WordPress: 10 найкращих практик з точки зору безпеки веб-сайтів

Linux Post Install

10 хвилин

WordPress: 10 найкращих практик з питань безпеки

WordPress: 10 найкращих практик з питань безпеки

WordPress (WP) відомий як найпопулярніша система управління вмістом, серед іншого, розроблений з акцентом на доступність, продуктивність та простоту використання, перебуваючи в постійному розвитку (поточна версія 5.2), мають величезну спільноту користувачів багатьма мовами та мають величезний потенціал налаштування за допомогою використання власних або сторонніх тем та додатків (плагінів).

Також для того, щоб бути дуже безпечним, але для цього, як і в будь-якій програмі чи системі, слід дотримуватися належних практик для досягнення безпечного довгострокового впровадження. І в цій публікації ми хочемо надати декілька основних рекомендацій щодо цього.

Введення

WP - найпопулярніша система управління вмістом для створення веб-сайтів, також зазвичай є частою мішенню комп'ютерних атак, тому, крім постійного оновлення, вимагає частого обслуговування, оновлення та процедур безпеки пункт таким чином уникайте слабких місць через вразливості в доповненнях, слабких паролях, застарілому програмному забезпеченні, серед багатьох інших причин, тобто досягти значно зменшити свою вразливість до будь-якої запланованої або непередбаченої атаки.

Крім того, WP, як і будь-які інші Системи управління вмістом (CMS), дозволяє швидко та ефективно створити веб-сайт, а потім розмістити його в мережі. Його висока здатність працювати та рости завдяки модулям, що доповнюють теми, полегшує, як ніколи, досягнення цього завдання, але без необхідності довгих років навчання, які зазвичай для цього потрібні.

Проте, побічний ефект нічого приємного, що з цього не може виникнути, може бути, як правило, деякі менеджери зазначеного інструменту обхід, необхідні заходи для забезпечення безпеки веб-сайту, створеного чи підтримуваного. З цієї причини важливо мати на увазі деякі загальні та конкретні заходи (належні практики), щодо WP чи будь-якої іншої системи управління вмістом та веб-сайту, щоб забезпечити його безпеку.

Передові практики

1. - Зміцніть свою безпеку загалом

WP, безсумнівно, легко перевищує 30% бази активних веб-сайтів в Інтернеті сьогодні, що робить його улюбленою мішенню для загарбників та / або зловмисників (хакерів / зломщиків) з добрими чи поганими намірами. Отже, відома і вже успішно використана вразливість на подібному веб-сайті з WP буде здійснена на інших подібних сайтах із WP.

WordPress: 1-а хороша практика

Отже, якщо ви керуєте та / або використовуєте один або кілька веб-сайтів із WP, переконайтеся, що ви більш ретельні, ретельні та обізнані про їхню безпеку в Інтернеті. Майте на увазі, що більшість порушень безпеки, проаналізованих та повідомлених на веб-сайтах із WP, мало або взагалі не стосувалося ядра самого додатка, але багато спільного з усім, що стосувалось його реалізації, конфігурації та загального обслуговування, здійснено некоректно розробниками або адміністраторами. '

WordPress: 2-а хороша практика

2. - Знайте свої вразливі місця

WordPress має майже 4.000 відомих вразливостей безпеки, розподілених таким чином: WP Core (37%), плагіни (52%) і теми (11%), згідно з недавньою доповіддю з веб-сайту WPScans, який зараз називається WPSec (з 01). Дослідіть уразливі місця безпеки вашого веб-сайту та знайдіть рішення для вирішення цих проблем. Уникайте запуску небезпечних версій WP Core або його плагінів та тем.

Зосередьтеся на наступних темах безпеки на вашому робочому столі або веб-сайті, тобто на Різні типи Атаки від:

  • Груба сила: Посилення безпеки на вашій сторінці входу.
  • Включення файлу: Посилення безпеки вашого конфігураційного файлу wp-config.php.
  • Введення SQL: Посилення безпеки вашої бази даних MySQL, пов'язаної з WP.
  • Міжсайтові сценарії: Посилення безпеки використовуваних плагінів WP.
  • Зараження шкідливим програмним забезпеченням: Посилення загальної безпеки вашого веб-сайту для запобігання несанкціонованому доступу, вставці шкідливого програмного забезпечення та подальшому збору конфіденційних даних цими шкідливими кодами. Найчастіші шкідливі програми або атаки зазвичай мають такий тип: Backdoor, Spam SEO, HackTool, Mailer, Defacement та Phishing. Спробуйте захистити свій сайт від кожного з цих типів шкідливих програм або атак.

Пам’ятайте, що коли будь-який веб-сайт скомпрометований, його рейтинг SEO може постраждати. Оскільки пошукові системи, як правило, швидко реєструють скомпрометовані веб-сайти, так що браузери або дають відвідувачам попереджувальні знаки, або повністю блокують можливість навігації на цих сайтах.

WordPress: 3-я хороша практика

3. - Знайте інфраструктуру свого хостинг-провайдера

Якщо ваш веб-сайт використовує зовнішній хостинг, тобто найнятий за межами вашої інфраструктури, не економте на витратах, щоб забезпечити якість послуг вашого провайдера хостингу. Особливо, якщо він розміщує свій сайт за схемою "спільний хостинг".

З неякісний "спільний хостинг" може зробити ваш сайт більш вразливим коли один із різних веб-сайтів, що зберігаються на одному сервері, порушений. Тобто, якщо веб-сайт зламаний на сервері із «спільним хостингом», зловмисники також можуть отримати доступ до інших веб-сайтів та їх даних.

WordPress: 4-а хороша практика

4. - Знати евеб-технічні характеристики у вашого хостинг-провайдера

Що стосується оцінки хостинг-провайдера, його інфраструктура - це не все. Технічні специфікації веб-сайтів, які використовуються вашим провайдером хостингу для досягнення кращої безпеки розміщених веб-сайтів, також важливі. Переконайтеся, що він відповідає наведеним нижче рекомендаціям щодо безпеки для розміщення вашого веб-сайту:

  • Проста установка SSL-сертифікатів
  • Активне управління версіями програмного забезпечення веб-сервера.
  • Захист брандмауера
  • Запис про доступ до веб-сайту
  • Планові аудити безпеки
  • Виявлення зловмисної діяльності
  • Підтримка SFTP (не тільки FTP), TLS 1.2 і 1.3, а також PHP 5.6, як мінімум, хоча рекомендується 7.0 і далі.

Все це необхідно, як мінімум, для підвищення безпеки вашого веб-сайту з або без WP як використаної CMS.

WordPress - Теми та плагіни: Плагіни

5. - Остерігайтеся використовуваних тем та доповнень

Встановлені плагіни та теми мають велике значення на рівні безпеки. Прагніть використовувати лише офіційні теми та плагіни, сертифіковані WP або Community, із відомих комерційних сховищ або безпосередньо від авторитетних розробників. Оскільки багато з них (не сертифіковані) можуть містити шкідливий код.

Не має значення, наскільки ви захищаєте свій веб-сайт від WP, якщо встановлюєте шкідливе програмне забезпечення. Проведіть дослідження перед тим, як завантажувати та встановлювати будь-які теми та плагіни, або веб-сайт їх розробника чи промоутера, і забронюйте безкоштовні або знижки.

WordPress: 5-а хороша практика

6. - Спробуйте часто оновлювати свою систему управління вмістом

Оновлення вашої веб-платформи дуже важливі для вашої безпеки. Або Незалежність від вашої CMS чи ні, застарілі версії вашого Core, Theme або плагінів можуть призвести до збереження відомих вразливостей на вашому веб-сайті. У випадку з WP, який є відкритим вихідним кодом, існує команда, спеціально присвячена цій проблемі в Основній частині програми.

Кожна уразливість системи безпеки, виявлена ​​в WP, негайно виправляється та усувається з метою вирішення кожної нової проблеми безпеки, виявленої в WP. Через це оновлення WP та всі його теми та плагіни до останньої версії є життєво важливим компонентом успішної стратегії безпеки.

WordPress: 6-а хороша практика

7. - Я знайшов відповідний пароль

Якість або надійність наших паролів на веб-сайтах дуже важлива. Вхід на наші веб-сайти є основною метою використання вразливих місць, оскільки він забезпечує найпростіший доступ до адміністративної сторінки вашого веб-сайту.

Атаки грубої сили - найпоширеніший метод використання вашого логіна, виявлення комбінацій імені користувача та пароля для отримання доступу до веб-сайту. У конкретному випадку WP за замовчуванням він не обмежує кількість невдалих спроб входу, які хтось може зробити, тому найбільш рекомендованим є використання складного пароля для входу вашого адміністратора WP.

Вибираючи пароль, враховуйте ці 3 основні вимоги на основі формату CLU (Складний, довгий, унікальний):

  • КОМПЛЕКС: Паролі повинні бути якомога випадковішими та найменш пов'язаними з веб-адміністратором або веб-сайтом.
  • ДОВГОТА: Паролі повинні мати довжину 12 і більше символів. І посилено обмеженнями або обмеженнями кількості невдалих спроб підключення.
  • ТІЛЬКИ: Не використовуйте повторно паролі. Кожен пароль повинен бути унікальним за часом. Це просте правило різко обмежує вплив будь-якого зламаного пароля.

Рекомендації: Використовуйте менеджер паролів, як-от “LastPass” (онлайн) та “KeePass 2” (офлайн), щоб генерувати та зберігати всі ваші паролі у зашифрованому форматі.

WordPress: 7-а хороша практика

8.- Завжди готуйте свій план боротьби зі стихійними лихами

Якщо ви використовуєте WP, пам’ятайте, що він не має вбудованої системи резервного копіювання. Включіть один із них у пріоритет, щоб у вас завжди була актуальна резервна копія вашого веб-сайту. Резервні копії є критично важливими та загальною стратегією безпеки для впровадження.

Не забувайте, що ви повинні не тільки створити резервну копію використаних веб-сайтів та баз данихале все налаштування всього сервера за допомогою автоматизованих завдань із сценарієм або системами клонованих зображень, щоб полегшити необхідні реставрації та переінсталяції в найкоротші терміни.

WordPress: 8-а хороша практика

9. - Підвищте рівень безпеки за допомогою 2FA

Посиліть свій логін адміністратора WP або веб-сайт, використовуючи механізм двофакторної автентифікації (2FA), який є одним із найкращих способів захистити свій веб-сайт сьогодні. Двофакторна автентифікація додає додатковий рівень захисту для входу на ваш веб-сайт, вимагаючи, щоб для використання вашого пароля для успішного входу потрібен був додатковий чутливий до часу код іншого пристрою, наприклад вашого смартфона. .

У випадку з WP який не пропонує цю функцію за замовчуванням вставити те саме за допомогою плагінанаприклад iThemes Security, щоб додати те саме.

WordPress: 9-а хороша практика

10. - Використовуйте будь-які необхідні захисні аксесуари

Більшість систем управління вмістом, таких як WP, використовують плагіни для збільшення власного потенціалу безпеки. У конкретному випадку WP рекомендується використовувати плагін безпеки, який називається iThemes Security. щоб додати ще більше захисту своєму веб-сайту. Цей плагін блокує WP, виправляє відомі діри, зупиняє автоматизовані атаки та зміцнює облікові дані користувача.

Він має безкоштовну версію (iThemes Security) та платну версію (iThemes Security Pro) який, очевидно, забезпечує більше функцій безпеки, таких як 2FA, заплановане сканування шкідливих програм, реєстрація користувачів, серед іншого.

Висновок

Незалежно від того, чи це через WP чи іншу CMS, ви можете уникнути більшості проблем із захистом веб-сайтів, просто дотримуючись цих найкращих або найкращих практик безпеки. Ваш веб-сайт заслуговує на необхідні заходи безпеки, щоб гарантувати чи мінімізувати його недоторканність у такі часи, які турбують активність хакерів і зломщиків.

Нарешті, і як доповнення, ми рекомендуємо вам прочитати цю іншу статтю в нашому блозі на тему посилення безпеки вашого веб-сайту, називається: Дозволи Linux для системних адміністраторів та розробників.


Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.