrunis tiek pazaudēts, Clef konta informācija tiek saglabāta droša.

Varat arī izmantot Google autentifikators lai nodrošinātu divpakāpju autentifikāciju. Izmantojot to, jums ir jāizmanto parole, kā arī jāievada unikāli izveidots pieteikšanās kods, kas tiek nosūtīts kā īsziņa uz jūsu tālruni.

Meklējiet drošu mitināšanas uzņēmumu

Ja jums ir jaunākā WordPress vietnes versija, nav nozīmes tam, vai hakeris var uzlauzt platformas, kas mitina jūsu vietni, veco PHP versiju. Tātad jums jāizmanto ārkārtīgi uzticama tīmekļa mitināšanas pakalpojumu sniedzēja hostinga pakalpojumi.

Jūsu resursdatoram vajadzētu būt iespējai paplašināt atbalstu jaunākajām MySQL un PHP versijām. Tam vajadzētu būt arī efektīvai ielaušanās atklāšanas sistēmai, lai savlaicīgi identificētu visus uzbrukumus, un jūsu vietnei jāpiedāvā tīmekļa lietojumprogrammu ugunsmūris, lai uzlabotu drošību.

Ierobežojiet pieteikšanās mēģinājumu skaitu

Hakeri izmanto brutālu spēku uzbrukumus, lai uzlauztu paroli, kuru izmantojat, lai pieteiktos savā WordPress panelī. Viņi nepārtraukti izmēģina izlases pieteikšanās mēģinājumus, līdz tie gūst panākumus.

Pat ja jūsu parole ir spēcīga, tas palīdz identificēt tik nepamatotus pieteikšanās mēģinājumus un ierobežo IP adreses, kas šos mēģinājumus veic. Pēc tam jūs varat uz noteiktu laiku aizliegt šādas IP adreses. To var izdarīt, izmantojot spraudņus, piemēram Pieteikšanās bloķēšana vai Pieteikšanās drošības risinājums.

Ieplānojiet biežas jūsu vietnes dublējumkopijas

Šis ir svarīgs solis, jo tas jums pat palīdz, ja kāds uzlauž vai apdraud jūsu vietni. Kad kāds uzlauž jūsu vietni, jūs varat viegli atgriezties iepriekšējā vietnes versijā, kas nebija apdraudēta. Varat arī izmantot jebkuru no automatizētajiem risinājumiem dublēšanai, piemēram, VaultPress vai BackUpBuddy.

Nodrošiniet savu WordPress Admin vietu labi aizsargātu

Tikai noteiktam cilvēku skaitam ir jābūt piekļuvei jūsu administratora informācijas panelim. Cik iespējams, mēģiniet ierobežot atļauju tikai tiem, kas piekļūst jūsu informācijas panelim. Tas palīdzēs jums samazināt uzbrukumus no nezināmiem avotiem.
Jums jāpārliecinās arī par to, vai citiem ir ierobežota piekļuve WordPress / wp-admin / mapei vai failam wp-login.php vai tai nav piekļuves. Jūs varat atļaut piekļuvi savai IP adresei .htaccess failā pievienojot šādu koda daļu:

pasūtījums noliegt, atļaut
No visiem noliegt
Atļaut no vietnes zz.zz.zz.zz

Iepriekš minētajā kodā jums vienkārši jāaizstāj “zz.zz.zz.zz” ar savu IP adreses komplektu dažādām atrašanās vietām vai ierīcēm..

Ja jūs nenodarbojaties ar statiskām IP adresēm, šī metode, iespējams, jums nedarbosies. Šādos gadījumos pieteikšanās mēģinājumu ierobežošanai varat izmantot iepriekš aprakstītos spraudņus.

WordPress drošības spraudņi, lai jūsu vietnē atklātu ļaunprātīgu kodu

Ja hakeris uzbrūk jūsu vietnei, tas palīdzēs ierobežot kaitējumu vai laikus rīkoties, ja par to uzzināsit nekavējoties. Apskatīsim dažus no labākajiem WordPress drošības spraudņiem, kas var atklāt jūsu vietnē ievietotu ļaunprātīgu kodu.

WP AntiVirus vietņu aizsardzība

Šis populārais spraudnis, ko piedāvā vietne SiteGuarding.com, palīdz atklāt un noņemt visus ļaunprātīgos vīrusus vai kodus, kas atrodami jūsu WordPress vietnē. Tas skenē tādus vienumus kā spraudņu faili, motīvu faili un visas augšupielādes, lai ātri noteiktu drošības draudus, ieskaitot aizmugurējās durvis, reklāmprogrammatūru, spiegprogrammatūru, sakņu komplektus, tārpus, Trojas zirgus un krāpšanas rīkus..

Ja jūs pastāvīgi lejupielādējat motīvus un spraudņus no torrent vietnēm (tā vietā, lai iegādātos oriģinālus no izstrādātājiem), tad labākai drošībai jums ir jābūt šāda veida spraudnim..

Wordfence drošība

Šis spraudnis piedāvā bezmaksas, uzņēmuma klases drošību, aizsargājot jūsu vietni no ļaunprātīgas programmatūras, kā arī iespējamiem hakeriem. Tā pārbauda, ​​vai jūsu vietnē jau nav infekcijas, un veic vietnes avota koda dziļu servera skenēšanu.
Tas salīdzina kodu ar spraudņu, kodolu un motīvu oficiālo WordPress krātuvi. Tas ne tikai aizsargā jūsu vietni pret lielāko daļu draudu, bet arī padara jūsu vietni 50 reizes ātrāku nekā iepriekš.

Wordfence arī ļauj reāllaikā bloķēt zināmos uzbrucējus. Tas nozīmē, ka, ja hakeris uzbrūk šim spraudnim citā vietnē, tas arī automātiski tiek bloķēts no jūsu vietnes.

Tas var bloķēt visu ļaunprātīgu IP adrešu tīklu, ja pastāv draudi, ka jūsu vietnē tiks ievietoti ļaunprātīgi kodi. Tas arī palīdz bloķēt draudus skrāpju, robotu un robotu veidā, kas identificēti drošības skenēšanas laikā. Tas arī skenē Trojas zirgus, aizdomīgu kodu, aizmugures durvis, pikšķerēšanas URL, ļaunprātīgu programmatūru, HeartBleed ievainojamību utt..

Ja esat premium klases lietotājs, varat arī bloķēt valstis un bieži plānojat skenēšanu uz noteiktiem periodiem.

Izmantojiet skeneri

Izmantojiet skeneri vienmēr meklē kaut ko aizdomīgu jūsu WordPress vietnes failos un datu bāzē, ieskaitot ziņas un komentāru tabulas.

Tas arī skenē jūsu izmantotos spraudņus, lai atrastu maldinošus vai neparastus failu nosaukumus. Ja tajā tiek atrasts ļaunprātīgs kods vai fails, šis spraudnis sniedz detalizētu ziņojumu vietnes administratoram un ļauj viņam noņemt kaitīgo kodu..

Sucuri drošība

Šī ir visaptveroša drošības instrumentu kopa, kas paredzēta ļaunprātīgas programmatūras atklāšanai, drošības sacietēšanai un drošības integritātes uzraudzībai. Tas lieliski atbalsta jūsu esošās vietnes drošības funkcijas.

Dažas šī spraudņa funkcijas ietver failu integritātes uzraudzību, melnā saraksta uzraudzību, drošības darbību auditu, attālu ļaunprātīgas programmatūras skenēšanu, drošības pastiprināšanu un drošības darbības, kas veiktas pēc uzlaušanas, drošības paziņojumus un vietnes ugunsmūri..

Kā skenēt savu WordPress vietni slēptai ļaunprogrammatūrai?

Tā kā WordPress ir atvērtā koda platforma, tā ir viegli uzņēmīga pret ļaunprātīgas programmatūras infekcijām vai hakeru veiktajām injekcijām. Daži no izplatītākajiem veidiem, kā hakeri var jūsu vietnē ievadīt ļaunprātīgu programmatūru, ir šādi:

  • Pharma Hacks (surogātpasta injekcijas jūsu datu bāzē vai failos)
  • Pikšķerēšana (sensitīvas informācijas, piemēram, e-pasta adrešu, paroļu un lietotājvārdu, iegūšana)
  • Ļaunprātīga novirzīšana (jūsu vietnes apmeklētāju novirzīšana uz citu vietnes lapu, kur ir lejupielādēts inficēts fails vai ļaunprātīgs kods)
  • Failu un datu bāzu injekcijas (ļaunprātīga koda pievienošana jūsu vietnes datu bāzē vai failos)
  • Aizmugures durvis (piekļuves iegūšana administratora zonai vai FTP kontam)
  • Visi hakeri vēlas pārliecināties, ka vietnes īpašnieks nemācās, ka viņi uzlauzuši viņa vietni. Tas ļauj hakeriem inficēt vietnes apmeklētājus, ilgstoši izmantojot surogātpastu.

Tātad, jūsu mērķis ir turpināt meklēt slēptu ļaunprātīgu programmatūru jūsu vietnē, par kuru jūs nezināt, un atbrīvoties no inficētajiem failiem vai mapēm.

To var izdarīt, izmantojot populāros ļaunprātīgas programmatūras skenēšanas WordPress spraudņus, piemēram, tālāk minētos.

Izmantojiet Sucuri SiteCheck skeneris lai meklētu iespējamo ļaunprogrammatūru. Vienkārši dodieties uz vietni šeit un ievadiet savas vietnes URL. Šis bezmaksas skeneris veiks jūsu vietnes visaptverošu skenēšanu ar ļaunprātīgu programmatūru, vietņu kļūdām, melnā saraksta statusu un novecojušu programmatūru.

Vienīgais trūkums ir tas, ka šī skenēšana jāveic manuāli, izmantojot bezmaksas versiju. Varat jaunināt uz premium plāniem un saņemt brīdinājumus, izmantojot Twitter, e-pastu vai RSS, ja vien tas atklāj ļaunprātīgu programmatūru.

Noņemiet savu vietni no melnajiem sarakstiem, ja hakeris ilgu laiku ir izmantojis jūsu serveri surogātpastā. Papildu pakalpojumi arī palīdz noņemt ļaunprātīgu programmatūru. Jūs pat varat izmēģināt iepriekš apspriesto Sucuri drošības spraudni, lai uzlabotu aizsardzību pret ļaunprātīgu programmatūru.

Izmantojiet Anti-ļaundabīgo programmu skeneris meklēt ļaunprātīgu programmatūru, vīrusus, aizmugures durvis un līdzīgus zināmus draudus, kā arī tos automātiski noņemt. Šī spraudņa galvenā papildu iezīme ir sava wp-login.php lapas ielāgošana, lai apturētu brutālu spēku uzbrukumus.

Ļaunprātīga koda identificēšanai varat izmantot arī jebkuru no iepriekš apskatītajiem WordPress drošības spraudņiem.

Vietnes drošības pārbaudes rīki

Lai aizsargātu savu vietni no uzbrukumiem, jums pastāvīgi jāpārbauda vietnes drošības līmenis, izmantojot noteiktus pārbaudes rīkus, piemēram:

Wapiti jūsu vietnē atrod nepilnības (failu publiskošana, datu bāzes ievadīšana, vietņu skriptu injekcija, vājas .htaccess konfigurācijas un daudz kas cits). Šis rīks izmanto melnās kastes skenēšanas pieeju.

Tas nozīmē, ka tas nemācās lietojumprogrammas avota kodu, bet pārbauda, ​​vai Web lapās nav veidlapu un skriptu, kur var ievadīt datus. Tas ievada kravas, lai identificētu neaizsargātus skriptus. Tas nodrošina pārskatus dažādos formātos, piemēram, HTML, XML, Text un JSON.

Google Nogotofail pārbauda vietnes tīkla trafiku, lai dažādās ierīcēs atklātu un labotu vāju TLS vai SSL savienojumu un sensitīvu teksta satiksmi. Varat to iestatīt arī kā VPN serveri vai starpniekserveri vai pat maršrutētāju.

Varat izmēģināt nosauktā atvērtā koda skeneri un testētāju Vega. Šī uz GUI balstītā platforma atrodas Java un darbojas ar OS X, Windows un Linux platformām. Tas sastāv no pārtveršanas starpnieka, lai veiktu taktisko pārbaudi, un automatizēta skenera, lai veiktu ātrus testus.

Šo rīku var izmantot, lai identificētu vietņu skriptus (XSS), SQL injekcijas un līdzīgas ievainojamības.
Mēs ceram, ka šie padomi un informācija par WordPress drošību jums lielā mērā palīdzēs uzlabot vietnes drošību.

Vai esat jau izmēģinājis dažus spraudņus vai metodes, kas ievērojami uzlabo jūsu WordPress vietnes drošību? Lūdzu, dalieties savā pieredzē un turpiniet izplatīt izpratni par vietņu drošības nozīmi savā tīklā.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map