5 Sjálfgefnar ógnir í WordPress og hvernig á að laga þá

WordPress öryggi

WordPress er gegnheill vinsæll, alveg opinn hugbúnaður. Það frábæra við öryggismálin er að það er til mikið samfélag sem vinnur með það sem er fær um að uppgötva galla og öryggisáhættu hraðar en mögulegt er með CMS lausn innan hússins. (Það er erfitt að komast að veikleika þegar ein leið til að komast að því er í raun að nýta veikleikann og það að hafa gríðarlega notendagrunn er líklegra að uppgötva það.)


Gallinn er að tölvusnápur með slæmar fyrirætlanir veit nákvæmlega hvernig vefsíðan þín er byggð. Þeir hafa þegar „teikninguna“ á síðuna þína. Og ef það eru einhverjir veikleikar í kjarna, þemum eða viðbótum sem þú notar, þá er það eitthvað sem þeir geta vitað án þess að fá nokkurn tíma aðgang að stuðningi vefsins.

Svo í þessari færslu skal ég sýna þér hvernig á að laga 5 öryggisógnir sem eru til staðar í öllum sjálfgefnum uppsetningum á WordPress. (Ef þú hefur þegar gert nokkrar varúðarráðstafanir gætirðu komist að því að þú hefur þegar lagað eina eða tvo, en það er mikilvægt að laga alla fimm til að lágmarka hættuna á því að verða tölvusnápur.)

Síðan þín sýnir að þú ert að nota WordPress auk útgáfunnar

WordPress útgáfa

Sjálfgefna útgáfan af WordPress mun vera með kóðalínur sem sleppa því að vefsvæðið þitt er byggt með WordPress, jafnvel niður í útgáfuna fyrir fólk sem veit hvar á að leita. Það fer eftir þema, það gæti jafnvel verið sýnt sjónrænt á hverri síðu vefsíðu þinnar.

Ástæðan fyrir því að þetta gæti verið öryggisáhætta er sú að fólk gæti miðað á síðuna þína af engri annarri ástæðu en að hún er byggð á WordPress. Ef einhver finnur öryggisleysi í WordPress kjarna, þema eða viðbót, gæti hann fundið leið sína á síðuna þína til að nýta það. En ef þér hefði tekist að leyna að vefsvæðið þitt var byggt með WordPress, þá myndi fólki sem leitar að WordPress vefsvæðum sem nota vélmenni eða vefskriðla vera tiklað til að hugsa um að vefsvæðið þitt væri ekki raunhæft markmið.

Hvernig á að laga það:
Til að laga þetta er hægt að nota Fela WP tappið mitt. Með þessu gagnlega litla tappi geturðu forðast óþarfa umferð á netþjóninum þínum og á sama tíma verið öruggur fyrir árásum sem beinast sérstaklega að WordPress síðum.

Allir vita hvar innskráningarsíðan þín / stjórnandasvæðið er staðsett

WordPress Innskráning

Ef þú ert enn að sýna að þú notar WordPress (aka, ekki að fela það virkan með því að nota tappi eins og Hide My WP), þá mun fólk með slæmar fyrirætlanir þegar vita hvar á að gera tilraun til sprengjuárásar á síðuna þína.

Hvernig á að laga það:
Til að laga þessa ógn og draga verulega úr líkunum á að verða tölvusnápur og til að draga úr streitu á netþjónum verðum við að koma í veg fyrir að skaðlegt fólk og vélmenni nái innskráningarsíðunni okkar.

Það eru tvær megin leiðir til að gera þetta. Þú getur annað hvort breytt staðsetningu á innskráningarsíðunni þinni í eitthvað annað með því að nota viðbót (eða nokkrar línur af kóða), eða þú getur takmarkað aðganginn að innskráningarsíðunni þinni og admin svæðinu með IP-tölum. Þú getur gert þetta með viðbót sem er tileinkuð þessum tiltekna hlut, eða með öryggistengi eins og Sucuri, Wordfence, iThemes Security Pro eða Allt í einu WP Security & Firewall.

WordPress er með sjálfgefið töfluforskeyti sem allir nota

WordPress töfluforskeyti

Forskeyti töflu er það sem kemur fyrir nöfn á töflum í gagnagrunninum. Í stað notenda, með venjulegu WordPress forskeyti, væri það wp_users. Ef þú notar sjálfgefna forskeyti töflunnar auðveldar það fólki að fá aðgang að vefsíðunni þinni með því að nýta sér hugsanlega veikleika í sql sprautunni. Vegna þess að þeir vita nákvæmlega hvar á að sprauta upplýsingum í gagnagrunninn til að fá aðgang að vefsvæðinu þínu.

Ég átti reyndar einn af vefsíðunum mínum tölvusnápur vegna sql innspýtingar, svo þetta er mjög raunveruleg ógn sem þú þarft að grípa til aðgerða gegn.

Hvernig á að laga það:
Sem betur fer er mjög auðvelt að fjarlægja þessa ógn. Ef þú hefur þegar sett upp WordPress með því að nota sjálfgefna forskeyti wp_, geturðu auðveldlega breytt því með tappi eins og Sucuri. Í fyrsta lagi þarftu að taka afrit af gagnagrunninum áður en þú notar þann valkost þar sem minniháttar líkur eru á að eitthvað fari úrskeiðis. Þú getur gert þetta með því að smella á hnappinn. Þá geturðu valið nýtt forskeyti, eða einfaldlega látið Sucuri búa til nýja forskeytið handahófi fyrir þig.

Athugið: Ef þú ert bara að setja upp WordPress í fyrsta skipti geturðu breytt því í uppsetningarviðmótinu.

Hægt er að breyta WordPress þema og tappi skrám í gegnum stjórnborðið

Ritstjóri WordPress viðbótar

Vandinn við þetta er sá að ef tölvusnápur fær aðgang að vefsíðunni þinni geta þeir gert mikið tjón. Þeir geta gert vefsvæðið þitt herjað á aðra með spilliforritum (sem gæti endað með því að vefsvæðið þitt er sett á svartan lista og afmarkað af leitarvélum), flett upp vefsíðunni þinni eða auðveldlega opnað afturdyr.

Hvernig á að laga það:
Þú getur annað hvort bætt þessari kóðalínu við wp-config.php skrána:

skilgreina ('DISALLOW_FILE_EDIT', satt);

Eða notaðu öryggistengibúnað til að gera það fyrir þig (sem mun í grundvallaratriðum aðeins setja þá kóðalínu fyrir þig). Eina vandamálið er að það eru til viðbótar sem gera fólki kleift að kveikja og slökkva á þessari getu, svo mjög hollur tölvusnápur gæti verið fær um að setja upp viðbætur, kveikja á viðbótinni og fá síðan aðgang að útgáfukóða án FTP aðgangs.

Ef þú vilt vera mjög ítarlegur og vernda gegn þessu geturðu slökkt á öllum viðbótaruppfærslum / viðbætur / uppsetningu með því að bæta þessari kóðalínu við wp-config.php:

skilgreina ('DISALLOW_FILE_MODS', satt);

En augljóslega myndi þetta þýða að þú þyrftir að breyta gildi þess í ósatt í hvert skipti sem þú vildir uppfæra eða setja upp viðbót eða þema (við mælum ekki með þessum valkosti, þar sem að halda þemum og viðbætum uppfærð er ein besta leiðin til að tryggja að vefsvæðið þitt sé minna viðkvæmt).

WordPress hefur mjög opnar eldveggsstillingar sem geta leyft jafnvel þekktum illgjarn vélmenni að reyna árásir

WordPress Firewall Serrings

Sjálfgefnar eldveggsstillingar WordPress eru í raun á frjálslynda hlið. Þetta þýðir að sumar óvönduð vélmenni og aðrir óæskilegir gestir fá grænt ljós.

Hvernig á að laga það:
Þú getur gert þetta betra með því að setja upp grundvallarreglur 5G svartan lista eldvegg, með því annað hvort að afrita það handvirkt í .htaccess skrána, (þú getur fundið það hér) eða með því að setja upp þetta tappi, eða notaðu öryggistengibúnað til að fínstilla reglurnar í .htaccess þínum betur.

Ótakmarkað tilraun með WordPress innskráningu

Þó að sjálfgefna stillingin sé örugglega ótakmarkaðar tilraunir með innskráningu, gætir þú valið að takmarka innskráningartilraunir þegar þú settir upp WordPress á síðuna þína. Ef þú gerðir það ekki, þá er þetta ótrúlega auðveld leið.

Hvernig á að laga það:
Settu einfaldlega upp Takmarkaðu viðbætið við tilraunir með innskráningu. Eða, ef þú notar WPEngine hýsingu er þetta eiginleiki sem þeir hafa þegar innbyggt fyrir þig – engin viðbót þarf! Ef þú verndar innskráningarsvæði þitt með því aðeins að leyfa þínum eigin IP-tölum að fá aðgang að stjórnborðinu þarftu ekki að gera það. En ef þú leynir bara heimilisfangi notandanafnsins þíns, þá er það falleg tvöföld vernd gegn hugsanlegum skotárásum.

Niðurstaða

Netbrot eru í örum vexti og internetið er á leiðinni að verða heima fyrir fleiri glæpamenn en „hinn raunverulegi heimur.“ Í sumum löndum hefur þetta þegar gerst. Og þó að mikið af þessu sé kreditkort og bankasvindl, þá er vaxandi fjöldi tölvusnápur þarna úti, og sem eigendur vefsíðna verðum við að vernda okkur og síður okkar eins og best verður á kosið.

Þó að sjálfgefin uppsetning WordPress sé með nokkra veikleika, er fegurð WordPress raunverulega sú auðvelda að þú getur leyst nokkurn veginn öll vandamál þín á vefsíðunni þinni, þar með talið öryggisógnunum sem nefndar eru í þessari færslu. Fyrir utan að hafa einstakt notandanafn og sterkt lykilorð, með því að setja upp öryggisviðbætur, breyta nokkrum stillingum og setja kannski inn kóðalínu eða tvo, þá geturðu þegar dregið verulega úr hættu á því að vefsvæði þitt verði hakkað eða smitað af spilliforritum..

Hefur þú gert einhverjar ráðstafanir til að bæta öryggi WordPress síðuna þína? Hvers konar? Við viljum gjarnan heyra nokkur ráð og brellur þínar! Láttu okkur vita í athugasemdunum.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map