WordPress: 10 bonaj praktikoj pri sekureco por retejoj

WordPress: 10 plej bonaj praktikoj pri sekurecaj aferoj

WordPress: 10 plej bonaj praktikoj pri sekurecaj aferoj

WordPress (WP) estas konata kiel la plej populara CMS, inter multaj aferoj, estinte desegnita kun emfazo sur alirebleco, agado kaj facileco de uzo, en kontinua disvolviĝo (aktuala versio 5.2), havas grandegan komunumon de uzantoj en multaj lingvoj kaj havas grandegan personigan kapablon per la uzo de propraj aŭ triaj temoj kaj aldonaĵoj.

Ankaŭ por esti tre sekura, sed por tio, kiel en iu ajn aplikaĵo aŭ sistemo, bonaj praktikoj devas esti sekvataj por atingi sekuran longtempan efektivigon. Kaj en ĉi tiu afiŝo ni volas doni iujn bazajn rekomendojn tiurilate.

Enkonduko

WP estas la plej populara CMS por konstruado de retejoj, ĝi ankaŭ kutime estas ofta celo de komputilaj atakoj, do krom ĝia konstanta ĝisdatigo, postulas oftajn prizorgajn, ĝisdatigajn kaj sekurecajn procedurojn por tiel evitu malfortojn pro vundeblecoj en aldonaĵoj, malfortaj pasvortoj, malmoderna programaro, inter multaj aliaj kialoj, tio estas, atingi tre reduktu vian vundeblecon al iu ajn intencita aŭ neantaŭvidita atako.

Krome, WP kiel ĉiuj aliaj Sistemoj pri Enhavo-Administrado (CMS) permesas vin rapide kaj efike konstrui retejon kaj poste interretigi ĝin. Ĝia alta kapablo por laboro kaj kresko, per moduloj, kompletaj temoj, faciligas ol iam ajn realigi ĉi tiun taskon, sed sen la bezono de la longaj jaroj de lernado, kiuj kutime necesas por tio.

Tamen, kromefiko nenio agrabla povas ekesti de tio, povas esti, ke iuj administrantoj de tiu ilo kutime pretervojo, la rimedoj necesaj por certigi, ke la retejo kreita aŭ prizorgita estas sekura. Tial gravas memori iujn ĝeneralajn kaj specifajn rimedojn (bonaj praktikoj) pri WP aŭ iu ajn alia CMS kaj retejo por konservi ĝin sekura.

Bonaj praktikoj

1.- Fortigu vian sekurecon ĝenerale

WP certe facile superas 30% de la bazo de aktivaj retejoj hodiaŭ en la interreto, kio igas ĝin plej ŝatata celo por invadantoj kaj / aŭ atakantoj (hakistoj / krakistoj) kun bonaj aŭ malbonaj intencoj. Tial, konata kaj jam sukcese ekspluatita vundebleco en simila retejo kun WP estos provata en aliaj similaj retejoj kun WP.

WordPress: 1-a Bona Praktiko

Do se vi administras kaj / aŭ uzas unu aŭ plurajn retejojn kun WP certigu, ke vi estas pli zorgema, ĝisfunda kaj konscia pri ilia interreta sekureco. Memoru, ke plej multaj sekurecaj malobservoj analizitaj kaj raportitaj en retejoj kun WP havis malmulton aŭ nenion komunan kun la kerno de la programo mem, sed multe rilatas al ĉio rilate al ĝia efektivigo, agordo kaj ĝenerala prizorgado, efektivigita malĝuste de programistoj aŭ administrantoj. '

WordPress: 2a Bona Praktiko

2.- Sciu viajn vundeblecojn

WordPress havas ĉirkaŭ 4.000 konatajn sekurecajn vundeblecojn, distribuitajn jene: WP Core (37%), Kromaĵoj (52%) kaj Temoj (11%), laŭ freŝa raporto de la retejo WPScans, kiu nun nomiĝas WPSec (ekde 01-05-2019). Esploru la sekurecajn vundeblecojn alfrontantaj vian retejon kaj trovu solvon por solvi ĉi tiujn problemojn. Evitu lanĉi nesekurajn versiojn de WP Core, aŭ ĝiajn aldonaĵojn kaj temojn.

Koncentriĝu pri la jenaj sekurecaj temoj en via WP aŭ retejo, te La malsamaj specoj de Atakoj de:

  • Bruta forto: Plifortigi sekurecon en via ensaluta paĝo.
  • Dosiera inkluzivo: Plifortigi la sekurecon de via agorda dosiero wp-config.php.
  • SQL-injekto: Plifortigi la sekurecon de via MySQL-datumbazo asociita kun WP.
  • Transversa Reta Skripto: Plifortigi la sekurecon de uzataj WP-aldonaĵoj.
  • Malware-infekto: Plifortigi la ĝeneralan sekurecon de via retejo por malebligi neaŭtorizitan aliron, la enmeton de malware kaj la sekvan kolekton de konfidencaj datumoj per ĉi tiuj malicaj kodoj. La plej oftaj Malware aŭ atakoj kutime estas de la tipo: Malantaŭa pordo, Spam SEO, HackTool, Mailer, Defacement kaj Phishing. Rigardu protekti vian retejon kontraŭ ĉiu el ĉi tiuj specoj de malware aŭ atako.

Memoru, ke post kiam iu retejo estas kompromitita, ĝia SEO-rango povas suferi. Ĉar serĉiloj emas rapide registri kompromitajn retejojn, tiel ke retumiloj signalos avertajn signojn al vizitantoj aŭ tute blokos sian kapablon navigi tiujn retejojn.

WordPress: 3a Bona Praktiko

3.- Sciu la infrastrukturon de via Gastiganta provizanto

Se via retejo uzas eksteran gastigadon, do dungitan ekster via infrastrukturo, ne ŝparu kostojn por certigi kvaliton de servo de via gastiganta provizanto. Ĉefe, se li gastigas sian retejon laŭ la plano "komuna gastigado".

Ekde malbona kvalito 'kunhavigita gastigado' povas plivigligi vian retejon kiam unu el pluraj retejoj stokitaj sur la sama servilo estas kompromitita. Tio estas, se retejo estas hakita sur servilo kun "komuna gastigado", atakantoj ankaŭ povas aliri al aliaj retejoj kaj al iliaj datumoj.

WordPress: 4a Bona Praktiko

4.- Sciu la einterretaj teknikaj specifoj de via Gastiganta provizanto

Kiam temas pri taksado de gastiga provizanto, ĝia infrastrukturo ne estas ĉio. La teknikaj interretaj specifoj uzataj de via gastiganta provizanto por atingi pli bonan sekurecon de la gastigitaj retejoj ankaŭ gravas. Certigu, ke ĝi sekvas la jenajn rekomendindajn sekurecajn gvidliniojn por gastigi vian retejon:

  • Facila instalado de SSL-atestiloj
  • Aktiva administrado de versioj de programaj serviloj.
  • Fajromura protekto
  • Rekordo de aliroj al la retejo
  • Rutinaj sekurecaj kontroloj
  • Malica agado-detekto
  • Subteno por SFTP (ne nur FTP), TLS 1.2 kaj 1.3, kaj por PHP 5.6, minimume, kvankam 7.0 pluen rekomendas.

Ĉio ĉi necesas, almenaŭ, por pliigi la sekurecon de via retejo kun aŭ sen WP kiel uzata CMS.

WordPress - Temoj kaj Kromaĵoj: Kromaĵoj

5.- Atentu pri uzataj Temoj kaj Komplementoj

La aldonaĵoj kaj instalitaj temoj multe gravas je sekureca nivelo. Celu uzi nur oficialajn WP aŭ Komunumajn atestitajn temojn kaj kromprogramojn, konatajn komercajn deponejojn aŭ rekte de bonfamaj programistoj. Ĉar multaj el ili (ne atestitaj) povas enhavi malican kodon.

Ne gravas kiom multe vi protektas vian retejon de WP se vi instalas la malware. Faru vian esploron antaŭ ol elŝuti kaj instali iujn ajn temojn kaj aldonaĵojn, aŭ ilian retejon por programistoj aŭ iniciatintoj, kaj rezervu viajn senpagajn aŭ rabatitajn.

WordPress: 5a Bona Praktiko

6.- Provu ĝisdatigi vian CMS ofte

Ĝisdatigoj al via interreta platformo tre gravas por via sekureco. Aŭ ĉu WP via CMS aŭ ne, malmodernaj versioj de via Kerno, Temo aŭ aldonaĵoj povas konduki vin al konataj malfortaĵoj en via retejo. En la kazo de WP, kiu estas malfermfonteco, estas teamo specife dediĉita al ĉi tiu afero ene de la kerno de la aplikaĵo.

Ĉiu sekureca vundebleco malkovrita en WP estas tuj korektita kaj forigita por solvi ĉiun novan sekurecan problemon malkovritan en WP. Pro tiu ĝisdatigo WP kaj ĉiuj ĝiaj temoj kaj aldonaĵoj al la plej nova versio estas esenca ero de sukcesa sekureca strategio.

WordPress: 6a Bona Praktiko

7.- Mi trovis taŭgan pasvorton

La kvalito aŭ forto de niaj pasvortoj en retejoj tre gravas. Ensaluti en niaj retejoj estas ĉefa celo por ekspluati vundeblecojn, ĉar ĝi donas la plej facilan aliron al la administra paĝo de via retejo.

Brutfortaj atakoj estas la plej ofta metodo por ekspluati vian ensaluton, malkovrante la kombinojn de uzantnomo kaj pasvorto por aliri al la retejo. En la specifa kazo de WP, defaŭlte ĝi ne limigas la nombron de malsukcesaj ensalutaj provoj, kiujn iu povas fari, tial la plej rekomendinda estas la uzo de kompleksa pasvorto por la ensaluto de via WP-administranto.

Kiam vi elektas pasvorton, konsideru ĉi tiujn 3 fundamentajn postulojn bazitajn sur la formato CLU (Kompleksa, Longa, Unika):

  • KOMPLEXA: Pasvortoj estu laŭeble hazardaj kaj malplej rilataj al la Reta Administranto aŭ la Retejo.
  • LONGA: Pasvortoj devas havi 12 aŭ pli da signoj. Kaj fortigita kun limigoj aŭ limigoj pri la nombro de malsukcesaj ligaj provoj.
  • NUR: Ne reuzu pasvortojn. Ĉiu pasvorto devas esti unika en la tempo. Ĉi tiu simpla regulo draste limigas la efikon de iu ajn pasvorto endanĝerigita.

Rekomendo: Uzu pasvortan administrilon kiel "LastPass" (interrete) kaj "KeePass 2" (eksterrete) por generi kaj stoki ĉiujn viajn pasvortojn en ĉifrita formato.

WordPress: 7a Bona Praktiko

8.- Ĉiam preparu vian kontraŭkatastrofan planon

Se vi uzas WP, memoru, ke ĝi ne havas enkonstruitan rezervan sistemon. Inkluzivi unu kiel prioritaton, do vi ĉiam havas ĝisdatan sekurkopion de via retejo. Sekurkopioj estas kritikaj kaj ĝenerala sekureca strategio efektivigebla.

Ne forgesu, ke vi devas ne nur rezervu viajn uzitajn retejojn kaj datumbazojnsed ĉiuj la agordojn de la tuta servilo per aŭtomataj taskoj kun skripto aŭ klonitaj bildsistemoj, por faciligi la necesajn restarigojn kaj reinstalaĵojn en la plej mallonga tempo.

WordPress: 8a Bona Praktiko

9.- Pliigu vian sekurecon per 2FA

Plifortigu vian ensaluton por administranto de WP aŭ vian retejon per dufakta aŭtentikiga (2FA) mekanismo, kiu estas unu el la plej bonaj manieroj sekurigi vian retejon hodiaŭ. Dufakta aŭtentokontrolo aldonas ekstran tavolon de protekto al via retejo-ensaluto, postulante, ke la uzo de via pasvorto postulas plian temp-senteman kodon de alia aparato, kiel via inteligenta telefono, por sukcese ensaluti. .

En la kazo de WP tio ne ofertas ĉi tiun funkcion defaŭlte enmetu la samon per kromaĵokiel iThemes Security por aldoni la samon.

WordPress: 9a Bona Praktiko

10.- Uzu iujn necesajn sekurecajn akcesoraĵojn

Plej multaj CMS kiel WP uzas kromaĵojn por pliigi sian sekurecan potencialon. En la specifa kazo de WP, la uzo de la sekureca kromaĵo nomata iThemes Security estas rekomendinda. por aldoni eĉ pli da protekto al via retejo. Ĉi tiu kromaĵo blokas WP, riparas konatajn truojn, haltigas aŭtomatajn atakojn kaj plifortigas uzantajn atestilojn.

Ĝi havas senpagan version (iThemes Security) kaj pagitan version (iThemes Security Pro) kio evidente provizas pli da sekurecaj funkcioj kiel 2FA, planitaj malware-skanadoj, registriĝo de uzantoj, interalie.

konkludo

Ĉu ĝi estas super WP aŭ alia CMS, vi povas eviti plej multajn sekurecajn problemojn de retejo simple sekvante ĉi tiujn sekurecajn plej bonajn praktikojn aŭ bonajn praktikojn. Via retejo meritas kaj devas havi la necesajn sekurecajn rimedojn por garantii aŭ minimumigi ĝian netuŝeblecon en ĉi tiuj tempoj tiel ĝenataj de la agado de retpiratoj kaj piratoj.

Fine kaj aldone, ni rekomendas vin legi ĉi tiun alian artikolon en nia blogo pri la temo plifortigi la sekurecon de via retejo, nomata: Linukso-Permesoj por Sistemaj Administrantoj kaj Programistoj.


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

Estu la unua por komenti

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.