WordPress sigurnost web mjesta: Evo 15 savjeta tvrtke Semalt za zaštitu vaše web stranice



Nedavno nas je tema informacijske sigurnosti, s naglaskom na sigurnost WordPress stranica, počela neizmjerno zanimati. Jednostavni razlog tome je što su mnoge web stranice izložene cyber kriminalu i jako pate od njega sve dok ne izgube kontrolu nad svojim web mjestima.

Budući da smo toga vrlo svjesni, odlučili smo vam dati vrlo korisne i relevantne informacije koje vam mogu pomoći da se zaštitite od bilo kakve opasnosti na vašem web mjestu.

Stoga vas pozivam da obratite posebnu pozornost na informacije koje će biti podijeljene u ovom članku.

Zatim otkrijte najosnovnije savjete za zaštitu web mjesta.

Najosnovniji savjeti za zaštitu web mjesta

Prije započinjanja superiornog savjeta važno je sudjelovati u sljedećim osnovnim savjetima:

1. Redovito ažurirajte svoju verziju WordPressa

Istina, to je nešto što bi trebalo uzimati zdravo za gotovo. No, ipak, kao netko tko ima pristup popriličnom broju WordPress web stranica (uključujući web lokacije klijenata i web stranice koje nisam u vlasništvu), nailazim na mnoštvo web mjesta s tim obavijestima o ažuriranjima, očito je da nikoga nije briga za njihovo redovito održavanje.

WordPress je najpopularniji CMS (Content Management System) na svijetu, što znači da je kao sustav vrlo popularna meta hakera.

Oni koji žele oštetiti WordPress stranice uvijek će moći pronaći razne sigurnosne ranjivosti. Bilo da se nalazi u osnovnom kodu sustava, raznim dodacima, predlošcima ili više.

Jedan od razloga zašto WordPress relativno često pokreće ažuriranja verzija je zatvaranje sigurnosnih rupa i poboljšanje sustava.

Važna nota: što više dodataka ima web mjesto i što je više "prilagođeno" - to je vjerojatnije da ažuriranje verzije može slomiti web mjesto - da ono ometa njezin rad. Preporuka je uvijek napraviti potpunu sigurnosnu kopiju web mjesta (datoteke + baza podataka) prije izvođenja ažuriranja sustava.

2. Redovito smo ažurirali dodatke i predloške

Neposredno nakon prethodnog odjeljka, većina rupa dolazi iz dodataka ili zastarjelih predložaka i/ili onih preuzetih s nepouzdanih web lokacija. Uvijek trebate preuzimati dodatke iz službenog spremišta za WordPress, a ne sa web lokacija s kojima niste upoznati, pogotovo ako ne pripadaju pouzdanom izvoru.

Čak i kupnja utikača i predložaka ne garantira 100% da neće biti sigurnosnih ranjivosti. No, što više dobijete gore navedeno iz pouzdanih izvora kojima možete vjerovati, to je manja vjerojatnost da će biti izloženi rupi.

Ovdje vrijedi i preporuka za izradu sigurnosne kopije stranice prije ažuriranja predloška ili dodatka. Otvoreni izvor je sjajna stvar.

Ali ima i poprilično nedostataka u tom pogledu - jer ne postoji uvijek puna kompatibilnost između svih komponenti sustava u njihovim mnogo različitih verzija.

3. Redovito izrađujte sigurnosne kopije stranice

Nemoguće je govoriti o sigurnosti web stranica, a da se ne govori o sigurnosnim kopijama. Nije dovoljno napraviti sigurnosnu kopiju neposredno prije ažuriranja stranice, trebao bi postojati potpuno automatski skup sigurnosnih kopija datoteka web mjesta + baze podataka. To se obično radi putem tvrtke za skladištenje, ali također je poželjno voditi računa o vanjskom izvoru sigurnosne kopije koji ne ovisi izravno o tvrtki za skladištenje.

Sigurnosne kopije na WordPress web mjestima

Neki preporučeni dodaci za WordPress:
  • UpdraftPlus - Jedan od najpopularnijih WordPress dodataka za izradu sigurnosnih kopija. Radi s popularnim uslugama u oblaku kao što su Dropbox, Google Drive, Amazon S3 i druge.
  • BackupBuddy je premium plaćeni dodatak, nudi puno naprednih značajki. Većina korisnika zasigurno se može zadovoljiti prethodnim dodatkom koji sam spomenula.
  • Aparat za umnožavanje - Svrha dodatka je kopiranje web mjesta s mjesta na mjesto (na primjer u prijelazu između skladišta), ali služi i kao rezervni dodatak za sve.
Ako je vaše web mjesto hakirano i nemate pojma što ga je uzrokovalo ili što se točno dogodilo, dostupna sigurnosna kopija omogućit će vam povratak i vraćanje web mjesta u prvobitno stanje. To je pod pretpostavkom da "crv" više nije u prethodnoj verziji datoteka i samo čeka da eruptira - jer ovo je već složeniji slučaj.

4. Pravilna upotreba korisničkog imena i lozinke

Nije iznenađujuće što mnogi izdavači koriste zadanog korisnika "admin", što je vrlo lako pogoditi. Preporučuje se korištenje drugog korisničkog imena, bilo čega što vam padne na pamet, samo nemojte zadržavati administratora.

Sama ova osnovna promjena može za nekoliko desetaka posto smanjiti vjerojatnost da će pokušati upasti u napad Brute Forcea (napad čiji je cilj automatsko i brzo pogađanje korisničkog imena i lozinke za upravljanje web lokacijama u puno različitih kombinacija).

Ako već imate korisnika s imenom "admin", slijedite ove korake:
  • Stvorite novog korisnika s istim dopuštenjem.
  • Brisanje prethodnog korisnika + povezivanje njegovog sadržaja s novim korisnikom (WordPress će od vas tražiti da to učinite automatski prilikom brisanja prethodnog korisnika).
Upotrijebite složenu lozinku - čak i ako ste promijenili korisničko ime, neće vam baš previše pomoći ako je lozinka "123456" ili "abcde", pa čak i broj telefona/broja socijalnog osiguranja. Istina, ovo su nezaboravne lozinke i sve ostalo - ali učinite svoju web stranicu super lakom metom za ovu vrstu napada. Preporuka je koristiti lozinku koja se sastoji od malih i velikih slova, znakova i brojeva, tako da se ne može nikako pogoditi, a u mnogim će slučajevima jednostavni haker odustati i potražiti sljedeću metu.

Primjer lozinke koju je gotovo nemoguće razbiti:
  • nSJ @ $ #
  • J24f8sn!
  • NmSuWP
Još jedan dobar i vrlo učinkovit način protiv napada Brute Force je uporaba autentifikacije u dva koraka. Nakon što se prijavite na web mjesto, na vaš se pametni telefon šalje sigurnosni kod koji osigurava da samo vi imate pristup web mjestu.

U tu svrhu možete upotrijebiti dodatak za provjeru u dva koraka WordPress.

5. Dajte odgovarajuće dopuštenje drugim korisnicima na web mjestu

Ako radite s autorima sadržaja ili dodavačima sadržaja, preporučljivo je otvoriti im korisničku sesiju s minimalnim dopuštenjem za radnje koje će trebati izvršiti.

Na primjer, korisnik koji se bavi samo sadržajem (pisanje + uređivanje) ne treba administratorsko dopuštenje. Pristup tipa "pisac" ili "urednik" zasigurno će biti dovoljan. Svatko tko s vama napiše gost, a vi samo želite dodati njegov potpis na kraju posta, moći će se zadovoljiti dopuštenjem samo "donatora".

Slijedi objašnjenje korisničkih dozvola za WordPress:
  • Pretplata (pretplatnik) - Netko je registrirao web mjesto, bez ikakvog pristupa za uređivanje sadržaja web mjesta, osim profila (ako postoji).
  • Suradnik (suradnik) - Oni mogu pisati i upravljati vlastitim postovima, ali ih ne mogu objaviti (trebat će odobrenje direktora). Klasičan primjer - web stranice s člancima/web stranice koje primaju sadržaj surfera (bez automatskog odobrenja).
  • Napiši (autor) - Mogu pisati i objavljivati ​​samo vlastite postove.
  • Urednik (Urednik) - Mogu pisati i objavljivati ​​svoje postove, stranice i druge, ali bez pristupa područjima "osjetljivog" upravljanja web lokacijama, kao što su predlošci, uređivanje datoteka i upravljanje drugim aditivima.
  • Administrator (Administrator) - dopuštenje webmastera za bilo koji sustav upravljanja koji ima značajke.
Što su veća dopuštenja za veći broj korisnika, to je više načina za pristup web mjestu. Minimalizirajte ove ulaze što je više moguće.

6. Ograničenje pokušaja ulaska na web mjesto

Još jedan korak koji će vam pomoći u suočavanju s napadima Brute-Forcea. Ovo je vrlo jednostavan trik - ako se korisnik ne može povezati s web mjestom nakon 2-3 pokušaja (obično se može postaviti broj pokušaja), bit će blokiran na određeno vrijeme što se također obično može odrediti.

Preporučeni dodatak za ovo (koji također dolazi s instalacijom Softalicious): Loginizer.

7. Odabir kvalitetne tvrtke za skladištenje

Odabir hosting tvrtke ima veliku težinu na izvedbi vaše web stranice, u nekoliko aspekata: brzina web stranice, njezina dostupnost, a također i sigurnost. Uvijek je poželjno ostati u tvrtki koja je svjesna različitih sigurnosnih problema, s naglaskom na ranjivosti WordPressa, i stavlja ovo pitanje u prvi plan. Kvalitetna pohrana može biti skuplja od "standardne" pohrane za nekoliko dolara mjesečno, ali taj je jaz definitivno vrijedan vašeg mira i vremena, barem po mom mišljenju.

8. Smanjite upotrebu dodataka na najmanju moguću mjeru

O tome sam malo pričao u 2. odjeljku, ali da budem jasan - dodaci su jedan od najčešćih uzroka sigurnosnih ranjivosti na WordPress web lokacijama.

Činjenica da u sustavu otvorenog koda svatko može napisati dodatak i distribuirati ga svijetu bez veće kontrole - rupa koja traži lopove.

Također, pretjerana upotreba dodataka koji nisu potrebni samo opterećuje sustav i može uzrokovati usporavanje brzine učitavanja web mjesta.

Stoga je preporuka minimizirati upotrebu dodataka na najmanju moguću mjeru i koristiti samo one koji su neophodni za pravilno funkcioniranje stranice. Bilo koju promjenu koja se može izvršiti na web mjestu bez upotrebe dodatka (i pod pretpostavkom da to nije promjena izvorne datoteke koja se može nadjačati u sljedećoj verziji WordPressa) - preporučuje se izvršiti "čistim" načinima.

9. Redovito skeniranje datoteka na web mjestu i sigurnosnih dodataka

Kao što na računalu imate antivirus i redovito skenirate (nadamo se), tako se preporučuje da na samom poslužitelju imate antivirusne i rutinske provjere zaraženih datoteka.

To možete učiniti na nekoliko načina:

A - Skeniranje pomoću antivirusa koji se nalazi na samom poslužitelju (na primjer pomoću cPanela) - prema mom iskustvu nije previše ažurno i ne otkriva razne ranjivosti.

B- Skeniranje pomoću različitih sigurnosnih dodataka. Evo nekoliko popularnih:

Wordfence - Najpopularniji sigurnosni dodatak za WordPress. Ovaj dodatak zatvara nekoliko uglova koje sam spomenuo u trenutnom članku, ali kao i bilo što drugo - ne pruža 100% zaštitu, već jednostavno otežava rad hakera.

Sucuri sigurnost - Još jedan popularni sigurnosni dodatak zaštitarske tvrtke Sucuri. Nešto je lakši od WordPressa, ali nudi i nekoliko značajki, uključujući skeniranje zlonamjernog softvera na web mjestu, vatrozid, sprječavanje napada Brute Force i još mnogo toga.

iThemes sigurnost - nudi mnoge značajke koje pomažu u zaštiti web stranice, poput dvofaktorske autentifikacije, skeniranja zaraženih datoteka, zapisnika i praćenja aktivnosti korisnika, usporedbu datoteka za otkrivanje virusa i još mnogo toga.

10. Povežite web mjesto s Google Search Console

Povezivanje web mjesta s Googleovim alatima za webmastere ne samo da pomaže izravno komunicirati s Googleom i pruža široke informacije o aspektima SEO-a, već omogućuje i sigurnosna upozorenja o web mjestu.

Napredni savjeti

Napredniji savjeti za zaštitu WordPress web mjesta su za korisnike koji znaju raditi s poslužiteljima, FTP-om, bazama podataka i još mnogo toga. Ne morate biti izvrstan stručnjak za bilo što od navedenog, ali da s nekim osnovnim iskustvom da ne biste glupili gluposti.

11. Promijenite dozvole za datoteke

WordPress ima nekoliko datoteka i nekoliko vrsta mapa, neke sadrže osjetljivije podatke, a neke manje. Svaka vrsta datoteke i mapa imaju zadana dopuštenja. Ali postoje i stroža dopuštenja koja se mogu postaviti za osjetljive datoteke (npr. Wp-config) i/ili s mogućnošću hakiranja.

12. Sigurnost putem .htaccess datoteke

Datoteka Htaccess nalazi se na Apache poslužiteljima i nalazi se u glavnoj mapi web mjesta. Ovo je važna i moćna datoteka koja je odgovorna, između ostalog, za 301 preusmjeravanje s adrese X na adresu Y, za blokiranje dozvola za određene datoteke ili mape, za predmemoriranje na razini poslužitelja, za blokiranje različitih korisničkih agenata i još mnogo toga .

Nebrojene naredbe mogu se koristiti za pooštravanje i poboljšanje razine sigurnosti na WordPress web lokacijama. Nerado znam sve, ali ovdje ćemo spomenuti neke važne i jednostavne stvari koje je vrijedno primijeniti:

Zaštita važnih datoteka:

Spriječite pristup važnim datotekama kao što su wp-config, php.ini i datoteka dnevnika pogrešaka.

<FilesMatch "^. * (Error_log | wp-config \ .php | php.ini | \. [HH] [tT] [aApP]. *) $">
Narudžba uskraćena, dopuštena
Zanijekati od svih
</FilesMatch>

Sprečavanje pristupa mapama na web mjestu:

Sprečavanje pristupa mapama na web mjestu sprječava korisnike da pregledavaju mape na web mjestu putem preglednika. To otežava nekome tko se želi ubaciti u zlonamjernu datoteku u određenu mapu, vidjeti koji su dodaci/predlošci instalirani na web mjestu itd.

Opcije Svi indeksi.

Blokiranje izvršavanja PHP datoteka zlonamjernim kodom u mapi za prijenos.

Prema zadanim postavkama mapa za prijenose trebala bi sadržavati uglavnom slike/PDF. Ako su vam dodijeljene datoteke s PHP nastavkom, sljedeći kod u datoteci htaccess spriječit će vas da pokrenete ove datoteke:

<Direktorij "/ var/www/wp-content/uploads /">
<Datoteke "* .php">
Naruči odbij, dopusti
Poriči od svih
</Files>
</Directory>

13. Praćenje dnevnika i aktivnosti web mjesta

Praćenje aktivnosti korisnika na web mjestu omogućuje vam - sve do najmanje razine pojedinca - da znate koje su promjene na web mjestu učinjene. Također omogućuje praćenje aktivnosti različitih korisnika i na taj način možda pokreće problematične namjene koji bi mogao nanijeti štetu mjestu.

14. Zaštita računala

Virus na web mjesto može doći ne samo iz vanjskog izvora već i s našeg računala. Ako je vaše računalo zaraženo virusom, zlonamjernim softverom ili bilo čime drugim, a ove datoteke dođu do poslužitelja - otuda je kratak način zaraze web mjesta i ovo je format za probleme.

Moja preporuka - ne štedite i ne kupujte godišnju licencu za profesionalni antivirusni softver koji će također u stvarnom vremenu skenirati mape u kojima se nalazite i web mjesta koja pregledavate kako biste upozorili na potencijalnu štetu. Uz antivirusni program, trebali biste biti opremljeni softverom koji može skenirati i rješavati datoteke zlonamjernog softvera - lokalno na vašem računalu.

Ako je vaše računalo čisto, barem znate da izvor problema na web mjestu vjerojatno nije s vašeg računala. Ako na web mjestu postoje drugi korisnici (posebno oni s administrativnim privilegijama), trebali biste ih također obavijestiti o ovom problemu.

15. Promjena prefiksa baze podataka

Jedna od najpopularnijih i najčešćih ranjivosti na WordPress web mjestima naziva se "SQL Injection". Cilj mu je iskoristiti slabost u bazi podataka web mjesta i umetnuti zlonamjerni kôd koji može izvoditi sve vrste radnji kojima se mogu provjeriti dozvole poput podataka o pristupu web mjestu, korisničkih podataka i još mnogo toga.

Zadani je prefiks WordPress baze podataka wp_. Promjena prefiksa, kao i bilo što drugo, neće vam garantirati hermetičku zaštitu od SQL injekcija. No, izazvat će napadača koji će morati više raditi i pronaći strukturu tablica u bazi podataka i možda jednostavno preskočiti na manje teške dlake sljedeće žrtve.

Preporuča se postaviti drugačiji prefiks za tablice u fazi instalacije. Ali to se može učiniti i kasnije - bilo pomoću dodatka ili ručno.

U zaključku

Nadam se da vam se svidio vodič. Kao što ste vidjeli kroz ovaj vodič, pitanje sigurnosti web mjesta nije nešto što treba shvatiti olako. Dakle, ako nemate odgovarajuće vještine kako biste osigurali sigurnost svoje web stranice, savjetovao bih vam da pozovete stručnjake. To vam neće samo spriječiti gubitak ulaganja, već će i vašu web stranicu pretvoriti u pouzdano mjesto za korisnike interneta.

Dakle, ako želite znati više, molim vas Kontaktirajte nas i dogovorite sastanak za besplatno savjetovanje. Bit će nam zadovoljstvo da vam pomognemo!

Također, Semalt ima i blog na teme koje redovito pokrivaju bitne teme u SEO-u.



mass gmail