וורדפרס: 10 שיטות עבודה מומלצות בענייני אבטחה
וורדפרס (WP) ידוע בשם CMS הפופולרי ביותר, בין דברים רבים, לאחר שתוכנן עם דגש על נגישות, ביצועים וקלות שימוש, בהיותם בפיתוח מתמשך (גרסה 5.2 הנוכחית), יש קהילה ענקית של משתמשים בשפות רבות ויש להם יכולת התאמה אישית עצומה באמצעות ערכות נושא ותוספים של צד שלישי.
גם על היותך בטוח מאודאך לשם כך, כמו בכל יישום או מערכת, יש לנקוט בשיטות עבודה טובות כדי להשיג יישום מאובטח לטווח ארוך. ובפוסט זה אנו רוצים לספק המלצות בסיסיות בנושא זה.
מבוא
WP הוא CMS הפופולרי ביותר לבניית אתרים, הוא בדרך כלל גם יעד תכוף להתקפות מחשב, ולכן מלבד העדכון המתמיד שלו, דורש נהלי תחזוקה, עדכון ואבטחה תכופים סעיף ובכך להימנע מחולשות כתוצאה מפגיעות בתוספות, סיסמאות חלשות, תוכנות מיושנות, בין סיבות רבות אחרות, כלומר lograr להפחית במידה ניכרת את הפגיעות שלך לכל התקפה שנועדה או בלתי צפויה.
בנוסף, WP כמו כל מערכות ניהול תוכן אחרות (CMS) מאפשרת לך לבנות אתר במהירות וביעילות ואז לשים אותו ברשת. יכולתו הרבה לעבודה וצמיחה, באמצעות מודולים, נושאים משלימים, מקלה על ביצוע משימה זו מתמיד, אך ללא צורך בשנות הלימוד הארוכות הנדרשות בדרך כלל לשם כך.
עם זאת, תופעת לוואי שום דבר נעים שיכול לנבוע מכך, יכול להיות שיש מנהלים של הכלי האמור, בדרך כלל לעקוף, את הצעדים הדרושים כדי להבטיח שהאתר שנוצר או מתוחזק מאובטח. מסיבה זו, חשוב לזכור כמה אמצעים כלליים וספציפיים (שיטות עבודה טובות), אודות WP או כל אתר CMS ואתר אחר בכדי לשמור על בטיחותו.
אימונים טובים
1.- לחזק את הביטחון שלך באופן כללי
WP בוודאי עולה בקלות על 30% מבסיס האתרים הפעילים באינטרנט כיום, מה שהופך אותו ליעד מועדף על פולשים ו / או תוקפים (האקרים / פיצוחים) עם כוונות טובות או רעות. לכן, פגיעות ידועה וכבר מנוצלת בהצלחה באתר WP דומה תנסה באתרי WP דומים אחרים.
אז אם אתה מנהל ו / או משתמש באתר אחד או יותר עם WP, וודא שאתה זהיר, יסודי ומודע יותר לאבטחה המקוונת שלהם. יש לזכור שלמרבית הפרות האבטחה שניתחו ודיווחו באתרי אינטרנט עם WP לא היה קשר כלשהו לליבת היישום עצמו, אך הרבה מאוד קשר לכל מה שקשור ליישום, תצורה ותחזוקה כללית, שבוצע בצורה שגויה על ידי מפתחים או מנהלים. '
2.- דע את הפגיעות שלך
לוורדפרס יש כ -4.000 נקודות תורפה ידועות, המופצות כדלקמן: WP Core (37%), תוספים (52%) ועיצובים (11%), על פי דו"ח שפורסם לאחרונה מאתר WPScans, שנקרא כיום WPSec (מאז 01-05-2019). בדקו את פרצות האבטחה העומדות בפני אתרכם ומצאו פיתרון לפתרון בעיות אלה. הימנע מהפעלת גרסאות לא מאובטחות של WP Core, או תוספים ועיצובים שלה.
התמקד בנושאי האבטחה הבאים ב- WP או באתר האינטרנט שלך, כלומר ב- הסוגים השונים של התקפות מ:
- בכוח הזרוע: חיזוק האבטחה בדף הכניסה שלך.
- הכללת קבצים: חיזוק האבטחה של קובץ התצורה wp-config.php.
- הזרקת SQL: חיזוק האבטחה של מסד הנתונים MySQL שלך המשויך ל- WP.
- סקריפטים בין אתרים: חיזוק האבטחה של תוספי WP משומשים.
- זיהום זדוני: חיזוק האבטחה הכללית של האתר שלך למניעת גישה בלתי מורשית, הכנסת תוכנות זדוניות ואיסוף הנתונים הסודייים הבאים על ידי קודים זדוניים אלה. התוכנות הזדוניות או ההתקפות הנפוצות ביותר הן בדרך כלל מהסוג: Backdoor, ספאם SEO, HackTool, Mailer, Defacement and Phishing. חפש להגן על האתר שלך מפני כל אחד מסוגי התוכנות הזדוניות או התקפות אלה.
זכור שברגע שאתר כלשהו נפגע, דירוג ה- SEO שלו יכול לסבול. מכיוון שמנועי חיפוש נוטים להיכנס במהירות לאתרים שנמצאים בסכנה, כך שהדפדפנים יספקו למבקרים סימני אזהרה או יחסמו לחלוטין את היכולת לנווט באותם אתרים.
3.- הכירו את התשתית של ספק האירוח שלכם
אם האתר שלך משתמש באירוח חיצוני, כלומר, נשכר מחוץ לתשתית שלך, אל תחסכו בעלויות כדי להבטיח את איכות השירות מספק האירוח שלכם. במיוחד אם הוא מארח את האתר שלו תחת תוכנית "אירוח משותף".
מאז 'אירוח משותף' באיכות ירודה יכול להפוך את האתר שלך לפגיע יותר כאשר אחד מכמה אתרים המאוחסנים באותו השרת נפגע. כלומר, אם אתר נפרץ על שרת עם "אירוח משותף", התוקפים יכולים גם לקבל גישה לאתרים אחרים ולנתונים שלהם.
4.- דע את המפרט טכני באינטרנט מספק האחסון שלך
בכל הנוגע להערכת ספק אירוח, התשתית שלו אינה הכל. מפרטי הרשת הטכניים המשמשים את ספק האירוח שלך להשגת אבטחה טובה יותר של האתרים המתארחים חשובים גם הם. ודא שהוא עומד בהנחיות האבטחה המומלצות הבאות לאירוח האתר שלך:
- התקנה קלה של אישורי SSL
- ניהול פעיל של גרסאות תוכנת שרתי האינטרנט.
- הגנת חומת אש
- תיעוד הגישות לאתר
- ביקורות אבטחה שגרתיות
- זיהוי פעילות זדונית
- תמיכה ב- SFTP (לא רק ב- FTP), TLS 1.2 ו- 1.3, ו- PHP 5.6, לכל הפחות, אם כי מומלץ 7.0 ואילך.
כל זה נחוץ, לכל הפחות, בכדי להגביר את האבטחה באתר האינטרנט שלך עם WP או בלעדיו כ- CMS משומש.
5.- היזהר מנושאים ומשלים המשמשים
התוספים והנושאים המותקנים חשובים מאוד ברמת האבטחה. שאפו להשתמש רק בתמות ותוספים רשמיים מאושרים על ידי WP או קהילה, מאגרים מסחריים ידועים או ישירות ממפתחים מכובדים. מכיוון שרבים מהם (לא מוסמכים) יכולים להכיל קוד זדוני.
לא משנה כמה אתה מגן על האתר שלך מפני WP אם אתה מתקין את התוכנה הזדונית. עשה את המחקר שלך לפני הורדת והתקנת נושאים ותוספים כלשהם, או אתר המפתחים או היזמים שלהם, והזמנת עם החינם או המוזלים.
6. - נסה לעדכן את ה- CMS שלך לעתים קרובות
עדכונים לפלטפורמת האינטרנט שלך חשובים מאוד לביטחונך. או השתמש ב- CMS שלך או לא, גרסאות מיושנות של הליבה, העיצוב או התוספים שלך יכולות להוביל אותך לאבטחת נקודות תורפה באתר שלך. במקרה של WP, שהוא קוד פתוח, יש צוות שמוקדש במיוחד לנושא זה בתוך הליבה של היישום.
כל פגיעות אבטחה שמתגלה ב- WP מתוקנת ומסולקת מיד על מנת לפתור כל בעיית אבטחה חדשה שהתגלתה ב- WP. בגלל העדכון הזה WP וכל הנושאים והתוספים שלה לגרסה האחרונה הם מרכיב חיוני באסטרטגיית אבטחה מוצלחת.
7.- מצאתי סיסמה מתאימה
האיכות או העוצמה של הסיסמאות שלנו באתרים חשובים מאוד. כניסה לאתרים שלנו היא יעד עיקרי לניצול נקודות תורפה, מכיוון שהיא מספקת את הגישה הקלה ביותר לדף הניהול של האתר שלך.
התקפות כוח אכזרי הן השיטה הנפוצה ביותר לניצול הכניסה שלך, גילוי שילובי שם המשתמש והסיסמה כדי לקבל גישה לאתר. במקרה הספציפי של WP, כברירת מחדל זה לא מגביל את מספר ניסיונות הכניסה הכושלים שמישהו יכול לבצע, לכן עדיף להשתמש בסיסמה מורכבת לצורך כניסה של מנהל ה- WP שלך.
בבחירת סיסמה, קח בחשבון את 3 הדרישות הבסיסיות הללו בהתבסס על פורמט CLU (מורכב, ארוך, ייחודי):
- מורכב: סיסמאות צריכות להיות אקראיות ככל האפשר וכמה שפחות קשורות למנהל האינטרנט או לאתר.
- ארוך: הסיסמאות צריכות להיות באורך של 12 תווים או יותר. ומחוזק עם מגבלות או מגבלות על מספר ניסיונות החיבור הכושלים.
- רק: אל תעשה שימוש חוזר בסיסמאות. כל סיסמה חייבת להיות ייחודית בזמן. כלל פשוט זה מגביל באופן דרמטי את ההשפעה של כל סיסמא שנמצאת בסכנה.
המלצה: השתמש במנהל סיסמאות כמו "LastPass" (מקוון) ו- "KeePass 2" (לא מקוון) כדי ליצור ולאחסן את כל הסיסמאות שלך בפורמט מוצפן.
8.- הכינו תמיד את תוכנית האנטי-אסון שלכם
אם אתה משתמש ב- WP זכור כי אין לו מערכת גיבוי מובנית. כלול אחד בעדיפות, כך שתמיד יהיה לך גיבוי עדכני של האתר שלך. גיבויים הם קריטיים ואסטרטגיית אבטחה כללית ליישום.
אל תשכח שאתה צריך לא רק גבה את האתרים ובסיסי הנתונים המשמשים אותךאבל הכל ההגדרות של כל השרת באמצעות משימות אוטומטיות עם סקריפטים או מערכות תמונה משובטות, כדי להקל על השחזורים וההתקנות הנדרשות בזמן הקצר ביותר.
9.- הגדל את האבטחה שלך באמצעות 2FA
לחזק את כניסה למנהלי מערכת WP או את אתר האינטרנט שלך באמצעות מנגנון אימות דו-גורמי (2FA), שהיא אחת הדרכים הטובות ביותר לאבטח את האתר שלך כיום. אימות דו-גורמי מוסיף שכבת הגנה נוספת לכניסה לאתר שלך, על ידי דרישה כי השימוש בסיסמה שלך דורש קוד רגיש לזמן נוסף ממכשיר אחר, כגון הטלפון החכם שלך, כדי להתחבר בהצלחה.
במקרה של WP שאינו מציע פונקציונליות זו כברירת מחדל להטמיע אותו באמצעות תוסףכגון אבטחת iThemes כדי להוסיף את אותו הדבר.
10.- השתמש בכל אביזרי האבטחה הדרושים
רוב מערכות ה- CMS כמו WP משתמשות בתוספים כדי להגדיל את פוטנציאל האבטחה של עצמם. במקרה הספציפי של WP, מומלץ להשתמש בתוסף האבטחה הנקרא iThemes Security. כדי להוסיף עוד יותר הגנה לאתר שלך. תוסף זה חוסם WP, מתקן חורים ידועים, עוצר התקפות אוטומטיות ומחזק את אישורי המשתמשים.
יש לו גרסה חינמית (iThemes Security) וגרסה בתשלום (iThemes Security Pro) אשר ללא ספק מספק יותר תכונות אבטחה כגון 2FA, סריקות תוכנות זדוניות מתוזמנות, רישום משתמשים, בין היתר.
מסקנה
בין אם זה באמצעות WP או CMS אחר, אתה יכול להימנע מרוב בעיות האבטחה של אתרים פשוט על ידי ביצוע שיטות עבודה מומלצות אלה או שיטות עבודה מומלצות. אתר האינטרנט שלך ראוי וחייב שיהיו בו אמצעי האבטחה הנדרשים כדי להבטיח או למזער את פגיעותו בתקופות אלה המוטרדות כל כך מפעילות האקרים ופיצוחים.
לבסוף וכתוספת אנו ממליצים לך לקרוא מאמר אחר זה בבלוג שלנו בנושא בכדי לחזק את האבטחה באתר האינטרנט שלך, הנקרא: הרשאות לינוקס למנהלי מערכת ומפתחי מערכת.