WordPress: 10 najlepších postupov v oblasti zabezpečenia webových stránok

Linux Post Install

10 minút

WordPress: 10 najlepších postupov v bezpečnostných záležitostiach

WordPress: 10 najlepších postupov v bezpečnostných záležitostiach

WordPress (WP) je známy ako najobľúbenejší CMS, ktoré boli okrem iného navrhnuté s dôrazom na prístupnosť, výkon a ľahké použitie, sú neustále vyvíjané (aktuálna verzia 5.2), majú obrovskú komunitu používateľov v mnohých jazykoch a majú obrovskú kapacitu na prispôsobenie pomocou vlastných tém alebo doplnkov tretích strán.

Aj za to, že som veľmi bezpečný, ale kvôli tomu, ako v každej aplikácii alebo systéme, je potrebné dodržiavať osvedčené postupy, aby sa dosiahla bezpečná dlhodobá implementácia. A v tomto príspevku chceme v tejto súvislosti uviesť niekoľko základných odporúčaní.

Úvod

WP je najpopulárnejším CMS pre tvorbu webových stránok, je tiež zvyčajne častým terčom počítačových útokov, takže okrem neustálej aktualizácie, vyžaduje častú údržbu, aktualizáciu a bezpečnostné postupy pre vyhnite sa tak slabostiam spôsobeným slabými miestami v doplnkoch, slabými heslami, zastaraným softvérom, okrem iných dôvodov, dosiahnuť výrazne zníži vašu zraniteľnosť pri zamýšľanom alebo nepredvídanom útoku.

Okrem toho vám WP ako každý iný systém na správu obsahu (CMS) umožňuje rýchlo a efektívne vytvoriť webovú stránku a potom ju umiestniť online. Vďaka vysokej schopnosti pracovať a rásť, prostredníctvom modulov a doplňujúcich sa tém, je ľahšie ako kedykoľvek predtým dosiahnuť túto úlohu, ale bez potreby dlhých rokov učenia, ktoré sú na to zvyčajne potrebné.

Avšak, vedľajší účinok nič príjemné, čo z toho môže vzniknúť, môže sa stať, že niektorí manažéri daného nástroja zvyčajne bypass, opatrenia potrebné na zaistenie bezpečnosti vytvorenej alebo udržiavanej webovej stránky. Z tohto dôvodu je dôležité mať na pamäti niektoré všeobecné a konkrétne opatrenia (osvedčené postupy) týkajúce sa WP alebo iného CMS a webových stránok, aby bola zaistená bezpečnosť.

Osvedčené postupy

1. - Všeobecne posilnite svoju bezpečnosť

WP dnes určite ľahko prekročí 30% základne aktívnych webových stránok na internete, čo z neho robí obľúbený cieľ útočníkov a / alebo útočníkov (hackerov / crackerov) s dobrými alebo zlými úmyslami. Preto sa o pokus o známu a už úspešne zneužitú zraniteľnosť na podobnom webe WP bude pokúšať na iných podobných serveroch WP.

WordPress: 1. Dobrá prax

Ak teda spravujete a / alebo používate jeden alebo viac webových stránok s WP, uistite sa, že ste opatrnejší, dôkladnejší a informujete o ich online zabezpečení. Majte na pamäti, že väčšina porušení bezpečnosti analyzovaných a hlásených na webových stránkach s WP nemala veľa alebo nič spoločné s jadrom samotnej aplikácie, ale mala veľa spoločného so všetkým, čo sa týkalo implementácie, konfigurácie a všeobecnej údržby, ktoré boli vykonané nesprávne vývojármi alebo správcami. “

WordPress: 2. dobrá prax

2. - Poznajte svoje zraniteľné miesta

WordPress má asi 4.000 37 známych slabých miest zabezpečenia, ktoré sú distribuované nasledovne: WP Core (52%), Pluginy (11%) a Témy (XNUMX%), podľa nedávnej správy z webu WPScans, ktorá sa teraz volá WPSec (od 01. 05. 2019). Preskúmajte chyby zabezpečenia, ktorým čelí váš web, a nájdite riešenie, ako tieto problémy vyriešiť. Zabráňte spusteniu nezabezpečených verzií WP Core alebo jeho doplnkov a tém.

Zamerajte sa na nasledujúce témy zabezpečenia na vašom WP alebo webe, teda na Rôzne typy Útoky od:

  • Hrubou silou: Posilnenie zabezpečenia na prihlasovacej stránke.
  • Zahrnutie súboru: Posilnenie bezpečnosti vášho konfiguračného súboru wp-config.php.
  • Vloženie SQL: Posilnenie bezpečnosti vašej databázy MySQL spojenej s WP.
  • Skriptovanie viacerých stránok: Posilnenie bezpečnosti použitých doplnkov WP.
  • Malvérová infekcia: Posilnenie všeobecnej bezpečnosti vášho webu, aby sa zabránilo neoprávnenému prístupu, vloženiu škodlivého softvéru a následnému zhromažďovaniu dôverných údajov týmito škodlivými kódmi. Najčastejšie malware alebo útoky sú zvyčajne typu: Backdoor, SEO Spam, HackTool, Mailer, Defacement a Phishing. Chráňte svoj web pred každým z týchto typov škodlivého softvéru alebo útokmi.

Pamätajte, že akonáhle je akýkoľvek web napadnutý, môže utrpieť jeho hodnotenie SEO. Pretože vyhľadávacie nástroje majú tendenciu rýchlo zaznamenávať napadnuté webové stránky, aby prehliadače signalizovali návštevníkom varovné signály alebo úplne blokovali ich schopnosť pohybovať sa na týchto stránkach.

WordPress: 3. dobrá prax

3.- Poznajte infraštruktúru svojho poskytovateľa hostingu

Ak váš web využíva externý hosting, teda prenajatý mimo vašej infraštruktúry, nešetrite nákladmi na zabezpečenie kvality služieb od vášho poskytovateľa hostingu. Predovšetkým, ak je hostiteľom jeho stránok v rámci schémy „zdieľaného hostingu“.

ako nekvalitný „zdieľaný hosting“ môže spôsobiť, že váš web bude zraniteľnejší keď je napadnutý jeden z viacerých webov uložených na rovnakom serveri. To znamená, že ak je web napadnutý serverom so „zdieľaným hostením“, útočníci môžu tiež získať prístup k iným webom a ich údajom.

WordPress: 4. Dobrá prax

4.- Poznaj naprtechnické špecifikácie webu od poskytovateľa hostingu

Pokiaľ ide o hodnotenie poskytovateľa hostingu, jeho infraštruktúra nie je všetko. Dôležité sú aj technické špecifikácie webu, ktoré váš poskytovateľ hostingu používa na dosiahnutie lepšej bezpečnosti hostených webových stránok. Uistite sa, že dodržiava nasledujúce odporúčané bezpečnostné pokyny pre hosťovanie vášho webu:

  • Jednoduchá inštalácia SSL certifikátov
  • Aktívna správa verzií softvéru webového servera.
  • Ochrana firewallom
  • Záznam o prístupoch na webovú stránku
  • Rutinné bezpečnostné audity
  • Detekcia škodlivej činnosti
  • Podpora minimálne pre SFTP (nielen FTP), TLS 1.2 a 1.3 a pre PHP 5.6, aj keď sa odporúča 7.0 a viac.

To všetko je nevyhnutné minimálne na zvýšenie bezpečnosti vášho webu s alebo bez WP ako použitého CMS.

WordPress - Témy a doplnky: Pluginy

5.- Pozor na použité motívy a doplnky

Nainštalované doplnky a témy sú veľmi dôležité na úrovni zabezpečenia. Snažte sa používať iba oficiálne témy a doplnky certifikované WP alebo komunitou, známe komerčné úložiská alebo priamo od renomovaných vývojárov. Pretože veľa z nich (necertifikovaných) môže obsahovať škodlivý kód.

Nezáleží na tom, ako veľmi chránite svoj web pred WP, ​​ak si nainštalujete malvér. Pred stiahnutím a inštaláciou akýchkoľvek tém a doplnkov alebo ich vývojárskych alebo propagačných webových stránok si urobte prieskum a urobte si rezerváciu u bezplatných alebo zlacnených.

WordPress: 5. Dobrá prax

6. - Snažte sa často aktualizovať svoj CMS

Aktualizácie vašej webovej platformy sú veľmi dôležité pre vašu bezpečnosť. Buď Ak svoj CMS využijete alebo nie, zastarané verzie vašich Core, Theme alebo pluginov vás môžu viesť k prechovávaniu známych zraniteľností na vašom webe. V prípade WP, ktorý je otvoreným zdrojom, existuje v jadre aplikácie tím špeciálne zameraný na túto problematiku.

Každá bezpečnostná chyba zistená vo WP je okamžite opravená a eliminovaná za účelom vyriešenia každého nového bezpečnostného problému objaveného vo WP. Kvôli tej aktualizácii WP a všetky jeho témy a doplnky k najnovšej verzii sú dôležitou súčasťou úspešnej bezpečnostnej stratégie.

WordPress: 6. Dobrá prax

7.- Našiel som vhodné heslo

Kvalita alebo sila našich hesiel na webových stránkach je veľmi dôležitá. Prihlásenie na naše webové stránky je hlavným cieľom zneužitia zraniteľnosti, pretože poskytuje najjednoduchší prístup na stránku správy vášho webu.

Útoky hrubou silou sú najbežnejšou metódou na zneužitie vašich prihlasovacích údajov, zisťovanie kombinácií používateľského mena a hesla na získanie prístupu na webovú stránku. V konkrétnom prípade WP predvolene neobmedzuje počet neúspešných pokusov o prihlásenie, ktoré niekto môže vykonať, preto sa najviac odporúča použitie komplexného hesla na prihlásenie vášho správcu WP.

Pri výbere hesla zohľadnite tieto 3 základné požiadavky založené na formáte CLU (Zložité, dlhé, jedinečné):

  • KOMPLEXNÝ: Heslá by mali byť pokiaľ možno náhodné a najmenej spojené s webovým správcom alebo webovou stránkou.
  • DLHÉ: Heslá musia mať dĺžku najmenej 12 znakov. A obohatené obmedzeniami alebo obmedzeniami počtu neúspešných pokusov o pripojenie.
  • IBA: Nepoužívajte znova heslá. Každé heslo musí byť časovo jedinečné. Toto jednoduché pravidlo drasticky obmedzuje dopad každého napadnutého hesla.

odporúčanie: Na vytvorenie a uloženie všetkých svojich hesiel v šifrovanom formáte použite správcu hesiel, napríklad „LastPass“ (online) a „KeePass 2“ (offline).

WordPress: 7. osvedčený postup

8.- Svoj plán proti katastrofám majte vždy pripravený

Ak používate WP, nezabudnite, že nemá zabudovaný záložný systém. Jedným z nich je priorita, aby ste mali vždy k dispozícii aktuálnu zálohu svojich webových stránok. Zálohy sú kritické a je potrebné ich implementovať ako všeobecnú stratégiu zabezpečenia.

Nezabudnite, že by ste mali nielen zálohujte svoje použité webové stránky a databázyale všetko nastavenia celého servera prostredníctvom automatizovaných úloh so skriptmi alebo klonovanými obrazovými systémami uľahčiť potrebné obnovy a reinštalácie v čo najkratšom čase.

WordPress: 8. dobrá prax

9. - Zvýšte svoju bezpečnosť pomocou 2FA

Posilnite svoje prihlasovacie údaje správcu WP alebo svoj web pomocou mechanizmu dvojfaktorovej autentifikácie (2FA), čo je dnes jeden z najlepších spôsobov zabezpečenia vášho webu. Dvojfaktorová autentifikácia dodáva vášmu prihláseniu na web ďalšiu vrstvu ochrany tým, že vyžaduje, aby použitie vášho hesla vyžadovalo ďalší úspešne citovaný kód z iného zariadenia, napríklad z vášho smartphonu, na úspešné prihlásenie.

V prípade WP ktorá túto funkciu štandardne neponúka vložiť to isté pomocou pluginunapríklad iThemes Security.

WordPress: 9. osvedčený postup

10. - Používajte potrebné bezpečnostné príslušenstvo

Väčšina CMS ako WP využíva doplnky na zvýšenie svojho bezpečnostného potenciálu. V konkrétnom prípade WP sa odporúča použitie bezpečnostného doplnku s názvom iThemes Security. aby ste zvýšili ochranu svojich webových stránok. Tento doplnok blokuje WP, opravuje známe medzery, zastavuje automatizované útoky a posilňuje poverenia používateľov.

Má bezplatnú verziu (iThemes Security) a platenú verziu (iThemes Security Pro) ktorá zjavne poskytuje viac bezpečnostných funkcií, ako napríklad 2FA, plánované kontroly škodlivého softvéru, registrácia používateľov, okrem iného.

Záver

Či už je to cez WP alebo iný CMS, väčšine bezpečnostných problémov na webe sa môžete vyhnúť jednoduchým dodržiavaním týchto najlepších alebo dobrých bezpečnostných postupov. Váš web si zaslúži a musí mať zavedené potrebné bezpečnostné opatrenia, ktoré zaručujú alebo minimalizujú jeho nedotknuteľnosť v dnešnej dobe, ktorú tak trápi činnosť hackerov a crackerov.

Nakoniec a ako doplnok odporúčame vám prečítať si tento ďalší článok na našom blogu v tejto oblasti na posilnenie bezpečnosti vašich webových stránok, nazvaný: Povolenia pre systém Linux pre správcov a vývojárov systému Linux.


Zanechajte svoj komentár

Vaša e-mailová adresa nebude zverejnená. Povinné položky sú označené *

*

*

  1. Zodpovedný za údaje: Miguel Ángel Gatón
  2. Účel údajov: Kontrolný SPAM, správa komentárov.
  3. Legitimácia: Váš súhlas
  4. Oznamovanie údajov: Údaje nebudú poskytnuté tretím stranám, iba ak to vyplýva zo zákona.
  5. Ukladanie dát: Databáza hostená spoločnosťou Occentus Networks (EU)
  6. Práva: Svoje údaje môžete kedykoľvek obmedziť, obnoviť a vymazať.