WordPress: 10 phương pháp hay về bảo mật cho trang web

Linux Post Install

10 phút

WordPress: 10 thực tiễn tốt về bảo mật

WordPress: 10 thực tiễn tốt về bảo mật

WordPress (WP) được gọi là CMS phổ biến nhất, trong số nhiều thứ, đã được thiết kế tập trung vào khả năng tiếp cận, hiệu suất và tính dễ sử dụng, đang được phát triển liên tục (phiên bản hiện tại 5.2), có một cộng đồng người dùng khổng lồ bằng nhiều ngôn ngữ và có khả năng tùy biến khổng lồ thông qua việc sử dụng các chủ đề và tiện ích bổ sung của riêng hoặc bên thứ ba.

Cũng vì rất an toàn, nhưng đối với điều đó, cũng như trong bất kỳ ứng dụng hoặc hệ thống nào, các thực hành tốt phải được tuân thủ để đạt được việc triển khai lâu dài một cách an toàn. Và trong bài đăng này, chúng tôi muốn cung cấp một số khuyến nghị cơ bản về vấn đề này.

Giới thiệu

WP là CMS phổ biến nhất để xây dựng trang web, cũng thường là mục tiêu thường xuyên của các cuộc tấn công máy tính, vì vậy ngoài việc cập nhật liên tục, yêu cầu các quy trình bảo trì, cập nhật và bảo mật thường xuyên para do đó tránh được các điểm yếu do lỗ hổng trong tiện ích bổ sung, mật khẩu yếu, phần mềm lỗi thời, trong số nhiều lý do khác, đó là, Hoàn thành giảm đáng kể khả năng bị tổn thương của bạn trước bất kỳ cuộc tấn công có chủ đích hoặc không lường trước được.

Ngoài ra, WP giống như bất kỳ Hệ thống Quản lý Nội dung (CMS) nào khác cho phép bạn xây dựng một trang web nhanh chóng và hiệu quả và sau đó đưa nó lên mạng. Năng lực làm việc và phát triển cao của nó, thông qua các mô-đun, các chủ đề bổ sung, giúp bạn đạt được nhiệm vụ này dễ dàng hơn bao giờ hết mà không cần đến những năm học dài thường được yêu cầu cho việc này.

Tuy nhiên, Một tác dụng phụ không có gì dễ chịu có thể phát sinh từ điều này, có thể là một số người quản lý của công cụ nói trên, thường bỏ qua, các biện pháp cần thiết để đảm bảo rằng trang web được tạo hoặc duy trì là an toàn. Vì lý do này, điều quan trọng là phải ghi nhớ một số biện pháp chung và cụ thể (thực hành tốt), về WP hoặc bất kỳ CMS và trang web nào khác để giữ an toàn.

Thực hành tốt

1.- Tăng cường bảo mật của bạn nói chung

WP chắc chắn dễ dàng vượt quá 30% cơ sở các trang web đang hoạt động trên Internet ngày nay, điều này khiến nó trở thành mục tiêu ưa thích của những kẻ xâm lược và / hoặc những kẻ tấn công (tin tặc / bẻ khóa) với mục đích tốt hay xấu. Do đó, một lỗ hổng đã biết và đã được khai thác thành công trên một trang WP tương tự sẽ được thử trên các trang WP tương tự khác.

WordPress: Thực hành tốt đầu tiên

Vì vậy, nếu bạn quản lý và / hoặc sử dụng một hoặc nhiều (các) trang web với WP, hãy đảm bảo rằng bạn cẩn thận, kỹ lưỡng và nhận thức rõ hơn về bảo mật trực tuyến của chúng. Hãy nhớ rằng hầu hết các vi phạm bảo mật được phân tích và báo cáo trên các trang web có WP ít hoặc không liên quan gì đến chính lõi của ứng dụng, nhưng liên quan nhiều đến mọi thứ liên quan đến việc triển khai, cấu hình và bảo trì chung, được thực hiện không chính xác bởi các nhà phát triển hoặc quản trị viên. '

WordPress: Thực hành tốt thứ 2

2.- Biết các lỗ hổng của bạn

WordPress có khoảng 4.000 lỗ hổng bảo mật đã biết, được phân bổ như sau: WP Core (37%), Plugins (52%) và Themes (11%), theo một báo cáo gần đây từ trang web WPScans, hiện được gọi là WPSec (kể từ ngày 01-05-2019). Điều tra các lỗ hổng bảo mật mà trang web của bạn gặp phải và tìm giải pháp để giải quyết những vấn đề này. Tránh chạy các phiên bản không an toàn của WP Core hoặc các plugin và chủ đề của nó.

Tập trung vào các chủ đề bảo mật sau trên WP hoặc trang web của bạn, nghĩa là Các loại khác nhau của Các cuộc tấn công từ:

  • Lực lượng vũ phu: Tăng cường bảo mật trên trang đăng nhập của bạn.
  • Bao gồm tệp: Tăng cường bảo mật cho tệp cấu hình wp-config.php của bạn.
  • Chèn SQL: Tăng cường bảo mật cho cơ sở dữ liệu MySQL của bạn được liên kết với WP.
  • Tập lệnh trang web chéo: Tăng cường bảo mật cho các plugin WP đã sử dụng.
  • Nhiễm phần mềm độc hại: Tăng cường bảo mật chung cho trang web của bạn để ngăn chặn truy cập trái phép, chèn phần mềm độc hại và thu thập dữ liệu bí mật sau đó bởi những mã độc hại này. Phần mềm độc hại hoặc các cuộc tấn công thường xuyên nhất thường thuộc loại: Backdoor, Spam SEO, HackTool, Mailer, Defacement và Phishing. Tìm cách bảo vệ trang web của bạn chống lại từng loại phần mềm độc hại hoặc cuộc tấn công này.

Hãy nhớ rằng một khi bất kỳ trang web nào bị vi phạm, thứ hạng SEO của nó có thể bị ảnh hưởng. Bởi vì các công cụ tìm kiếm có xu hướng nhanh chóng ghi lại các trang web bị xâm phạm để trình duyệt đưa ra các dấu hiệu cảnh báo cho khách truy cập hoặc chặn hoàn toàn khả năng điều hướng các trang web đó.

WordPress: Thực hành tốt thứ 3

3.- Biết cơ sở hạ tầng của nhà cung cấp dịch vụ lưu trữ của bạn

Nếu trang web của bạn sử dụng dịch vụ lưu trữ bên ngoài, tức là được thuê bên ngoài cơ sở hạ tầng của bạn, không tiết kiệm chi phí để đảm bảo chất lượng dịch vụ từ nhà cung cấp dịch vụ lưu trữ của bạn. Trên hết, nếu anh ta lưu trữ trang web của mình theo chương trình "lưu trữ được chia sẻ".

Kể từ khi 'shared hosting' 'kém chất lượng có thể làm cho trang web của bạn dễ bị tấn công hơn khi một trong số các trang web được lưu trữ trên cùng một máy chủ bị xâm phạm. Nghĩa là, nếu một trang web bị tấn công trên một máy chủ có "shared hosting", những kẻ tấn công cũng có thể truy cập vào các trang web khác và dữ liệu của chúng.

WordPress: Thực hành tốt thứ 4

4.- Biết đthông số kỹ thuật web từ nhà cung cấp dịch vụ lưu trữ của bạn

Khi đánh giá một nhà cung cấp dịch vụ lưu trữ, cơ sở hạ tầng của nó không phải là tất cả. Các thông số kỹ thuật web được nhà cung cấp dịch vụ lưu trữ của bạn sử dụng để đạt được sự bảo mật tốt hơn cho các trang web được lưu trữ cũng rất quan trọng. Đảm bảo rằng nó tuân theo các nguyên tắc bảo mật được đề xuất sau đây để lưu trữ trang web của bạn:

  • Dễ dàng cài đặt chứng chỉ SSL
  • Quản lý tích cực các phiên bản phần mềm máy chủ web.
  • Bảo vệ tường lửa
  • Nhật ký truy cập trang web
  • Kiểm tra bảo mật định kỳ
  • Phát hiện hoạt động độc hại
  • Hỗ trợ tối thiểu cho SFTP (không chỉ FTP), TLS 1.2 và 1.3 và cho PHP 5.6, mặc dù khuyến nghị từ 7.0 trở đi.

Tất cả điều này là cần thiết, tối thiểu, để tăng tính bảo mật cho trang web của bạn có hoặc không có WP như một CMS đã qua sử dụng.

WordPress - Chủ đề và Plugin: Plugin

5.- Cẩn thận với các Chủ đề và Phần bổ sung được sử dụng

Các plugin và chủ đề được cài đặt quan trọng rất nhiều ở cấp độ bảo mật. Cố gắng chỉ sử dụng các chủ đề và plugin chính thức được WP hoặc Cộng đồng chứng nhận, các kho lưu trữ thương mại nổi tiếng hoặc trực tiếp từ các nhà phát triển có uy tín. Vì nhiều người trong số họ (không được chứng nhận) có thể chứa mã độc.

Bạn bảo vệ trang web của mình khỏi WP bao nhiêu không quan trọng nếu bạn cài đặt phần mềm độc hại. Thực hiện nghiên cứu của bạn trước khi tải xuống và cài đặt bất kỳ chủ đề và plugin nào hoặc trang web của nhà phát triển hoặc nhà quảng cáo của họ, đồng thời đặt chỗ của bạn với những cái miễn phí hoặc chiết khấu.

WordPress: Thực hành tốt thứ 5

6.- Cố gắng cập nhật CMS của bạn thường xuyên

Các bản cập nhật cho nền tảng web của bạn là rất quan trọng đối với bảo mật của bạn. Hoặc WP CMS của bạn hay không, các phiên bản lỗi thời của Core, Theme hoặc plugin có thể dẫn bạn đến các lỗ hổng bảo mật đã biết trên trang web của bạn. Trong trường hợp của WP, là mã nguồn mở, có một nhóm đặc biệt dành riêng cho vấn đề này trong Core của ứng dụng.

Mọi lỗ hổng bảo mật được phát hiện trong WP đều được sửa chữa và loại bỏ ngay lập tức để giải quyết từng vấn đề bảo mật mới được phát hiện trong WP. Vì bản cập nhật đó WP và tất cả các chủ đề và plugin của nó lên phiên bản mới nhất là một thành phần quan trọng của một chiến lược bảo mật thành công.

WordPress: Thực hành tốt thứ 6

7.- Tôi đã tìm thấy một mật khẩu phù hợp

Chất lượng hoặc độ mạnh của mật khẩu của chúng tôi trên các trang web là rất quan trọng. Đăng nhập vào các trang web của chúng tôi là mục tiêu ưa thích để khai thác các lỗ hổng, vì nó cung cấp khả năng truy cập dễ dàng nhất vào trang quản trị trang web của bạn.

Tấn công vũ lực là phương pháp phổ biến nhất để khai thác thông tin đăng nhập của bạn, khám phá sự kết hợp tên người dùng và mật khẩu để truy cập vào trang web. Trong trường hợp cụ thể của WP, theo mặc định, nó không giới hạn số lần đăng nhập thất bại mà ai đó có thể thực hiện, do đó, khuyến nghị nhất là sử dụng mật khẩu phức tạp cho việc đăng nhập của quản trị viên WP của bạn.

Khi chọn mật khẩu, hãy tính đến 3 yêu cầu cơ bản này dựa trên định dạng CLU (Phức tạp, Dài, Duy nhất):

  • PHỨC TẠP: Mật khẩu phải ngẫu nhiên nhất có thể và ít liên quan nhất đến Quản trị viên web hoặc Trang web.
  • DÀI: Mật khẩu phải có độ dài từ 12 ký tự trở lên. Và được củng cố với các hạn chế hoặc giới hạn về số lần thử kết nối không thành công.
  • CHỈ CÓ: Không sử dụng lại mật khẩu. Mỗi mật khẩu phải là duy nhất về thời gian. Quy tắc đơn giản này hạn chế đáng kể tác động của bất kỳ mật khẩu nào bị xâm phạm.

Khuyến nghị: Sử dụng trình quản lý mật khẩu như “LastPass” (trực tuyến) và “KeePass 2” (ngoại tuyến) để tạo và lưu trữ tất cả mật khẩu của bạn ở định dạng được mã hóa.

WordPress: Thực hành tốt thứ 7

8.- Luôn chuẩn bị sẵn kế hoạch chống thiên tai

Nếu bạn sử dụng WP, hãy nhớ rằng nó không có hệ thống sao lưu tích hợp. Hãy ưu tiên một trong số đó để bạn luôn có một bản sao lưu cập nhật cho trang web của mình. Sao lưu là rất quan trọng và là một chiến lược bảo mật chung để thực hiện.

Đừng quên rằng bạn không chỉ nên sao lưu các trang web và cơ sở dữ liệu đã sử dụng của bạnnhưng tất cả các thiết lập của toàn bộ máy chủ thông qua các tác vụ tự động với tập lệnh hoặc hệ thống hình ảnh nhân bản, để tạo điều kiện thuận lợi cho việc phục hình và lắp đặt lại cần thiết trong thời gian ngắn nhất có thể.

WordPress: Thực hành tốt thứ 8

9.- Tăng cường bảo mật của bạn bằng 2FA

Tăng cường thông tin đăng nhập quản trị WP hoặc trang web của bạn bằng cơ chế xác thực hai yếu tố (2FA), là một trong những cách tốt nhất để bảo mật trang web của bạn hiện nay. Xác thực hai yếu tố bổ sung thêm một lớp bảo vệ cho thông tin đăng nhập trang web của bạn, bằng cách yêu cầu việc sử dụng mật khẩu của bạn yêu cầu thêm mã nhạy thời gian từ một thiết bị khác, chẳng hạn như điện thoại thông minh của bạn, để đăng nhập thành công.

Trong trường hợp của WP không cung cấp chức năng này theo mặc định nhúng giống nhau bằng cách sử dụng một pluginchẳng hạn như iThemes Security để thêm tương tự.

WordPress: Thực hành tốt thứ 9

10.- Sử dụng bất kỳ phụ kiện an ninh cần thiết nào

Hầu hết các CMS như WP đều sử dụng các plugin để tăng tiềm năng bảo mật của chúng. Trong trường hợp cụ thể của WP, bạn nên sử dụng plugin bảo mật có tên iThemes Security. để tăng cường bảo vệ trang web của bạn. Plugin này chặn WP, sửa các lỗ đã biết, ngăn chặn các cuộc tấn công tự động và củng cố thông tin đăng nhập của người dùng.

Nó có phiên bản miễn phí (iThemes Security) và phiên bản trả phí (iThemes Security Pro) rõ ràng là cung cấp nhiều tính năng bảo mật hơn như 2FA, quét phần mềm độc hại theo lịch trình, đăng ký người dùng, v.v.

Kết luận

Cho dù đó là qua WP hay CMS khác, bạn có thể tránh hầu hết các vấn đề bảo mật trang web chỉ đơn giản bằng cách làm theo các phương pháp bảo mật tốt nhất hoặc tốt này. Trang web của bạn xứng đáng và phải có các biện pháp bảo mật cần thiết để đảm bảo hoặc giảm thiểu tính bất khả xâm phạm của nó trong những thời điểm gặp khó khăn bởi hoạt động của tin tặc và bẻ khóa.

Cuối cùng và như một phần bổ sung, chúng tôi khuyên bạn nên đọc bài viết khác này trên blog của chúng tôi về chủ đề tăng cường bảo mật cho trang web của bạn, được gọi là: Quyền của Linux dành cho quản trị viên và nhà phát triển hệ thống.


Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.