WordPress: 10 bästa metoder inom webbplatsens säkerhet

Linux Post Install

10 minuter

WordPress: 10 bra metoder i säkerhetsfrågor

WordPress: 10 bra metoder i säkerhetsfrågor

WordPress (WP) är känt som mest populära CMS, bland många saker, efter att ha utformats med tonvikt på tillgänglighet, prestanda och användarvänlighet, i kontinuerlig utveckling (nuvarande version 5.2), har en stor grupp användare på många språk och har en enorm anpassningskapacitet genom användning av egna teman och tillägg från tredje part.

Också för att vara väldigt säker, men för detta, som i alla applikationer eller system, måste god praxis följas för att uppnå ett säkert långsiktigt genomförande. Och i det här inlägget vill vi ge några grundläggande rekommendationer i detta avseende.

Inledning

WP är det mest populära CMS för att bygga webbplatser, är vanligtvis också ett vanligt mål för datorattacker, så bortsett från dess ständiga uppdatering, kräver frekventa underhålls-, uppdaterings- och säkerhetsprocedurer till undvik därmed svagheter på grund av sårbarheter i tillägg, svaga lösenord, föråldrad programvara, bland många andra skäl, det vill säga uppnå minska din sårbarhet kraftigt för alla avsedda eller oförutsedda attacker.

Dessutom låter WP dig som alla andra Content Management Systems (CMS) snabbt och effektivt bygga en webbplats och sedan lägga den online. Dess höga förmåga för arbete och tillväxt, via moduler, kompletterande teman, gör det lättare än någonsin att utföra denna uppgift men utan behov av de långa år av lärande som vanligtvis krävs för detta.

Sin embargo, en biverkning ingenting trevligt som kan uppstå från detta, kan det vara som vissa chefer för nämnda verktyg, vanligtvis förbikoppling, nödvändiga åtgärder för att säkerställa att webbplatsen som skapas eller underhålls är säker. Av denna anledning är det viktigt att komma ihåg några allmänna och specifika åtgärder (god praxis), om WP eller något annat CMS och webbplats för att hålla det säkert.

Bra övningar

1.- Stärka din säkerhet i allmänhet

WP överstiger säkert lätt 30% av basen av aktiva webbplatser på Internet idag, vilket gör det till ett favoritmål för inkräktare och / eller angripare (hackare / krackare) med goda eller dåliga avsikter. Därför kommer en känd och redan framgångsrikt utnyttjad sårbarhet på en liknande WP-webbplats att försökas på andra liknande WP-webbplatser.

WordPress: 1: a bra praxis

Så om du hanterar och / eller använder en eller flera webbplatser med WP, ​​se till att du är mer försiktig, grundlig och medveten om deras online-säkerhet. Kom ihåg att de flesta säkerhetsöverträdelser som analyserats och rapporterats på webbplatser med WP hade liten eller ingenting att göra med själva applikationens kärna, men mycket att göra med allt som rör implementering, konfiguration och allmänt underhåll, utfört felaktigt av utvecklare eller administratörer. '

WordPress: 2: a god praxis

2. - Känn dina sårbarheter

WordPress har cirka 4.000 37 kända säkerhetsproblem, fördelade enligt följande: WP Core (52%), Plugins (11%) och Teman (XNUMX%), enligt en färsk rapport från WPScans webbplats, som nu heter WPSec (sedan 01-05-2019). Undersök säkerhetsproblem som din webbplats står inför och hitta en lösning för att lösa dessa problem. Undvik att köra osäkra versioner av WP Core eller dess plugins och teman.

Fokusera på följande säkerhetsämnen på din WP eller webbplats, det vill säga på De olika typerna av Attacker från:

  • Råstyrka: Stärker säkerheten på din inloggningssida.
  • Inkludering av fil: Stärker säkerheten för din wp-config.php-konfigurationsfil.
  • SQL-injektion: Stärka säkerheten för din MySQL-databas associerad med WP.
  • Cross-scripting: Stärker säkerheten för begagnade WP-plugins.
  • Infektion med skadlig programvara: Förstärka den allmänna säkerheten på din webbplats för att förhindra obehörig åtkomst, infogning av skadlig kod och efterföljande insamling av konfidentiell information med dessa skadliga koder. De vanligaste skadliga programmen eller attackerna är vanligtvis av typen: Backdoor, Spam SEO, HackTool, Mailer, Defacement och Phishing. Se till att skydda din webbplats mot var och en av dessa typer av skadlig kod eller attack.

Kom ihåg att när en webbplats har äventyrats kan dess SEO-ranking drabbas. Eftersom sökmotorer tenderar att snabbt registrera komprometterade webbplatser så att webbläsare signalerar varningsskyltar till besökare eller helt blockerar möjligheten att navigera på dessa webbplatser.

WordPress: 3: e god praxis

3.- Känn infrastrukturen hos din värdleverantör

Om din webbplats använder extern hosting, det vill säga hyrs utanför din infrastruktur, spara inte på kostnaderna för att säkerställa kvaliteten på din tjänstleverantör. Speciellt om han är värd för sin webbplats under "shared hosting" -schemat.

som "delad hosting" av dålig kvalitet kan göra din webbplats mer sårbar när en av de olika webbplatserna som är lagrade på samma server äventyras. Det vill säga om en webbplats hackas på en server med "shared hosting" kan angripare också få tillgång till andra webbplatser och deras data.

WordPress: 4: e god praxis

4.- Känn ewebbtekniska specifikationer från din webbhotellleverantör

När det gäller att utvärdera en värdleverantör är dess infrastruktur inte allt. De tekniska webbspecifikationerna som används av din värdleverantör för att uppnå bättre säkerhet för de värdade webbplatserna är också viktigt. Se till att den följer följande rekommenderade säkerhetsriktlinjer för webbhotell:

  • Enkel installation av SSL-certifikat
  • Aktiv hantering av programvaruversioner för webbserver.
  • Brandväggsskydd
  • Registrering av åtkomst till webbplatsen
  • Rutinmässiga säkerhetsrevisioner
  • Upptäckt av skadlig aktivitet
  • Stöd för SFTP (inte bara FTP), TLS 1.2 och 1.3, och för PHP 5.6, åtminstone, även om 7.0 och senare rekommenderas.

Allt detta är nödvändigt, åtminstone, för att öka säkerheten på din webbplats med eller utan WP som begagnat CMS.

WordPress - Teman och plugins: Plugins

5.- Se upp för teman och komplement som används

Plugins och teman som är installerade spelar mycket roll på säkerhetsnivå. Sikta på att endast använda officiella WP- eller gemenskapscertifierade teman och plugins, välkända kommersiella förvar eller direkt från ansedda utvecklare. Eftersom många av dem (inte certifierade) kan innehålla skadlig kod.

Det spelar ingen roll hur mycket du skyddar din webbplats från WP om du installerar skadlig programvara. Gör din forskning innan du laddar ner och installerar några teman och plugins, eller deras utvecklare eller promotorwebbplats, och gör dina bokningar hos de gratis eller rabatterade.

WordPress: 5: e god praxis

6. - Försök att uppdatera ditt CMS ofta

Uppdateringar av din webbplattform är mycket viktiga för din säkerhet. Vare sig WP ditt CMS eller inte, föråldrade versioner av din Core, Theme eller plugins kan leda dig till att känna sårbarheter på din webbplats. När det gäller WP, som är öppen källkod, finns det ett team specifikt dedikerat till denna fråga inom applikationens kärna.

Varje säkerhetsproblem som upptäcks i WP korrigeras och elimineras omedelbart för att lösa varje nytt säkerhetsproblem som upptäcks i WP. På grund av den uppdateringen WP och alla dess teman och plugins till den senaste versionen är en viktig del av en framgångsrik säkerhetsstrategi.

WordPress: 6: e god praxis

7.- Jag hittade ett passande lösenord

Kvaliteten eller styrkan på våra lösenord på webbplatser är mycket viktigt. Att logga in på våra webbplatser är ett föredraget mål för att utnyttja sårbarheter, eftersom det ger enklast åtkomst till din webbplats administrationssida.

Brute force-attacker är den vanligaste metoden för att utnyttja din inloggning, upptäcka användarnamn och lösenordskombinationer för att få tillgång till webbplatsen. I det specifika fallet med WP begränsar det som standard inte antalet misslyckade inloggningsförsök som någon kan göra, därför är det mest rekommenderade att använda ett komplext lösenord för inloggning av din WP-administratör.

När du väljer ett lösenord, ta hänsyn till dessa tre grundläggande krav baserat på CLU-format (Komplex, lång, unik):

  • KOMPLEX: Lösenord bör vara så slumpmässiga som möjligt och minst relaterade till webbadministratören eller webbplatsen.
  • LÅNG: Lösenord måste innehålla 12 tecken eller fler. Och förstärkt med begränsningar eller begränsningar av antalet misslyckade anslutningsförsök.
  • ENDAST: Återanvänd inte lösenord. Varje lösenord måste vara unikt i tid. Den här enkla regeln begränsar drastiskt effekten av eventuella komprometterade lösenord.

rekommendation: Använd en lösenordshanterare som “LastPass” (online) och “KeePass 2” (offline) för att generera och lagra alla dina lösenord i ett krypterat format.

WordPress: 7: e god praxis

8.- Ha alltid din antikatastrofplan utarbetad

Om du använder WP kom ihåg att den inte har ett inbyggt reservsystem. Inkludera en som en prioritet, så att du alltid har en uppdaterad säkerhetskopia av din webbplats. Säkerhetskopior är kritiska och en allmän säkerhetsstrategi att genomföra.

Glöm inte att du inte bara borde säkerhetskopiera dina använda webbplatser och databaserMen alla inställningarna av hela servern genom automatiserade uppgifter med skript eller klonade bildsystem för att underlätta nödvändiga restaureringar och ominstallationer på kortast möjliga tid.

WordPress: 8: e god praxis

9.- Öka din säkerhet med 2FA

Stärka din WP-administratörsinloggning eller din webbplats med tvåfaktorsautentiseringsmekanism (2FA), vilket är ett av de bästa sätten att säkra din webbplats idag. Tvåfaktorautentisering lägger till ett extra lager av skydd för din webbplatsinloggning genom att kräva att användningen av ditt lösenord kräver en extra tidskänslig kod från en annan enhet, till exempel din smartphone, för att lyckas logga in.

I fallet med WP som inte erbjuder denna funktion som standard bädda in detsamma med hjälp av ett pluginsom iThemes Security för att lägga till detsamma.

WordPress: 9: e god praxis

10.- Använd alla nödvändiga säkerhetstillbehör

De flesta CMS som WP använder plugins för att öka säkerhetspotentialen hos sig själva. I det specifika fallet med WP rekommenderas användning av säkerhetsplugin som heter iThemes Security. för att lägga till ännu mer skydd på din webbplats. Detta plugin blockerar WP, fixar kända hål, stoppar automatiserade attacker och stärker användaruppgifterna.

Den har en gratis version (iThemes Security) och en betald version (iThemes Security Pro) vilket uppenbarligen ger fler säkerhetsfunktioner som 2FA, schemalagda malware-skanningar, användarregistrering, bland annat.

Slutsats

Oavsett om det är över WP eller ett annat CMS, kan du undvika de flesta webbplatsens säkerhetsproblem helt enkelt genom att följa dessa bästa eller bra säkerhetspraxis. Din webbplats förtjänar och måste ha nödvändiga säkerhetsåtgärder för att garantera eller minimera dess okränkbarhet i dessa tider så oroliga av hackare och crackers aktivitet.

Slutligen och som ett tillägg Vi rekommenderar att du läser den här andra artikeln på vår blogg i ämnet för att stärka säkerheten på din webbplats, kallad: Linuxbehörigheter för systemadministratörer och utvecklare.


Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.