The svetainės saugumas yra vienas iš svarbiausių aspektų, kurį a Žiniatinklio valdytojas turi apsvarstyti.
Žiniatinklio serveris, kurį naudojame savo svetainėje naudodami „WordPress“, taip pat gali turėti pažeidžiamumų, todėl privalome patikrinti, ar jame nėra saugumo problemų, arba imtis veiksmų saugai pagerinti. Kituose vadovėliuose buvo nurodyti veiksmai ir įrankiai, skirti sustiprinti saugumą, pavyzdžiui, taikant:
1. Saugos priemonės VPS serveriams
2. Kaip aptikti ir valdyti paslaugas Linux serveriuose
Labai svarbus aspektas, į kurį reikia atsižvelgti venkite bendro serverio naudojimo, yra tie serveriai, kuriuose yra kitų svetainių, be mūsų svetainės ir to paties serverio svetainės, kuri yra pažeidžiama, ji gali pakenkti visoms kitoms svetainėms, nes failai yra toje pačioje erdvėje ir taip išplatina ataką ar viruso infekciją.
The „Wordpress“ sukurtos svetainės yra jautrios daugumai atakų, nes 30% svetainių yra sukurtos pagal šią platformą.
Todėl svarbu imtis priemonių mūsų svetainei ir duomenims apsaugoti nuo galimų užpuolikų ir sumažinti mūsų turimą riziką pažeidžiamumas.
Strategijos, kurias galime įgyvendinti
Pakeiskite kelią į aplanką wp-content
Pakeiskite numatytąjį kelią į „WordPress“ wp-turinio aplanką, tai yra aplankas, kuriame yra dauguma failų ir papildinių, temų, sudarančių mūsų svetainę. Išnaudotojai ir kenkėjiška programa ieškos šio aplanko, kad nuskaitytų ir surastų pažeidžiamumus, jei pakeisime maršrutą, apsunkinsime stebėjimą.
Norėdami pakeisti maršrutą, turime tai padaryti redaguokite failą wp-config.php ir keisti konstantą wp_content_dir:
define ('WP_CONTENT_DIR', dirname (__ FILE__). ' / path / wp-content');Su tuo jis būtų pasikeitęs.
Įdiekite tik saugius papildinius
Įskiepiai gali būti pašalinti iš oficialios „WordPress.org“ saugyklos, jei jie nėra dažnai atnaujinami, todėl galėsime užtikrinti bendruomenę, kad įskiepiai yra saugūs, taip pat parodo mums, kuriuos papildinius labiau priima vartotojai. Tai, kad jie nėra kenksmingi, nereiškia, kad jie veikia tinkamai arba neturi pažeidžiamumų.
Turime atkreipti dėmesį, kai įskiepis nebuvo atnaujinamas daugelį metų, pranešama, kad jame yra klaidų. Vartotojų bendruomenė nustatė, kad joje yra saugumo pažeidimas.
Naudoti WPKietėjimas automatizuoti saugius įrenginius
WPKietėjimas yra įrankis, skirtas automatizuoti ir atlikti įvairius saugumo patikrinimus kad mūsų „Wordpress“ svetainė būtų sukonfigūruota saugiai.
Šis projektas sukurtas naudojant „Python“ ir leidžia patikrinti įvairius kūrėjo svetainės aspektus „Wordpress“, kad būtų galima ieškoti pažeidžiamumų.
Vienas iš pagrindinių šio įrankio privalumų yra užduočių automatizavimas, o saugumo nustatymai yra svarbūs, kad informacija nebūtų atskleista potencialiems užpuolikams. Yra daug įrankių, specialiai sukurtų gauti ir rinkti visų rūšių informaciją, susijusią su „WordPress“ diegimu. Daug Išpuoliai prieš „WordPress“ sistemas paprastai prasideda nuo išankstinės informacijos, pagrįstos nuskaitymais ir informacijos rinkimu.
WpSukietėjimas Jį galima atsisiųsti į mūsų serverį ar vietinį kompiuterį iš jo oficialaus puslapio arba iš terminalo su komanda naudojant komandą:
git klonas https://github.com/elcodigok/wphardening.gitTaip pat galime jį atsisiųsti iš „GitHub“ projekto puslapio:
Kai failas bus įdiegtas arba išpakuotas, galėsime pasiekti aplanką „wphardening“.
Norėdami naudoti šį įrankį, turime žinoti maršrutą į žiniatinklį, kurį norime patikrinti, ir šį tinklą, nes jis buvo sukurtas naudojant „Wordpress“.
Toliau turime atnaujinti „wphardening“, kad įsitikintume, jog turime naujausias saugyklas ir naujausius patobulinimus, kurie jiems buvo įtraukti, iš terminalo lango vykdome šią komandą:
python wphardening.py -atnaujintiTada galime pradėti naudoti „wphardening“ ir patikrinti „WordPress“ sukurtos svetainės saugumą naudodami šią komandą:
python wphardening.py -d / home / myuser / myweb -vAtminkite, kad jis naudojamas tik vietoje, ty vietiniame ar nuotoliniame serveryje iš komandinės eilutės ir į „WordPress“ sukurtos svetainės.
Pavyzdžiui, šiai pamokai naudosiu demonstracinę svetainę, sukurtą „Wordpress“ vietiniame serveryje su „Xampp“:
Daug kartų turime problemų dėl failų ir aplankų leidimų, dėl kurių mūsų svetainė yra veikiama atakų ar įsibrovėlių. Norėdami išspręsti šią problemą, naudojame šią komandą:
python wphardening.py -d / opt / lampp / htdocs / projektai / cabanias -chmod -vTai automatiškai nustato rekomenduojamus papildomos saugos leidimus.
Kitas labai įdomus šio įrankio variantas yra galimybė automatiškai atsisiųskite ir įdiekite papildinius ir saugos įrankius rekomenduojama ir išbandyta.
python wphardening.py -d / opt / lampp / htdocs / project / cabanias -plugins
Kai vykdysime komandą, ji paprašys mūsų leidimo įdiegti kiekvieną saugos papildinį, įskaitant antivirusinę, išnaudojimo skaitytuvą, duomenų bazės tvarkyklę, saugos ir pažeidžiamumo skaitytuvą, be kita ko, galų gale pamatysime įskiepius, įdiegtus mūsų „Wordpress“ svetainės papildinių aplanką. Šie papildiniai naudoja patentuotus internetinius įrankius ir duomenų bazes, kad mūsų WordPress svetainėje esančiuose failuose ir duomenų bazėse rastų rastos, arba jie gali parodyti, kad tapote kenkėjiškų įsilaužėlių auka.
[priedas = 12158: panta06.jpg.webp]Tada iš „WordPress“ administratoriaus skydelis galime įdiegti ir įjungti saugos papildinius.
Kitas įdomus variantas yra automatinis failo robots.txt kūrimas tai automatiškai neleis prieigos prie svarbiausių svetainės katalogų. Taip pat pridedame -o variantas tai leidžia mums sukurti žurnalo failą su atliktos užduoties rezultatu.
python wphardening.py -d / opt / lampp / htdocs / project / cabanias -robots -o securitywp.log
Kai vykdome komandą, ji paprašys mūsų svetainės kelio ir tada bus sukurtas failas robots.txt.
Nenaudojamų failų ištrynimas yra svarbus, nes jie užima daug vietos ir gali būti pažeidžiami, nes paprastai jie nėra prižiūrimi ar atnaujinami, taip pat svetainėje, kurioje yra daug failų, jie gali sukelti painiavą, nes dėl jų naudosime komandą automatiškai pašalina visus failus, kurių nenaudoja mūsų svetainė.
python wphardening.py -d / opt / lampp / htdocs / project / cabanias -remove -o securitywp.log
Pabaigoje matome žurnalą, kurį sukūrėme su visų ištrintų failų sąrašu.
The išpuolių prieš svetaines ir serverius sukelia saugumo problemos dėl pažeidžiamumų programinėje įrangoje dėl programavimo klaidų arba netinkamai sukonfigūruotos programinės įrangos.
Šie pažeidžiamumai leidžia užpuolikams naudoti daugybę metodųpvz., URL parametro naudojimas SQL injekcijai vykdyti, kodo pridėjimas prie duomenų bazės naudojant formas, kurios gali leisti duomenims keisti arba ištrinti svarbius duomenis, pvz., ištrinti visus įrašus ir puslapius arba palikti žiniatinklį išjungtą.
Svetainės, sukurtos naudojant „Wordpress“, sulaukė atakų, dažniausiai tai yra dėl „WordPress“ papildinio pažeidžiamumo. Įsilaužėliai dažnai įterpia 64 pagrindu užkoduotą kenkėjišką programą, leidžiančią jiems atlikti PHP funkciją mūsų svetainėje. Jie taip pat gali palikti galines duris kažkur jūsų svetainėje. Tai yra metodas, kuriuo jie naudojasi norėdami pasiekti jūsų svetainę ateityje, net ir tokio tipo ataka paprastai užkrečia visus žiniatinklio failus.
Atminkite, kad visos mūsų naudojamos priemonės negarantuoja mūsų svetainės saugumo privalome įgyvendinti saugumo politiką Ką kas savaitę ar kasdien atlikite papildomas duomenų bazės ir visų failų atsargines kopijas.
Ar jums patiko ir padėjo ši pamoka?Galite apdovanoti autorių paspausdami šį mygtuką, kad suteiktumėte jam teigiamą tašką