Kuinka EI suojata WordPress-verkkosivustoasi

Kuinka EI suojata WordPress-sivustoasi

Mikä on ensimmäinen asia, jonka tekisit, kun haluat suojata WordPress-sivustosi? Selvitä viisi tärkeintä tietoturvalaajennusta, harkitse kuinka edullisia ne ovat ja jatka sitten asentamalla yksi. Se on tehty, nyt voit rentoutua ja rentoutua, eikö niin? Väärä!


Suojauslaajennuksen käyttö ei takaa turvallisuutta. Turvallisuus ei ole ehdoton asia, eikä kukaan voi taata täydellistä turvallisuutta. Paras mitä voimme tehdä, on vähentää hakkeroinnin riskiä. Ja toisin kuin yleisesti uskotaan, sivuston omistajan on osallistuttava verkkosivuston turvallisuuteen. Tietämys on tietää, mitä sinun pitäisi tehdä, minkä ei pitäisi.

Vaikka WordPress-sivustosi turvassa on useita oppaita, mitä sinun pitäisi tehdä, tarjoamme sinulle oppaan siitä, mitä sinun tulisi välttää tekevän sen sijaan. Huomaat, että täällä olevat neuvot ovat ristiriidassa yleisen uskomuksen kanssa. Kokemuksemme mukaan paljon siellä olevia neuvoja on kuitenkin vanhentuneita ja tarjoavat väärän turvatunteen.

Jos WordPress-tietoturva kysyy sinut yhtä paljon kuin meille, katso seuraava.

1. Älä käytä liian monta suojauslaajennusta

Koska käytettävissä on laaja valikoima laajennuksia ja erilaisia ​​ominaisuuksia, on houkuttelevaa käyttää useampaa kuin yhtä WordPress-suojauslaajennusta. Ollakseni rehellinen, se on ylenmääräinen. Huolestuminen sivustosi turvallisuudesta on normaalia, mutta sinun on kysyttävä itseltäsi, tarvitsetko todella useampaa kuin yhtä suojauslaajennusta? Mitkä ominaisuudet ovat välttämättömiä sivustosi vaatimuksille? Aikovatko ominaisuudet astua toistensa varpaisiin?

Esimerkiksi ristiriita voi syntyä, kun laajennukset alkavat muokata tiedostoja, kuten wp-config.php tai htaccess. Laajennukset voivat helposti vihata näillä tiedostoilla, mutta he eivät muokkaa niitä yhdellä yksimielisellä tavalla. Tämä voi aiheuttaa ristiriitoja ja hidastaa verkkosivustoasi.

WordPress-sivustojen kanssa asiat voivat mennä pieleen toisinaan. Kaikki vihaavat pelättyä Kuoleman valkoista näyttöä. Jos sinulla on useita laajennuksia, jotka vaikuttavat voimakkaasti verkkosivustoosi, ongelmien korjaaminen voi olla vaikeaa. Jos olisi ollut vain yksi laajennus, virheen syyn löytäminen ja korjaaminen olisi ollut helpompaa ja helpompaa.

2. Älä muuta DB-etuliitettä

WordPress-sivusto voidaan vaarantaa monella tapaa. Hakkerit voivat saada pääsyn sivuston tietokantaan SQL-injektiohyökkäyksen avulla. Pluginin tai teeman haavoittuvuutta voidaan käyttää murtautumaan sivuston tietokantaan (siksi suosittelemme käyttämään sen sijaan WordPress-tietokannan varmuuskopiolaajennus välttää samanlainen vahingoittuminen). Yksi suosittu tapa estää hakkereita pääsemästä syvemmälle sivustoosi on muuttamalla oletustaulukon etuliitettä. Kuten alla olevasta kuvasta voi nähdä, WordPressin oletustaulukon etuliite on ‘wp_.’ WordPress antaa sinun muuttaa taulukon etuliitettä (ts. ‘Xzy_’) tiettyjen taulukoiden piilottamiseksi..

WordPress-tietokannan etuliitteet

Pinnalla tämä näyttää hyvältä idealta. Jos hakkerit eivät tiedä taulukon nimeä, he eivät voi hakea tietoja siitä. Tämä on kuitenkin väärä päätelmä. Kun joku tunkeutuu tietokantaasi, on vielä tapoja selvittää taulukot. Siksi etuliitteen nimien muuttamisella ei ole hyötyä. Lisäksi oletusetuliitteen muuttaminen voi aiheuttaa useiden laajennusten käyttäytymisen väärin.

Lisäksi tietokannan etuliitteen muuttaminen keskipäivän aikana on vaikeata toteuttaa, ja se voi aiheuttaa verkkosivustosi kaatumisen. Tämä johtuu siitä, että jokaisella tasolla on tehtävä monia muutoksia. Kaikki prosessin virheet osoittautuvat katastrofaalisiksi sivustollesi.

3. Vältä kirjautumissivusi piilottamista

Aina joku yrittää murtautua sivustollesi murtaamalla salasanasi. Julkien joukkojen hyökkäysten aikana hakkerit yrittävät kirjautua verkkosivustollesi käyttämällä suosittujen käyttäjänimien ja salasanojen yhdistelmää. Entä jos me piilotamme kirjautumissivun? Se tappaa kaksi lintua yhdellä kivillä, eikö niin? Hakkeri ei löydä kirjautumissivua ja palvelimen kuormitus vähenee.

WordPressillä on oletuskirjautumissivu. Sivun URL näyttää yleensä esimerkiltä.com/wp-login.php. Yksi tunnettu tapa säästää verkkosivustosi raa’alta hyökkäykseltä on piilottaa tai muuttaa oletuskirjautumissivu jotain muuta, kuten esimerkki.com/mylogin.php. Vaikka tämä kuulostaa turhilta suunnitelmilta, selvitetään kuinka tehokas menetelmä on pitää WordPress-sivustosi suojattuna.

Palvelimen kuormituksen vähentäminen

Piilottamisen tai kirjautumissivun sijainnin vaihtamisen jälkeen joka kerta, kun joku yrittää avata sen, heillä on virhe 404. Sisäänkirjautumisyritykset ovat kuitenkin raskas prosessi. Aina kun 404 -virhesivu latautuu, se kuluttaa paljon palvelimen resursseja. Ja lopulta hidastaa verkkosivustoasi. Siksi yleinen käsitys, että kirjautumissivusi piilottaminen vähentää palvelimen kuormitusta, on väärä.

Vaihtoehtoinen URL ei ole vaikea arvata

Osa WordPressin CMS: n menestyksestä johtuu laajennuksista, jotka helpottavat verkkosivuston muutoksia. Ei ole yllättävää, että suosittu tapa piilottaa sivuston kirjautumissivu on käyttää laajennusta. Nämä liitännät toimittavat joukon oletusvaihtoehtoisia kirjautumis-URL-osoitteita, kuten xzy.com/wplogin.php, jne. Olemme koulutettu käyttämään vain oletusasetuksia. Kun olemme asentaneet laajennuksen ja muuttaneet URL-osoitetta, emme ajattele sitä paljon. Mutta plugin voi tarjota vain niin paljon URL-osoitteita. Näiden esiasetettujen kirjautuminen-URL-osoitteiden löytäminen ei ole liian vaikeaa. Siksi vaihtoehtoisen URL-osoitteen käyttö voi olla tehoton useimmissa tapauksissa.

Käytettävyysongelmat

WordPressin kauneus on, että sitä on helppo käyttää. Se on tuttu alusta. Sivustolle, jolla on useita käyttäjiä, kirjautumissivun muuttaminen tai piilottaminen voi aiheuttaa tiettyjä ongelmia. Olemme useita kertoja törmänneet WordPress-keskustelupalstojen viesteihin, joissa käyttäjät lukitaan sivustosta sisäänkirjautumis-URL-osoitteen muutoksen vuoksi. Useimmissa tapauksissa muutokset tehtiin pluginin avulla, eikä käyttäjille ollut kerrottu kaaosta aiheuttavasta tilanteesta.

4. Älä estä IP-osoitteita manuaalisesti

Jos sivustollesi on asennettu suojauslaajennus, saat ilmoituksen, kun joku yrittää kirjautua sivustoosi. Voit helposti saada IP: n lähettämään nämä haitalliset pyynnöt ja estää ne .htaccess-tiedoston avulla. Se on manuaalisesti intensiivistä työtä, ei kovin kätevä harjoittelu.

Ei käyttäjäystävällinen

Ei-tekninen henkilö, joka yrittää muokata .htaccess-tiedostoja, on resepti katastrofista. WordPressin kaltaisella sisällönhallintajärjestelmällä on erittäin tiukka muotoilu. Jopa suosituimpien työkalujen, kuten FTP / SFTP, käyttö on erittäin riskialtista. Pieni virhe tai virheellinen komentopaikka voi aiheuttaa sivuston kaatumisen.

Liian monta IP: tä estää

Välttääkseen mustalle listalle pääsyä hakkerit käyttävät IP-osoitteita ympäri maailmaa. Aiemmin keskustelimme IP-osoitteiden manuaalisesta estämisestä, jotka yrittävät jatkuvasti tunkeutua sivustoosi. Työ (kuten olemme aiemmin maininneet) vaatii paljon aikaa ja vaivaa, mutta se ei ole aivan kovin tehokas ajankäyttö. Mutta jos käytät mitä tahansa WordPress-tietoturvalaajennuksista, esimerkiksi Malcare, voit automatisoida estoprosessin. Tällaiset tietoturvalaajennukset huolehtivat kaikista WP-tietoturvan aukkoista.

5. WordPressin piilottaminen

Yleisesti oletetaan, että CMS: n piilottaminen vaikeuttaa ihmisiä, joilla on turha aikomus tunkeutua sivustoosi. Entä jos voisimme piilottaa sen, että verkkosivustosi toimii WordPressillä. Se suojaa sivustoasi hakkereilta, jotka haluavat hyödyntää yleisiä haavoittuvuuksia. Helppo tapa tehdä tämä on (arvasit sen) käyttämällä laajennusta. Mutta menetelmä epäonnistuu, kun hakkerit eivät välitä millä alustalla verkkosivustosi toimii. Lisäksi on olemassa monia tapoja selvittää, toimiiko sivusto WordPressillä.

Lisäosan käytön lisäksi voidaan valita, että työ tehdään manuaalisesti. Mutta se on aikaa vievä prosessi. Yksi WordPress-päivitys voi peruuttaa kaiken työskentelysi muutamassa sekunnissa. Mikä tarkoittaa, sinun on joko toistettava prosessi uudestaan ​​ja uudestaan ​​tai vältettävä WP-päivityksiä. WordPress-päivitysten ohittaminen on kuin hakkeroinnin etuoven avaaminen kotiisi.

6. Salasanasuojaus wp-admin ei toimi

WordPressin oletuskirjautumissivu (joka näyttää tältä – esimerkki.com/wp-admin) on yhdyskäytävä sivustoosi. Tyypillinen kirjautumissivu näyttää alla olevalta kuvalta.

Täällä sinun on käytettävä käyttöoikeustietoja käyttääksesi WordPress-hallintapaneelia. Kirjautumissivua suojaava salasana auttaa piilottamaan tai suojaamaan tätä yhdyskäytävää kojelautaan. Se on hyvä idea, mutta ei ilman aukkoja.

LookLinux salasanasuojausesimerkki

Kuva: LookLinux

Ensinnäkin on vaikea ylläpitää tai jopa vaihtaa salasanaa, jos kadotat sen. Sen lisäksi, että muutokset sivustollesi ovat tehottomia lisäsuojauksen tarjoamisessa, voivat osoittautua erittäin vaarallisiksi. Esimerkiksi, kun suojaat järjestelmänvalvojasivua salasanalla, pyynnöt, kuten /wp-admin/admin-ajax.php, eivät voi ohittaa suojausta. On laajennuksia, jotka saattavat olla riippuvaisia ​​sivustosi Ajax-toiminnoista. Ja kun he eivät pääse tähän toimintoon, he alkavat käyttäytyä huonosti. Siksi tämä voi aiheuttaa verkkosivuston rikkoutumisen.

Sinulle

Jos sinulla on kysyttävää tai ehdotuksia siitä, mitä sinun on vältettävä WordPress-sivuston suojaamiseksi, ota meihin yhteyttä kommenteissa.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map