5 Privzete grožnje varnosti v programu WordPress in kako jih odpraviti

Varnost WordPressa

WordPress je množično priljubljen, popolnoma odprt vir programske opreme. Odlična stvar pri varnosti je ta, da obstaja ogromna skupnost, ki sodeluje z njo, ki lahko z lastno CMS rešitvijo hitreje odkrije napake in varnostna tveganja, kot bi jih lahko. (Težko je izvedeti za pomanjkljivosti, ko je eden od načinov, kako dejansko ugotoviti, ali je šibkost izkoriščena in če imamo veliko uporabniško bazo, odkritje postane veliko bolj verjetno.)


Slaba stran je, da hekerji s slabimi nameni natančno vedo, kako je zgrajeno vaše spletno mesto. Na vašem spletnem mestu že imajo “osnutek”. Če so v jedru, temah ali vtičnikih, ki jih uporabljate, pomanjkljive, bodo to lahko vedeli, ne da bi dobili dostop do zaledja vašega spletnega mesta.

V tej objavi vam bom pokazal, kako odpraviti 5 varnostnih groženj, ki so prisotne v vsaki popolnoma privzeti namestitvi WordPress-a. (Če ste že sprejeli nekatere previdnostne ukrepe, boste morda ugotovili, da ste že popravili enega ali dva, vendar je pomembno, da popravite vseh pet, da zmanjšate tveganje za krajo.)

Vaše spletno mesto prikazuje, da uporabljate WordPress, Plus različico

Različica WordPress-a

Privzeta različica WordPress-a bo imela vrstice kode, ki sporočajo, da je vaše spletno mesto zgrajeno s pomočjo WordPress-a, in sicer vse do različice, ki jo ljudje, ki vedo, kje iskati. Glede na temo se lahko celo vizualno prikaže na vsaki strani vašega spletnega mesta.

Razlog, da bi to lahko predstavljalo varnostno tveganje, je, da lahko ljudje ciljajo na vaše spletno mesto iz drugega razloga, kot da je zgrajeno na WordPressu. Če nekdo odkrije varnostno pomanjkljivost v jedru programa WordPress, temi ali vtičniku, bo morda našel pot do svojega spletnega mesta in to izkoristil. Če bi uspešno skrivali, da je bilo vaše spletno mesto zgrajeno s programom WordPress, bi ljudje, ki iščejo spletna mesta v WordPressu z uporabo botov ali pajkov, navidezno razmišljali, da vaše spletno mesto ni uspešna tarča.

Kako popraviti:
Če želite to popraviti, lahko uporabite vtičnik Skrij moj WP. S tem koristnim majhnim vtičnikom se lahko izognete nepotrebnemu prometu na vašem strežniku in hkrati ostanete varni pred napadi, ki so posebej namenjeni WordPress spletnim mestom.

Vsakdo ve, kje se nahaja vaša stran za prijavo / skrbniško območje

Prijava v WordPress

Če še vedno prikazujete, da uporabljate WordPress (aka ga ne aktivno skrivate tako, da na primer uporabljate vtičnik, kot je Skrij mojo WP), bodo ljudje s slabimi nameni že vedeli, kje lahko na vašem spletnem mestu poskusijo s silovitim napadom.

Kako popraviti:
Če želimo odpraviti to grožnjo in drastično znižati možnosti, da bi bili vdrti, in zmanjšati stres na strežniku, moramo preprečiti, da bi zlonamerni ljudje in roboti dosegli našo prijavno stran.

Obstajata dva glavna načina za to. Fizično lokacijo prijavne strani lahko spremenite v nekaj drugega s pomočjo vtičnika (ali nekaj vrstic kode) ali pa omejite dostop do svoje strani za prijavo in območje skrbnika po naslovih IP. To lahko storite s vtičnikom, namenjenim tej stvari, ali z varnostnim vtičnikom, kot je Sucuri, Wordfence, iThemes Security Pro ali Varnost in požarni zid WP vse v enem.

WordPress ima privzeti predpono tabele, ki jo uporabljajo vsi

Predpona tabele WordPress

Predpona tabele je tisto, kar pride pred imeni tabel v vaši bazi podatkov. Namesto uporabnikov bi bil s standardno predpono WordPress to wp_users. Če uporabite privzeto predpono tabele, ljudem olajšate dostop do vašega spletnega mesta z izkoriščanjem možnih slabosti vbrizgavanja sql. Ker točno vedo, kam vnesti podatke v vašo bazo podatkov, da potem dobijo dostop do svojega spletnega mesta.

Pravzaprav sem imel eno mojo spletno stran zlomljeno zaradi injiciranja sql, zato je to resnično grožnja, da morate sprejeti protiukrepe proti.

Kako popraviti:
K sreči je zelo enostavno odstraniti to grožnjo. Če ste WordPress že namestili s privzetim predpono wp_, ga lahko preprosto spremenite s pomočjo vtičnika, kot je Sucuri. Najprej morate narediti varnostno kopijo baze podatkov, preden uporabite to možnost, saj obstaja manjša možnost, da bo šlo kaj narobe. To lahko storite s klikom gumba. Nato lahko izberete novo predpono ali preprosto pustite Sucuri, da naključno ustvari novo predpono za vas.

Opomba: Če prvič namestite WordPress, ga lahko spremenite v namestitvenem vmesniku.

Datoteke teme WordPress in vtičnikov lahko urejate prek nadzorne plošče

Urejevalnik vtičnikov WordPress

Težava pri tem je, da če heker pridobi dostop do vašega spletnega mesta, lahko naredi veliko škode. Svoje spletno mesto lahko naloži drugim osebam z zlonamerno programsko opremo (ki se lahko konča s tem, da se vaše spletno mesto postavi na Googlov črni seznam in razpiše iz spletnih iskalnikov), zbriše vaše spletno mesto ali se preprosto odpre na prostem.

Kako popraviti:
To vrstico kode lahko dodate v datoteko wp-config.php:

define ('DISALLOW_FILE_EDIT', res);

Ali pa uporabite varnostni vtičnik, da to stori za vas (v bistvu bo vstavil samo to vrstico kode za vas). Edina težava je, da obstajajo vtičniki, ki ljudem omogočajo, da vklopijo in izklopijo to zmožnost, zato bi zelo namenski heker lahko namestil vtičnik, ga vklopil in nato dobil dostop do urejanja kode brez dostopa do FTP.

Če želite biti zelo temeljiti in zaščititi pred tem, lahko onemogočite vse posodobitve / namestitve vtičnikov in tem, tako da dodate to vrstico kode v wp-config.php:

define ('DISALLOW_FILE_MODS', res);

Očitno bi to pomenilo, da boste morali vsakič, ko želite posodobiti ali namestiti vtičnik ali temo, spremeniti vrednost v napačno (te možnosti res ne priporočamo, saj je posodabljanje tem in vtičnikov eden najboljših načinov da zagotovite, da je vaše spletno mesto manj ranljivo).

WordPress ima zelo odprte nastavitve požarnega zidu, ki omogočajo celo napadom znanih zlonamernih Botov

WordPress požarni zid

Privzete nastavitve požarnega zidu WordPressa so pravzaprav na liberalni strani. To pomeni, da nekateri neupravičeni boti in drugi nezaželeni obiskovalci dobijo zeleno luč.

Kako popraviti:
To lahko izboljšate tako, da namestite osnovna pravila požarnega zidu s črnega seznama 5G, tako da jih ročno kopirate v datoteko .htaccess (najdete jih tukaj) ali z namestitvijo ta vtičnik, ali uporabite varnostni vtičnik za boljšo optimizacijo pravil v vašem .htaccess.

Neomejeni poskusi prijave v WordPress

Medtem ko so privzete nastavitve res neomejeni poskusi prijave, ste se morda odločili za omejitev poskusov prijave, ko ste na svoje spletno mesto namestili WordPress. Če pa tega niste storili, je to neverjetno enostavno odpraviti.

Kako popraviti:
Preprosto namestite Omeji prijavo Poskusi vtičnik. Ali pa, če uporabljate gostovanje WPEngine, je to funkcija, ki so jo že vgradili za vas – vtičnik ni potreben! Če že zaščitite svoje območje za prijavo, tako da samo dovolite svojim lastnim naslovom IP dostop do nadzorne plošče, vam tega ne bo treba. Če pa ste le skrili naslov svoje strani za prijavo, je lepo dvojna zaščita pred možnimi napadi grobe sile.

Zaključek

Kibernetski kriminal hitro raste in internet je na poti, da postane dom več kriminalcev kot “resničnega sveta”. V nekaterih državah se je to že zgodilo. In čeprav je večina tega goljufij s kreditnimi karticami in bankami, je vse več hekerjev tam in kot lastniki spletnih strani moramo zaščititi sebe in svoje spletne strani kar najbolje.

Medtem ko ima privzeta namestitev WordPressa nekaj pomanjkljivosti, je lepota programa WordPress resnično v tej enostavnosti, s katero lahko v veliki meri rešite kakršne koli težave na svojem spletnem mestu, vključno z varnostnimi grožnjami, omenjenimi v tej objavi. Poleg tega, da imate edinstveno uporabniško ime in močno geslo, lahko z namestitvijo varnostnega vtičnika, urejanjem nekaterih nastavitev in morda vstavite vrstico kode ali dve že znatno zmanjšate tveganje, da se vaše spletno mesto zlomi ali okuži z zlonamerno programsko opremo.

Ste sprejeli kakšne ukrepe za izboljšanje varnosti svojega spletnega mesta WordPress? Katera vrsta? Radi bi slišali nekaj vaših nasvetov in trikov! Sporočite nam v komentarjih.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map