WordPress: 10 god praksis med hensyn til sikkerhed for websteder

WordPress: 10 god praksis i sikkerhedsspørgsmål

WordPress: 10 god praksis i sikkerhedsspørgsmål

WordPress (WP) er kendt som mest populære CMS, blandt mange ting, der er designet med vægt på tilgængelighed, ydeevne og brugervenlighed, under konstant udvikling (nuværende version 5.2), har et stort brugerfællesskab på mange sprog og har en enorm tilpasningskapacitet gennem brug af egne eller tredjeparts temaer og tilføjelser.

Også for at være meget sikker, men for det skal, som i enhver applikation eller ethvert system, følges god praksis for at opnå en sikker langsigtet implementering. Og i dette indlæg vil vi give nogle grundlæggende anbefalinger i denne henseende.

Indledning

WP er det mest populære CMS til opbygning af websteder, er også normalt et hyppigt mål for computerangreb, så bortset fra dens konstante opdatering, kræver hyppig vedligeholdelse, opdatering og sikkerhedsprocedurer para undgå således svagheder på grund af sårbarheder i tilføjelsesprogrammer, svage adgangskoder, forældet software, blandt mange andre grunde, det vil sige lograr reducerer i høj grad din sårbarhed over for ethvert tilsigtet eller uforudset angreb.

Derudover giver WP som ethvert andet Content Management Systems (CMS) dig mulighed for hurtigt og effektivt at opbygge et websted og derefter sætte det online. Dets yderste kapacitet til arbejde og vækst via moduler, supplerende temaer gør det lettere end nogensinde før at udføre denne opgave, men uden behov for de lange år med læring, der normalt er nødvendige for dette.

Imidlertid en bivirkning intet behageligt, der kan opstå fra dette, kan det være, at nogle ledere af det nævnte værktøj normalt bypass, de nødvendige foranstaltninger for at sikre, at det websted, der oprettes eller vedligeholdes, er sikkert. Af denne grund er det vigtigt at huske på nogle generelle og specifikke foranstaltninger (god praksis), om WP eller ethvert andet CMS og websted for at holde det sikkert.

God praksis

1.- Styrk din sikkerhed generelt

WP overstiger helt sikkert let 30% af basen af ​​aktive websteder på Internettet i dag, hvilket gør det til et yndlingsmål for angribere og / eller angribere (hackere / crackere) med gode eller dårlige intentioner. Derfor vil en kendt og allerede vellykket udnyttet sårbarhed på et lignende WP-sted blive forsøgt på andre lignende WP-websteder.

WordPress: 1. god praksis

Så hvis du administrerer og / eller bruger et eller flere websteder med WP, ​​skal du sørge for at være mere forsigtig, grundig og opmærksom på deres online sikkerhed. Husk, at de fleste af de sikkerhedsovertrædelser, der blev analyseret og rapporteret på websteder med WP, ​​havde ringe eller intet at gøre med selve applikationens kerne, men meget at gøre med alt relateret til implementering, konfiguration og generel vedligeholdelse, udført forkert af udviklere eller administratorer. '

WordPress: 2. god praksis

2. - Kend dine sårbarheder

WordPress har omkring 4.000 kendte sikkerhedssårbarheder, fordelt som følger: WP Core (37%), Plugins (52%) og Temaer (11%)ifølge en nylig rapport fra WPScans-webstedet, som nu kaldes WPSec (siden 01-05-2019). Undersøg sikkerhedssårbarheder, der står over for dit websted, og find en løsning til at løse disse problemer. Undgå at køre usikre versioner af WP Core eller dens plugins og temaer.

Fokuser på følgende sikkerhedstemaer på din WP eller dit websted, dvs. De forskellige typer Angreb fra:

  • Råstyrke: Styrkelse af sikkerheden på din login-side.
  • Fil inkludering: Styrke sikkerheden for din wp-config.php-konfigurationsfil.
  • SQL-injektion: Styrke sikkerheden i din MySQL-database tilknyttet WP.
  • Cross Site Scripting: Styrke sikkerheden for brugte WP-plugins.
  • Malware-infektion: At styrke den generelle sikkerhed på dit websted for at forhindre uautoriseret adgang, indsættelse af malware og den efterfølgende indsamling af fortrolige data fra disse ondsindede koder. De hyppigste malware eller angreb er normalt af typen: Bagdør, SEO Spam, HackTool, Mailer, Defacement og Phishing. Se efter for at beskytte dit websted mod hver af disse typer malware eller angreb.

Husk, at når et websted er kompromitteret, kan dets SEO-rangering lide. Fordi søgemaskiner har tendens til hurtigt at logge kompromitterede websteder, så browsere enten giver besøgende advarselsskilte eller helt blokerer muligheden for at navigere på disse websteder.

WordPress: 3. god praksis

3.- Kend infrastrukturen hos din hostingudbyder

Hvis dit websted bruger ekstern hosting, dvs. lejet uden for din infrastruktur, spar ikke på omkostningerne for at sikre servicekvaliteten fra din hostingudbyder. Især hvis han er vært for sit websted under ordningen "delt hosting".

som 'delt hosting' af dårlig kvalitet kan gøre dit websted mere sårbart når et af flere websteder, der er gemt på den samme server, er kompromitteret. Det vil sige, at hvis et websted er hacket på en server med "delt hosting", kan angribere også få adgang til andre websteder og deres data.

WordPress: 4. god praksis

4. - Kend eweb tekniske specifikationer fra din hostingudbyder

Når det kommer til at evaluere en hostingudbyder, er dens infrastruktur ikke alt. De tekniske webspecifikationer, der bruges af din hostingudbyder til at opnå bedre sikkerhed for de hostede websteder, er også vigtige. Sørg for, at den følger følgende anbefalede sikkerhedsretningslinjer for hosting af dit websted:

  • Nem installation af SSL-certifikater
  • Aktiv styring af webserver-softwareversioner.
  • Firewall-beskyttelse
  • Registrering af adgang til hjemmesiden
  • Rutinemæssige sikkerhedsrevisioner
  • Registrering af ondsindet aktivitet
  • Understøttelse af SFTP (ikke kun FTP), TLS 1.2 og 1.3 og til PHP 5.6 i det mindste, selvom 7.0 og fremover anbefales.

Alt dette er mindst nødvendigt for at øge sikkerheden på dit websted med eller uden WP som brugt CMS.

WordPress - Temaer og plugins: Plugins

5.- Pas på de anvendte temaer og komplement

Plugins og temaer, der er installeret, betyder meget på sikkerhedsniveau. Målet er kun at bruge officielle WP- eller fællesskabscertificerede temaer og plugins, kendte kommercielle arkiver eller direkte fra velrenommerede udviklere. Da mange af dem (ikke certificeret) kan indeholde ondsindet kode.

Det betyder ikke noget, hvor meget du beskytter dit websted mod WP, ​​hvis du installerer malware. Foretag din undersøgelse, før du downloader og installerer temaer og plugins, eller deres udvikler eller promotorwebsite, og bestil dine gratis eller nedsatte.

WordPress: 5. god praksis

6.- Prøv at opdatere dit CMS ofte

Opdateringer til din webplatform er meget vigtige for din sikkerhed. Hvorvidt WP dit CMS eller ej, forældede versioner af din Core, Theme eller plugins kan føre dig til at have kendte sårbarheder på dit websted. I tilfælde af WP, som er open source, er der et team, der specifikt er dedikeret til dette emne inden for applikationens kerne.

Enhver sikkerhedssårbarhed opdaget i WP rettes og elimineres med det samme for at løse hvert nye sikkerhedsproblem opdaget i WP. På grund af den opdatering WP og alle dens temaer og plugins til den nyeste version er en vigtig komponent i en vellykket sikkerhedsstrategi.

WordPress: 6. god praksis

7.- Jeg fandt et passende kodeord

Kvaliteten eller styrken af ​​vores adgangskoder på websteder er meget vigtig. At logge ind på vores websteder er et primært mål for udnyttelse af sårbarheder, fordi det giver den nemmeste adgang til dit websteds administrationsside.

Brute force-angreb er den mest almindelige metode til at udnytte dit login, opdage brugernavn og adgangskodekombinationer for at få adgang til webstedet. I det specifikke tilfælde af WP begrænser det som standard ikke antallet af mislykkede loginforsøg, som nogen kan foretage, og derfor anbefales det mest brugen af ​​en kompleks adgangskode til login af din WP-administrator.

Når du vælger en adgangskode, skal du tage højde for disse 3 grundlæggende krav baseret på CLU-format (Kompleks, lang, unik):

  • KOMPLEKS: Adgangskoder skal være så tilfældige som muligt og mindst relaterede til webadministratoren eller webstedet.
  • LANG: Adgangskoder skal være på 12 eller flere tegn. Og befæstet med begrænsninger eller begrænsninger for antallet af mislykkede forbindelsesforsøg.
  • KUN: Genbrug ikke adgangskoder. Hver adgangskode skal være unik i tide. Denne enkle regel begrænser drastisk virkningen af ​​ethvert kompromitteret kodeord.

anbefaling: Brug en adgangskodeadministrator som “LastPass” (online) og “KeePass 2” (offline) til at generere og gemme alle dine adgangskoder i et krypteret format.

WordPress: 7. god praksis

8. - Få altid din antikatastrofeplan klar

Hvis du bruger WP, skal du huske, at den ikke har et indbygget backup-system. Inkluder en som en prioritet, så du altid har en opdateret sikkerhedskopi af dit websted. Sikkerhedskopier er kritiske og en generel sikkerhedsstrategi, der skal implementeres.

Glem ikke, at du ikke kun skal sikkerhedskopier dine brugte websteder og databasermen alle indstillingerne af hele serveren gennem automatiserede opgaver med scripts eller klonede billedsystemer for at lette de nødvendige restaureringer og geninstallationer på kortest mulig tid.

WordPress: 8. god praksis

9.- Forøg din sikkerhed ved hjælp af 2FA

Styr dit WP admin login eller websted ved hjælp af to-faktor godkendelse (2FA) mekanisme, som er en af ​​de bedste måder at sikre dit websted i dag. To-faktor-godkendelse tilføjer et ekstra beskyttelseslag til dit websteds login, ved at kræve, at brugen af ​​din adgangskode kræver en ekstra tidsfølsom kode fra en anden enhed, f.eks. Din smartphone, for at kunne logge ind.

I tilfælde af WP der ikke tilbyder denne funktionalitet som standard integrere det samme ved hjælp af et pluginsom iThemes Security for at tilføje det samme.

WordPress: 9. god praksis

10.- Brug alt nødvendigt sikkerhedstilbehør

De fleste CMS som WP bruger plugins til at øge sikkerhedspotentialet for sig selv. I det specifikke tilfælde af WP anbefales brugen af ​​sikkerhedsplugin kaldet iThemes Security. for at tilføje endnu mere beskyttelse til dit websted. Dette plugin blokerer WP, retter kendte huller, stopper automatiske angreb og styrker brugeroplysninger.

Den har en gratis version (iThemes Security) og en betalt version (iThemes Security Pro) som naturligvis giver flere sikkerhedsfunktioner såsom 2FA, planlagte malware-scanninger, brugerregistrering, blandt andet.

Konklusion

Uanset om det er via WP eller et andet CMS, kan du undgå de fleste websteds sikkerhedsproblemer ved blot at følge disse bedste eller gode sikkerhedspraksis. Dit websted fortjener og skal have de nødvendige sikkerhedsforanstaltninger på plads for at garantere eller minimere dets ukrænkelighed i disse tider, der er så urolige over hackernes og crackers aktivitet.

Endelig og som en tilføjelse Vi anbefaler, at du læser denne anden artikel på vores blog om emnet for at styrke sikkerheden på dit websted, kaldet: Linux-tilladelser til systemadministratorer og udviklere.


Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.