WordPressi turvalisuse seadistamine pärast installimist. Murrame ja kaitseme WordPressi oma kätega. Paigaldatud komponentide määramine

Täna lugesin Nulledis päris head artiklit veebisaidi turvalisuse parandamise kohta WordPressis. Kuna nulledil olev tekst on nähtav ainult registreeritud kasutajatele, kellel on teatud arv postitusi, siis postitan artikli avalikuks kasutamiseks oma blogisse 😉 Üldiselt kutsun kõiki üles ka seda lugema ning omapoolseid ettepanekuid ja parandusi tegema (kui, loomulikult on neid).

1. Enne paigaldamist;
2. Pärast paigaldamist;
3. Perioodilised kontrollid ja uuendused.

1. Enne paigaldamist

1.1. Kustutame kõik mittevajalikud failid:
readme.html, litsents.txt, hello.php, mittevajalikud teemad ja pistikprogrammid.

1.2. Redigeerime faili wp-config.php õigesti:

define("DB_NAME", "wpdb"); // "wpdb" asemel peate leidma tugeva nime, näiteks wp433Fd6HW
define("DB_USER", "wpuser"); // Näiteks UserFB56SKl
define("DB_PASSWORD", "tugev parool"); // Peaks olema tugev parool, näiteks 'FE876!8e#fh#9fDfds9f'
define("DB_HOST", "localhost"); // 99% juhtudest ei pea seda väärtust muutma
define("DB_CHARSET", "utf8"); define("DB_COLLATE", "");

Muutke salajane võti vaikevõtmest:

define("AUTH_KEY", "izmenite eto na unikalnuyu frazu");
define("SECURE_AUTH_KEY", "izmenite eto na unikalnuyu frazu");
define("LOGGED_IN_KEY", "izmenite eto na unikalnuyu frazu");
define("NONCE_KEY", "izmenite eto na unikalnuyu frazu");

teenust kasutavale loodud

define("AUTH_KEY", "M.uFL(R Bw5UkRw%P&+>E*jJZBikz3-OV7sO*-_g*(9z,PnM,T&LPAE");
define("NONCE_KEY", "d2A~8NBb%2?+6`z)?nWoD0`f]-.gUOC);

Laudade turvalisemaks muutmine:

$table_prefix = "wp_4i32aK_"; // Kasutage ainult tähti, numbreid ja alakriipse, et muuta oma tabeli_eesliide ainulaadseks. Vähemalt kaitseb see teid mõne avaliku ärakasutamise eest.

1.3. Looge MySQL-i konsoolis ajaveebi jaoks kasutaja ja andmebaas:
Esmalt logige sisse administraatorina ja looge ajaveebi jaoks andmebaas:

$ mysql -u juur
mysql CREATE andmebaas wpdb;

$ mysql -u juur
mysql CREATE andmebaas wp433Fd6HW;
Päring OK, mõjutatud 1 rida (0,00 sek)

Seejärel loome kasutaja: sellel kontol on juurdepääs ainult WordPressi andmebaasile. Samuti võime olla kindlad, et kasutajale pääseb ligi ainult kohalikust serverist, mitte eemalt.

mysql>
-> ON wpdb.*
-> SAADA "wpuser"@"localhost"
-> IDENTIFITSEERITUD "tugeva parooliga"; Päring OK, mõjutatud 0 rida (0,01 sek)

Meie näites näeb see välja järgmine:

mysql> TAGA VALIK, LISAMINE, VÄRSKENDAMINE, KUSTUTAMINE, LOO, KUKKUV
-> SEES wp433Fd6HW.*
-> AJALE "UserFB56SKl"@"localhost"
-> TUNNISTAB "FE876!8e#fh#9fDfds9f";
Päring OK, mõjutatud 0 rida (0,01 sek)

1.4. Eemaldage oma teemakoodist metaplokk
Standardteemas metaploki kuvamise eest vastutav koodijupp:

Meta

Kehtiv XHTML

XFN

">WordPress

2. Pärast paigaldamist

2.1. Administraatori vaikeparooli muutmine
Muutke installimise ajal loodud administraatori parooli

2.2. WordPressi versiooni eemaldamine

remove_action("wp_head", "wp_generator");

Kustutage oma teemaga kaustas olevast failist header.php rida:

" />

WordPressi versiooni 2.8.4 jaoks otsige üles funktsiooni get_the_generator($type) rakendus ja muutke seda:

funktsioon get_the_generator($type) (
$gen = "";
return apply_filters("hanki_generaatori_($tüüp)", $gen, $tüüp);
}

2.3. Tühi index.php
Asetage tühi fail index.php kaustadesse wp-includes/, wp-content/, /plugins/

2.4. Administraatori kasutajanime muutmine millekski ebaselgemaks
Muutke nime MySQL-i konsooli kaudu:

wp $ mysql -u UserFB56SKl –p
mysql kasutada wp;
UPDATE wp_users SET user_login="adm" kus user_login="admin";

Meie näites näeb see välja järgmine:

wp $ mysql -u wpuser –p
mysql> kasutage wp433Fd6HW;
UPDATE wp_4i32aK_users SET user_login="adm234Df" kus user_login="admin";
Päring OK, 1 rida mõjutatud (0,01 s) Sobitatud read: 1 Muudetud: 1 Hoiatused: 0

Või kui te ei soovi päringutega jamada, saate teha järgmist.

1. Looge uus konto. Kasutajanimi peab olema kordumatu;
2. Määra uuele kasutajale administraatori roll;
3. Logige uuesti sisse uue administraatorina;
4. Kustutage vana administraatori konto.

2.5. Uute kasutajarollide loomine
Selleks peate esmalt installima oma ajaveebi pistikprogrammi. See pistikprogramm annab teile võimaluse hoolikalt ja täpselt seadistada kasutajaõigusi. Pärast pistikprogrammi aktiveerimist peate esmalt looma endale kasutaja. Eemaldage kõik kasutajaõigused ja seejärel valige hoolikalt ainult need õigused, mida vajate igapäevaseks tegevuseks (postituste kirjutamine, kommentaaride modereerimine jne). Veenduge, et ainult administraatori kontol on õigused pistikprogrammide aktiveerimiseks/desaktiveerimiseks, failide üleslaadimiseks, valikute haldamiseks, teemade vahetamiseks, importimiseks jne.
Kui teie ajaveeb saab olema mitme kasutajaga, siis peate mõtlema, milliseid õigusi kasutajad tegelikult vajavad, ja looma selle põhjal oma rollid.
Rollide loomisel olge ettevaatlik, kui annate kasutajatele selliseid õigusi nagu: failide üleslaadimine, juurdepääs pistikprogrammi lähtekoodi muutmisele, pistikprogrammide aktiveerimine, failide/postituste/lehtede redigeerimine, importimine, filtreerimata HTML, kuna need rollid annavad kasutajatele suuremad volitused.

2.6. Wp-sisu ja wp-includes kaustadele juurdepääsu piiramine
Htaccess-faili ja erireegleid kasutades keelame kõik, välja arvatud piltide, CSS-i ja JavaScripti päringud. Htaccess-failid tuleb paigutada vastavatesse kataloogidesse.

Tellimus Luba, Keela
Keeldu kõigist

Luba kõigilt

Teatud mallide ja pistikprogrammide jaoks saate lisada ka konkreetseid PHP-faile.

2.7. Wp-sisu kataloogi peitmine
Alates WordPress 2.6-st sai võimalikuks wp-sisu kataloogi teisaldamine.
Muutke ridu failis wp-settings.php:

define("WP_CONTENT_DIR",$_SERVER["DOCUMENT_ROOT"]."/blog/wp-content");
define("WP_CONTENT_URL","http://domain.ru/blog/wp-content");

Ja pistikprogrammidega seotud probleemide vältimiseks:

define("WP_PLUGIN_DIR",$_SERVER["DOCUMENT_ROOT"]."/blog/wp-content/plugins");
define("WP_PLUGIN_URL","http://domain.ru/blog/wp-conten/plugins");

2.8. Juurdepääsu piiramine kaustale wp-admin
Kui teil on staatiline IP
See samm on ühe kasutaja ajaveebi jaoks lihtne, kuid mitme kasutajaga ajaveebi jaoks võib see olla paras peavalu. See trikk töötab ainult siis, kui teil on staatiline IP. Wp-admin kataloogi .htaccess fail peaks sisaldama järgmisi reegleid.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Juurdepääsukontrolli näide"
AuthType Basic

käsk keelata, lubada
keelata kõigest
luba alates a.b.c.d. #Teie staatiline IP

Asetage fail wp-admin kataloogi ja proovige sellele kaustale pääseda puhverserveri kaudu. Kui kõik töötab õigesti, keelatakse juurdepääs. Pärast seda proovige oma IP-st sisse logida.

Juurdepääsu piiramine parooliga
Eelistatav on pääseda kausta wp-admin parooliga. See tähendab, et pääsete administraatoripaneelile juurde kõikjalt. See on ka võimalus, kui teil on dünaamiline IP.
Kataloogi wp-admin .htaccess fail peab sisaldama järgmisi reegleid.

#File.htpasswd asub väljaspool teie ajaveebi juurkataloogi

ErrorDocument 401 vaikimisi
AuthUserFile /srv/www/user1/.htpasswd
AuthType Basic
AuthName "WordPressi juhtpaneel"

nõua kasutaja adminuserit #Loo turvaline kasutajanimi

nõua kehtivat kasutajat

Looge parool käsuga:

$ htpasswd -cm .htpasswd administraator

Või kasutage teenust parooli loomiseks. Siin on näide kasutajale: admin , parool: test

administraator:$apr1$t3qLL...$uUmj9Wm/WbJk7YNza6ncM/

Parem on paigutada .htpasswd-fail ajaveebi juure kohal olevasse kataloogi.

2.9. wp-config.php faili
Esimene võimalus: oma andmete kaitsmiseks peate need teisaldama ülalolevasse kausta, WordPress kontrollib automaatselt ülaltoodud kataloogi, kui ta ei leia oma juurest faili wp-config.php.
Kui te ei saa mingil põhjusel ülalkirjeldatuid teha, on veel üks võimalus. Nimelt kaitske oma wp-config.php faili .htaccess abil:

# Protect wpconfig.php

Tellimus keelduda, lubada
keelata kõigest

2.10. Failidele ja kaustadele õigete õiguste määramine
Põhireegel:

1. Failide jaoks - 644
2. Kaustade jaoks - 755

Kestast saab neid toiminguid teha kasutades:

CD
leia (teie tee) -tüüp d -exec chmod 755 ‘()’ \
leia (teie tee) -tüüp f -exec chmod 644 ‘()’ \

2.11. SSL administraatoritele
Kui teie server toetab SSL-i, on parem muuta juurdepääs administraatoripaneelile turvaliseks. Selleks eemaldage failist wp-config.php realt kommentaarid:

define('FORCE_SSL_ADMIN', tõsi);

2.12. Eemalda WordPressi logiväljund
Lisage oma teemaga kaustas olevasse faili functions.php rida:

add_filter("login_errors",create_function("$a", "return null;"));

2.13. Me keelame indekseerimise faili Robots.txt abil
Õigsust saate kontrollida aadressil

2.14. Pluginad teie turvalisuse tagamiseks
Logi sisse LockDown- Määrake valede sisselogimiste arv
Selleks on kaks lahendust kujul ja pluginad. Kui pistikprogramm on aktiveeritud, salvestab see kõik sisselogimiskatsed. Plugin võimaldab teatud ajaks keelata külastajal sisselogimise pärast seda, kui külastaja on mitu korda valesti parooli sisestanud.

Belavir- Peamiste php-failide muudatuste jälgimine

WPIDS– Teeme kindlaks rakendamise märgid

WordPressi võrguturvaskanner– Blogi turvaaukude otsimine

Akismit– AIDSi ja rämpsposti vastu võitlemine

SpamBam– Tehke kindlaks, kas klient kasutab kehtivat brauserit

3. Perioodilised kontrollid ja uuendused

3.1. Hoidke WordPressi ajakohasena
3.2. Hoidke pistikprogrammid ajakohasena
3.3. Olge turvavärskendustega kursis

3.4. Kontrollige teema ja lisatavate pistikprogrammide koodi lekete suhtes
3.5. Võitle rämpspostiga
3.6. Tehke oma ajaveebi andmebaasist regulaarselt täielik varukoopia
3.7. Loe arendusblogisid
Väike nimekiri:

Enamik inimesi arvab, et nende WordPressi veebisait oli turvaline ainuüksi seetõttu, et sellel ei olnud häkkimist väärt sisu. Kahjuks ei ole. Veebisaitidele häkitakse sageli sisse, näiteks rämpsposti levitamiseks. Või on põhi- ja teemafailid täidetud pahatahtliku koodiga, et nakatada ja häkkida teie saidi külastajate arvuteid. Võimalik, et märkasite kahju alles siis, kui Google või Yandex oli teie saidi juba märgistanud või selle registrist eemaldanud. Ärge laske sellel juhtuda ja kaaluge minu näpunäiteid täiusliku wp-config.php jaoks.

Oma WordPressi veebisaidi häkkimise eest kaitsmiseks on palju võimalusi. Optimeerimist võib pidada hea turvastrateegia oluliseks osaks. Loomulikult ei muutu sait pangaks, kuid olete häkkerite jaoks selle pisut raskemaks teinud.

Wp-config.php optimeerimiseks kasutatakse nn konstante. WordPressil on palju konstante, mida saab kasutada. Aga mis on konstant? PHP.net kirjeldab konstante järgmiselt:

Konstant on lihtväärtuse identifikaator (nimi). Nagu nimigi ütleb, ei saa see väärtus skripti täitmise ajal muutuda (maagiliste konstantide puhul, mis pole tegelikult muud kui konstandid). Konstant on vaikimisi tõstutundlik. Kokkuleppeliselt on püsivad identifikaatorid alati suurtähtedega.PHP.net

Konstandid on sisse ehitatud define()-funktsioonidesse ja näevad välja järgmised: define("CONSTANT_NAME_OF_CONSTANT", väärtus);

wp-config.php on WordPressi juhtfail. See laaditakse enne kõiki teisi faile, kuna WordPress peab seadistama andmebaasiühenduse. Vajalik teave on konfiguratsioonifailis. Kui muudate konstandi väärtust või lisate konstandi, saate muuta ka WordPressi käitumist.

Enne tööd: looge failist wp-config.php varukoopia

Enne faili wp-config.php redigeerimise alustamist looge varukoopia see fail. Teie sait ei tööta valede või puuduvate kirjetega.

Tähtis: värskendage alati WordPressi ja pistikprogramme

Tõenäoliselt olete seda juba mitu korda kuulnud. Kuid see aspekt on nii oluline, et ma ei saa seda piisavalt sageli korrata. Palju saite on häkitud, kuna WordPressi või pistikprogramme ei värskendatud. Värskendused on parim kindlustus häkkimise vastu!

Turvaolukord:

Turvaeksperte Sucuri hoiatatakse nüüd WordPressi populaarse Jetpacki pistikprogrammi turvavea eest. Pahatahtlikku koodi saab juurutada funktsiooni shortcode-embedding-funktsiooni abil. Automattic vastab tõepoolest peagi ja annab välja uue versiooni.

Kuidas praegu turvaauku kaotada:

Kui kasutate, ei ole te ohus. Seal on suur 6G tulemüür, mis suudab seda tüüpi rünnakuid tõrjuda.

Ettevalmistus:

Kõigi järgnevate tööde jaoks vajate programmi ja HTML-redaktorit. wp-config.php laaditakse alla töölauale, redigeeritakse HTML-redaktoris ja laaditakse tagasi serverisse.

1 – Kasutage turvavõtmeid

WordPressi turvavõtmed on kriitilise tähtsusega, näiteks selliste asjade krüptimine nagu küpsistes olevad sisselogimisandmed. Isegi kui teie wp-config.php juba olemas, nende asendamine mõne aja pärast ei saa kahjustada. Kui võtmed muutuvad, logitakse kõik kasutajad oma saitidelt välja. Seejärel saate oma kasutajanime ja parooliga uuesti sisse logida.

Kui aga saiti on juba häkitud, peate esmalt eemaldama oma saidilt pahatahtliku koodi. Juhised selle kohta leiate lisateabest selle aspekti kohta. Pärast seda külastage WordPressi turvavõtme generaatorit ja kopeerige uus komplekt. Asendage vana osa uutega – vaadake ekraanipilti:

Kui te pole veel turvavõtmeid rakendanud, on nüüd õige aeg seda teha.

Lisainformatsioon:

2 – HTTPS-i sunnitud kasutamine

SSL-sertifikaat krüpteerib ühenduse teie saidi ja külastajate brauserite vahel. HTTPS muudab häkkeritel isikuandmete püüdmise ja varastamise võimatuks. Kui teil on saidi jaoks juba SSL-sertifikaat, saate sundida seda kasutama HTTP asemel HTTPS-i. See suurendab oluliselt teie saidi turvalisust. Kui teil SSL-sertifikaati pole, peaksite selle kasutamist siiski tõsiselt kaaluma.

Suuri väljaminekuid ei pea kartma, sest...

Kui teie sait juba kasutab SSL-i, tuleks kasutada järgmisi kirjeid. Ülemine sisselogimine on mõeldud turvaliseks sisselogimiseks, alumine aga sunnib brauserit kasutama ainult SSL-i.

Igas WordPressi installis saate muuta teema ja pistikprogrammide faile otse administraatorialal. Menüüpunktidest “Välimus” ja “Pluginad” leiate iga faili jaoks vastava redaktori. See toimetaja on häkkerite kätte sattudes väga ohtlik. Andmed võivad hävida ning lisada viiruseid, troojalasi, rämpsposti ja muud pahavara. Kuid toimetaja on oluline ka veebilehe administraatori jaoks. Ainus viga, üks semikoolon on puudu, on vaja ainult vanasõna valgete lehtede ilmumiseks ja miski muu ei tööta.

3 – andmebaasi prefiksi muutmine

Andmebaasi prefiksit tuntakse ka tabeli prefiksina. Seda eesliidet kasutatakse laiendusena igale WordPressi loodud andmebaasitabelile. Siin on standard wp_. See standard tuleb muuta millekski muuks. Mida salapärasem, seda parem. Ärge muretsege; Te ei pea meeles pidama, mida siia sisestasite. See väärtus asetatakse üks kord.

Sellele mõeldes väheneb SQL-i süstimise võimalus nullini. Aga see on võimalik. Seega muutke väärtust enne WordPressi installimist. Kasutage midagi sellist fdf2a7r_, Näiteks.

Tähelepanu: Kui muudate olemasoleva WordPressi installi väärtust, ei ole veebisait enam juurdepääsetav!

Kui soovite muuta olemasoleva WordPressi saidi tabeli eesliidet, võib teid aidata pistikprogramm Acunetix WP Security. See võimaldab teil väärtust lihtsalt muuta ja peate vaid uuesti sisse logima. Siiski peaksite siiski eelnevalt varukoopia looma.

4 – Lülitage välja pistikprogrammide redaktorid ja teemad

Teema või pluginafailide muudatused tehakse tavaliselt (S)FTP-ga, kuna see on palju turvalisem. Seega tuleks toimetajad välja lülitada. Mõlema redaktori ohutuks keelamiseks piisab ühest reast failis wp-config.php:

5 – teisaldage wp-config.php

wp-config.php on teie veebisaidi süda. Sinna sisestatakse kõik asjakohased andmed, sealhulgas andmebaasi paroolid. Seetõttu on äärmiselt oluline hoida seda faili võimalikult turvalisena. Selleks on kaks lähenemist. Esimene juurdepääsuplokk, mis kasutab .htaccess-faili. Teine lähenemine viib faili teise kohta, kus häkker seda ei oota.

Selle teisaldamine võib olla problemaatiline, kui sait asub alamdomeenil ja kasutate odavat jagatud hostimist.
See võib muutuda keeruliseks ka siis, kui teil on kasutajakataloogides palju veebisaite. Kui ükski punktidest teie kohta ei kehti, saate faili teisaldada.

Kui olete WP-config.php tee õigesti seadistanud, peaks teie sait töötama.

6 – sunnib kasutama FTPS-i

Kui teie veebimajutaja on lubanud FTPS-i (File Transfer Protocol Secure), saate sundida failiedastuseks FTPS-i kasutama. See krüpteerib külastaja ja serveri vahelise suhtluse. Nüüd on ebaturvalise protokolli kaudu serveris olevatele andmetele juurdepääs võimatu. FTP on ebaturvaline, kuna juurdepääs teabele edastatakse serverisse krüptimata kujul. Seetõttu kasutage võimalusel ainult turvalist ühendust FTPS-i kaudu. Teie veebimajutaja võib teile öelda, kas FTPS-ühendus on võimalik.

FTPS-i kasutamise sundimine on lihtne:

7 – SFTP sunniviisiline kasutamine

FTPS-protokolli asemel on mõned hostid lubanud andmeedastuseks SFTP-protokolli. Siin krüpteeritakse ka FTP kasutajaprogrammi ja serveri vaheline side. Järgmine koodirida võimaldab teil sundida SFTP-d kasutama:

8 – Silumisrežiimi keelamine

Kui olete WordPressi silumisrežiimi arendamise eesmärgil lubanud, on oluline see välja lülitada. Mõnel juhul võib aktiivne silumisrežiim edastada tundlikke andmeid, mis aitavad häkkeritel oma tööd teha. Seetõttu on silumisrežiim reaalajas süsteemis äärmiselt ohtlik. Ma tegin selle väikese rumala vea; inimesed unustavad asjad kiiresti. Seetõttu peaksite kontrollimiseks kiiresti tegutsema. Silumisrežiimi keelamine:

9 – lülitage PHP veateade välja

Kui teil on mingil põhjusel vaja silumisrežiimi lubamist, soovitan veateadete avaliku kuvamise välja lülitada. Vastavad veateated võidakse kirjutada ka logisse, mis pole üldsusele kättesaadav. See on palju turvalisem ja elegantsem valik. See konstant on vajalik WordPressi vearežiimist väljumiseks ja ka vea kuvamise vältimiseks kolmandatele osapooltele:

10 – automaatse värskenduse funktsiooni lubamine

Nagu ma varem mainisin, on WordPressi tuuma ja kõigi pistikprogrammide viivitamatu värskendamine teie süsteemi turvalisena hoidmiseks ülioluline. Iga uue WordPressi versiooniga avalikustatakse Internetis selle eelkäijate turvaaugud. See annab häkkerile tugeva aluse teie saidile häkkimiseks. Seetõttu tuleb need puudused võimalikult kiiresti kõrvaldada.

Näiteks WordPressi versioon 3.7, millel on väiksemad turvavärskendused ja need viiakse läbi automaatselt. Suurte värskenduste esialgsete versioonide puhul see aga nii ei kehti. Suuremaid versioone tuleb endiselt käsitsi värskendada. Automaatsete värskenduste lubamine kõigi WP versioonide jaoks on aga väga lihtne:

Muide, seda saab pistikprogrammide abil ka automaatselt värskendada. Siiski hõlmab see veidi tööd. Selleks on vaja luua pistikprogramm:

See pistikprogramm tuleks teisaldada kausta /wp-content/mu-plugins/. Kui kausta pole, looge see lihtsalt. Kaust /mu-plugins/ sisaldab "kasutatud" pluginaid. Selle sisu laadivad kõik koos teiste pistikprogrammidega.

Teema automaatset värskendamist saab teha samal viisil. Selleks tuleb pluginat laiendada järgmise reaga:

Hankige nende automaatsete pistikprogrammide kohta eelnevalt teavet ja kasutage koodi ainult siis, kui teate täpselt, mida see teeb. Muidugi on need kaks filtrit siiani võimelised toetama ainult neid pistikprogramme ja teemasid, mis pärinevad ametlikust WordPressi versioonist. Muust allikast pärit teemasid ja pistikprogramme loomulikult ei värskendata.

Lisainformatsioon:

Järeldus

Kõik need aspektid koos suurendavad oluliselt teie WordPressi turvalisust ja peaksid olema osa heast turvastrateegiast. Asjaolu, et WordPress on maailma populaarseim sisuhaldussüsteem, tõmbab ligi palju häkkereid. Olukorda võib võrrelda Windows OS-iga arvutiga. Windowsi operatsioonisüsteemis installige viirusetõrjetarkvara ja WordPress võtab veidi käsitsi tööd. Kuid turvalisuse kasv on seda kindlasti väärt.

Tõlge

Iga veebirakenduse haldusala on pikka aega muutunud häkkerite lemmiksihtmärgiks ja selle turvalisus on arendajatele väga mures. See kehtib ka WordPressi kohta - uue ajaveebi installimisel loob süsteem reaalajas unikaalse juhuslikult genereeritud parooliga administraatori konto, mis blokeerib kõigi juurdepääsu süsteemiseadetele, kontrollides seda autoriseerimislehe kaudu.

See artikkel keskendub WordPressi turvalisuse tugevdamisele – nii administraatoripaneelile kui ka ajaveebi sätetele ehk kogu kausta sisule "wp-admin", mis kuvatakse ainult pärast volitamist. Rõhutasime meelega fraasi " pärast volitamist" - peate selgelt aru saama, et ainult üks lihtne taotlus eraldab "kurja häkkeri" kogu teie ajaveebi või veebisaidi administraatorist! Ja viimane on kaitstud ainult nii tugevalt kui teie valitud parool.

Häkkerite ülesande palju keerulisemaks muutmiseks pakume toimingute komplekti, mida saate käsitsi teha. Need lahendused ei taga 100% kaitset, kuid nende abiga parandad oluliselt oma blogi turvalisust.

1. Nimetage WordPressi kaust ümber.

Alates versioonist 2.6 on muutunud võimalikuks kausta tee muutmine wp-sisu. Kahjuks ei kehti see kausta puhul ikka veel wp-admin. Turvateadlikud blogijad nõustusid sellega ja hakkasid lootma, et see on tulevastes versioonides võimalik. Kuni seda ei juhtu, soovitame probleemi lahendamiseks kasutada järgmist alternatiivset lahendust. Pärast arhiivi lahtipakkimist WordPressi failidega näete kausta "WordPress" - nimetage kaust ümber (ideaaljuhul millekski ebaselgeks, näiteks " wordpress_live_Ts6K" ) ja seejärel konfigureerige fail vastavalt wp-config.php, mis asub juurkataloogis.
Mida see muutus meile annab?

Esiteks ei segata kõiki WordPressi faile saidi juurtes teiste failidega, suurendades seeläbi juurtaseme selgust.
Teiseks saab installida mitu WordPressi koopiat paralleelselt erinevate nimedega kaustadesse, välistades nende interaktsiooni, muutes selle testimiseks ideaalseks
Kolmas eelis puudutab otseselt turvalisust: haldusala (ja kogu ajaveebi tervikuna) ei asu enam juurkaustas ja häkkimistoimingute tegemiseks peate selle esmalt üles leidma. See on inimeste jaoks problemaatiline, kuid robotite puhul on see aja küsimus.

Juurkataloogis mitu installitud versiooni - see on võimalik!

Märge: Kui WordPressi süsteemifailid ei ole enam juurkataloogis ja installikausta nime muudetakse vastavalt ülalkirjeldatud soovitustele, on ajaveebi endiselt saadaval aadressil wp-config.ru. Miks? Minge oma ajaveebi jaotisesse „Üldised seaded” ja sisestage väljale „WordPressi aadress (URL)” serveris olev ajaveebi tegelik aadress, nagu on näidatud näites:

Blogi aadress peaks olema ilus ja märkamatu

See võimaldab ajaveebi kuvada kenal virtuaalsel aadressil.

2. Täiustage faili wp-config.php

WordPressi konfiguratsioonifail wp-config.php sisaldab mõningaid saidi sätteid ja teavet andmebaasile juurdepääsuks. Samuti on muid turvalisusega seotud sätteid (need on toodud allolevas loendis). Kui selles failis selliseid väärtusi pole või need on ainult vaikeväärtused, peate need vastavalt lisama või muutma:

Turvavõtmed: Alates versioonist 2.7 on WordPressil neli turvavõtit, mis tuleb õigesti seadistada. WordPress säästab teid nende ridade automaatse väljamõtlemise eest genereerivad turvalisuse seisukohast õiged võtmed. Peate lihtsalt kleepima võtmed faili vastavatele ridadele wp-config.php. Need võtmed on kohustuslik et tagada oma ajaveebi turvalisus.
Äsja installitud WordPressi ajaveebi tabeli eesliide ei tohiks olla standardne "wp_" Mida keerulisem on eesliite väärtus, seda väiksem on tõenäosus, et teie MySQL-i andmebaasis olevatele tabelitele tekib volitamata juurdepääs. Halvasti: $table_prefix = "wp_"; . Palju parem: $table_prefix = "wp4FZ52Y_"; Ärge kartke seda väärtust unustada – peate selle sisestama ainult üks kord, enam ei vaja te seda.
Kui see on teie serveris saadaval SSL-krüptimine, on soovitatav lubada see haldusvööndi kaitseks. Seda saab teha, lisades faili wp-config.php järgmise käsu: define("FORCE_SSL_ADMIN", true);

Konfiguratsioonifailis saate reguleerida ka muid süsteemisätteid. Selge ja põhjalik saadaolevate seadete loend on saadaval lehel Kood

Ärge unustage õigete turvavõtmete paigaldamist!

3. Teisaldage fail wp-config.php

Alates versioonist 2.6 võimaldab WordPress ka faili teisaldada wp-config.php kõrgeimale tasemele. Kuna see fail sisaldab palju olulisemat teavet kui ükski teine ja kuna serveri juurkaustale on alati palju keerulisem pääseda, on mõistlik salvestada see muusse kataloogi kui ülejäänud failid. WortdPress otsib faili otsimisel automaatselt kõrgeimat kausta wp-config.php. Kasutajate katsed ise teed konfigureerida on kasutud.

4. Kaitske faili wp-config.php

Kõik Interneti-teenuse pakkuja serverid ei võimalda teil andmeid üle kanda juurkataloogist kõrgematele tasemetele. Teisisõnu, kõigil ei ole piisavalt õigusi eelmise sammu lõpuleviimiseks. Või muudel põhjustel: näiteks kui teil on mitu ajaveebi, ei saa te teatud kaustastruktuuriga kõiki faile juure panna, kuna nende nimed on kõigil blogidel samad. Sel juhul saame failile juurdepääsu keelata wp-config.php väliselt faili kasutades .htaccess. Siin on selle kood:

# Protect wpconfig.php
Telli keelamine, luba keelamine kõigilt

Väga oluline on veenduda, et fail .htaccess asub failiga samas kataloogis wp-config.php.

5. Eemaldage administraatori konto.

Installimise käigus loob WordPress vaikimisi administraatori konto kasutajanimega “admin”. Ühest küljest on see üsna loogiline, teisalt on kasutaja tuntud hüüdnimega, st. ID - 1, millel on administraatoriõigused, on häkkeritele oma parooli arvamise programmidega täiesti etteaimatav sihtmärk. See on meie nõuanne:

Looge teine administraatoriõigustega kasutaja ja oma hüüdnimi.
Lõpetage oma tööseanss.
Logige sisse uue kontoga.
Kustuta oma konto" admin".

Kui teil pole uut ajaveebi ja konto all admin Kui olete juba postitusi või kommentaare avaldanud, valige kustutamise ajal pakutud valikute hulgast "Lingi kõik postitused ja lingid:" ja valige uue kasutaja nimi:

Märge: Ideaalis on soovitav, et uue kasutaja sisselogimine erineks postitustes kuvatavast kasutajanimest, et keegi teie sisselogimist ära ei tunneks.

6. Valige tugev parool.

Võimalike rünnakute tõenäosus ja sagedus sõltub otseselt ajaveebi populaarsusest. Ja kuni selle hetkeni on soovitatav olla kindel, et teie saidil pole turvaahela nõrku lülisid.

Enamasti on paroolid selle ahela nõrgim lüli. Miks? See, kuidas enamik kasutajaid parooli valib, on sageli läbimõtlematu ja hoolimatu. Paljud uuringud on näidanud, et enamik paroole on ühesilbilised olemasolevad sõnad, mis on trükitud väiketähtedega ja mida pole raske ära arvata. Parooli arvamise programmidel on isegi kõige sagedamini kasutatavate paroolide loend.

WordPress on rakendanud sisestatava parooli tugevuse intuitiivse indikaatori, mis näitab selle keerukuse taset värviliselt:

7. Kaitske kausta “wp-admin”.

Järgides vanasõna "kaks pead on parem kui üks", on võimalus haldusala turvalisust kahekordistada. Turvalisust reguleerib fail .htaccess, mis peaks olema kaustas "wp-admin" koos failiga .htpasswd, mis salvestab kasutaja sisselogimise ja parooli. Pärast kausta sisenemist peate sisestama oma kasutajanime ja parooli, kuid erinevus seisneb selles, et antud juhul kontrollib autoriseerimist serveri pool, mitte WordPress ise.

Failide hõlpsaks ja kiireks genereerimiseks .htaccess Ja .htpasswd, kasutage seda teenust .

8. Keelake sisselogimislehel vigade kuvamine.

WordPressi sisselogimisleht on uks teie ajaveebi haldusalasse, mis muutub juurdepääsetavaks pärast veavaba kontrollimist. Igal kasutajal on lõpmatu arv sisselogimiskatseid ja iga kord annab abistav WordPress vaikimisi teada, milles viga täpselt oli. See tähendab, et kui sisestatud sisselogimine osutub valeks, ütleb WordPress seda. See on mugav kasutajale, aga ka häkkerile.

Lihtne on arvata, kui kiiresti väheneb sisselogimise/parooli kombinatsiooni valimise tõenäosus, kui süsteem annab teada, mis täpselt on valesti sisestatud. Lihtne koodirida aitab seda probleemi lahendada, lisage see lihtsalt faili funktsioonid.php sinu teema:

Add_filter("login_errors",create_function("$a", "return null;"));

Sisselogimislehe algne/muudetud välimus.

9. Piirake ebaõnnestunud sisselogimiskatsete arvu.

WordPress ei pea statistikat nii edukate kui ka ebaõnnestunud volituste kohta. See on administraatori jaoks väga ebamugav, kuna tal pole võimalust näha, kas on tehtud volitamata juurdepääsu katseid, et nende sagedasemaks muutumise korral võtta meetmeid. Pakume kahte lahendust: pluginad

Tahaksin märkida, et viimasel ajal olen saanud vähem päringuid turvaseadete, ohtude ja viiruste kõrvaldamise kohta. Ja sarnaseid teemasid tekkis foorumites vähem.

Kas koodi kvaliteet on stabiliseerunud või saidiomanikud on oma vastutust suurendanud. Loodan, et mõlemad tegurid olid mängus.

Nakatumise oht on aga alati olemas, seega tuleks oma saidi kaitsele pöörata piisavalt tähelepanu.

Häkkimise põhjused praktikas taanduvad kahele asjale:

hüljatud ja toetamata pistikprogrammid- peate alati installima värskendusi;
seotud paroolide ja õigustega— peate selle üks kord õigesti seadistama ja sellest kinni pidama;

Iga veebisait on vastuvõtlik häkkimisele, seega on ainus viis end tõeliselt kaitsta, luua varukoopia.

Tõsiselt.

Seadistage varukoopia loomine! Võib-olla pistikprogrammi abil või otse teie hostimisel.

Sõna otseses mõttes murdsin just hiljuti rumalate katsete tulemusel oma meediumifailid, kuid kui koopia oli saadaval, suutsin andmebaasi paari minutiga taastada.

Ajakava seadistamine sõltub sellest, mis ja kui sageli teie saidil konkreetselt muutub.

Ärge lisage tarbetut koodi

WordPress on väga paindlik ja laiendatav. See on suurepärane võimalus. Kuid teisest küljest võivad ettevõtlikud ja mitte eriti tehnikatundlikud veebisaitide omanikud oma veebisaiti väga kiiresti ebavajaliku koodiga üle koormata.

Esiteks on see saidi jõudluse hitt. .
Teiseks paneb Teie saidi turvalisus on ohus viirusinfektsioon ja suurendab häkkimise tõenäosust.
Kolmandaks, sa lihtsalt vajad rohkem aega selle haldamiseks ja toetamiseks. Kui installite teema jaoks uue pistikprogrammi või funktsiooni, hinnake selle tegelikku vajadust.

Head küsimused võivad olla:

Kuidas ma saan sellest uuest pistikprogrammist loobuda? Võib-olla näete alternatiivseid võimalusi või pole vaja seda üldse kasutada.
Milleks mul seda pluginat tegelikult vaja on? Mis kasu ma selle kasutamisest saan?

Täisfunktsionaalse veebisaidi jaoks piisab umbes kümnest kõige vajalikumast pluginast (mis sisaldab SEO pluginat, saidikaitse pluginat, vahemällu salvestamise pluginat, rämpspostitõrjet, kontaktivormi ja struktuuri jaoks võib olla mitu konkreetset pluginat saidi või selle sisu kohta).
Kui teie saidile on installitud 30–50 pistikprogrammi, siis teete selgelt midagi valesti.

Samuti ei piisa lihtsalt kasutamata pistikprogrammide desaktiveerimisest, kõige parem on need täielikult eemaldada. Koos kasutamata teemadega.

Järgige lihtsat, kuid tõhusat põhimõtet:

Vähem koodi, vähem probleeme.

Ärge andke teistele osalejatele õigusi, mis ületavad nende kohustusi

Teeme asja selgeks. Keegi ei vastuta teie saidi turvalisuse eest nii palju kui teie.
Kui annate oma kontod või administraatorirollid kellelegi, keda usaldate, ohustate oluliselt oma saidi turvalisust. Ma ei väida, et isik, kellele olete andnud kõrgendatud õigused, häkkib teie saiti rõõmsalt, kuid ta võib seda ilma igasuguse kavatsuseta hõlbustada. Mõelge sellele, et tema arvuti ei pruugi olla nii kaitstud kui teie oma (näiteks pole installitud töötavat viirusetõrjet) ja kõik teie jõupingutused saidi kaitsmiseks lähevad raisku.

Piirake rolle, mida inimestele annate. Kui soovite, et inimene lihtsalt artikli avaldaks, pole teil üldse vaja administraatori kontot.
Kuid on aegu, mil peate tõesti andma täielikud õigused. Näiteks palusite vabakutselisel saidil koodi muuta.
Sel juhul genereerige kohe pärast töö lõpetamist uus tugev parool ja looge ka WordPressile uus salajane võti, et tööküpsised täielikult kustutada.

Värskendage oma saiti ja pistikprogramme

Selle artikli alguses märkisin ma seda probleemi juba saidi toimimist ohustava peamise allikana.

Iga päev rünnatakse miljoneid veebisaite. See võimaldab arendajatel kiiresti leida ohtlikke turvaauke ja neid tulevaste värskenduste käigus parandada. Kuid kui te seda reeglit eirate, võite igal päeval saada häkkimise ohvriks.
Enamasti toimuvad uuendused tõrgeteta, tuleb vaid vaadata muudatuste lehekülge, kuhu autor saab märkida mõned olulised märkused täiustuste, veaparanduste ja haavatavuste kohta.

Kui teil on installitud üle 30–50 pistikprogrammi, ei võta värskendusprotsess palju aega ja toimub tavaliselt 2–3 korda kuus. Hea une eest õiglane hind.

Juhtub, et laisad algajad arendajad redigeerivad pistikprogrammi faile otse ja nende värskendamine muutub keeruliseks. Kuid seda ei saa ühel või teisel viisil vältida.

Sama probleem ilmneb esmaklassiliste teemade puhul, mis hõlmavad täiendavaid lisatasu pluginaid, nagu Visual composer, Revolution liugur, Kihi liugur jne.

Omanikud kohandavad saiti, panevad selle tööle soovitud viisil ja kardavad arusaadavalt seda värskendada.
Praktikas hakkavad sellised saidid kuue kuu või aasta pärast lagunema: midagi on värskendatud, midagi mitte, tekivad konfliktid, pidurdub jne.

See on tavaline olukord, seega pöörake tähelepanu kahele asjale:

tehke lapse teema— minutite küsimus, kuid aitab edaspidi hõlpsalt uuendada;
Anna oma parim Ärge muutke teemas palju koodi— kui see on vajalik, siis äkki oleks parem kirjutada lisafunktsionaalsust?

Muidugi on lihtsam kood otse teemas parandada, kuid värskendused kaotavad. Enda kaitsmine on selles osas kõrgem prioriteet.

Määrake tugevad paroolid

Tugevad paroolid aitavad teil vältida jõhkra jõu rünnakut, st seda, et keegi arvab teie parooli ära. Kui teie parool sisaldab ainult 3-4 tähemärki ja kasutate sisselogimist admin, siis saab teie saiti häkkida vähem kui 1 minutiga! Mõtle selle üle.

Samuti ei piisa 5-6 tähemärgist paroolis, hea parool algab 8 tähemärgiga. Samuti on väga oluline mitte kasutada lihtsaid sõnu sõnastikust, vaid kasutada erinevatel juhtudel tähtede kombinatsiooni, numbreid, kirjavahemärke ja erimärke.

Loomulikult pole sellist parooli lihtne välja mõelda, veel vähem meelde jätta ja kasutada. Siin tulevad teile appi automatiseeritud rakendused: 1parool, keepass, lastpass. Valige üks ja laske neil teie paroolide salvestamise eest hoolitseda.

Kasutage usaldusväärseid allikaid

Kui laadite alla lisandmooduleid kolmandate osapoolte saitidelt, eriti igasugustel wareznikkidel ja tasuta torrentidel, ohustate oluliselt oma saidi toimimist.

Isegi kui külastate vajaliku pistikprogrammi või teema lehte ja teile tundub, et selle autorit saab usaldada, pole see tegelikult nii. Miks?

Kuna selle pistikprogrammi koodi ei ole mingil viisil funktsionaalsuse ja haavatavuste suhtes testitud, nagu seda teevad arendusmeeskond ja kogukond saidil https://wordpress.org/plugins/, ning tõenäoliselt võib see sisaldada riskantset koodi. isegi ilma selle autori kavatsuseta.

Meetmena WordPressi turvalisuse parandamiseks installige pistikprogrammid ja teemad ametlikust hoidlast või väga suurte ettevõtete hoidlatest, mille terviklikkuses ja maines olete kindel.

Lubage oma arvutis viirusetõrje

Ilma korraliku viirusetõrjeta on arvutis ohutu töötamine ilmselt mõeldamatu. Ma ei soovita ühtegi neist, kuid hea rusikareegel on kasutada mainekat kaubamärki ja eelistatavalt täisteenust pakkuvat kaubamärki.
Hea viirusetõrje värskendab iseseisvalt oma koodi ja viirusetõrje andmebaase, nii et te ei pea praktiliselt selle toimimist jälgima.

Ärge sisestage paroole avalikes WiFi-piirkondades

Avalikes kohtades, kus on Wi-Fi, saab igaüks liiklust pealt kuulata ja kui see pole krüptitud, saab ründaja hõlpsasti teie teabe kätte saada.

Kasutage krüpteeritud edastusmeetodit. Looge ja konfigureerige oma veebisaidile SSL-sertifikaate. Teil on meelerahu, teades, et olete kaitsnud oma veebisaiti ja kasutajate andmeid.

Kaitstud failid ja süsteemikataloogid

Õiged failide ja kataloogide õigused

Määrake failide jaoks õigused 644-le ja kataloogidele 755-le, see tähendab, et kirje on saadaval ainult omanikule - teile. See vähendab potentsiaalsete ohtude ohtu, eriti jagatud hostimise puhul.
Saate õigusi käsitsi muuta hostimise juhtpaneeli või ftp-kliendi kaudu.

Kui teil on shell-juurdepääs, saate õigusi määrata kahe käsuga.

Kataloogide jaoks:

Leia /tee_teie_wordpressi_kausta/ -tüüp d -exec chmod 755 () ;

Failide jaoks:

Otsige üles /tee_teie_wordpressi_kausta/ -tüüp f -exec chmod 644 () ;

Oluliste failide ja kataloogide kaitsmine – (wp-admin/, wp-config.php, wp-login.php, wp-includes)

Kaitske /wp-admin/.
Sellel aadressil avaneb teie saidi halduskonsool.

Mõnel hostimissaidil saate selle kausta jaoks parooli luua otse juhtpaneelil

Või saate seda teha käsitsi.
Selleks tuleb kasutada htpasswd failigeneraatorit, seejärel kopeerida saadud fail oma serverisse, näiteks oma wordpressi installeerimise kohal olevasse kataloogi.

Viimane samm on luua või avada .htaccess-fail oma saidi juurkaustas ja sisestada sinna järgmine kood:

AuthName "Wordpressi konsool" AuthUserFile /tee_teie_faili/htpasswd AuthGroupFile /dev/null AuthType basic nõuab kasutaja kasutajanime

Asendage nõutud väärtused.

Faili wp-login.php kaitsmine.

Kui teil on vaja IP-aadresside järgi sisselogimist piirata, sisestage faili .htacesss järgmised juhised:

Telli keelamine, luba keelata kõigilt Luba alates xxx.xxx.xxx.xxx

Seega keelate esmalt juurdepääsu kõikidest allikatest, seejärel avate juurdepääsu ainult konkreetsetele IP-dele. Järjekord on oluline.

Faili wp-config.php kaitsmine.

Teisaldage see fail oma wordpressi juurkaustast kõrgemal asuvasse kausta. Määrake failiõigusteks 400 või 440, nii et teile ja teie serverile on saadaval ainult lugemisõigused.

Kui te ei saa faili üle kanda, lisage faili .htaccess ülaossa järgmine kood, mis keelab juurdepääsu failile wp-config.php täielikult:

Telli luba, keela keela kõigilt

Kaitse wp- sisaldab/.

WordPressi turvalisuse edasiseks parandamiseks saate täitmist piirata
skriptid kaustas wp-includes/. Lisage failile .htaccess järgmine kood:

RewriteEngine rakenduses RewriteBase / RewriteRule ^wp-admin/includes/ - RewriteRule !^wp-includes/ - RewriteRule ^wp-includes/[^/]+.php$ - RewriteRule ^wp-includes/js/tinymce/langs/+. .php - RewriteRule ^wp-includes/theme-compat/ -

Kui teil on mitme saidi režiim, kommenteerige rida

"RewriteRule ^wp-includes/[^/]+.php$ -"

Ärge lubage otsingurobotidel teeninduslehti töödelda

Kontrollige faili robots.txt.

User-agent: * Disallow: /feed/ Disallow: /trackback/ Keela: /wp-admin/ Keela: /wp-content/ Keela: /wp-includes/ Keela: /xmlrpc.php Keela: /wp-

Need on kõik WordPressi teenusekaustad, mida otsingumootor ei tohiks indekseerida.

Peidake oma WordPressi versioon potentsiaalsete häkkerite eest

Versiooniteave on päises ja RSS-kanalites:

Selle sealt eemaldamiseks peate aktiivse teema faili functions.php lisama järgmise koodi:

Funktsioon wp_remove_version() ( tagastab ""; ) add_filter("generaator", "wp_remove_version");

Muutke administraatori konto nime

Vaikimisi loob WordPress selle nime all konto admin, mis muudab häkkimise lihtsamaks toore jõuga rünnaku abil. Peate seda kindlasti muutma.

Selleks minge rakenduse abil oma andmebaasi phpmyadmin, otsige laud üles wp_users(eesliide võib erineda), on sissekanded koos mandaadiga. Avage redigeerimiseks administraatori kasutajakonto.

Põllul kasutaja sisselogimine väärtust muuta admin oma uuele eelistatud sisselogimisele ja klõpsake Mine.

Muutke andmebaasi eesliide

Kui installisite CMS-i oma hostimise juhtpaneelilt, on suur tõenäosus, et saidil on juba muudetud eesliide. Selle jaoks on olemas ka valmis pluginad, kuid seda saab teha ka käsitsi.

Tehke oma andmebaasist varukoopia phpmyadmini abil;
Avage fail lihtsas tekstiredaktoris ja asendage eesliide "wp_" oma uue prefiksi väärtusega;
Deaktiveerige kõik oma pistikprogrammid;
Kustutage vana andmebaas ja importige see uue eesliitega;
Uue prefiksi kasutamiseks muutke failis wp-config.php andmebaasi sätteid;
Aktiveerige vajalikud pistikprogrammid;
Värskendage CNC/püsilinke.

Lubage oma veebisaidil SSL

Kui saite SSL-sertifikaadi, lubage wp-failis SSL-i tugi
config.php:

Define("FORCE_SSL_LOGIN", true); define("FORCE_SSL_ADMIN", true);

Sellel saidil on Cloudflare'i sertifikaat, mis väljastatakse tasuta, kuid peate selle teenuse ühendama ja konfigureerima.

Piirake sisselogimiskatsete arvu

Kui märkate oma serveri logides aktiivset jõhkra jõu rünnakut, saate seda vältida, piirates sisselogimiskatsete arvu, kasutades pistikprogrammi Limit Login Attempts.

Pistikprogrammi pole 2 aastat värskendatud, kuid see on läbinud miljon installimist ja saanud selle toimivuse kohta häid hinnanguid, sealhulgas WordPressi praeguste versioonide puhul.

Pistikprogrammi ja teemafailide redigeerimise keelamine halduskonsoolis

Kui te ei kasuta administraatoripaneelil failide redigeerimist, saate saidi turvalisuse suurendamiseks selle funktsiooni keelata. Kirjutage faili wp-config.php järgmine rida:

Define("DISALLOW_FILE_EDIT", true);

Kui teie sait on häkitud

Keela sait
Teavitage oma teenusepakkujat, teised saidid võivad olla nakatunud
Tehke saidi varukoopia
Muutke failis wp-config.php kõik paroolid
Installige WordPress uuesti, see asendab mootorifailid värskete koopiatega
Installige teemad ja pistikprogrammid uuesti, et pahatahtlikku koodi ei jääks maha.
Võimaliku pahatahtliku koodi otsimiseks saate kasutada ka saadaolevaid pistikprogramme.

Pidage meeles, et kui häkkerid varastasid teie parooli ja sisenesid saidile, võivad nad isegi pärast parooli muutmist süsteemi jääda, kuna kehtivad töötavad küpsised. Nende keelamiseks peate looma uue salajase võtme. Avatud

WordPressi turvaprobleemid on alati palju mõtlemisainet pakkunud. Kuigi enamik selle CMS-i hiljutistest uuendustest on olnud seotud turvalisusega, on turvalisuse suurendamiseks palju võimalusi, mis on saadaval ka kõige vähem tehniliselt asjatundlikele kasutajatele isegi ilma pistikprogrammideta.

Siin on mõned soovitused WordPressi saidi teabeturbe parandamiseks.

Platvormi arendajad pakuvad WordPressi saitide kaitse tagamiseks oma meetmete nimekirja, millega soovitame tutvuda. Loomulikult korratakse mõnda neist soovitustest allpool, kuid mõned praktilised näpunäited ja juhised ei tee andmeturbe osas halba.

Looge redaktoriõigustega eraldi konto

Kui kirjutate või redigeerite ajaveebi postitusi, kuvatakse "autori nimi" brauseri vasakus alanurgas, kui hõljutate kursorit postituses autori nime kohal. Kui teie autori nimi on sama, mis administraatori nimi, olete häkkerite jaoks teie saidi edukaks häkkimiseks teinud poole tööst.

Parandus on lihtne: looge uus kasutaja, kellel on ainult toimetaja õigused, ja logige selle nimega sisse, kui kavatsete blogis midagi avaldada või redigeerida. See nimi kuvatakse kõigis teie postitustes; ja häkkerid raiskavad palju aega, üritades teie blogi häkkida oletatavate administraatoriõigustega kasutajanime all, mis tegelikult võimaldab teil ainult postitusi kirjutada ja redigeerida.

Lisaks piiravad WordPressi spetsiaalsed turbepluginad katseid pääseda saidile kindla sisselogimisega ja teavitavad volitamata sisenemiskatsetest määratud e-posti aadressile. Nii saate teada, kas häkkimiskatseid tehti päris administraatori sisselogimisega, ja saate pöörata tähelepanu WordPressi saidi turvalisusele enne, kui ründajad parooli ära arvavad.

Ärge kasutage lihtsaid paroole

Pidage meeles lihtsat sõna KOHUS – keeruline, kordumatu, pikk. Siin tulevad mängu sellised tööriistad nagu 1Password või LastPass, mis genereerivad teie määratud pikkusega paroole. Sõltuvalt soovitud kaitsetasemest valige parooli pikkus tähemärkides (tavaliselt piisab 20 märgist) ja lisage harva kasutatavad märgid, nagu # või *.

"123456" ei ole parool. “qwerty” on samaväärne PIN-koodi kirjutamisega pangakaardile. Isegi "starwars" lisati 2015. aasta 25 levinuima parooli hulka. Pidage meeles, et te pole nii ainulaadne, kui arvate.

Lisage kahefaktoriline autentimine

Isegi kui te ei kasuta kasutajanime admin ja määrate tugeva, juhuslikult genereeritud parooli, jäävad jõhkra jõu rünnakud probleemiks. Sellise sissetungi ohu vähendamiseks on võtmetähtsusega sellised meetodid nagu kahefaktoriline autentimine.

Jah, kahefaktoriline autentimine on tülikas. Aga nüüd on see teie Fort Knox. Selle olemus WordPressi saidi kaitsmisel seisneb, nagu nimigi ütleb, kahes volituse vormis. Tänapäeval on see standard, mis parandab teie pääsupunktide turvalisust. Kasutate juba Gmaili ja Paypali jaoks kahefaktorilist autentimist (vähemalt peaksite). Miks mitte lisada WordPressi loendisse?

Tööriista rakendamiseks on spetsiaalne Google Authenticatori pistikprogramm. Veidi teistsuguse lähenemise ja sama tulemusega alternatiivne variant on Rublon Plugin.

Kasutage vähimate privileegide põhimõtet
WordPress.org-i meeskond on koostanud suurepärase artikli WordPressi koodist, mis reguleerib kasutajate rolle ja õigusi. Lugege kindlasti seda dokumenti, mis seda sammu otseselt käsitleb.

Väiksemate privileegide põhimõte on väga lihtne – andke juurdepääs ainult:

- need, kes seda vajavad;

- kui seda vajate;

- vajalikuks ajaks.

Kui kellelgi on konfiguratsiooni muutmiseks vaja administraatoriõigusi, andke need, kuid keelake juurdepääs kohe pärast ülesande täitmist.

Hea uudis on see, et need sammud ei võta palju teie aega.

Vastupidiselt levinud arvamusele ei pea igale teie WordPressi saidile sisenevale kasutajale administraatoriõigusi andma. Andke inimestele nende ülesannete täitmiseks piisavad juurdepääsuõigused ja vähendate oluliselt oma WordPressi saidi turvariski.

Sellise seadistuse jaoks Wordpressi turvalisus seal on plugin: Google Authenticator. Alternatiiv, mis kasutab samal eesmärgil veidi teistsugust lähenemist, on pistikprogramm

Peida failid wp-config.php ja .htaccess

Seda on suhteliselt lihtne teha, kuid vead protseduuris võivad muuta teie saidi ligipääsmatuks. Looge varukoopia ja alles seejärel jätkake muudatustega.

Htaccess-faili redigeerimiseks avage Tööriistad => Failiredaktor. Faili wp-cnofig.php turvalisuse ja kaitse taseme tõstmiseks peate failile htaccess lisama järgmise koodi:

See blokeerib volitamata juurdepääsu failile wp-config.php. Sarnast koodi saab kasutada .htaccess-faili enda kaitsmiseks: käsk luba, keela keela kõigilt

Saate neid muudatusi ise teha, siin pole midagi keerulist.

Kasutage autentimiseks WordPressi turvavõtmeid

Autentimisvõtmed ja soolaklahvid töötavad üksteisega koos, et kaitsta teie küpsiseid ja paroole, edastades samal ajal andmeid teie brauseri ja veebiserveri vahel. Need autentimisvõtmed on üles ehitatud juhuslike muutujate komplektile. Need suurendavad küpsistes sisalduva teabe turvalisust (krüpteerimist).

Nende muutmiseks failis wp-config.php hankige lihtsalt uus võtmekomplekt siit - https://api.wordpress.org/secret-key/1.1/salt/ - ja lisage see faili. Kui värskendate määratud lehte, muutuvad klahvid, nii et saate iga kord uue komplekti.

Keela faili redigeerimine

Lihtsaim viis failide muutmiseks on avada WordPressi menüükäsk “Välimus => Redigeerija”. Oma kaitsetaseme tõstmiseks peate keelata võimalus faile konsooli kaudu redigeerida. Avage fail wp-config.php ja lisage rida

Define("DISALLOW_FILE_EDIT", true);

Mallides saate endiselt FTP-juurdepääsu kaudu muudatusi teha, kuid nüüd ei saa keegi neid WordPressi konsooli tööriistade abil muuta.

Piirake sisselogimiskatsete arvu

Peamiste oletusrünnakute sihtmärk on saidil olev sisselogimisvorm. Kõik ühes WP turbe- ja tulemüüri pistikprogramm võimaldab teil muuta selle sisestusvormi vaiketeed (/wp-admin/). Lisaks saate spetsiaalsete pistikprogrammide abil piirata konkreetselt IP-aadressilt tehtavate sisestuskatsete arvu.

XML-RPC liidese valikuline kasutamine

XML-RPC on rakenduste programmeerimisliides (API), mida kasutatakse kõikjal. Sellele pääseb juurde tohutul hulgal pistikprogramme ja teemasid, nii et vähem tehnilised kasutajad peavad selle tööriistaga katsetades olema eriti ettevaatlikud.

Kuigi see on praktiline samm, võib XML-RPC keelamine olla kulukas. Seetõttu ei soovitata seda täielikult keelata, vaid pöörata rohkem tähelepanu sellele, millised programmid ja kuidas sellele liidesele ligi pääsevad. On palju pistikprogramme, mis aitavad XML-RPC valikuliselt juurutada ja keelata.

WordPressi hostimine ja turvalisus

Veebilehtede omanikud kurdavad sageli, et nende hostimisettevõtted ei aita nende veebisaiti häkkimise eest kaitsta või ei saa WordPressi platvormil veebisaitide turvamisest üldse midagi aru.

Majutusettevõtted näevad teie saiti lihtsalt erinevalt. WordPressi hostimise valimiseks pole selgeid reegleid, kuid see on tõesti oluline, kui rääkida meetmetest, mis parandavad kaitset volitamata juurdepääsu eest.

Sõna otseses mõttes iga artikkel hostimise valimise kohta algab sõnadega, et odav ei tähenda parimat. Odavaimad tariifiplaanid ei aita teid häkkerite rünnakute eest kaitsta. Sellised paketid sisaldavad minimaalset ressursikaitset, näiteks eelinstallitud veebisaidi tulemüüri.

Jagatud hostimine tähendab, et server, millel teie ressurss asub, on koduks ka teistele saitidele. Neil võivad olla oma turvaprobleemid, mis mõjutavad teie saidi turvalisust.

Kus WordPressi turvalisus , on ilmselt üks peamisi eeliseid, mida hostimisettevõtted spetsiaalsetes WordPressi plaanides pakuvad.

Tavaliselt hõlmab see varukoopiaid, varutulemüüri, failide skannimist pahavara suhtes, kaitset ja automaatseid WordPressi värskendusi. Pealegi pakutakse seda kõike reeglina väga mõistliku hinnaga.

Ärge unustage oma hostimiskontot

Üks suurimaid hostimisprobleeme on seotud saidi omaniku konto konfiguratsiooniga. Kasutaja saab installida ja konfigureerida nii palju saite, kui ta soovib, mis aitab kaasa pahavara "tasuta söökla" tekkimisele süsteemikeskkonnas.

Probleem on asjakohane, kuna paljudel juhtudel saab veebiressurssi häkkida saidiüleseks nakatumiseks tuntud meetodil, kus ründevektoriks on naabersait. Ründaja ületab põhjapoolse kaitse ja hakkab seejärel tungima selle serveri naabersaitidele.

Parim viis seda tüüpi häkkimise eest kaitsta on luua kaks kontot. Ühte neist kasutate töökeskkonnana ja majutate sellel ainult aktiivseid saite ning teist vahekeskkonnana, kuhu salvestate kõik muu.

Olge viimaste värskendustega kursis

Asjade värskena hoidmisest on lihtne rääkida. Kuid veebisaitide omanike jaoks tähendab see igapäevast vaevarikast tööd. Meie veebisaidid on keerulised olendid. Nendes toimub igal ajahetkel kümneid sündmusi, nii et mõnikord võib hetkeliste muudatuste tegemine olla keeruline.

Hiljutised uuringud on näidanud, et 56% WordPressi installimistest kasutavad platvormi aegunud versioone.

Värskendused peaksid puudutama mitte ainult platvormi tuuma. Mainitud uuring väidab ka, et suur osa häkkerite rünnakutest kasutab pistikprogrammide aegunud, haavatavaid versioone.

Kuidas valida WordPressi jaoks turvalisi pistikprogramme ja teemasid

Enamik kasutajaid eelistab installida oma veebisaitidele pistikprogramme ja teemasid valimatult. See on rumal, välja arvatud juhul, kui installite testserverisse ainult konkreetse teema või pistikprogrammi funktsionaalsuse testimise eesmärgil.

Enamik pistikprogramme ja palju teemasid on tasuta. Ja kui autorid toetavad oma tooteid lõbu pärast, mitte mõne tõsise ärimudeli osana, on ebatõenäoline, et nad kulutasid palju aega nende toodete haavatavuste ja turvalisuse kontrollimisele.

Kuidas valida Wordpressi jaoks õige plugin

Nagu eespool mainitud, kujutavad tasuta teemad ja pistikprogrammid potentsiaalset ohtu veebisaidi turvalisusele. Neid elemente oma saidile lisades kontrollige kindlasti nende hinnangut, näiteks saidil WordPress.org.

Kuid ainult viis tärni ei ütle pistikprogrammi töökindluse kohta midagi, olenevalt nišist peaks sellel olema teatud arv arvustusi. Kui paljud inimesed peavad seda suurepäraseks tooteks ja võtavad selle hindamiseks aega, saate seda oma saidil proovida.

Teine asi, mida peaksite kontrollima, on pistikprogrammi või teema asjakohasus. Kui viimase kahe aasta jooksul pole värskendusi tehtud, teatab WordPress sellest. Värskenduste puudumine ei tähenda tingimata, et pistikprogramm on halb.

Võib-olla polnud autoril lihtsalt vaja tööprogrammi parandusi teha. Siiski ei ole soovitatav installida pluginaid, mida pole pikka aega värskendatud. Reiting räägib teile valitud elemendi toimivusest ja selle ühilduvusest WordPressi praeguse versiooniga. Kogu seda teavet näete saidi WordPress.org pistikprogrammi lehel.

Järeldus

Kui olete selle artikli lõpuni lugenud, peate lihtsalt oma WordPressi saidi kaitsmiseks võtma lisameetmeid. Lisage oma igapäevaste toimingute loendisse oma ressursi turvalisuse kontrollimine. Sellest peaks saama iga veebisaidi omaniku samasugune igapäevane rutiin kui regulaarne uute väljaannete ja lehtede lisamine.

Ärge unustage korrapärast varukoopiate loomist, mille jaoks platvormil on palju usaldusväärseid pistikprogramme. Tõsi, need ei kuulu infoturbepoliitika alla, need on pigem haldus- ja teenindusülesanded.

Oleme esitanud kaugeltki täieliku loendi sellest, mida saab teha teie saidi häkkimise eest kaitsmiseks. Kuid loodame, et meie praktilised nõuanded aitavad tagada teie ressursi infoturbe vähemalt esimese taseme.

Pea meeles WordPressi turvalisus pole kunagi absoluutne.

Seega on meie kui veebisaitide omanike ülesanne häkkerite elu keeruliseks teha.