„WordPress“: 10 gerosios praktikos, susijusios su svetainių saugumu

„WordPress“: 10 geriausių saugumo aspektų

„WordPress“: 10 geriausių saugumo aspektų

WordPress (WP) yra žinomas kaip populiariausias TVS, be kita ko, buvo sukurtas akcentuojant prieinamumą, našumą ir paprastą naudojimą, nuolat tobulinamas (dabartinė versija 5.2), turi didžiulę vartotojų bendruomenę daugeliu kalbų ir turi didžiulį pritaikymo pajėgumą naudodamiesi savo ar trečiųjų šalių temomis ir priedais.

Taip pat už tai, kad labai saugu, tačiau tam, kaip ir bet kurioje programoje ar sistemoje, reikia laikytis gerosios patirties, kad būtų užtikrintas saugus ilgalaikis įgyvendinimas. Šiame įraše norime pateikti keletą pagrindinių rekomendacijų šiuo klausimu.

Įvadas

WP yra populiariausia TVS kuriant svetaines, taip pat yra dažnas kompiuterio atakų taikinys, todėl, be nuolatinio atnaujinimo, reikalauja dažnos priežiūros, atnaujinimo ir saugumo procedūrų punktas taip išvengsite silpnybių dėl priedų pažeidžiamumo, silpnų slaptažodžių, pasenusios programinės įrangos, be daugelio kitų priežasčių, t. pasiekti smarkiai sumažinsite pažeidžiamumą dėl bet kokios numatytos ar nenumatytos atakos.

Be to, WP, kaip ir visos kitos turinio valdymo sistemos (TVS), leidžia greitai ir efektyviai sukurti svetainę, o tada ją įdėti į internetą. Dėl didelio darbingumo ir augimo per modulius, papildomas temas lengviau nei bet kada pasiekti šią užduotį, tačiau nereikia ilgų mokymosi metų, kurie paprastai reikalingi tam.

Tačiau šalutinis poveikis nieko malonaus iš to negali kilti, gali būti, kad kai kurie minėto įrankio valdytojai paprastai apeiti, priemones, būtinas sukurtos ar prižiūrimos svetainės saugumui užtikrinti. Dėl šios priežasties svarbu nepamiršti kai kurių bendrų ir specifinių priemonių (gerosios praktikos), susijusių su WP ar bet kuria kita TVS ir svetaine, kad ji būtų saugi.

Geroji patirtis

1.- Sustiprinkite savo saugumą apskritai

WP šiandien tikrai lengvai viršija 30% aktyvių interneto svetainių bazės, todėl jis yra mėgstamiausias įsibrovėlių ir (arba) užpuolikų (įsilaužėlių / krekerių), turinčių gerų ar blogų ketinimų, taikinys. Todėl žinomas ir jau sėkmingai naudojamas pažeidžiamumas panašioje svetainėje su WP bus bandomas kitose panašiose svetainėse, kuriose yra WP.

„WordPress“: 1-oji geroji praktika

Taigi, jei jūs tvarkote ir (arba) naudojate vieną ar daugiau svetainių kartu su WP, įsitikinkite, kad esate atsargesnis, kruopštesnis ir žinantis jų saugumą internete. Turėkite omenyje, kad dauguma analizuotų saugumo pažeidimų, apie kuriuos pranešta svetainėse, kuriose dirbo WP, turėjo mažai arba visai nesusiję su pačios programos šerdimi, tačiau daug ką padarė su viskuo, kas susiję su jos diegimu, konfigūravimu ir bendra priežiūra, atlikta neteisingai. kūrėjai ar administratoriai. “

„WordPress“: 2-oji geroji praktika

2.- Žinokite savo pažeidžiamumus

„WordPress“ turi apie 4.000 žinomų saugumo spragų, paskirstytų taip: WP Core (37%), Plugins (52%) ir Temos (11%), sakoma neseniai paskelbtoje WPScans svetainės ataskaitoje, kuri dabar vadinama WPSec (nuo 01-05-2019). Ištirkite saugos spragas, su kuriomis susiduria jūsų svetainė, ir raskite sprendimą toms problemoms išspręsti. Venkite paleisti nesaugias „WP Core“ versijas ar jos papildinius ir temas.

Sutelkite dėmesį į šias saugos temas savo WP ar svetainėje, tai yra į Įvairių tipų Puolimai iš:

  • Brutali jėga: Stiprinamas jūsų prisijungimo puslapio saugumas.
  • Failo įtraukimas: Wp-config.php konfigūracijos failo saugumo stiprinimas.
  • SQL injekcija: Stiprinti „MySQL“ duomenų bazės, susietos su WP, saugumą.
  • Kelių svetainių scenarijai: Naudojamų WP įskiepių saugumo stiprinimas.
  • Kenkėjiškų programų infekcija: Sustiprinant bendrą jūsų svetainės saugumą, siekiant išvengti neteisėtos prieigos, kenkėjiškų programų įterpimo ir vėlesnio konfidencialių duomenų rinkimo šiais kenkėjiškais kodais. Dažniausiai kenkėjiškos programos ar išpuoliai būna tokio tipo: „Backdoor“, „Spam SEO“, „HackTool“, „Mailer“, „Defacement“ ir „Phishing“. Apsaugokite savo svetainę nuo visų šių tipų kenkėjiškų programų ar atakų.

Atminkite, kad pažeisdami bet kurią svetainę, jos SEO reitingas gali nukentėti. Kadangi paieškos sistemos linkusios greitai užregistruoti pažeistas svetaines, kad naršyklės duotų lankytojams įspėjamuosius ženklus arba visiškai blokuotų galimybę naršyti tose svetainėse.

„WordPress“: 3-oji geroji praktika

3.- Žinokite savo prieglobos paslaugų teikėjo infrastruktūrą

Jei jūsų svetainėje naudojamas išorinis priegloba, tai yra, samdoma už jūsų infrastruktūros ribų, negailėkite išlaidų, kad užtikrintumėte savo prieglobos paslaugų teikėjo paslaugų kokybę. Visų pirma, jei jis priglobia savo svetainę pagal „bendro prieglobos“ schemą.

Nuo Dėl prastos kokybės „bendrojo prieglobos“ jūsų svetainė gali būti labiau pažeidžiama kai pažeidžiama viena iš kelių tame pačiame serveryje saugomų svetainių. Tai yra, jei svetainė yra nulaužta serveryje su „bendruoju priegloba“, užpuolikai taip pat gali gauti prieigą prie kitų svetainių ir jų duomenų.

„WordPress“: 4-oji geroji praktika

4.- Žinok elinterneto techninės specifikacijos iš savo prieglobos paslaugų teikėjo

Vertinant prieglobos paslaugų teikėją, jo infrastruktūra nėra viskas. Taip pat svarbu techninės žiniatinklio specifikacijos, kurias naudoja jūsų prieglobos paslaugų teikėjas, kad būtų užtikrintas didesnis priglobtų svetainių saugumas. Įsitikinkite, kad laikomasi šių rekomenduojamų svetainės priglobimo saugos gairių:

  • Lengvas SSL sertifikatų diegimas
  • Aktyvus žiniatinklio serverio programinės įrangos versijų valdymas.
  • Ugniasienės apsauga
  • Prieigų prie interneto įrašas
  • Įprasti saugumo auditai
  • Kenkėjiškos veiklos aptikimas
  • Mažiausiai palaikykite SFTP (ne tik FTP), TLS 1.2 ir 1.3 bei PHP 5.6, nors rekomenduojama nuo 7.0.

Visa tai yra būtina bent jau tam, kad padidintumėte savo svetainės saugumą su WP ar be jos kaip naudojamo TVS.

„WordPress“ - temos ir papildiniai: papildiniai

5.- Saugokitės naudojamų temų ir papildymų

Įdiegti papildiniai ir temos labai svarbūs saugumo lygiu. Siekite naudoti tik oficialias WP ar Bendrijos sertifikuotas temas ir papildinius, gerai žinomas komercines saugyklas arba tiesiogiai iš patikimų kūrėjų. Kadangi daugelyje jų (nesertifikuotų) gali būti kenkėjiškų kodų.

Nesvarbu, kiek saugote savo svetainę nuo WP, jei įdiegiate kenkėjišką programą. Atlikite tyrimus prieš atsisiųsdami ir įdiegdami bet kokias temas ir papildinius, jų kūrėjų ar reklamuotojų svetaines ir rezervuokite jas nemokamai arba su nuolaida.

„WordPress“: 5-oji geroji praktika

6.- Stenkitės dažnai atnaujinti savo TVS

Jūsų žiniatinklio platformos atnaujinimai yra labai svarbūs jūsų saugumui. Arba WP jūsų CMS, ar ne, pasenusios „Core“, „Theme“ ar „plugins“ versijos gali paskatinti jus žinomose jūsų svetainės spragose. WP, kuris yra atviras šaltinis, programoje „Core“ yra specialiai šiai problemai skirta komanda.

Kiekvienas WP aptiktas saugumo pažeidžiamumas nedelsiant pašalinamas ir pašalinamas siekiant išspręsti kiekvieną naują WP atrastą saugumo problemą. Dėl to atnaujinimo WP ir visos jo temos bei naujausios versijos papildiniai yra gyvybiškai svarbus sėkmingos saugumo strategijos komponentas.

„WordPress“: 6-oji geroji praktika

7.- radau tinkamą slaptažodį

Mūsų slaptažodžių kokybė ar stiprumas svetainėse yra labai svarbus. Prisijungimas prie mūsų svetainių yra pirmenybė taikant pažeidžiamumus, nes tai suteikia lengviausią prieigą prie jūsų svetainės administravimo puslapio.

Žiaurios jėgos išpuoliai yra dažniausiai naudojamas būdas prisijungti, atrandant vartotojo vardo ir slaptažodžio derinius, norint patekti į svetainę. Konkrečiu WP atveju pagal numatytuosius nustatymus tai neriboja nepavykusių prisijungimo bandymų, kuriuos kažkas gali atlikti, skaičiaus, todėl labiausiai rekomenduojama naudoti sudėtingą slaptažodį prisijungiant prie jūsų WP administratoriaus.

Renkantis slaptažodį, atsižvelkite į šiuos 3 pagrindinius reikalavimus, pagrįstus CLU formatu (Sudėtingas, ilgas, unikalus):

  • KOMPLEKSAS: Slaptažodžiai turėtų būti kuo atsitiktiniai ir mažiausiai susiję su žiniatinklio administratoriumi ar svetaine.
  • ILGAS: Slaptažodžių ilgis turi būti 12 ar daugiau simbolių. Ir sustiprintas bandymais prisijungti nepavykusių asmenų skaičiaus apribojimais ar apribojimais.
  • TIK: Nenaudokite slaptažodžių pakartotinai. Kiekvienas slaptažodis turi būti unikalus laike. Ši paprasta taisyklė smarkiai apriboja bet kokio pažeisto slaptažodžio poveikį.

Rekomendacija: Naudokite slaptažodžių tvarkyklę, pvz., „LastPass“ (prisijungęs) ir „KeePass 2“ (neprisijungęs), kad sugeneruotumėte ir išsaugotumėte visus slaptažodžius užšifruotu formatu.

„WordPress“: 7-oji geroji praktika

8.- Visada turėkite parengtą kovos su nelaime planą

Jei naudojate WP, atminkite, kad jame nėra įmontuotos atsarginės kopijos sistemos. Įtraukite vieną kaip prioritetą, kad visada turėtumėte naujausią savo svetainės atsarginę kopiją. Atsarginės kopijos yra labai svarbios ir įgyvendinama bendra saugumo strategija.

Nepamirškite, kad turėtumėte ne tik sukurkite atsargines jūsų naudojamų svetainių ir duomenų bazių kopijasbet viskas nustatymus viso serverio atliekant automatines užduotis su scenarijais ar klonuotomis vaizdų sistemomis, palengvinti reikalingas atkūrimus ir perinstaliavimą per trumpiausią įmanomą laiką.

„WordPress“: 8-oji geroji praktika

9.- Padidinkite savo saugumą naudodami 2FA

Sustiprinkite savo WP administratoriaus prisijungimą arba savo svetainę naudodami dviejų veiksnių autentifikavimo (2FA) mechanizmą, kuris yra vienas iš geriausių būdų apsaugoti savo svetainę šiandien. Dviejų veiksnių autentifikavimas suteikia papildomą apsaugos lygį prisijungiant prie jūsų svetainės, reikalaujant, kad norint naudoti slaptažodį, norint sėkmingai prisijungti, reikia papildomo laiko požiūriu reikalingo kodo iš kito įrenginio, pvz., Išmaniojo telefono.

WP atveju kuri pagal šią funkciją nesiūlo šios funkcijos įdėkite tą patį naudodami papildinįpvz., „iThemes Security“, kad pridėtumėte tą patį.

„WordPress“: 9-oji geroji praktika

10.- Naudokite visus būtinus saugos priedus

Dauguma TVS, pvz., WP, naudoja papildinius, kad padidintų savo saugumo potencialą. Konkrečiu WP atveju rekomenduojama naudoti saugos papildinį, vadinamą „iThemes Security“. kad jūsų svetainė būtų dar labiau apsaugota. Šis papildinys blokuoja WP, pašalina žinomas spragas, sustabdo automatines atakas ir sustiprina vartotojo kredencialus.

Ji turi nemokamą versiją („iThemes Security“) ir mokamą versiją („iThemes Security Pro“). kuris, be abejo, suteikia daugiau saugumo funkcijų, tokių kaip 2FA, suplanuotas kenkėjiškų programų patikrinimas, vartotojų registracija.

Išvada

Nesvarbu, ar tai yra per WP, ar kitą TVS, galite išvengti daugumos svetainės saugos problemų, tiesiog laikydamiesi šių geriausių ar geriausių saugumo praktikų. Jūsų svetainė nusipelno ir privalo turėti būtinas saugumo priemones, kad garantuotų ar kuo labiau sumažintų jos neliečiamumą šiais laikais, kuriuos taip jaudina įsilaužėlių ir krekerių veikla.

Galiausiai ir kaip priedą rekomenduojame perskaityti šį kitą straipsnį mūsų tinklaraštyje stiprinti savo svetainės saugumą, vadinamą: „Linux“ leidimai sistemos administratoriams ir kūrėjams.


Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Atsakingas už duomenis: Miguel Ángel Gatón
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.