WordPress: 10 mabubuting kasanayan sa mga tuntunin ng seguridad para sa mga website

Linux Post Install

10 Minutos

WordPress: 10 mabubuting kasanayan sa mga usapin sa seguridad

WordPress: 10 mabubuting kasanayan sa mga usapin sa seguridad

Ang WordPress (WP) ay kilala bilang pinakatanyag na CMS, bukod sa maraming mga bagay, na dinisenyo na may isang diin sa accessibility, pagganap, at kadalian ng paggamit, pagiging patuloy na pag-unlad (kasalukuyang bersyon 5.2), magkaroon ng isang malaking pamayanan ng mga gumagamit sa maraming mga wika at magkaroon ng isang malaking kapasidad sa pagpapasadya sa pamamagitan ng paggamit ng sarili o mga third-party na tema at mga add-on (plugin).

Para din sa pagiging ligtas, ngunit para doon, tulad ng anumang aplikasyon o system, ang mga mabubuting kasanayan ay dapat sundin upang makamit ang isang ligtas na pangmatagalang pagpapatupad. At sa post na ito nais naming magbigay ng ilang pangunahing mga rekomendasyon hinggil sa bagay na ito.

Pagpapakilala

Ang WP ang pinakatanyag na CMS para sa pagbuo ng mga website, kadalasan ay madalas na target ng pag-atake sa computer, kaya bukod sa patuloy na pag-update nito, nangangailangan ng madalas na mga pamamaraan sa pagpapanatili, pag-update, at seguridad para kaya iwasan ang mga kahinaan dahil sa mga kahinaan sa mga add-on, mahina na password, hindi napapanahong software, bukod sa maraming iba pang mga kadahilanan, iyon ay, sumikat lubos na bawasan ang iyong kahinaan sa anumang inilaan o hindi inaasahang pag-atake.

Bilang karagdagan, pinapayagan ka ng WP tulad ng anumang iba pang Mga Sistema ng Pamamahala ng Nilalaman (CMS) na mabilis at mahusay na bumuo ng isang website at pagkatapos ay ilagay ito sa online. Ang mataas na kakayahan para sa trabaho at paglago, sa pamamagitan ng mga modyul, mga pantulong na tema, ginagawang mas madali kaysa dati upang makamit ang gawaing ito ngunit nang hindi nangangailangan ng mahabang taon ng pag-aaral na karaniwang kinakailangan para dito.

Gayunpaman, isang epekto walang kaaya-aya na maaaring lumitaw mula dito, maaaring ang ilang mga tagapamahala ng nasabing tool, karaniwan bypass, ang mga kinakailangang hakbang upang matiyak na ang website ay nilikha o pinapanatili ay ligtas. Para sa kadahilanang ito, mahalagang tandaan ang ilang pangkalahatan at tukoy na mga hakbang (mabubuting kasanayan), tungkol sa WP o anumang iba pang CMS at website upang mapanatili itong ligtas.

Mga mabubuting Kasanayan

1.- Palakasin ang iyong seguridad sa pangkalahatan

Tiyak na madaling lumampas ang WP sa 30% ng base ng mga aktibong website sa Internet ngayon, na ginagawang paboritong target para sa mga mananakop at / o mang-atake (mga hacker / crackers) na may mabuti o masamang intensyon. Samakatuwid, isang kilalang at matagumpay na pinagsamantalahan ang kahinaan sa isang katulad na site ng WP ay susubukan sa iba pang mga katulad na mga site ng WP.

WordPress: Ika-1 Mahusay na Kasanayan

Kaya't kung pinamamahalaan mo at / o gumagamit ng isa o higit pang (mga) website sa WP tiyaking mas maingat ka, masusing at may kamalayan sa kanilang seguridad sa online. Tandaan na ang karamihan sa mga paglabag sa seguridad na pinag-aralan at naiulat sa mga website na may WP ay may kaunti o walang kinalaman sa core ng application mismo, ngunit maraming kinalaman sa lahat na nauugnay sa pagpapatupad nito, pagsasaayos at pangkalahatang pagpapanatili, na isinagawa nang hindi tama ng mga tagabuo o tagapangasiwa. '

WordPress: Ika-2 Mahusay na Kasanayan

2.- Alamin ang iyong mga kahinaan

Ang WordPress ay may humigit-kumulang 4.000 kilalang mga kahinaan sa seguridad, na ipinamamahagi tulad ng sumusunod: WP Core (37%), Mga Plugin (52%) at Mga Tema (11%), ayon sa isang kamakailang ulat mula sa website ng WPScans, na ngayon ay tinatawag na Ang WPSec (mula 01-05-2019). Imbistigahan ang mga kahinaan sa seguridad na kinakaharap ng iyong website at maghanap ng solusyon upang malutas ang mga isyung ito. Iwasang magpatakbo ng mga hindi secure na bersyon ng WP Core, o mga plugin at tema nito.

Ituon ang mga sumusunod na paksa sa seguridad sa iyong WP o website, iyon ay, sa Ang iba`t ibang uri ng Pag-atake mula sa:

  • Malupit na puwersa: Pinapatibay ang seguridad sa iyong pahina sa pag-login.
  • Pagsasama ng file: Pagpapalakas ng seguridad ng iyong file na pagsasaayos ng wp-config.php.
  • SQL injection: Pagpapalakas ng seguridad ng iyong MySQL database na nauugnay sa WP.
  • Pag-script ng Cross Site: Pinatitibay ang seguridad ng mga ginamit na plugin ng WP.
  • Impeksyon sa malware: Pinatitibay ang pangkalahatang seguridad ng iyong website upang maiwasan ang hindi awtorisadong pag-access, ang pagpapasok ng malware at ang kasunod na koleksyon ng kumpidensyal na data ng mga nakakahamak na code na ito. Ang pinaka-madalas na Malware o pag-atake ay karaniwang uri: Backdoor, Spam SEO, HackTool, Mailer, Defensions at Phishing. Hanapin upang maprotektahan ang iyong site laban sa bawat isa sa mga ganitong uri ng malware o pag-atake.

Tandaan na sa sandaling ang anumang website ay lumabag, ang pagraranggo ng SEO ay maaaring magdusa. Dahil ang mga search engine ay madalas na mag-log ng mga nakompromiso na website upang ang mga browser ay maaaring magbigay sa mga bisita ng mga palatandaan ng babala o ganap na harangan ang kakayahang mag-navigate sa mga site na iyon.

WordPress: Ika-3 Mahusay na Kasanayan

3.- Alamin ang mga imprastraktura ng iyong Hosting provider

Kung ang iyong website ay gumagamit ng panlabas na pagho-host, iyon ay, tinanggap sa labas ng iyong imprastraktura, huwag magtipid sa mga gastos upang matiyak ang kalidad ng serbisyo mula sa iyong hosting provider. Higit sa lahat, kung nagho-host siya ng kanyang site sa ilalim ng "shared hosting" scheme.

Mula noon ang hindi magandang kalidad na 'shared hosting' ay maaaring gawing mas mahina ang iyong site kapag ang isa sa maraming mga website na nakaimbak sa parehong server ay nakompromiso. Iyon ay, kung ang isang website ay na-hack sa isang server na may "shared hosting", ang mga magsasalakay ay maaari ring makakuha ng pag-access sa iba pang mga website at kanilang data.

WordPress: Ika-4 na Magandang Kasanayan

4.- Alamin ang epagtutukoy ng panteknikal sa web mula sa iyong provider ng Hosting

Pagdating sa pagsusuri ng isang provider ng hosting, ang imprastraktura nito ay hindi lahat. Ang mga pantukoy na panteknikal na web na ginamit ng iyong hosting provider upang makamit ang mas mahusay na seguridad ng mga naka-host na website ay mahalaga din. Tiyaking sumusunod ito sa sumusunod na inirekumendang mga alituntunin sa seguridad para sa pagho-host ng iyong website:

  • Madaling pag-install ng mga sertipiko ng SSL
  • Aktibong pamamahala ng mga bersyon ng software ng web server.
  • Proteksyon ng Firewall
  • Log ng pag-access sa website
  • Mga regular na pag-audit sa seguridad
  • Nakakita ng nakakahamak na aktibidad
  • Suporta para sa SFTP (hindi lamang FTP), TLS 1.2 at 1.3, at para sa PHP 5.6, sa isang minimum, bagaman 7.0 pataas ay inirerekumenda.

Ang lahat ng ito ay kinakailangan, sa isang minimum, upang madagdagan ang seguridad ng iyong website na mayroon o walang WP bilang isang ginamit na CMS.

WordPress - Mga Tema at Plugin: Mga Plugin

5.- Mag-ingat sa ginamit na Mga Tema at Kompleto

Ang mga plugin at tema na na-install ay mahalaga sa antas ng seguridad. Hangarin na gumamit lamang ng mga opisyal na tema ng WP o sertipikadong Komunidad o mga plugin, kilalang mga komersyal na repository, o direkta mula sa kagalang-galang na mga developer. Dahil marami sa kanila (hindi sertipikado) ay maaaring maglaman ng nakakahamak na code.

Hindi mahalaga kung gaano mo protektahan ang iyong website mula sa WP kung na-install mo ang malware. Magsaliksik ka ba bago mag-download at mag-install ng anumang mga tema at plugin, o ang kanilang developer o promoter website, at ipareserba ang iyong mga reserba sa mga libre o may diskwento.

WordPress: Ika-5 na Magandang Kasanayan

6.- Subukang i-update ang iyong CMS nang madalas

Ang mga pag-update sa iyong web platform ay napakahalaga para sa iyong seguridad. Alinman Ang WP iyong CMS o hindi, hindi napapanahong mga bersyon ng iyong Core, Tema, o mga plugin ay maaaring humantong sa iyo na magtago ng mga kilalang kahinaan sa iyong website. Sa kaso ng WP, na bukas na mapagkukunan, mayroong isang koponan na partikular na nakatuon sa isyung ito sa loob ng Core ng aplikasyon.

Ang bawat kahinaan sa seguridad na natuklasan sa WP ay naitama at tinanggal kaagad upang malutas ang bawat bagong problema sa seguridad na natuklasan sa WP. Dahil sa update na iyon Ang WP at lahat ng mga tema at plugin nito sa pinakabagong bersyon ay isang mahalagang bahagi ng isang matagumpay na diskarte sa seguridad.

WordPress: Ika-6 na Magandang Kasanayan

7.- Nakahanap ako ng angkop na password

Napakahalaga ng kalidad o lakas ng aming mga password sa mga website. Ang pag-log in sa aming mga website ay isang ginustong target para sa pagsasamantala sa mga kahinaan, sapagkat nagbibigay ito ng pinakamadaling pag-access sa pahina ng pangangasiwa ng iyong website.

Ang pag-atake ng mabangis na puwersa ay ang pinakakaraniwang pamamaraan upang pagsamantalahan ang iyong pag-login, pagtuklas ng mga kombinasyon ng username at password upang makakuha ng pag-access sa website. Sa tukoy na kaso ng WP, bilang default hindi nito nililimitahan ang bilang ng mga nabigong pagtatangka sa pag-login na maaaring gawin ng isang tao, samakatuwid, ang pinaka-inirekumenda ay ang paggamit ng isang kumplikadong password para sa pag-login ng iyong administrator ng WP.

Kapag pumipili ng isang password, isinasaalang-alang ang 3 pangunahing mga kinakailangang ito batay sa format na CLU (Komplikado, Mahaba, Natatanging):

  • KOMPLEX: Ang mga password ay dapat na random hangga't maaari at kaunting nauugnay sa Web Administrator o sa Website.
  • MAHABA: Ang mga password ay dapat na 12 o higit pang mga character ang haba. At pinatibay ng mga paghihigpit o limitasyon sa bilang ng mga nabigong pagtatangka sa koneksyon.
  • LAMANG: Huwag muling gamitin ang mga password. Ang bawat password ay dapat na natatangi sa oras. Ang simpleng panuntunang ito ay lubhang naglilimita sa epekto ng anumang nakompromiso na password.

Rekomendasyon: Gumamit ng isang tagapamahala ng password tulad ng "LastPass" (online) at "KeePass 2" (offline) upang makabuo at maiimbak ang lahat ng iyong mga password sa isang naka-encrypt na format.

WordPress: Ika-7 Mahusay na Kasanayan

8.- Palaging ihanda ang iyong plano laban sa sakuna

Kung gumagamit ka ng WP tandaan na wala itong built-in na backup na system. Isama ang isa bilang isang priyoridad, kaya palagi kang may isang napapanahong pag-backup ng iyong website. Ang mga backup ay kritikal at isang pangkalahatang diskarte sa seguridad upang ipatupad.

Huwag kalimutan na dapat hindi ka lamang i-back up ang iyong mga ginamit na website at databasepero lahat ang mga setting ng buong server sa pamamagitan ng mga awtomatikong gawain sa mga script o na-clone na sistema ng imahe, upang mapadali ang mga kinakailangang pagpapanumbalik at muling pag-install sa pinakamaikling panahon.

WordPress: Ika-8 Mahusay na Kasanayan

9.- Palakihin ang iyong seguridad gamit ang 2FA

Palakasin ang iyong pag-login sa WP admin o iyong website gamit ang mekanismo ng two-factor authentication (2FA), na isa sa mga pinakamahusay na paraan upang ma-secure ang iyong website ngayon. Ang pagdaragdag ng dalawang-kadahilanan ay nagdaragdag ng isang karagdagang layer ng proteksyon sa iyong pag-login sa website, sa pamamagitan ng pag-aatas na ang paggamit ng iyong password ay nangangailangan ng isang karagdagang code na sensitibo sa oras mula sa isa pang aparato, tulad ng iyong smartphone, upang matagumpay na mag-login.

Sa kaso ng WP na hindi inaalok ang pagpapaandar na ito bilang default i-embed ang pareho sa pamamagitan ng paggamit ng isang plugintulad ng iThemes Security upang magdagdag ng pareho.

WordPress: Ika-9 na Magandang Kasanayan

10.- Gumamit ng anumang kinakailangang mga accessories sa seguridad

Karamihan sa CMS tulad ng WP ay gumagamit ng mga plugin upang madagdagan ang potensyal ng seguridad ng kanilang sarili. Sa tukoy na kaso ng WP, inirerekumenda ang paggamit ng plugin ng seguridad na tinatawag na iThemes Security. upang magdagdag ng higit pang proteksyon sa iyong website. Hinahadlangan ng plugin na ito ang WP, inaayos ang mga kilalang butas, humihinto sa mga awtomatikong pag-atake, at pinalalakas ang mga kredensyal ng gumagamit.

Mayroon itong isang libreng bersyon (iThemes Security) at isang bayad na bersyon (iThemes Security Pro) na malinaw na nagbibigay ng higit pang mga tampok sa seguridad tulad ng 2FA, naka-iskedyul na mga pag-scan ng malware, pagpaparehistro ng gumagamit, bukod sa iba pang mga bagay.

Konklusyon

Kahit na ito ay higit sa WP o ibang CMS, maiiwasan mo ang karamihan sa mga problema sa seguridad ng website sa pamamagitan lamang ng pagsunod sa mga pinakamahusay o mahusay na kasanayan sa seguridad na ito. Karapat-dapat ang iyong website at dapat magkaroon ng mga kinakailangang hakbang sa seguridad upang magarantiya o mabawasan ang pagiging walang bisa nito sa mga oras na ito na sobrang ginugulo ng aktibidad ng mga hacker at crackers.

Panghuli at bilang karagdagan, inirerekumenda naming mabasa mo ang iba pang artikulong ito sa aming blog sa paksa upang palakasin ang seguridad ng iyong website, na tinawag: Mga Pahintulot sa Linux para sa Mga Administrator ng System at Developers.


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.