Kuidas mitte kaitsta oma WordPressi veebisaiti?

Kuidas mitte kaitsta oma WordPressi saiti

Mis on esimene, mida teeksite, kui soovite oma WordPressi saiti kaitsta? Uurige välja viis parimat turbe pluginat, kaaluge, kui taskukohased need on ja siis jätkake ja installige üks. See on tehtud, nüüd saate istuda ja puhata, eks? Vale!


Turvalisuse pistikprogrammi kasutamine ei taga turvalisust. Turvalisus pole absoluutne asi ja täielikku turvalisust ei saa keegi tagada. Parim, mida me teha saame, on häkkeriski vähendamine. Ja vastupidiselt levinud arvamusele, peab saidi omanik olema kaasatud veebisaidi turvalisuse tagamisse. Tähtis on teada, mida peaksite tegema ja mida mitte.

Ehkki oma WordPressi saidi ohutuse tagamiseks on mitu juhendit selle kohta, mida peaksite tegema, pakume teile juhendit selle kohta, mida peaksite selle asemel vältima. Pange tähele, et siin esitatud nõuanded on vastuolus üldise arvamusega. Kuid meie kogemuste põhjal on paljud seal olevad nõuanded aegunud ja pakuvad vale turvatunnet.

Kui WordPressi turvalisuse küsimus peksab teid sama palju kui meid, siis vaadake järgmist.

1. Ärge kasutage liiga palju turvapistikprogramme

Arvestades seal pakutavate mitmesuguste funktsioonikomplektidega pistikprogrammide laia valikut, on kiusatus kasutada rohkem kui ühte WordPressi turbe pluginat. Ausalt öeldes on see ülepaisutamine. Muretsemine oma saidi turvalisuse pärast on normaalne, kuid peate endalt küsima, kas vajate tõesti rohkem kui ühte turvapistikut? Millised omadused on teie saidi nõudmisel olulised? Kas omadused hakkavad üksteise varvastele vastu astuma??

Näiteks võib konflikt tekkida siis, kui pistikprogrammid hakkavad muutma selliseid faile nagu wp-config.php või htaccess. Pluginad saavad nende failidega hõlpsalt viiuldada, kuid nad ei muuda neid ühehäälselt. See võib tekitada konflikte ja muuta teie veebisaidi aeglaseks.

WordPressi saitide puhul võivad asjad nüüd valesti minna. Kõik vihkavad surmakartust, mida kardetakse. Mitme pistikprogrammi olemasolu, mis mõjutab teie veebisaiti sügavalt, võib silumisprobleeme keeruliseks muuta. Kui oleks olnud vaid üks pistikprogramm, oleks vea põhjuse leidmine ja fikseerimine olnud lihtsam ja lihtsam.

2. Ära muuda DB prefiksit

WordPressi saiti saab kahjustada mitmel viisil. Häkker pääseb saidi andmebaasidele SQL-i süstimisrünnaku kaudu. Plugina või teema haavatavust saab kasutada saidi andmebaasi sissetungimiseks (seetõttu soovitame teil selle asemel kasutada WordPressi andmebaasi varundamise pistikprogramm sarnase lõksu vältimiseks). Üks populaarsemaid viise häkkerite oma saidile süvenemise takistamiseks on tabeli vaikenumbri prefiksi muutmine. Nagu näete alloleval pildil, on WordPressis tabeli vaikimisi eesliide ‘wp_’. WordPress võimaldab teil muuta tabeli prefiksit (öelda xzy_), et teatud tabeleid peita.

WordPressi andmebaasi eesliited

Pinnal tundub see hea mõte. Kui häkkerid ei tea tabeli nime, siis ei saa nad selle andmeid hankida. See on siiski vale põhjendus. Kui keegi teie andmebaasi häkkib, on tabelite leidmiseks endiselt võimalusi. Seetõttu pole prefiksi nime muutmisel mingit kasu. Veelgi enam, vaikimisi prefiksi muutmine võib põhjustada paljude pistikprogrammide valesti käitumist.

Lisaks on andmebaasi prefiksi keskpaiga muutmine keeruline rakendada ja võib põhjustada teie veebisaidi krahhi. Selle põhjuseks on asjaolu, et igal tasandil on vaja teha palju muudatusi. Mis tahes viga selles protsessis osutub teie saidile katastroofiliseks.

3. Vältige oma sisselogimislehe peitmist

Alati on keegi, kes proovib teie saidile tungida, parooli purustades. Julma jõu rünnakute ajal proovivad häkkerid teie veebisaidile sisse logida, kasutades populaarsete kasutajanimede ja paroolide kombinatsiooni. Mis siis saab, kui peidame sisselogimislehe? See tapab kaks lindu ühe kiviga, eks? Häkker ei leia sisselogimislehte ja teie serveri koormus väheneb.

WordPressil on vaikimisi sisselogimisleht. Lehe URL näeb tavaliselt välja selline, nagu näide.com/wp-login.php. Üks tuntud viis oma veebisaidi päästmiseks julma jõu rünnakust on vaikimisi sisselogimislehe varjamine või muutmine millekski muuks, näiteks example.com/mylogin.php. Ehkki see kõlab nagu lollikindel plaan, vaatame välja, kui tõhus meetod on teie WordPressi saidi turvalisuse tagamiseks.

Serveri koormuse vähendamine

Pärast sisselogimislehe peitmist või muutmist näevad nad iga kord, kui keegi proovib seda avada, tõrke 404. Sisselogimiskatsed on aga raske protsess. Kui vea leht 404 laaditakse, sööb see ära palju teie serveriressursse. Ja lõpetab teie veebisaidi aeglustamise. Seetõttu on vale arvamus, et sisselogimislehe peitmine vähendab serveri koormust.

Alternatiivne URL, mida pole raske arvata

Osa WordPressi CMS-i õnnestumisest on tingitud pistikprogrammidest, mis muudavad veebisaidi muutmise lihtsamaks. Pole üllatav, et populaarseks viisiks saidi sisselogimislehe peitmiseks on pistikprogrammi kasutamine. Nendel pistikprogrammidel on komplekt vaikimisi kasutatavat sisselogimise URL-i, näiteks xzy.com/wplogin.php jne. Meid on koolitatud vaikeseadetega lihtsalt edasi minema. Kui oleme pistikprogrammi installinud ja oma URL-i muutnud, ei mõtle me sellele eriti. Kuid pistikprogramm võib pakkuda ainult nii palju URL-e. Neid eelseatud sisselogimise URL-i pole liiga keeruline välja selgitada. Seetõttu võib alternatiivse URL-i kasutamine olla enamikul juhtudel ebaefektiivne.

Kasutatavuse probleemid

WordPressi ilu seisneb selles, et seda on lihtne kasutada. See on tuttav platvorm. Paljude kasutajatega saidi jaoks võib sisselogimislehe muutmine või varjamine tekitada teatavaid probleeme. Mitu korda oleme kohanud WordPressi foorumites postitusi, kus kasutajad on sisselogimis-URL-i muutmise tõttu saidilt välja lülitatud. Enamasti tehti muudatusi pistikprogrammi abil ja kasutajaid ei teavitatud kaose tekitavast olukorrast.

4. Ärge blokeerige IP-aadresse käsitsi

Kui teie saidile on installitud turbe plugin, teavitatakse teid iga kord, kui keegi proovib teie veebisaidile sisse logida. IP-d saate hõlpsalt kätte saada, kui saadate need pahatahtlikud taotlused ja blokeerige need .htaccess-faili abil. See on käsitsi intensiivne töö ja mitte eriti mugav praktika.

Pole kasutajasõbralik

Mitte-tehniline isik, kes üritab .htaccess-faile muuta, on katastroofi retsept. Sisuhaldussüsteemil nagu WordPress on väga range vormindamine. Isegi kõige populaarsemate tööriistade nagu FTP / SFTP kasutamine on väga riskantne. Väike viga või käskude vale paigutus võib põhjustada saidi krahhi.

Blokeerimiseks on liiga palju IP-sid

Musta nimekirja sattumise vältimiseks kasutavad häkkerid IP-aadresse kogu maailmast. Varem arutasime IP-aadresside käsitsi blokeerimise üle, kes üritavad pidevalt teie saidile tungida. See töö (nagu me juba varem mainisime) nõuab palju aega ja vaeva, kuid see pole täpselt eriti tõhus ajakasutus. Kuid kui kasutate mõnda WordPressi parimat turbe pluginat, näiteks Malcare, saate blokeerimisprotsessi automatiseerida. Sellised turbe pluginad hoolitsevad kõigi WP turvaaukude eest.

5. WordPressi peitmine

Üldiselt eeldatakse, et oma CMS-i varjamine raskendab labase kavatsusega inimeste tungimist teie saidile. Mis oleks, kui saaksime varjata tõsiasja, et teie veebisait töötab WordPressis. See kaitseks teie saiti häkkerite eest, kes soovivad ära kasutada levinud haavatavusi. Lihtne viis selleks on (arvasite ära) pistikprogrammi abil. Kuid see meetod ebaõnnestub, kui häkkerid ei hooli, millisel platvormil teie veebisait töötab. Lisaks on arvukalt viise, kuidas teada saada, kas sait töötab WordPressis.

Lisaks pistikprogrammi kasutamisele saab tööd teha ka käsitsi. Kuid see on aeganõudev protsess. Üks WordPressi värskendus võib mõne teie töö mõne sekundi jooksul tagasi võtta. Mis tähendab, et peate seda protsessi ikka ja jälle korrata või hoiduma WP värskendustest. WordPressi värskenduste vahelejätmine on häkkerite jaoks koduukse avamiseks välisukse avamine.

6. Paroolikaitse wp-admin ei tööta

WordPressi vaikimisi sisselogimisleht (see näeb välja selline – näide.com/wp-admin) on teie saidi värav. Tüüpiline sisselogimisleht näeb välja nagu alloleval pildil.

Siin peate WordPressi juhtpaneelile pääsemiseks kasutama oma mandaati. Sisselogimislehte kaitsev parool aitab seda juhtpaneeli arhiivi peita või kaitsta. See on hea idee, kuid mitte ilma lünkadeta.

LookLinuxi paroolikaitse näide

Pilt viisakalt: LookLinux

Esiteks on parooli hooldamine või isegi muutmine keeruline, kui selle kaotate. Lisaks sellele, et sellised muudatused teie saidil on ebatõhusad täiendava turvalisuse pakkumisel, võivad need osutuda väga ohtlikuks. Näiteks kui parooliga kaitste administraatori lehte, ei saa sellised taotlused nagu /wp-admin/admin-ajax.php kaitsest mööda minna. On pluginaid, mis võivad sõltuda teie saidi Ajaxi funktsioonidest. Ja kui neil pole sellele funktsioonile juurde pääseda, hakkavad nad valesti käituma. Seega võib see põhjustada veebisaidi purunemise.

Sinu kord

Kui teil on küsimusi või ettepanekuid selle kohta, mida tuleks WordPressi saidi turvamiseks vältida, andke meile kommentaarides sellest teada.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map