WordPress: 10 labākās prakses vietņu drošībā

Linux Post Install

10 Minutos

WordPress: 10 labākās prakses drošības ziņā

WordPress: 10 labākās prakses drošības ziņā

WordPress (WP) ir pazīstams kā populārākā CMScita starpā ir izstrādāti ar uzsvaru uz pieejamību, veiktspēju un ērtu lietošanu, pastāvīgi attīstoties (pašreizējā versija 5.2), ir milzīga lietotāju kopiena daudzās valodās, un tām ir milzīga pielāgošanās spēja, izmantojot savas vai trešo pušu tēmas un papildinājumus.

Arī par to, ka esi ļoti drošs, taču, lai panāktu drošu ieviešanu ilgtermiņā, tāpat kā jebkurā lietojumprogrammā vai sistēmā, ir jāievēro laba prakse. Šajā amatā mēs vēlamies sniegt dažus pamata ieteikumus šajā sakarā.

Ievads

WP ir vispopulārākā vietņu veidošanas CMS, tas parasti arī ir bieži sastopams datora uzbrukumu mērķis, tāpēc, izņemot pastāvīgu atjaunināšanu, nepieciešama bieža apkope, atjaunināšana un drošības procedūras par tādējādi izvairieties no nepilnībām, ko rada ievainojamība papildinājumos, vājas paroles, novecojusi programmatūra, kā arī daudzi citi iemesli, tas ir, panākt ievērojami samazināt neaizsargātību pret jebkuru paredzētu vai neparedzētu uzbrukumu.

Turklāt WP, tāpat kā citas satura pārvaldības sistēmas (CMS), ļauj ātri un efektīvi izveidot vietni un pēc tam ievietot to tiešsaistē. Tā lielā darba un izaugsmes spēja, izmantojot moduļus, papildinošas tēmas, atvieglo šī uzdevuma izpildi, nekā jebkad agrāk, taču nav vajadzīgi ilgie mācību gadi, kas parasti nepieciešami šim nolūkam.

Tomēr, blakusparādība nekas patīkams, kas no tā var rasties, var būt, ka daži minētā rīka vadītāji parasti apiet, nepieciešamos pasākumus, lai nodrošinātu izveidotās vai uzturētās vietnes drošību. Šī iemesla dēļ ir svarīgi paturēt prātā dažus vispārīgus un specifiskus pasākumus (labu praksi) par WP vai jebkuru citu CMS un vietni, lai to saglabātu.

Labā prakse

1.- Stipriniet savu drošību kopumā

WP šodien noteikti viegli pārsniedz 30% no aktīvo vietņu bāzes internetā, kas padara to par iecienītu iebrucēju un / vai uzbrucēju (hakeru / krekeru) mērķi ar labiem vai sliktiem nodomiem. Tāpēc zināmu un jau veiksmīgi izmantotu ievainojamību līdzīgā vietnē ar WP mēģinās izmēģināt arī citās līdzīgās vietnēs ar WP.

WordPress: 1. labā prakse

Tātad, ja jūs pārvaldāt un / vai izmantojat vienu vai vairākas vietnes ar WP, pārliecinieties, ka esat uzmanīgāks, rūpīgāks un pārzina viņu tiešsaistes drošību. Paturiet prātā, ka lielākajai daļai drošības pārkāpumu, kas analizēti un par kuriem ziņots vietnēs ar WP, bija maz vai vispār nebija nekāda sakara ar pašas lietojumprogrammas kodolu, taču daudz kas bija saistīts ar visu, kas saistīts ar nepareizi veiktu tās ieviešanu, konfigurēšanu un vispārējo apkopi izstrādātāji vai administratori. "

WordPress: 2. labā prakse

2.- Ziniet savas ievainojamības

WordPress ir aptuveni 4.000 zināmu drošības ievainojamību, kas sadalīti šādi: WP Core (37%), Spraudņi (52%) un Tēmas (11%), saskaņā ar neseno WPScans vietnes ziņojumu, kas tagad tiek saukts WPSec (kopš 01. gada 05. janvāra). Izpētiet savas vietnes drošības ievainojamības un atrodiet risinājumu šo problēmu risināšanai. Izvairieties palaist nedrošas WP Core versijas, tā spraudņus un motīvus.

Koncentrējieties uz šādām drošības tēmām savā WP vai vietnē, tas ir, uz Dažādi veidi Uzbrukumi no:

  • Brutālu spēku: Drošības stiprināšana jūsu pieteikšanās lapā.
  • Failu iekļaušana: Wp-config.php konfigurācijas faila drošības stiprināšana.
  • SQL injekcija: Ar WP saistītās MySQL datu bāzes drošības stiprināšana.
  • Vairāku vietņu skripti: Izmantoto WP spraudņu drošības stiprināšana.
  • Ļaunprātīgas programmatūras infekcija: Pastipriniet savas vietnes vispārējo drošību, lai novērstu nesankcionētu piekļuvi, ļaunprātīgas programmatūras ievietošanu un sekojošu konfidenciālu datu vākšanu, izmantojot šos ļaunprātīgos kodus. Visbiežāk ļaunprātīgas programmatūras vai uzbrukumi parasti ir šāda veida: Backdoor, Spam SEO, HackTool, Mailer, Defacement un pikšķerēšana. Meklējiet, lai aizsargātu savu vietni pret katru šāda veida ļaunprātīgu programmatūru vai uzbrukumu.

Atcerieties, ka, tiklīdz kāda vietne ir apdraudēta, var ciest tās SEO rangs. Tā kā meklētājprogrammas mēdz ātri reģistrēt apdraudētas vietnes, lai pārlūkprogrammas signalizētu apmeklētājiem brīdinājuma zīmes vai pilnībā bloķētu iespēju pārvietoties šajās vietnēs.

WordPress: 3. labā prakse

3. - Pārziniet sava mitināšanas pakalpojumu sniedzēja infrastruktūru

Ja jūsu vietne izmanto ārēju mitināšanu, tas ir, tiek pieņemts darbā ārpus jūsu infrastruktūras, neskopojieties ar izmaksām, lai nodrošinātu sava hostinga pakalpojumu sniedzēja pakalpojumu kvalitāti. Pirmām kārtām, ja viņš mitina savu vietni saskaņā ar “dalītā mitināšanas” shēmu.

Kopš tā laika sliktas kvalitātes “koplietošana” var padarīt jūsu vietni neaizsargātāku kad tiek apdraudēta viena no vairākām tajā pašā serverī saglabātajām vietnēm. Tas ir, ja vietne ir uzlauzta serverī ar "dalītu mitināšanu", uzbrucēji var piekļūt arī citām vietnēm un viņu datiem.

WordPress: 4. labā prakse

4.- Ziniet etīmekļa tehniskās specifikācijas no sava mitināšanas pakalpojumu sniedzēja

Kad runa ir par hostinga nodrošinātāja novērtēšanu, tā infrastruktūra vēl nav viss. Svarīgas ir arī tehniskās tīmekļa specifikācijas, kuras jūsu mitināšanas pakalpojumu sniedzējs izmanto, lai panāktu labāku mitināto vietņu drošību. Pārliecinieties, ka jūsu vietnes mitināšanai ir jāievēro šīs ieteiktās drošības vadlīnijas:

  • Ērta SSL sertifikātu uzstādīšana
  • Aktīva tīmekļa servera programmatūras versiju pārvaldība.
  • Ugunsmūra aizsardzība
  • Vietnes piekļuves reģistrs
  • Regulāri drošības auditi
  • Ļaunprātīgas darbības noteikšana
  • Atbalsts vismaz SFTP (ne tikai FTP), TLS 1.2 un 1.3, kā arī PHP 5.6, lai gan ieteicams ir 7.0 un vairāk.

Tas viss ir nepieciešams vismaz, lai palielinātu jūsu vietnes drošību ar WP kā lietotu CMS vai bez tās.

WordPress - motīvi un spraudņi: spraudņi

5.- Sargieties no izmantotajām tēmām un papildinājumiem

Instalētajiem spraudņiem un tēmām ir liela nozīme drošības līmenī. Mērķis ir izmantot tikai oficiālas WP vai Kopienas sertificētas tēmas un spraudņus, labi zināmus komerciālos krātuves vai tieši no cienījamiem izstrādātājiem. Tā kā daudzi no tiem (nav sertificēti) var saturēt ļaunprātīgu kodu.

Nav svarīgi, cik daudz jūs aizsargājat savu vietni no WP, ja instalējat ļaunprātīgo programmatūru. Veiciet izpēti, pirms lejupielādējat un instalējat jebkādas tēmas un spraudņus, vai to izstrādātāja vai veicinātāja vietni, un veiciet rezervāciju par bezmaksas vai ar atlaidēm.

WordPress: 5. labā prakse

6.- Mēģiniet bieži atjaunināt savu CMS

Jūsu tīmekļa platformas atjauninājumi ir ļoti svarīgi jūsu drošībai. Vai nu WP jūsu CMS vai nē, jūsu Core, motīva vai spraudņu novecojušas versijas var novest pie zināmu ievainojamību jūsu vietnē. WP gadījumā, kas ir atvērts avots, lietojumprogrammas kodolā ir speciāli šim jautājumam veltīta komanda.

Katra WP atklātā drošības ievainojamība tiek nekavējoties izlabota un novērsta lai atrisinātu katru jaunu drošības problēmu, kas atklāta WP. Šī atjauninājuma dēļ WP un visas tās tēmas un spraudņi jaunākajai versijai ir būtiska veiksmīgas drošības stratēģijas sastāvdaļa.

WordPress: 6. labā prakse

7.- Atradu piemērotu paroli

Ļoti svarīga ir mūsu paroļu kvalitāte vai stiprums vietnēs. Pieteikšanās mūsu vietnēs ir vēlamais mērķis ievainojamību izmantošanai, jo tas nodrošina vienkāršāko piekļuvi jūsu vietnes administrācijas lapai.

Brutālu spēku uzbrukumi ir visizplatītākā metode, lai izmantotu jūsu pieteikuminformāciju, atklājot lietotājvārdu un paroļu kombinācijas, lai piekļūtu vietnei. Konkrētajā WP gadījumā pēc noklusējuma tas neierobežo neveiksmīgu pieteikšanās mēģinājumu skaitu, ko kāds var veikt, tāpēc visieteiktākais ir WP administratora pieteikšanās gadījumā izmantot sarežģītu paroli.

Izvēloties paroli, ņemiet vērā šīs 3 pamatprasības, pamatojoties uz CLU formātu (Sarežģīts, garš, unikāls):

  • KOMPLEKSS: Parolēm jābūt pēc iespējas nejaušākām un vismazāk saistītām ar tīmekļa administratoru vai vietni.
  • GARI: Parolēm jābūt vismaz 12 rakstzīmēm. Un tas ir stiprināts ar ierobežojumiem vai ierobežojumiem saistībā ar neizdevušos savienojuma mēģinājumu skaitu.
  • TIKAI: Neizmantojiet paroles atkārtoti. Katrai parolei savlaicīgi jābūt unikālai. Šis vienkāršais noteikums krasi ierobežo jebkuras uzlauzta paroles ietekmi.

Ieteikums: Izmantojiet paroļu pārvaldnieku, piemēram, “LastPass” (tiešsaistē) un “KeePass 2” (bezsaistē), lai ģenerētu un saglabātu visas paroles šifrētā formātā.

WordPress: 7. labā prakse

8.- Vienmēr sagatavojiet savu pretkatastrofu plānu

Ja izmantojat WP, atcerieties, ka tajā nav iebūvētas dublēšanas sistēmas. Iekļaujiet to kā prioritāti, lai jums vienmēr būtu atjaunināta vietnes dublēšana. Rezerves dublēšana ir kritiska, un tā ir jāievieš vispārējā drošības stratēģijā.

Neaizmirstiet, ka jums vajadzētu ne tikai dublējiet izmantotās vietnes un datu bāzesbet viss iestatījumus visa servera veicot automatizētus uzdevumus ar skriptu vai klonētu attēlu sistēmām, lai pēc iespējas īsākā laikā veicinātu nepieciešamās atjaunošanas un atkārtotas instalēšanas.

WordPress: 8. labā prakse

9.- Paaugstiniet savu drošību, izmantojot 2FA

Nostipriniet WP administratora pieteikumvārdu vai vietni, izmantojot divu faktoru autentifikācijas (2FA) mehānismu, kas šodien ir viens no labākajiem veidiem, kā aizsargāt jūsu vietni. Divu faktoru autentifikācija papildina jūsu vietnes pieteikšanos ar papildu aizsardzības slāni, pieprasot, lai paroles lietošanai būtu nepieciešams papildu kods, kas nepieciešams laika ziņā no citas ierīces, piemēram, viedtālruņa, lai veiksmīgi pieteiktos.

WP gadījumā kas pēc noklusējuma nepiedāvā šo funkcionalitāti to pašu iegult, izmantojot spraudnipiemēram, iThemes Security, lai pievienotu to pašu.

WordPress: 9. labā prakse

10.- Izmantojiet visus nepieciešamos drošības piederumus

Lielākā daļa CMS, piemēram, WP, izmanto spraudņus, lai palielinātu savu drošības potenciālu. Konkrētajā WP gadījumā ieteicams izmantot drošības spraudni ar nosaukumu iThemes Security. lai jūsu vietnei būtu vēl lielāka aizsardzība. Šis spraudnis bloķē WP, novērš zināmās nepilnības, aptur automatizētus uzbrukumus un stiprina lietotāju akreditācijas datus.

Tam ir bezmaksas versija (iThemes Security) un apmaksāta versija (iThemes Security Pro) kas acīmredzami nodrošina citas drošības funkcijas, piemēram, 2FA, ieplānotu ļaunprātīgas programmatūras skenēšanu, lietotāju reģistrāciju.

Secinājums

Neatkarīgi no tā, vai tas notiek, izmantojot WP vai citu CMS, jūs varat izvairīties no lielākās daļas vietņu drošības problēmu, vienkārši ievērojot šo labāko vai labāko drošības praksi. Jūsu vietne ir pelnījusi un tai ir jāievieš nepieciešamie drošības pasākumi, lai garantētu vai samazinātu tās neaizskaramību šajos laikos, kurus tik ļoti satrauc hakeru un krekeru darbība.

Visbeidzot un kā papildinājumu iesakām izlasīt šo citu rakstu mūsu emuārā lai stiprinātu savas vietnes drošību, ko sauc: Linux atļaujas sistēmas administratoriem un izstrādātājiem.


Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.