WordPress: 10 praktikat më të mira në sigurinë e faqes në internet

Linux Post Install

Minuta 10

WordPress: 10 praktika të mira në çështjet e sigurisë

WordPress: 10 praktika të mira në çështjet e sigurisë

WordPress (WP) njihet si CMS më të njohura, ndër të tjera, duke qenë të dizajnuara me theks të veçantë në arritshmërinë, performancën dhe lehtësinë e përdorimit, duke qenë në zhvillim të vazhdueshëm (versioni aktual 5.2), kanë një komunitet të madh përdoruesish në shumë gjuhë dhe kanë një kapacitet të madh personalizimi përmes përdorimit të temave dhe shtesave të tyre ose të palëve të treta.

Gjithashtu për të qenë shumë të sigurt, por për këtë, si në çdo aplikim ose sistem, praktikat e mira duhet të ndiqen për të arritur një zbatim të sigurt afatgjatë. Dhe në këtë post ne duam të japim disa rekomandime themelore në këtë drejtim.

paraqitje

WP duke qenë CMS më i popullarizuar për ndërtimin e faqeve në internet, zakonisht është gjithashtu një shënjestër e shpeshtë e sulmeve kompjuterike, kështu që përveç azhurnimit të vazhdueshëm të tij, kërkon mirëmbajtje, azhurnim të shpeshtë dhe procedura të sigurisë para shmangni kështu dobësitë për shkak të dobësive në shtesa, fjalëkalime të dobëta, softuer të vjetëruar, ndër shumë arsye të tjera, dmth. arrij zvogëloni shumë ndjeshmërinë tuaj ndaj çdo sulmi të synuar ose të paparashikuar.

Përveç kësaj, WP si çdo Sistem tjetër i Menaxhimit të Përmbajtjes (CMS) ju lejon të ndërtoni me shpejtësi dhe me efikasitet një faqe në internet dhe më pas ta vendosni në internet. Kapaciteti i tij i lartë për punë dhe rritje, përmes moduleve, temave plotësuese, e bën më të lehtë se kurrë arritjen e kësaj detyre, por pa pasur nevojë për vitet e gjata të mësimit që zakonisht kërkohen për këtë.

Megjithatë, një efekt anësor asgjë e këndshme që mund të lindë nga kjo, mund të ndodhë që disa menaxherë të mjetit të përmendur, zakonisht bajpas, masat e nevojshme për të siguruar që faqja e internetit e krijuar ose e mirëmbajtur është e sigurt. Për këtë arsye, është e rëndësishme të mbani në mend disa masa të përgjithshme dhe specifike (praktika të mira), rreth WP ose ndonjë CMS tjetër dhe uebsajt për ta mbajtur të sigurt.

Praktikat e mira

1.- Forconi sigurinë tuaj në përgjithësi

WP me siguri tejkalon lehtësisht 30% të bazës së faqeve aktive në internet sot, gjë që e bën atë një objektiv të preferuar për pushtuesit dhe / ose sulmuesit (hakerat / krisësit) me qëllime të mira ose të këqija. Prandaj, një dobësi e njohur dhe e shfrytëzuar tashmë me sukses në një sit të ngjashëm me WP do të provohet në faqe të tjera të ngjashme me WP.

WordPress: 1 Praktika e Mirë

Pra, nëse menaxhoni dhe / ose përdorni një ose më shumë faqe në internet me WP sigurohuni që të jeni më të kujdesshëm, më të plotë dhe të vetëdijshëm për sigurinë e tyre në internet. Mbani në mend se shumica e shkeljeve të sigurisë të analizuara dhe raportuara në faqet e internetit me WP kishin pak ose aspak të bënin me thelbin e vetë aplikacionit, por kishin të bënin shumë me gjithçka që lidhej me zbatimin, konfigurimin dhe mirëmbajtjen e përgjithshme, të kryer gabimisht nga zhvilluesit ose administratorët. '

WordPress: Praktika e dytë e mirë

2.- Njihni dobësitë tuaja

WordPress ka rreth 4.000 dobësi të njohura të sigurisë, të shpërndara si më poshtë: WP Core (37%), Shtojca (52%) dhe Temat (11%), sipas një raporti të fundit nga faqja e internetit e WPScans, e cila tani quhet WPSec (që nga 01-05-2019). Hetoni dobësitë e sigurisë me të cilat përballet faqja juaj në internet dhe gjeni një zgjidhje për të zgjidhur këto çështje. Shmangni ekzekutimin e versioneve të pasigurta të WP Core, ose shtojcave dhe temave të tij.

Përqendrohuni në temat e mëposhtme të sigurisë në WP ose faqen tuaj, dmth Llojet e ndryshme të Sulmet nga:

  • Forcë e madhe: Përforcimi i sigurisë në faqen tuaj të hyrjes.
  • Përfshirja e skedarit: Forcimi i sigurisë së skedarit tuaj të konfigurimit wp-config.php.
  • Injeksioni SQL: Forcimi i sigurisë së bazës së të dhënave tuaja MySQL të lidhura me WP.
  • Shkrimet e kryqëzuara të faqes: Forcimi i sigurisë së shtojcave të përdorura WP.
  • Infeksioni nga malware: Përforcimi i sigurisë së përgjithshme të faqes suaj të internetit për të parandaluar hyrjen e paautorizuar, futjen e malware dhe mbledhjen pasuese të të dhënave konfidenciale nga këto kode me qëllim të keq. Malware ose sulmet më të shpeshta janë zakonisht të llojit: Backdoor, Spam SEO, HackTool, Postues, Defacement dhe Phishing. Kërkoni të mbroni faqen tuaj nga secili prej këtyre llojeve të malware ose sulmeve.

Mos harroni se sapo ndonjë faqe në internet të komprometohet, renditja e saj në SEO mund të vuajë. Për shkak se motorët e kërkimit kanë tendencë të regjistrojnë shpejt faqet e internetit të rrezikuara në mënyrë që shfletuesit të sinjalizojnë vizitorë shenja paralajmëruese ose të bllokojnë plotësisht aftësinë e tyre për të lundruar në ato faqe.

WordPress: Praktika e tretë e mirë

3.- Njohni infrastrukturën e ofruesit tuaj të Hosting

Nëse faqja juaj në internet përdor një host të jashtëm, domethënë të punësuar jashtë infrastrukturës tuaj, mos kurseni shpenzime për të siguruar cilësinë e shërbimit nga ofruesi juaj i pritjes. Mbi të gjitha, nëse ai pret faqen e tij nën skemën "hosting të përbashkët".

si 'hosting i përbashkët' me cilësi të dobët mund ta bëjë faqen tuaj më të prekshme kur një nga disa uebfaqe të ruajtura në të njëjtin server kompromentohet. Kjo do të thotë, nëse një faqe në internet hakohet në një server me "pritje të përbashkët", sulmuesit gjithashtu mund të kenë akses në faqet e internetit të tjera dhe të dhënat e tyre.

WordPress: Praktika e 4-të e mirë

4.- Njihni especifikimet teknike të uebit nga ofruesi juaj i pritjes

Kur bëhet fjalë për vlerësimin e një ofruesi të pritjes, infrastruktura e tij nuk është gjithçka. Specifikimet teknike të uebit të përdorura nga ofruesi juaj i pritjes për të arritur një siguri më të mirë të faqeve të internetit të pritura janë gjithashtu të rëndësishme. Sigurohuni që ai ndjek udhëzimet e mëposhtme të rekomanduara të sigurisë për mbajtjen e faqes tuaj në internet:

  • Instalim i lehtë i certifikatave SSL
  • Menaxhimi aktiv i versioneve të softuerëve të serverit web.
  • Mbrojtja e murit të zjarrit
  • Regjistrimi i hyrjeve në faqen e internetit
  • Auditime rutinë të sigurisë
  • Zbulimi i veprimtarisë me qëllim të keq
  • Mbështetje për SFTP (jo vetëm FTP), TLS 1.2 dhe 1.3, dhe për PHP 5.6, në minimum, megjithëse rekomandohet 7.0 e tutje.

E gjithë kjo është e nevojshme, së paku, për të rritur sigurinë e faqes suaj të internetit me ose pa WP si një CMS e përdorur.

WordPress - Temat dhe Shtojcat: Shtojca

5.- Kini kujdes nga temat dhe plotësimet e përdorura

Shtojcat dhe temat që janë instaluar kanë shumë rëndësi në nivelin e sigurisë. Synoni të përdorni vetëm tema dhe shtojca zyrtare të certifikuara nga WP ose Komuniteti, depo të njohura komerciale ose direkt nga zhvillues të mirënjohur. Meqenëse shumë prej tyre (të pa certifikuar) mund të përmbajnë kod të dëmshëm.

Nuk ka rëndësi se sa e mbroni faqen tuaj të internetit nga WP nëse instaloni malware. Bëni kërkimin tuaj përpara se të shkarkoni dhe instaloni ndonjë temë dhe shtojcë, ose faqen e internetit të zhvilluesit ose promovuesit të tyre dhe bëni rezervimet tuaja me ato falas ose me zbritje.

WordPress: Praktika e 5-të e mirë

6.- Mundohuni të azhurnoni CMS tuaj shpesh

Përditësimet në platformën tuaj të internetit janë shumë të rëndësishme për sigurinë tuaj. Ose WP CMS tuaj ose jo, versionet e vjetruara të Bërthamës, Temës ose Shtojcave tuaja mund t'ju çojnë në mbrojtjen e dobësive të njohura në faqen tuaj të internetit. Në rastin e WP, i cili është burim i hapur, ekziston një ekip i dedikuar posaçërisht për këtë çështje brenda Thelbit të aplikacionit.

Çdo dobësi e sigurisë e zbuluar në WP korrigjohet dhe eliminohet menjëherë në mënyrë që të zgjidhet çdo problem i ri i sigurisë i zbuluar në WP. Për shkak të këtij azhurnimi WP dhe të gjitha temat dhe shtojcat e tij në versionin e fundit është një komponent jetik i një strategjie të suksesshme sigurie.

WordPress: Praktika e 6-të e mirë

7.- Gjeta një fjalëkalim të përshtatshëm

Cilësia ose forca e fjalëkalimeve tona në faqet e internetit është shumë e rëndësishme. Identifikimi në faqet tona të internetit është një objektiv kryesor për shfrytëzimin e dobësive, sepse siguron qasjen më të lehtë në faqen e administrimit të faqes suaj të internetit.

Sulmet me forcë brutale janë metoda më e zakonshme për të shfrytëzuar hyrjen tuaj, duke zbuluar kombinimet e emrit të përdoruesit dhe fjalëkalimit për të fituar qasje në faqen e internetit. Në rastin specifik të WP, si parazgjedhje nuk kufizon numrin e përpjekjeve të dështuara të hyrjes që dikush mund të bëjë, prandaj, më e rekomanduara është përdorimi i një fjalëkalimi kompleks për hyrjen e administratorit tuaj WP.

Kur zgjidhni një fjalëkalim, merrni parasysh këto 3 kërkesa themelore të bazuara në formatin CLU (Kompleks, i gjatë, unik):

  • KOMPLEKSI: Fjalëkalimet duhet të jenë sa më të rastësishme dhe më pak të lidhura me Administratorin e Uebit ose Uebfaqen.
  • E gjate: Fjalëkalimet duhet të kenë gjatësi 12 ose më shumë karaktere. Dhe të fortifikuara me kufizime ose kufizime në numrin e përpjekjeve të dështuara të lidhjes.
  • VETEM: Mos përdorni përsëri fjalëkalimet. Çdo fjalëkalim duhet të jetë unik në kohë. Ky rregull i thjeshtë kufizon në mënyrë drastike ndikimin e çdo fjalëkalimi të kompromentuar.

Rekomandim: Përdorni një menaxher fjalëkalimesh si "LastPass" (në internet) dhe "KeePass 2" (jashtë linje) për të gjeneruar dhe ruajtur të gjitha fjalëkalimet tuaja në një format të koduar.

WordPress: Praktika e 7-të e Mirë

8.- Gjithmonë përgatitni planin tuaj kundër katastrofës

Nëse përdorni WP mos harroni se nuk ka një sistem rezervë të integruar. Përfshini një si përparësi, kështu që gjithmonë të keni një kopje rezervë të azhurnuar të faqes suaj të internetit. Rezervimet janë kritike dhe një strategji e përgjithshme sigurie për tu zbatuar.

Mos harroni se ju nuk duhet vetëm rezervoni faqet tuaja të internetit të përdorura dhe bazat e të dhënavepor të gjitha cilësimet të gjithë serverit përmes detyrave të automatizuara me skripta ose sisteme imazhesh të klonuara, për të lehtësuar restaurimet dhe ri-instalimet e nevojshme në kohën më të shkurtër të mundshme.

WordPress: Praktika e 8-të e Mirë

9.- Rritni sigurinë tuaj duke përdorur 2FA

Forconi hyrjen tuaj të administratorit WP ose faqen tuaj duke përdorur mekanizmin e vërtetimit me dy faktorë (2FA), e cila është një nga mënyrat më të mira për të siguruar faqen tuaj në internet sot. Vërtetimi me dy faktorë shton një shtresë shtesë mbrojtjeje në hyrjen në faqen tuaj të internetit, duke kërkuar që përdorimi i fjalëkalimit tuaj të kërkojë një kod shtesë të ndjeshëm në kohë nga një pajisje tjetër, siç është smartphone, për t'u identifikuar me sukses.

Në rastin e WP që nuk e ofron këtë funksionalitet si parazgjedhje vendosni të njëjtën gjë duke përdorur një shtojcëtë tilla si iThemes Security për të shtuar të njëjtën gjë.

WordPress: Praktika e 9-të e Mirë

10.- Përdorni ndonjë pajisje të nevojshme të sigurisë

Shumica e CMS si WP përdorin shtojcat për të rritur potencialin e sigurisë së tyre. Në rastin specifik të WP, rekomandohet përdorimi i shtojcës së sigurisë të quajtur iThemes Security. për të shtuar edhe më shumë mbrojtje në faqen tuaj të internetit. Kjo shtojcë bllokon WP, rregullon vrimat e njohura, ndalon sulmet e automatizuara dhe forcon kredencialet e përdoruesit.

Ka një version falas (iThemes Security) dhe një version me pagesë (iThemes Security Pro) e cila padyshim ofron më shumë karakteristika të sigurisë si 2FA, skanime të planifikuara malware, regjistrim të përdoruesve, ndër të tjera.

Përfundim

Pavarësisht nëse është mbi WP ose një tjetër CMS, ju mund të shmangni shumicën e problemeve të sigurisë në faqen e internetit thjesht duke ndjekur këto praktika më të mira të sigurisë ose praktikat e mira. Uebfaqja juaj meriton dhe duhet të ketë masat e nevojshme të sigurisë për të garantuar ose minimizuar paprekshmërinë e saj në këto kohë kaq të trazuara nga veprimtaria e hakerëve dhe krisësve.

Më në fund dhe si shtesë, ju rekomandojmë të lexoni këtë artikull tjetër në blogun tonë mbi këtë temë për të forcuar sigurinë e faqes suaj të internetit, të quajtur: Lejet Linux për Administratorët e Sistemit dhe Zhvilluesit.


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.