Kā nodrošināt WordPress (2020)

WordPress ir viena no vispopulārākajām satura pārvaldības sistēmām, kas pastāv, un ar labu iemeslu. Tas ir vienkārši lietojams, tam ir pieejami tūkstošiem motīvu un spraudņu, un ar to jūs varat izveidot jebkura veida vietni. Tad nav brīnums, ka WordPress darbojas 35,1% no visām vietnēm internetā.


Bet tā popularitāte nāk ar izmaksām. WordPress bieži tiek mērķēti uz hakeriem. Saskaņā ar Sucuri, 2018. gadā 90% no visiem vietņu tīrīšanas pieprasījumiem piederēja WordPress, kas ir par 7% vairāk nekā 2017. gadā.

Vietnes Hack Trend Report 2018 - Sucuri

Tādējādi WordPress vietnes drošībai vajadzētu būt saraksta augšgalā neatkarīgi no tā, vai jums ir personīgais portfelis, uzņēmuma vietne vai tiešsaistes veikals.

Runājot par WordPress drošību, lietotāji parasti iedalās divās nometnēs: tie, kas nopietni uztver drošību un veic piesardzības pasākumus, un tie, kuri tic vai cer, ka ar viņiem tas nekad nenotiks, jo viņu vietne nav pietiekami svarīga.

Lai labāk izprastu ar vietnēm saistīto drošības problēmu nopietnību, noteikti apmeklējiet vietni Lapa Internet Live Stats dažreiz. Tur jūs varat redzēt precīzu katru dienu uzlauzto vietņu skaitu un pat skatīties, kā to skaits palielinās reāllaikā.

Vietne ir uzlauzta reālā laikā

Contents

22 darbības, lai nodrošinātu jūsu WordPress vietni

Lai jūsu vietne netiktu klasificēta kā viena no vietnēm Internet Live Stats, izpildiet tālāk sniegtos padomus un nostipriniet savu WordPress vietni..

1. Izvēlieties hostinga uzņēmumu ar drošības funkcijām

Pirmais solis savas WordPress vietnes nodrošināšanā ir ieguldījums hostinga uzņēmumā, kas ievieš pienācīgus drošības elementus. Tas ietver PHP, MySQL un Apache jaunākās versijas atbalstu, kā arī ugunsmūri un 24/7 drošības uzraudzību.

Ja iespējams, izvēlieties mitināšanas uzņēmumu, kas katru dienu veic dublējumus un regulāri skenē ļaunprātīgu programmatūru. Jūs pat varat atrast mitināšanas uzņēmumus, kas izmanto dažādus DDOS novēršanas pasākumus.

Jūsu hostinga uzņēmums parasti ir pirmais, kas izlauzies no hakeriem, lai piekļūtu jūsu vietnei, tāpēc, ieguldot vairāk avansa un iegādājoties dārgāku hostinga plānu, tas noteikti atmaksāsies. Mēs rekomendējam izvēloties pārvaldītu WordPress mitināšanas pakalpojumu sniedzēju.

2. Izmantojiet spēcīgas paroles

Pārliecinieties, vai jūsu WordPress vietnes paroles, kā arī mitināšanas konta apgabals ir drošas. Izmantojiet lielo un mazo burtu, ciparu un simbolu sajaukumu, lai izveidotu spēcīgu paroli. Varat arī izmantot paroļu pārvaldnieku, piemēram, LastPass, lai ģenerētu un saglabātu jums drošas paroles.

3. Nolaidiet administratora lietotājvārdu

WordPress izmantoja, lai iestatītu noklusējuma lietotājvārdu kā admin, un vairums lietotāju nekad neuztraucās to mainīt. Rezultātā administrators parasti ir pirmais lietotājvārds, kuru hakeri mēģinās, uzsākot brutālu spēku uzbrukumu.

Kā tāds jums nekad nevajadzētu izmantot admin lietotājvārdu savai WordPress vietnei. Ja nesen esat instalējis savu WordPress vietni, iespējams, nācās iestatīt savu lietotājvārdu. Bet, ja jūs esat WordPress ilgtermiņa lietotājs, jūs, iespējams, joprojām izmantojat administratora lietotājvārdu.

Ja tas tā ir, izveidojiet savai vietnei jaunu administratora lietotājvārdu, dodoties uz Lietotāji> Pievienot jaunu un izvēloties labu lietotājvārdu un paroli. Iestatiet administratora lomu un pēc tam noklikšķiniet uz Pievienojiet jaunu lietotāju pogu.

Administratora konta izveidošana

Pēc tam jūs reģistrēsities ar šiem jaunajiem akreditācijas datiem un izdzēsīsit veco administratora lietotāju. Pirms vecā satura dzēšanas atcerieties visu savu saturu piešķirt jaunajam administratora lietotājam.

4. Izmantojiet līdzautoru vai redaktora kontu, lai publicētu informāciju savā vietnē

Ja vēlaties spert iepriekš minēto padomu soli tālāk, apsveriet iespēju izveidot līdzstrādnieku vai redaktora kontu, lai savai vietnei pievienotu jaunas ziņas un rakstus. To darot, hakeriem būs grūtāk nodarīt kaitējumu jūsu vietnei, jo līdzautoriem un redaktoriem parasti nav administratora privilēģijas..

Redaktora konta izveidošana

5. Izmantojiet rezerves spraudni

Ja jūsu vietne vēl netiek dublēta, jums jāsāk tūlīt. Rezerves sistēma palīdzēs atjaunot vietni, ja vissliktākais notiks un jūsu vietne tiks uzlauzta.

Izmantojiet spraudni, piemēram, UpdraftPlus, lai izveidotu regulāru rezerves kopiju grafiku savai vietnei un neaizmirstiet glabāt dublējuma failus izbraukuma vietā, lai nodrošinātu, ka šie faili arī nav inficēti.

6. Nocietiniet administratora laukumu

Runājot par administratora apgabala sacietēšanu, jums būs jāmaina noklusējuma administratora URL un jāierobežo neveiksmīgo pieteikšanās mēģinājumu skaits, pirms lietotājs tiek izslēgts no jūsu vietnes.

Pēc noklusējuma jūsu vietnes administratora URL izskatīsies šādi: jūsu domēns.com/wp-admins. Hakeri to zina un mēģinās tieši piekļūt šim URL, lai viņi varētu piekļūt jūsu vietnei.

Šo URL var mainīt, izmantojot spraudni, piemēram WPS paslēpt pieteikšanos.

WPS paslēpt pieteikšanos

Lai ierobežotu neveiksmīgu pieteikšanās mēģinājumu skaitu, varat to izmantot Pieteikšanās bloķēšanas spraudnis.

Pieteikšanās LockDown

7. Atjauniniet failus

Kā jau minēts iepriekš, novecojuši faili rada drošības risku, jo tie padara jūsu vietni neaizsargātu pret citām vajadzībām. Tāpēc atjauninājumi ir jāinstalē, tiklīdz tie tiek izlaisti.

Kamēr atrodaties tajā, noteikti apmeklējiet instalētos spraudņus un deaktivizējiet un izdzēsiet tos spraudņus, kurus vairs nelietojat..

8. Aizsargājiet datoru

Jums varētu rasties jautājums, kāds sakars datoram ar jūsu vietni. Ja jūsu dators ir inficēts ar vīrusu un jūs piekļūstat savai vietnei vai augšupielādējat tajā failus, šie inficētie faili var inficēt arī jūsu vietni. Īsāk sakot, jūs vēlaties pārliecināties:

  • Lai piekļūtu savai vietnei, neizmantojiet publiskos Wi-Fi tīklus
  • Instalējiet pretvīrusu programmatūru un pārliecinieties, ka tā ir atjaunināta

9. Mainiet datu bāzes prefiksu

Vēl viens fakts, ko labi zina WordPress hakeri, ir tas, ka jūsu datu bāzes prefikss ir iestatīts uz wp. Šis fakts viņiem ļauj viegli uzminēt tabulas prefiksu un izmantot automatizētas SQL injekcijas, lai piekļūtu jūsu vietnei.

Datubāzes prefiksa maiņa ir manuāls process, kas ietver jūsu wp-config.php failu un tabulas nosaukumu maiņu, izmantojot phpMyAdmin. Pirms izmaiņu veikšanas kā preventīvs pasākums noteikti izveidojiet savas vietnes dublējumu.

Rediģēt wp-config

Jums būs jāpiesakās savā mitināšanas kontā un jāpiekļūst savam cPanel vai jebkuram vadības panelim, kuru izmantojat jūsu resursdators. Pēc tam piekļūstiet failu pārvaldniekam un atrodiet savu wp-config.php fails WordPress direktorijā.

Atrodiet tabulas prefiksa līniju, kas izskatās šādi: $ table_prefix kam seko zīme = un pats tabulas prefikss. Aizstāt noklusējuma virkni ar savu prefiksu, izmantojot ciparu, pasvītrojumu un burtu kombinācijas, piemēram:

$ table_prefix = ‘hgwp_3456_’;

Kad esat rediģējis wp-config.php failu, izejiet no failu pārvaldnieka un piekļūstiet phpMyAdmin, lai jūs varētu mainīt visus tabulas nosaukumus. To izdarīt manuāli var būt apgrūtinoši, jo kopumā ir 11 tabulas, kuras jums jārediģē. Tā vietā jūs varat ievadīt SQL vaicājumu, dodoties uz cilni SQL

palaist SQL vaicājumu

Tad ievadiet šo:

RENAME tabula `wp_commentmeta` TO` hgwp_3456_commentmeta`;

RENAME tabula `wp_comments` TO` hgwp_3456_comments`;

RENAME tabula `wp_links` TO` hgwp_3456_links`;

RENAME tabula `wp_options` TO` hgwp_3456_options`;

RENAME tabula `wp_postmeta` TO` hgwp_3456_postmeta`;

RENAME tabula `wp_posts` TO` hgwp_3456_posts`;

RENAME tabula `wp_terms` TO` hgwp_3456_terms`;

RENAME tabula `wp_termmeta` TO` wp_a123456_termmeta`;

RENAME tabula `wp_term_relationships` TO` hgwp_3456_term_relationships`;

RENAME tabula `wp_term_taxonomy` TO` hgwp_3456_term_taxonomy`;

RENAME tabula `wp_usermeta` TO` hgwp_3456_usermeta`;

RENAME tabula `wp_users` TO` hgwp_3456_users`;

Lai gan iepriekšminētajam vaicājumam vajadzētu mainīt datu bāzes prefiksu visur, ir ieteicams veikt vēl vienu vaicājumu, lai pārliecinātos, ka visi citi faili, kas izmanto veco datu bāzes prefiksu, tiek atjaunināti:

SELECT * FROM `hgwp_3456_options` WHERE` option_name` LIKE '% wp_%'

Jūs arī vēlēsities meklēt theusermeta un aizstāt visus vecos prefiksus ar jaunajiem:

SELECT * FROM `hgwp_3456_usermeta` KUR` meta_key` LIKE '% wp_%'

10. Nocietiniet savus .htaccess un wp-config.php failus

.htaccess un wp-config.php ir vissvarīgākie faili jūsu WordPress instalācijā. Kā tāds jums jāpārliecinās, vai tie ir droši un aizsargāti.

Vienkārši pievienojiet zemāk esošos kodus savam .htaccess failam ārpus tagu # BEGIN WordPress un # END WordPress, lai nodrošinātu, ka izmaiņas netiek pārrakstītas ar katru jauno atjauninājumu..



rīkojums atļauj, noliedz

noliegt no visiem





rīkojums atļauj, noliedz

noliegt no visiem





pasūtījums noliegt, atļaut

No visiem noliegt

# atļaut piekļuvi no manas IP adreses

atļaut no 192.168.1.1

Iepriekš minētie fragmenti aizsargās jūsu wp-config un .htaccess, kā arī ierobežos piekļuvi wp-login.php ekrāns.

Visbeidzot, pievienojiet fragmentu zemāk, lai novērstu PHP faila izpildi:



noliegt no visiem

11. Pārbaudiet un mainiet faila atļaujas

Kad esat pabeidzis savu drošību .htaccess un wp-config.php failu, palieciet nedaudz ilgāk cPanel un pārbaudiet failu atļaujas failiem un mapēm jūsu WordPress vietnē.

Failu atļaujas

Saskaņā ar WordPress kodekss, atļaujas jāiestata šādi:

  • Visiem direktorijiem jābūt 755 vai 750
  • Visiem failiem jābūt 644 vai 640
  • wp-config.php jābūt 600

Ja iestatījumi ir atšķirīgi, hakeri var viegli lasīt saturu, kā arī mainīt failu un mapju saturu, kā rezultātā var tikt uzlauzta jūsu vietne, kā arī citas tā paša servera vietnes..

12. Izmantojiet divu faktoru autentifikāciju

Apsveriet iespēju izmantot spraudni, piemēram Google autentifikators lai jūsu vietnei iestatītu divu faktoru autentifikāciju. Tas nozīmē, ka papildus paroles ievadīšanai būs jāievada arī mobilās lietotnes ģenerēts kods, lai pieteiktos savā vietnē. Tas var apturēt brutālu spēku uzbrukumus, tāpēc ir ieteicams to iestatīt tūlīt.

Google autentifikators

13. Atspējojiet XML-RPC

XML-RPC ļauj jūsu vietnei izveidot savienojumu ar WordPress mobilajām lietotnēm un spraudņiem, piemēram, Jetpack. Diemžēl tas ir arī WordPress hakeru iecienīts, jo viņi var ļaunprātīgi izmantot šo protokolu, lai vienlaikus izpildītu vairākas komandas un iegūtu piekļuvi jūsu vietnei. Izmantojiet spraudni, piemēram Atspējot XML-RPC spraudni lai atspējotu šo funkciju.

Atspējot XML-RPC

14. Izmantojiet HTTPS un SSL

Internets jau labu laiku satrauc emuāru ierakstus un rakstus par HTTPS protokola nozīmi un jūsu vietnei pievieno SSL drošības sertifikātus..

HTTPS apzīmē drošu hiperteksta pārsūtīšanas protokolu, bet SSL – drošus ligzdas slāņus. Īsumā – HTTPS ļauj apmeklētāja pārlūkprogrammā izveidot drošu savienojumu ar jūsu mitināšanas serveri (un līdz ar to arī ar jūsu vietni). HTTPS protokols tiek nodrošināts, izmantojot SSL. Kopā HTTPS un SSL nodrošina, ka visa informācija starp apmeklētāju pārlūkprogrammu un jūsu vietni tiek šifrēta.

Izmantojot abus savā vietnē, tas ne tikai palielinās vietnes drošību, bet arī uzlabos jūsu meklētājprogrammu rangu, radīs uzticību apmeklētājiem un uzlabot reklāmguvumu līmeni.

Konsultējieties ar savu mitināšanas pakalpojumu sniedzēju un jautājiet par iespēju iegūt SSL sertifikātu vai norādiet uz cienījama uzņēmuma virzienā, kur jūs to varat iegādāties..

15. Atspējojiet motīvu un spraudņu rediģēšanu, izmantojot savu WordPress informācijas paneli

Iespēja rediģēt motīvu un spraudņu failus tieši WordPress informācijas panelī ir parocīga, ja jums ātri jāpievieno koda rindiņa. Bet tas arī nozīmē, ka šiem failiem var piekļūt ikviens, kurš piesakās jūsu vietnē.

Atspējojiet šo funkciju, pievienojot šim kodam savu kodu wp-config.php fails:

// Neatļaut faila rediģēšanu

definēt ('DISALLOW_FILE_EDIT', taisnība);

16. Pārvietojiet failu wp-config.php uz direktoriju, kas nav WWW

Kā minēts iepriekš, wp-config.php fails ir viens no vissvarīgākajiem failiem jūsu WordPress instalācijā. Apgrūtiniet piekļuvi, pārvietojot to no saknes direktorija uz piekļuvi direktorijam, kas nav pieejams www.

  1. Iesācējiem nokopējiet sava satura saturu wp-config.php failu jaunā failā un saglabājiet to kā wp-config.php.
  1. Atgriezieties pie vecā wp-config.php failu un zemāk pievienojiet koda rindu:
  1. Augšupielādējiet un saglabājiet jauno wp-config.php failu citā mapē.

17. Mainiet savas WordPress drošības atslēgas

WordPress drošības atslēgas ir atbildīgas par lietotāja sīkdatnēs saglabātās informācijas šifrēšanu. Tie atrodas wp-config.php failu un izskatās šādi:

definēt ('AUTH_KEY', 'ievietot šeit savu unikālo frāzi');

definēt ('SECURE_AUTH_KEY', 'ievietot šeit savu unikālo frāzi');

definēt ('LOGGED_IN_KEY', 'ievietot šeit savu unikālo frāzi');

definēt ('NONCE_KEY', 'ievietot šeit savu unikālo frāzi');

definēt ('AUTH_SALT', 'ievietot šeit savu unikālo frāzi');

definēt ('SECURE_AUTH_SALT', 'ievietot šeit savu unikālo frāzi');

definēt ('LOGGED_IN_SALT', 'ievietot šeit savu unikālo frāzi');

definēt ('NONCE_SALT', 'ievietot šeit savu unikālo frāzi');

Izmantojiet WordPress sāls atslēgu ģenerators tos mainīt un padarīt jūsu vietni drošāku.

18. Atspējojiet ziņošanu par kļūdām

Kļūdu paziņošana ir noderīga, lai novērstu traucējummeklēšanu un noteiktu, kurš konkrēts spraudnis vai motīvs rada kļūdu jūsu WordPress vietnē. Tomēr, tiklīdz sistēma ziņos par kļūdu, tā parādīs arī jūsu servera ceļu. Lieki piebilst, ka šī ir lieliska iespēja hakeriem atklāt, kā un kur viņi var izmantot jūsu vietnes ievainojamības..

To var atspējot, pievienojot zemāk esošo kodu savam wp-config.php fails:

kļūda_ziņošana (0);

@ini_set ('display_errors', 0);

19. Noņemiet WordPress versijas numuru

Ikviens, kurš ielūkojas jūsu vietnes avota kodā, varēs pateikt, kuru WordPress versiju izmantojat. Tā kā katrai WordPress versijai ir publiski izmaiņu žurnāli, kuros ir detalizēts kļūdu un drošības ielāpu saraksts, viņi var viegli noteikt, kurus drošības caurumus viņi var izmantot..

WordPress versija

Par laimi, tas ir viegli labojams. Varat noņemt WordPress versijas numuru, rediģējot motīva files.php failu un pievienojot šo:

noņemt_darbību ('wp_head', 'wp_generator');

20. Izmantojiet drošības galvenes

Vēl viens veids, kā nodrošināt WordPress vietnes drošību, ir drošības galvenes ieviešana. Parasti tās tiek iestatītas servera līmenī, lai novērstu uzlaušanas uzbrukumus un samazinātu drošības ievainojamības gadījumu skaitu. Jūs varat tos pievienot pats, mainot motīvu funkcijas.php failu.

Drošības galvenes

Pārrobežu skriptu uzbrukumi

Pievienojiet šo kodu baltajam sarakstam atļautajam saturam, skriptam, stiliem un citiem satura avotiem:

galvenes ('Satura-drošības politika: default-src https:');

Tas neļaus pārlūkam ielādēt ļaunprātīgus failus.

Iframe klikšķu veikšana

Pievienojiet zemāk esošo rindu, lai norādītu pārlūkam, lai lapa netiktu parādīta rāmī: galvene ('X-Frame-Options: SAMEORIGIN');

X-XSS aizsardzība un X-satura tipa opcijas

Pievienojiet šīs rindiņas, lai novērstu XSS uzbrukumus, un pasakiet Internet Explorer, lai neslāpētu mīmu veidus

galvenes ('X-XSS aizsardzība: 1; mode = bloķēt');

galvenes ('X-Content-Type-Options: nosniff');

Izpildiet HTTPS

Pievienojiet zemāk esošo kodu, lai norādītu pārlūkam izmantot tikai HTTPS:

galvenes ('Stingra transporta drošība: maksimālais vecums = 31536000; iekļaut apakšdomēnus; iepriekš ielādēt');

Sīkdatne ar HTTPOnly un Secure karodziņu WordPress 

Sakiet pārlūkprogrammai, lai tā uzticas tikai servera iestatītajam sīkfailam un ka sīkdatne ir pieejama pa SSL kanāliem, pievienojot šo:

@ini_set ('session.cookie_httponly', taisnība);

@ini_set ('session.cookie_secure', taisnība);

@ini_set ('session.use_only_cookies', taisnība);

Ja nevēlaties šīs galvenes pievienot manuāli, apsveriet iespēju izmantot tādu spraudni kā Drošības galvenes. Neatkarīgi no tā, kuru metodi izvēlaties ieviest drošības galvenes, noteikti pārbaudiet tās, izmantojot https://securityheaders.io vietni un ievadot vietnes URL.

21. Novērst karsto saišu izveidošanu

Karstā sasaiste pati par sevi nav drošības pārkāpums, bet, ņemot vērā, ka tā attiecas uz citu vietni, izmantojot jūsu vietnes URL, lai tieši norādītu uz attēlu vai citu multivides failu, to uzskata par zādzību. Tā kā karstā sasaiste var radīt neparedzētas izmaksas ne tikai tāpēc, ka jums būs jārisina likumīgas sekas, bet arī tāpēc, ka jūsu mitināšanas rēķins var iziet caur jumtu, ja vietne, kas nozaga jūsu attēlu, saņem daudz trafika.

Pievienojiet zemāk esošo kodu savam .htaccess failam, ja izmantojat Apache serveri, un nomainiet domēna domēnu ar faktisko domēna vārdu:

RewriteEngine ieslēgts

RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Domain.com [NC]

RewriteRule \. (Jpg | jpeg | png | gif) $ - [NC, F, L]

Alternatīvi, ja jūs izmantojat NGINX serverus, jūs vēlēsities modificēt savu konfigurācijas failu ar sekojošo:

atrašanās vieta ~. (gif | png | jpe? g) $ {

valid_referers neviens nav bloķēts ~ .google. ~ .bing. ~ .yahoo tavs domēns.com * .jaunsdomens.com;

if ($ invalid_referer) {

atgriešanās 403;

}

}

22. Atteikties no dīkstāves lietotājiem

Pēdējais padoms šajā ceļvedī vietnes drošības palielināšanai ir atteikšanās no dīkstāves lietotājiem pēc neaktivitātes perioda. Jūs varat izmantot spraudni, piemēram Neaktīva atteikšanās lai automātiski pārtrauktu neaktīvās sesijas.

Neaktīva atteikšanās

Tas ir nepieciešams, jo, piesakoties savā vietnē, lai pievienotu jaunu emuāra ziņu, un jūs novēršat uzmanību no cita uzdevuma, sesija var tikt nolaupīta, un hakeri var ļaunprātīgi izmantot situāciju, lai inficētu jūsu vietni. Vēl svarīgāk ir pārtraukt neaktīvās sesijas, ja jūsu vietnē ir vairāki lietotāji.

Kā atgūties no hakera

Iepriekš minētie drošības pasākumi ir lielisks veids, kā nodrošināt vietnes drošību. Bet ko darīt, ja jūsu vietne tik un tā tiek uzlauzta? Šīs ir dažas darbības, kas jāveic gadījumā, ja jūsu vietne tiek uzlauzta.

1. Apstipriniet Hack un nomainiet paroli

Ja jūsu vietne tika uzlauzta, vispirms nekautrējieties. Tas jums nepalīdzēs, un akts ir izdarīts, tāpēc ir svarīgi rīkoties ātri. Sākumā pārbaudiet savu vietni un pārbaudiet, vai varat pieteikties savā informācijas panelī. Pārbaudiet, vai jūsu vietne novirza uz citu vietni, vai redzat aizdomīgas vai dīvainas saites vai reklāmas.

Nekavējoties nomainiet paroli un pēc tam pārejiet pie nākamās darbības.

2. Sazinieties ar savu hostinga uzņēmumu

Sazinieties ar savu mitinātāju un paziņojiet viņiem, ka jūsu vietne ir uzlauzta. Tie var palīdzēt jums noteikt hakeru avotu. Daži saimnieki arī iztīrīs jūsu vietni un noņems ļaunprātīgo kodu un failus.

Izmantojiet dublējumu, lai atjaunotu savu vietni

Ja esat rūpējies par savas vietnes dublēšanu, atrodiet dublējumu, kas izveidots pirms hakerēšanas, un izmantojiet to savas vietnes atjaunošanai. Lai gan jūs varat pazaudēt daļu satura, jūs varēsit izveidot savu vietni un darboties tā, kā tā bija pirms uzbrukuma.

3. Pārbaudiet, vai vietnē nav ļaunprātīgas programmatūras

Izmantojiet Sucuri bezmaksas skeneri, lai vietnē skenētu ļaunprātīgu programmatūru un identificētu apdraudētos failus. Varat arī izvēlēties viņu vietnes tīrīšanas pakalpojumu, ja nezināt, kā pats noņemt ļaunprātīgu programmatūru.

4. Pārbaudiet savas vietnes lietotājus

Piesakieties savā WordPress vietnē un dodieties uz Lietotāji> Visi lietotāji. Pārliecinieties, ka nav lietotāju, kuriem tur nevajadzētu būt, un vajadzības gadījumā izdzēsiet tos.

5. Mainiet slepenās atslēgas

Izmantojiet iepriekšminēto WordPress Salts Key Generator, lai ģenerētu jaunas drošības atslēgas un pievienotu tās savam wp-config.php failam. Tā kā šīs atslēgas šifrē jūsu paroli, hakeri paliks pieteicies, kamēr viņu sīkdatnes netiks atzītas. Jaunās drošības atslēgas darīs tieši to un piespiedīs hakeru no jūsu vietnes.

6. Nolīgt profesionāli

Visbeidzot, nolīgt profesionāli, lai sakoptu banalizāciju un noņemtu ļaunprātīgu programmatūru no savas vietnes. Ņemiet vērā: hakeri var slēpt ļaunprātīgu kodu vairākos failos, tāpēc, ja neesat pieredzējis ļaunprātīgas programmatūras noņemšanu, ir viegli palaist garām inficētu failu. Tādējādi hakeriem ir viegli vēlreiz uzlauzt jūsu vietni, tāpēc ir ļoti ieteicams nolīgt profesionāli.

7 visbiežāk sastopamie WordPress ievainojamību veidi

Pirms turpināt šo rakstu, pievērsīsimies istabā esošajam zilonim: vai WordPress ir drošs? Atbilde uz šo jautājumu ir jā. WordPress programmatūras kodols ir drošs, un uzņēmums, kas atrodas WordPress priekšā, nopietni uztver drošību.

Viņu apsardzes komanda uz kuģa ir 50 eksperti, kuru skaitā ir galvenie izstrādātāji un drošības pētnieki, kuri strādā aizkulisēs, lai nodrošinātu WordPress drošību.

Faktiski lielākā daļa drošības incidentu un risku ir cilvēku kļūdu rezultāts, kas saistīts ar drošības ievainojamību.

Ir septiņi WordPress ievainojamību veidi, kas jums jāzina:

  • Novecojuši WordPress faili
  • Sētas durvis izmanto
  • Farmas hakeri
  • Vājās paroles
  • Ļaunprātīga novirzīšana
  • Ievainojamības mitināšanas platformā
  • Pakalpojumu atteikuma uzbrukumi

Pāriesim viņiem pāri un paskaidrosim, kas viņi īsti ir.

1. Novecojuši WordPress faili

Novecojuši WordPress faili attiecas uz WordPress versiju, motīvu un spraudņu failiem. Viņi rada drošības risku, jo atstāj jūsu vietni pakļautu citai ievainojamībai, piemēram, aizmugures durvju izmantošanai un farmaceitiskiem hakeriem.

Kā tāds jums jāpārliecinās, ka WordPress instalācija ir atjaunināta, kā arī motīvs un spraudņi. Proaktīvi jāpielieto atjauninājumi, tiklīdz tie tiek izlaisti, jo tiem ir ne tikai jaunas funkcijas, bet arī dažādi drošības un kļūdu labojumi..

2. Aizmugurējās durvis izmanto

Runājot par sētas durvju izmantošanu, hakeri izmantos novecojušos WordPress failus, lai piekļūtu jūsu vietnei. Papildus novecojušiem failiem viņi var arī piekļūt jūsu vietnei, izmantojot SFTP, FTP un līdzīgus.

Kad viņiem būs pieeja jūsu vietnei, viņi inficēs jūsu vietni un var inficēt arī citas vietnes, kas atrodas tajā pašā serverī kā jūsu vietne. Injekcijas aizmugurējā durvīs nepieredzējušam lietotājam izskatās kā parasti WordPress faili. Bet aizkulisēs viņi izmanto novecojušo failu kļūdas, lai piekļūtu jūsu datu bāzei un sagrautu jūsu vietni, kā arī tūkstošiem citu vietņu.

3. Farmaceitiskie haki

Farmaceitiskie hakeri attiecas uz novecojušo WordPress failu ievainojamību izmantošanu, ja hakeris šajos failos ievieto kodu. Kad kods ir ievietots, meklētājprogrammās jūsu vietnes vietā tiek rādītas farmācijas produktu reklāmas. Tā rezultātā meklētājprogrammas jūsu vietni var atzīmēt kā surogātpastu.

4. Vājās paroles

Vājās paroles varētu būt viegli atcerēties, taču tās arī ļauj hakeriem viegli piekļūt jūsu vietnei, izmantojot brutālu spēku uzbrukumu. Brutāla spēka uzbrukums notiek, kad hakeris izmanto automatizētus skriptus, kas darbojas fonā, lai mēģinātu dažādas lietotājvārdu un paroļu kombinācijas, līdz viņi atrod darbīgu kombināciju.

5. Ļaunprātīga novirzīšana

Līdzīgi kā novecojušu failu un FTP vai SFTP protokola izmantošana, lai ievadītu kodu, kura rezultātā tiek atklāts farmaceits, vai hakeris tiek izmantots, hakeri WordPress instalācijā izmantos .htaccess failu, lai novirzītu apmeklētājus uz ļaunprātīgu vietni..

Pēc tam jūsu apmeklētāji var nonākt ar vīrusu vai kļūt par pikšķerēšanas upuri.

6. Hostinga platformas ievainojamības

Dažreiz jūsu vietnes drošība var tikt apdraudēta, jo jūs izmantojat mitināšanas uzņēmumu, kuram nav tādu drošības funkciju kā ugunsmūris vai failu uzraudzība. Parasti tas notiek ar lētākiem mitināšanas pakalpojumu sniedzējiem, kas nozīmē, ka, izvēloties lētāku resursdatoru, ironiski ir jāmaksā vairāk, ja jūsu vietne tiek uzlauzta.

Ņemiet vērā, ka lētākas mitināšanas platformas rada arī lielāku drošības risku, jo jūsu vietne var tikt inficēta vai uzlauzta hakeru dēļ, kas izmanto ievainojamības citā vietnē, kas tiek mitināta tajā pašā serverī.

7. Uzbrukumu noraidīšana

Pakalpojumu atteikuma uzbrukumi vai DDOS uzbrukumi ir viens no visbīstamākajiem draudiem jebkuram vietnes īpašniekam. DDOS uzbrukumā hakeris izmantos kļūdas un kļūdas kodā, izraisot jūsu vietnes operētājsistēmas atmiņas pārslodzi. DDOS uzbrukumi parasti samazina lielu skaitu vietņu, kas izmanto noteiktu platformu, piemēram, WordPress.

Tagad, kad jūs zināt, kādas ir parastās ievainojamības, kas saistītas ar WordPress, pāriesim pie padomiem, paraugprakses un drošības ieteikumiem, kas palīdzēs jums nodrošināt jūsu WordPress vietnes aizsardzību.

Iesaiņošana

WordPress ir spēcīgs un populārs CMS, kas ikvienam ļauj ērti izveidot vietni. Tā kā tas ir tik populārs, tas ir arī iecienīts hakeru mērķis. Par laimi ir vairākas darbības, kuras varat veikt, lai aizsargātu savu WordPress vietni, un, ja ievērosit šajā rakstā sniegtos padomus, jums būs labs veids, kā izveidot drošu WordPress vietni..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me