WordPress: 10 najboljih praksi u sigurnosti web stranica

WordPress: 10 najboljih praksi u pogledu sigurnosti

WordPress: 10 najboljih praksi u pogledu sigurnosti

WordPress (WP) poznat je kao najpopularniji CMS, između ostalog, dizajnirani s naglaskom na dostupnost, performanse i jednostavnost korištenja, te se neprestano razvijaju (trenutna verzija 5.2), imaju ogromnu zajednicu korisnika na mnogim jezicima i imaju ogroman kapacitet prilagodbe korištenjem vlastitih ili nezavisnih tema i dodataka.

Također zbog toga što ste vrlo sigurni, ali za to se, kao u bilo kojoj aplikaciji ili sustavu, moraju slijediti dobre prakse kako bi se postigla sigurna dugoročna provedba. I u ovom postu želimo dati neke osnovne preporuke u tom pogledu.

I

WP je najpopularniji CMS za izradu web stranica, također je često meta računalnih napada, pa osim stalnog ažuriranja, zahtijeva često održavanje, ažuriranje i sigurnosne postupke za na taj način izbjegavajte slabosti zbog ranjivosti dodataka, slabih lozinki, zastarjelog softvera, među mnogim drugim razlozima, tj. postići uvelike smanjite svoju ranjivost na bilo koji namjeravani ili nepredviđeni napad.

Osim toga, WP poput bilo kojeg drugog sustava za upravljanje sadržajem (CMS) omogućuje vam brzu i učinkovitu izradu web stranice, a zatim postavljanje na mrežu. Njegova velika sposobnost za rad i rast, putem modula, komplementarnih tema, olakšava postizanje ovog zadatka no ikad prije, ali bez potrebe za dugim godinama učenja koje su obično potrebne za to.

Međutim, nuspojava iz toga ne može proizaći ništa ugodno, može biti da neki upravitelji spomenutog alata obično zaobići, mjere potrebne za osiguranje sigurnosti web stranice stvorene ili održavane. Iz tog razloga važno je imati na umu neke opće i specifične mjere (dobre prakse), o WP-u ili bilo kojem drugom CMS-u i web mjestu kako bi bilo sigurno.

Dobre prakse

1.- Jačajte svoju sigurnost općenito

WP zasigurno lako premašuje 30% baze aktivnih web stranica na Internetu danas, što ga čini omiljenom metom za napadače i / ili napadače (hakere / krakere) s dobrim ili zlim namjerama. Prema tome, pokušat će se poznata i već uspješno iskorištena ranjivost na sličnom WP mjestu na drugim sličnim WP mjestima.

WordPress: 1. dobra praksa

Dakle, ako upravljate i / ili koristite jedno ili više web mjesta s WP-om, budite pažljiviji, temeljitiji i svjesniji njihove mrežne sigurnosti. Imajte na umu da većina sigurnosnih kršenja koja su analizirana i prijavljena na web mjestima s WP imala je malo ili nimalo veze sa jezgrom same aplikacije, ali puno sa svime što se odnosi na njezinu implementaciju, konfiguraciju i opće održavanje, koje su programeri ili administratori izvršili netočno. '

WordPress: 2. dobra praksa

2.- Upoznajte svoje ranjivosti

WordPress ima oko 4.000 poznatih sigurnosnih ranjivosti, raspoređenih na sljedeći način: WP Core (37%), dodaci (52%) i teme (11%), prema nedavnom izvješću s web mjesta WPScans, koje se sada zove WPSec (od 01-05-2019). Istražite sigurnosne ranjivosti s kojima se suočava vaše web mjesto i pronađite rješenje za rješavanje tih problema. Izbjegavajte pokretanje nesigurnih verzija WP Core-a ili njegovih dodataka i tema.

Usredotočite se na sljedeće sigurnosne teme na vašem WP-u ili web mjestu, odnosno na Različite vrste Napadi od:

  • Sirova snaga: Pojačanje sigurnosti na vašoj stranici za prijavu.
  • Uključivanje datoteke: Jačanje sigurnosti vaše konfiguracijske datoteke wp-config.php.
  • SQL ubrizgavanje: Jačanje sigurnosti vaše MySQL baze podataka povezane s WP-om.
  • Višestruko skriptiranje: Jačanje sigurnosti korištenih WP dodataka.
  • Zaraza zlonamjernim softverom: Jačanje opće sigurnosti vašeg web mjesta kako bi se spriječio neovlašteni pristup, umetanje zlonamjernog softvera i naknadno prikupljanje povjerljivih podataka od strane ovih zlonamjernih kodova. Najčešći zlonamjerni softver ili napadi obično su tipa: Backdoor, SEO Spam, HackTool, Mailer, Defacement i Phishing. Nastojte zaštititi svoje web mjesto od svake od ovih vrsta zlonamjernog softvera ili napada.

Imajte na umu da kad bilo koja web lokacija bude ugrožena, njezino rangiranje u SEO može patiti. Budući da tražilice imaju tendenciju brzog registriranja ugroženih web stranica, tako da će preglednici posjetiteljima signalizirati znakove upozorenja ili u potpunosti blokirati mogućnost kretanja tim web mjestima.

WordPress: 3. dobra praksa

3. - Upoznajte infrastrukturu svog pružatelja usluge hostinga

Ako vaše web mjesto koristi vanjski hosting, odnosno angažiran izvan vaše infrastrukture, ne štedite na troškovima kako biste osigurali kvalitetu usluge od svog davatelja usluge hostinga. Iznad svega, ako svoju web lokaciju hostira po shemi "zajedničkog hostinga".

kao nekvalitetni "dijeljeni hosting" može vašu web stranicu učiniti ranjivijom kada je ugroženo jedno od nekoliko web mjesta pohranjenih na istom poslužitelju. Odnosno, ako je web lokacija hakirana na poslužitelju s "dijeljenim hostingom", napadači mogu dobiti pristup i drugim web mjestima i njihovim podacima.

WordPress: 4. dobra praksa

4. - Znati eweb tehničke specifikacije od svog pružatelja usluge hostinga

Što se tiče ocjenjivanja davatelja usluge hostinga, njegova infrastruktura nije sve. Važne su i tehničke web specifikacije koje vaš davatelj usluga hostinga koristi za postizanje veće sigurnosti hostiranih web stranica. Obavezno slijedite sljedeće preporučene sigurnosne smjernice za hosting vašeg web mjesta:

  • Jednostavna instalacija SSL certifikata
  • Aktivno upravljanje inačicama softvera web poslužitelja.
  • Zaštita od vatrozida
  • Evidencija pristupa web mjestu
  • Rutinske sigurnosne revizije
  • Otkrivanje zlonamjerne aktivnosti
  • Podrška za SFTP (ne samo FTP), TLS 1.2 i 1.3, te za PHP 5.6, najmanje, iako se preporučuje 7.0 nadalje.

Sve je to potrebno, kako bi se povećala sigurnost vaše web stranice sa ili bez WP-a kao korištenog CMS-a.

WordPress - teme i dodaci: dodaci

5.- Čuvajte se korištenih tema i dodataka

Dodaci i teme koji se instaliraju puno su važni na razini sigurnosti. Cilj je koristiti samo službene teme i dodatke certificirane za WP ili Zajednicu, dobro poznata komercijalna spremišta ili izravno od renomiranih programera. Budući da mnogi od njih (nisu certificirani) mogu sadržavati zlonamjerni kôd.

Nije važno koliko zaštitite svoje web mjesto od WP-a ako instalirate zlonamjerni softver. Istražite prije preuzimanja i instaliranja bilo kojih tema i dodataka ili web mjesta njihovih programera ili promotora i rezervirajte ih za one besplatne ili s popustom.

WordPress: 5. dobra praksa

6.- Pokušajte često ažurirati svoj CMS

Ažuriranja vaše web platforme vrlo su važna za vašu sigurnost. Ili WP vaš CMS ili ne, zastarjele verzije jezgre, teme ili dodataka mogu vas navesti na skrivanje poznatih ranjivosti na vašem web mjestu. U slučaju WP-a, koji je otvoren izvor, postoji tim koji je posebno posvećen ovom pitanju unutar jezgre aplikacije.

Svaka sigurnosna ranjivost otkrivena u WP-u odmah se ispravlja i uklanja kako bi se riješio svaki novi sigurnosni problem otkriven u WP-u. Zbog tog ažuriranja WP i sve njegove teme i dodaci za najnoviju verziju vitalna su komponenta uspješne sigurnosne strategije.

WordPress: 6. dobra praksa

7.- Pronašao sam odgovarajuću lozinku

Kvaliteta ili snaga naših lozinki na web mjestima je vrlo važna. Prijava na naše web stranice glavna je meta za iskorištavanje ranjivosti, jer pruža najlakši pristup administracijskoj stranici vašeg web mjesta.

Napadi grubom silom najčešći su način iskorištavanja vaše prijave, otkrivanje kombinacija korisničkog imena i lozinke za pristup web mjestu. U konkretnom slučaju WP-a, prema zadanim postavkama ne ograničava broj neuspjelih pokušaja prijave koje netko može poduzeti, stoga je najviše preporučena upotreba složene lozinke za prijavu vašeg WP administratora.

Pri odabiru lozinke, uzmite u obzir ova 3 temeljna zahtjeva temeljena na CLU formatu (Složeno, dugo, jedinstveno):

  • KOMPLEKS: Lozinke trebaju biti što slučajnije i najmanje povezane s web administratorom ili web stranicom.
  • DUGO: Lozinke moraju biti duge 12 ili više znakova. I ojačana ograničenjima ili ograničenjima u broju neuspjelih pokušaja povezivanja.
  • SAMO: Nemojte ponovno koristiti lozinke. Svaka lozinka mora biti jedinstvena u vremenu. Ovo jednostavno pravilo drastično ograničava utjecaj bilo kakve ugrožene lozinke.

preporuka: Upotrijebite upravitelj lozinki poput "LastPass" (mrežno) i "KeePass 2" (izvan mreže) da biste generirali i pohranili sve svoje lozinke u šifriranom obliku.

WordPress: 7. dobra praksa

8.- Uvijek pripremite plan za borbu protiv katastrofa

Ako koristite WP, imajte na umu da on nema ugrađeni sustav za sigurnosno kopiranje. Uključite jedan kao prioritet, tako da uvijek imate ažurnu sigurnosnu kopiju svoje web stranice. Sigurnosne kopije su ključne i treba ih primijeniti opću sigurnosnu strategiju.

Ne zaboravite da ne biste trebali samo izradite sigurnosnu kopiju korištenih web stranica i baza podatakaali sve postavke cijelog poslužitelja kroz automatizirane zadatke sa skriptama ili kloniranim sustavima slika, kako bi se olakšale potrebne restauracije i ponovne instalacije u najkraćem mogućem roku.

WordPress: 8. dobra praksa

9.- Povećajte svoju sigurnost pomoću 2FA

Ojačajte svoju prijavu za WP administratora ili svoju web stranicu pomoću mehanizma dvofaktorske provjere autentičnosti (2FA), što je jedan od najboljih načina za zaštitu vaše web stranice danas. Dvofaktorska provjera autentičnosti dodaje dodatni nivo zaštite prijavi na vaše web mjesto zahtijevajući da uporaba vaše lozinke zahtijeva dodatni vremenski osjetljiv kôd s drugog uređaja, poput pametnog telefona, za uspješnu prijavu. .

U slučaju WP koja ovu funkciju ne nudi prema zadanim postavkama ugradi isti pomoću dodatkakao što je iThemes Security za dodavanje istog.

WordPress: 9. dobra praksa

10.- Upotrijebite sve potrebne sigurnosne dodatke

Većina CMS-a poput WP-a koriste se dodacima kako bi povećali svoj sigurnosni potencijal. U konkretnom slučaju WP-a preporučuje se upotreba sigurnosnog dodatka nazvanog iThemes Security. kako biste dodali još veću zaštitu svom web mjestu. Ovaj dodatak blokira WP, popravlja poznate rupe, zaustavlja automatizirane napade i jača vjerodajnice korisnika.

Ima besplatnu verziju (iThemes Security) i plaćenu verziju (iThemes Security Pro) što očito pruža više sigurnosnih značajki kao što su 2FA, zakazano skeniranje zlonamjernog softvera, registracija korisnika, između ostalog.

Zaključak

Bez obzira radi li se o WP-u ili nekom drugom CMS-u, većinu sigurnosnih problema na web mjestu možete izbjeći jednostavno slijedeći ove najbolje ili dobre sigurnosne prakse. Vaša web stranica zaslužuje i mora imati potrebne sigurnosne mjere kako bi zajamčila ili umanjila nepovredivost u ovim vremenima koja su toliko uznemirena aktivnostima hakera i krakera.

Napokon i kao dodatak, preporučujemo vam da pročitate ovaj drugi članak na našem blogu na temu jačanja sigurnosti vašeg web mjesta, nazvanu: Linux dozvole za sistemske administratore i programere.


Sadržaj članka pridržava se naših načela urednička etika. Da biste prijavili pogrešku, kliknite ovdje.

Budite prvi koji će komentirati

Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.