Kaip apsaugoti „WordPress“ (2020 m.)

„WordPress“ yra viena iš populiariausių turinio valdymo sistemų ten ir be svarbių priežasčių. Tai paprasta naudoti, jame yra tūkstančiai temų ir papildinių, ir su juo galite sukurti bet kokio tipo svetainę. Tad nenuostabu, kad „WordPress“ galios 35,1% visų svetainių internete.


Tačiau jo populiarumas kainuoja. Į „WordPress“ dažnai nukreipiami įsilaužėliai. Pagal Sucuri, 2018 m. 90% visų svetainių valymo užklausų priklausė „WordPress“, tai yra 7% daugiau nei 2017 m.

Svetainių „Hack Trend Report 2018“ - „Sucuri“

Taigi „WordPress“ svetainės apsauga turėtų būti jūsų sąrašo viršuje, nesvarbu, ar turite asmeninį portfelį, ar verslo svetainę, ar internetinę parduotuvę.

Kalbant apie „WordPress“ saugumą, vartotojai paprastai suskirstomi į dvi stovyklas: tuos, kurie rimtai vertina saugumą ir imasi atsargumo priemonių, ir tuos, kurie tiki ar tikisi, kad tai niekada jiems neįvyks, nes jų svetainė nėra pakankamai svarbi..

Norėdami geriau suprasti su svetainėmis susijusių saugumo problemų rimtumą, būtinai apsilankykite Internetinės statistikos puslapis kartais. Čia galite pamatyti tikslų svetainių, kurios nulaužtos kiekvieną dieną, skaičių ir netgi stebėti, kaip skaičius auga realiuoju laiku.

Svetainė nulaužta realiu laiku

Contents

22 veiksmai, kaip apsaugoti „WordPress“ svetainę

Kad jūsų svetainė netaptų viena iš svetainių, esančių „Internet Live Stats“, vykdykite toliau pateiktus patarimus ir apsaugokite savo „WordPress“ svetainę.

1. Pasirinkite prieglobos bendrovę su saugos ypatybėmis

Pirmasis žingsnis siekiant apsaugoti savo „WordPress“ svetainę yra investuoti į prieglobos įmonę, įgyvendinančią tinkamas saugos funkcijas. Tai apima naujausios PHP, „MySQL“ ir „Apache“ versijos palaikymą, taip pat ugniasienę ir saugos stebėjimą visą parą..

Jei įmanoma, rinkitės prieglobos įmonę, kuri kasdien daro atsargines kopijas ir reguliariai tikrina kenkėjiškas programas. Jūs netgi galite rasti hostingo kompanijų, kurios taiko įvairias DDOS prevencijos priemones.

Paprastai jūsų prieglobos įmonė yra pirmieji sienos įsilaužėliai, norintys patekti į jūsų svetainę, taigi daugiau investuodami iš anksto ir įsigydami brangesnį prieglobos planą tikrai atsipirks. Mes rekomenduojame pasirenkant valdomą „WordPress“ prieglobos paslaugų teikėją.

2. Naudokite tvirtus slaptažodžius

Įsitikinkite, kad jūsų „WordPress“ svetainės ir prieglobos paskyros srities slaptažodžiai yra saugūs. Norėdami sugalvoti tvirtą slaptažodį, naudokite didžiąsias ir mažąsias raides, skaičius ir simbolius. Taip pat galite naudoti slaptažodžių tvarkyklę, tokią kaip „LastPass“, kad sukurtų ir saugotų jums saugius slaptažodžius.

3. Atjunkite administratoriaus vartotojo vardą

„WordPress“ naudojamas numatytajam vartotojo vardui nustatyti kaip administratorius, o dauguma vartotojų niekada nesivargino jo pakeisti. Todėl dažniausiai administratorius yra pirmasis vartotojas, įsilaužėlis bandys paleidęs žiaurios jėgos išpuolį.

Taigi niekada neturėtumėte naudoti administratoriaus vartotojo vardo savo „WordPress“ svetainėje. Jei neseniai įdiegėte „WordPress“ svetainę, greičiausiai turėsite nustatyti savo vartotojo vardą. Bet jei esate ilgalaikis „WordPress“ vartotojas, vis tiek galite naudoti administratoriaus vartotojo vardą.

Tokiu atveju sukurkite naują savo svetainės administratoriaus vartotojo vardą apsilankę Vartotojai> Pridėti naują ir pasirinkę gerą vartotojo vardą ir slaptažodį. Nustatykite administratoriaus vaidmenį ir spustelėkite Pridėti naują vartotoją mygtuką.

Administratoriaus paskyros sukūrimas

Tada prisijungsite naudodami tuos naujus kredencialus ir ištrinsite seną administratoriaus vartotoją. Prieš ištrindami seną, nepamirškite visą savo turinį priskirti naujam administratoriaus vartotojui.

4. Paskelbkite savo svetainėje naudodami bendraautorio arba redaktoriaus paskyrą

Jei norite žengti aukščiau pateiktą patarimą, apsvarstykite galimybę sukurti bendraautorį arba redaktoriaus paskyrą, kad į savo svetainę galėtumėte įtraukti naujų pranešimų ir straipsnių. Jei tai padarysite, įsilaužėliams bus sunkiau padaryti žalą jūsų svetainei, nes bendraautoriai ir redaktoriai paprastai neturi administratoriaus teisių.

Redaktoriaus paskyros sukūrimas

5. Naudokite atsarginį papildinį

Jei dar nedarote atsarginės savo svetainės atsarginės kopijos, turite pradėti iškart. Atsarginė sistema padės atkurti jūsų svetainę, jei atsitiks blogiausia situacija ir jūsų svetainė gali būti nulaužta.

Naudokite papildinį, pvz., „UpdraftPlus“, kad sukurtumėte įprastą savo svetainės atsarginių kopijų sudarymo tvarkaraštį ir nepamirškite saugoti atsarginių kopijų failus ne svetainėje, kad užtikrintumėte, jog šie failai taip pat neužsikrės..

6. Sukietinkite administratoriaus sritį

Griežtindami administratoriaus sritį, turėsite pakeisti numatytąjį administratoriaus URL ir apriboti nepavykusių prisijungimo bandymų skaičių prieš vartotojui blokuojant jūsų svetainę.

Pagal numatytuosius nustatymus jūsų svetainės administratoriaus URL atrodys taip: jūsų domenas.com/wp-adminas. Piratai tai žino ir bandys tiesiogiai pasiekti šį URL, kad galėtų patekti į jūsų svetainę.

Šį URL galite pakeisti naudodami papildinį, pvz WPS Slėpti prisijungimą.

WPS Slėpti prisijungimą

Galite apriboti nepavykusių prisijungimo bandymų skaičių Prisijungimo užrakinimo papildinys.

Prisijungimas „LockDown“

7. Atnaujinkite failus

Kaip jau minėjome anksčiau, pasenę failai kelia pavojų saugumui, nes jie apsaugo jūsų svetainę nuo kitų išnaudojimų. Štai kodėl atnaujinimus turite įdiegti, kai tik jie bus išleisti.

Būdami prie jo, būtinai apsilankykite įdiegtuose papildiniuose ir išjunkite ir ištrinkite papildinius, kurių nebenaudojate..

8. Apsaugokite savo kompiuterį

Jums gali kilti klausimas, ką jūsų kompiuteris turi su jūsų svetaine. Jei jūsų kompiuteris užkrėstas virusu ir jūs pasiekiate savo svetainę ar įkeliate į ją failus, šie užkrėsti failai gali užkrėsti ir jūsų svetainę. Trumpai tariant, jūs norite įsitikinti:

  • Venkite viešųjų „Wi-Fi“ tinklų, norėdami patekti į savo svetainę
  • Įdiekite antivirusinę programinę įrangą ir įsitikinkite, kad ji atnaujinta

9. Pakeiskite savo duomenų bazės priešdėlį

Kitas „WordPress“ įsilaužėlių žinomas faktas yra tai, kad jūsų duomenų bazės priešdėlis yra nustatytas „wp“. Šis faktas leidžia jiems lengvai atspėti lentelės priešdėlius ir naudoti automatines SQL injekcijas, norint patekti į jūsų svetainę.

Duomenų bazės priešdėlio keitimas yra rankinis procesas, apimantis jūsų wp-config.php failą ir pakeisdami lentelių pavadinimus naudodami „phpMyAdmin“. Prieš atlikdami pakeitimą, kaip prevencinę priemonę būtinai sukurkite atsarginę svetainės kopiją.

Redaguoti wp-config

Turėsite prisijungti prie savo prieglobos paskyros ir pasiekti „cPanel“ arba bet kurią valdymo skydą, kurią naudoja jūsų kompiuteris. Tada pasiekite failų tvarkyklę ir suraskite savo wp-config.php failą „WordPress“ kataloge.

Raskite lentelės priešdėlio eilutę, kuri atrodo taip: $ table_prefix po jų eina = ženklas ir pats lentelės priešdėlis. Pakeiskite numatytąją eilutę savo priešdėliu naudodami skaičių, apatinių brūkšnių ir raidžių derinį:

$ table_prefix = ‘hgwp_3456_’;

Kai baigsite redaguoti wp-config.php failą, išeikite iš failų tvarkyklės ir pasiekite phpMyAdmin, kad galėtumėte pakeisti visus lentelių pavadinimus. Tai padaryti rankiniu būdu gali būti varginant, nes iš viso yra 11 lentelių, kurias turite redaguoti. Vietoje to, galite įvesti SQL užklausą eidami į SQL skirtuką

paleisti SQL užklausą

Tada įveskite:

RENAME lentelė `wp_commentmeta` TO` hgwp_3456_commentmeta`;

RENAME lentelė `wp_comments` TO` hgwp_3456_comments ';

RENAME lentelė `wp_links` TO` hgwp_3456_links`;

RENAME lentelė `wp_options` TO` hgwp_3456_options`;

RENAME lentelė `wp_postmeta` TO` hgwp_3456_postmeta`;

RENAME lentelė `wp_posts` TO` hgwp_3456_posts`;

RENAME lentelė `wp_terms` TO` hgwp_3456_terms`;

RENAME lentelė `wp_termmeta` TO` wp_a123456_termmeta`;

RENAME lentelė `wp_term_relationships` TO` hgwp_3456_term_relationships`;

RENAME lentelė `wp_term_taxonomy` TO` hgwp_3456_term_taxonomy`;

RENAME lentelė `wp_usermeta` TO` hgwp_3456_usermeta`;

RENAME lentelė `wp_users` TO` hgwp_3456_users`;

Nors aukščiau pateikta užklausa turėtų pakeisti jūsų duomenų bazės priešdėlius visur, patartina paleisti kitą užklausą, kad įsitikintumėte, jog visi kiti failai, naudojantį seną duomenų bazės priešdėlį, būtų atnaujinti:

PASIRINKITE * IŠ „hgwp_3456_options" WHERE `option_name` LIKE '% wp_%'

Taip pat norėsite ieškoti „theermeta“ ir pakeisti visus likusius senus priešdėlius naujais:

PASIRINKITE * IŠ „hgwp_3456_usermeta" KUR `meta_key` LIKE '% wp_%'

10. Sutvarkykite savo .htaccess ir wp-config.php failus

.htaccess ir wp-config.php yra patys svarbiausi failai jūsų „WordPress“ diegime. Taigi turite įsitikinti, kad jie yra saugūs ir apsaugoti.

Tiesiog pridėkite žemiau esančius kodus prie .htaccess failo, ne už # BEGIN WordPress ir # END WordPress žymų, kad įsitikintumėte, jog pakeitimai nebus perrašomi su kiekvienu nauju atnaujinimu.



įsakymas leisti, paneigti

neigti iš visų





įsakymas leisti, paneigti

neigti iš visų





užsakymas paneigti, leisti

Neigti iš visų

# leisti prieigą iš mano IP adreso

leisti nuo 192.168.1.1

Aukščiau pateikiami fragmentai apsaugos jūsų „wp-config“ ir .htaccess, taip pat apribos prieigą prie wp-login.php ekranas.

Galiausiai pridėkite žemiau esantį fragmentą, kad išvengtumėte PHP failo vykdymo:



neigti iš visų

11. Patikrinkite ir pakeiskite failo teises

Kai baigsite apsaugoti .htaccess ir wp-config.php failą, pasilikite šiek tiek ilgiau „cPanel“ ir patikrinkite failų ir aplankų failų leidimus „WordPress“ svetainėje.

Failų leidimai

Pagal „WordPress“ kodekas, leidimai turėtų būti nustatyti taip:

  • Visi katalogai turėtų būti 755 arba 750
  • Visi failai turėtų būti 644 arba 640
  • „wp-config.php“ turėtų būti 600

Jei jūsų nustatymai skiriasi, įsilaužėliai gali lengvai perskaityti turinį, taip pat pakeisti failų ir aplankų turinį, dėl ko gali būti įsilaužta jūsų svetainė, taip pat kitos to paties serverio svetainės..

12. Naudokite dviejų veiksnių autentifikavimą

Apsvarstykite galimybę naudoti papildinį, pvz „Google“ autentifikavimo priemonė nustatyti dviejų faktorių autentifikavimą jūsų svetainei. Tai reiškia, kad be slaptažodžio įvedimo, jūs taip pat turėsite įvesti kodą, kurį sukūrė programa mobiliesiems, kad prisijungtumėte prie savo svetainės. Tai gali sustabdyti žiaurių jėgų išpuolius, todėl verta pradėti jį rengti.

„Google“ autentifikavimo priemonė

13. Išjungti XML-RPC

XML-RPC leidžia jūsų svetainei užmegzti ryšį su „WordPress“ programomis mobiliesiems ir papildiniais, tokiais kaip „Jetpack“. Deja, tai taip pat mėgstama „WordPress“ įsilaužėlių, nes jie gali piktnaudžiauti šiuo protokolu vykdydami kelias komandas vienu metu ir gaudami prieigą prie jūsų svetainės. Panaudokite papildinį kaip Išjungti XML-RPC papildinį išjungti šią funkciją.

Išjungti XML-RPC

14. Naudokite HTTPS ir SSL

Internetas jau kurį laiką šurmuliuoja tinklaraščių žinutėse ir straipsniuose apie HTTPS protokolo svarbą ir jau kurį laiką prideda SSL saugos sertifikatus į savo svetainę.

HTTPS reiškia saugų hiperteksto perdavimo protokolą, o SSL – saugius lizdų sluoksnius. Trumpai tariant, HTTPS lankytojo naršyklėje leidžia užmegzti saugų ryšį su jūsų prieglobos serveriu (taigi ir jūsų svetaine). HTTPS protokolas yra apsaugotas per SSL. Kartu HTTPS ir SSL užtikrina, kad visa informacija tarp lankytojų naršyklės ir jūsų svetainės būtų šifruojama.

Jei naudosite abu savo svetainėje, tai ne tik padidins svetainės saugumą, bet taip pat bus naudinga jūsų paieškos varikliui, užtikrins pasitikėjimą savo lankytojais ir pagerinti konversijos koeficientą.

Pasitarkite su savo prieglobos paslaugų teikėju ir paklauskite apie galimybę gauti SSL sertifikatą arba nukreipkite jus geros reputacijos įmonės, kur galite ją nusipirkti, kryptimi.

15. Išjunkite temos ir papildinių redagavimą naudodami „WordPress“ informacijos suvestinę

Turėti galimybę redaguoti savo temą ir papildinių failus tiesiai „WordPress“ prietaisų skydelyje yra patogu, kai reikia greitai pridėti kodo eilutę. Bet tai taip pat reiškia, kad kiekvienas, prisijungęs prie jūsų svetainės, gali pasiekti tuos failus.

Išjunkite šią funkciją pridėdami šį kodą prie savo wp-config.php failas:

// Neleisti failo taisyti

apibrėžti ('DISALLOW_FILE_EDIT', tiesa);

16. Perkelkite „wp-config.php“ failą į ne WWW katalogą

Kaip minėta anksčiau, wp-config.php failas yra vienas iš svarbiausių failų jūsų „WordPress“ diegime. Apsunkinkite prieigą perkeldami jį iš šakninio katalogo į ne www pasiekiamą katalogą.

  1. Norėdami pradėti, nukopijuokite savo turinį wp-config.php failą į naują failą ir išsaugokite jį kaip wp-config.php.
  1. Grįžk į savo seną wp-config.php failą ir pridėkite kodo eilutę žemiau:
  1. Įkelkite ir išsaugokite naują wp-config.php failą į kitą aplanką.

17. Pakeiskite „WordPress“ saugos raktus

„WordPress“ saugos raktai yra atsakingi už informacijos, saugomos vartotojo slapukuose, šifravimą. Jie yra wp-config.php failą ir atrodyti taip:

apibrėžti ('AUTH_KEY', 'įdėti čia savo unikalią frazę');

apibrėžti ('SECURE_AUTH_KEY', 'įdėti čia savo unikalią frazę');

apibrėžti ('LOGGED_IN_KEY', 'įdėti čia savo unikalią frazę');

apibrėžti ('NONCE_KEY', 'įdėti čia savo unikalią frazę');

apibrėžti ('AUTH_SALT', 'įdėkite čia savo unikalią frazę');

apibrėžti ('SECURE_AUTH_SALT', 'įdėkite čia savo unikalią frazę');

apibrėžti ('LOGGED_IN_SALT', 'įdėti čia savo unikalią frazę');

apibrėžti ('NONCE_SALT', 'įdėkite čia savo unikalią frazę');

Naudoti „WordPress Salts Key Generator“ juos pakeisti ir padaryti svetainę saugesnę.

18. Išjungti ataskaitų apie klaidas teikimą

Pranešimas apie klaidas yra naudingas šalinant triktis ir nustatant, kuris konkretus papildinys ar tema sukelia klaidą jūsų „WordPress“ svetainėje. Kai tik sistema praneš apie klaidą, ji parodys ir jūsų serverio kelią. Nereikia nė sakyti, kad tai yra puiki galimybė įsilaužėliams sužinoti, kaip ir kur jie gali pasinaudoti jūsų svetainės spragomis.

Tai galite išjungti pridėdami žemiau esantį kodą prie savo wp-config.php failas:

klaidos ataskaita (0);

@ini_set ('ekrano klaidos', 0);

19. Pašalinkite „WordPress“ versijos numerį

Kiekvienas, žvilgtelėjęs į jūsų svetainės šaltinio kodą, galės pasakyti, kurią „WordPress“ versiją naudojate. Kadangi kiekvienoje „WordPress“ versijoje yra vieši keitimosi žurnalai, kuriuose pateikiamas klaidų ir saugos pataisų sąrašas, jie gali lengvai nustatyti, kuriomis saugumo spragomis jie gali pasinaudoti.

„WordPress“ versija

Laimei, tai lengva ištaisyti. „WordPress“ versijos numerį galite pašalinti redagavę temos „function.php“ failą ir pridėję:

pašalinti_veikimą ('wp_head', 'wp_generator');

20. Naudokite saugos antraštes

Kitas būdas apsaugoti „WordPress“ svetainę yra įdiegti saugos antraštes. Paprastai jie nustatomi serverio lygiu, siekiant užkirsti kelią įsilaužimo išpuoliams ir sumažinti išnaudojamų saugumo pažeidžiamumų skaičių. Galite juos pridėti patys, modifikuodami savo temą funkcijos.php byla.

Apsaugos antraštės

Kryžminio scenarijaus išpuoliai

Pridėkite šį kodą į leidžiamąjį sąrašą, scenarijų, stilius ir kitus turinio šaltinius:

antraštė ('Turinio saugos politika: numatytasis-src https:');

Tai neleis naršyklei įkelti kenksmingų failų.

„Iframe“ paspaudimas

Pridėkite žemiau esančią eilutę ir nurodykite naršyklei nepateikti puslapio rėmelyje: antraštė („X-Frame-Options: SAMEORIGIN“);

„X-XSS-Protection“ ir „X-Content-Type-Options“

Pridėkite šias eilutes, kad išvengtumėte XSS atakų ir liepkite „Internet Explorer“ nesnausti „mime“ tipų

antraštė ('X-XSS-Protection: 1; mode = block');

antraštė ('X-Content-Type-Options: nosniff');

Vykdykite HTTPS

Pridėkite žemiau esantį kodą, kad nurodytumėte naršyklei naudoti tik HTTPS:

antraštė ('Griežtas transporto saugumas: maksimalus amžius = 31536000; įtraukti subdomenus; iš anksto įkelti');

Slapukų su „HTTPOnly“ ir „Secure“ vėliava „WordPress“ 

Pasakykite naršyklei, kad ji pasitiki tik serverio nustatytu slapuku ir kad slapukas galimas per SSL kanalus, pridedant:

@ini_set ('session.cookie_httponly', tiesa);

@ini_set ('session.cookie_secure', tiesa);

@ini_set ('session.use_only_cookies', tiesa);

Jei nenorite šių antraščių pridėti rankiniu būdu, apsvarstykite galimybę naudoti papildinį, pvz Apsaugos antraštės. Nepriklausomai nuo to, kokį metodą pasirinksite įgyvendinti saugos antraštes, būtinai išbandykite jas naudodami https://securityheaders.io svetainėje ir įvesdami svetainės URL.

21. Užkirsti kelią karštajam susiejimui

„Hotlinking“ per se nėra saugumo pažeidimas, tačiau atsižvelgiant į tai, kad tai nuoroda į kitą svetainę, kurioje jūsų svetainės URL nukreipiama tiesiai į atvaizdą ar kitą daugialypės terpės failą, tai laikoma vagyste. Dėl karštojo susiejimo gali atsirasti netikėtų išlaidų ne tik todėl, kad turėsite susidurti su teisiniais padariniais, bet ir todėl, kad jūsų prieglobos sąskaita gali išeiti per stogą, jei jūsų atvaizdą pavogusi svetainė gauna daug srauto.

Pridėkite žemiau esantį kodą prie .htaccess failo, jei naudojate „Apache“ serverį, ir pakeiskite manekeno domeną tikruoju domeno pavadinimu:

„RewriteEngine“ įjungta

„RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www..)? Domain.com [NC]

„RewriteRule“. (Jpg | jpeg | png | gif) $ - [NC, F, L]

Arba, jei naudojate NGINX serverius, norėsite pakeisti savo konfigūracijos failą taip:

vieta ~. (gif | png | jpe? g) $ {

valid_referers nė vienas neužblokavo ~ .google. ~ .bingas. ~. Yahoo jūsų domenas.com *. jūsų domenas.com;

if ($ invalid_referer) {

grįžti 403;

}

}

22. Atsijungti neveikiantys vartotojai

Paskutinis šio vadovo patarimas, kaip padidinti jūsų svetainės saugumą, yra tai, kad pasitraukę vartotojai nenaudojami po tam tikro laikotarpio. Galite naudoti papildinį kaip Neaktyvus atsijungimas automatiškai nutraukti neaktyvius seansus.

Neaktyvus atsijungimas

Tai būtina, nes jei prisijungiate prie savo svetainės norėdami pridėti naują tinklaraščio įrašą ir atitraukiate dėmesį nuo kitos užduoties, jūsų sesija gali būti užgrobta, o įsilaužėliai gali piktnaudžiauti situacija, kad užkrėstų jūsų svetainę. Dar svarbiau nutraukti neaktyvius seansus, jei jūsų svetainėje yra keli vartotojai.

Kaip atsigauti nuo įsilaužimo

Aukščiau pateiktos saugos priemonės yra puikus būdas apsaugoti svetainę. Bet kas, jei į jūsų svetainę vis tiek įsilaužta? Štai keli žingsniai, kuriuos reikia atlikti, jei jūsų svetainė buvo nulaužta.

1. Patvirtinkite „Hack“ ir pakeiskite slaptažodį

Jei jūsų svetainė buvo nulaužta, pirmiausia nepanikuokite. Tai nepadės, o veika padaryta, todėl svarbu greitai veikti. Pirmiausia patikrinkite savo svetainę ir sužinokite, ar galite prisijungti prie savo prietaisų skydelio. Patikrinkite, ar jūsų svetainė nukreipia į kitą svetainę, ar matote įtartinų ar keistų nuorodų ar skelbimų.

Nedelsdami pakeiskite slaptažodį ir pereikite prie kito veiksmo.

2. Susisiekite su savo hostingo bendrove

Susisiekite su savo šeimininku ir praneškite jiems, kad jūsų svetainė buvo nulaužta. Jie gali padėti jums nustatyti įsilaužimo šaltinį. Kai kurie kompiuteriai taip pat išvalys jūsų svetainę ir pašalins kenksmingą kodą bei failus.

Norėdami atkurti savo svetainę, naudokite atsarginę kopiją

Jei kruopščiai ruošėte atsargines savo svetainės atsargines kopijas, suraskite atsargines atsargines kopijas, padarytas prieš įsilaužimą, ir naudokite ją savo svetainei atkurti. Nors galite prarasti dalį turinio, galėsite sukurti savo svetainę ir veikti taip, kaip ji buvo prieš išpuolį.

3. Nuskaitykite, ar jūsų svetainėje nėra kenkėjiškų programų

Naudokite nemokamą „Sucuri“ skaitytuvą, kad nuskaitytumėte savo svetainę dėl kenkėjiškų programų ir nustatytumėte pažeistus failus. Taip pat galite pasirinkti jų svetainės valymo paslaugą, jei nežinote, kaip patys pašalinti kenkėjiškas programas.

4. Patikrinkite savo svetainės vartotojus

Prisijunkite prie savo „WordPress“ svetainės ir eikite į Vartotojai> Visi vartotojai. Įsitikinkite, kad nėra vartotojų, kurių ten neturėtų būti, ir, jei reikia, ištrinkite juos.

5. Pakeiskite savo slaptuosius raktus

Norėdami sugeneruoti naujus saugos raktus ir įtraukti juos į savo wp-config.php failą, naudokite jau minėtą „WordPress Salts Key Generator“. Kadangi šie raktai užšifruoja jūsų slaptažodį, įsilaužėliai liks prisijungę, kol jų slapukai nebus pripažinti negaliojančiais. Nauji saugos raktai tai padarys ir privers hakerį iš jūsų svetainės.

6. Pasamdykite profesionalą

Galiausiai pasamdykite profesionalą, kuris išvalys įsilaužimą ir pašalins kenkėjišką programą iš savo svetainės. Atminkite, kad įsilaužėliai gali paslėpti kenkėjišką kodą keliuose failuose, taigi, jei nepatyrėte kenkėjiškų programų pašalinimo, lengvai galėsite praleisti užkrėstą failą. Tai leidžia įsilaužėliams vėl įsilaužti į jūsų svetainę, todėl labai rekomenduojama samdyti profesionalus.

7 dažniausiai pasitaikantys „WordPress“ pažeidžiamumų tipai

Prieš gilindamiesi į šį straipsnį, pažiūrėkime į dramblį kambaryje: ar „WordPress“ yra saugus? Atsakymas į šį klausimą yra taip. „WordPress“ programinės įrangos branduolys yra saugus, o „WordPress“ gaminanti įmonė rimtai vertina saugumą.

apsaugos komanda laive yra 50 ekspertų, tarp kurių yra pagrindiniai kūrėjai ir saugumo tyrinėtojai, dirbantys užkulisiuose, kad užtikrintų „WordPress“ saugumą.

Tiesą sakant, dauguma saugumo incidentų ir rizikos kyla dėl žmonių klaidų ir saugumo pažeidžiamumo.

Yra septyni „WordPress“ spragų tipai, kuriuos turite žinoti:

  • Pasenę „WordPress“ failai
  • Galinis durys išnaudojamos
  • Farmo hakatai
  • Silpni slaptažodžiai
  • Kenkėjiški peradresavimai
  • Prieglobos platformos pažeidžiamumas
  • Paslaugų atsisakymo išpuoliai

Pažvelkime į juos ir paaiškinkime, kas jie yra.

1. Pasenę „WordPress“ failai

Pasenę „WordPress“ failai nurodo „WordPress“ versijos, temos ir papildinių failus. Jie kelia pavojų saugumui, nes palieka jūsų svetainę kitų pažeidžiamumų, tokių kaip užpakalinių durų išnaudojimai ir vaistininkų įsilaužimai.

Taigi turite įsitikinti, kad jūsų „WordPress“ diegimas yra atnaujintas, taip pat tema ir papildiniai. Reikėtų aktyviai taikyti atnaujinimus, kai jie išleidžiami, nes juose ne tik yra naujų funkcijų, bet jie taip pat apima įvairius saugos ir klaidų taisymus..

2. Išnaudoja užpakalinius duris

Kalbant apie galinių durų išnaudojimą, įsilaužėliai pasinaudos pasenusiais „WordPress“ failais, kad galėtų patekti į jūsų svetainę. Be pasenusių failų, jie taip pat gali pasiekti jūsų svetainę naudodamiesi SFTP, FTP ir pan.

Kai jie turės prieigą prie jūsų svetainės, jie užkrės jūsų svetainę ir taip pat gali užkrėsti kitas svetaines, esančias tame pačiame serveryje kaip ir jūsų svetainė. „Backdoor“ injekcijos nepatyrusiam vartotojui atrodo kaip įprasti „WordPress“ failai. Užkulisiuose jie naudojasi pasenusių failų klaidomis, kad galėtų pasiekti jūsų duomenų bazę ir sugadinti jūsų svetainę, taip pat tūkstančius kitų svetainių.

3. „Pharma Hacks“

„Pharma“ įsilaužimai nurodo pasenusių „WordPress“ failų pažeidžiamumų išnaudojimą, kai įsilaužėlis įterpia kodą į tuos failus. Įvedę kodą, paieškos varikliai rodo farmacijos produktų skelbimus, o ne jūsų svetainę. Dėl to paieškos varikliai gali pažymėti jūsų svetainę kaip šlamštą.

4. Silpni slaptažodžiai

Silpnus slaptažodžius gali būti lengva atsiminti, tačiau jie taip pat palengvina įsilaužėlių prieigą prie jūsų svetainės per žiaurų pajėgų išpuolį. Žiaurios jėgos išpuolis įvyksta, kai įsilaužėlis naudoja automatinius scenarijus, kurie veikia fone, kad bandytų įvairius vartotojo vardo ir slaptažodžio derinius, kol randa veikiantį derinį..

5. Kenkėjiški peradresavimai

Panašiai kaip pasenusių failų ir FTP ar SFTP protokolo naudojimas šifruoti kodą, kurio rezultatas yra farmacijos įsilaužimas ar užpakalinio lauko išnaudojimas, įsilaužėliai panaudos .htaccess failą jūsų „WordPress“ diegime, kad nukreiptų lankytojus į kenkėjišką svetainę.

Tada jūsų lankytojai gali užkrėsti virusu ar tapti sukčiavimo apgaulės grobiu.

6. Prieglobos platformos pažeidžiamumas

Kartais jūsų svetainės saugumas gali būti pažeistas, nes naudojate prieglobos įmonę, kurioje nėra tokių saugos funkcijų kaip ugniasienė ar failų stebėjimas. Paprastai tai atsitinka su pigesniais prieglobos paslaugų teikėjais, o tai reiškia, kad renkantis pigesnį prieglobą, be abejo, jums kainuos daugiau, jei jūsų svetainė bus nulaužta..

Atminkite, kad pigesnės prieglobos platformos taip pat kelia didesnį pavojų saugumui, nes jūsų svetainė gali būti užkrėsta ar nulaužta dėl įsilaužėlių, išnaudojančių kitos svetainės, esančios tame pačiame serveryje, pažeidžiamumus.

7. Paslaugų išpuolių neigimas

Paslaugų atsisakymo išpuoliai arba DDOS išpuoliai yra viena iš pavojingiausių grėsmių bet kuriam svetainės savininkui. DDOS atakos metu įsilaužėlis išnaudos klaidas ir kodo klaidas, sukeldamas jūsų svetainės operacinės sistemos atminties pervargimą. DDOS išpuoliai paprastai sumažins daugybę svetainių, kurios naudoja tam tikrą platformą, pavyzdžiui, „WordPress“.

Dabar, kai žinote, kokie yra paplitę pažeidžiamumai, susiję su „WordPress“, pereikime prie patarimų, geriausios praktikos ir saugos rekomendacijų, kurios padės apsaugoti jūsų „WordPress“ svetainę.

Apvyniokite

„WordPress“ yra galinga ir populiari CMS, leidžianti visiems lengvai sukurti svetainę. Kadangi jis yra toks populiarus, jis taip pat yra mėgstamiausias įsilaužėlių taikinys. Laimei, yra keletas žingsnių, kuriuos galite atlikti norėdami apsaugoti savo „WordPress“ svetainę. Jei laikysitės šio straipsnio patarimų, jums gerai seksis sukurti saugią „WordPress“ svetainę..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map