WordPress: 10 jó gyakorlat a webhelyek biztonsága szempontjából

Linux Post Install

10 perc

WordPress: 10 legjobb gyakorlat a biztonság szempontjából

WordPress: 10 legjobb gyakorlat a biztonság szempontjából

A WordPress (WP) a legnépszerűbb CMStöbbek között az elérhetőségre, a teljesítményre és a könnyű használatra helyezve a hangsúlyt, folyamatosan fejlesztve (jelenlegi verzió 5.2), hatalmas felhasználói közösségük van sok nyelven, és hatalmas testreszabási kapacitással rendelkeznek saját vagy harmadik féltől származó témák és kiegészítők használatával.

Azért is, hogy nagyon biztonságban legyél, de ehhez, mint bármely alkalmazásban vagy rendszerben, a biztonságos hosszú távú megvalósítás elérése érdekében jó gyakorlatokat kell követni. És ebben a bejegyzésben néhány alapvető ajánlást szeretnénk megadni ezzel kapcsolatban.

Bevezetés

A WP a legnépszerűbb CMS a weboldalak építéséhez, ez is gyakran a számítógépes támadások célpontja, így a folyamatos frissítésen kívül gyakori karbantartást, frissítést és biztonsági eljárásokat igényel mert így elkerülhetők a gyengeségek a kiegészítők, a gyenge jelszavak, az elavult szoftverek sebezhetősége miatt, sok egyéb ok mellett, elérése nagymértékben csökkentheti sebezhetőségét bármely tervezett vagy előre nem látható támadással szemben.

Ezenkívül a WP, mint bármely más Tartalomkezelő Rendszer (CMS), lehetővé teszi, hogy gyorsan és hatékonyan készítsen egy weboldalt, majd az internetre tegye. Magas munkakapacitása és növekedése modulok, kiegészítő témák révén könnyebbé teszi ennek a feladatnak a megvalósítását, anélkül, hogy ehhez hosszú évek tanulása kellene.

Azonban, mellékhatás semmi kellemes nem merülhet fel ebből, lehet, hogy az említett eszköz néhány kezelője általában megkerülése, a létrehozott vagy fenntartott weboldal biztonságának biztosításához szükséges intézkedések. Ezért fontos szem előtt tartani néhány általános és konkrét intézkedést (bevált gyakorlatot), a WP-vel vagy bármely más CMS-szel és weboldallal kapcsolatban annak biztonsága érdekében.

Jó gyakorlatok

1.- Erősítse biztonságát általában

A WP bizonyára könnyen meghaladja az interneten az aktív webhelyek 30% -át, ami kedvelt célpontjává teszi a jó vagy rossz szándékú betolakodókat és / vagy támadókat (hackerek / crackerek). Ezért egy hasonló és már sikeresen kihasznált biztonsági rést megkísérelnek egy hasonló, WP-vel rendelkező webhelyen.

WordPress: 1. jó gyakorlat

Tehát, ha egy vagy több weboldalt kezel és / vagy használ a WP-vel, ügyeljen arra, hogy körültekintőbb, alaposabb és tudatosabb legyen online biztonságukban. Ne feledje, hogy a WP-vel rendelkező webhelyeken elemzett és jelentett biztonsági jogsértések többségének kevés vagy semmi köze volt magához az alkalmazás magjához, de sok köze volt mindazokhoz, amelyek a telepítéshez, konfiguráláshoz és általános karbantartáshoz kapcsolódtak, helytelenül fejlesztők vagy rendszergazdák. "

WordPress: 2. jó gyakorlat

2.- Ismerje a sebezhetőségeit

A WordPress körülbelül 4.000 ismert biztonsági réssel rendelkezik, amelyek az alábbiak szerint oszlanak meg: WP Core (37%), Plugins (52%) és Témák (11%), a WPScans weboldalának nemrégiben készített jelentése szerint, amelyet most hívnak WPSec (01. óta). Vizsgálja meg a webhelye előtt álló biztonsági réseket, és keressen megoldást a problémák megoldására. Kerülje a WP Core, illetve annak beépülő moduljai és témái nem biztonságos verzióinak futtatását.

Koncentráljon a következő biztonsági témákra a WP-n vagy webhelyén, vagyis a A különböző típusú Támadások:

  • Nyers erő: A biztonság megerősítése a bejelentkezési oldalon.
  • Fájl felvétele: A wp-config.php konfigurációs fájl biztonságának megerősítése.
  • SQL injekció: A WP-hez társított MySQL adatbázis biztonságának megerősítése.
  • Helyszíni szkriptek: A használt WP bővítmények biztonságának megerősítése.
  • Malware fertőzés: A webhely általános biztonságának megerősítése az illetéktelen hozzáférés, a rosszindulatú programok beillesztésének és a bizalmas adatok későbbi gyűjtésének megakadályozása érdekében. A leggyakoribb rosszindulatú programok vagy támadások általában a következő típusúak: Backdoor, Spam SEO, HackTool, Mailer, Defacement és Phishing. Védje webhelyét az ilyen típusú rosszindulatú programokkal vagy támadásokkal szemben.

Ne feledje, hogy ha bármely webhely veszélybe kerül, akkor SEO rangsora károsodhat. Mivel a keresőmotorok hajlamosak gyorsan naplózni a veszélyeztetett webhelyeket, így a böngészők vagy figyelmeztető jeleket adnak a látogatóknak, vagy teljesen blokkolják az ezeken a webhelyeken történő navigálást.

WordPress: 3. jó gyakorlat

3.- Ismerje a szolgáltató infrastruktúráját

Ha webhelye külső tárhelyet használ, vagyis az infrastruktúráján kívül bérelt, ne spóroljon a költségekkel, hogy biztosítsa a szolgáltató minőségét. Mindenekelőtt, ha a webhelyét a "megosztott tárhely" rendszer keretében üzemelteti.

mint a rossz minőségű „megosztott tárhely” sebezhetőbbé teheti webhelyét amikor az ugyanazon a szerveren tárolt több webhely egyike sérül. Vagyis ha egy webhelyet egy megosztott tárolással ellátott szerveren feltörnek, akkor a támadók hozzáférhetnek más webhelyekhez és adataikhoz is.

WordPress: 4. jó gyakorlat

4.- Ismerje az ewebes műszaki előírások a tárhelyszolgáltatótól

Ami a tárhelyszolgáltató értékelését illeti, az infrastruktúrája nem minden. Fontosak azok a technikai webes specifikációk is, amelyeket a tárhelyszolgáltató használ a tárolt webhelyek nagyobb biztonságának elérése érdekében. Győződjön meg arról, hogy az megfelel a webhelye üzemeltetésének alábbi ajánlott biztonsági irányelveinek:

  • Az SSL tanúsítványok egyszerű telepítése
  • A webkiszolgáló szoftver verzióinak aktív kezelése.
  • Tűzfal védelem
  • A weboldalhoz való hozzáférések nyilvántartása
  • Rutin biztonsági auditok
  • Rosszindulatú tevékenység észlelése
  • Legalább az SFTP (nem csak az FTP), a TLS 1.2 és az 1.3, valamint a PHP 5.6 támogatása, bár 7.0-tól ajánlott.

Minderre legalább azért van szükség, hogy növelje webhelye biztonságát WP-vel vagy anélkül, mint használt CMS-t.

WordPress - Témák és beépülő modulok: Bővítmények

5.- Óvakodjon a használt témáktól és kiegészítésektől

A telepített beépülő modulok és témák biztonsági szempontból sokat számítanak. Célja, hogy csak hivatalos WP vagy közösségi tanúsítvánnyal rendelkező témákat és bővítményeket, jól ismert kereskedelmi adattárakat használja, vagy közvetlenül jó hírű fejlesztőktől. Mivel sokan (nem tanúsítottak) rosszindulatú kódot tartalmazhatnak.

Nem számít, mennyire védi webhelyét a WP-től, ha telepíti a rosszindulatú programot. Tegye meg a kutatását, mielőtt bármilyen témát és bővítményt, vagy azok fejlesztői vagy promóciós webhelyét letöltené és telepítené, és foglalja le foglalásait az ingyenes vagy kedvezményesekkel.

WordPress: 5. jó gyakorlat

6.- Próbáld gyakran frissíteni a CMS-t

A webplatform frissítései nagyon fontosak a biztonság szempontjából. Bármelyik WP a CMS-en, ha nem, a Core, a téma vagy a beépülő modulok elavult verziói az ismert sebezhetőségek tárolásához vezethetnek a webhelyén. A nyílt forráskódú WP esetében az alkalmazás Core-on belül külön csoport foglalkozik ezzel a kérdéssel.

A WP-ben felfedezett minden biztonsági rést azonnal kijavítanak és megszüntetnek a WP-ben feltárt minden új biztonsági probléma megoldása érdekében. A frissítés miatt A WP, valamint annak összes témája és beépülő modulja a sikeres biztonsági stratégia létfontosságú eleme.

WordPress: 6. jó gyakorlat

7.- Találtam egy megfelelő jelszót

A webhelyeken található jelszavak minősége vagy erőssége nagyon fontos. Webhelyeinkre való bejelentkezés elsődleges cél a sebezhetőségek kiaknázásában, mivel ez biztosítja a legkönnyebb hozzáférést a webhely adminisztrációs oldalához.

A nyers erőszakos támadások a leggyakoribb módszerek a bejelentkezésed kihasználására, felfedezve a felhasználónév és jelszó kombinációkat, hogy hozzáférjenek a webhelyhez. A WP konkrét esetben alapértelmezés szerint nem korlátozza a sikertelen bejelentkezési kísérletek számát, ezért valaki a WP-rendszergazda bejelentkezéséhez a komplex jelszó használatát javasolja.

A jelszó kiválasztásakor vegye figyelembe ezt a CLU formátumon alapuló 3 alapvető követelményt (Összetett, hosszú, egyedi):

  • ÖSSZETETT: A jelszavaknak a lehető legvéletlenebbnek kell lenniük, és a lehető legkevésbé kell kapcsolódniuk a webadminisztrátorhoz vagy a webhelyhez.
  • HOSSZÚ: A jelszavaknak legalább 12 karakter hosszúnak kell lenniük. És megerősítve korlátozásokkal vagy korlátozásokkal a sikertelen kapcsolódási kísérletek számában.
  • CSAK: Ne használja újra a jelszavakat. Minden jelszónak időben egyedinek kell lennie. Ez az egyszerű szabály drasztikusan korlátozza a sérült jelszavak hatását.

ajánlás: Használjon olyan jelszókezelőt, mint a „LastPass” (online) és a „KeePass 2” (offline) az összes jelszó titkosított formátumban történő előállításához és tárolásához.

WordPress: 7. jó gyakorlat

8.- Mindig készítse elő a katasztrófavédelmi tervet

Ha a WP-t használja, ne feledje, hogy nincs beépített biztonsági rendszere. Vegyen fel egyet elsőbbségként, így mindig naprakész biztonsági másolatot készít a webhelyéről. A biztonsági mentések kritikus fontosságúak és általános biztonsági stratégiát kell alkalmazniuk.

Ne felejtsd el, hogy nem csak készítsen biztonsági másolatot a használt webhelyekről és adatbázisokrólde mind a beállításokat az egész szerverről automatizált feladatok révén szkriptekkel vagy klónozott képrendszerekkel, a lehető legrövidebb időn belül megkönnyítik a szükséges helyreállításokat és újratelepítéseket.

WordPress: 8. jó gyakorlat

9.- Növelje biztonságát a 2FA használatával

A kétfaktoros hitelesítés (2FA) segítségével erősítse meg WP rendszergazdai bejelentkezését vagy webhelyét, amely ma az egyik legjobb módja a webhely biztonságának biztosítására. A kétfaktoros hitelesítés további védelmi réteget ad a webhelye bejelentkezéséhez, megkövetelve, hogy a jelszó használatához további időérzékeny kódra van szükség egy másik eszköztől, például az okostelefontól a sikeres bejelentkezéshez.

WP esetén amely alapértelmezés szerint nem kínálja ezt a funkciót beágyazhatja ugyanezt egy plugin segítségévelmint például az iThemes Security.

WordPress: 9. jó gyakorlat

10.- Használjon minden szükséges biztonsági kiegészítőt

A legtöbb CMS, például a WP, beépülő modulokat használ, hogy növelje saját biztonsági potenciálját. A WP speciális eseteiben az iThemes Security nevű biztonsági plugin használata ajánlott. hogy még nagyobb védelmet nyújtson webhelyének. Ez a bővítmény blokkolja a WP-t, kijavítja az ismert hibákat, megállítja az automatizált támadásokat és megerősíti a felhasználói hitelesítő adatokat.

Ingyenes verzióval (iThemes Security) és fizetős verzióval (iThemes Security Pro) rendelkezik amely nyilvánvalóan több biztonsági funkciót biztosít, mint például a 2FA, az ütemezett rosszindulatú programok ellenőrzése, a felhasználók regisztrációja, többek között.

Következtetés

Függetlenül attól, hogy WP-n vagy más CMS-en keresztül történik-e, a legtöbb biztonsági problémát elkerülheti, ha betartja ezeket a legjobb vagy jó biztonsági gyakorlatokat. Webhelye megérdemli, és rendelkeznie kell a szükséges biztonsági intézkedésekkel annak sérthetetlenségének garantálása vagy minimalizálása érdekében, amelyet a hackerek és kekszek tevékenysége okoz.

Végül és kiegészítésként javasoljuk, hogy olvassa el ezt a másik cikket blogunkon a webhely biztonságának megerősítése érdekében, az úgynevezett: Linux-engedélyek rendszergazdáknak és fejlesztőknek.


Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra. Kötelező mezők vannak jelölve *

*

*

  1. Az adatokért felelős: Miguel Ángel Gatón
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.