WordPress: веб-сайттар үчүн коопсуздук жагынан 10 мыкты тажрыйба

WordPress: коопсуздук жагынан 10 мыкты тажрыйба

WordPress: коопсуздук жагынан 10 мыкты тажрыйба

WordPress (WP) катары белгилүү эң популярдуу CMSКөптөгөн нерселердин арасынан, жеткиликтүүлүккө, өндүрүмдүүлүккө жана колдонууга ыңгайлуулукка басым жасап, үзгүлтүксүз өнүгүүдө (учурдагы версия 5.2), көптөгөн тилдердеги колдонуучулардын ири жамаатына ээ жана жеке же үчүнчү жактардын темаларын жана кошумчаларын колдонуу аркылуу настройкалоо мүмкүнчүлүгү чоң.

Ошондой эле абдан коопсуз болгон үчүн, бирок ал үчүн, бардык колдонмолордогу же тутумдардагыдай эле, узак мөөнөттүү коопсуз ишке ашырууга жетишүү үчүн жакшы тажрыйбаларды колдонуу керек. Жана бул билдирүүдө биз буга байланыштуу бир нече негизги сунуштарды бергибиз келет.

тааныштыруу

WP веб-сайттарды куруу үчүн эң популярдуу CMS, ошондой эле, адатта, компьютердик чабуулдар көп болуп турат, андыктан анын туруктуу жаңылануусунан тышкары, тез-тез техникалык тейлөө, жаңыртуу жана коопсуздук жол-жоболорун талап кылат үчүн ошентип, көптөгөн кошумча себептерден тышкары, кошумчалардагы алсыздыктардан, алсыз паролдордон, эскирген программалык камсыздоолордон, башкача айтканда, жетүү кандайдыр бир болжолдонгон же күтүлбөгөн кол салууга карата аялуу сезимиңизди кыйла төмөндөтөт.

Мындан тышкары, WP дагы башка Мазмунду башкаруу тутумдары (CMS) сыяктуу эле, веб-сайтты тез жана натыйжалуу куруп, андан кийин онлайн режиминде жайгаштырууга мүмкүнчүлүк берет. Модулдар, бири-бирин толуктап турган темалар аркылуу иштөө жана өсүү жөндөмдүүлүгү бул милдетти ишке ашырууну мурункуга караганда жеңилдетет, бирок адатта бул үчүн талап кылынган көп жылдык билим талап кылынбайт.

Бирок, терс таасир Ушундан улам жагымдуу эч нерсе пайда болбойт, адатта, аталган шайманын айрым менеджерлери болушу мүмкүн айланып өтүү, веб-сайттын коопсуздугун камсыз кылуу үчүн зарыл болгон иш-чаралар. Ушул себептен, WP же башка CMS жана веб-сайттын коопсуздугун камсыз кылуу үчүн жалпы жана конкреттүү чараларды (жакшы тажрыйбаларды) эсиңизден чыгарбаңыз.

Жакшы тажрыйбалар

1.- Жалпысынан коопсуздугуңузду бекемдеңиз

Бүгүнкү күндө WP Интернеттеги жигердүү веб-сайттардын базасынын 30% ашат, бул аны жакшы же жаман ниет менен басып алуучулар жана / же кол салуучулар (хакерлер / хакерлер) үчүн сүйүктүү бутага айландырат. Ошондуктан, WP менен окшош сайтта белгилүү жана буга чейин ийгиликтүү колдонулган аялуу жер, WP бар башка ушул сыяктуу сайттарда аракет кылынат.

WordPress: 1st Good Practice

Демек, сиз WP менен бир же бир нече веб-сайтты башкарсаңыз жана / же колдонсоңуз, анда алардын онлайн коопсуздугу жөнүндө көбүрөөк кылдат, кылдат жана кабардар экениңизге ынаныңыз. WP менен талданган жана веб-сайттарда жарыяланган коопсуздук эрежелеринин көпчүлүгүнүн тиркеменин өзөгүнө эч кандай тиешеси жок болгонун, бирок аны ишке ашыруу, конфигурациялоо жана жалпы техникалык тейлөө менен байланышкан нерселер туура эмес жүргүзүлгөндүгүн унутпаңыз. иштеп чыгуучулар же администраторлор тарабынан. '

WordPress: 2nd Good Practice

2.- Өзүңүздүн аялуу жерлериңизди билип алыңыз

WordPressтин болжол менен 4.000ге жакын коопсуздук осал жерлери бар: WP Core (37%), Plugins (52%) жана Themes (11%), деп аталган WPScans веб-сайтынын акыркы отчетуна ылайык WPSec (01 бери). Вебсайтыңыздагы коопсуздуктун начар жерлерин изилдеп, көйгөйлөрдү чечүү үчүн чечим табыңыз. WP Core, же анын плагиндери менен темаларынын кооптуу версияларын иштетүүдөн алыс болуңуз.

WP же веб-сайтыңыздагы төмөнкү коопсуздук темаларына көңүл буруңуз, б.а. Ар кандай түрлөрү Чабуулдар:

  • Кара күч: Кирүү барагыңызда коопсуздукту күчөтүү.
  • Файлдын камтылышы: Wp-config.php конфигурация файлыңыздын коопсуздугун бекемдөө.
  • SQL инжекциясы: WP менен байланышкан MySQL маалымат базаңыздын коопсуздугун бекемдөө.
  • Сайттын кайчылаш сценарийи: Колдонулган WP плагиндеринин коопсуздугун күчөтүү.
  • Зыяндуу программалык инфекция: Уруксатсыз кирүүгө жол бербөө үчүн, веб-сайтыңыздын жалпы коопсуздугун бекемдөө, зыяндуу программаларды киргизүүгө жана андан кийин ушул зыяндуу коддор менен купуя маалыматтарды чогултуу. Көбүнчө Зыяндуу программалар же чабуулдар көбүнчө типте болот: Backdoor, SEO Spam, HackTool, Mailer, Defacement жана фишинг. Сайтыңызды ар кандай зыяндуу программалардан же чабуулдардан коргоону издеңиз.

Вебсайт бузулганда, анын SEO рейтингине доо кетиши мүмкүн экендигин унутпаңыз. Издөө тутумдары бузулган веб-сайттарга тез кирүүгө жакын болгондуктан, браузерлер келүүчүлөргө эскертүүчү белгилерди берет же алардын ошол сайттарда өтүү мүмкүнчүлүгүн толугу менен жаап салат.

WordPress: 3rd Good Practice

3.- Хостинг провайдериңиздин инфраструктурасын билүү

Эгерде сиздин веб-сайтыңыз тышкы хостингди колдонсо, башкача айтканда, сиздин инфраструктураңыздан тышкары жалданса, хостинг провайдериңизден тейлөө сапатын камсыз кылуу үчүн чыгымдарды үнөмдөбөңүз. Баарынан маанилүүсү, эгер ал өз сайтын "жалпы хостинг" схемасы боюнча жайгаштырса.

катары сапатсыз 'жалпы хостинг' сиздин сайтыңызды дагы аялуу кылышы мүмкүн бир серверде сакталган бир нече веб-сайттардын бири бузулганда. Башкача айтканда, "жалпы хостинг" менен серверде веб-сайт бузулуп калса, чабуулчулар башка веб-сайттарга жана алардын маалыматтарына кире алышат.

WordPress: 4th Good Practice

4.- электрондук билүүвеб техникалык мүнөздөмөлөрү хостинг провайдериңизден

Хостинг провайдерин баалоого келгенде, анын инфраструктурасы баары эле эмес. Хостинг провайдериңиздин жайгаштырылган веб-сайттардын коопсуздугун жогорулатуу үчүн колдонгон техникалык веб-спецификациялары дагы маанилүү. Вебсайтыңызды жайгаштыруу үчүн төмөнкү сунушталган коопсуздук эрежелерине ылайык иш алып барыңыз:

  • SSL сертификаттарын оңой орнотуу
  • Веб-сервердин программалык камсыздоо версияларын активдүү башкаруу.
  • Firewall коргоо
  • Вебсайтка кирүү мүмкүнчүлүктөрүн жазуу
  • Күнүмдүк коопсуздук текшерүүлөрү
  • Кесепеттүү аракеттерди аныктоо
  • SFTP (бир гана FTP эмес), TLS 1.2 жана 1.3 жана PHP 5.6 үчүн, жок дегенде 7.0 сунушталат, бирок колдоо.

Мунун бардыгы, жок эле дегенде, колдонулган CMS катары WP менен же жок Вебсайтыңыздын коопсуздугун жогорулатуу үчүн керек.

WordPress - Темалар жана плагиндер: плагиндер

5.- Колдонулган темалардан жана толуктоолордон сак болуңуз

Орнотулган плагиндер жана темалар коопсуздук деңгээлинде чоң мааниге ээ. Расмий WP же Коомчулук тарабынан тастыкталган темаларды жана плагиндерди, белгилүү коммерциялык репозиторийлерди же түздөн-түз абройлуу иштеп чыгуучулардан гана пайдаланууну максат кылыңыз. Алардын көпчүлүгүндө (тастыкталбаган) зыяндуу коддор болушу мүмкүн.

Зыяндуу программаны орнотсоңуз, веб-сайтыңызды WPден канчалык деңгээлде коргой турганыңыз маанилүү эмес. Каалаган темаларды жана плагиндерди, же алардын иштеп чыгуучусунун же промоутеринин веб-сайтын жүктөөдөн жана орнотуудан мурун изилдөө жүргүзүп, акысыз же арзандатылган менен алдын ала ойлонуп алыңыз.

WordPress: 5th Good Practice

6.- CMS-ти тез-тез жаңыртып турууга аракет кыл

Веб платформаңыздагы жаңыртуулар сиздин коопсуздугуңуз үчүн абдан маанилүү. Же болбосо Сиздин CMSти WP же жокпу, Core, Theme же плагиндеринин эскирген версиялары веб-сайтыңыздагы белгилүү аялуу жерлерди сактоого түртүшү мүмкүн. Ачык маалымат булагы болгон WPде, тиркеменин өзөгүндө ушул маселеге арналган атайын топ бар.

WPде табылган бардык коопсуздук аялуу жерлери токтоосуз жоюлуп, четтетилет WPде табылган ар бир жаңы коопсуздук көйгөйүн чечүү үчүн. Ошол жаңыртуудан улам WP жана анын бардык темалары жана плагиндери акыркы нускага чейин, ийгиликтүү коопсуздук стратегиясынын маанилүү компоненти болуп саналат.

WordPress: 6th Good Practice

7.- Ылайыктуу паролду таптым

Вебсайттардагы паролдорубуздун сапаты же күчү абдан маанилүү. Биздин веб-сайттарга кирүү аялуу жерлерди пайдалануунун башкы максаты болуп саналат, анткени ал сиздин веб-сайтыңыздын административдик баракчасына оңой кирүүгө мүмкүнчүлүк берет.

Катуу күч менен жасалган чабуулдар сиздин логинди колдонуунун эң кеңири таралган ыкмасы, вебсайтка кирүү үчүн колдонуучунун аты менен сыр сөз айкаштарын табуу. WP конкреттүү учурда, демейки шартта, кимдир бирөө жасай албаган кирүү аракетинин санын чектебейт, андыктан WP администраторуңуздун кирүүсү үчүн татаал паролду колдонуу сунушталат.

Сыр сөздү тандоодо CLU форматына негизделген ушул 3 негизги талапты эске алыңыз (Татаал, Узун, Уникалдуу):

  • КОМПЛЕКС: Сырсөздөр мүмкүн болушунча кокустук болушу керек жана Веб Администраторго же Вебсайтка аз гана байланыштуу.
  • УЗАК: Сыр сөздүн узундугу 12 же андан көп белгиден турушу керек. Жана ийгиликсиз туташуу аракеттеринин санына коюлган чектөөлөр же чектөөлөр менен бекемделген.
  • ГАНА: Сырсөздөрдү кайра колдонбоңуз. Ар бир сыр сөз убагында өзгөчө болушу керек. Бул жөнөкөй эреже бузулган сыр сөздүн таасирин кескин чектейт.

сунуш: Бардык сырсөздөрүңүздү шифрленген форматта түзүү жана сактоо үчүн "LastPass" (онлайн) жана "KeePass 2" (оффлайн) сыяктуу сырсөз башкаргычын колдонуңуз.

WordPress: 7-тажрыйба

8.- Ар дайым кырсыкка каршы планыңызды даярдаңыз

Эгер сиз WP колдонсоңуз, анда камдык резервдик тутуму жок экендигин унутпаңыз. Приоритет катары бирин кошуңуз, ошондо ар дайым веб-сайтыңыздын камдык көчүрмөсүн жаңыртып турасыз. Камдык көчүрмө маанилүү жана аны ишке ашыруу үчүн жалпы коопсуздук стратегиясы.

Сиз гана эмес, унутпаңыз колдонулган вебсайттарыңыздын жана маалымат базаларыңыздын камдык көчүрмөсүн сактообирок баары орнотуулар бүтүндөй сервердин скрипт же клондолгон сүрөт тутумдары бар автоматташтырылган тапшырмалар аркылуу, кыска мөөнөттө керектүү калыбына келтирүүлөрдү жана кайра орнотууларды жеңилдетүү.

WordPress: 8-тажрыйба

9.- 2FA колдонуп, коопсуздугуңузду жогорулатыңыз

WP администраторуңуздун логинди же веб-сайтыңызды эки факторлуу аутентификация (2FA) механизмин колдонуп бекемдеңиз, бул бүгүнкү күндө веб-сайтыңызды коргоонун мыкты ыкмаларынын бири. Эки факторлуу аутентификация сиздин паролду колдонуу үчүн башка түзмөктөн, мисалы, смартфондон ийгиликтүү кирүү үчүн кошумча сезгич кодду талап кылуу менен, сиздин веб-сайтыңызга кошумча коргоо катмарын кошот.

WP учурда демейки шартта бул функцияны сунуш кылбайт плагинди колдонуу менен бирдей кыстаруусыяктуу iThemes Коопсуздук сыяктуу эле кошуу.

WordPress: 9-тажрыйба

10.- Керектүү коопсуздук жабдууларын колдонуңуз

WP сыяктуу көпчүлүк CMS плагиндерди өзүлөрүнүн коопсуздук потенциалын жогорулатуу үчүн колдонушат. WP конкреттүү учурда, iThemes Security деп аталган коопсуздук плагинин колдонуу сунушталат. веб-сайтыңызга дагы көбүрөөк коргоону кошуу үчүн. Бул плагин WPди бөгөп, белгилүү тешиктерди оңдоп, автоматташтырылган чабуулдарды токтотуп, колдонуучунун ишеним маалыматтарын бекемдейт.

Анын акысыз версиясы (iThemes Security) жана акы төлөнүүчү версиясы (iThemes Security Pro) бар Бул, албетте, 2FA, пландаштырылган зыяндуу программаларды издөө, колдонуучуну каттоо жана башка көптөгөн коопсуздук функцияларын камсыз кылат.

жыйынтыктоо

Бул WP же башка CMS үстүнөн болобу, сиз веб-сайттын коопсуздугунун көйгөйлөрүнүн көпчүлүгүн ушул мыкты же жакшы коопсуздук тажрыйбаларын сактоо менен гана сактай аласыз. Веб-сайтыңыз хакерлердин жана крекерлердин ишинен улам ушул мезгилде анын кол тийбестигин кепилдөө же минималдаштыруу үчүн зарыл болгон коопсуздук чараларын көрүүгө тийиш.

Акыры жана кошумча катары, ушул башка макаланы блогубуздан окуп чыгууну сунуштайбыз Вебсайтыңыздын коопсуздугун чыңдоо үчүн ушул темада: Тутум администраторлору жана иштеп чыгуучулары үчүн Linux уруксаты.


Макаланын мазмуну биздин принциптерге карманат редакциялык этика. Ката жөнүндө кабарлоо үчүн чыкылдатыңыз бул жерде.

Комментарий биринчи болуп

Комментарий калтырыңыз

Сиздин электрондук почта дареги жарыяланбайт. Милдеттүү талаалар менен белгиленет *

*

*

  1. Маалыматтар үчүн жооптуу: Мигель Анхель Гатан
  2. Маалыматтын максаты: СПАМды көзөмөлдөө, комментарийлерди башкаруу.
  3. Мыйзамдуулук: Сиздин макулдугуңуз
  4. Маалыматтарды берүү: Маалыматтар үчүнчү жактарга юридикалык милдеттенмелерден тышкары билдирилбейт.
  5. Маалыматтарды сактоо: Occentus Networks (ЕС) тарабынан уюштурулган маалыматтар базасы
  6. Укуктар: Каалаган убакта маалыматыңызды чектеп, калыбына келтирип жана жок кыла аласыз.