Postavljanje sigurnosti WordPress-a nakon instalacije. WordPress razbijamo i štitimo vlastitim rukama. Određivanje ugrađenih komponenti

Danas sam na Nulledu pročitao prilično dobar članak o poboljšanju sigurnosti web stranice na WordPressu. Budući da je tekst na nulled vidljiv samo registriranim korisnicima s određenim brojem postova, članak ću objaviti na svom blogu za javnu upotrebu 😉 Općenito, također pozivam sve da ga pročitaju i daju svoje prijedloge i ispravke (ako, naravno, ima ih).

1. Prije ugradnje;
2. Nakon instalacije;
3. Periodične provjere i ažuriranja.

1. Prije instalacije

1.1. Brišemo sve nepotrebne datoteke:
readme.html, license.txt, hello.php, nepotrebne teme i dodaci.

1.2. Uredimo ispravno datoteku wp-config.php:

definiraj("DB_NAME", "wpdb"); // Umjesto "wpdb" morate smisliti jak naziv, na primjer, wp433Fd6HW
definiraj("DB_USER", "wpuser"); // Na primjer, UserFB56SKl
define("DB_PASSWORD", "jaka lozinka"); // Treba imati jaku lozinku, na primjer, 'FE876!8e#fh#9fDfds9f'
define("DB_HOST", "localhost"); // U 99% slučajeva ovu vrijednost nije potrebno mijenjati
definiraj("DB_CHARSET", "utf8"); define("DB_COLLATE", "");

Promijenite tajni ključ sa zadanog:

define("AUTH_KEY", "izmijenite ovo na jedinstvenu frazu");
define("SECURE_AUTH_KEY", "izmijenite ovo na jedinstvenu frazu");
define("LOGGED_IN_KEY", "izmijenite ovo na jedinstvenu frazu");
define("NONCE_KEY", "izmijenite ovo na jedinstvenu frazu");

onom generiranom korištenjem usluge

define("AUTH_KEY", "M.uFL(R Bw5UkRw%P&+>E*jJZBikz3-OV7sO*-_g*(9z,PnM,T&LPAE");
define("NONCE_KEY", "d2A~8NBb%2?+6`z)?nWoD0`f]-.gUOC);

Izrada tablica sigurnijim:

$table_prefix = "wp_4i32aK_"; // Koristite samo slova, brojeve i podvlake kako bi vaš table_prefix bio jedinstven. To će vas barem zaštititi od nekih javnih iskorištavanja.

1.3. Napravite korisnika i bazu podataka za blog u MySQL konzoli:
Najprije se prijavite kao root i izradite bazu podataka za blog:

$ mysql -u root
mysql> STVARATI bazu podataka wpdb;

$ mysql -u root
mysql> STVARAJ bazu podataka wp433Fd6HW;
Upit u redu, 1 redak zahvaćen (0,00 s)

Zatim kreiramo korisnika: ovaj će račun imati pristup samo WordPress bazi podataka. Također možemo biti sigurni da se korisniku pristupa samo s lokalnog poslužitelja, a ne daljinski.

mysql>
-> NA wpdb.*
-> DO "wpuser"@"localhost"
-> IDENTIFICIRAN PO "strongpassword"; Upit OK, zahvaćeno 0 redaka (0,01 s)

U našem primjeru to će izgledati ovako:

mysql> ODOBRITI SELECT, INSERT, UPDATE, DELETE, CREATE, DROP
-> NA wp433Fd6HW.*
-> DO "UserFB56SKl"@"localhost"
-> IDENTIFICIRAN PREMA "FE876!8e#fh#9fDfds9f";
Upit OK, zahvaćeno 0 redaka (0,01 s)

1.4. Uklonite meta blok iz koda svoje teme
U standardnoj temi, dio koda odgovoran za prikaz meta bloka:

Meta

• Valjano XHTML


• XFN


• ">WordPress

2. Nakon instalacije

2.1. Promjena zadane administratorske lozinke
Promijenite administratorsku lozinku generiranu tijekom instalacije

2.2. Uklanjanje verzije WordPressa

remove_action("wp_head", "wp_generator");

U datoteci header.php u mapi s vašom temom izbrišite redak:

" />

Za WordPress verziju 2.8.4 pronađite implementaciju funkcije get_the_generator($type) i promijenite je:

funkcija get_the_generator($type) (
$gen = "";
return apply_filters("get_the_generator_($type)", $gen, $type);
}

2.3. Prazan index.php
Postavite praznu datoteku index.php u mape wp-includes/, wp-content/, /plugins/

2.4. Promjena korisničkog imena administratora u nešto neočitije
Promijenite ime putem MySQL konzole:

wp $ mysql -u UserFB56SKl –p
mysql> koristi wp;
AŽURIRAJ wp_users SET user_login="adm" gdje je user_login="admin";

U našem primjeru to će izgledati ovako:

wp $ mysql -u wpuser –p
mysql> koristi wp433Fd6HW;
AŽURIRAJ wp_4i32aK_users SET user_login="adm234Df" gdje je user_login="admin";
Upit u redu, 1 redak zahvaćen (0,01 s) Broj podudarnih redaka: 1 Promijenjeno: 1 Upozorenje: 0

Ili, ako se ne želite petljati s upitima, možete učiniti sljedeće:

1. Napravite novi račun. Korisničko ime mora biti jedinstveno;
2. Novom korisniku dodijelite ulogu administratora;
3. Ponovno se prijavite kao novi administrator;
4. Izbrišite stari administratorski račun.

2.5. Stvaranje novih korisničkih uloga
Da biste to učinili, prvo morate instalirati dodatak na svoj blog. Ovaj dodatak će vam dati priliku da pažljivo i precizno postavite korisnička prava. Nakon aktivacije dodatka, prvo trebate kreirati korisnika za sebe. Uklonite sva korisnička prava, a zatim pažljivo odaberite samo ona prava koja su vam potrebna za dnevne aktivnosti (pisanje objava, moderiranje komentara itd.). Provjerite ima li samo administratorski račun ovlasti za aktiviranje/deaktiviranje dodataka, učitavanje datoteka, upravljanje opcijama, promjenu tema, uvoz itd.
Ako će vaš blog biti višekorisnički, tada morate razmisliti o tome koja su prava korisnicima zaista potrebna i na temelju toga stvoriti vlastite uloge.
Prilikom izrade uloga, budite oprezni kada korisnicima dajete prava kao što su: učitavanje datoteka, pristup uređivanju izvornog koda dodatka, aktiviranje dodataka, uređivanje datoteka/postova/stranica, uvoz, nefiltrirani HTML, budući da ove uloge korisnicima daju veće ovlasti.

2.6. Ograničavanje pristupa mapama wp-content i wp-includes
Koristeći .htaccess datoteku i posebna pravila, zabranit ćemo sve osim zahtjeva za slike, CSS i JavaScript. Datoteke .htaccess moraju biti smještene u odgovarajuće direktorije.

Narudžba Dopusti, Odbij
Odbiti od svih

Dopusti od svih

Također možete dodati određene PHP datoteke za određene predloške i dodatke.

2.7. Skrivanje direktorija wp-content
Počevši od WordPressa 2.6, postalo je moguće premjestiti direktorij wp-content.
Promijenite retke u wp-settings.php:

define("WP_CONTENT_DIR",$_SERVER["DOCUMENT_ROOT"]."/blog/wp-content");
define("WP_CONTENT_URL","http://domain.ru/blog/wp-content");

I kako biste izbjegli probleme s dodacima:

define("WP_PLUGIN_DIR",$_SERVER["DOCUMENT_ROOT"]."/blog/wp-content/plugins");
define("WP_PLUGIN_URL","http://domain.ru/blog/wp-conten/plugins");

2.8. Ograničavanje pristupa mapi wp-admin
Ako imate statički IP
Ovaj korak je jednostavan za blog za jednog korisnika, ali može biti prava glavobolja za blog za više korisnika. Ovaj trik radi samo ako imate statički IP. Datoteka .htaccess za direktorij wp-admin mora sadržavati sljedeća pravila:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Primjer kontrole pristupa"
AuthType Basic

nalog odbiti, dopustiti
odbiti od svih
dopustiti od a.b.c.d. #Vaš statički IP

Postavite datoteku u direktorij wp-admin i pokušajte pristupiti ovoj mapi putem proxyja. Ako sve radi ispravno, pristup će biti odbijen. Nakon toga pokušajte se prijaviti sa svoje IP adrese.

Ograničavanje pristupa lozinkom
Možda bi bilo poželjno pristupiti mapi wp-admin s lozinkom. To znači da možete pristupiti administratorskoj ploči s bilo kojeg mjesta. Ovo je također opcija ako imate dinamički IP.
Datoteka .htaccess za direktorij wp-admin mora sadržavati sljedeća pravila:

#Datoteka.htpasswd nalazi se izvan korijenskog direktorija vašeg bloga

ErrorDocument 401 default
AuthUserFile /srv/www/user1/.htpasswd
AuthType Basic
AuthName "WordPress Nadzorna ploča"

zahtijevaju korisnika adminuser #Stvorite sigurno korisničko ime


zahtijeva valjanog korisnika

Generirajte lozinku naredbom:

$ htpasswd -cm .htpasswd administratorski korisnik

Ili koristite uslugu za generiranje lozinke. Evo primjera za korisnik: admin, lozinka: test

admin:$apr1$t3qLL...$uUmj9Wm/WbJk7YNza6ncM/

Bolje je smjestiti .htpasswd datoteku u direktorij iznad korijena bloga.

2.9. datoteku wp-config.php
Prva opcija: da zaštitite svoje podatke, trebate ih premjestiti u gornju mapu, WordPress će automatski provjeriti gornji direktorij ako ne pronađe wp-config.php u svom korijenu.
Ako iz nekog razloga ne možete učiniti ono što je gore opisano, onda postoji druga opcija. Naime, zaštitite svoj wp-config.php koristeći .htaccess:

# zaštitite wpconfig.php

Narudžba odbiti, dopustiti
odbiti od svih

2.10. Postavljanje ispravnih dopuštenja za datoteke i mape
Osnovno pravilo:

1. Za datoteke - 644
2. Za mape - 755

Iz ljuske se ove operacije mogu izvesti pomoću:

CD
pronađi (vaš put) -tip d -exec chmod 755 ‘()’ \
pronađi (vaš put) -tip f -exec chmod 644 ‘()’ \

2.11. SSL za administratore
Ako vaš poslužitelj podržava SSL, onda je bolje osigurati pristup administratorskoj ploči. Da biste to učinili, u datoteci wp-config.php uklonite komentare u retku:

define('FORCE_SSL_ADMIN', istina);

2.12. Uklonite izlaz dnevnika WordPressa
U datoteku functions.php u mapi s vašom temom dodajte redak:

add_filter("pogreške_prijavljivanja",create_function("$a", "vrati null;"));

2.13. Zabranjujemo indeksiranje korištenjem Robots.txt
Ispravnost možete provjeriti na

2.14. Dodaci za vašu sigurnost
Zaključavanje prijave- Postavite broj lažnih prijava
Za to postoje dva rješenja u obliku i dodataka. Nakon što se dodatak aktivira, bilježi sve pokušaje prijave. Dodatak vam omogućuje da posjetitelju zabranite prijavu određeno vrijeme nakon što je posjetitelj nekoliko puta unio netočnu lozinku.

Belavir– Praćenje promjena u ključnim php datotekama

WPIDS– Utvrđujemo znakove provedbe

WordPress mrežni sigurnosni skener– Skeniranje bloga u potrazi za ranjivostima

Akismit– Borba protiv AIDS-a i SPAM-a

SpamBam– Utvrdite koristi li klijent važeći preglednik

3. Periodične provjere i ažuriranja

3.1. Redovno ažurirajte WordPress
3.2. Redovno ažurirajte dodatke
3.3. Pratite sigurnosna ažuriranja

3.4. Provjerite curi kod teme i dodataka koje želite dodati
3.5. Borite se protiv spama
3.6. Redovito izrađujte punu sigurnosnu kopiju baze podataka svog bloga
3.7. Čitajte razvojne blogove
Mali popis:

Većina ljudi misli da je njihovo WordPress web mjesto sigurno samo zato što nema sadržaja vrijednog hakiranja. Nažalost, nije. Web stranice su često hakirane, na primjer za distribuciju neželjene pošte. Ili su datoteke jezgre i teme ispunjene zlonamjernim kodom za zarazu i hakiranje računala posjetitelja vaše stranice. Moguće je da ste štetu primijetili tek kada su Google ili Yandex već označili vašu stranicu ili je uklonili iz indeksa. Ne dopustite da se to dogodi i uzmite u obzir moje savjete za savršen wp-config.php.

Postoji mnogo načina da zaštitite svoje WordPress web mjesto od hakiranja. Optimizacija se može smatrati važnim dijelom dobre sigurnosne strategije. Naravno, stranica se neće pretvoriti u banku, ali ste hakerima malo otežali posao.

Za optimizaciju wp-config.php koriste se tzv. konstante. WordPress ima mnogo konstanti koje se mogu koristiti. Ali što je konstanta? PHP.net opisuje konstante na sljedeći način:

Konstanta je identifikator (ime) za jednostavnu vrijednost. Kao što ime sugerira, ova se vrijednost ne može promijeniti tijekom izvođenja skripte (za čarobne konstante koje zapravo nisu ništa drugo doli konstante). Konstanta prema zadanim postavkama razlikuje velika i mala slova. Prema konvenciji, postojani identifikatori uvijek su velikim slovima.PHP.net

Konstante su ugrađene u define() funkcije i izgledaju ovako: define("NAME_OF_THE_CONSTANT", value);

wp-config.php je kontrolna datoteka za WordPress. Učitava se prije svih ostalih datoteka jer WordPress mora postaviti vezu s bazom podataka. Potrebni podaci nalaze se u konfiguracijskoj datoteci. Kada promijenite vrijednost konstante ili dodate konstantu, također možete promijeniti ponašanje WordPressa.

Prije rada: napravite sigurnosnu kopiju wp-config.php

Prije nego počnete uređivati ​​datoteku wp-config.php, stvorite sigurnosna kopija ovu datoteku. Vaša stranica neće raditi s netočnim unosima ili unosima koji nedostaju.

Važno: Uvijek ažurirajte WordPress i dodatke

Ovo ste vjerojatno čuli već nekoliko puta. Ali ovaj je aspekt toliko važan da ga ne mogu ponavljati dovoljno često. Tone stranica su hakirane jer WordPress ili dodaci nisu ažurirani. Ažuriranja su najbolje osiguranje od hakiranja!

Sigurnosna situacija:

Sigurnosni stručnjaci Sucuri sada su upozoreni na sigurnosni propust u popularnom dodatku Jetpack za WordPress. Zlonamjerni kod može se implementirati pomoću funkcije ugrađivanja kratkog koda. Automattic će doista uskoro odgovoriti i objaviti novu verziju.

Kako za sada zatvoriti sigurnosni jaz:

Ako koristite, niste u opasnosti. Postoji veliki 6G vatrozid koji se može odbraniti od ove vrste napada.

priprema:

Za sav daljnji rad trebat će vam program, kao i HTML editor. wp-config.php preuzima se na radnu površinu, uređuje u HTML editoru i učitava natrag na poslužitelj.

1 – Koristite sigurnosne ključeve

Sigurnosni ključevi u WordPressu ključni su, poput šifriranja stvari poput podataka za prijavu u kolačićima. Čak i ako u vašem wp-config.php već postoje, njihova zamjena nakon nekog vremena ne može naškoditi. Kada se ključevi promijene, svi korisnici su odjavljeni sa svojih stranica. Tada ćete se moći ponovno prijaviti koristeći svoje korisničko ime i lozinku.

Međutim, ako je stranica već bila hakirana, prvo morate ukloniti zlonamjerni kod sa svoje stranice. Smjernice o tome mogu se pronaći u dodatnim informacijama o ovom aspektu. Nakon toga posjetite WordPress generator sigurnosnih ključeva i kopirajte novi set. Zamijenite stari dio novim - pogledajte snimak zaslona:

Ako još niste implementirali sigurnosne ključeve, sada je pravo vrijeme da to učinite.

Dodatne informacije:

2 – prisilno korištenje HTTPS-a

SSL certifikat kriptira vezu između vaše stranice i preglednika posjetitelja. HTTPS onemogućuje hakerima da zarobe i ukradu osobne podatke. Ako već imate SSL certifikat za svoju stranicu, možete je prisiliti da koristi HTTPS umjesto HTTP-a. Ovo značajno povećava sigurnost vaše stranice. Ako nemate SSL certifikat, trebali biste ozbiljno razmisliti o njegovom korištenju.

Ne morate se bojati velikih troškova, jer...

Sljedeće unose treba koristiti kada vaša stranica već koristi SSL. Gornja prijava služi za sigurnu prijavu, dok donja prisiljava preglednik da koristi samo SSL.

U svakoj instalaciji WordPressa možete uređivati ​​datoteke tema i dodataka izravno u administratorskom području. U stavkama izbornika "Izgled" i "Dodaci" pronaći ćete odgovarajući uređivač za svaku datoteku. Ovaj editor je vrlo opasan ako padne u ruke hakera. Podaci mogu biti uništeni i mogu se dodati virusi, trojanci, spam i drugi zlonamjerni softver. No urednik je važan i za administratora web stranice. Jedina pogreška, jedna točka sa zarezom nedostaje je sve što je potrebno da se pokažu poslovične bijele stranice i ništa drugo neće raditi.

3 – Promjena prefiksa baze podataka

Prefiks baze podataka poznat je i kao prefiks tablice. Ovaj se prefiks koristi kao proširenje svake tablice baze podataka koju generira WordPress. Evo standarda wp_. Ovaj standard se mora promijeniti u nešto drugo. Što misterioznije, to bolje. Ne brinite; Ne morate pamtiti što ste ovdje unijeli. Ova se vrijednost postavlja jednom.

Razmišljanje o tome smanjuje mogućnost ubacivanja SQL-a na nulu. Ali moguće je. Dakle, promijenite vrijednost prije instaliranja WordPressa. Koristite nešto poput fdf2a7r_, Na primjer.

Pažnja: ako promijenite vrijednost postojeće WordPress instalacije, web stranica neće biti dostupna!

Ako želite promijeniti prefiks tablice postojeće WordPress stranice, dodatak Acunetix WP Security može vam pomoći. Omogućuje vam jednostavnu promjenu vrijednosti i sve što trebate učiniti je ponovno se prijaviti. Međutim, svejedno biste trebali prethodno izraditi sigurnosnu kopiju.

4 – Isključite uređivače dodataka i teme

Promjene u datotekama teme ili dodataka obično se rade pomoću (S)FTP-a jer je mnogo sigurniji. Dakle, urednike treba isključiti. Jedan red u wp-config.php dovoljan je da sigurno onemogućite oba uređivača:

5 – Premjestite wp-config.php

wp-config.php je srce vaše web stranice. Tu se unose svi relevantni podaci, uključujući lozinke baze podataka. Zbog toga je iznimno važno ovu datoteku čuvati što je moguće sigurnijom. Za to postoje dva pristupa. Prvi pristupni blok pomoću datoteke .htaccess. Drugi pristup premješta datoteku na drugo mjesto gdje je haker neće očekivati.

• Premještanje ovoga može biti problematično ako je stranica na poddomeni, a vi koristite jeftini zajednički hosting.
• Ovo također može biti teško ako imate mnogo web stranica u korisničkim imenicima. Ako se nijedna od točaka ne odnosi na vas, možete premjestiti datoteku.

Ako ste ispravno konfigurirali put do WP-config.php, vaša bi stranica trebala raditi.

6 – prisiljava korištenje FTPS-a

Ako je vaš web host omogućio File Transfer Protocol Secure (FTPS), možete prisilno koristiti FTPS za prijenos datoteka. On će šifrirati komunikaciju između posjetitelja i poslužitelja. Sada je nemoguće pristupiti podacima na poslužitelju s nesigurnog protokola. FTP je nesiguran jer se pristup informacijama prenosi na poslužitelj u nekriptiranom obliku. Stoga, ako je moguće, koristite samo sigurnu vezu putem FTPS-a. Vaš web host može vam reći je li moguća FTPS veza.

Prisilno korištenje FTPS-a je jednostavno:

7 – prisilno korištenje SFTP-a

Umjesto FTPS protokola neki hosteri su omogućili SFTP protokol za prijenos podataka. Ovdje je komunikacija između FTP korisničkog programa i poslužitelja također šifrirana. Sljedeći redak koda omogućuje vam prisilno korištenje SFTP-a:

8 – Onemogući način otklanjanja pogrešaka

Ako ste omogućili način otklanjanja pogrešaka u WordPressu za potrebe razvoja, bitno je da ga isključite. U nekim slučajevima aktivni način otklanjanja pogrešaka može prenijeti osjetljive podatke koji mogu pomoći hakerima da obave svoj posao. To je razlog zašto je način otklanjanja pogrešaka izuzetno opasan na živom sustavu. Napravio sam ovu malu, glupu pogrešku; ljudi brzo zaborave stvari. Zato biste trebali brzo poduzeti mjere za provjeru. Onemogući način otklanjanja pogrešaka:

9 – Isključite PHP indikaciju pogreške

Ako iz nekog razloga trebate omogućiti način otklanjanja pogrešaka, preporučujem da isključite javni prikaz poruka o pogreškama. Odgovarajuće poruke o pogreškama također se mogu zapisati u dnevnik koji nije dostupan široj javnosti. Ovo je mnogo sigurnija i elegantnija opcija. Ova je konstanta potrebna za izlazak iz načina rada s greškom WordPressa i sprječavanje prikazivanja pogreške trećim stranama:

10 – Omogućite značajku automatskog ažuriranja

Kao što sam ranije spomenuo, trenutno ažuriranje jezgre WordPressa i svih dodataka ključno je za održavanje sigurnosti vašeg sustava. Sa svakom izdanom novom verzijom WordPressa, sigurnosne rupe njegovih prethodnika otkrivaju se na internetu. To hakeru daje jaku osnovu da može hakirati vašu stranicu. Stoga se ti nedostaci moraju ispraviti što je prije moguće.

Kao što je WordPress verzija 3.7, imaju manja sigurnosna ažuriranja i provode se automatski. Međutim, to nije slučaj za početne verzije velikih ažuriranja. Glavne verzije i dalje je potrebno ažurirati ručno. Međutim, omogućavanje automatskog ažuriranja za sve verzije WP-a vrlo je jednostavno:

Usput, ovo se također može automatski ažurirati pomoću dodataka. Međutim, to uključuje malo posla. Ovo zahtijeva izradu dodatka:

Ovaj dodatak treba premjestiti u mapu /wp-content/mu-plugins/. Ako mapa ne postoji, samo je stvorite. Mapa /mu-plugins/ sadrži "korištene" dodatke. Njegov sadržaj učitava svatko s drugim dodacima.

Automatsko ažuriranje teme može se izvršiti na isti način. Da biste to učinili, dodatak se mora proširiti sljedećim redom:

Molimo vas da unaprijed dobijete informacije o ovim automatiziranim dodacima i koristite kôd samo ako točno znate što radi. Naravno, dva filtra mogu podržati samo dodatke i teme do sada koji dolaze iz službenog izdanja WordPressa. Teme i dodaci iz drugog izvora naravno neće biti ažurirani.

Dodatne informacije:

Zaključak

Svi ovi aspekti zajedno uvelike će povećati sigurnost vašeg WordPressa i trebali bi biti dio dobre sigurnosne strategije. Činjenica da je WordPress najpopularniji sustav za upravljanje sadržajem na svijetu privlači mnoge hakere. Situacija se može usporediti s Windows OS računalom. Na Windows operativnom sustavu instalirajte antivirusni softver i WordPress će zahtijevati malo ručnog rada. No sigurnost se definitivno isplati.

• Prijevod

Administrativno područje bilo koje web aplikacije odavno je postalo omiljena meta hakera, a njegova sigurnost je velika briga programera. Ovo se također odnosi i na WordPress - prilikom instaliranja novog bloga, sustav stvara administratorski račun s jedinstvenom nasumično generiranom lozinkom u stvarnom vremenu, koja blokira svačiji pristup postavkama sustava, kontrolirajući ga pomoću stranice za autorizaciju.

Ovaj je članak usredotočen na jačanje sigurnosti WordPressa - i administratorske ploče i postavki bloga, što znači cijeli sadržaj mape "wp-admin", koji se samo prikazuje nakon autorizacije. Namjerno smo naglasili izraz " nakon autorizacije" - morate jasno shvatiti da samo jedan jednostavan zahtjev dijeli "zlog hakera" od administratora cijelog vašeg bloga ili web stranice! A potonji je zaštićen samo onoliko koliko je jaka lozinka koju ste odabrali.

Kako bismo hakerima znatno otežali zadatak, nudimo skup operacija koje možete izvesti ručno. Ova rješenja ne jamče 100% zaštitu, ali uz njihovu pomoć ćete značajno poboljšati sigurnost svog bloga.

1. Preimenujte mapu wordpress.

Od verzije 2.6 postalo je moguće promijeniti putanju mape wp-sadržaj. Nažalost, to još uvijek nije primjenjivo na mapu wp-admin. Blogeri koji brinu o sigurnosti to su prihvatili i počeli se nadati da će to biti moguće u budućim verzijama. Dok se to ne dogodi, predlažemo korištenje sljedećeg alternativnog rješenja problema. Nakon što raspakirate arhivu s WordPress datotekama, vidjet ćete mapu "WordPress" - preimenujte mapu (idealno u nešto nejasno, npr. " wordpress_live_Ts6K" ) i zatim konfigurirajte datoteku u skladu s tim wp-config.php, koji se nalazi u korijenskom direktoriju.
Što će nam ova promjena dati?

• Prvo, sve WordPress datoteke neće se miješati s drugim datotekama u korijenu stranice, čime se povećava jasnoća korijenske razine.
• Drugo, višestruke kopije WordPressa mogu se instalirati paralelno u mape s različitim nazivima, eliminirajući njihovu interakciju, što ga čini idealnim za testiranje
• Treća prednost izravno se tiče sigurnosti: administrativno područje (i cijeli blog u cjelini) više se ne nalazi u korijenskoj mapi i da biste izvršili bilo kakve radnje hakiranja, prvo ćete ga morati pronaći. Ljudima je to problematično, ali što se tiče botova, pitanje je vremena.

Nekoliko instaliranih verzija u korijenskom direktoriju - moguće je!

Bilješka: Ako datoteke sustava WordPress više nisu u korijenskom direktoriju, a naziv instalacijske mape je promijenjen u skladu s gore opisanim preporukama, blog će i dalje biti dostupan na wp-config.ru. Zašto? Idite na odjeljak "Opće postavke" svog bloga i unesite pravu adresu bloga na poslužitelju u polje "WordPress adresa (URL)", kao što je prikazano u primjeru:

Adresa bloga treba biti lijepa i nenametljiva

To će omogućiti da blog bude prikazan na lijepoj virtualnoj adresi.

2. Poboljšajte datoteku wp-config.php

WordPress konfiguracijska datoteka wp-config.php sadrži neke postavke stranice i informacije za pristup bazi podataka. Postoje i druge sigurnosne postavke (predstavljene su na donjem popisu). Ako u ovoj datoteci nema takvih vrijednosti ili postoje samo zadane, trebate ih dodati ili promijeniti u skladu s tim:

• Sigurnosni ključevi: Od verzije 2.7 WordPress ima četiri sigurnosna ključa koja moraju biti ispravno postavljena. WordPress vas štedi toga da sami ne morate smišljati ove retke, automatski generirajući ispravne ključeve sa sigurnosne točke gledišta. Samo trebate zalijepiti ključeve u odgovarajuće retke datoteke wp-config.php. Ovi ključevi su obavezna kako biste osigurali sigurnost svog bloga.
• Prefiks tablice novoinstaliranog WordPress bloga ne bi trebao biti standardan "wp_"Što je vrijednost prefiksa složenija, manja je vjerojatnost da će doći do neovlaštenog pristupa tablicama u vašoj MySQL bazi podataka. Loše: $table_prefix = "wp_"; . Puno bolje: $table_prefix = "wp4FZ52Y_"; Nemojte se bojati zaboraviti ovu vrijednost - trebate je unijeti samo jednom, više vam neće trebati.
• Ako je dostupno na vašem poslužitelju SSL enkripcija, preporuča se omogućiti ga za zaštitu administrativne zone. To se može učiniti dodavanjem sljedeće naredbe u datoteku wp-config.php: define("FORCE_SSL_ADMIN", istina);

Također možete podesiti druge postavke sustava u konfiguracijskoj datoteci. Jasan i opsežan popis dostupnih postavki dostupan je na stranici Kodirati

Nemojte zanemariti instaliranje ispravnih sigurnosnih ključeva!

3. Premjestite datoteku wp-config.php

Također od verzije 2.6, WordPress vam omogućuje premještanje datoteke wp-config.php na najvišu razinu. Budući da ova datoteka sadrži puno važnije informacije od bilo koje druge, i budući da je uvijek mnogo teže pristupiti korijenskoj mapi poslužitelja, ima smisla pohraniti je u direktorij koji nije ostatak datoteka. WortdPress će automatski tražiti najvišu mapu kada traži datoteku wp-config.php. Svi pokušaji korisnika da sami konfiguriraju stazu su beskorisni.

4. Zaštitite datoteku wp-config.php

Neće vam svi ISP poslužitelji omogućiti prijenos podataka na više razine od korijenskog direktorija. Drugim riječima, nemaju svi dovoljno prava da dovrše prethodni korak. Ili iz drugih razloga: na primjer, ako imate nekoliko blogova, s određenom strukturom mapa nećete moći staviti sve datoteke u korijen, jer će njihova imena biti ista za svaki od blogova. U tom slučaju možemo zabraniti pristup datoteci wp-config.php eksterno pomoću datoteke .htaccess. Evo koda za ovo:

# zaštitite wpconfig.php
Odbijanje naloga, dopuštanje odbijanja od svih

Vrlo je važno provjeriti je li datoteka .htaccess nalazi se u istom direktoriju kao i datoteka wp-config.php.

5. Uklonite administratorski račun.

Tijekom postupka instalacije, WordPress prema zadanim postavkama stvara administratorski račun s korisničkim imenom "admin". S jedne strane to je sasvim logično, s druge strane korisnik s poznatim nadimkom, tj. ID - 1, koji ima administratorska prava, potpuno je predvidljiva meta hakera sa svojim programima za pogađanje lozinki. Ovo je naš savjet:

• Stvorite drugog korisnika s administratorskim pravima i svojim nadimkom.
• Završite radnu sesiju.
• Prijavite se s novim računom.
• Izbriši svoj račun" admin".

Ako nemate novi blog i pod računom admin Ako ste već objavili objave ili komentare, tada iz predloženih opcija u trenutku brisanja odaberite “Poveži sve objave i poveznice na:” i odaberite ime novog korisnika:

Bilješka: U idealnom slučaju, poželjno je da se prijava novog korisnika razlikuje od korisničkog imena prikazanog u objavama, tako da nitko ne prepozna vašu prijavu.

6. Odaberite jaku lozinku.

Vjerojatnost i učestalost potencijalnih napada izravno ovisi o popularnosti bloga. I preporučljivo je do ovog trenutka biti siguran da na vašoj stranici nema slabih karika u sigurnosnom lancu.

Najčešće su lozinke najslabija karika u tom lancu. Zašto? Način na koji većina korisnika bira lozinku često je nepromišljen i nemaran. Mnoga su istraživanja pokazala da su većina lozinki jednosložne postojeće riječi, ispisane malim slovima, koje nije teško pogoditi. Programi za pogađanje lozinki čak imaju popise najčešće korištenih lozinki.

WordPress je implementirao intuitivni indikator jačine lozinke koju upisujete, koji u boji pokazuje njezinu razinu složenosti:

7. Zaštitite mapu “wp-admin”.

Slijedeći izreku “bolje dvije glave nego jedna”, postoji način da se udvostruči sigurnost administrativnog prostora. Sigurnost je regulirana datotekom .htaccess, koji bi trebao biti u mapi "wp-admin" zajedno s datotekom .htpasswd, koji pohranjuje korisničku prijavu i lozinku. Nakon pristupa mapi morat ćete unijeti svoje korisničko ime i lozinku, no razlika je u tome što se u ovom slučaju autorizacija kontrolira na strani poslužitelja, a ne od samog WordPressa.

Za jednostavno i brzo generiranje datoteka .htaccess I .htpasswd, koristiti ovu uslugu .

8. Onemogućite prikaz pogrešaka na stranici za prijavu.

WordPress stranica za prijavu vrata su do administrativnog područja vašeg bloga, kojemu možete pristupiti nakon provjere bez grešaka. Svaki korisnik ima beskonačan broj pokušaja prijave, a svaki put, prema zadanim postavkama, pomoćni WordPress točno naznači koja je pogreška. Odnosno, ako se unesena prijava pokaže netočnom, WordPress će to reći. Ovo je zgodno za korisnika, ali i za hakera.

Lako je pogoditi koliko se brzo smanjuje vjerojatnost odabira kombinacije prijave i lozinke kada sustav pokaže što je točno uneseno netočno. Jednostavan redak koda pomoći će riješiti ovaj problem, samo ga dodajte u datoteku funkcije.php tvoja tema:

Add_filter("login_errors",create_function("$a", "return null;"));

Izvorni/promijenjeni izgled stranice za prijavu.

9. Ograničite broj neuspjelih pokušaja prijave.

WordPress ne vodi statistiku o autorizacijama, kako uspješnim tako i neuspješnim. Ovo je vrlo nezgodno za administratora jer on nema način da vidi da li je bilo pokušaja neovlaštenog pristupa kako bi poduzeo bilo kakve mjere ako oni budu učestali. Nudimo dva rješenja: dodatke

Napominjem da sam u zadnje vrijeme primio manje zahtjeva u vezi sigurnosnih postavki, uklanjanja prijetnji i virusa. A na forumima se stvaralo manje sličnih tema.

Ili se kvaliteta koda stabilizirala ili su vlasnici stranica povećali svoju odgovornost. Nadam se da su oba faktora bila u igri.

Međutim, opasnost od zaraze je uvijek prisutna, stoga zaštiti svoje stranice treba posvetiti dužnu pozornost.

Razlozi hakiranja u praksi svode se na dvije stvari:

• napušteni i nepodržani dodaci- uvijek morate instalirati ažuriranja;
• vezano za lozinke i prava— trebate ga jednom ispravno postaviti i toga se pridržavati;

Svaka je web stranica podložna hakiranju, stoga je jedini način da se istinski zaštitite stvaranje sigurnosne kopije.

Ozbiljno.

Postavite izradu sigurnosne kopije! Možda pomoću dodatka ili izravno na vašem hostingu..

Doslovno sam nedavno pokvario svoje medijske datoteke kao rezultat glupih eksperimenata, ali s dostupnom kopijom uspio sam vratiti bazu podataka u nekoliko minuta.

Kako postaviti raspored ovisi o tome što se i koliko često mijenja konkretno na vašoj stranici.

Nemojte uključivati ​​nepotreban kod

WordPress je vrlo fleksibilan i proširiv. Ovo je prekrasna prilika. No, s druge strane, poduzetni i ne baš tehnički potkovani vlasnici web stranica mogu vrlo brzo pretrpati svoju web stranicu nepotrebnim kodom.

Prvo, ovo je pogodak za izvedbu stranice. .
Drugo, stavlja Sigurnost vaše stranice je ugrožena infekcija virusom i povećava vjerojatnost hakiranja.
Treće, samo trebate više vremena za njegovu administraciju i podršku. Kada instalirate novi dodatak ili funkcionalnost za temu, procijenite njihovu stvarnu potrebu.

Dobra pitanja mogu biti:

• Kako se mogu isključiti iz ovog novog dodatka? Možda ćete vidjeti alternativne opcije ili ih uopće nećete morati koristiti.
• Što mi zapravo treba ovaj dodatak? Koje ću koristi imati od njegove upotrebe?

Za potpuno funkcionalnu web stranicu dovoljno je imati desetak najpotrebnijih dodataka (što uključuje SEO dodatak, dodatak za zaštitu stranice, dodatak za predmemoriju, antispam, obrazac za kontakt, a može postojati i nekoliko specifičnih dodataka za strukturu). vaše stranice ili njezinog sadržaja).
Ako je na vašoj stranici instalirano 30-50 dodataka, onda očito radite nešto krivo.

Također, nije dovoljno samo deaktivirati nekorištene dodatke, najbolje ih je potpuno ukloniti. Zajedno s neiskorištenim temama.

Slijedite jednostavan, ali učinkovit princip:

Manje koda, manje problema.

Ne dajte drugim sudionicima prava koja nadilaze njihove odgovornosti

Da raščistimo ovo. Nitko nije toliko odgovoran za sigurnost vaše stranice kao vi.
Ako svoje račune ili administrativne uloge date nekome od povjerenja, značajno ugrožavate sigurnost svoje stranice. Ne kažem da će osoba kojoj ste dodijelili veća prava rado hakirati vašu stranicu, ali može to omogućiti bez ikakve namjere. Razmislite o činjenici da njegovo računalo možda nije jednako zaštićeno kao vaše (na primjer, nije instaliran radni antivirus), a svi vaši napori da zaštitite stranicu otići će uzaludno.

Ograničite uloge koje ljudima dajete. Ako samo želite da osoba objavi članak, uopće vam ne treba administratorski račun.
Ali postoje trenuci kada stvarno morate dati puna prava. Na primjer, zamolili ste freelancera da promijeni kod na stranici.
U tom slučaju, odmah nakon završetka rada, generirajte novu jaku lozinku i također kreirajte novi tajni ključ za WordPress kako biste u potpunosti izbrisali radne kolačiće.

Ažurirajte svoje web mjesto i dodatke

Već sam na početku ovog članka naveo ovaj problem kao glavni izvor prijetnje radu stranice.

Svaki dan milijuni web stranica bivaju napadnuti. To omogućuje programerima da brzo pronađu opasne ranjivosti i poprave ih u budućim ažuriranjima. Ali ako zanemarite ovo pravilo, svaki dan možete postati žrtva hakiranja.
U većini slučajeva ažuriranja se odvijaju glatko, samo trebate pogledati stranicu s promjenama, gdje autor može naznačiti neke važne napomene u vezi s poboljšanjima, ispravcima grešaka i ranjivostima.

Ako imate više od 30-50 instaliranih dodataka, tada proces ažuriranja ne oduzima puno vremena i obično se događa 2-3 puta mjesečno. Poštena cijena za dobar san.

Događa se da lijeni programeri početnici izravno uređuju datoteke dodataka i njihovo ažuriranje postaje teško. Ali to se ne može izbjeći na ovaj ili onaj način.

Isti se problem javlja s premium temama, koje uključuju dodatne premium dodatke kao što su Visual composer, Revolution slider, Layer slider i tako dalje.

Vlasnici prilagođavaju web mjesto, natjeraju ga da radi kako žele i razumljivo se boje ažurirati ga.
U praksi, nakon šest mjeseci ili godinu dana, takve stranice počinju propadati: nešto je ažurirano, nešto nije, pojavljuju se sukobi, kočnice itd.

Ovo je uobičajena situacija, stoga obratite pozornost na dvije stvari:

• napraviti dječju temu— pitanje je nekoliko minuta, ali pomaže u jednostavnom ažuriranju u budućnosti;
• pokušajte svoje najbolje nemojte uređivati ​​puno koda u temi— ako je to potrebno, možda bi bilo bolje napisati dodatnu funkcionalnost?

Lakše je, naravno, popraviti kod izravno u temi, ali gubite u ažuriranjima. Zaštititi sebe u tom smislu je viši prioritet.

Postavite jake lozinke

Jake lozinke pomažu vam da izbjegnete brute-force napad, odnosno da netko pogodi vašu lozinku. Ako vaša lozinka sadrži samo 3-4 znaka, a vi koristite prijavu admin, onda vaša stranica može biti hakirana za manje od 1 minute! Razmisli o tome.

5-6 znakova u lozinci također nije dovoljno; dobra lozinka počinje s 8 znakova. Također, vrlo je važno ne koristiti jednostavne riječi iz rječnika, već koristiti kombinaciju slova u različitim padežima, brojeva, interpunkcijskih znakova i posebnih znakova.

Naravno, takvu lozinku nije lako smisliti, a još manje zapamtiti i koristiti. Ovdje će vam u pomoć priskočiti automatizirane aplikacije: 1password, keepass, lastpass. Odaberite jednu i dopustite im da se pobrinu za pohranu vaših lozinki.

Koristite pouzdane izvore

Ako preuzimate dodatke sa stranica trećih strana, posebno na svim vrstama wareznikova i besplatnih torrenta, tada uvelike ugrožavate rad svoje stranice.

Čak i ako posjetite stranicu dodatka ili teme koja vam je potrebna, a čini vam se da se njegovom autoru može vjerovati, zapravo to nije tako. Zašto?

Budući da kod ovog dodatka nije ni na koji način testiran na funkcionalnost i ranjivosti, kao što to radi razvojni tim i zajednica na web stranici https://wordpress.org/plugins/, i najvjerojatnije može sadržavati rizičan kod čak i bez ikakve namjere od strane njezina autora .

Kao mjera za poboljšanje sigurnosti WordPressa instalirajte dodatke i teme iz službenog repozitorija ili iz repozitorija vrlo velikih tvrtki u čiji ste integritet i ugled sigurni.

Omogućite antivirusni program na računalu

Bez dobrog antivirusa vjerojatno je nezamisliv siguran rad na računalu. Neću preporučiti jedno od ovih, ali dobro je pravilo da koristite uglednu marku, a po mogućnosti onu koja nudi punu uslugu.
Dobar antivirus samostalno ažurira svoj kod i antivirusne baze podataka, tako da praktički nećete morati pratiti njegov rad.

Ne unosite lozinke u javnim Wi-Fi područjima

Na javnim mjestima gdje postoji Wi-Fi svatko može presresti promet, a ako nije kriptiran, napadač može lako doći do vaših podataka.

Koristite šifriranu metodu prijenosa. Izradite i konfigurirajte SSL certifikate za svoju web stranicu, bit ćete mirni znajući da ste zaštitili svoju web stranicu i podatke svojih korisnika.

Zaštićene datoteke i sistemski direktoriji

• Ispravne dozvole za datoteke i direktorije

Postavite dozvole na 644 za datoteke i 755 za direktorije, odnosno unos je dostupan samo vlasniku - vama. Time se smanjuje rizik od potencijalnih prijetnji, osobito na dijeljenom hostingu.
Možete ručno promijeniti prava putem upravljačke ploče hostinga ili putem ftp klijenta.

Ako imate pristup ljusci, možete dodijeliti dozvole pomoću dvije naredbe.

Za kataloge:

Pronađite /path_to_your_wordpress_folder/ -type d -exec chmod 755 () ;

Za datoteke:

Pronađite /path_to_your_wordpress_folder/ -type f -exec chmod 644 () ;

• Zaštita važnih datoteka i direktorija - (wp-admin/, wp-config.php, wp-login.php, wp-includes)

Zaštiti /wp-admin/.
Na ovoj adresi otvara se upravljačka konzola vašeg web mjesta.

Na nekim hosting stranicama možete stvoriti lozinku za ovu mapu izravno na upravljačkoj ploči

Ili to možete učiniti ručno.
Da biste to učinili, trebate upotrijebiti generator datoteka htpasswd, zatim kopirati rezultirajuću datoteku na svoj poslužitelj, na primjer u direktorij iznad vaše instalacije wordpressa.

Posljednji korak je stvoriti ili otvoriti .htaccess datoteku u korijenskoj mapi vaše stranice i u nju unijeti sljedeći kod:

AuthName "Wordpress Console" AuthUserFile /path_to_your_file/htpasswd AuthGroupFile /dev/null AuthType basic zahtijeva korisničko ime

Zamijenite potrebne vrijednosti.

Zaštita datoteke wp-login.php.

Ako trebate ograničiti prijavu prema IP adresama, unesite sljedeće direktive u .htacesss datoteku:

Order deny,allow Odbij od svih Dopusti od xxx.xxx.xxx.xxx

Dakle, prvo zabranite pristup sa svih izvora, zatim otvorite pristup samo za određene ip-ove. Redoslijed je važan.

Zaštita datoteke wp-config.php.

Premjestite ovu datoteku iz svoje korijenske mape wordpressa u mapu više. Postavite dopuštenja za datoteke na 400 ili 440, tako da će vama i vašem poslužitelju biti dostupna samo dopuštenja za čitanje.

Ako ne možete prenijeti datoteku, uključite sljedeći kod na samom vrhu .htaccess, koji će u potpunosti onemogućiti pristup wp-config.php:

Red dopustiti, odbiti odbiti od svih

Zaštita wp-uključuje/.

Kako biste dodatno poboljšali sigurnost WordPressa, možete ograničiti izvršenje
skripte u mapi wp-includes/. Dodajte sljedeći kod u .htaccess:

RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - RewriteRule !^wp-includes/ - RewriteRule ^wp-includes/[^/]+.php$ - RewriteRule ^wp-includes/js/tinymce/langs/.+ .php - RewriteRule ^wp-includes/theme-compat/ -

Ako imate multisite način rada, komentirajte redak

"RewriteRule ^wp-includes/[^/]+.php$ - "

Nemojte dopustiti robotima za pretraživanje da obrađuju stranice usluga

Provjerite datoteku robots.txt.

User-agent: * Disallow: /feed/ Disallow: /trackback/ Disallow: /wp-admin/ Disallow: /wp-content/ Disallow: /wp-includes/ Disallow: /xmlrpc.php Disallow: /wp-

Sve su to mape usluge WordPress koje tražilica ne bi trebala indeksirati.

Sakrijte svoju verziju WordPressa od potencijalnih hakera

Informacije o verziji nalaze se u zaglavlju iu RSS feedovima:

Da biste ga uklonili odatle, trebate uključiti sljedeći kod u datoteku functions.php aktivne teme:

Funkcija wp_remove_version() ( return ""; ) add_filter("the_generator", "wp_remove_version");

Promijenite ime administratorskog računa

Prema zadanim postavkama, WordPress stvara račun pod imenom admin, što olakšava hakiranje koristeći brute-force napad. Svakako ga morate promijeniti.

Da biste to učinili, idite u svoju bazu podataka pomoću aplikacije phpmyadmin, pronađite stol wp_korisnici(prefiks može varirati), bit će unosa s vjerodajnicama. Otvorite korisnički račun administratora za uređivanje.

U polju korisnička_prijava promijeniti vrijednost admin na svoju novu željenu prijavu i kliknite Ići.

Promijenite prefiks baze podataka

Ako ste instalirali CMS s upravljačke ploče hostinga, velika je vjerojatnost da stranica već ima promijenjen prefiks. Za to postoje i gotovi dodaci, ali to možete učiniti i ručno.

1. Napravite sigurnosnu kopiju svoje baze podataka koristeći phpmyadmin;
2. Otvorite datoteku u jednostavnom uređivaču teksta i zamijenite prefiks "wp_" vrijednošću vašeg novog prefiksa;
3. Deaktivirajte sve svoje dodatke;
4. Izbrišite staru bazu podataka i uvezite onu s novim prefiksom;
5. Promijenite postavke baze podataka u datoteci wp-config.php da biste koristili novi prefiks;
6. Aktivirajte potrebne dodatke;
7. Ažurirajte CNC/stalne veze.

Omogućite SSL na svojoj stranici

Ako ste dobili SSL certifikat, omogućite SSL podršku u wp-datoteci
config.php:

Definiraj("FORCE_SSL_LOGIN", istina); define("FORCE_SSL_ADMIN", istina);

Ova stranica ima certifikat Cloudflarea, koji se izdaje besplatno, ali morate se povezati i konfigurirati ovu uslugu.

Ograničite broj pokušaja prijave

Ako primijetite aktivan brute-force napad u vašim zapisnicima poslužitelja, možete ga spriječiti ograničavanjem broja pokušaja prijave pomoću dodatka Ograniči pokušaje prijave.

Dodatak nije ažuriran 2 godine, ali je prošao kroz milijun instalacija i dobio dobre recenzije svoje izvedbe, uključujući i trenutne verzije WordPressa.

Spriječite uređivanje datoteka dodataka i tema u upravljačkoj konzoli

Ako ne koristite uređivanje datoteka iz administratorske ploče, možete onemogućiti ovu funkciju kako biste povećali sigurnost stranice. Napišite sljedeći redak u datoteku wp-config.php:

Define("DISALLOW_FILE_EDIT", true);

Ako je vaša stranica hakirana

1. Onemogući stranicu
2. Obavijestite svog davatelja usluga, druge stranice mogu biti zaražene
3. Napravite sigurnosnu kopiju stranice
4. Promijenite sve lozinke u datoteci wp-config.php
5. Ponovno instalirajte WordPress, ovo će zamijeniti datoteke motora novim kopijama
6. Ponovno instalirajte teme i dodatke kako biste osigurali da za sobom ne ostane zlonamjerni kod.
7. Također možete koristiti dostupne dodatke za traženje potencijalnog zlonamjernog koda.

Upamtite, ako su hakeri ukrali vašu lozinku i ušli na stranicu, čak i nakon što promijenite lozinku, mogu ostati u sustavu jer su na snazi ​​radni kolačići. Da biste ih onemogućili, morate stvoriti novi tajni ključ. Otvoren

Sigurnosna pitanja WordPressa oduvijek su pružala mnogo hrane za razmišljanje. Iako je većina nedavnih ažuriranja ovog CMS-a povezana sa sigurnošću, postoji mnogo načina za poboljšanje sigurnosti koji su dostupni čak i tehnički najmanje potkovanim korisnicima, čak i bez dodataka.

Evo nekoliko prijedloga o tome kako poboljšati informacijsku sigurnost za WordPress stranicu.

Programeri platforme nude vlastiti popis mjera za osiguranje zaštite WordPress stranica, s kojima preporučujemo da se upoznate. Naravno, neke od ovih preporuka ponovit ćemo u nastavku, ali nekoliko dodatnih praktičnih savjeta i uputa ne može škoditi kada je u pitanju sigurnost podataka.

Napravite zaseban račun s uređivačkim pravima

Kada pišete ili uređujete postove na blogu, "ime autora" pojavljuje se u donjem lijevom kutu preglednika kada zadržite pokazivač iznad imena autora u postu. Ako je ime vašeg autora isto kao ime administratora, učinili ste pola posla za hakere da uspješno hakiraju vašu stranicu.

Popravak je jednostavan: stvorite novog korisnika koji ima samo uređivačka prava i prijavite se pod tim imenom kada ćete nešto objaviti ili urediti na blogu. Ovo će se ime pojaviti na svim vašim objavama; a hakeri će izgubiti mnogo vremena pokušavajući hakirati vaš blog pod korisničkim imenom s navodnim administratorskim pravima, što vam zapravo dopušta samo pisanje i uređivanje postova.

Osim toga, posebni sigurnosni dodaci za WordPress ograničavaju pokušaje pristupa stranici pod određenom prijavom i prijavljuju pokušaje neovlaštenog ulaska na određenu e-poštu. Na taj način ćete saznati jesu li pokušaji hakiranja napravljeni s pravom administratorskom prijavom te ćete moći obratiti pozornost na sigurnost WordPress stranice prije nego što napadači pogode lozinku.

Nemojte koristiti jednostavne lozinke

Zapamtite jednostavnu riječ SUD – Složeno, Jedinstveno, Dugo. Ovdje alati poput 1Password ili LastPass stupaju na scenu, generirajući lozinke duljine koju sami postavite. Ovisno o razini zaštite koju želite, odaberite duljinu lozinke u znakovima (obično je dovoljno 20 znakova) i uključite rijetko korištene znakove kao što su # ili *.

"123456" nije lozinka. “qwerty” je ekvivalentan upisivanju njegovog PIN koda na bankovnu karticu. Čak je i “starwars” uvršten na popis 25 najčešćih lozinki 2015. godine. Upamtite, niste tako jedinstveni kao što mislite.

Dodajte dvofaktornu autentifikaciju

Čak i ako ne koristite korisničko ime admin i postavite snažnu, nasumično generiranu lozinku, napadi grubom silom ostaju problem. Kako bi se smanjio rizik od takvog upada, ključne su metode poput dvofaktorske autentifikacije.

Da, autentifikacija u dva faktora je gnjavaža. Ali sada je ovo vaš Fort Knox. Njegova bit za zaštitu WordPress stranice leži, kao što ime sugerira, u dva oblika autorizacije. Danas je to standard koji poboljšava sigurnost vaših pristupnih točaka. Već koristite dvofaktorsku autentifikaciju za Gmail i Paypal (bar biste trebali). Pa zašto ne dodati WordPress na popis?

Za implementaciju alata postoji poseban Google Authenticator dodatak. Alternativna opcija s nešto drugačijim pristupom i istim rezultatom je Rublon Plugin.

Koristite načelo najmanje privilegije
Tim WordPress.org sastavio je izvrstan članak u kodu WordPressa koji regulira korisničke uloge i dopuštenja. Obavezno pročitajte ovaj dokument koji se izravno bavi ovim korakom.

Načelo najmanje privilegije je vrlo jednostavno - dajte pristup samo:

- oni kojima je to potrebno;

- kada vam je potrebno;

- za vrijeme koje je potrebno.

Ako su nekome potrebna administrativna prava za promjenu konfiguracije, dodijelite ih, ali uskratite pristup odmah nakon dovršetka zadatka.

Dobra vijest je da vam ovi koraci neće oduzeti puno vremena.

Suprotno uvriježenom mišljenju, ne mora svaki korisnik koji pristupa vašoj WordPress stranici dobiti administratorska prava. Dajte ljudima dovoljna prava pristupa za obavljanje njihovih zadataka i uvelike ćete smanjiti sigurnosni rizik svoje WordPress stranice.

Za ovakvu postavu wordpress sigurnost postoji dodatak: Google autentifikator. Alternativa koja koristi nešto drugačiji pristup za istu svrhu je dodatak

Sakrij wp-config.php i .htaccess datoteke

To je relativno lako učiniti, ali pogreške u postupku mogu vašu stranicu učiniti nedostupnom. Napravite sigurnosnu kopiju i tek onda nastavite s promjenama.

Idite na Alati => Uređivač datoteka za uređivanje .htaccess datoteke. Da biste povećali razinu sigurnosti i zaštite datoteke wp-cnofig.php, trebate dodati sljedeći kod u datoteku .htaccess:

Blokirati će neovlašteni pristup datoteci wp-config.php. Sličan kôd može se koristiti za zaštitu same datoteke .htaccess: red dopustiti, odbiti odbiti od svih

Ove promjene možete napraviti sami, ovdje nema ništa komplicirano.

Koristite WordPress sigurnosne ključeve za autentifikaciju

Ključevi za provjeru autentičnosti i ključevi za slanje rade međusobno kako bi zaštitili vaše kolačiće i lozinke tijekom prijenosa podataka između vašeg preglednika i web poslužitelja. Ovi ključevi provjere autentičnosti izgrađeni su na skupu slučajnih varijabli. Oni povećavaju sigurnost (enkripciju) informacija u kolačićima.

Da biste ih promijenili u datoteci wp-config.php, jednostavno nabavite novi set ključeva ovdje - https://api.wordpress.org/secret-key/1.1/salt/ - i dodajte ga u datoteku. Kada osvježite navedenu stranicu, ključevi se mijenjaju, tako da ćete svaki put dobiti novi set.

Onemogući uređivanje datoteke

Najlakši način da promijenite svoje datoteke je pristupiti WordPress stavci izbornika “Appearance => Editor”. Da biste povećali razinu zaštite, trebate onemogućiti mogućnost uređivanja datoteka putem konzole. Otvorite datoteku wp-config.php i dodajte redak

Define("DISALLOW_FILE_EDIT", true);

I dalje ćete moći mijenjati predloške putem FTP pristupa, ali sada ih nitko neće moći mijenjati pomoću alata u WordPress konzoli.

Ograničite broj pokušaja prijave

Cilj napada na pogađanje ključeva je obrazac za prijavu na stranici. Dodatak All in One WP Security & Firewall omogućuje promjenu zadane staze (/wp-admin/) do ovog obrasca za unos. Osim toga, pomoću posebnih dodataka možete ograničiti broj pokušaja unosa s određene IP adrese.

Selektivna uporaba XML-RPC sučelja

XML-RPC je sučelje za programiranje aplikacija (API) koje se koristi posvuda. Pristupa mu veliki broj dodataka i tema, tako da manje tehnički korisnici moraju biti posebno oprezni kada eksperimentiraju s ovim alatom.

Iako je praktičan korak, onemogućavanje XML-RPC-a može biti skupo. Zato ga nije preporučljivo u potpunosti isključiti, već obratiti pozornost na to koji programi pokušavaju pristupiti ovom sučelju i kako. Postoje mnogi dodaci koji pomažu u selektivnoj implementaciji i onemogućavanju XML-RPC-a.

WordPress hosting i sigurnost

Vlasnici web stranica često se žale da njihove hosting tvrtke ne pomažu u zaštiti njihove web stranice od hakiranja ili uopće ne razumiju ništa o osiguravanju web stranica na platformi WordPress.

Hosting tvrtke jednostavno vide vašu stranicu drugačije. Ne postoje jasna pravila za odabir WordPress hostinga, ali je jako važno kada su u pitanju mjere za poboljšanje zaštite od neovlaštenog pristupa.

Doslovno svaki članak o odabiru hostinga počinje riječima da jeftino ne znači i najbolje. Najjeftiniji tarifni planovi neće vam pomoći u zaštiti od hakerskih napada. Takvi paketi uključuju minimalnu zaštitu resursa, kao što je unaprijed instalirani vatrozid web stranice.

Zajednički hosting znači da je poslužitelj na kojem se nalazi vaš resurs ujedno i dom drugih stranica. Oni mogu imati vlastite sigurnosne probleme koji utječu na sigurnost vaše stranice.

pri čemu WordPress sigurnost , vjerojatno je jedna od glavnih prednosti koje hosting tvrtke nude u specijaliziranim WordPress planovima.

To obično uključuje sigurnosne kopije, sigurnosni vatrozid, skeniranje datoteka u potrazi za zlonamjernim softverom, zaštitu od i automatska ažuriranja WordPressa. Štoviše, sve se to nudi, u pravilu, po vrlo razumnoj cijeni.

Ne zaboravite na svoj hosting račun

Jedan od najvećih problema s hostingom povezan je s konfiguracijom računa za vlasnika stranice. Korisnik može instalirati i konfigurirati onoliko stranica koliko želi, što doprinosi nastanku “besplatne kantine” za malware u okruženju sustava.

Problem je relevantan jer se u mnogim slučajevima web resurs može hakirati koristeći metodu poznatu kao cross-site infekcija, gdje je vektor napada susjedna stranica. Napadač nadilazi zaštitu sjevera i zatim počinje prodirati u susjedna mjesta koja se nalaze na ovom poslužitelju.

Najbolji način zaštite od ove vrste hakiranja je kreiranje dva računa. Jednu koristite kao radnu okolinu i na njoj hostirate samo aktivne stranice, a drugu kao međuokruženje u koje spremate sve ostalo.

Budite u tijeku s najnovijim ažuriranjima

Lako je govoriti o održavanju stvari svježim. Ali za vlasnike web stranica to znači svakodnevni mukotrpan rad. Naše su web stranice složena stvorenja. Na njima se u svakom trenutku odvijaju deseci događaja, pa ponekad može biti teško izvršiti trenutne promjene.

Nedavno istraživanje pokazalo je da 56% WordPress instalacija koristi zastarjele verzije platforme.

Ažuriranja se ne bi trebala odnositi samo na jezgru platforme. U spomenutoj studiji stoji i kako veliki broj hakerskih napada koristi zastarjele, ranjive verzije dodataka.

Kako odabrati sigurne dodatke i teme za WordPress

Većina korisnika radije instalira dodatke i teme bez razlike na svoje web stranice. Ovo je glupo osim ako instalirate na testnom poslužitelju samo u svrhu testiranja funkcionalnosti određene teme ili dodatka.

Većina dodataka i mnoge teme besplatni su. A ako autori podržavaju svoje proizvode iz zabave, a ne kao dio nekog ozbiljnog poslovnog modela, malo je vjerojatno da su proveli puno vremena provjeravajući ranjivosti i sigurnost tih proizvoda.

Kako odabrati pravi dodatak za wordpress

Kao što je gore spomenuto, besplatne teme i dodaci potencijalna su prijetnja sigurnosti web stranice. Kada dodajete ove elemente na svoje web mjesto, svakako provjerite njihovu ocjenu, na primjer na WordPress.org.

Ali samo pet zvjezdica neće reći ništa o pouzdanosti dodatka; ovisno o niši, trebao bi imati određeni broj recenzija. Ako dovoljno ljudi misli da je to sjajan proizvod i odvoji vremena da ga ocijene, možete ga isprobati na vlastitom web-mjestu.

Još jedna stvar koju biste trebali provjeriti je relevantnost dodatka ili teme. Ako nije bilo ažuriranja u posljednje dvije godine, WordPress će to prijaviti. Nedostatak ažuriranja ne znači nužno da je dodatak loš.

Možda autor jednostavno nije trebao unositi ispravke u radni program. Međutim, nije preporučljivo instalirati dodatke koji nisu ažurirani dulje vrijeme. Ocjena će vam reći o izvedbi odabranog elementa i njegovoj kompatibilnosti s trenutnom verzijom WordPressa. Sve ove informacije mogu se vidjeti na stranici dodatka na WordPress.org.

Zaključak

Ako ste pročitali ovaj članak do kraja, onda jednostavno morate poduzeti dodatne mjere kako biste zaštitili svoju WordPress stranicu. Dodajte provjeru sigurnosti svog resursa na svoj popis dnevnih radnji. To bi trebala postati ista dnevna rutina svakog vlasnika web stranice kao i redovito dodavanje novih publikacija i stranica.

Ne zaboravite na redovito stvaranje sigurnosnih kopija, za što platforma ima mnogo pouzdanih dodataka. Istina, oni nisu dio politike informacijske sigurnosti, već su to administrativni i servisni poslovi.

Pružili smo daleko od potpunog popisa onoga što se može učiniti da zaštitite svoju stranicu od hakiranja. Ali nadamo se da će naši praktični savjeti pomoći osigurati barem prvu razinu informacijske sigurnosti za vaš resurs.

Zapamtiti WordPress sigurnost nikada nije apsolutna.

Dakle, zagorčavanje života hakerima je naš posao kao vlasnika web stranica.