5 WordPressin oletusturvauhat ja niiden korjaaminen

WordPress-tietoturva

WordPress on erittäin suosittu, täysin avoimen lähdekoodin ohjelmisto. Upea asia tietoturvallisuuden kannalta on, että sen kanssa työskentelee valtava yhteisö, joka pystyy löytämään virheitä ja tietoturvariskejä nopeammin kuin sisäisessä CMS-ratkaisussa voisi. (Heikkouksista on vaikea selvittää, kun yksi tapa selvittää on heikkouden hyödyntäminen. Koska valtava käyttäjäkunta tekee löytämisestä paljon todennäköisemmän.)


Haittapuoli on se, että hakkerit, joilla on huonoja aikomuksia, tietävät tarkalleen kuinka verkkosivustosi on rakennettu. Heillä on jo suunnitelma sivustoosi. Ja jos käyttämässäsi ytimessä, teemoissa tai laajennuksissa on heikkouksia, se on jotain, minkä he voivat tietää ilman koskaan pääsyä sivustosi taustapuolelle..

Joten tässä viestissä näytän sinulle kuinka korjata viisi tietoturvauhkaa, jotka esiintyvät WordPressin kaikissa täysin oletusasennuksissa. (Jos olet jo ryhtynyt joihinkin varotoimenpiteisiin, saatat huomata, että olet jo korjannut yhden tai kaksi, mutta on tärkeää korjata kaikki viisi, jotta hakkeroitumisen riski olisi mahdollisimman pieni.)

Sivustosi osoittaa, että käytät WordPress Plus -versiota

WordPress-versio

WordPressin oletusversiossa on koodirivit, jotka antavat sen, että sivustosi on rakennettu WordPressillä, jopa siihen versioon asti, että ihmiset tietävät mistä etsiä. Aiheesta riippuen se voidaan jopa näyttää visuaalisesti verkkosivustosi jokaisella sivulla.

Syy tähän voi olla tietoturvariski, että ihmiset saattavat kohdistaa sivustoosi muusta syystä kuin siitä, että se on rakennettu WordPressiin. Jos joku löytää tietoturvahäiriön WordPress-ytimessä, teemassa tai laajennuksessa, hän saattaa löytää tien sivustoosi hyödyntääksesi sitä. Jos olet piilottanut onnistuneesti sivustosi rakentamisen WordPressillä, ihmisiä, jotka etsivät WordPress-sivustoja robotteja tai indeksointirobotteja, huijataan ajattelemaan, että sivustosi ei ole kannattava kohde.

Kuinka korjata se:
Korjataksesi tämän voit käyttää Piilota WP-laajennus. Tämän hyödyllisen pienen laajennuksen avulla voit välttää tarpeetonta liikennettä palvelimellasi ja samalla olla suojassa hyökkäyksiltä, ​​jotka kohdistuvat erityisesti WordPress-sivustoihin.

Kaikki tietävät missä kirjautumissivusi / järjestelmänvalvojan alue sijaitsee

WordPress-kirjautuminen

Jos osoitat edelleen, että käytät WordPressiä (eli et piilota sitä aktiivisesti esimerkiksi käyttämällä piilota omaa työkalua, kuten Piilota minun WP), huonojen aikomusten ihmiset tietävät jo, mihin yrittää raa’an joukkohyökkäyksen sivustoosi..

Kuinka korjata se:
Tämän uhan korjaamiseksi ja hakkerointimahdollisuuksien vähentämiseksi huomattavasti ja palvelimen stressin vähentämiseksi meidän on estettävä pahantahtoisten henkilöiden ja robotien pääsy kirjautumissivulle.

Tätä varten on kaksi päätapaa. Voit joko muuttaa kirjautumissivusi fyysisen sijainnin jollekin muulle käyttämällä laajennusta (tai muutamaa koodiriviä), tai voit rajoittaa pääsyä kirjautumissivullesi ja järjestelmänvalvojan alueelle IP-osoitteiden perusteella. Voit tehdä tämän tietylle asialle omistetulla laajennuksella tai Sucurin kaltaisella tietoturvaohjelmistolla, Wordfence, iThemes Security Pro tai Kaikki yhdessä WP-suojaus ja palomuuri.

WordPressillä on oletustaulukon etuliite, jota kaikki käyttävät

WordPress-taulukon etuliite

Taulukon etuliite on se, mitä edeltää tietokannassa olevien taulukoiden nimiä. Käyttäjien sijaan tavallisella WordPress-etuliitteellä se olisi wp_users. Jos käytät oletustaulukon etuliitettä, se helpottaa ihmisten pääsyä sivustoosi hyödyntämällä mahdollisia sql-injektion heikkouksia. Koska he tietävät tarkalleen, mihin tieto lisätään tietokantaan saadaksesi pääsyn sivustoosi.

Minulla oli tosiasiassa yksi verkkosivustoistani hakkeroitu sql-injektion vuoksi, joten tämä on erittäin todellinen uhka, että sinun on ryhdyttävä vastatoimiin.

Kuinka korjata se:
Onneksi tämä uhka on erittäin helppo poistaa. Jos olet jo asentanut WordPressin oletusetulla etuliitteellä wp_, voit muuttaa sen helposti käyttämällä pluginia, kuten Sucuri. Ensinnäkin, sinun on varmuuskopioida tietokanta ennen kuin käytät tätä vaihtoehtoa, koska on pieni mahdollisuus, että jokin menee pieleen. Voit tehdä tämän yhdellä napin painalluksella. Sitten voit valita uuden etuliitteen tai antaa Sucurin luoda uuden etuliitteen satunnaisesti sinulle.

Huomaa: Jos asennat WordPressiä vain ensimmäistä kertaa, voit muuttaa sen asennusrajapinnassa.

WordPressin teema- ja laajennustiedostoja voidaan muokata hallintapaneelin kautta

WordPress-laajennuseditori

Tämän ongelmana on, että jos hakkeri pääsee sivustoosi, hän voi aiheuttaa paljon vahinkoa. He voivat saada verkkosivustosi tartuttamaan muita ihmisiä haittaohjelmilla (jotka voivat päättyä siihen, että sivustosi saatetaan Googlen mustalle listalle ja deindeksoidaan hakukoneista), huijata verkkosivustoasi tai helposti avata takaovia.

Kuinka korjata se:
Voit joko lisätä tämän koodirivin wp-config.php-tiedostoosi:

define ('DISALLOW_FILE_EDIT', tosi);

Tai käytä tietoturvalaajennusta tehdäksesi sen puolestasi (joka lisää periaatteessa vain kyseisen koodirivin puolestasi). Ainoa ongelma on, että on olemassa laajennuksia, joiden avulla ihmiset voivat ottaa tämän kyvyn käyttöön ja poistaa käytöstä, joten erittäin omistautunut hakkeri saattaa pystyä asentamaan laajennuksen, kytkemään sen päälle ja pääsemään sitten muokkauskoodiin ilman FTP-yhteyttä.

Jos haluat olla erittäin perusteellinen ja suojautua tältä, voit poistaa kaikki plugin- ja teemapäivitykset / asennukset käytöstä lisäämällä tämän koodirivin wp-config.php:

define ('DISALLOW_FILE_MODS', tosi);

Mutta tietysti tämä tarkoittaisi, että joudut muuttamaan arvonsa vääriksi joka kerta, kun haluat päivittää tai asentaa laajennuksen tai teeman (emme todella suosittele tätä vaihtoehtoa, koska teemojen ja laajennusten pitäminen ajan tasalla on yksi parhaista tavoista jotta sivustosi olisi vähemmän haavoittuvainen).

WordPressillä on hyvin avoimet palomuuriasetukset, jotka voivat sallia jopa tunnetut haittaohjelmat yrittää hyökätä

WordPress-palomuurisarjat

WordPressin oletuspalomuuriasetukset ovat tosiasiallisesti vapaalla puolella. Tämä tarkoittaa, että jotkut epätoivotut robotit ja muut ei-toivotut vierailijat saavat vihreän valon.

Kuinka korjata se:
Voit tehdä tämän paremmin asentamalla 5G: n mustan listan palomuurisäännöt joko kopioimalla sen manuaalisesti .htaccess-tiedostoon (löydät täältä) tai asentamalla tämä laajennus, tai käytä tietoturvalaajennusta .htaccess -sääntöjesi optimoimiseksi paremmin.

Rajoittamaton WordPress-kirjautumisyritys

Vaikka oletusasetus on todella rajoittamaton sisäänkirjautumisyritys, olet ehkä päättänyt rajoittaa kirjautumisyrityksiä asentaessasi WordPress-sivustoosi. Jos et kuitenkaan, se on uskomattoman helppo korjata.

Kuinka korjata se:
Asenna vain Rajoita sisäänkirjautumisyritykset -laajennus. Tai jos käytät WPEngine-isännöintiä, tämä on ominaisuus, joka heillä on jo sisäänrakennettu sinulle – lisäosaa ei tarvita! Jos suojaat jo kirjautumisalueesi antamalla vain omille IP-osoitteillesi pääsyn dasbhboardiin, sinun ei tarvitse tehdä tätä. Mutta jos piilotit kirjautumissivusi osoitteen, se on hieno kaksinkertainen suoja mahdollisilta raa’ilta hyökkäyksiltä.

johtopäätös

Tietoverkkorikollisuus kasvaa nopeasti ja Internet on matkalla kotiin enemmän rikollisia kuin ‘todellisessa maailmassa’. Joissakin maissa näin on jo tapahtunut. Ja vaikka suuri osa tästä on luottokortti- ja pankkipetoksia, hakkereita on yhä enemmän, ja verkkosivustojen omistajina meidän on suojeltava itseämme ja sivustojamme parhaalla mahdollisella tavalla..

Vaikka WordPressin oletusasennuksella on joitain heikkouksia, WordPressin kauneus on todella helppoa, joten voit ratkaista melkein kaikki sivustosi ongelmat, mukaan lukien tässä viestissä mainitut tietoturvauhat. Sen lisäksi, että sinulla on yksilöivä käyttäjänimi ja vahva salasana, asentamalla suojauslaajennuksen, muokkaamalla joitain asetuksia ja ehkä lisäämällä koodirivin, voit jo merkittävästi vähentää riskiä, ​​että sivustosi hakkeroituu tai saastuttaa haittaohjelmia.

Oletko ryhtynyt toimenpiteisiin WordPress-sivustosi turvallisuuden parantamiseksi? Minkälainen? Haluaisimme kuulla joitain vinkkejä ja vinkkejä! Kerro meille kommenteista.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map