WordPress: 10 dobrih praksi u pogledu sigurnosti web lokacija

Linux Post Install

10 minuta

WordPress: 10 najboljih praksi u pogledu sigurnosti

WordPress: 10 najboljih praksi u pogledu sigurnosti

WordPress (WP) poznat je kao najpopularniji CMS, između ostalog, dizajnirani su s naglaskom na pristupačnost, performanse i jednostavnost upotrebe, te su u stalnom razvoju (trenutna verzija 5.2), imaju ogromnu zajednicu korisnika na mnogim jezicima i imaju ogroman kapacitet prilagodbe korištenjem vlastitih ili nezavisnih tema i dodataka.

Takođe zbog toga što ste vrlo sigurni, ali za to se, kao u bilo kojoj aplikaciji ili sistemu, moraju slijediti dobre prakse kako bi se postigla sigurna dugoročna primjena. I u ovom postu želimo dati neke osnovne preporuke u tom pogledu.

Uvod

WP je najpopularniji CMS za izradu web stranica, obično je i česta meta računarskih napada, pa osim stalnog ažuriranja, zahtijeva često održavanje, ažuriranje i sigurnosne postupke para na taj način izbjegavajte slabosti zbog ranjivosti dodataka, slabih lozinki, zastarjelog softvera, među mnogim drugim razlozima, tj. postići uvelike smanjiti vašu ranjivost na bilo koji namjeravani ili nepredviđeni napad.

Pored toga, WP poput bilo kojeg drugog sistema za upravljanje sadržajem (CMS) omogućava vam da brzo i efikasno napravite web stranicu, a zatim je postavite na mrežu. Njegov veliki kapacitet za rad i rast, putem modula, komplementarnih tema, olakšava postizanje ovog zadatka no ikad, ali bez potrebe za dugim godinama učenja koje su obično potrebne za to.

Međutim, nuspojava iz toga ne može proizaći ništa ugodno, može biti da neki menadžeri spomenutog alata obično zaobilaznice, potrebne mjere kako bi se osiguralo da je izrađena ili održavana web stranica sigurna. Iz tog razloga, važno je imati na umu neke opće i specifične mjere (dobre prakse), o WP-u ili bilo kojem drugom CMS-u i web mjestu kako bi bilo sigurno.

Dobra praksa

1.- Jačajte svoju sigurnost općenito

WP zasigurno lako premašuje 30% baze aktivnih web lokacija na Internetu danas, što ga čini omiljenom metom za napadače i / ili napadače (hakere / krakere) sa dobrim ili zlim namjerama. Stoga će se poznata i već uspješno iskorištena ranjivost na sličnoj web lokaciji s WP isprobati na drugim sličnim web lokacijama s WP.

WordPress: 1. dobra praksa

Dakle, ako upravljate i / ili koristite jednu ili više web lokacija s WP-om, budite pažljiviji, temeljitiji i svjesniji njihove mrežne sigurnosti. Imajte na umu da većina sigurnosnih kršenja koja su analizirana i prijavljena na web lokacijama s WP-om imala je malo ili nimalo veze sa jezgrom same aplikacije, ali puno veze sa svime što se odnosi na njezinu implementaciju, konfiguraciju i opće održavanje, izvedene pogrešno od strane programera ili administratora. '

WordPress: 2. dobra praksa

2.- Upoznajte svoje ranjivosti

WordPress ima oko 4.000 poznatih sigurnosnih ranjivosti, raspoređenih na sljedeći način: WP Core (37%), dodaci (52%) i teme (11%), prema nedavnom izvještaju s web stranice WPScans, koja se sada zove WPSec (od 01-05-2019). Istražite sigurnosne ranjivosti sa kojima se suočava vaša web lokacija i pronađite rješenje za rješavanje ovih problema. Izbjegavajte pokretanje nesigurnih verzija WP Core-a ili njegovih dodataka i tema.

Usredotočite se na sljedeće sigurnosne teme na vašem WP-u ili web mjestu, odnosno na Različite vrste Napadi od:

  • Gruba sila: Jačanje sigurnosti na vašoj stranici za prijavu.
  • Uključivanje datoteke: Jačanje sigurnosti vaše konfiguracijske datoteke wp-config.php.
  • SQL ubrizgavanje: Jačanje sigurnosti vaše MySQL baze podataka povezane s WP-om.
  • Cross Site Scripting: Jačanje sigurnosti korištenih WP dodataka.
  • Zaraza zlonamjernim softverom: Pojačavanje opšte sigurnosti vaše web stranice kako bi se spriječio neovlašteni pristup, umetanje malvera i naknadno prikupljanje povjerljivih podataka od strane ovih zlonamernih kodova. Najčešći zlonamjerni softver ili napadi obično su tipa: Backdoor, Spam SEO, HackTool, Mailer, Defacement i Phishing. Pokušajte zaštititi svoju web lokaciju od svake od ovih vrsta zlonamjernog softvera ili napada.

Imajte na umu da kada je bilo koja web lokacija ugrožena, njen SEO poredak može patiti. Budući da pretraživači imaju tendenciju da brzo evidentiraju ugrožene web stranice, tako da će pregledači posjetiteljima signalizirati znakove upozorenja ili potpuno blokirati njihovu sposobnost kretanja tim web mjestima.

WordPress: 3. dobra praksa

3.- Upoznajte infrastrukturu svog pružatelja usluge hostinga

Ako vaša web lokacija koristi vanjski hosting, odnosno angažiran izvan vaše infrastrukture, ne štedite na troškovima kako biste osigurali kvalitetu usluge od svog pružatelja usluga hostinga. Pogotovo ako svoju web lokaciju hostira po shemi "zajedničkog hostinga".

Od tada nekvalitetni „dijeljeni hosting“ može vašu web stranicu učiniti ranjivijom kada je ugrožena jedna od različitih web lokacija pohranjenih na istom serveru. Odnosno, ako je web lokacija hakirana na serveru sa "dijeljenim hostingom", napadači mogu dobiti pristup i drugim web lokacijama i njihovim podacima.

WordPress: 4. dobra praksa

4.- Znati eweb tehničke specifikacije od vašeg pružatelja usluga hostinga

Što se tiče ocjenjivanja hosting provajdera, njegova infrastruktura nije sve. Važne su i tehničke web specifikacije koje vaš davatelj usluga hostinga koristi za postizanje veće sigurnosti hostiranih web lokacija. Obavezno slijedite sljedeće preporučene sigurnosne smjernice za hosting vaše web stranice:

  • Jednostavna instalacija SSL certifikata
  • Aktivno upravljanje verzijama web servera.
  • Zaštita od zaštitnog zida
  • Evidencija pristupa web lokaciji
  • Rutinske sigurnosne revizije
  • Otkrivanje zlonamjerne aktivnosti
  • Podrška za SFTP (ne samo FTP), TLS 1.2 i 1.3, te za PHP 5.6, najmanje, iako se preporučuje 7.0 nadalje.

Sve ovo je neophodno, kako bi se povećala sigurnost vaše web stranice sa ili bez WP-a kao korištenog CMS-a.

WordPress - Teme i dodaci: Dodaci

5.- Čuvajte se korištenih tema i dodataka

Dodaci i teme koji se instaliraju bitno su na sigurnosnom nivou. Cilj je koristiti samo službene teme i dodatke certificirane za WP ili Zajednicu, iz poznatih komercijalnih spremišta ili izravno od renomiranih programera. Budući da mnogi od njih (nisu certificirani) mogu sadržavati zlonamjerni kod.

Nije važno koliko zaštitite web lokaciju od WP-a ako instalirate zlonamjerni softver. Istražite prije preuzimanja i instaliranja bilo kojih tema i dodataka ili web mjesta njihovih programera ili promotora i rezervirajte ih za besplatne ili snižene.

WordPress: 5. dobra praksa

6.- Pokušajte često ažurirati svoj CMS

Ažuriranja vaše web platforme vrlo su važna za vašu sigurnost. Bilo koji WP vaš CMS ili ne, zastarjele verzije jezgre, teme ili dodataka mogu vas navesti na skrivanje poznatih ranjivosti na vašoj web lokaciji. U slučaju WP-a, koji je otvorenog koda, postoji tim koji je posebno posvećen ovom pitanju u jezgru aplikacije.

Svaka sigurnosna ranjivost otkrivena u WP-u odmah se ispravlja i uklanja kako bi se riješio svaki novi sigurnosni problem otkriven u WP-u. Zbog tog ažuriranja WP i sve njegove teme i dodaci za najnoviju verziju su vitalna komponenta uspješne sigurnosne strategije.

WordPress: 6. dobra praksa

7.- Pronašao sam odgovarajuću lozinku

Kvalitet ili snaga naših lozinki na web lokacijama je vrlo važna. Prijavljivanje na naše web stranice glavna je meta za iskorištavanje ranjivosti, jer pruža najlakši pristup administrativnoj stranici vaše web lokacije.

Napadi grubom silom najčešći su način za iskorištavanje vaše prijave, otkrivanje kombinacija korisničkog imena i lozinke za pristup web lokaciji. U konkretnom slučaju WP-a, prema zadanim postavkama ne ograničava broj neuspjelih pokušaja prijave koje netko može poduzeti, stoga je najviše preporučena upotreba složene lozinke za prijavu vašeg WP administratora.

Prilikom odabira lozinke, uzmite u obzir ova 3 temeljna zahtjeva temeljena na CLU formatu (Kompleksno, dugo, jedinstveno):

  • KOMPLEKS: Lozinke bi trebale biti što slučajnije i najmanje povezane s Web administratorom ili web stranicom.
  • LONG: Lozinke moraju biti duge 12 ili više znakova. I ojačana ograničenjima ili ograničenjima broja neuspjelih pokušaja povezivanja.
  • SAMO: Nemojte ponovo koristiti lozinke. Svaka lozinka mora biti jedinstvena u vremenu. Ovo jednostavno pravilo drastično ograničava utjecaj bilo kakve ugrožene lozinke.

Preporuka: Koristite upravitelj lozinki poput „LastPass“ (na mreži) i „KeePass 2“ (na mreži) da biste generirali i pohranili sve svoje lozinke u šifriranom formatu.

WordPress: 7. dobra praksa

8.- Uvijek pripremite plan za borbu protiv katastrofa

Ako koristite WP, imajte na umu da on nema ugrađeni sistem za sigurnosno kopiranje. Uključite jedan kao prioritet, tako da uvijek imate ažuriranu sigurnosnu kopiju svoje web lokacije. Sigurnosne kopije su ključne i općenita sigurnosna strategija koju treba primijeniti.

Ne zaboravite da ne biste trebali samo napravite sigurnosnu kopiju korištenih web lokacija i baza podatakaali sve podešavanja cijelog servera kroz automatizirane zadatke sa skriptom ili kloniranim sistemima slika, kako bi se olakšale potrebne restauracije i ponovne instalacije u najkraćem mogućem roku.

WordPress: 8. dobra praksa

9.- Povećajte svoju sigurnost pomoću 2FA

Ojačajte svoju prijavu za WP administratora ili svoju web lokaciju pomoću mehanizma dvofaktorske provjere autentičnosti (2FA), što je jedan od najboljih načina za zaštitu vaše web stranice danas. Dvofaktorska provjera autentičnosti dodaje dodatni nivo zaštite prijavi na vašu web lokaciju, zahtijevajući da upotreba vaše lozinke zahtijeva dodatni vremenski osjetljiv kôd s drugog uređaja, kao što je vaš pametni telefon, za uspješno prijavljivanje.

U slučaju WP koja ne nudi ovu funkciju prema zadanim postavkama ugradi isti pomoću dodatkakao što je iThemes Security da biste dodali isto.

WordPress: 9. dobra praksa

10.- Koristite sve potrebne sigurnosne dodatke

Većina CMS-a poput WP-a koriste dodatke da bi povećali svoj sigurnosni potencijal. U konkretnom slučaju WP-a preporučuje se upotreba sigurnosnog dodatka nazvanog iThemes Security. kako biste dodali još veću zaštitu svojoj web lokaciji. Ovaj dodatak blokira WP, popravlja poznate rupe, zaustavlja automatizirane napade i jača vjerodajnice korisnika.

Ima besplatnu verziju (iThemes Security) i plaćenu verziju (iThemes Security Pro) što očito pruža više sigurnosnih značajki kao što su 2FA, zakazano skeniranje zlonamjernog softvera, registracija korisnika, između ostalog.

zaključak

Bez obzira radi li se o WP-u ili nekom drugom CMS-u, većinu sigurnosnih problema na web lokaciji možete izbjeći jednostavno slijedeći ove najbolje ili dobre sigurnosne prakse. Vaša web lokacija zaslužuje i mora imati potrebne sigurnosne mjere kako bi zajamčila ili umanjila nepovredivost u ovim vremenima koja su toliko uznemirena aktivnostima hakera i hakera.

Konačno i kao dodatak, preporučujemo vam da pročitate ovaj drugi članak na našem blogu na temu jačanja sigurnosti vašeg web mjesta, nazvanu: Linux dozvole za sistemske administratore i programere.


Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.