5 Alapértelmezett biztonsági fenyegetések a WordPressben és azok kiküszöbölése

WordPress biztonság

A WordPress egy hatalmas népszerű, teljesen nyílt forráskódú szoftver. A biztonsági szempontból nagyszerű az, hogy van egy hatalmas közösség, amely vele dolgozik, akik gyorsabban fedezhetnek fel hibákat és a biztonsági kockázatokat, mint amit egy belső CMS-megoldás kínál. (Nehéz megtudni a gyengeségeket, amikor a kiderítés egyik módja a gyengeségek kiaknázása, és hatalmas felhasználói bázissal sokkal valószínűbb a felfedezés.)


A hátránya, hogy a rossz szándékú hackerek pontosan tudják, hogyan épül fel webhelye. Már megvan a „terv” az Ön webhelyére. És ha van valamilyen gyengeség a használt magban, témákban vagy beépülő modulokban, akkor ezt meg tudják tudni anélkül, hogy bármikor hozzáférnének a webhely hátteréhez..

Tehát ebben a bejegyzésben megmutatom, hogyan lehet kijavítani 5 biztonsági fenyegetést, amelyek a WordPress minden alapértelmezett telepítésében megtalálhatók. (Ha már tett néhány óvintézkedést, előfordulhat, hogy már javítottál egyet vagy kettőt, de fontos, hogy mind az öt javításra kerüljön, hogy minimalizálja a feltörés kockázatát.)

Webhelyed azt mutatja, hogy a WordPress Plusz verziót használja

WordPress verzió

A WordPress alapértelmezett verziója olyan sorokat tartalmaz, amelyek megadják, hogy webhelyed a WordPress használatával készült, akár a verzióig, akár azoknak, akik tudják, hol kell keresni. A témától függően akár vizuálisan is megjeleníthető webhelye minden oldalán.

Ennek oka lehet a biztonsági kockázat, hogy az emberek más célokat célozhatnak meg az Ön webhelyén, kivéve, hogy a WordPressre épül. Ha valaki biztonsági hiányosságot talál a WordPress magában, egy témában vagy a pluginben, akkor előfordulhat, hogy az Ön webhelyére használja ki annak kiaknázását. Míg ha sikeresen elrejtette, hogy webhelyét a WordPress segítségével készítette, azokat az embereket, akik botok vagy bejárók segítségével keresik a WordPress webhelyeket, becsapják arra, hogy azt gondolják, hogy webhelye nem életképes célpont.

Hogyan javítható:
Ennek kijavításához használja a Hide My WP plugin elrejtését. Ezzel a hasznos kis bővítménnyel elkerülheti a kiszolgálón lévő felesleges forgalmat, és ugyanakkor biztonságban maradhat a támadások ellen is, amelyek kifejezetten a WordPress webhelyeket célozzák meg..

Mindenki tudja, hol található a belépési oldal / rendszergazda területe

WordPress Bejelentkezés

Ha továbbra is azt látja, hogy a WordPress-t használja (más néven, és nem aktívan rejti el, például egy olyan plugin használatával, mint a Hide My WP), akkor a rossz szándékú emberek már tudják, hol kell brutális erővel támadni az Ön webhelyén..

Hogyan javítható:
Ennek a fenyegetésnek a kiküszöbölése, valamint a feltörések esélyeinek drasztikus csökkentése és a kiszolgálókra nehezedő stressz csökkentése érdekében meg kell akadályoznunk a rosszindulatú embereket és a robotot, hogy elérjék bejelentkezési oldalunkat.

Ennek két fő módja van. A bejelentkezési oldal fizikai helyét megváltoztathatja valami másra egy plugin (vagy néhány kódsor) használatával, vagy IP-címekkel korlátozhatja a bejelentkezési oldal és az adminisztrátori terület elérését. Ezt megteheti egy ehhez a dologhoz szentelt bővítménnyel, vagy egy olyan biztonsági bővítménnyel, mint a Sucuri, Wordfence, iThemes Security Pro vagy All in One WP biztonság és tűzfal.

A WordPressnek van egy alapértelmezett táblázati előtagja, amelyet mindenki használ

WordPress tábla előtag

A táblázat előtagja az, ami az adatbázisban található táblázatok neve előtt áll. A felhasználók helyett a szokásos WordPress előtaggal a wp_users lenne. Ha az alapértelmezett tábla előtagot használja, ez megkönnyíti az emberek hozzáférését az Ön webhelyéhez az esetleges sql-befecskendezési hiányosságok kihasználásával. Mivel pontosan tudják, hova kell adatot beadni az adatbázisba, hogy hozzáférjenek az Ön webhelyéhez.

Az egyik webhelyem valójában feltört a sql injekció miatt, tehát ez egy nagyon valós fenyegetés, hogy ellenintézkedéseket kell tennie a.

Hogyan javítható:
Szerencsére nagyon könnyű eltávolítani ezt a fenyegetést. Ha a WordPress-et már telepítette az alapértelmezett wp_ előtaggal, akkor könnyen módosíthatja azt egy olyan plugin segítségével, mint a Sucuri. Először biztonsági másolatot kell készíteni az adatbázisról, mielőtt felhasználná ezt az opciót, mivel kicsi a esélye annak, hogy valami rosszul megy. Ezt egyetlen gombnyomással megteheti. Ezután választhat egy új előtagot, vagy egyszerűen csak hagyhatja, hogy Sucuri véletlenszerűen generálja az Ön számára az új előtagot.

Megjegyzés: Ha csak a WordPress-t telepíti először, megváltoztathatja azt a telepítési felületen.

A WordPress téma- és beépülő fájlok az irányítópulton keresztül szerkeszthetők

WordPress plugin szerkesztő

Ennek problémája az, hogy ha a hackerek hozzáférést kapnak az Ön webhelyéhez, akkor sok kárt okozhatnak. Ezek arra késztethetik az Ön webhelyét, hogy más embereket megtámadjon rosszindulatú programokkal (ami azzal a végződéssel járhat, hogy webhelyét felveszik a Google feketelistájába, és eltávolítja a keresőmotorokból), megtévesztheti webhelyét, vagy könnyen megnyithatja a hátsó ajtót..

Hogyan javítható:
Vagy hozzáadhatja ezt a kódot a wp-config.php fájlhoz:

define ('DISALLOW_FILE_EDIT', igaz);

Vagy használjon egy biztonsági bővítményt az Ön számára (ami alapvetően csak azt a kódvonalat fogja beilleszteni az Ön számára). Az egyetlen probléma az, hogy vannak olyan plug-inek, amelyek lehetővé teszik az emberek számára, hogy ezt a képességet be- és kikapcsolják, tehát egy nagyon elkötelezett hackerek telepíthetnek egy plugint, bekapcsolhatják a plugint, majd hozzáférhetnek a szerkesztési kódhoz FTP hozzáférés nélkül..

Ha rendkívül alapos és óvni szeretne tőle, letilthatja az összes plugin és téma frissítést / telepítést, ha hozzáadja ezt a kódot a wp-config.php fájlhoz:

define ('DISALLOW_FILE_MODS', igaz);

De ez nyilvánvalóan azt jelentené, hogy ha valamelyik plugin vagy téma frissítése vagy telepítése meg akarja változtatni az értékét hamis értékre (ezt a lehetőséget nem igazán ajánljuk, mivel a témák és a pluginek naprakészen tartása az egyik legjobb módszer) annak biztosítása érdekében, hogy webhelye kevésbé sebezhető legyen).

A WordPress nagyon nyitott tűzfalbeállításokkal rendelkezik, amelyek lehetővé teszik még az ismert rosszindulatú robotok számára a támadások kísérletét is

WordPress tűzfal sorozatok

A WordPress alapértelmezett tűzfalbeállításai valójában a liberális oldalon vannak. Ez azt jelenti, hogy néhány nemkívánatos robot és más nem kívánt látogató zöld fényt kap.

Hogyan javítható:
Ezt jobban megteheti, ha telepíti az alapvető 5G feketelistára vonatkozó tűzfalszabályokat, vagy manuálisan másolja őket a .htaccess fájlba (itt megtalálja), vagy telepíti ez a plugin, vagy használjon biztonsági bővítményt a .htaccess szabályainak jobb optimalizálásához.

Korlátlan WordPress bejelentkezési kísérletek

Noha az alapértelmezett beállítás valóban korlátlan bejelentkezési kísérlet, dönthet úgy, hogy korlátozza a bejelentkezési kísérleteket, amikor a WordPress-t telepítette a webhelyére. Hihetetlenül egyszerű javítás, ha nem tette meg.

Hogyan javítható:
Egyszerűen telepítse a Korlátozási bejelentkezés kísérlet plugin. Vagy ha WPEngine tárhelyet használ, akkor ez egy olyan szolgáltatás, amelyet már beépítettek az Ön számára – nincs szükség pluginre! Ha már megóvja a bejelentkezési területet azáltal, hogy csak a saját IP-címeihez fér hozzá a műszerfalhoz, akkor ezt nem kell megtennie. De ha elrejtette a bejelentkezési oldal címét, ez egy szép kettős védelem a lehetséges brutális erőszakos támadásokkal szemben.

Következtetés

A számítógépes bűnözés gyorsan növekszik, és az internet egyre inkább bűnözők otthonává válik, mint a „való világ”. Egyes országokban ez már megtörtént. És bár ennek nagy része hitelkártya- és bankcsalás, növekszik a hackerek száma, és webhelytulajdonosokként a lehető legjobban meg kell védenünk magunkat és webhelyeinket..

Noha a WordPress alapértelmezett telepítése tartalmaz némi gyengeséget, a WordPress szépsége valójában olyan könnyű, hogy a webhelyével kapcsolatos bármely problémát szinte bármilyen módon meg tudja oldani, ideértve az ebben a bejegyzésben említett biztonsági fenyegetéseket is. Az egyedi felhasználónév és erős jelszó használatával, a biztonsági bővítmény telepítésével, egyes beállítások szerkesztésével és esetleg egy vagy két sornyi kód beillesztésével már jelentősen csökkentheti annak kockázatát, hogy webhelye feltört vagy rosszindulatú programokkal fertőzzön meg..

Megtett-e bármilyen intézkedést a WordPress-webhely biztonságának javítása érdekében? Milyen? Szeretnénk hallani néhány tippet és trükköt! Kérjük, ossza meg velünk a megjegyzéseket.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map