Kako NE zavarovati spletnega mesta WordPress

Kako NE zavarovati spletnega mesta WordPress

Kaj je prvo, kar bi naredili, ko želite zavarovati svoje WordPress spletno mesto? Poiščite prvih pet varnostnih vtičnikov, razmislite o cenovno ugodnih cenah in nato namestite enega. To se je zgodilo, zdaj se lahko usedete in sprostite, kajne? Napačno!


Uporaba varnostnega vtičnika ne zagotavlja varnosti. Varnost ni absolutna stvar in nihče ne more zagotoviti popolne varnosti. Najboljše, kar lahko storimo, je zmanjšanje tveganja krame. V nasprotju s splošnim prepričanjem mora biti lastnik spletnega mesta vključen v varovanje spletnega mesta. Vedeti, kaj bi morali storiti in česa ne bi smeli biti pomembno.

Medtem ko obstaja nekaj vodičev, kaj morate storiti, da bo vaše WordPress spletno mesto varno, vam ponujamo vodič o tem, kaj namesto tega morate preprečiti. Opazili boste, da so nasveti v nasprotju s splošnim prepričanjem. Toda po naših izkušnjah je veliko nasvetov zastarelih in ponuja lažen občutek varnosti.

Če vas varnost WordPressa tako zelo prizadene, poglejte naslednje.

1. Ne uporabljajte preveč varnostnih vtičnikov

Glede na široko paleto vtičnikov, ki so na voljo tam, z različnimi nabori funkcij, je skušnjava uporabiti več kot en varnostni vtičnik WordPress. Iskreno povedano, to je presežek. Skrbi za varnost vašega spletnega mesta je normalno, vendar se morate vprašati, ali res potrebujete več varnostnih vtičnikov? Katere so funkcije, ki so bistvene za vaše spletno mesto? Ali bodo funkcije stopile na prste drug drugega?

Na primer, lahko pride do konflikta, ko vtičniki začnejo spreminjati datoteke, kot sta wp-config.php ali htaccess. Vtičniki se lahko zlahka spopadejo s temi datotekami, vendar jih ne spreminjajo na enoten način. To lahko povzroči spore in upočasni vaše spletno mesto.

Z WordPress spletnimi mesti se lahko tu in tam kdaj dogaja narobe. Vsi sovražijo strašen beli ekran smrti. Če imate več vtičnikov, ki močno vplivajo na vaše spletno mesto, lahko težave odpravljate napake. Če bi bil le en vtičnik, bi bilo iskanje in odpravljanje vzroka napake lažje in manj zapleteno.

2. Ne spreminjajte predpone DB

Obstaja več načinov za ogrožanje mesta WordPress. Heker lahko dobi dostop do baze podatkov spletnega mesta prek napada vbrizgavanja SQL. Ranljivost v vtičniku ali temi lahko uporabite za vdor v bazo podatkov spletnega mesta (zato predlagamo, da namesto tega uporabite Vtičnik za varnostno kopiranje baze podatkov WordPress da bi se izognili podobnim pastem). Eden od priljubljenih načinov preprečevanja, da bi se hekerji poglobili na vaše spletno mesto je sprememba privzete predpone tabele. Kot lahko vidite na spodnji sliki, v WordPressu je privzeta predpona tabele “wp_”. WordPress vam omogoča, da spremenite predpono tabele (recimo “xzy_”), tako da skrijete določene tabele.

Predpone WordPress Database

Na površini je to videti kot dobra ideja. Če hekerji ne poznajo imena tabele, potem ne morejo iz nje pridobiti podatkov. To pa je napačno sklepanje. Ko nekdo vdre v vašo bazo podatkov, še vedno obstajajo načini za iskanje tabel. Zato sprememba imen predpone ne koristi. Če spremenite privzeto predpono, lahko več vtičnikov ne deluje pravilno.

Poleg tega je spreminjanje vmesne popone predpone baze podatkov težko izvedljivo in lahko povzroči sesutje vašega spletnega mesta. To je zato, ker je na vseh ravneh potrebno spremeniti veliko sprememb. Vsaka napaka v procesu se bo izkazala za katastrofalno za vaše spletno mesto.

3. Izogibajte se skrivanju svoje strani za prijavo

Vedno nekdo poskuša vdreti na vaše spletno mesto s treskanjem vašega gesla. Med napadi brutalne sile se hekerji poskušajo prijaviti na vaše spletno mesto s kombinacijo priljubljenih uporabniških imen in gesel. Kaj pa, če skrijemo stran za prijavo? To bo ubilo dve ptici z enim kamnom, kajne? Heker ne bo mogel najti strani za prijavo in nalaganje na vašem strežniku se bo zmanjšalo.

WordPress ima privzeto stran za prijavo. URL na stran ponavadi izgleda tako kot example.com/wp-login.php. Eden izmed najbolj znanih načinov, kako vaše spletno mesto rešiti pred napadom grobe sile, je skrivanje ali spreminjanje privzete strani za prijavo na nekaj drugega, kot je primer.com/mylogin.php. Čeprav se to sliši kot brezhiben načrt, ugotovimo, kako učinkovit je način varovanja vašega spletnega mesta WordPress.

Zmanjšanje nalaganja strežnika

Ko skrijete ali spremenite lokacijo svoje prijavne strani, se vsakič, ko jo kdo poskusi odpreti, sooči z napako 404. Vendar so poskusi prijave težak postopek. Kadar koli se naloži stran z napako 404, požre veliko vaših strežniških virov. In na koncu upočasni vaše spletno mesto. Zato je splošno prepričanje, da skrito prijavno stran zmanjšate nalaganje na strežniku, napačno.

Nadomestni URL ni težko uganiti

Del uspešnosti WordPress-a kot CMS je posledica vtičnikov, ki olajšajo spremembe spletnega mesta. Ni presenetljivo, da je priljubljen način skrivanja prijavne strani spletnega mesta z uporabo vtičnika. Ti vtičniki imajo nabor privzetega nadomestnega prijavnega URL-ja, kot je xzy.com/wplogin.php, itd. Usposobljeni smo za to, da gremo le s privzetimi nastavitvami. Ko namestimo vtičnik in spremenimo svoj URL, o njem ne razmišljamo veliko. Vendar obstaja le toliko URL-jev, ki jih lahko ponudi vtičnik. Najti te prednastavljene prijavne URL ni preveč težko. Zato je uporaba alternativnega URL-ja v večini primerov morda neučinkovita.

Vprašanja uporabnosti

Lepota WordPressa je, da je enostaven za uporabo. To je znana platforma. Za spletno mesto z množico uporabnikov lahko sprememba ali skrivanje prijavne strani povzroči določene težave. Nekajkrat smo naleteli na objave na forumih WordPress, kjer so uporabniki zaradi spremembe prijavnega URL-ja zaklenjeni s spletnega mesta. V večini primerov so bile spremembe izvedene s pomočjo vtičnika in uporabniki niso bili seznanjeni s situacijo, ki povzroča kaos.

4. IP naslovov ne blokirajte ročno

Če imate na svojem spletnem mestu nameščen varnostni vtičnik, boste obveščeni, ko se bo kdo poskušal prijaviti na vaše spletno mesto. Z IP lahko preprosto pošljete te zlonamerne zahteve in blokirajte jih z uporabo .htaccess datoteke. To je ročno intenzivno delo in ne zelo priročna praksa.

Ni prijazno do uporabnika

Netehnična oseba, ki poskuša spremeniti datoteke .htaccess, je recept za katastrofe. Sistem za upravljanje vsebine, kot je WordPress, ima zelo strogo oblikovanje. Tudi uporaba najbolj priljubljenih orodij, kot je FTP / SFTP, je zelo tvegana. Manjša napaka ali nepravilna namestitev ukaza lahko spletno mesto zruši.

Preveč IP-jev za blokiranje

Da bi se izognili črnemu seznamu, hekerji uporabljajo IP naslove po vsem svetu. Prej smo razpravljali o ročnem blokiranju naslovov IP, ki se nenehno trudijo vdreti na vaše spletno mesto. Delo (kot smo že omenili) zahteva veliko časa in truda, vendar ni ravno zelo učinkovita poraba časa. Če pa uporabljate katerega koli od najboljših varnostnih vtičnikov WordPress, na primer Malcare, lahko postopek blokiranja avtomatizirate. Takšni varnostni vtičniki skrbijo za vse varnostne vrzeli WP.

5. Skrivanje WordPress-a

Obstaja splošna domneva, da prikrivanje sistema CMS ljudem z groznim namenom vdira na vaše spletno mesto težje. Kaj pa, če bi lahko prikrili dejstvo, da vaše spletno mesto deluje na WordPressu. To bi zaščitilo vaše spletno mesto pred hekerji, ki želijo izkoristiti skupne ranljivosti. Preprost način za to je (uganili ste) s pomočjo vtičnika. Toda metoda ne uspe, ko hekerjem ni vseeno, na kateri platformi deluje vaše spletno mesto. Poleg tega obstaja več načinov, kako ugotoviti, ali spletno mesto deluje na WordPressu.

Poleg uporabe vtičnika si lahko delo izberete ročno. Vendar je to zamuden postopek. Posamezna posodobitev programa WordPress lahko v nekaj sekundah prekliče vse vaše delo. Kar pomeni, da boste morali postopek ponavljati znova in znova ali se izogibati posodobitvam WP. Preskakovanje posodobitev WordPress je kot odpiranje vhodnih vrat, da heker lahko vstopi v vaš dom.

6. Zaščita z geslom wp-admin ne deluje

Privzeta stran za prijavo v WordPress (izgleda približno tako – example.com/wp-admin) je prehod na vaše spletno mesto. Običajna stran za prijavo je videti na spodnji sliki.

Tukaj boste morali uporabiti poverilnice za dostop do nadzorne plošče WordPress. Geslo, ki ščiti prijavno stran, pomaga skriti ali zaščititi ta prehod na nadzorno ploščo. To je dobra ideja, vendar ne brez vrzeli.

Primer zaščite z geslom LookLinux

Vljudnost do slike: Poglej Linux

Najprej je težko ohraniti ali celo spremeniti geslo, če ga izgubite. Poleg tega, da niso učinkovite pri zagotavljanju dodatne varnosti, se lahko takšne spremembe na vašem spletnem mestu izkažejo za zelo nevarne. Na primer, ko geslo zaščitite skrbniško stran, zahteva, kot je /wp-admin/admin-ajax.php, ne more zaobiti zaščite. Obstajajo vtičniki, ki so lahko odvisni od Ajaxove funkcije vašega spletnega mesta. In ko ne morejo dostopati do te funkcionalnosti, začnejo ravnati slabo. To lahko povzroči, da se spletno mesto zlomi.

Nazaj k tebi

Če imate kakršna koli vprašanja ali predloge v zvezi s tem, čemur se morate izogniti, da si zagotovite spletno mesto WordPress, nam to sporočite v komentarjih.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map