WordPress: 10 хороших практик с точки зрения безопасности для веб-сайтов

WordPress: 10 лучших практик с точки зрения безопасности

WordPress: 10 лучших практик с точки зрения безопасности

WordPress (WP) известен как самая популярная CMS, среди прочего, будучи спроектированными с упором на доступность, производительность и простоту использования, находясь в постоянном развитии (текущая версия 5.2), имеют огромное сообщество пользователей на многих языках и обладают огромными возможностями настройки за счет использования собственных или сторонних тем и надстроек.

Также для того, чтобы быть в безопасности, но для этого, как и в любом приложении или системе, необходимо следовать передовой практике, чтобы обеспечить безопасную долгосрочную реализацию. И в этом посте мы хотим дать несколько основных рекомендаций по этому поводу.

Введение

WP - самая популярная CMS для создания сайтов, также часто является целью компьютерных атак, поэтому, помимо постоянного обновления, требует частого обслуживания, обновления и процедур безопасности для таким образом избегайте слабых мест из-за уязвимостей в надстройках, слабых паролей, устаревшего программного обеспечения, среди многих других причин, а именно, достигать значительно снизит вашу уязвимость для любых намеренных или непредвиденных атак.

Кроме того, WP, как и любые другие системы управления контентом (CMS), позволяет быстро и эффективно создать веб-сайт, а затем разместить его в сети. Его высокая работоспособность и способность к развитию с помощью модулей и дополнительных тем упрощают выполнение этой задачи, но без необходимости в долгих годах обучения, которые обычно требуются для этого.

Тем не менее, побочный эффект ничего приятного из этого не может возникнуть, возможно, некоторые менеджеры указанного инструмента, как правило, обход, меры, необходимые для обеспечения безопасности создаваемого или поддерживаемого веб-сайта.. По этой причине важно помнить о некоторых общих и конкретных мерах (передовых методах), касающихся WP или любой другой CMS и веб-сайта, чтобы обеспечить их безопасность.

Best Practices

1.- Укрепите вашу безопасность в целом

WP, безусловно, легко превышает 30% базы активных сайтов в Интернете сегодня., что делает его излюбленной целью для захватчиков и / или злоумышленников (хакеров / взломщиков) с хорошими или плохими намерениями. Следовательно, известная и уже успешно использованная уязвимость на аналогичном сайте WP будет предпринята на других аналогичных сайтах WP.

WordPress: первая передовая практика

Поэтому, если вы управляете и / или используете один или несколько веб-сайтов с WP, убедитесь, что вы более внимательны, внимательны и осведомлены об их онлайн-безопасности. Имейте в виду, что большинство нарушений безопасности, проанализированных и зарегистрированных на веб-сайтах с WP, мало или совсем не связаны с ядром самого приложения, но во многом связаны со всем, что связано с его реализацией, настройкой и общим обслуживанием, выполняется неправильно разработчиками или администраторами ».

WordPress: вторая хорошая практика

2.- Знайте свои уязвимости

WordPress имеет около 4.000 известных уязвимостей безопасности, которые распределяются следующим образом: WP Core (37%), плагины (52%) и темы (11%)., согласно недавнему отчету с сайта WPScans, который теперь называется WPSec (с 01). Изучите уязвимости системы безопасности, с которыми сталкивается ваш веб-сайт, и найдите решение для устранения этих проблем. Избегайте запуска небезопасных версий WP Core или его плагинов и тем.

Сосредоточьтесь на следующих темах безопасности на вашем WP или веб-сайте, то есть на Различные типы Атаки от:

  • Грубая сила: Повышение безопасности на странице входа.
  • Включение файла: Повышение безопасности вашего файла конфигурации wp-config.php.
  • SQL-инъекция: Повышение безопасности вашей базы данных MySQL, связанной с WP.
  • Межсайтовый скриптинг: Повышение безопасности используемых плагинов WP.
  • Заражение вредоносным ПО: Повышение общей безопасности вашего веб-сайта для предотвращения несанкционированного доступа, внедрения вредоносных программ и последующего сбора конфиденциальных данных этими вредоносными кодами. Наиболее частыми вредоносными программами или атаками обычно являются: бэкдор, SEO-спам, HackTool, Mailer, Defacement и Phishing. Постарайтесь защитить свой сайт от каждого из этих типов вредоносных программ или атак.

Помните, что при взломе любого веб-сайта может пострадать его SEO-рейтинг. Потому что поисковые системы, как правило, быстро регистрируют взломанные веб-сайты, чтобы браузеры сигнализировали посетителям о предупреждающих знаках или полностью блокировали их возможность навигации по этим сайтам.

WordPress: 3-я хорошая практика

3.- Знайте инфраструктуру своего хостинг-провайдера.

Если ваш веб-сайт использует внешний хостинг, то есть нанятый за пределами вашей инфраструктуры, не экономьте на расходах, чтобы обеспечить качество услуг вашего хостинг-провайдера. Прежде всего, если он размещает свой сайт по схеме «виртуальный хостинг».

в качестве некачественный «общий хостинг» может сделать ваш сайт более уязвимым при взломе одного из нескольких сайтов, хранящихся на одном сервере. То есть, если сайт взломан на сервере с «общим хостингом», злоумышленники также могут получить доступ к другим сайтам и их данным.

WordPress: 4-я передовая практика

4.- Знай евеб-технические характеристики от вашего хостинг-провайдера

Когда дело доходит до оценки хостинг-провайдера, его инфраструктура - это еще не все. Также важны технические веб-спецификации, используемые вашим хостинг-провайдером для повышения безопасности размещенных веб-сайтов. Убедитесь, что он соответствует следующим рекомендациям по безопасности для размещения вашего сайта:

  • Простая установка SSL-сертификатов
  • Активное управление версиями программного обеспечения веб-сервера.
  • Защита межсетевым экраном
  • Учет посещений сайта
  • Регулярные аудиты безопасности
  • Обнаружение вредоносной активности
  • Поддержка SFTP (не только FTP), TLS 1.2 и 1.3, а также PHP 5.6, как минимум, хотя рекомендуется 7.0 и выше.

Все это необходимо, как минимум, для повышения безопасности вашего сайта с WP в качестве используемой CMS или без него.

WordPress - Темы и плагины: плагины

5.- Остерегайтесь используемых тем и дополнений

Установленные плагины и темы имеют большое значение для уровня безопасности. Стремитесь использовать только официальные темы и плагины, сертифицированные WP или сообществом, известные коммерческие репозитории или напрямую от известных разработчиков. Поскольку многие из них (не сертифицированные) могут содержать вредоносный код.

Неважно, насколько вы защищаете свой сайт от WP, если вы установите вредоносное ПО. Изучите, прежде чем загружать и устанавливать какие-либо темы и плагины, или их веб-сайт разработчика или промоутера, и бронируйте бесплатные или со скидкой.

WordPress: 5-я передовая практика

6.- Старайтесь чаще обновлять вашу CMS.

Обновления вашей веб-платформы очень важны для вашей безопасности. ли Используйте вашу CMS или нет, устаревшие версии вашего ядра, темы или плагинов могут привести к обнаружению известных уязвимостей на вашем веб-сайте. В случае WP, который является открытым исходным кодом, есть команда, специально посвященная этой проблеме в ядре приложения.

Каждая уязвимость системы безопасности, обнаруженная в WP, исправляется и немедленно устраняется. для решения каждой новой проблемы безопасности, обнаруженной в WP. Из-за этого обновления WP и все его темы и плагины до последней версии - жизненно важный компонент успешной стратегии безопасности.

WordPress: 6-я передовая практика

7.- Я нашел подходящий пароль

Качество и надежность наших паролей на веб-сайтах очень важны. Вход на наши веб-сайты является предпочтительной целью для эксплуатации уязвимостей, поскольку он обеспечивает самый простой доступ к странице администрирования вашего веб-сайта.

Атаки методом грубой силы - самый распространенный метод взлома вашего логина., обнаруживая комбинации имени пользователя и пароля для доступа к веб-сайту. В конкретном случае WP по умолчанию он не ограничивает количество неудачных попыток входа в систему, которые может сделать кто-то, поэтому наиболее рекомендуется использовать сложный пароль для входа в систему вашего администратора WP.

При выборе пароля учитывайте эти 3 основных требования, основанных на формате CLU. (Сложный, Длинный, Уникальный):

  • СЛОЖНЫЙ: Пароли должны быть как можно более случайными и наименее связаны с веб-администратором или веб-сайтом.
  • ДОЛГО: Пароли должны состоять из 12 или более символов. И усилен ограничениями или ограничениями на количество неудачных попыток подключения.
  • ТОЛЬКО: Не используйте пароли повторно. Каждый пароль должен быть уникальным по времени. Это простое правило резко ограничивает влияние любого взломанного пароля.

Рекомендации: Используйте менеджер паролей, такой как «LastPass» (онлайн) и «KeePass 2» (офлайн), чтобы сгенерировать и сохранить все свои пароли в зашифрованном виде.

WordPress: седьмая передовая практика

8.- Всегда имейте подготовленный план действий в случае бедствий

Если вы используете WP, помните, что у него нет встроенной системы резервного копирования. Включите один в качестве приоритета, чтобы у вас всегда была актуальная резервная копия вашего сайта. Резервное копирование критически важно, и необходимо реализовать общую стратегию безопасности.

Не забывайте, что вы должны не только резервное копирование используемых веб-сайтов и баз данныхно все настройки всего сервера с помощью автоматизированных задач с использованием сценариев или систем клонированных изображений для облегчения необходимых реставраций и переустановок в кратчайшие сроки.

WordPress: 8-я передовая практика

9.- Повысьте свою безопасность с помощью 2FA

Укрепите свой логин администратора WP или свой веб-сайт с помощью механизма двухфакторной аутентификации (2FA)., который сегодня является одним из лучших способов защитить ваш сайт. Двухфакторная аутентификация добавляет дополнительный уровень защиты для входа на ваш веб-сайт, требуя, чтобы для использования вашего пароля для успешного входа в систему требовался дополнительный чувствительный ко времени код от другого устройства, такого как ваш смартфон. .

В случае WP который не предлагает эту функцию по умолчанию встроить то же самое с помощью плагинатакие как iThemes Security, чтобы добавить то же самое.

WordPress: девятая передовая практика

10.- Используйте все необходимые аксессуары безопасности.

Большинство CMS, таких как WP, используют плагины для повышения собственного потенциала безопасности. В конкретном случае WP рекомендуется использовать плагин безопасности под названием iThemes Security. чтобы добавить еще больше защиты вашему сайту. Этот плагин блокирует WP, исправляет известные дыры, останавливает автоматические атаки и укрепляет учетные данные пользователя.

У него есть бесплатная версия (iThemes Security) и платная версия (iThemes Security Pro). который, очевидно, предоставляет больше функций безопасности, таких как двухфакторная аутентификация, плановое сканирование на наличие вредоносных программ, регистрация пользователей и многое другое.

Заключение

Будь то WP или другая CMS, вы можете избежать большинства проблем с безопасностью веб-сайта, просто следуя этим лучшим или передовым методам безопасности. Ваш веб-сайт заслуживает и должен иметь необходимые меры безопасности, чтобы гарантировать или свести к минимуму его неприкосновенность в это время, столь обеспокоенное деятельностью хакеров и взломщиков.

Наконец и в качестве дополнения, мы рекомендуем вам прочитать эту другую статью в нашем блоге по теме усиления безопасности вашего сайта, называется: Разрешения Linux для системных администраторов и разработчиков.


Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.