WordPress: 10 najboljših praks na področju varnosti spletnih strani

Linux Post Install

10 minut

WordPress: 10 najboljših praks glede varnosti

WordPress: 10 najboljših praks glede varnosti

WordPress (WP) je znan kot najbolj priljubljen CMSmed drugim je bil zasnovan s poudarkom na dostopnosti, zmogljivosti in enostavnosti uporabe in je v stalnem razvoju (trenutna različica 5.2), imajo ogromno skupnost uporabnikov v mnogih jezikih in imajo ogromno zmožnost prilagajanja z uporabo lastnih ali tujih tem in dodatkov.

Tudi zato, ker ste zelo varni, vendar je treba za to, tako kot v kateri koli aplikaciji ali sistemu, upoštevati dobre prakse za dosego varne dolgoročne izvedbe. V tem prispevku želimo v zvezi s tem podati nekaj osnovnih priporočil.

uvod

WP je najbolj priljubljen CMS za izdelavo spletnih stranije običajno tudi pogosta tarča računalniških napadov, zato poleg nenehnega posodabljanja, zahteva pogosto vzdrževanje, posodabljanje in varnostne postopke za tako se izognite slabostim zaradi ranljivosti v dodatkih, šibkih gesel, zastarele programske opreme, med mnogimi drugimi razlogi, to je, doseganje močno zmanjša svojo ranljivost za kakršen koli načrtovan ali nepredviden napad.

Poleg tega tudi WP, tako kot kateri koli drugi sistemi za upravljanje vsebin (CMS), omogoča hitro in učinkovito izdelavo spletnega mesta in njegovo postavitev v splet. Njegova zmogljivost za delo in rast prek modulov, ki dopolnjujejo teme, olajša doseganje te naloge kot kdaj koli prej, vendar brez dolgih let učenja, ki so za to običajno potrebna.

Vendar pa stranski učinek iz tega ne more nastati nič prijetnejšega, morda nekateri upravitelji omenjenega orodja običajno bypass, ukrepe, potrebne za zagotovitev varnosti spletnega mesta, ki je bilo ustvarjeno ali vzdrževano. Iz tega razloga je pomembno, da upoštevate nekatere splošne in posebne ukrepe (dobre prakse), v zvezi z WP ali katerim koli drugim sistemom upravljanja vsebin in spletnim mestom, da bo varno.

Dobre prakse

1. - Okrepite svojo varnost na splošno

WP zagotovo zlahka presega 30% baze aktivnih spletnih mest danes na internetu, zaradi česar je priljubljena tarča napadalcev in / ali napadalcev (hekerjev / krekerjev) z dobrimi ali slabimi nameni. Zato se bo na podobnih spletnih mestih WP poskusila znana in že uspešno izkoriščena ranljivost na podobnih spletnih mestih.

WordPress: 1. dobra praksa

Torej, če upravljate in / ali uporabljate eno ali več spletnih mest z WP, se prepričajte, da ste bolj previdni, temeljiti in se zavedate njihove spletne varnosti. Upoštevajte, da je imela večina varnostnih kršitev, analiziranih in prijavljenih na spletnih mestih z WP, malo ali nič skupnega z jedrom same aplikacije, veliko pa je bilo povezano z vsem, kar je povezano z njeno izvedbo, konfiguracijo in splošnim vzdrževanjem, ki so ga razvijalci ali skrbniki izvedli nepravilno. '

WordPress: 2. dobra praksa

2. - Spoznajte svoje ranljivosti

WordPress ima skoraj 4.000 znanih varnostnih ranljivosti, razdeljenih na naslednji način: WP Core (37%), vtičniki (52%) in teme (11%), po nedavnem poročilu s spletne strani WPScans, ki se zdaj imenuje WPSec (od 01). Raziščite varnostne ranljivosti, s katerimi se sooča vaše spletno mesto, in poiščite rešitev za rešitev teh težav. Izogibajte se izvajanju negotovih različic WP Core ali njegovih vtičnikov in tem.

Osredotočite se na naslednje varnostne teme na svojem delovnem mestu ali spletnem mestu, to je na Različne vrste Napadi:

  • Surova sila: Okrepitev varnosti na vaši prijavni strani.
  • Vključitev datoteke: Okrepitev varnosti vaše konfiguracijske datoteke wp-config.php.
  • Vbrizgavanje SQL: Okrepitev varnosti vaše baze podatkov MySQL, povezane z WP.
  • Medsektorsko skriptiranje: Okrepitev varnosti uporabljenih vtičnikov WP.
  • Okužba z zlonamerno programsko opremo: Okrepitev splošne varnosti vašega spletnega mesta, da se prepreči nepooblaščen dostop, vstavljanje zlonamerne programske opreme in poznejše zbiranje zaupnih podatkov s strani teh zlonamernih kod. Najpogostejša zlonamerna programska oprema ali napadi so običajno vrste: Backdoor, Spam SEO, HackTool, Mailer, Defacement in Phishing. Poskrbite, da boste zaščitili spletno mesto pred vsako od teh vrst zlonamerne programske opreme ali napadov.

Ne pozabite, da je lahko, ko je katero koli spletno mesto ogroženo, njegova SEO uvrstitev trpeti. Ker iskalniki ponavadi hitro beležijo ogrožena spletna mesta, tako da brskalniki obiskovalcem dajo opozorilne znake ali popolnoma blokirajo možnost krmarjenja po teh spletnih mestih.

WordPress: 3. dobra praksa

3. - Spoznajte infrastrukturo svojega ponudnika gostovanja

Če vaše spletno mesto uporablja zunanje gostovanje, torej najeto zunaj vaše infrastrukture, ne varčujte s stroški, da zagotovite kakovost storitve pri ponudniku gostovanja. Predvsem, če svoje spletno mesto gosti po shemi "deljenega gostovanja".

Od takrat slaba kakovost „deljenega gostovanja“ lahko vaše spletno mesto naredi bolj ranljivo kadar je ogroženo eno od več spletnih mest, shranjenih na istem strežniku. Se pravi, če spletno mesto vdre v strežnik s »deljenim gostovanjem«, lahko napadalci dobijo tudi dostop do drugih spletnih mest in njihovih podatkov.

WordPress: 4. dobra praksa

4. - Poznajte espletne tehnične specifikacije pri ponudniku gostovanja

Ko gre za ocenjevanje ponudnika gostovanja, njegova infrastruktura ni vse. Pomembne so tudi tehnične spletne specifikacije, ki jih vaš ponudnik gostovanja uporablja za večjo varnost gostujočih spletnih mest. Prepričajte se, da upošteva naslednje priporočene varnostne smernice za gostovanje vašega spletnega mesta:

  • Enostavna namestitev SSL certifikatov
  • Aktivno upravljanje različic programske opreme spletnega strežnika.
  • Zaščita požarnega zidu
  • Evidenca dostopov do spletne strani
  • Redne varnostne revizije
  • Odkrivanje zlonamerne dejavnosti
  • Podpora za SFTP (ne samo FTP), TLS 1.2 in 1.3 ter za PHP 5.6 vsaj, čeprav je priporočljiva 7.0 naprej.

Vse to je potrebno vsaj za povečanje varnosti vašega spletnega mesta z WP ali brez njega kot uporabljenega CMS.

WordPress - teme in vtičniki: vtičniki

5. - Pazite se uporabljenih tem in dopolnil

Nameščeni vtičniki in teme so na varnostni ravni zelo pomembni. Prizadevajte si za uporabo samo uradnih tem in vtičnikov, certificiranih za WP ali Skupnosti, dobro znanih komercialnih skladišč ali neposredno od uglednih razvijalcev. Ker mnogi od njih (niso certificirani) lahko vsebujejo zlonamerno kodo.

Ni pomembno, koliko zaščitite svoje spletno mesto pred WP, ​​če namestite zlonamerno programsko opremo. Opravite svoje raziskave, preden prenesete in namestite katere koli teme in vtičnike ali spletno mesto za njihove razvijalce ali promotorje, in rezervirajte jih za brezplačne ali znižane.

WordPress: 5. dobra praksa

6. - Poskusite pogosto posodabljati svoj sistem upravljanja vsebin

Posodobitve vaše spletne platforme so zelo pomembne za vašo varnost. Kakorkoli WP vaš CMS ali ne, zastarele različice vašega jedra, teme ali vtičnikov vas lahko privedejo do tega, da na vašem spletnem mestu najdete znane ranljivosti. V primeru WP, ki je odprtokodna, je v jedru aplikacije ekipa, ki je posebej posvečena tej problematiki.

Vsaka varnostna ranljivost, odkrita v WP, se takoj popravi in ​​odpravi da bi rešili vsak nov varnostni problem, odkrit v WP. Zaradi te posodobitve WP in vse njegove teme in vtičniki do najnovejše različice so ključni sestavni del uspešne varnostne strategije.

WordPress: 6. dobra praksa

7. - Našel sem primerno geslo

Kakovost ali trdnost naših gesel na spletnih mestih je zelo pomembna. Prijava na naša spletna mesta je glavni cilj za izkoriščanje ranljivosti, saj omogoča najlažji dostop do skrbniške strani vašega spletnega mesta.

Napadi s silo so najpogostejši način za uporabo vaše prijave, odkrivanje kombinacij uporabniškega imena in gesla za dostop do spletnega mesta. V posebnem primeru WP privzeto ne omejuje števila neuspešnih poskusov prijave, ki jih lahko nekdo izvede, zato je najbolj priporočljiva uporaba zapletenega gesla za prijavo skrbnika WP.

Pri izbiri gesla upoštevajte te tri temeljne zahteve, ki temeljijo na obliki CLU (Kompleksno, dolgo, edinstveno):

  • KOMPLEKS: Gesla morajo biti čim bolj naključna in najmanj povezana s spletnim skrbnikom ali spletnim mestom.
  • DOLGA: Gesla morajo biti dolga 12 ali več znakov. In okrepljeno z omejitvami ali omejitvami števila neuspelih poskusov povezave.
  • SAMO: Ne uporabljajte gesel znova. Vsako geslo mora biti pravočasno unikatno. To preprosto pravilo dramatično omejuje vpliv katerega koli ogroženega gesla.

Priporočilo: Uporabite upravitelja gesel, kot sta »LastPass« (na spletu) in »KeePass 2« (brez povezave), da ustvarite in shranite vsa gesla v šifrirani obliki.

WordPress: 7. dobra praksa

8. - Vedno imejte pripravljen načrt za boj proti nesrečam

Če uporabljate WP, ne pozabite, da nima vgrajenega varnostnega sistema. Vključite enega prednostno, tako da imate vedno posodobljeno varnostno kopijo svojega spletnega mesta. Varnostne kopije so ključne in jih je treba uporabiti za splošno varnostno strategijo.

Ne pozabite, da ne bi smeli samo varnostno kopirajte uporabljena spletna mesta in zbirke podatkovampak vse nastavitve celotnega strežnika z avtomatiziranimi nalogami s skriptnimi ali kloniranimi slikovnimi sistemi za olajšanje potrebnih restavracij in ponovnih namestitev v najkrajšem možnem času.

WordPress: 8. dobra praksa

9. - Povečajte svojo varnost z uporabo 2FA

Ojačajte prijavo ali spletno mesto skrbnika za WP z dvofaktorskim preverjanjem pristnosti (2FA), ki je danes najboljši način za zaščito vašega spletnega mesta. Dvofaktorsko preverjanje pristnosti doda dodatno stopnjo zaščite prijavi na vaše spletno mesto, saj zahteva, da je za uporabo vašega gesla potrebna dodatna časovno občutljiva koda iz druge naprave, na primer pametnega telefona, za uspešno prijavo. .

V primeru WP ki privzeto ne ponuja te funkcije vdelajte isto z uporabo vtičnikana primer iThemes Security, če želite dodati isto.

WordPress: 9. dobra praksa

10. - Uporabite vso potrebno varnostno opremo

Večina sistemov za upravljanje vsebin, kot je WP, uporablja vtičnike za povečanje lastnega varnostnega potenciala. V posebnem primeru WP je priporočljiva uporaba varnostnega vtičnika, imenovanega iThemes Security. da bi še bolj zaščitili svoje spletno mesto. Ta vtičnik blokira WP, popravi znane luknje, ustavi samodejne napade in okrepi uporabniške poverilnice.

Ima brezplačno različico (iThemes Security) in plačljivo različico (iThemes Security Pro) ki očitno med drugim zagotavlja več varnostnih funkcij, kot so 2FA, načrtovano pregledovanje zlonamerne programske opreme, registracija uporabnikov.

Zaključek

Ne glede na to, ali gre za WP ali drug sistem za upravljanje vsebin, se lahko večini varnostnih težav spletnega mesta izognete tako, da upoštevate te najboljše ali dobre varnostne prakse. Vaše spletno mesto si zasluži in mora imeti vzpostavljene potrebne varnostne ukrepe za zagotovitev ali zmanjšanje njegove nedotakljivosti v teh časih, ki jih motijo ​​hekerji in krekerji.

Na koncu in kot dodatek, priporočamo, da preberete še ta članek na našem blogu o temi za krepitev varnosti vašega spletnega mesta, imenovani: Dovoljenja za Linux za sistemske skrbnike in razvijalce.


Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Za podatke odgovoren: Miguel Ángel Gatón
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.