WordPress: veb-saytlar xavfsizligi bo'yicha 10 ta yaxshi amaliyot

WordPress: xavfsizlik bo'yicha 10 ta eng yaxshi amaliyot

WordPress: xavfsizlik bo'yicha 10 ta eng yaxshi amaliyot

WordPress (WP) nomi bilan tanilgan eng mashhur CMSko'p narsalar qatori, doimiy ravishda rivojlanishda bo'lish, ishlashga qulaylik va foydalanish qulayligiga e'tiborni qaratgan holda ishlab chiqilgan (joriy versiya 5.2), ko'plab tillarda foydalanuvchilarning ulkan hamjamiyatiga ega va o'zlarining yoki uchinchi tomonlarning mavzulari va qo'shimchalari yordamida ulkan xususiylashtirish qobiliyatiga ega.

Shuningdek, juda xavfsiz bo'lish uchun, ammo buning uchun, har qanday dastur yoki tizimda bo'lgani kabi, xavfsiz uzoq muddatli dasturga erishish uchun yaxshi amaliyotlarga amal qilish kerak. Va ushbu lavozimda biz bu borada ba'zi bir asosiy tavsiyalar bermoqchimiz.

Kirish

WP veb-saytlarni yaratish uchun eng mashhur CMS, shuningdek, odatda kompyuter hujumlarining tez-tez nishonidir, shuning uchun uni doimiy yangilab turish bilan bir qatorda, tez-tez texnik xizmat ko'rsatish, yangilash va xavfsizlik tartib-qoidalarini talab qiladi Pul shuning uchun qo'shimchalardagi zaifliklar, zaif parollar, eskirgan dasturiy ta'minot va boshqa ko'plab sabablar tufayli zaif tomonlardan saqlaning, ya'ni erishish har qanday mo'ljallangan yoki kutilmagan hujumga qarshi zaifligingizni sezilarli darajada kamaytiring.

Bundan tashqari, WP boshqa har qanday tarkibni boshqarish tizimlari (CMS) kabi veb-saytni tez va samarali ravishda qurishga, so'ngra uni Internetga joylashtirishga imkon beradi. Modullar, qo'shimcha mavzular orqali ishlash va o'sish uchun uning yuqori qobiliyati bu vazifani bajarishni har qachongidan ham osonlashtiradi, ammo buning uchun odatda talab qilinadigan uzoq yillik o'rganishga ehtiyoj qolmaydi.

Biroq, yon ta'sir bundan hech qanday yoqimli narsa kelib chiqmasligi mumkin, ehtimol ushbu vositaning ba'zi menejerlari bo'lishi mumkin veb-sayt xavfsizligini ta'minlash uchun zarur bo'lgan choralarni chetlab o'tish. Shu sababli, WP yoki boshqa har qanday CMS va veb-sayt xavfsizligini ta'minlash uchun ba'zi bir umumiy va aniq choralarni (yaxshi amaliyotlarni) yodda tutish muhimdir.

Yaxshi amaliyot

1.- Xavfsizligingizni umuman kuchaytiring

WP shubhasiz, bugungi kunda Internetdagi faol veb-saytlar bazasining 30 foizidan oshib ketdi, bu uni yaxshi yoki yomon niyat bilan bosqinchilar va / yoki tajovuzkorlar (xakerlar / xakerlar) uchun sevimli nishonga aylantiradi. Shunday qilib, o'xshash WP saytida ma'lum bo'lgan va allaqachon muvaffaqiyatli ishlatilgan zaiflik boshqa shunga o'xshash WP saytlarida sinab ko'riladi.

WordPress: birinchi yaxshi amaliyot

Shunday qilib, agar siz WP bilan bir yoki bir nechta veb-saytlarni boshqarsangiz va / yoki ulardan foydalansangiz, ularning onlayn xavfsizligini yanada ehtiyotkor, puxta va xabardor ekanligingizga ishonch hosil qiling. Shuni yodda tutingki, WP-ga ega bo'lgan veb-saytlarda tahlil qilingan va bildirilgan xavfsizlik qoidabuzarliklarining aksariyati dasturning o'zagi bilan juda oz yoki umuman aloqasi yo'q edi, lekin uni amalga oshirish, sozlash va umumiy texnik xizmat ko'rsatish bilan bog'liq barcha narsalar bilan juda ko'p aloqalar mavjud edi. ishlab chiquvchilar yoki ma'murlar tomonidan noto'g'ri bajarilgan. '

WordPress: Ikkinchi yaxshi amaliyot

2.- O'zingizning zaif tomonlaringizni bilib oling

WordPress-da taxminan 4.000 ta xavfsizlik aniqligi mavjud bo'lib, ular quyidagicha tarqatilgan: WP Core (37%), plaginlar (52%) va mavzular (11%), WPScans veb-saytining hozirda chaqirilgan so'nggi hisobotiga ko'ra WPSec (01-05-2019 yildan). O'zingizning veb-saytingiz oldida turgan xavfsizlik nuqsonlarini o'rganing va ushbu muammolarni hal qilish uchun echim toping. WP Core-ning xavfli versiyalari yoki uning plaginlari va mavzularini ishlatishdan saqlaning.

WP yoki veb-saytingizdagi quyidagi xavfsizlik mavzulariga e'tiboringizni qarating, ya'ni Turli xil turlari Hujumlar:

  • Qo'pol kuch: Kirish sahifangizda xavfsizlikni kuchaytirish.
  • Fayl qo'shilishi: Wp-config.php konfiguratsiya faylingiz xavfsizligini kuchaytirish.
  • SQL in'ektsiyasi: WP bilan bog'liq MySQL ma'lumotlar bazangiz xavfsizligini kuchaytirish.
  • O'zaro faoliyat sayt skriptlari: Ishlatilgan WP plaginlari xavfsizligini kuchaytirish.
  • Zararli dasturlardan yuqtirish: Ruxsatsiz kirish, zararli dasturlarni kiritish va keyinchalik ushbu zararli kodlar bilan maxfiy ma'lumotlarni to'plashni oldini olish uchun veb-saytingizning umumiy xavfsizligini kuchaytirish. Eng tez-tez uchraydigan zararli dastur yoki hujumlar odatda shunday bo'ladi: Backdoor, Spam SEO, HackTool, Mailer, Defacement va Phishing. O'zingizning saytingizni ushbu zararli dasturlardan yoki hujumlarning har bir turidan himoya qilishni qidiring.

Har qanday veb-sayt buzilganidan so'ng, uning SEO reytingi zarar ko'rishi mumkinligini unutmang. Chunki qidiruv tizimlari buzilgan veb-saytlarni tezda ro'yxatdan o'tkazishga intilishadi, shunda brauzerlar tashrif buyuruvchilarga ogohlantirish belgilarini beradi yoki ushbu saytlarda harakat qilish imkoniyatini to'liq bloklaydi.

WordPress: 3-chi yaxshi amaliyot

3.- Xosting provayderingizning infratuzilmasini biling

Agar veb-saytingiz tashqi xostingdan foydalansa, ya'ni sizning infratuzilmangizdan tashqarida yollansa, xosting provayderingizdan xizmat sifatini ta'minlash uchun xarajatlarni tejab ko'rmang. Eng muhimi, agar u o'z saytini "umumiy xosting" sxemasi asosida joylashtirsa.

Chunki sifatsiz "birgalikda hosting" saytingizni yanada zaiflashtirishi mumkin bitta serverda saqlangan bir nechta veb-saytlardan biri buzilganida. Ya'ni, agar veb-sayt "umumiy xosting" bilan serverda buzilgan bo'lsa, tajovuzkorlar boshqa veb-saytlarga va ularning ma'lumotlariga kirish huquqiga ham ega bo'lishlari mumkin.

WordPress: 4th Good Practice

4.- elektronni bilingveb-texnik xususiyatlari sizning xosting provayderingizdan

Xosting provayderini baholash haqida gap ketganda, uning infratuzilmasi hamma narsa emas. Xostlangan provayderingiz tomonidan joylashtirilgan veb-saytlarning xavfsizligini ta'minlash uchun foydalanadigan texnik veb-spetsifikatsiyalar ham muhimdir. Veb-saytingizni joylashtirish uchun quyidagi tavsiya etilgan xavfsizlik ko'rsatmalariga rioya qilinganligiga ishonch hosil qiling:

  • SSL sertifikatlarini oson o'rnatish
  • Veb-server dasturiy ta'minot versiyalarini faol boshqarish.
  • Xavfsizlik devoridan himoya
  • Veb-saytga kirishni qayd etish
  • Muntazam xavfsizlik tekshiruvlari
  • Zararli faoliyatni aniqlash
  • SFTP-ni qo'llab-quvvatlash (nafaqat FTP), TLS 1.2 va 1.3 va PHP 5.6 uchun, kamida 7.0 tavsiya etilsa ham.

Bularning barchasi, hech bo'lmaganda, ishlatilgan CMS sifatida WP bilan yoki bo'lmagan holda veb-saytingiz xavfsizligini oshirish uchun zarurdir.

WordPress - Mavzular va plaginlar: plaginlar

5.- Amaldagi mavzular va qo'shimchalardan ehtiyot bo'ling

O'rnatilgan plaginlar va mavzular xavfsizlik darajasida juda muhimdir. Faqat rasmiy WP yoki Community tomonidan tasdiqlangan mavzular va plaginlardan, taniqli tijorat omborlaridan yoki to'g'ridan-to'g'ri taniqli ishlab chiqaruvchilardan foydalanishni maqsad qiling. Ularning ko'pchiligida (sertifikatlanmagan) zararli kod bo'lishi mumkin.

Zararli dasturni o'rnatgan bo'lsangiz, veb-saytingizni WP-dan qanchalik himoya qilishingiz muhim emas. Har qanday mavzular va plaginlarni yoki ularni ishlab chiquvchi yoki targ'ibotchining veb-saytini yuklab olish va o'rnatishdan oldin o'zingizning izlanishlaringizni amalga oshiring va bepul yoki chegirmali buyurtmalar bilan rezervasyon qiling.

WordPress: 5th Good Practice

6.- CMS-ni tez-tez yangilab turishga harakat qiling

Sizning veb-platformangizdagi yangilanishlar sizning xavfsizligingiz uchun juda muhimdir. Ham O'zingizning CMS-ni WP yoki yo'q, Core, Theme yoki plaginlarning eskirgan versiyalari veb-saytingizda ma'lum zaifliklarni saqlashga olib kelishi mumkin. Ochiq manbali WP-da, dasturning asosiy qismida ushbu masalaga alohida bag'ishlangan guruh mavjud.

WP-da aniqlangan har qanday xavfsizlik zaifligi darhol tuzatiladi va yo'q qilinadi WP-da topilgan har bir yangi xavfsizlik muammosini hal qilish uchun. Ushbu yangilanish tufayli WP va uning barcha mavzulari va plaginlari so'nggi versiyasi muvaffaqiyatli xavfsizlik strategiyasining muhim tarkibiy qismidir.

WordPress: 6th Good Practice

7.- Men mos parolni topdim

Veb-saytlardagi parollarimizning sifati yoki mustahkamligi juda muhimdir. Bizning veb-saytlarimizga kirish - bu zaifliklarni ishlatish uchun afzal qilingan maqsad, chunki bu sizning veb-saytingiz ma'muriyati sahifasiga eng oson kirishni ta'minlaydi.

Shafqatsiz hujumlar - bu sizning kirishingizdan foydalanishning eng keng tarqalgan usuli, veb-saytga kirish huquqini olish uchun foydalanuvchi nomi va parol birikmalarini topish. WP-ning o'ziga xos holatida, u sukut bo'yicha, kimdir amalga oshirishi mumkin bo'lgan muvaffaqiyatsiz kirish urinishlarini cheklamaydi, shuning uchun eng ko'p tavsiya etilgan WP ma'murining kirish uchun murakkab paroldan foydalanish hisoblanadi.

Parolni tanlashda CLU formatiga asoslangan ushbu uchta asosiy talabni hisobga oling (Murakkab, uzun, noyob):

  • KOMPLEKS: Parollar iloji boricha tasodifiy bo'lishi va veb-administrator yoki veb-sayt bilan eng kam bog'liq bo'lishi kerak.
  • UZOQ: Parol uzunligi 12 va undan ortiq belgidan iborat bo'lishi kerak. Va muvaffaqiyatsiz ulanish urinishlari sonidagi cheklovlar yoki cheklovlar bilan mustahkamlangan.
  • FAQAT: Parollarni qayta ishlatmang. Har bir parol o'z vaqtida noyob bo'lishi kerak. Ushbu oddiy qoida buzilgan parolning ta'sirini keskin cheklaydi.

Tavsiya: Barcha parollaringizni shifrlangan shaklda yaratish va saqlash uchun "LastPass" (onlayn) va "KeePass 2" (oflayn) kabi parollar menejeridan foydalaning.

WordPress: 7-chi yaxshi amaliyot

8. - Tabiiy ofatlarga qarshi rejangizni doim tayyorlang

Agar siz WP-dan foydalansangiz, unda ichki zaxira tizimi yo'qligini eslang. Bittasini ustuvor vazifa qatoriga kiriting, shunda siz doimo veb-saytingizning zaxira nusxasini yangilab turasiz. Zaxira nusxalari juda muhim va uni amalga oshirish uchun umumiy xavfsizlik strategiyasi.

Shuni unutmangki, nafaqat kerak ishlatilgan veb-saytlar va ma'lumotlar bazalarining zaxira nusxasini yaratishlekin barchasi sozlamalar butun server eng qisqa vaqt ichida kerakli restavratsiya va qayta o'rnatishni osonlashtirish uchun skript yoki klonlashtirilgan tasvir tizimlari bilan avtomatlashtirilgan vazifalar orqali.

WordPress: 8-chi yaxshi amaliyot

9.- 2FA yordamida xavfsizligingizni oshiring

Ikki faktorli autentifikatsiya (2FA) mexanizmidan foydalangan holda, WP administrator tizimiga kirishni yoki veb-saytingizni mustahkamlang, bu sizning veb-saytingizni bugungi kunda xavfsizligini ta'minlashning eng yaxshi usullaridan biridir. Ikki faktorli autentifikatsiya veb-saytingizga kirishda qo'shimcha himoya qatlamini qo'shadi, chunki parolingizdan foydalanish muvaffaqiyatli kirish uchun boshqa qurilmadan, masalan, smartfondan qo'shimcha vaqtni sezgir kodni talab qiladi. .

WP holatida sukut bo'yicha ushbu funksiyani taklif qilmaydi plagin yordamida xuddi shu narsani joylashtiringxuddi shunday qo'shish uchun iThemes Security kabi.

WordPress: 9-chi yaxshi amaliyot

10.- Barcha kerakli xavfsizlik aksessuarlaridan foydalaning

WP kabi ko'pgina CMSlar o'zlarining xavfsizlik salohiyatini oshirish uchun plaginlardan foydalanadilar. WP-ning o'ziga xos holatida iThemes Security deb nomlangan xavfsizlik plaginidan foydalanish tavsiya etiladi. veb-saytingizga yanada ko'proq himoya qilish uchun. Ushbu plagin WP-ni bloklaydi, ma'lum teshiklarni tuzatadi, avtomatlashtirilgan hujumlarni to'xtatadi va foydalanuvchi ma'lumotlarini kuchaytiradi.

Uning bepul versiyasi (iThemes Security) va pullik versiyasi (iThemes Security Pro) mavjud. Bu shubhasiz ko'proq xavfsizlik xususiyatlarini taqdim etadi, masalan, 2FA, zararli dasturlarni rejalashtirilgan skanerlash, foydalanuvchini ro'yxatdan o'tkazish va boshqalar.

Xulosa

WP-da yoki boshqa CMS-da bo'lsin, siz ushbu eng yaxshi yoki yaxshi xavfsizlik amaliyotlariga rioya qilish orqali veb-sayt xavfsizligining aksariyat muammolaridan qochishingiz mumkin. Sizning veb-saytingiz xakerlar va xakerlar faoliyati bilan bog'liq bo'lgan hozirgi paytda uning daxlsizligini kafolatlash yoki minimallashtirish uchun zarur xavfsizlik choralarini ko'rishga loyiq va zarur bo'lishi kerak.

Nihoyat va qo'shimcha sifatida, blogimizdagi ushbu boshqa maqolani o'qishingizni tavsiya qilamiz veb-saytingiz xavfsizligini mustahkamlash uchun ushbu mavzu bo'yicha: Tizim ma'murlari va ishlab chiquvchilari uchun Linux ruxsatnomalari.


Maqolaning mazmuni bizning printsiplarimizga rioya qiladi muharrirlik etikasi. Xato haqida xabar berish uchun bosing bu erda.

Birinchi bo'lib izohlang

Fikringizni qoldiring

Sizning email manzilingiz chop qilinmaydi.

*

*

  1. Ma'lumotlar uchun javobgardir: Migel Anxel Gaton
  2. Ma'lumotlarning maqsadi: SPAMni boshqarish, izohlarni boshqarish.
  3. Qonuniylashtirish: Sizning roziligingiz
  4. Ma'lumotlar haqida ma'lumot: qonuniy majburiyatlar bundan mustasno, ma'lumotlar uchinchi shaxslarga etkazilmaydi.
  5. Ma'lumotlarni saqlash: Occentus Networks (EU) tomonidan joylashtirilgan ma'lumotlar bazasi
  6. Huquqlar: istalgan vaqtda siz ma'lumotlaringizni cheklashingiz, tiklashingiz va o'chirishingiz mumkin.