WordPress: Веб-сайт қауіпсіздігі бойынша 10 үздік тәжірибе

WordPress: қауіпсіздік тұрғысынан 10 үздік тәжірибе

WordPress: қауіпсіздік тұрғысынан 10 үздік тәжірибе

WordPress (WP) ретінде белгілі ең танымал CMSкөптеген нәрселер арасында қол жетімділікке, өнімділікке және пайдаланудың қарапайымдылығына баса назар аударылып, үнемі дамып келе жатқан (ағымдағы 5.2), көптеген тілдерде пайдаланушылардың үлкен қауымдастығы бар және меншікті немесе үшінші тарап тақырыптары мен қосымшаларын пайдалану арқылы теңшеу қабілеті үлкен.

Сондай-ақ өте қауіпсіз болу үшін, бірақ ол үшін кез-келген қосымшада немесе жүйеде сияқты қауіпсіз ұзақ мерзімді іске асыруға қол жеткізу үшін жақсы тәжірибелер қолданылуы керек. Бұл жазбада біз осыған байланысты бірнеше негізгі ұсыныстар бергіміз келеді.

Кіріспе

WP веб-сайттарды құруға арналған ең танымал CMS, әдетте компьютерлік шабуылдардың жиі нысаны болып табылады, сондықтан оны үнемі жаңартып отырудан басқа, жиі техникалық қызмет көрсетуді, жаңартуды және қауіпсіздік процедураларын қажет етеді дейін осылайша қосымшалардағы әлсіздіктерден, әлсіз парольдерден, ескірген бағдарламалық жасақтамадан, көптеген басқа себептерден аулақ болыңыз, яғни жету кез-келген жоспарланған немесе күтпеген шабуылға деген осалдығыңызды айтарлықтай төмендетіңіз.

Сонымен қатар, WP кез-келген басқа мазмұнды басқару жүйелері (CMS) сияқты веб-сайтты жылдам және сапалы құруға, содан кейін оны желіге қосуға мүмкіндік береді. Модульдер, қосымша тақырыптар арқылы жұмыс пен өсуге деген жоғары қабілеттілік бұл мақсатқа қол жеткізуді бұрынғыдан да жеңілдетеді, бірақ бұл үшін ұзақ жылдар бойы үйренудің қажеті жоқ.

Алайда, жанама әсері бұдан жағымды ешнәрсе туындауы мүмкін емес, мүмкін бұл аталған құралдың кейбір менеджерлері болуы мүмкін веб-сайттың қауіпсіздігін қамтамасыз ету үшін қажетті шараларды айналып өту. Осы себепті, WP немесе кез-келген басқа CMS және веб-сайттың қауіпсіздігін қамтамасыз ету үшін кейбір жалпы және арнайы шараларды (жақсы тәжірибелер) есте ұстаған жөн.

Жақсы тәжірибелер

1.- Жалпы өз қауіпсіздігіңізді күшейтіңіз

WP қазіргі кезде Интернеттегі белсенді веб-сайттар базасының 30% -нан оңай асып түседі, бұл оны жақсы немесе жаман ниетпен басқыншылар мен / немесе шабуылдаушылар (хакерлер / хакерлер) үшін сүйікті нысанға айналдырады. Демек, ұқсас WP сайтындағы белгілі және қазірдің өзінде сәтті пайдаланылған осалдық басқа ұқсас WP сайттарында жасалады.

WordPress: 1-ші жақсы тәжірибе

Егер сіз WP-мен бір немесе бірнеше веб-сайтты басқаратын болсаңыз және / немесе қолдансаңыз, олардың онлайн қауіпсіздігін мұқият, мұқият және білетіндігіңізге көз жеткізіңіз. WP бар веб-сайттарда талданған және көрсетілген қауіпсіздік бұзушылықтарының көпшілігінің қосымшаның өзегіне аз немесе мүлдем қатысы жоқ, бірақ оны іске асыруға, конфигурациялауға және жалпы техникалық қызмет көрсетуге қатысты барлық нәрселер көп болатынын ұмытпаңыз. әзірлеушілер немесе әкімшілер қате жүзеге асырды. '

WordPress: 2-ші жақсы тәжірибе

2.- Өзіңіздің осал тұстарыңызды біліңіз

WordPress-те 4.000-ға жуық қауіпсіздік осалдықтары бар, олар келесідей таратылады: WP Core (37%), плагиндер (52%) және тақырыптар (11%), деп аталады WPScans веб-сайтының жақында жасалған есебі бойынша WPSec (01 бастап). Веб-сайтыңыздың қауіпсіздігінің осалдығын зерттеп, осы мәселелерді шешудің шешімін табыңыз. WP Core, немесе оның плагиндері мен тақырыптарының қауіпті нұсқаларын іске қосудан аулақ болыңыз.

WP немесе веб-сайтыңыздағы келесі қауіпсіздік тақырыптарына назар аударыңыз, яғни Әр түрлі түрлері Шабуылдар:

  • Қатал күш: Кіру парағыңыздағы қауіпсіздікті күшейту.
  • Файлды қосу: Wp-config.php теңшелім файлының қауіпсіздігін күшейту.
  • SQL инъекциясы: WP-мен байланысты MySQL мәліметтер қорының қауіпсіздігін күшейту.
  • Сайттың сценарийі: Пайдаланылған WP плагиндерінің қауіпсіздігін күшейту.
  • Зиянды бағдарламалық инфекция: Рұқсат етілмеген кіруді, зиянды бағдарламалық қамтамасыз етуді енгізуді және осы зиянды кодтар бойынша құпия деректерді жинауды болдырмау үшін веб-сайтыңыздың жалпы қауіпсіздігін күшейту. Көбінесе зиянды бағдарламалар немесе шабуылдар жиі кездеседі: Backdoor, SEO Spam, HackTool, Mailer, Defacement және фишинг. Сіздің сайтыңызды зиянды бағдарламалардың немесе шабуылдардың кез келген түрінен қорғауды іздеңіз.

Кез-келген веб-сайт бұзылғаннан кейін, оның SEO рейтингі зардап шегуі мүмкін екенін ұмытпаңыз. Іздеу жүйелері браузерлер келушілерге ескерту белгілерін беретін немесе сол сайттарда шарлау мүмкіндігін толығымен жабатын етіп, бұзылған веб-сайттарға жылдам кіруге бейім болғандықтан.

WordPress: 3-ші жақсы тәжірибе

3.- Хостинг провайдеріңіздің инфрақұрылымын біліңіз

Егер сіздің сайтыңыз сыртқы хостингті қолданатын болса, яғни сіздің инфрақұрылымыңыздан тыс жалданатын болса, хостинг провайдеріңіздің қызмет сапасын қамтамасыз ету үшін шығындарды үнемдемеңіз. Ең бастысы, егер ол өз сайтын «ортақ хостинг» схемасы бойынша орналастырса.

Өйткені сапасыз 'ортақ хостинг' сіздің сайтыңызды осал ете алады бір серверде сақталған бірнеше веб-сайттардың бірі бұзылған кезде. Яғни, егер веб-сайт «ортақ хостингпен» серверде бұзылса, шабуылдаушылар басқа веб-сайттарға және олардың мәліметтеріне қол жеткізе алады.

WordPress: 4-ші жақсы тәжірибе

4.- электронды біліңізвеб-техникалық сипаттамалары сіздің хостинг провайдеріңізден

Хостинг провайдерін бағалау туралы айтатын болсақ, оның инфрақұрылымы бәрі емес. Орналастырылған веб-сайттардың қауіпсіздігін жақсарту үшін хостинг провайдеріңіздің қолданатын техникалық веб-спецификасы да маңызды. Ол сіздің веб-сайтыңызды орналастыру үшін келесі ұсынылған қауіпсіздік нұсқауларына сәйкес келетініне көз жеткізіңіз:

  • SSL сертификаттарын оңай орнату
  • Веб-сервердің бағдарламалық жасақтама нұсқаларын белсенді басқару.
  • Брандмауэрден қорғау
  • Веб-сайтқа кіру жазбалары
  • Күнделікті қауіпсіздік аудиті
  • Зиянды әрекеттерді анықтау
  • SFTP-ге қолдау (тек FTP емес), TLS 1.2 және 1.3 және PHP 5.6 үшін, кем дегенде, 7.0 бастап ұсынылады.

Мұның бәрі, кем дегенде, пайдаланылған CMS ретінде WP-мен немесе онсыз веб-сайтыңыздың қауіпсіздігін арттыру үшін қажет.

WordPress - тақырыптар мен плагиндер: плагиндер

5.- Қолданылған тақырыптар мен толықтырулардан сақ болыңыз

Орнатылатын плагиндер мен тақырыптар қауіпсіздік деңгейінде өте маңызды. WP немесе Community сертификатталған ресми тақырыптар мен плагиндерді, танымал коммерциялық репозиторийлерді немесе тікелей беделді әзірлеушілерден ғана пайдалануды мақсат етіңіз. Олардың көпшілігінде (сертификатталмаған) зиянды код болуы мүмкін.

Егер зиянды бағдарламаны орнатсаңыз, веб-сайтыңызды WP-ден қаншалықты қорғайтыныңыз маңызды емес. Кез-келген тақырыптар мен плагиндерді немесе олардың әзірлеушілерінің немесе промоутерлерінің веб-сайттарын жүктеп, орнатпас бұрын өз зерттеулеріңізді жасаңыз және ақысыз немесе жеңілдіктермен тапсырыс жасаңыз.

WordPress: 5-ші жақсы тәжірибе

6.- CMS-ті жиі жаңартып отыруға тырысыңыз

Веб-платформаңызға жаңартулар сіздің қауіпсіздігіңіз үшін өте маңызды. Не Сіздің CMS-ті WP немесе жоқ, Core, Theme немесе плагиндердің ескірген нұсқалары сіздің веб-сайтыңыздағы белгілі осалдықтарды сақтауға әкелуі мүмкін. Бастапқы көзі болып табылатын WP-де қосымшаның өзегінде осы мәселеге арнайы арналған топ бар.

WP-де анықталған кез-келген қауіпсіздік осалдығы тез арада жойылады және жойылады WP-де табылған әрбір жаңа қауіпсіздік мәселелерін шешу үшін. Сол жаңартудың арқасында WP және оның барлық тақырыптары мен плагиндерінің ең соңғы нұсқасы - қауіпсіздік стратегиясының маңызды компоненті.

WordPress: 6-ші жақсы тәжірибе

7.- Мен сәйкес құпия сөз таптым

Веб-сайттардағы құпия сөздердің сапасы немесе күші өте маңызды. Біздің веб-сайттарға кіру осалдықтарды пайдаланудың қолайлы бағыты болып табылады, өйткені ол сіздің веб-сайтыңыздың әкімшілік парағына ең оңай қол жеткізуге мүмкіндік береді.

Күшті шабуыл - бұл сіздің логиніңізді пайдаланудың ең кең таралған әдісі, веб-сайтқа кіру үшін пайдаланушы аты мен құпия сөз тіркесімдерін табу. WP-дің нақты жағдайында, әдепкі бойынша, ол біреудің жасай алмайтын сәтсіз кіру әрекеттерін шектемейді, сондықтан WP әкімшісінің кіруіне күрделі парольді қолдану ұсынылады.

Құпия сөзді таңдағанда, CLU форматына негізделген осы 3 негізгі талапты ескеріңіз (Кешенді, Ұзын, Бірегей):

  • КЕШЕН: Құпия сөздер мүмкіндігінше кездейсоқ болуы керек және веб-әкімшіге немесе веб-сайтқа аз қатысы болуы керек.
  • ҰЗАҚ: Құпия сөздердің ұзындығы 12 немесе одан көп таңбадан тұруы керек. Сондай-ақ сәтсіз қосылу әрекеттері санының шектеулері немесе шектеулері бар.
  • ТЕК: Құпия сөздерді қайта қолданбаңыз. Әрбір пароль уақыт бойынша ерекше болуы керек. Бұл қарапайым ереже бұзылған кез-келген құпия сөздің әсерін күрт шектейді.

Ұсыныс: Құпия сөздердің барлығын жасау және сақтау үшін «LastPass» (онлайн) және «KeePass 2» (оффлайн) сияқты құпия сөз менеджерін пайдаланыңыз.

WordPress: 7-ші жақсы тәжірибе

8.- Апатқа қарсы жоспарыңызды әрқашан дайындаңыз

Егер сіз WP-ді қолдансаңыз, онда оның сақтық көшірме жүйесі жоқ екенін ұмытпаңыз. Басымдық ретінде біреуін қосыңыз, сондықтан сізде әрқашан веб-сайтыңыздың сақтық көшірмесі болады. Сақтық көшірме жасау өте маңызды және жалпы қауіпсіздік стратегиясы.

Сіз тек қана емес екенін ұмытпаңыз қолданылған веб-сайттар мен дерекқорлардың сақтық көшірмесін жасаубірақ бәрі параметрлер бүкіл сервер қысқа мерзімде қажетті қалпына келтіруді және қайта орнатуды жеңілдету үшін сценариймен немесе клондық кескін жүйесімен автоматтандырылған тапсырмалар арқылы.

WordPress: 8-ші жақсы тәжірибе

9.- 2FA көмегімен қауіпсіздікті арттырыңыз

Екі факторлы аутентификация (2FA) механизмін қолдана отырып, WP әкімші логинін немесе веб-сайтыңызды күшейтіңіз, бұл сіздің веб-сайтыңызды қорғаудың ең жақсы әдістерінің бірі. Екі факторлы аутентификация сіздің пароліңізді пайдалану үшін басқа құрылғыдан, мысалы, смартфоннан сәтті кіру үшін қосымша уақытқа сезімтал кодты талап ету арқылы веб-сайтыңызға кірудің қосымша қабатын қосады. .

WP жағдайында әдепкі бойынша бұл функцияны ұсынбайды плагинді қолдану арқылы дәл солай енгізіңізiThemes Security сияқты бірдей қосу керек.

WordPress: 9-шы тәжірибе

10.- Қажетті қауіпсіздік керек-жарақтарын қолданыңыз

WP сияқты көптеген CMS плагиндерді өздерінің қауіпсіздік әлеуетін арттыру үшін пайдаланады. WP-дің нақты жағдайында iThemes Security деп аталатын қауіпсіздік плагинін пайдалану ұсынылады. сіздің веб-сайтыңызға одан да көп қорғаныс қосу үшін. Бұл плагин WP-ді блоктайды, белгілі тесіктерді бекітеді, автоматтандырылған шабуылдарды тоқтатады және пайдаланушының тіркелгі деректерін күшейтеді.

Оның ақысыз нұсқасы (iThemes Security) және ақылы нұсқасы (iThemes Security Pro) бар бұл, мысалы, 2FA, зиянды бағдарламалық жасақтаманы сканерлеу, пайдаланушыны тіркеу сияқты басқа да қауіпсіздік мүмкіндіктерін ұсынады.

қорытынды

WP немесе басқа CMS-тен асып кетсе де, сіз ең жақсы немесе ең жақсы қауіпсіздік тәжірибелерін орындау арқылы көптеген веб-сайттардағы қауіпсіздік мәселелерінен аулақ бола аласыз. Сіздің веб-сайтыңыз хакерлер мен хакерлердің белсенділігімен мазасызданған қазіргі уақытта оның қол сұғылмаушылығына кепілдік беру немесе азайту үшін қажетті қауіпсіздік шараларын қабылдауға лайық және болуы керек.

Соңында және қосымша ретінде, осы мақаланы біздің блогтан оқуға кеңес береміз Сіздің веб-сайтыңыздың қауіпсіздігін күшейту үшін келесі тақырыптар бойынша: Жүйе әкімшілері мен әзірлеушілеріне арналған Linux рұқсаттары.


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

Бірінші болып пікір айтыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.