Kaip NĖRA apsaugoti savo WordPress svetainę

Kaip ne apsaugoti savo WordPress svetainę

Ką pirmiausia padarytumėte norėdami apsaugoti savo „WordPress“ svetainę? Sužinokite penkis geriausius saugos papildinius, apsvarstykite, kokie jie yra prieinami, tada eikite į priekį ir įdiekite vieną. Tai padaryta, dabar jūs galite sėdėti ir atsipalaiduoti, tiesa? Neteisinga!


Apsaugos papildinio naudojimas neužtikrina saugumo. Saugumas nėra absoliutus dalykas ir niekas negali garantuoti visiško saugumo. Geriausia, ką galime padaryti, yra sumažinti įsilaužimo riziką. Ir, priešingai populiarių įsitikinimų, svetainės savininkas turi būti įtrauktas į tai, kad svetainė būtų saugi. Svarbu žinoti, ką turėtum daryti ir ko ne.

Nors yra keletas patarimų, ką turėtumėte padaryti, kad jūsų „WordPress“ svetainė būtų saugi, mes jums siūlome vadovą, ką turėtumėte vengti daryti. Atkreipsite dėmesį, kad čia pateikti patarimai prieštarauja bendram įsitikinimui. Tačiau iš mūsų patirties daugelis patarimų yra pasenę ir siūlo klaidingą saugumo jausmą.

Jei „WordPress“ saugumo klausimas jus nuogąstauja tiek pat, kiek tai daro mums, pažiūrėkite į tai.

1. Nenaudokite per daug saugos papildinių

Atsižvelgiant į platų galimų papildinių asortimentą su įvairiais funkcijų rinkiniais, kyla pagunda naudoti daugiau nei vieną „WordPress“ saugos papildinį. Tiesą sakant, tai yra perdėtas užmojis. Nerimauti dėl savo svetainės saugumo yra normalu, tačiau turite paklausti savęs, ar jums tikrai reikia daugiau nei vieno saugos papildinio? Kokios savybės yra būtinos norint patenkinti jūsų svetainę? Ar bruožai žengs vienas ant kito kojų pirštais?

Pavyzdžiui, konfliktas gali kilti, kai įskiepiai pradeda modifikuoti failus, tokius kaip wp-config.php ar htaccess. Papildiniai gali lengvai susipainioti su šiais failais, tačiau jie modifikuojami ne vienu vieningu būdu. Tai gali sukelti konfliktus ir sulėtinti jūsų svetainės veikimą.

„WordPress“ svetainėse viskas gali suklysti dabar. Visi nekenčia baisios mirties ekrano. Turėdami kelis papildinius, kurie daro didelę įtaką jūsų svetainei, gali apsunkinti derinimo problemas. Jei būtų buvę tik vienas papildinys, klaidos priežastį rasti ir nustatyti būtų buvę lengviau ir mažiau sudėtinga.

2. Nekeiskite DB priešdėlio

Yra keli būdai, kaip „WordPress“ svetainė gali būti pažeista. Piratai gali gauti prieigą prie svetainės duomenų bazės per SQL injekcijos ataką. Pažeidimas įskiepyje ar tema gali būti naudojamas įsilaužti į svetainės duomenų bazę (todėl mes siūlome jums vietoj to naudoti „WordPress“ duomenų bazės atsarginės kopijos papildinys kad būtų išvengta panašaus nuosmukio). Vienas populiarių būdų, užkertantis kelią įsilaužėliams gilintis į jūsų svetainę, yra pakeisti numatytąjį lentelės priešdėlį. Kaip matote žemiau esančiame paveikslėlyje, „WordPress“ numatytasis lentelės priešdėlis yra „wp_“. „WordPress“ leidžia pakeisti lentelės priešdėlį (sakyti „xzy_“), kad būtų paslėptos tam tikros lentelės..

„WordPress“ duomenų bazės priešdėliai

Paviršiuje tai atrodo gera idėja. Jei įsilaužėliai nežino lentelės pavadinimo, tada jie negali iš jos gauti duomenų. Tačiau tai klaidingi samprotavimai. Kai kas nors įsilaužia į jūsų duomenų bazę, vis dar yra būdų, kaip sužinoti lenteles. Taigi priešdėlio pavadinimų keitimas nėra naudingas. Be to, pakeitus numatytąjį priešdėlį, keli įskiepiai gali netinkamai veikti.

Be to, sunku pakeisti duomenų bazės priešdėlio vidurio skrydį ir dėl to jūsų svetainė gali strigti. Taip yra todėl, kad kiekviename lygmenyje reikia atlikti daugybę pakeitimų. Bet kuri proceso klaida jūsų svetainei gali būti katastrofiška.

3. Venkite slėpti savo prisijungimo puslapį

Visada kažkas bando įsilaužti į jūsų svetainę, nulaužant jūsų slaptažodį. Brutalios jėgos išpuolių metu įsilaužėliai bando prisijungti prie jūsų svetainės naudodami populiarių vartotojo vardų ir slaptažodžių derinį. Taigi kas, jei paslėpsime prisijungimo puslapį? Tai užmuš du paukščius vienu akmeniu, tiesa? Piratai nepavyks rasti prisijungimo puslapio, o jūsų serverio apkrova sumažės.

„WordPress“ turi numatytąjį prisijungimo puslapį. Puslapio URL paprastai atrodo kaip pavyzdys.com/wp-login.php. Vienas gerai žinomas būdas apsaugoti jūsų svetainę nuo žiaurios jėgos užpuolimo yra paslėpti arba pakeisti numatytąjį prisijungimo puslapį į ką nors kitą, pvz., Example.com/mylogin.php. Nors tai skamba kaip nepriekaištingas planas, sužinokime, koks efektyvus šis metodas yra jūsų „WordPress“ svetainės saugumas.

Serverio apkrovos sumažinimas

Kai paslėpsite ar pakeisite prisijungimo puslapio vietą, kaskart, kai kas nors bandys jį atidaryti, jiems teks 404 klaida. Tačiau bandymai prisijungti yra sunkus procesas. Įkeliant 404 klaidos puslapį, jis sunaudoja daug jūsų serverio išteklių. Galiausiai sulėtėja jūsų svetainė. Taigi klaidingas įprasta įsitikinimas, kad paslėpę prisijungimo puslapį sumažinsite serverio apkrovą.

Alternatyvus URL, kurį sunku atspėti

Dalį „WordPress“ kaip CMS sėkmės lemia įskiepiai, palengvinantys svetainės pakeitimus. Nenuostabu, kad populiarus svetainės prisijungimo puslapio slėpimo būdas yra papildinio naudojimas. Šie įskiepiai pateikiami su numatytuoju alternatyviu prisijungimo URL rinkiniu, pvz., Xzy.com/wplogin.php ir kt., Mes esame išmokyti tiesiog naudoti numatytuosius nustatymus. Įdiegę papildinį ir pakeitę URL, mes apie tai negalvojame. Tačiau yra tik tiek URL, kuriuos gali pasiūlyti papildinys. Nelengva sužinoti šiuos iš anksto nustatytus prisijungimo URL. Todėl daugeliu atvejų alternatyvaus URL naudojimas gali būti neveiksmingas.

Naudojimo problemos

„WordPress“ grožis yra tas, kad juo lengva naudotis. Tai pažįstama platforma. Svetainės, kurioje yra daugybė vartotojų, prisijungimo puslapio pakeitimas ar paslėpimas gali sukelti tam tikrų problemų. Kelis kartus esame susidūrę su „WordPress“ forumų pranešimais, kuriuose vartotojai yra pašalinti iš svetainės dėl pasikeitusio prisijungimo URL. Daugeliu atvejų pakeitimai buvo daromi naudojant papildinį, o vartotojai nebuvo informuoti apie situaciją, sukeliančią chaosą.

4. Neblokuokite IP adresų rankiniu būdu

Jei jūsų svetainėje yra įdiegtas saugos papildinys, jums bus pranešta, kai kas nors bandys prisijungti prie jūsų svetainės. Galite lengvai suvaldyti IP siųsdami tas kenkėjiškas užklausas ir užblokuokite juos naudodami .htaccess failą. Tai rankinis intensyvus darbas, o ne labai patogi praktika.

Netinka vartotojui

Netechninis asmuo, bandantis modifikuoti .htaccess failus, yra nelaimės receptas. Turinio valdymo sistema, tokia kaip „WordPress“, yra labai griežtai suformatuota. Net naudoti tokias populiariausias priemones kaip FTP / SFTP yra labai rizikinga. Dėl nedidelės klaidos ar netinkamos komandų išdėstymo svetainė gali sudužti.

Per daug IP blokuoti

Norėdami išvengti juodųjų sąrašų, įsilaužėliai naudoja IP adresus iš viso pasaulio. Anksčiau mes diskutavome apie rankinį IP adresų blokavimą, kurie nuolat bando įsilaužti į jūsų svetainę. Darbas (kaip jau minėjome anksčiau) reikalauja daug laiko ir pastangų, tačiau tai nėra tikslus laiko efektyvumas. Bet jei naudojate bet kurį iš geriausių „WordPress“ saugos papildinių, pavyzdžiui, „Malcare“, galite automatizuoti blokavimo procesą. Tokie saugos papildiniai rūpinasi visomis WP saugumo spragomis.

5. „WordPress“ slėpimas

Yra bendra prielaida, kad neslėpdamas savo CMS, žmonėms, turintiems nesąžiningų ketinimų, yra sunkiau įsibrauti į jūsų svetainę. O kas, jei mes galime paslėpti tai, kad jūsų svetainė veikia „WordPress“. Tai apsaugotų jūsų svetainę nuo įsilaužėlių, norinčių išnaudoti įprastus pažeidžiamumus. Paprastas būdas tai padaryti yra (jūs atspėjote) naudodami papildinį. Tačiau metodas žlunga, kai įsilaužėliams nesvarbu, kokioje platformoje veikia jūsų svetainė. Be to, yra daugybė būdų sužinoti, ar svetainė veikia „WordPress“.

Be įskiepio naudojimo, galima pasirinkti darbą atlikti rankiniu būdu. Bet tai yra daug laiko reikalaujantis procesas. Vienintelis „WordPress“ naujinimas per kelias sekundes gali anuliuoti visus jūsų darbus. O tai reiškia, kad jūs turėsite pakartoti procesą vėl ir vėl arba vengti WP atnaujinimų. Praleisti „WordPress“ naujinius yra tarsi atidaryti priekines duris, kad įsilaužėlis galėtų nueiti tiesiai į namus.

6. Wp-admin apsauga slaptažodžiu neveikia

Numatytasis „WordPress“ prisijungimo puslapis (kuris atrodo taip – pavyzdys.com/wp-admin) yra vartai į jūsų svetainę. Įprastas prisijungimo puslapis atrodo kaip parodyta paveikslėlyje.

Čia turėsite naudoti savo kredencialus, kad galėtumėte pasiekti „WordPress“ informacijos suvestinę. Prisijungimo puslapio apsauga slaptažodžiu padeda paslėpti arba apsaugoti šiuos vartus į prietaisų skydelį. Tai gera idėja, tačiau ne be spragų.

„LookLinux“ slaptažodžio apsaugos pavyzdys

Nuotrauka mandagumo: „LookLinux“

Pirmiausia sunku išlaikyti ar net pakeisti slaptažodį, jei jūs jį pametėte. Tokie jūsų svetainės pakeitimai ne tik neveiksmingi teikiant papildomą saugumą, bet ir gali būti labai pavojingi. Pavyzdžiui, kai slaptažodžiu apsaugote administratoriaus puslapį, tokios užklausos kaip /wp-admin/admin-ajax.php negali apeiti apsaugos. Yra įskiepių, kurie gali priklausyti nuo jūsų svetainės „Ajax“ funkcijų. Ir kai jie negali pasiekti šios funkcijos, jie pradeda netinkamai elgtis. Taigi dėl šios priežasties svetainė gali nutrūkti.

Tau

Jei turite klausimų ar pasiūlymų, ko reikia vengti norint apsaugoti savo „WordPress“ svetainę, praneškite mums komentaruose.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me