5 Numatytosios „WordPress“ saugos grėsmės ir kaip jas ištaisyti

„WordPress“ sauga

„WordPress“ yra labai populiari, visiškai atviro kodo programinė įranga. Puikus dalykas, saugantis nuo saugumo, yra tas, kad su ja dirba didžiulė bendruomenė, kuri sugeba greičiau pastebėti klaidas ir saugumo riziką, nei galima naudojant vidinį CMS sprendimą. (Sunku sužinoti apie trūkumus, kai vienas būdas išsiaiškinti, ar išnaudoti silpnybes, o turint didelę vartotojų bazę atradimas tampa daug tikėtinesnis.)


Neigiama yra tai, kad blogų ketinimų turintys įsilaužėliai tiksliai žino, kaip kuriama jūsų svetainė. Jie jau turi jūsų svetainės projektą. Ir jei yra kokių nors trūkumų jūsų naudojamoje šerdyje, temose ar papildiniuose, tai jie galės žinoti niekada neįsigilinę į jūsų svetainės pagrindinius elementus..

Taigi šiame įraše aš jums parodysiu, kaip pašalinti 5 saugumo grėsmes, kylančias bet kuriame visiškai numatytajame „WordPress“ diegime. (Jei jau ėmėtės tam tikrų atsargumo priemonių, galite pastebėti, kad jau pataisėte vieną ar du, tačiau svarbu pataisyti visus penkis, kad sumažintumėte įsilaužimo riziką.)

Jūsų svetainė rodo, kad naudojate „WordPress“ ir „Plus“ versiją

„WordPress“ versija

Numatytojoje „WordPress“ versijoje bus kodo eilutės, kurios parodo, kad jūsų svetainė sukurta naudojant „WordPress“, net iki versijos žmonėms, kurie žino, kur ieškoti. Priklausomai nuo temos, jis gali būti net vizualiai rodomas kiekviename jūsų svetainės puslapyje.

Priežastis, dėl kurios gali kilti pavojus saugumui, yra ta, kad žmonės gali nukreipti jūsų svetainę ne dėl kitos priežasties, išskyrus tai, kad ji sukurta „WordPress“. Jei kas nors aptinka „WordPress“ branduolio, temos ar papildinio saugos trūkumą, jis gali rasti kelią į jūsų svetainę, kad tuo pasinaudotų. Jei sėkmingai paslėpėte, kad jūsų svetainė buvo sukurta naudojant „WordPress“, žmonės, kurie ieškos „WordPress“ svetainių naudodamiesi robotomis ar tikrinimo programomis, bus įtikinti galvoti, kad jūsų svetainė nėra perspektyvus taikinys.

Kaip tai ištaisyti:
Norėdami tai išspręsti, galite naudoti „Hide My WP“ papildinį. Naudodamiesi šiuo naudingu papildiniu galite išvengti nereikalingo srauto savo serveryje ir tuo pačiu būti apsaugoti nuo atakų, nukreiptų būtent į „WordPress“ svetaines..

Visi žino, kur yra jūsų prisijungimo puslapis / administratoriaus zona

„WordPress“ prisijungimas

Jei vis tiek parodote, kad naudojate „WordPress“ (dar kitaip žinote, kad jos neslėpiate, pvz., Naudodami papildinį, pvz., Slėpti mano WP), žmonės, turintys blogų ketinimų, jau žinos, kur bandyti žiaurios jėgos išpuolį jūsų svetainėje..

Kaip tai ištaisyti:
Norėdami pašalinti šią grėsmę ir smarkiai sumažinti tikimybę įsilaužti bei sumažinti serverio stresą, turime neleisti kenkėjiškiems žmonėms ir robotams patekti į mūsų prisijungimo puslapį..

Yra du pagrindiniai būdai tai padaryti. Galite pakeisti prisijungimo puslapio fizinę vietą į ką nors kitą naudodami papildinį (arba kelias kodo eilutes), arba galite apriboti prieigą prie savo prisijungimo puslapio ir administratoriaus srities IP adresais. Tai galite padaryti naudodamiesi tam tikram dalykui skirtu įskiepiu arba naudodami tokį saugos papildinį kaip „Sucuri“, „Wordfence“, iThemes Security Pro arba Viskas viename WP sauga ir ugniasienė.

„WordPress“ turi numatytąjį lentelės priešdėlį, kurį visi naudoja

„WordPress“ lentelės priešdėlis

Lentelės priešdėlis yra tai, kas yra prieš lentelių pavadinimus jūsų duomenų bazėje. Vietoj vartotojų, naudojant standartinį „WordPress“ priešdėlį, tai būtų „wp_users“. Jei naudosite numatytąjį lentelės priešdėlį, žmonėms bus lengviau patekti į jūsų svetainę išnaudojant galimus „SQL“ įpurškimo trūkumus. Nes jie tiksliai žino, kur reikia įvesti informaciją į savo duomenų bazę, kad galėtų patekti į jūsų svetainę.

Aš iš tikrųjų vieną iš savo svetainių nulaužiau dėl „sql“ injekcijos, todėl tai yra labai reali grėsmė, kad jums reikia imtis atsakomųjų priemonių prieš.

Kaip tai ištaisyti:
Laimei, šią grėsmę labai lengva pašalinti. Jei jau įdiegėte „WordPress“ naudodamiesi numatytuoju priešdėliu „wp_“, galite lengvai jį pakeisti naudodami papildinį, pvz., „Sucuri“. Pirmiausia, prieš naudodamiesi šia parinktimi, turite pasidaryti atsarginę duomenų bazės kopiją, nes yra nedidelė tikimybė, kad kažkas įvyks ne taip. Tai galite padaryti spustelėję mygtuką. Tada galite pasirinkti naują priešdėlį arba tiesiog leisti „Sucuri“ atsitiktinai sugeneruoti jums naują priešdėlį.

Pastaba: jei tik pirmą kartą diegiate „WordPress“, galite tai pakeisti diegimo sąsajoje.

„WordPress“ tema ir papildinių failai gali būti redaguojami per prietaisų skydelį

„WordPress“ papildinių redaktorius

Problema yra ta, kad įsilaužėlis gali patekti į jūsų svetainę, jis gali padaryti daug žalos. Jie gali priversti jūsų svetainę užkrėsti kitus žmones kenkėjiška programine įranga (o tai gali baigtis jūsų svetainės įtraukimu į „Google“ juodąjį sąrašą ir išbraukti iš paieškos sistemų), išniekinti jūsų svetainę ar lengvai atidaryti uždarą vietą..

Kaip tai ištaisyti:
Galite pridėti šią kodo eilutę prie savo wp-config.php failo:

apibrėžti ('DISALLOW_FILE_EDIT', tiesa);

Arba naudokite saugos papildinį, kad tai padarytų už jus (tai iš esmės įterps tik tą kodo eilutę jums). Vienintelė problema yra ta, kad yra įskiepių, leidžiančių žmonėms įjungti ir išjungti šią galimybę, todėl labai atsidavęs įsilaužėlis gali sugebėti įdiegti papildinį, įjungti papildinį ir tada gauti prieigą prie redagavimo kodo be FTP prieigos..

Jei norite būti ypač nuodugnūs ir apsaugoti nuo to, galite išjungti visus papildinių ir temų atnaujinimus / diegimą, pridėdami šią kodo eilutę prie wp-config.php:

apibrėžti ('DISALLOW_FILE_MODS', tiesa);

Bet, aišku, tai reikštų, kad kiekvieną kartą norėdami atnaujinti ar įdiegti papildinį ar temą turėsite pakeisti reikšmę klaidinga (mes tikrai nerekomenduojame šios parinkties, nes temų ir papildinių atnaujinimas yra vienas iš geriausių būdų kad jūsų svetainė būtų mažiau pažeidžiama).

„WordPress“ turi labai atvirus ugniasienės parametrus, kurie leidžia net žinomiems kenksmingiems robotams bandyti išpuolius

„WordPress“ ugniasienės serijos

Numatytieji „WordPress“ ugniasienės nustatymai iš tikrųjų yra liberaliosios pusės. Tai reiškia, kad kai kurie nepageidaujami robotai ir kiti nepageidaujami lankytojai gauna žalią šviesą.

Kaip tai ištaisyti:
Tai galite padaryti geriau įdiegdami pagrindines 5G juodojo sąrašo užkardos taisykles, nukopijuodami ją rankiniu būdu į savo .htaccess failą (galite rasti čia) arba įdiegdami šį papildinį, arba naudokite saugos papildinį, kad geriau optimizuotumėte .htaccess taisykles.

Neriboti „WordPress“ prisijungimo bandymai

Nors numatytasis nustatymas iš tikrųjų yra neribotas prisijungimo bandymas, galbūt pasirinkote apriboti prisijungimo bandymus, kai įdiegėte „WordPress“ savo svetainėje. Jei to nepadarėte, tai yra nepaprastai lengva ištaisyti.

Kaip tai ištaisyti:
Tiesiog įdiekite Apriboti prisijungimo bandymų papildinį. Arba, jei naudojate „WPEngine“ prieglobą, tai funkcija, kurią jie jau yra įdiegę jums – nereikia papildinio! Jei jau apsaugote prisijungimo sritį, leisdami pasiekti savo IP adresus prietaisų skydeliui, jums to nereikės daryti. Bet jei jūs tiesiog paslėpėte prisijungimo puslapio adresą, tai yra puiki dviguba apsauga nuo galimų žiaurių jėgų išpuolių.

Išvada

Kibernetinis nusikalstamumas sparčiai populiarėja, o internetas tampa labiau nusikaltėlių, o ne „realaus pasaulio“ namais, kai kuriose šalyse tai jau įvyko. Ir nors didžiąją dalį šios sumos sudaro kreditinės kortelės ir bankų sukčiavimai, įsilaužėlių skaičius auga ir todėl, kad kaip svetainių savininkai turime kiek įmanoma geriau apsaugoti save ir savo svetaines..

Nors numatytasis „WordPress“ diegimas turi tam tikrų trūkumų, „WordPress“ grožis iš tiesų yra toks paprastas, kad beveik bet kokią savo svetainės problemą galite išspręsti, įskaitant šiame pranešime minimas saugumo grėsmes. Be to, kad turite unikalų vartotojo vardą ir tvirtą slaptažodį, įdiegdami saugos papildinį, redaguodami kai kuriuos parametrus ir galbūt įterpdami kodo eilutę ar dvi, jau galite žymiai sumažinti riziką, kad svetainė įsilaužta ar užkrėsta kenkėjiška programine įranga..

Ar ėmėtės kokių nors priemonių savo „WordPress“ svetainės saugumui pagerinti? Kokios rūšies? Mes norėtume išgirsti keletą jūsų patarimų ir patarimų! Praneškite mums komentaruose.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map