WordPress: 10 gode fremgangsmåter når det gjelder sikkerhet for nettsteder

Linux Post Install

10 minutter

WordPress: 10 beste praksis når det gjelder sikkerhet

WordPress: 10 beste praksis når det gjelder sikkerhet

WordPress (WP) er kjent som mest populære CMS, blant mange ting, etter å ha blitt designet med vekt på tilgjengelighet, ytelse og brukervennlighet, i kontinuerlig utvikling (gjeldende versjon 5.2), har et stort fellesskap av brukere på mange språk og har en enorm tilpasningskapasitet gjennom bruk av egne eller tredjeparts temaer og tillegg.

Også for å være veldig trygg, men for det, som i alle applikasjoner eller systemer, må god praksis følges for å oppnå en sikker langsiktig implementering. Og i dette innlegget ønsker vi å gi noen grunnleggende anbefalinger i denne forbindelse.

Innledning

WP er det mest populære CMS for bygging av nettsteder, er også ofte et hyppig mål for datamaskinangrep, så bortsett fra den konstante oppdateringen, krever hyppig vedlikehold, oppdatering og sikkerhetsprosedyrer til unngå dermed svakheter på grunn av sårbarheter i tillegg, svake passord, utdatert programvare, blant mange andre grunner, det vil si oppnå reduserer sårbarheten din sterkt for ethvert tiltenkt eller uforutsett angrep.

I tillegg lar WP deg som alle andre Content Management Systems (CMS) raskt og effektivt bygge et nettsted og deretter sette det på nettet. Dens høye kapasitet for arbeid og vekst, via moduler, komplementære temaer, gjør det lettere enn noensinne å oppnå denne oppgaven, men uten behov for de lange årene med læring som vanligvis kreves for dette.

Imidlertid en bivirkning ingenting hyggelig som kan oppstå fra dette, kan det være at noen ledere av nevnte verktøy, vanligvis omgå, tiltakene som er nødvendige for å sikre at nettstedet som er opprettet eller vedlikeholdt er sikkert. Av denne grunn er det viktig å huske på noen generelle og spesifikke tiltak (god praksis), om WP eller andre CMS og nettsteder for å holde det trygt.

God praksis

1.- Styrke sikkerheten generelt

WP overgår sikkert lett 30% av basen til aktive nettsteder på Internett i dag, som gjør det til et favorittmål for inntrengere og / eller angripere (hackere / crackere) med gode eller dårlige intensjoner. Derfor vil en kjent og allerede vellykket utnyttet sårbarhet på et lignende WP-nettsted bli forsøkt på andre lignende WP-nettsteder.

WordPress: 1. god praksis

Så hvis du administrerer og / eller bruker ett eller flere nettsteder med WP, ​​må du sørge for at du er mer forsiktig, grundig og klar over deres online sikkerhet. Husk at de fleste av sikkerhetsbruddene som ble analysert og rapportert på nettsteder med WP, ​​hadde lite eller ingenting å gjøre med kjernen i selve applikasjonen, men mye å gjøre med alt relatert til implementering, konfigurasjon og generelt vedlikehold, utført feil av utviklere eller administratorer. '

WordPress: 2. god praksis

2. - Kjenn dine sårbarheter

WordPress har omtrent 4.000 kjente sikkerhetsproblemer, fordelt på følgende måte: WP Core (37%), Plugins (52%) og Temaer (11%), ifølge en fersk rapport fra WPScans-nettstedet, som nå heter WPSec (siden 01-05-2019). Undersøk sikkerhetsproblemene som nettstedet ditt står overfor, og finn en løsning for å løse disse problemene. Unngå å kjøre usikre versjoner av WP Core, eller dens plugins og temaer.

Fokuser på følgende sikkerhetsemner på WP eller nettstedet ditt, det vil si på De forskjellige typene Angrep fra:

  • Ren styrke: Forsterke sikkerheten på påloggingssiden din.
  • Inkludering av fil: Styrke sikkerheten til wp-config.php-konfigurasjonsfilen.
  • SQL-injeksjon: Styrke sikkerheten til MySQL-databasen din som er tilknyttet WP.
  • Skripter på tvers av nettsteder: Forsterker sikkerheten til brukte WP-plugins.
  • Skadelig programvareinfeksjon: Forsterke den generelle sikkerheten til nettstedet ditt for å forhindre uautorisert tilgang, innsetting av skadelig programvare og påfølgende innsamling av konfidensielle data av disse ondsinnede kodene. De vanligste skadelige programvarene eller angrepene er vanligvis av typen: Bakdør, Spam SEO, HackTool, Mailer, Defacement og Phishing. Se etter å beskytte nettstedet ditt mot hver av disse typene skadelig programvare eller angrep.

Husk at når et nettsted er brutt, kan dets SEO-rangering lide. Fordi søkemotorer har en tendens til å raskt logge på kompromitterte nettsteder, slik at nettlesere enten vil gi besøkende advarselsskilt eller helt blokkere muligheten til å navigere på disse nettstedene.

WordPress: 3. god praksis

3.- Kjenn infrastrukturen til hostingleverandøren din

Hvis nettstedet ditt bruker ekstern hosting, det vil si ansatt utenfor infrastrukturen din, ikke spar på kostnadene for å sikre tjenestekvaliteten fra hostingleverandøren din. Fremfor alt hvis han er vert for nettstedet sitt under ordningen "delt hosting".

som "delt hosting" av dårlig kvalitet kan gjøre nettstedet ditt mer sårbart når et av flere nettsteder som er lagret på samme server, er kompromittert. Det vil si at hvis et nettsted er hacket på en server med "delt hosting", kan angripere også få tilgang til andre nettsteder og deres data.

WordPress: 4. god praksis

4.- Kjenn eweb tekniske spesifikasjoner fra hostingleverandøren din

Når det gjelder å evaluere en vertsleverandør, er infrastrukturen ikke alt. De tekniske nettspesifikasjonene som brukes av vertsleverandøren din for å oppnå bedre sikkerhet for de vertssidene er også viktig. Forsikre deg om at den følger følgende anbefalte sikkerhetsretningslinjer for hosting av nettstedet ditt:

  • Enkel installasjon av SSL-sertifikater
  • Aktiv styring av nettserverprogramvareversjoner.
  • Brannmurbeskyttelse
  • Registrering av tilgang til nettstedet
  • Rutinemessige sikkerhetsrevisjoner
  • Oppdagelse av ondsinnet aktivitet
  • Støtte for SFTP (ikke bare FTP), TLS 1.2 og 1.3, og for PHP 5.6, i det minste, selv om 7.0 og utover anbefales.

Alt dette er nødvendig for å øke sikkerheten til nettstedet ditt med eller uten WP som brukt CMS.

WordPress - Temaer og plugins: plugins

5.- Vær forsiktig med brukte temaer og komplement

Plugins og temaer som er installert, betyr mye på sikkerhetsnivå. Målet er å bruke bare offisielle WP- eller fellessertifiserte temaer og plugins, kjente kommersielle arkiver eller direkte fra anerkjente utviklere. Siden mange av dem (ikke sertifisert) kan inneholde skadelig kode.

Det spiller ingen rolle hvor mye du beskytter nettstedet ditt mot WP hvis du installerer skadelig programvare. Gjør din undersøkelse før du laster ned og installerer temaer og plugins, eller deres utvikler- eller promoteringsnettsted, og bestill med gratis eller nedsatte.

WordPress: 5. god praksis

6. - Prøv å oppdatere CMS ofte

Oppdateringer til webplattformen din er veldig viktige for din sikkerhet. Enten WP ditt CMS eller ikke, utdaterte versjoner av Core, Theme eller plugins kan føre deg til å ha kjente sårbarheter på nettstedet ditt. Når det gjelder WP, som er åpen kildekode, er det et team som er spesielt dedikert til dette problemet i kjernen av applikasjonen.

Alle sikkerhetsproblemer oppdaget i WP blir rettet og eliminert umiddelbart for å løse hvert nye sikkerhetsproblem oppdaget i WP. På grunn av den oppdateringen WP og alle dens temaer og plugins til den nyeste versjonen er en viktig komponent i en vellykket sikkerhetsstrategi.

WordPress: 6. god praksis

7.- Jeg fant et passende passord

Kvaliteten eller styrken på passordene våre på nettsteder er veldig viktig. Å logge på våre nettsteder er et foretrukket mål for å utnytte sårbarheter, fordi det gir den enkleste tilgangen til nettstedets administrasjonsside.

Brute force-angrep er den vanligste metoden for å utnytte påloggingen din, oppdage kombinasjoner av brukernavn og passord for å få tilgang til nettstedet. I det spesifikke tilfellet av WP, begrenser det som standard ikke antall mislykkede påloggingsforsøk som noen kan gjøre, derfor er det mest anbefalte å bruke et komplekst passord for pålogging av WP-administratoren din.

Når du velger passord, må du ta hensyn til disse tre grunnleggende kravene basert på CLU-format (Kompleks, lang, unik):

  • KOMPLEKS: Passord bør være så tilfeldige som mulig og så lite relatert til nettadministratoren eller nettstedet.
  • LANG: Passord må inneholde 12 eller flere tegn. Og forsterket med begrensninger eller begrensninger på antall mislykkede tilkoblingsforsøk.
  • KUN: Ikke bruk passord på nytt. Hvert passord må være unikt i tide. Denne enkle regelen begrenser dramatisk effekten av passord som er kompromittert.

anbefaling: Bruk en passordbehandling som "LastPass" (online) og "KeePass 2" (offline) for å generere og lagre alle passordene dine i et kryptert format.

WordPress: 7. god praksis

8.- Ha alltid din antikatastrofeplan utarbeidet

Hvis du bruker WP, husk at den ikke har et innebygd backup-system. Inkluder en som en prioritet, slik at du alltid har en oppdatert sikkerhetskopi av nettstedet ditt. Sikkerhetskopier er kritiske og en generell sikkerhetsstrategi å implementere.

Ikke glem at du ikke bare skal sikkerhetskopiere brukte nettsteder og databasermen alt innstillingene av hele serveren gjennom automatiserte oppgaver med skript eller klonede bildesystemer, for å lette nødvendige restaureringer og reinstallasjoner på kortest mulig tid.

WordPress: 8. god praksis

9.- Øk sikkerheten din med 2FA

Styr WP-administratorinnloggingen eller nettstedet ditt ved hjelp av tofaktorautentiseringsmekanisme (2FA), som er en av de beste måtene å sikre nettstedet ditt i dag. Tofaktorautentisering legger til et ekstra beskyttelseslag for innloggingen på nettstedet ditt, ved å kreve at bruk av passordet ditt krever en ekstra tidssensitiv kode fra en annen enhet, for eksempel smarttelefonen din, for å kunne logge på.

I tilfelle av WP som ikke tilbyr denne funksjonaliteten som standard legge inn det samme ved hjelp av et pluginsom iThemes Security for å legge til det samme.

WordPress: 9. god praksis

10.- Bruk nødvendig sikkerhetstilbehør

De fleste CMS som WP bruker plugins for å øke sikkerhetspotensialet til seg selv. I det spesifikke tilfellet av WP anbefales bruk av sikkerhetsplugin kalt iThemes Security. for å legge til enda mer beskyttelse på nettstedet ditt. Dette pluginet blokkerer WP, fikser kjente hull, stopper automatiserte angrep og styrker brukerlegitimasjonen.

Den har en gratis versjon (iThemes Security) og en betalt versjon (iThemes Security Pro) som åpenbart gir flere sikkerhetsfunksjoner som 2FA, planlagte malware-skanninger, brukerregistrering, blant annet.

Konklusjon

Enten det er over WP eller et annet CMS, kan du unngå de fleste sikkerhetsproblemer på nettstedet ved å følge disse beste eller gode sikkerhetspraksis. Nettstedet ditt fortjener og må ha de nødvendige sikkerhetstiltakene på plass for å garantere eller minimere ukrenkeligheten i disse tider så plaget av hackere og crackere.

Til slutt og som et tillegg Vi anbefaler at du leser denne andre artikkelen på bloggen vår om emnet for å styrke sikkerheten til nettstedet ditt, kalt: Linux-tillatelser for systemadministratorer og utviklere.


Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.