WordPress: 10 amalan baik dari segi keselamatan untuk laman web

Linux Post Install

Minit 10

WordPress: 10 amalan terbaik dalam soal keselamatan

WordPress: 10 amalan terbaik dalam soal keselamatan

WordPress (WP) dikenali sebagai CMS paling popular, antara banyak perkara, telah dirancang dengan penekanan pada aksesibilitas, prestasi, dan kemudahan penggunaan, sedang dalam pengembangan berterusan (versi semasa 5.2), mempunyai komuniti pengguna yang besar dalam banyak bahasa dan mempunyai kemampuan penyesuaian yang besar melalui penggunaan tema dan tambahan pihak sendiri atau pihak ketiga.

Juga kerana sangat selamat, tetapi untuk itu, seperti dalam aplikasi atau sistem apa pun, amalan baik harus diikuti untuk mencapai pelaksanaan jangka panjang yang aman. Dan dalam catatan ini kami ingin memberikan beberapa cadangan asas dalam hal ini.

pengenalan

WP menjadi CMS yang paling popular untuk membina laman web, biasanya juga menjadi sasaran serangan komputer yang kerap, jadi selain daripada pengemaskinian berterusan, memerlukan prosedur penyelenggaraan, pengemaskinian, dan keselamatan yang kerap perenggan Oleh itu, elakkan kelemahan kerana kelemahan pada add-on, kata laluan yang lemah, perisian yang ketinggalan zaman, antara banyak sebab lain, iaitu, mencapai mengurangkan kerentanan anda terhadap serangan yang disengajakan atau tidak dijangka.

Di samping itu, WP seperti Sistem Pengurusan Kandungan (CMS) yang lain membolehkan anda membina laman web dengan cepat dan cekap dan kemudian meletakkannya dalam talian. Kapasiti yang tinggi untuk bekerja dan berkembang, melalui modul, tema pelengkap, menjadikannya lebih mudah daripada sebelumnya untuk mencapai tugas ini tetapi tanpa memerlukan pembelajaran selama bertahun-tahun yang biasanya diperlukan untuk ini.

Walau bagaimanapun, kesan sampingan tidak ada yang menyenangkan yang dapat timbul dari ini, mungkin sebilangan pengurus alat tersebut, biasanya bypass, langkah-langkah yang diperlukan untuk memastikan bahawa laman web yang dibuat atau diselenggara adalah selamat. Atas sebab ini, penting untuk diingat beberapa langkah umum dan khusus (amalan baik), mengenai WP atau CMS dan laman web lain untuk memastikannya selamat.

Amalan yang baik

1.- Kukuhkan keselamatan anda secara umum

WP pasti melebihi 30% daripada asas laman web aktif di Internet hari ini, yang menjadikannya sasaran favorit bagi penyerang dan / atau penyerang (penggodam / peretas) dengan niat baik atau buruk. Oleh itu, kerentanan yang diketahui dan telah berjaya dieksploitasi di laman web serupa dengan WP akan dicuba di laman web lain yang serupa dengan WP.

WordPress: Amalan Baik Pertama

Oleh itu, jika anda mengurus dan / atau menggunakan satu atau lebih laman web dengan WP, pastikan anda lebih berhati-hati, teliti dan peka terhadap keselamatan dalam talian mereka. Perlu diingat bahawa sebahagian besar pelanggaran keselamatan yang dianalisis dan dilaporkan di laman web dengan WP tidak banyak atau tidak ada kaitan dengan inti aplikasi itu sendiri, tetapi banyak yang berkaitan dengan semua perkara yang berkaitan dengan pelaksanaannya, konfigurasi dan penyelenggaraan umum, dijalankan secara tidak betul oleh pemaju atau pentadbir. '

WordPress: Amalan Baik ke-2

2.- Ketahui kelemahan anda

WordPress mempunyai kira-kira 4.000 kelemahan keselamatan yang diketahui, diedarkan seperti berikut: WP Core (37%), Plugin (52%) dan Tema (11%), menurut laporan terbaru dari laman web WPScans, yang kini dipanggil WPSec (sejak 01-05-2019). Selidiki kerentanan keselamatan yang dihadapi laman web anda dan cari jalan keluar untuk menyelesaikan masalah ini. Elakkan menjalankan versi WP Core yang tidak selamat, atau plugin dan temanya.

Fokus pada topik keselamatan berikut di WP atau laman web anda, iaitu Pelbagai jenis Serangan dari:

  • Kekerasan: Memperkukuhkan keselamatan di halaman log masuk anda.
  • Penyertaan fail: Memperkukuhkan keselamatan fail konfigurasi wp-config.php anda.
  • Suntikan SQL: Memperkukuhkan keselamatan pangkalan data MySQL anda yang berkaitan dengan WP.
  • Skrip Lintas Tapak: Memperkukuhkan keselamatan pemalam WP terpakai.
  • Jangkitan perisian hasad: Memperkukuhkan keselamatan umum laman web anda untuk mencegah akses yang tidak dibenarkan, penyisipan perisian hasad dan pengumpulan data sulit seterusnya oleh kod berbahaya ini. Perisian Malware atau serangan yang paling kerap biasanya adalah jenis: Backdoor, SEO Spam, HackTool, Mailer, Defacement dan Phishing. Lihatlah untuk melindungi laman web anda daripada setiap jenis perisian hasad atau serangan ini.

Ingatlah bahawa apabila mana-mana laman web dikompromikan, peringkat SEOnya akan menderita. Kerana mesin pencari cenderung untuk cepat log masuk laman web yang dikompromikan sehingga penyemak imbas akan memberi tanda amaran kepada pengunjung atau sepenuhnya menyekat kemampuan untuk menavigasi laman web tersebut.

WordPress: Amalan Baik ke-3

3.- Ketahui infrastruktur penyedia Hosting anda

Sekiranya laman web anda menggunakan hosting luaran, iaitu disewa di luar infrastruktur anda, jangan mengurangkan kos untuk memastikan kualiti perkhidmatan dari penyedia hosting anda. Yang terpenting, jika dia menghoskan laman webnya di bawah skema "hosting bersama".

Sejak itu 'hosting bersama' yang tidak berkualiti dapat menjadikan laman web anda lebih terdedah apabila salah satu daripada beberapa laman web yang disimpan di pelayan yang sama terganggu. Maksudnya, jika laman web diretas pada pelayan dengan "hosting bersama", penyerang juga dapat memperoleh akses ke laman web lain dan data mereka.

WordPress: Amalan Baik ke-4

4.- Mengetahui espesifikasi teknikal web dari pembekal Hosting anda

Untuk menilai penyedia hosting, infrastrukturnya bukanlah segalanya. Spesifikasi web teknikal yang digunakan oleh penyedia hosting anda untuk mencapai keselamatan yang lebih baik dari laman web yang dihoskan juga penting. Pastikan bahawa ia mematuhi garis panduan keselamatan yang disyorkan berikut untuk menghoskan laman web anda:

  • Pemasangan sijil SSL dengan mudah
  • Pengurusan aktif versi perisian pelayan web.
  • Perlindungan firewall
  • Rekod capaian ke laman web
  • Audit keselamatan rutin
  • Pengesanan aktiviti berniat jahat
  • Sokongan untuk SFTP (bukan hanya FTP), TLS 1.2 dan 1.3, dan untuk PHP 5.6, minimum, walaupun 7.0 dan seterusnya disarankan.

Semua ini perlu, sekurang-kurangnya, untuk meningkatkan keselamatan laman web anda dengan atau tanpa WP sebagai CMS terpakai.

WordPress - Tema dan Pemalam: Pemalam

5.- Berhati-hati dengan Tema dan Pelengkap yang digunakan

Plugin dan tema yang dipasang sangat penting di tahap keselamatan. Sasarkan hanya menggunakan tema dan pemalam rasmi WP atau Komuniti yang diperakui, repositori komersial yang terkenal, atau terus dari pembangun yang mempunyai reputasi baik. Oleh kerana banyak dari mereka (tidak diperakui) boleh mengandungi kod jahat.

Tidak kira berapa banyak anda melindungi laman web anda dari WP jika anda memasang perisian hasad. Lakukan penyelidikan anda sebelum memuat turun dan memasang tema dan pemalam apa pun, atau laman web pembangun atau penganjurnya, dan dapatkan tempahan anda dengan yang percuma atau diskaun.

WordPress: Amalan Baik ke-5

6.- Cuba kerap mengemas kini CMS anda

Kemas kini ke platform web anda sangat penting untuk keselamatan anda. Sama ada WP CMS anda atau tidak, versi Core, Theme, atau plugin anda yang sudah usang dapat membawa anda kepada kelemahan yang diketahui di laman web anda. Dalam kes WP, yang merupakan sumber terbuka, ada pasukan yang secara khusus mendedikasikan masalah ini dalam Teras aplikasi.

Setiap kerentanan keselamatan yang terdapat di WP diperbaiki dan dihapuskan segera untuk menyelesaikan setiap masalah keselamatan baru yang terdapat di WP. Kerana kemas kini itu WP dan semua tema dan plugin ke versi terbaru adalah komponen penting dalam strategi keselamatan yang berjaya.

WordPress: Amalan Baik ke-6

7.- Saya menemui kata laluan yang sesuai

Kualiti atau kekuatan kata laluan kami di laman web sangat penting. Log masuk ke laman web kami adalah sasaran pilihan untuk mengeksploitasi kerentanan, kerana menyediakan akses paling mudah ke halaman pentadbiran laman web anda.

Serangan kekerasan adalah kaedah yang paling biasa untuk mengeksploitasi log masuk anda, menemui kombinasi nama pengguna dan kata laluan untuk mendapatkan akses ke laman web. Dalam kes khusus WP, secara lalai ia tidak membatasi jumlah percubaan log masuk yang gagal yang dapat dilakukan oleh seseorang, oleh itu, yang paling disyorkan adalah penggunaan kata laluan yang kompleks untuk log masuk pentadbir WP anda.

Semasa memilih kata laluan, pertimbangkan 3 syarat asas ini berdasarkan format CLU (Kompleks, Panjang, Unik):

  • KOMPLEKS: Kata laluan harus sekerap mungkin dan sedikit berkaitan dengan Pentadbir Web atau Laman Web.
  • PANJANG: Kata laluan mestilah panjangnya 12 atau lebih aksara. Dan diperkuat dengan sekatan atau batasan jumlah percubaan sambungan yang gagal.
  • HANYA: Jangan gunakan semula kata laluan. Setiap kata laluan mesti unik pada waktunya. Peraturan mudah ini secara drastik membatasi kesan kata laluan yang dikompromikan.

Syor: Gunakan pengurus kata laluan seperti "LastPass" (dalam talian) dan "KeePass 2" (luar talian) untuk menghasilkan dan menyimpan semua kata laluan anda dalam format yang dienkripsi.

WordPress: Amalan Baik ke-7

8.- Sentiasa buat rancangan anti bencana anda

Sekiranya anda menggunakan WP ingat bahawa ia tidak mempunyai sistem sandaran terbina dalam. Sertakan satu sebagai keutamaan, sehingga anda selalu mempunyai sandaran terkini dari laman web anda. Sandaran sangat penting dan strategi keselamatan umum untuk dilaksanakan.

Jangan lupa bahawa anda bukan sahaja harus sandarkan laman web dan pangkalan data terpakai andatetapi semua tetapannya dari keseluruhan pelayan melalui tugas automatik dengan skrip atau sistem gambar klon, untuk memudahkan pemulihan dan pemasangan semula yang diperlukan dalam waktu sesingkat mungkin.

WordPress: Amalan Baik ke-8

9.- Tingkatkan keselamatan anda menggunakan 2FA

Kukuhkan log masuk pentadbir WP atau laman web anda menggunakan mekanisme pengesahan dua faktor (2FA), yang merupakan salah satu kaedah terbaik untuk mengamankan laman web anda hari ini. Pengesahan dua faktor menambahkan lapisan perlindungan tambahan pada log masuk laman web anda, dengan mengharuskan penggunaan kata laluan anda memerlukan kod sensitif masa tambahan dari peranti lain, seperti telefon pintar anda, untuk berjaya masuk. .

Dalam kes WP yang tidak menawarkan fungsi ini secara lalai sematkan sama dengan menggunakan pemalamseperti Keselamatan iThemes untuk menambah yang sama.

WordPress: Amalan Baik ke-9

10.- Gunakan sebarang aksesori keselamatan yang diperlukan

Sebilangan besar CMS seperti WP menggunakan pemalam untuk meningkatkan potensi keselamatan diri. Dalam kes khusus WP, penggunaan plugin keselamatan yang disebut iThemes Security adalah disyorkan. untuk menambahkan lebih banyak perlindungan ke laman web anda. Plugin ini menyekat WP, memperbaiki lubang yang diketahui, menghentikan serangan automatik, dan memperkuat kelayakan pengguna.

Ia mempunyai versi percuma (iThemes Security) dan versi berbayar (iThemes Security Pro) yang jelas memberikan lebih banyak ciri keselamatan seperti 2FA, imbasan malware berjadual, pendaftaran pengguna, antara lain.

Kesimpulan

Sama ada menggunakan WP atau CMS lain, anda boleh mengelakkan kebanyakan masalah keselamatan laman web hanya dengan mengikuti amalan atau amalan terbaik keselamatan ini. Laman web anda berhak dan mesti mempunyai langkah-langkah keselamatan yang diperlukan untuk menjamin atau meminimumkan kekentalannya pada masa-masa ini sehingga terganggu oleh aktiviti penggodam dan peretas.

Akhirnya dan sebagai tambahan, kami mengesyorkan anda membaca artikel lain ini di blog kami mengenai perkara untuk memperkukuhkan keselamatan laman web anda, yang disebut: Kebenaran Linux untuk Pentadbir dan Pembangun Sistem.


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.