Ako NEZABEZPEČIŤ svoju webovú stránku WordPress

Ako NEZABEZPEČIŤ svoj web WordPress

Čo je prvé, čo by ste urobili, keď by ste chceli zabezpečiť svoj web WordPress? Nájdite prvých päť bezpečnostných doplnkov, zvážte, aké sú dostupné a potom pokračujte a nainštalujte jeden. To sa stalo, teraz si môžete sadnúť a relaxovať, však? zle!


Použitie doplnku zabezpečenia nezabezpečuje bezpečnosť. Bezpečnosť nie je absolútna vec a nikto nemôže zaručiť úplnú bezpečnosť. Najlepšie, čo môžeme urobiť, je znížiť riziko hacknutia. A na rozdiel od všeobecného presvedčenia musí byť vlastník stránok zapojený do udržiavania bezpečnosti webovej stránky. Vedieť, čo by ste mali a nemali by ste, je dôležité.

Aj keď existuje niekoľko sprievodcov, čo by ste mali urobiť, aby ste zaistili bezpečnosť svojho webu WordPress, ponúkame vám návod, ako by ste sa mali radšej vyhýbať. Všimnite si, že tieto rady sú v rozpore so všeobecným presvedčením. Ale z našich skúseností je veľa rád, že sú zastarané a ponúkajú falošný pocit bezpečia.

Ak vás záležitosť zabezpečenia WordPress znepokojuje rovnako ako nás, pozrite si nasledujúce.

1. Nepoužívajte príliš veľa bezpečnostných doplnkov

Vzhľadom na širokú škálu dostupných doplnkov, s rôznymi sadami funkcií, je lákavé používať viac ako jeden bezpečnostný doplnok WordPress. Aby som bol úprimný, je to prehnaná. Starostlivosť o bezpečnosť vašich stránok je normálna, musíte sa však opýtať sami seba, či skutočne potrebujete viac ako jeden bezpečnostný doplnok? Aké funkcie sú nevyhnutné pre splnenie požiadaviek vašich stránok? Budú tieto funkcie šliapať po nohách druhej strany?

Napríklad konflikt by mohol nastať, keď pluginy začnú upravovať súbory ako wp-config.php alebo htaccess. Pluginy môžu s týmito súbormi ľahko hrať, ale neupravujú ich jednomyseľným spôsobom. Mohlo by to spôsobiť konflikty a spomaliť vaše webové stránky.

S webovými stránkami WordPress sa môžu veci občas pokaziť. Každý nenávidí obávanú Bielu obrazovku smrti. Používanie viacerých doplnkov, ktoré výrazne ovplyvňujú vaše webové stránky, môže spôsobiť problémy s ladením. Keby existoval iba jeden doplnok, hľadanie a odstránenie príčiny chyby by bolo jednoduchšie a menej komplikované.

2. Nemeňte predponu DB

Existuje niekoľko spôsobov, ako môžu byť stránky WordPress ohrozené. Hacker môže získať prístup k databáze stránok prostredníctvom útoku SQL injekcie. Chyba zabezpečenia v doplnku alebo téme sa dá použiť na preniknutie do databázy stránok (preto vám odporúčame namiesto toho použiť Doplnok na zálohovanie databázy WordPress aby sa predišlo podobným úskaliam). Jednou z populárnych metód, ako zabrániť hackerom v presune na svoje stránky, je zmena predvolenej predpony tabuľky. Ako vidíte na obrázku nižšie, v WordPress je predvolená predpona tabuľky „wp_“. WordPress vám umožňuje zmeniť predponu tabuľky (povedzme „xzy_“) tak, aby sa skryli určité tabuľky..

Predpony databázy WordPress

Na povrchu to vyzerá ako dobrý nápad. Ak hackeri nepoznajú názov tabuľky, nemôžu z neho načítať údaje. Toto je však nesprávne odôvodnenie. Keď niekto prenikne do vašej databázy, stále existujú spôsoby, ako zistiť tabuľky. Zmena názvov predpony je preto zbytočná. Navyše zmena predvolenej predpony môže spôsobiť, že niektoré doplnky sa budú správať nesprávne.

Okrem toho je ťažké vykonať zmenu stredného letu predpony databázy a môže to spôsobiť zlyhanie vašej webovej stránky. Dôvodom je veľa zmien, ktoré je potrebné urobiť na každej úrovni. Akákoľvek chyba v procese sa ukáže ako katastrofická pre vaše stránky.

3. Nezakrývajte svoju prihlasovaciu stránku

Vždy existuje niekto, kto sa pokúša preniknúť na vaše stránky prasknutím hesla. Počas útokov hrubou silou sa hackeri pokúšajú prihlásiť na vaše webové stránky pomocou kombinácie obľúbených používateľských mien a hesiel. Čo keď skryjeme prihlasovaciu stránku? To zabije dvoch vtákov jedným kameňom, však? Hacker by nemohol nájsť prihlasovaciu stránku a zaťaženie vášho servera sa zníži.

WordPress má predvolenú prihlasovaciu stránku. Adresa URL stránky zvyčajne vyzerá takto: example.com/wp-login.php. Jedným zo známych spôsobov, ako ušetriť webovú stránku pred útokom hrubou silou, je skrytie alebo zmena predvolenej prihlasovacej stránky na niečo iné ako example.com/mylogin.php. Aj keď to znie ako bláznivý plán, zistíme, ako efektívna je táto metóda na zaistenie bezpečnosti vášho webu WordPress.

Zníženie zaťaženia servera

Keď skryjete alebo zmeníte umiestnenie svojej prihlasovacej stránky, zakaždým, keď sa ju niekto pokúsi otvoriť, dôjde k chybe 404. Pokusy o prihlásenie sú však ťažkým procesom. Vždy, keď sa načíta chybová stránka 404, spotrebuje veľa zdrojov servera. A nakoniec spomalí váš web. Z tohto dôvodu je bežné presvedčenie, že skrytie vašej prihlasovacej stránky zníži zaťaženie servera, nesprávne.

Alternatívna adresa URL sa nedá uhádnuť

Súčasťou úspechu WordPress ako CMS sú pluginy, ktoré uľahčujú úpravy webových stránok. Nie je prekvapujúce, že populárnym spôsobom, ako skryť prihlasovaciu stránku webu, je použitie doplnku. Tieto doplnky sú dodávané so sadou predvolených alternatívnych prihlasovacích adries URL, ako je xzy.com/wplogin.php atď. Boli sme vyškolení, aby sme mohli ísť iba s predvolenými nastaveniami. Po nainštalovaní doplnku a zmene našej adresy URL sa na to príliš nepremýšľame. Existuje však iba toľko adries URL, ktoré môže doplnok ponúknuť. Zistiť tieto predvolené prihlasovacie adresy URL nie je príliš ťažké. Použitie alternatívnej adresy URL preto môže byť vo väčšine prípadov neúčinné.

Problémy s použiteľnosťou

Krása WordPress je, že sa ľahko používa. Je to známa platforma. Pre web s veľkým počtom používateľov by zmena alebo skrytie prihlasovacej stránky mohlo predstavovať určité problémy. Niekoľkokrát sme narazili na príspevky na fóre WordPress, kde sú používatelia zablokovaní z dôvodu zmeny prihlasovacej adresy URL. Vo väčšine prípadov boli zmeny vykonané pomocou doplnku a používatelia neboli informovaní o situácii, ktorá spôsobuje chaos.

4. Neblokujte manuálne adresy IP

Ak máte na svojom webe nainštalovaný bezpečnostný doplnok, budete upozornení vždy, keď sa niekto pokúsi prihlásiť na váš web. Môžete ľahko získať IP odosielanie týchto škodlivých žiadostí a zablokujte ich pomocou súboru .htaccess. Je to manuálne náročná práca a nie príliš praktický postup.

Nie je užívateľsky prívetivý

Netechnická osoba, ktorá sa snaží upraviť súbory .htaccess, je receptom na katastrofu. Systém na správu obsahu, ako je WordPress, má veľmi prísne formátovanie. Aj používanie najpopulárnejších nástrojov ako FTP / SFTP je veľmi riskantné. Menšia chyba alebo nesprávne umiestnenie príkazu môže spôsobiť zlyhanie webu.

Príliš veľa adries IP na zablokovanie

Hackeri používajú adresy IP z celého sveta, aby sa predišli tomu, aby boli na čiernej listine. Predtým sme diskutovali o manuálnom blokovaní adries IP, ktoré sa neustále snažia preniknúť na vaše stránky. Práca (ako sme už spomenuli) vyžaduje veľa času a úsilia, ale nejde o veľmi efektívne využitie času. Ak však používate niektorý z najlepších bezpečnostných doplnkov WordPress, napríklad Malcare, môžete proces blokovania automatizovať. Takéto bezpečnostné doplnky sa starajú o všetky bezpečnostné medzery WP.

5. Skrytie WordPress

Existuje všeobecný predpoklad, že zakrytie vášho CMS sťažuje ľuďom, ktorí sa s úmyslom vrhnúť na vaše stránky. Čo keby sme mohli skryť skutočnosť, že vaše webové stránky sú spustené na WordPress. To by ochránilo vaše stránky pred hackermi, ktorí chcú využívať bežné chyby zabezpečenia. Ľahký spôsob, ako to dosiahnuť, je (uhádli ste) pomocou doplnku. Táto metóda však zlyhá, keď hackerom nezáleží na platforme, na ktorej je spustený váš web. Okrem toho existuje mnoho spôsobov, ako zistiť, či je web spustený na WordPress.

Okrem použitia doplnku si môžete vybrať prácu manuálne. Je to však časovo náročný proces. Jedinou aktualizáciou programu WordPress môžete vrátiť všetku svoju prácu do niekoľkých sekúnd. Čo znamená, že budete musieť postup zopakovať znova alebo znova alebo sa vyhýbať aktualizáciám WP. Preskakovanie aktualizácií WordPress je ako otváranie predných dverí, aby hacker mohol ísť priamo do vašej domácnosti.

6. Ochrana heslom wp-admin nefunguje

Predvolená prihlasovacia stránka programu WordPress (ktorá vyzerá takto – example.com/wp-admin) je bránou na vaše stránky. Typická prihlasovacia stránka vyzerá ako na obrázku nižšie.

Tu budete musieť použiť vaše poverenia na prístup k dashboardu WordPress. Ochrana prihlasovacej stránky pomocou hesla pomáha skryť alebo chrániť túto bránu k prístrojovému panelu. Je to dobrý nápad, ale nie bez medzier.

Príklad ochrany heslom LookLinux

Obrázok s láskavým dovolením: LookLinux

Po prvé, je ťažké udržať alebo dokonca zmeniť heslo, ak k nemu prídete. Okrem neúčinnosti pri poskytovaní dodatočnej bezpečnosti sa také zmeny na vašich stránkach môžu ukázať ako veľmi nebezpečné. Ak napríklad chránite stránku správcu pomocou hesla, požiadavka, ako je napríklad /wp-admin/admin-ajax.php, nemôže ochranu obísť. Existujú doplnky, ktoré môžu závisieť od funkčnosti Ajaxu vášho webu. A keď nie sú schopní získať prístup k tejto funkcii, začnú sa správať zle. Môže to spôsobiť poškodenie webovej stránky.

Nad tebou

Ak máte akékoľvek otázky alebo návrhy týkajúce sa toho, čo treba zabrániť, aby ste zabezpečili webovú stránku WordPress, dajte nám vedieť v komentároch.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map