WordPress: Web siteleri için güvenlik açısından 10 iyi uygulama

Linux Post Install

10 minutos

WordPress: Güvenlik açısından en iyi 10 uygulama

WordPress: Güvenlik açısından en iyi 10 uygulama

WordPress (WP), en popüler CMS, pek çok şeyin yanı sıra, erişilebilirlik, performans ve kullanım kolaylığına vurgu yapılarak tasarlanmış, sürekli gelişim halinde (mevcut sürüm 5.2), birçok dilde büyük bir kullanıcı topluluğuna sahip olun ve kendi veya üçüncü taraf temaları ve eklentilerinin kullanımıyla büyük bir özelleştirme kapasitesine sahip olun.

Ayrıca çok güvende olduğum içinancak bunun için, herhangi bir uygulama veya sistemde olduğu gibi, güvenli bir uzun vadeli uygulama elde etmek için iyi uygulamalar izlenmelidir. Ve bu yazıda bu konuda bazı temel öneriler sunmak istiyoruz.

Giriş

WP, web siteleri oluşturmak için en popüler CMS'dir, genellikle bilgisayar saldırılarının sık hedefidir, bu nedenle sürekli güncellenmesinin yanı sıra sık bakım, güncelleme ve güvenlik prosedürleri gerektirir paragraf dolayısıyla eklentilerdeki güvenlik açıkları, zayıf parolalar, güncel olmayan yazılımlar gibi pek çok nedenden kaynaklanan zayıflıklardan kaçının, yani, başarmak Kasıtlı veya öngörülemeyen saldırılara karşı savunmasızlığınızı büyük ölçüde azaltın.

Ek olarak, diğer İçerik Yönetim Sistemleri (CMS) gibi WP, bir web sitesini hızlı ve verimli bir şekilde oluşturmanıza ve ardından çevrimiçi hale getirmenize olanak tanır. Modüller, tamamlayıcı temalar yoluyla yüksek çalışma ve büyüme kapasitesi, bu görevi başarmayı her zamankinden daha kolay hale getirir, ancak bunun için genellikle gerekli olan uzun yıllar öğrenmeye ihtiyaç duymaz.

Sin ambargo, yan etki bundan hiç hoş bir şey çıkmayabilir, söz konusu aracın bazı yöneticileri genellikle bypass, oluşturulan veya sürdürülen web sitesinin güvenli olmasını sağlamak için gerekli önlemler. Bu nedenle, WP veya başka herhangi bir CMS ve web sitesini güvende tutmak için bazı genel ve özel önlemleri (iyi uygulamalar) akılda tutmak önemlidir.

İyi uygulamalar

1.- Genel olarak güvenliğinizi güçlendirin

WP, bugün İnternet'teki aktif web sitelerinin tabanının% 30'unu kesinlikle kolayca aşıyorBu, onu iyi veya kötü niyetli istilacılar ve / veya saldırganlar (bilgisayar korsanları / korsanlar) için favori bir hedef haline getirir. Bu nedenle, benzer bir WP sitesinde bilinen ve zaten başarıyla yararlanılan bir güvenlik açığı, diğer benzer WP sitelerinde denenecektir.

WordPress: 1. İyi Uygulama

Bu nedenle, WP ile bir veya daha fazla web sitesini yönetir ve / veya kullanırsanız, daha dikkatli, kapsamlı ve çevrimiçi güvenliklerinin farkında olduğunuzdan emin olun. WP içeren web sitelerinde analiz edilen ve rapor edilen güvenlik ihlallerinin çoğunun uygulamanın özüyle çok az ilgisi olduğunu veya hiçbir ilgisinin olmadığını, ancak uygulamanın, yapılandırmanın ve genel bakımın yanlış bir şekilde gerçekleştirilmesi ile ilgili her şeyle çok ilgisi olduğunu unutmayın. geliştiriciler veya yöneticiler tarafından. '

WordPress: 2. İyi Uygulama

2.- Güvenlik açıklarınızı bilin

WordPress, aşağıdaki gibi dağıtılan yaklaşık 4.000 bilinen güvenlik açığına sahiptir: WP Core (% 37), Eklentiler (% 52) ve Temalar (% 11), WPScans web sitesinden yakın zamanda yayınlanan bir rapora göre, şimdi adı WPSec (01-05-2019'dan beri). Web sitenizin karşılaştığı güvenlik açıklarını araştırın ve bu sorunları çözmek için bir çözüm bulun. WP Core'un güvenli olmayan sürümlerini veya eklentilerini ve temalarını çalıştırmaktan kaçının.

WP'nizde veya web sitenizde aşağıdaki güvenlik konularına odaklanın, yani Farklı türleri Şunlardan gelen saldırılar:

  • Kaba kuvvet: Giriş sayfanızda güvenliği güçlendirmek.
  • Dosya dahil etme: Wp-config.php yapılandırma dosyanızın güvenliğini güçlendirmek.
  • SQL enjeksiyonu: WP ile ilişkili MySQL veritabanınızın güvenliğini güçlendirmek.
  • Siteler arası komut dosyası oluşturma: Kullanılmış WP eklentilerinin güvenliğini güçlendirmek.
  • Kötü amaçlı yazılım enfeksiyonu: Yetkisiz erişimi, kötü amaçlı yazılımların eklenmesini ve daha sonra bu kötü amaçlı kodlar tarafından gizli verilerin toplanmasını önlemek için web sitenizin genel güvenliğini güçlendirmek. En sık görülen Kötü Amaçlı Yazılım veya saldırılar genellikle şu türdendir: Arka Kapı, SEO Spam, HackTool, Mailer, Tahrifat ve Kimlik Avı. Sitenizi bu tür kötü amaçlı yazılım veya saldırılara karşı korumaya çalışın.

Herhangi bir web sitesi tehlikeye atıldığında SEO sıralamasının düşebileceğini unutmayın. Arama motorları, güvenliği ihlal edilmiş web sitelerini hızlı bir şekilde kaydetme eğiliminde olduğundan, tarayıcılar ziyaretçilere uyarı işaretleri verecek veya bu sitelerde gezinme yeteneğini tamamen engelleyecektir.

WordPress: 3. İyi Uygulama

3.- Hosting sağlayıcınızın altyapısını bilin

Web siteniz harici barındırma kullanıyorsa, yani altyapınız dışında kiralanmışsa, barındırma sağlayıcınızdan kaliteli hizmet sağlamak için maliyetleri düşürmeyin. Her şeyden önce, sitesini "paylaşılan barındırma" şeması altında barındırıyorsa.

olarak düşük kaliteli 'paylaşılan barındırma' sitenizi daha savunmasız hale getirebilir aynı sunucuda depolanan birkaç web sitesinden biri tehlikeye girdiğinde. Yani, bir web sitesi "paylaşılan barındırma" ile bir sunucuda saldırıya uğrarsa, saldırganlar diğer web sitelerine ve verilerine de erişebilir.

WordPress: 4. İyi Uygulama

4.- e'yi bilinweb teknik özellikleri Hosting sağlayıcınızdan

Bir barındırma sağlayıcısını değerlendirmek söz konusu olduğunda, altyapısı her şey değildir. Barındırma sağlayıcınız tarafından barındırılan web sitelerinin daha iyi güvenliğini sağlamak için kullanılan teknik web özellikleri de önemlidir. Web sitenizi barındırmak için aşağıdaki önerilen güvenlik kurallarına uyduğundan emin olun:

  • SSL sertifikalarının kolay kurulumu
  • Web sunucusu yazılım sürümlerinin aktif yönetimi.
  • Güvenlik duvarı koruması
  • Web sitesine erişimlerin kaydı
  • Rutin güvenlik denetimleri
  • Kötü amaçlı etkinlik tespiti
  • En azından SFTP (sadece FTP değil), TLS 1.2 ve 1.3 ve PHP 5.6 için destek, ancak 7.0 ve sonrası önerilir.

Tüm bunlar, en azından, web sitenizin güvenliğini kullanılan bir CMS olarak WP ile veya WP'siz artırmak için gereklidir.

WordPress - Temalar ve Eklentiler: Eklentiler

5.- Kullanılan Temalara ve Tamamlayıcılara Dikkat Edin

Yüklenen eklentiler ve temalar, güvenlik düzeyinde çok önemlidir. Yalnızca resmi WP veya Topluluk onaylı temaları ve eklentileri, iyi bilinen ticari depoları veya doğrudan saygın geliştiricilerden kullanmayı hedefleyin. Birçoğu (sertifikalı değil) kötü amaçlı kod içerebilir.

Kötü amaçlı yazılımı yüklerseniz, web sitenizi WP'den ne kadar koruduğunuz önemli değildir. Herhangi bir tema ve eklenti veya geliştirici veya destekleyici web sitesini indirip yüklemeden önce araştırmanızı yapın ve ücretsiz veya indirimli olanlarla rezervasyonlarınızı yaptırın.

WordPress: 5. İyi Uygulama

6.- CMS'nizi sık sık güncellemeye çalışın

Web platformunuzdaki güncellemeler, güvenliğiniz için çok önemlidir. olup olmadığını CMS'nizin WP'si olsun veya olmasın, Çekirdek, Tema veya eklentilerinizin güncel olmayan sürümleri, web sitenizde bilinen güvenlik açıklarını barındırmanıza yol açabilir. Açık kaynak olan WP söz konusu olduğunda, uygulamanın Çekirdeği içerisinde bu konuya özel olarak ayrılmış bir ekip var.

WP'de keşfedilen her güvenlik açığı düzeltilir ve derhal ortadan kaldırılır WP'de keşfedilen her yeni güvenlik problemini çözmek için. Bu güncelleme yüzünden WP ve en son sürümdeki tüm temaları ve eklentileri, başarılı bir güvenlik stratejisinin hayati bir bileşenidir.

WordPress: 6. İyi Uygulama

7.- Uygun bir şifre buldum

Web sitelerindeki parolalarımızın kalitesi veya gücü çok önemlidir. Web sitelerimizde oturum açmak, web sitenizin yönetim sayfasına en kolay erişimi sağladığı için, güvenlik açıklarından yararlanmanın birincil hedefidir.

Giriş bilgilerinizi istismar etmenin en yaygın yöntemi kaba kuvvet saldırılarıdır, web sitesine erişim sağlamak için kullanıcı adı ve şifre kombinasyonlarını keşfetmek. Belirli bir WP durumunda, varsayılan olarak, birisinin yapabileceği başarısız oturum açma girişimlerinin sayısını sınırlamaz, bu nedenle en çok önerilen, WP yöneticinizin oturum açması için karmaşık bir parola kullanılmasıdır.

Bir şifre seçerken, CLU formatına dayalı bu 3 temel gereksinimi dikkate alın (Karmaşık, Uzun, Benzersiz):

  • KARMAŞIK: Şifreler olabildiğince rastgele olmalı ve Web Yöneticisi veya Web Sitesi ile çok az ilişkili olmalıdır.
  • UZUN: Şifreler 12 veya daha fazla karakter uzunluğunda olmalıdır. Ve başarısız bağlantı girişimlerinin sayısına ilişkin kısıtlamalar veya sınırlamalarla güçlendirilmiştir.
  • SADECE: Parolaları tekrar kullanmayın. Her bir parola zaman açısından benzersiz olmalıdır. Bu basit kural, ele geçirilen herhangi bir parolanın etkisini büyük ölçüde sınırlar.

Tavsiye: Tüm parolalarınızı şifreli bir biçimde oluşturmak ve saklamak için “LastPass” (çevrimiçi) ve “KeePass 2” (çevrimdışı) gibi bir parola yöneticisi kullanın.

WordPress: 7. İyi Uygulama

8. - Afet önleme planınızı daima hazırlatın

WP kullanıyorsanız, yerleşik bir yedekleme sistemine sahip olmadığını unutmayın. Birini öncelik olarak ekleyin, böylece web sitenizin her zaman güncel bir yedeğine sahip olursunuz. Yedeklemeler kritiktir ve uygulanması gereken genel bir güvenlik stratejisidir.

Unutma, sadece yapmamalısın kullanılmış web sitelerinizi ve veritabanlarınızı yedekleyinama hepsi ayarlar tüm sunucunun gerekli restorasyonları ve yeniden kurulumları mümkün olan en kısa sürede kolaylaştırmak için komut dosyası veya klonlanmış görüntü sistemleri ile otomatikleştirilmiş görevler aracılığıyla.

WordPress: 8. İyi Uygulama

9.- 2FA kullanarak güvenliğinizi artırın

İki faktörlü kimlik doğrulama (2FA) mekanizması kullanarak WP yönetici girişinizi veya web sitenizi güçlendirin, bugün web sitenizi güvenli hale getirmenin en iyi yollarından biridir. İki faktörlü kimlik doğrulama, şifrenizin başarılı bir şekilde oturum açmak için akıllı telefonunuz gibi başka bir cihazdan zamana duyarlı ek bir kod gerektirmesini gerektirerek web sitesi girişinize ekstra bir koruma katmanı ekler.

WP durumunda varsayılan olarak bu işlevi sunmayan bir eklenti kullanarak aynısını katıştırınaynısını eklemek için iThemes Security gibi.

WordPress: 9. İyi Uygulama

10.- Gerekli güvenlik aksesuarlarını kullanın

WP gibi çoğu CMS, kendilerinin güvenlik potansiyelini artırmak için eklentilerden yararlanır. WP'nin özel durumunda, iThemes Security adlı güvenlik eklentisinin kullanılması önerilir. web sitenize daha fazla koruma eklemek için. Bu eklenti WP'yi engeller, bilinen delikleri düzeltir, otomatik saldırıları durdurur ve kullanıcı kimlik bilgilerini güçlendirir.

Ücretsiz bir sürümü (iThemes Security) ve ücretli bir sürümü (iThemes Security Pro) vardır 2FA, programlı kötü amaçlı yazılım taramaları, kullanıcı kaydı gibi diğer şeylerin yanı sıra daha fazla güvenlik özelliği sağlar.

Sonuç

İster WP ister başka bir CMS üzerinden olsun, web sitesi güvenlik sorunlarınızın çoğunu yalnızca bu en iyi veya iyi güvenlik uygulamalarını izleyerek önleyebilirsiniz. Web siteniz, bilgisayar korsanlarının ve korsanların faaliyetlerinden bu kadar rahatsız olan bu zamanlarda dokunulmazlığını garanti altına almak veya en aza indirmek için gerekli güvenlik önlemlerini hak ediyor ve almalıdır.

Son olarak ve ek olarak, blogumuzdaki bu diğer makaleyi okumanızı tavsiye ederiz web sitenizin güvenliğini güçlendirmek için konuyla ilgili olarak: Sistem Yöneticileri ve Geliştiriciler için Linux İzinleri.


Yorumunuzu bırakın

E-posta hesabınız yayınlanmayacak. Gerekli alanlar ile işaretlenmiştir *

*

*

  1. Verilerden sorumlu: Miguel Ángel Gatón
  2. Verilerin amacı: Kontrol SPAM, yorum yönetimi.
  3. Meşruiyet: Onayınız
  4. Verilerin iletilmesi: Veriler, yasal zorunluluk dışında üçüncü kişilere iletilmeyecektir.
  5. Veri depolama: Occentus Networks (AB) tarafından barındırılan veritabanı
  6. Haklar: Bilgilerinizi istediğiniz zaman sınırlayabilir, kurtarabilir ve silebilirsiniz.