5 WordPressi vaiketurvalisuse ohud ja nende parandamine

WordPressi turvalisus

WordPress on tohutult populaarne täiesti avatud lähtekoodiga tarkvara. Selle turvatarkuse juures on suurepärane see, et seal töötab tohutu kogukond, kes suudab nii vead kui ka turvariskid avastada kiiremini, kui sisemise CMS-lahendusega võiks. (Raske on nõrkade kohtade kohta teada saada, kui üks viis teada saada on nõrkuse ärakasutamine ja tohutu kasutajaskonna olemasolu muudab avastamise palju tõenäolisemaks.)


Negatiivne külg on see, et halbade kavatsustega häkkerid teavad täpselt, kuidas teie veebisait on üles ehitatud. Neil on juba teie saidi plaan. Ja kui teie kasutatavas tuumas, teemades või pistikprogrammides on nõrku kohti, saavad nad neist midagi teada, ilma et teie saidi taustaprogrammile kunagi juurde pääsetaks..

Nii et näitan selles postituses, kuidas parandada 5 turvariski, mis esinevad WordPressi täiesti vaikimisi installimisel. (Kui olete juba tarvitusele võtnud mõned ettevaatusabinõud, võite avastada, et olete juba ühe või kaks parandanud, kuid häkkimise riski vähendamiseks on oluline kõik viis kinnitada.)

Teie sait näitab, et kasutate WordPressi ja selle versiooni

WordPressi versioon

WordPressi vaikeversioonil on koodirida, mis annab teile teada, et teie sait on loodud WordPressi abil, isegi versioonini inimestele, kes teavad, kust otsida. Sõltuvalt teemast võidakse seda visuaalselt näidata ka teie veebisaidi igal lehel.

Turvariski põhjuseks võib olla see, et inimesed võivad teie saiti sihtida ainult muul põhjusel, kui see, et see on üles ehitatud WordPressile. Kui keegi leiab WordPressi südamiku, teema või pistikprogrammi turvanõrkuse, võib ta leida tee teie saidile, et seda ära kasutada. Arvestades, et kui oleksite edukalt peitnud, et teie sait on loodud WordPressi abil, petetakse inimesi, kes otsivad WordPressi saite robotite või indekseerijate abil, mõtlema, et teie sait pole elujõuline sihtmärk.

Kuidas seda parandada:
Selle parandamiseks võite kasutada pistikprogrammi Hide My WP. Selle kasuliku väikese pistikprogrammi abil saate vältida oma serveris tarbetut liiklust ja samal ajal olla kaitstud spetsiaalselt WordPressi saite sihtivate rünnakute eest.

Kõik teavad, kus asub teie sisselogimisleht / administraatori piirkond

WordPressi sisselogimine

Kui näitate endiselt, et kasutate WordPressi (aka, mitte ei peida seda aktiivselt, näiteks kasutades sellist pistikprogrammi nagu Peida minu WP), siis teavad halbade kavatsustega inimesed juba oma saidilt julma jõu rünnaku proovimist..

Kuidas seda parandada:
Selle ohu parandamiseks ja häkkimise võimaluste järsuks vähendamiseks ning serveristressi vähendamiseks peame peatama pahatahtlike inimeste ja robotite sisselogimislehele jõudmise.

Selleks on kaks peamist viisi. Võite sisselogimislehe füüsilise asukoha muuta millekski muuks, kasutades pistikprogrammi (või mõnda koodirida), või võite piirata juurdepääsu oma sisselogimislehele ja administraatori alale IP-aadresside abil. Seda saate teha sellele konkreetsele asjale pühendatud pistikprogrammi abil või Sucuri-tüüpi turvapistikprogrammi abil, Wordfence, iThemes Security Pro või Kõik ühes WP turvalisus ja tulemüür.

WordPressil on vaikimisi tabeli eesliide, mida kõik kasutavad

WordPressi tabeli eesliide

Tabeli eesliide on see, mis tuleb teie andmebaasis olevate tabelite nimede ees. Kasutajate asemel, tavalise WordPressi prefiksiga, oleks see wp_users. Kui kasutate vaiketabeli prefiksit, muudab see võimalike SQL-i süstimise nõrkuste ärakasutamise kaudu teie saidile juurdepääsu lihtsamaks. Kuna nad teavad täpselt, kuhu oma andmebaasi teavet sisestada, et siis oma saidile juurde pääseda.

Mul oli tegelikult üks minu veebisaitidest häkkinud sql-süstimise tõttu, nii et see on väga reaalne oht, et peate võtma vastumeetmeid.

Kuidas seda parandada:
Õnneks on seda ohtu väga lihtne eemaldada. Kui olete WordPressi juba vaikimisi prefiksiga wp_ installinud, saate seda hõlpsalt plugina nagu Sucuri abil muuta. Esiteks peate enne selle valiku kasutamist oma andmebaasi varundama, kuna on vähe tõenäoline, et midagi läheb valesti. Seda saate teha ühe nupuvajutusega. Seejärel saate valida uue prefiksi või lasta Sucuril juhuslikult teie jaoks uue prefiksi genereerida.

Märkus. Kui installite WordPressi just esimest korda, saate seda installi liideses muuta.

WordPressi teema- ja pistikprogrammifaile saab redigeerida armatuurlaua kaudu

WordPressi pistikprogrammiredaktor

Selle probleem on see, et kui häkker pääseb teie veebisaidile juurde, võib see palju kahju tekitada. Nad võivad panna teie veebisaidi nakatama teisi inimesi pahavaraga (mis võib lõppeda sellega, et teie sait pannakse Google’i musta nimekirja ja kustutatakse otsingumootoritest), rikkuda teie veebisaiti või hõlpsasti tagauksi avada.

Kuidas seda parandada:
Saate selle koodirea lisada oma faili wp-config.php:

define ('DISALLOW_FILE_EDIT', tõsi);

Või kasutage selle jaoks teie jaoks turbe pluginat (mis sisestab põhimõtteliselt ainult selle koodirea teie jaoks). Ainus probleem on see, et on pluginaid, mis võimaldavad inimestel seda võimalust sisse ja välja lülitada, nii et väga pühendunud häkker võib-olla suudab plugina installida, plugina sisse lülitada ja seejärel juurdepääsu redigeerimiskoodile saada ilma FTP-juurdepääsuta.

Kui soovite olla eriti põhjalik ja selle eest kaitsta, saate keelata kõik pistikprogrammide ja teemade värskendused / installi, lisades selle koodirea aadressile wp-config.php:

define ('DISALLOW_FILE_MODS', tõsi);

Kuid ilmselgelt tähendaks see, et peate pistikprogrammi või teemat värskendama või installima iga väärtuse valeks muutma (me ei soovita seda võimalust tegelikult kasutada, kuna teemade ja pistikprogrammide ajakohane hoidmine on üks parimaid viise et teie sait oleks vähem haavatav).

WordPressil on väga avatud tulemüüri seaded, mis võimaldavad isegi teadaolevatel pahatahtlikel robotitel rünnakuid proovida

WordPressi tulemüüri serrid

WordPressi vaikemüüri tulemüüride sätted on tegelikult liberaalsest küljest. See tähendab, et mõned ebasoovitavad robotid ja muud soovimatud külastajad saavad rohelise tule.

Kuidas seda parandada:
Saate seda paremaks muuta, installides 5G musta nimekirja tulemüüri põhireeglid, kopeerides selle käsitsi oma .htaccess-faili (leiate siit) või installides see pistikprogramm, või kasutage .htaccess-i reeglite paremaks optimeerimiseks turbe pluginat.

Piiramatu WordPressi sisselogimiskatsed

Kuigi vaikeseade on tõepoolest piiramatu sisselogimiskatse, võisite WordPressi oma saidile installimisel sisselogimiskatseid piirata. Kui te seda siiski ei teinud, on see uskumatult lihtne lahendus.

Kuidas seda parandada:
Installige lihtsalt Luba sisselogimiskatsete pistikprogramm. Või kui kasutate WPEngine’i hostimist, on see funktsioon, mille nad on teie jaoks juba sisse ehitanud – pistikprogrammi pole vaja! Kui kaitsete oma sisselogimisala juba sellega, et lubate armatuurlauale juurdepääsu ainult oma IP-aadressidel, ei pea te seda tegema. Kuid kui peitsite lihtsalt oma sisselogimislehe aadressi, on see kena topeltkaitse võimalike julma jõu rünnakute eest.

Järeldus

Küberkuritegevus kasvab kiiresti ja Internet on teel üha rohkemate kurjategijate koju kui “pärismaailm”. Mõnes riigis on see juba juhtunud. Ja kuigi suur osa sellest on krediitkaardi- ja pangapettused, on häkkerite arv üha suurem ja veebisaitide omanikena peame kaitsma ennast ja oma saite nii hästi, kui suudame..

Ehkki WordPressi vaikimisi installimisel on mõned nõrgad küljed, on WordPressi ilu tõesti selles, et saate oma saidiga seotud probleemid, sealhulgas selles postituses nimetatud turvariskid, lahendada peaaegu kõik. Lisaks ainulaadse kasutajanime ja tugeva parooli olemasolule, turbe pistikprogrammi installimisega, mõne sätte redigeerimisega ja võib-olla ka koodirea sisestamisega saate juba oluliselt vähendada oma saidi häkkimise või pahavaraga nakatumise ohtu..

Kas olete võtnud meetmeid oma WordPressi saidi turvalisuse parandamiseks? Milline? Meile meeldiks kuulda mõnda teie näpunäidet! Palun andke meile kommentaarides teada.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map