O'rnatishdan keyin WordPress xavfsizligini sozlash. Biz WordPress-ni o'z qo'llarimiz bilan buzamiz va himoya qilamiz. O'rnatilgan komponentlarni aniqlash

Bugun Nulled-da WordPress-da veb-sayt xavfsizligini yaxshilash haqida juda yaxshi maqola o'qidim. Nulled-dagi matn faqat ro'yxatdan o'tgan ma'lum miqdordagi postlari bo'lgan foydalanuvchilar uchun ko'rinadiganligi sababli, men maqolani o'z blogimda ommaviy foydalanish uchun joylashtiraman 😉 Umuman olganda, men hammani o'qishga va o'z taklif va tuzatishlarini kiritishga taklif qilaman (agar, Albatta, bor).

1. O'rnatishdan oldin;
2. O'rnatishdan keyin;
3. Davriy tekshiruvlar va yangilanishlar.

1. O'rnatishdan oldin

1.1. Biz barcha keraksiz fayllarni o'chirib tashlaymiz:
readme.html, license.txt, hello.php, keraksiz mavzular va plaginlar.

1.2. Keling, wp-config.php faylini to'g'ri tahrir qilaylik:

define("DB_NAME", "wpdb"); // "wpdb" o'rniga siz kuchli ismni topishingiz kerak, masalan, wp433Fd6HW
define("DB_USER", "wpuser"); // Masalan, UserFB56SKl
define("DB_PASSWORD", "strongpassword"); // Kuchli parol bo'lishi kerak, masalan, 'FE876!8e#fh#9fDfds9f'
define("DB_HOST", "localhost"); // 99% hollarda bu qiymatni o'zgartirish shart emas
define("DB_CHARSET", "utf8"); define("DB_COLLATE", "");

Yashirin kalitni standartdan o'zgartiring:

define("AUTH_KEY", "izmenite eto na unikalnuyu frazu");
define("SECURE_AUTH_KEY", "izmenite eto na unikalnuyu frazu");
define("LOGGED_IN_KEY", "izmenite eto na unikalnuyu frazu");
define("NONCE_KEY", "izmenite eto na unikalnuyu frazu");

xizmatdan foydalangan holda yaratilganiga

define("AUTH_KEY", "M.uFL(R Bw5UkRw%P&+>E*jJZBikz3-OV7sO*-_g*(9z,PnM,T&LPAE");
define("NONCE_KEY", "d2A~8NBb%2?+6`z)?nWoD0`f]-.gUOC);

Jadvallarni xavfsizroq qilish:

$table_prefix = "wp_4i32aK_"; // table_prefiksni noyob qilish uchun faqat harflar, raqamlar va pastki chiziqdan foydalaning. Hech bo'lmaganda bu sizni ba'zi ommaviy ekspluatatsiyalardan himoya qiladi.

1.3. MySQL konsolida blog uchun foydalanuvchi va ma'lumotlar bazasini yarating:
Birinchidan, root sifatida tizimga kiring va blog uchun ma'lumotlar bazasini yarating:

$ mysql -u ildizi
mysql> Wpdb ma'lumotlar bazasini yaratish;

$ mysql -u ildizi
mysql> Ma'lumotlar bazasini yaratish wp433Fd6HW;
So‘rov OK, 1 qatorga ta’sir qildi (0,00 sek)

Keyin biz foydalanuvchi yaratamiz: bu hisob faqat WordPress ma'lumotlar bazasiga kirish huquqiga ega bo'ladi. Shuningdek, foydalanuvchi masofadan emas, balki faqat mahalliy serverdan kirishiga ishonch hosil qilishimiz mumkin.

mysql>
-> ON wpdb.*
-> TO "wpuser"@"localhost"
-> "strongpassword" BO'YICHA identifikatsiya qilingan; So‘rov OK, 0 qatorga ta’sir qildi (0,01 sek)

Bizning misolimizda u quyidagicha ko'rinadi:

mysql> TANLASH, QO'SHISH, YANGILASH, O'CHIRISH, YARATISH, TO'SHIRISH
-> ON wp433Fd6HW.*
-> TO "UserFB56SKl"@"localhost"
-> "FE876!8e#fh#9fDfds9f" TARTIBIDA ANSIYLANGAN;
So‘rov OK, 0 qatorga ta’sir qildi (0,01 sek)

1.4. Mavzu kodingizdan metablokni olib tashlang
Standart mavzuda metablokni ko'rsatish uchun javobgar bo'lgan kod qismi:

Meta

Yaroqli XHTML

XFN

">WordPress

2. O'rnatishdan keyin

2.1. Standart administrator parolini o'zgartirish
O'rnatish paytida yaratilgan Administrator parolini o'zgartiring

2.2. WordPress versiyasini o'chirish

remove_action("wp_head", "wp_generator");

Mavzuingiz bo'lgan papkadagi header.php faylida qatorni o'chiring:

" />

WordPress 2.8.4 versiyasi uchun get_the_generator($type) funksiyasini amalga oshirishni toping va uni o'zgartiring:

get_the_generator funktsiyasi ($ turi) (
$gen = "";
return application_filters("get_the_generator_($type)", $gen, $type);
}

2.3. Bo'sh index.php
Bo'sh index.php faylini wp-includes/, wp-content/, /plugins/ papkalariga joylashtiring.

2.4. Administrator foydalanuvchi nomini noaniqroq narsaga o'zgartirish
MySQL konsoli orqali nomni o'zgartiring:

wp $ mysql -u UserFB56SKl –p
mysql> wp dan foydalaning;
UPDATE wp_users SET user_login="adm" bu erda user_login="admin";

Bizning misolimizda u quyidagicha ko'rinadi:

wp $ mysql -u wpuser –p
mysql> wp433Fd6HW dan foydalaning;
YANGILANISh wp_4i32aK_users SET user_login="adm234Df" bu erda user_login="admin";
So‘rov OK, 1 qatorga ta’sir qildi (0,01 sek) Satrlar mos: 1 O‘zgartirildi: 1 Ogohlantirishlar: 0

Yoki so'rovlar bilan aralashishni istamasangiz, quyidagilarni qilishingiz mumkin:

1. Yangi hisob yarating. Foydalanuvchi nomi noyob bo'lishi kerak;
2. Yangi foydalanuvchiga Administrator rolini belgilang;
3. Yangi Administrator sifatida qayta kiring;
4. Eski Administrator hisobini o'chiring.

2.5. Yangi foydalanuvchi rollarini yaratish
Buning uchun avvalo blogingizga plagin o'rnatishingiz kerak. Ushbu plagin sizga foydalanuvchi huquqlarini diqqat bilan va aniq belgilash imkoniyatini beradi. Plaginni faollashtirgandan so'ng, avvalo o'zingiz uchun foydalanuvchi yaratishingiz kerak. Barcha foydalanuvchi huquqlarini olib tashlang va keyin faqat kundalik faoliyatingiz uchun kerak bo'lgan huquqlarni diqqat bilan tanlang (xabar yozish, sharhlarni boshqarish va h.k.). Faqat administrator hisobi plaginlarni faollashtirish/o‘chirish, fayllarni yuklash, opsiyalarni boshqarish, mavzularni almashtirish, import qilish va hokazo imtiyozlarga ega ekanligiga ishonch hosil qiling.
Agar sizning blogingiz ko'p foydalanuvchili bo'lsa, unda siz foydalanuvchilarga qanday huquqlar kerakligini o'ylab ko'rishingiz va shu asosda o'z rollaringizni yaratishingiz kerak.
Rollarni yaratishda foydalanuvchilarga fayllarni yuklash, plaginning manba kodini tahrirlash, plaginlarni faollashtirish, fayllarni/postlarni/sahifalarni tahrirlash, import qilish, filtrlanmagan HTML kabi huquqlarni berishda ehtiyot bo‘ling, chunki bu rollar foydalanuvchilarga katta vakolatlar beradi.

2.6. Wp-kontent va wp-o'z ichiga olgan papkalarga kirishni cheklash
.htaccess fayli va maxsus qoidalardan foydalanib, biz rasmlar, CSS va JavaScript so'rovlaridan tashqari hamma narsani taqiqlaymiz. .htaccess fayllari tegishli kataloglarga joylashtirilishi kerak.

Buyurtmaga ruxsat berish, rad etish
Hammadan rad eting

Hammadan ruxsat bering

Ba'zi shablon va plaginlar uchun maxsus PHP fayllarini ham qo'shishingiz mumkin.

2.7. wp-content katalogini yashirish
WordPress 2.6 dan boshlab, wp-content katalogini ko'chirish mumkin bo'ldi.
wp-settings.php-dagi qatorlarni o'zgartiring:

define("WP_CONTENT_DIR",$_SERVER["DOCUMENT_ROOT"]."/blog/wp-content");
define("WP_CONTENT_URL","http://domain.ru/blog/wp-content");

Va plaginlar bilan bog'liq muammolarni oldini olish uchun:

define("WP_PLUGIN_DIR",$_SERVER["DOCUMENT_ROOT"]."/blog/wp-content/plugins");
define("WP_PLUGIN_URL","http://domain.ru/blog/wp-conten/plugins");

2.8. Wp-admin jildiga kirishni cheklash
Agar sizda statik IP bo'lsa
Bu qadam bitta foydalanuvchi blogi uchun oson, lekin ko'p foydalanuvchili blog uchun haqiqiy bosh og'rig'i bo'lishi mumkin. Ushbu hiyla faqat statik IPga ega bo'lsangiz ishlaydi. wp-admin katalogi uchun .htaccess fayli quyidagi qoidalarni o'z ichiga olishi kerak:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Kirishni boshqarishga misol"
AuthType Basic

buyurtma rad etish, ruxsat berish
hammadan rad eting
a.b.c.d.dan ruxsat berish. #Sizning statik IP manzilingiz

Faylni wp-admin katalogiga joylashtiring va proksi-server orqali ushbu jildga kirishga harakat qiling. Agar hamma narsa to'g'ri ishlasa, kirish taqiqlanadi. Shundan so'ng, IP-dan kirishga harakat qiling.

Parol orqali kirishni cheklash
Wp-admin jildiga parol bilan kirish afzalroq bo'lishi mumkin. Bu administrator paneliga istalgan joydan kirishingiz mumkinligini anglatadi. Agar sizda dinamik IP bo'lsa, bu ham imkoniyatdir.
wp-admin katalogi uchun .htaccess fayli quyidagi qoidalarni o'z ichiga olishi kerak:

# file.htpasswd blogingizning asosiy katalogidan tashqarida joylashgan

ErrorDocument 401 standart
AuthUserFile /srv/www/user1/.htpasswd
AuthType Basic
AuthName "WordPress asboblar paneli"

foydalanuvchi administratori talab #Xavfsiz foydalanuvchi nomini yarating

haqiqiy foydalanuvchi talab qiladi

Buyruq bilan parol yarating:

$ htpasswd -cm .htpasswd administratori

Yoki parol yaratish uchun xizmatdan foydalaning. Mana foydalanuvchi uchun misol: admin , parol: test

admin:$apr1$t3qLL...$uUmj9Wm/WbJk7YNza6ncM/

.htpasswd faylini blog ildizi ustidagi katalogga joylashtirish yaxshiroqdir.

2.9. wp-config.php fayli
Birinchi variant: maʼlumotlaringizni himoya qilish uchun uni yuqoridagi jildga koʻchirishingiz kerak, WordPress oʻz ildizida wp-config.php topmasa, yuqoridagi katalogni avtomatik tekshiradi.
Agar biron sababga ko'ra siz yuqorida tavsiflangan narsalarni qila olmasangiz, unda boshqa variant mavjud. Ya'ni, .htaccess yordamida wp-config.php-ni himoya qiling:

# wpconfig.php ni himoya qiling

Buyurtmani rad etish, ruxsat berish
hammadan rad eting

2.10. Fayl va papkalar uchun to'g'ri ruxsatlarni o'rnatish
Asosiy qoida:

1. Fayllar uchun - 644
2. Papkalar uchun - 755

Qobiqdan ushbu operatsiyalarni quyidagilar yordamida bajarish mumkin:

CD
toping (yo'lingizni) -ype d -exec chmod 755 '()' \
toping (yo'lingizni) -f -exec chmod 644 '()' yozing.

2.11. Administratorlar uchun SSL
Agar sizning serveringiz SSL-ni qo'llab-quvvatlasa, administrator paneliga kirishni xavfsiz qilish yaxshiroqdir. Buning uchun wp-config.php faylida qatordagi izohlarni olib tashlang:

define('FORCE_SSL_ADMIN', rost);

2.12. WordPress jurnali chiqishini olib tashlang
Mavzuingiz bilan papkadagi functions.php fayliga qatorni qo'shing:

add_filter("login_errors",create_function("$a", "return null;"));

2.13. Biz Robots.txt yordamida indekslashni taqiqlaymiz
To'g'riligini quyidagi manzilda tekshirishingiz mumkin

2.14. Xavfsizligingiz uchun plaginlar
Kirish LockDown- Noto'g'ri loginlar sonini o'rnating
Buning uchun va plaginlar shaklida ikkita echim mavjud. Plagin faollashtirilgandan so'ng u barcha kirish urinishlarini yozib oladi. Plagin tashrifchi parolni bir necha marta noto'g'ri kiritganidan keyin ma'lum vaqt davomida tashrif buyuruvchiga kirishni taqiqlash imkonini beradi.

Belavir- Asosiy PHP fayllaridagi o'zgarishlarni kuzatish

WPIDS– Biz amalga oshirish belgilarini aniqlaymiz

WordPress onlayn xavfsizlik skaneri– Blogni zaifliklar uchun skanerlash

Akismit- OITS va SPAMga qarshi kurash

SpamBam– Mijoz to‘g‘ri brauzerdan foydalanayotganligini aniqlang

3. Davriy tekshiruvlar va yangilanishlar

3.1. WordPressni yangilab turing
3.2. Plaginlarni yangilab turing
3.3. Xavfsizlik yangilanishlarini kuzatib boring

3.4. Siz qo'shmoqchi bo'lgan mavzu va plaginlarning kodini oqish uchun tekshiring
3.5. Spam bilan kurashing
3.6. Doimiy ravishda blogingiz ma'lumotlar bazasining to'liq zaxira nusxasini yarating
3.7. Rivojlanish bloglarini o'qing
Kichik ro'yxat:

Aksariyat odamlar o'zlarining WordPress veb-saytida buzg'unchilikka arziydigan kontent yo'qligi sababli xavfsiz bo'lgan deb o'ylashadi. Afsuski, unday emas. Ko'pincha veb-saytlar, masalan, spam tarqatish uchun buzilgan. Yoki asosiy va mavzu fayllari saytingizga tashrif buyuruvchilarning kompyuterlarini zararlash va buzish uchun zararli kod bilan to'ldirilgan. Ehtimol, siz zararni faqat Google yoki Yandex sizning saytingizni belgilab qo'ygan yoki uni indeksdan olib tashlaganida sezgan bo'lishingiz mumkin. Bunga yo'l qo'ymang va mukammal wp-config.php bo'yicha mening maslahatlarimni ko'rib chiqing.

WordPress veb-saytingizni xakerlikdan himoya qilishning ko'plab usullari mavjud. Optimallashtirish yaxshi xavfsizlik strategiyasining muhim qismi sifatida qaralishi mumkin. Albatta, sayt Bankga aylanmaydi, lekin siz xakerlar uchun biroz qiyinlashtirdingiz.

wp-config.php ni optimallashtirish uchun konstantalar deb nomlanadi. WordPress-da ishlatilishi mumkin bo'lgan ko'plab doimiylar mavjud. Lekin doimiy nima? PHP.net konstantalarni quyidagicha tavsiflaydi:

Doimiy oddiy qiymat uchun identifikator (nom). Nomidan ko'rinib turibdiki, bu qiymat skriptni bajarish paytida o'zgarmasdir (sehrli konstantalar uchun, albatta, doimiylardan boshqa narsa emas). Konstanta sukut bo'yicha katta-kichik harflarga sezgir. An'anaga ko'ra, doimiy identifikatorlar har doim katta harfda bo'ladi.PHP.net

Konstantalar define() funksiyalariga o‘rnatilgan va quyidagicha ko‘rinadi: define("NAME_OF_THE_CONSTANT", qiymat);

wp-config.php WordPress uchun boshqaruv faylidir. U boshqa barcha fayllardan oldin yuklanadi, chunki WordPress ma'lumotlar bazasi ulanishini o'rnatishi kerak. Kerakli ma'lumotlar konfiguratsiya faylida mavjud. Agar doimiy qiymatni o'zgartirsangiz yoki doimiy qo'shsangiz, WordPress xatti-harakatlarini ham o'zgartirishingiz mumkin.

Ishdan oldin: wp-config.php ning zaxira nusxasini yarating

wp-config.php faylini tahrirlashni boshlashdan oldin yarating zaxira nusxasi bu fayl. Sizning saytingiz noto'g'ri yoki etishmayotgan yozuvlar bilan ishlamaydi.

Muhim: WordPress va plaginlarni har doim yangilang

Ehtimol, siz buni bir necha bor eshitgansiz. Ammo bu jihat shunchalik muhimki, uni tez-tez takrorlay olmayman. WordPress yoki plaginlar yangilanmaganligi sababli ko'plab saytlar buzilgan. Yangilanishlar xakerlikdan eng yaxshi sug'urtadir!

Xavfsizlik holati:

Xavfsizlik mutaxassislari Sucuri endi WordPress uchun mashhur Jetpack plaginidagi xavfsizlik kamchiligi haqida ogohlantirilmoqda. Zararli kod shortcode-embedding-funksiyasi yordamida amalga oshirilishi mumkin. Automattic haqiqatan ham tez orada javob beradi va yangi versiyani chiqaradi.

Hozircha xavfsizlik bo'shlig'ini qanday yopish mumkin:

dan foydalansangiz, siz xavf ostida emassiz. Ushbu turdagi hujumni to'xtata oladigan katta 6G xavfsizlik devori mavjud.

Tayyorlanishi:

Barcha keyingi ishlar uchun sizga dastur, shuningdek, HTML muharriri kerak bo'ladi. wp-config.php ish stoliga yuklab olinadi, HTML muharririda tahrirlanadi va serverga qayta yuklanadi.

1 – Xavfsizlik kalitlaridan foydalaning

WordPress-dagi xavfsizlik kalitlari juda muhim, masalan cookie-fayllardagi kirish ma'lumotlarini shifrlash. Sizning ichingizda bo'lsa ham wp-config.php allaqachon mavjud, ularni bir muncha vaqt o'tgach almashtirish zarar etkaza olmaydi. Kalitlar o'zgarganda, barcha foydalanuvchilar o'z saytlaridan chiqib ketishadi. Shundan so'ng siz foydalanuvchi nomi va parolingizdan foydalanib yana tizimga kirishingiz mumkin bo'ladi.

Biroq, agar sayt allaqachon buzilgan bo'lsa, birinchi navbatda saytingizdan zararli kodni olib tashlashingiz kerak. Bu boradagi ko'rsatmalarni ushbu yo'nalish bo'yicha qo'shimcha ma'lumotlarda topish mumkin. Shundan so'ng, WordPress xavfsizlik kalitlari generatoriga tashrif buyuring va yangi to'plamdan nusxa oling. Eski qismni yangilari bilan almashtiring - skrinshotni ko'ring:

Agar siz hali xavfsizlik kalitlarini joriy qilmagan bo'lsangiz, hozir buni qilishning yaxshi vaqti.

Qo'shimcha ma'lumot:

2 - HTTPS-dan majburiy foydalanish

SSL sertifikati saytingiz va tashrif buyuruvchi brauzerlari o'rtasidagi aloqani shifrlaydi. HTTPS xakerlar uchun shaxsiy ma'lumotlarni tuzoqqa olish va o'g'irlashni imkonsiz qiladi. Agar siz allaqachon saytingiz uchun SSL sertifikatiga ega bo'lsangiz, uni HTTP o'rniga HTTPSdan foydalanishga majburlashingiz mumkin. Bu sizning saytingiz xavfsizligini sezilarli darajada oshiradi. Agar sizda SSL sertifikati bo'lmasa, undan foydalanish haqida jiddiy o'ylab ko'rishingiz kerak.

Katta xarajatlardan qo'rqishingiz shart emas, chunki...

Saytingiz allaqachon SSL dan foydalanayotgan bo'lsa, quyidagi yozuvlardan foydalanish kerak. Yuqori kirish xavfsiz kirish uchun, pastki qismi esa brauzerni faqat SSL dan foydalanishga majbur qiladi.

Har bir WordPress o'rnatilishida siz mavzu va plagin fayllarini to'g'ridan-to'g'ri administrator hududida tahrirlashingiz mumkin. "Tashqi ko'rinish" va "Plaginlar" menyusida siz har bir fayl uchun mos muharrirni topasiz. Ushbu muharrir xakerlar qo'liga tushib qolsa, juda xavflidir. Ma'lumotlar yo'q qilinishi va viruslar, troyanlar, spamlar va boshqa zararli dasturlar qo'shilishi mumkin. Ammo muharrir veb-sayt ma'muri uchun ham muhimdir. Yagona xato, bitta nuqtali vergul yetishmayapti - bu oq sahifalar paydo bo'lishi uchun kifoya qiladi va boshqa hech narsa ishlamaydi.

3 - Ma'lumotlar bazasi prefiksini o'zgartirish

Ma'lumotlar bazasi prefiksi jadval prefiksi sifatida ham tanilgan. Ushbu prefiks WordPress tomonidan yaratilgan har bir ma'lumotlar bazasi jadvaliga kengaytma sifatida ishlatiladi. Mana standart wp_. Ushbu standartni boshqa narsaga o'zgartirish kerak. Qanchalik sirli bo'lsa, shuncha yaxshi. Havotir olmang; Bu yerda nima kiritganingizni eslab qolishingiz shart emas. Bu qiymat bir marta qo'yiladi.

Bu haqda o'ylash SQL in'ektsiyasi imkoniyatini nolga kamaytiradi. Lekin bu mumkin. Shunday qilib, WordPress-ni o'rnatishdan oldin qiymatni o'zgartiring. Shu kabi narsalarni ishlating fdf2a7r_, Masalan.

Diqqat: Agar mavjud bo'lgan WordPress o'rnatish qiymatini o'zgartirsangiz, veb-saytga kirish imkoni bo'lmaydi!

Agar siz mavjud WordPress saytining jadval prefiksini o'zgartirmoqchi bo'lsangiz, Acunetix WP Security plagini sizga yordam berishi mumkin. Bu sizga qiymatni osongina o'zgartirish imkonini beradi va siz faqat tizimga qayta kirishingiz kerak. Biroq, siz hali ham oldindan zaxira nusxasini yaratishingiz kerak.

4 - Plagin muharrirlari va mavzularni o'chirib qo'ying

Mavzu yoki plagin fayllariga o'zgartirishlar odatda (S)FTP yordamida amalga oshiriladi, chunki u ancha xavfsizroq. Shuning uchun muharrirlarni o'chirib qo'yish kerak. Ikkala muharrirni xavfsiz o'chirib qo'yish uchun wp-config.php dagi bitta satr etarli:

5 – wp-config.php-ni ko'chiring

wp-config.php veb-saytingizning yuragi. U erda barcha tegishli ma'lumotlar, jumladan ma'lumotlar bazasi parollari kiritiladi. Shuning uchun ushbu faylni iloji boricha xavfsiz saqlash juda muhimdir. Buning uchun ikkita yondashuv mavjud. .htaccess fayli yordamida birinchi kirish bloki. Ikkinchi yondashuv faylni xaker kutmagan boshqa joyga ko'chiradi.

Agar sayt sub-domenda bo'lsa va siz arzon umumiy hostingdan foydalansangiz, buni ko'chirish muammoli bo'lishi mumkin.
Agar foydalanuvchi kataloglarida ko'plab veb-saytlaringiz bo'lsa, bu ham qiyinlashishi mumkin. Agar nuqtalardan hech biri sizga tegishli bo'lmasa, faylni ko'chirishingiz mumkin.

Agar siz WP-config.php ga yo'lni to'g'ri sozlagan bo'lsangiz, saytingiz ishlashi kerak.

6 - FTPS dan foydalanishga majbur qiladi

Agar veb-xostingiz File Transfer Protocol Secure (FTPS) ni yoqgan bo'lsa, siz fayllarni uzatish uchun FTPS-dan foydalanishga majbur qilishingiz mumkin. Bu tashrif buyuruvchi va server o'rtasidagi aloqani shifrlaydi. Endi xavfsiz protokoldan serverdagi ma'lumotlarga kirishning iloji yo'q. FTP xavfsiz emas, chunki ma'lumotlarga kirish serverga shifrlanmagan shaklda uzatiladi. Shuning uchun, iloji bo'lsa, faqat FTPS orqali xavfsiz ulanishdan foydalaning. Sizning veb-xostingiz sizga FTPS ulanishi mumkinligini aytishi mumkin.

FTPS dan foydalanishga majburlash oddiy:

7 - SFTP dan majburiy foydalanish

FTPS protokoli o'rniga ba'zi xostlar ma'lumotlarni uzatish uchun SFTP protokolini yoqdi. Bu erda FTP foydalanuvchi dasturi va server o'rtasidagi aloqa ham shifrlangan. Quyidagi kod qatori SFTP dan foydalanishga majburlash imkonini beradi:

8 - disk raskadrovka rejimini o'chiring

Agar siz ishlab chiqish maqsadida WordPress disk raskadrovka rejimini yoqqan bo'lsangiz, uni o'chirib qo'yish juda muhimdir. Ba'zi hollarda, faol disk raskadrovka rejimi xakerlarga o'z ishlarini bajarishda yordam beradigan nozik ma'lumotlarni uzatishi mumkin. Shuning uchun disk raskadrovka rejimi jonli tizimda juda xavflidir. Men bu kichik, ahmoqona xatoga yo'l qo'ydim; odamlar narsalarni tezda unutishadi. Shuning uchun tekshirish uchun tezda harakat qilishingiz kerak. Nosozliklarni tuzatish rejimini o'chirish:

9 - PHP xato ko'rsatkichini o'chirib qo'ying

Agar biron sababga ko'ra disk raskadrovka rejimini yoqish kerak bo'lsa, men xato xabarlarining ommaviy ko'rinishini o'chirib qo'yishni tavsiya qilaman. Tegishli xato xabarlari keng jamoatchilikka ochiq bo'lmagan jurnalga ham yozilishi mumkin. Bu ancha xavfsizroq va oqlangan variant. Ushbu doimiylik WordPress xato rejimidan chiqish va xatoning uchinchi shaxslarga ko'rsatilishini oldini olish uchun talab qilinadi:

10 – Avtomatik yangilash funksiyasini yoqing

Yuqorida aytib o'tganimdek, WordPress yadrosini va barcha plaginlarni darhol yangilash tizimingizni xavfsiz saqlash uchun juda muhimdir. WordPress-ning har bir yangi versiyasi chiqarilishi bilan Internetda uning oldingi versiyalarining xavfsizlik teshiklari ochiladi. Bu xakerga saytingizni buzishi uchun mustahkam poydevor beradi. Shuning uchun bu kamchiliklarni imkon qadar tezroq bartaraf etish kerak.

WordPress 3.7 versiyasi kabi kichikroq xavfsizlik yangilanishlariga ega va avtomatik ravishda amalga oshiriladi. Biroq, bu asosiy yangilanishlarning dastlabki versiyalari uchun emas. Asosiy versiyalar hali ham qo'lda yangilanishi kerak. Biroq, WP ning barcha versiyalari uchun avtomatik yangilanishlarni yoqish juda oson:

Aytgancha, bu ham plaginlar yordamida avtomatik ravishda yangilanishi mumkin. Biroq, bu biroz mehnat talab qiladi. Buning uchun plagin yaratish kerak:

Ushbu plagin papkaga ko'chirilishi kerak /wp-content/mu-plugins/. Agar jild mavjud bo'lmasa, uni yarating. /mu-plugins/ papkasida "ishlatilgan" plaginlar mavjud. Uning mazmuni hamma tomonidan boshqa plaginlar bilan yuklanadi.

Mavzuni avtomatik yangilash xuddi shu tarzda amalga oshirilishi mumkin. Buning uchun plaginni quyidagi qator bilan kengaytirish kerak:

Iltimos, ushbu avtomatlashtirilgan plaginlar haqida oldindan ma'lumot oling va kodni faqat nima qilishini aniq bilsangiz foydalaning. Albatta, ikkita filtr faqat WordPress-ning rasmiy versiyasidan kelgan plaginlar va mavzularni qo'llab-quvvatlashi mumkin. Boshqa manbadan olingan mavzular va plaginlar, albatta, yangilanmaydi.

Qo'shimcha ma'lumot:

Xulosa

Bu jihatlarning barchasi birgalikda WordPress xavfsizligini sezilarli darajada oshiradi va yaxshi xavfsizlik strategiyasining bir qismi bo'lishi kerak. WordPress dunyodagi eng mashhur kontentni boshqarish tizimi ekanligi ko'plab xakerlarni o'ziga tortadi. Vaziyatni Windows operatsion tizimidagi kompyuter bilan solishtirish mumkin. Windows operatsion tizimida antivirus dasturini o'rnating va WordPress biroz qo'lda ishlashni talab qiladi. Lekin xavfsizlik daromadi, albatta, bunga arziydi.

Tarjima

Har qanday veb-ilovaning ma'muriy hududi uzoq vaqtdan beri xakerlar uchun sevimli nishonga aylangan va uning xavfsizligi ishlab chiquvchilarni katta tashvishga solmoqda. Bu WordPress uchun ham amal qiladi - yangi blogni o'rnatishda tizim real vaqt rejimida tasodifiy yaratilgan noyob parol bilan administrator hisobini yaratadi, bu har kimning tizim sozlamalariga kirishini bloklaydi, uni avtorizatsiya sahifasi yordamida boshqaradi.

Ushbu maqola WordPress xavfsizligini kuchaytirishga qaratilgan - ham administrator paneli, ham blog sozlamalari, ya'ni jildning butun tarkibini anglatadi. "wp-admin", bu faqat ko'rsatiladi avtorizatsiyadan keyin. Biz ataylab "iborani ta'kidladik" avtorizatsiyadan keyin" - aniq tushunishingiz kerakki, faqat bitta oddiy so'rov "yovuz xaker"ni butun blogingiz yoki veb-saytingiz administratoridan ajratib turadi! Va ikkinchisi faqat siz tanlagan parol bilan himoyalangan.

Xakerlarning vazifasini ancha qiyinlashtirish uchun biz qo'lda bajarishingiz mumkin bo'lgan operatsiyalar to'plamini taklif qilamiz. Ushbu echimlar 100% himoyani kafolatlamaydi, ammo ularning yordami bilan siz blogingiz xavfsizligini sezilarli darajada yaxshilaysiz.

1. Wordpress papkasining nomini o'zgartiring.

2.6 versiyasidan boshlab papka yo'lini o'zgartirish mumkin bo'ldi wp-kontent. Afsuski, bu jildga hali ham tegishli emas wp-admin. Xavfsizlikka e'tibor qaratgan bloggerlar buni qabul qilishdi va kelajakdagi versiyalarda bu mumkin bo'lishiga umid qila boshladilar. Bu sodir bo'lgunga qadar, muammoning quyidagi muqobil yechimidan foydalanishni taklif qilamiz. Arxivni WordPress fayllari bilan ochganingizdan so'ng, siz "WordPress" jildini ko'rasiz - jildning nomini o'zgartiring (ideal, masalan, tushunarsiz narsa). " wordpress_live_Ts6K" ) va keyin faylni mos ravishda sozlang wp-config.php, bu ildiz katalogida joylashgan.
Bu o'zgarish bizga nima beradi?

Birinchidan, barcha WordPress fayllari saytning ildizidagi boshqa fayllar bilan aralashmaydi, shuning uchun ildiz darajasining ravshanligini oshiradi.
Ikkinchidan, WordPress-ning bir nechta nusxalari parallel ravishda turli nomdagi papkalarga o'rnatilishi mumkin, bu ularning o'zaro ta'sirini yo'q qiladi va uni sinov uchun ideal qiladi.
Uchinchi afzallik to'g'ridan-to'g'ri xavfsizlikka tegishli: ma'muriy hudud (va butun blog) endi ildiz papkasida joylashmaydi va har qanday xakerlik harakatlarini amalga oshirish uchun avval uni topishingiz kerak bo'ladi. Bu odamlar uchun muammoli, ammo botlarga kelsak, bu vaqt masalasi.

Ildiz katalogida bir nechta o'rnatilgan versiyalar - bu mumkin!

Eslatma: Agar WordPress tizim fayllari endi ildiz katalogida bo'lmasa va o'rnatish papkasining nomi yuqorida tavsiflangan tavsiyalarga muvofiq o'zgartirilsa, blog hali ham mavjud bo'ladi: wp-config.ru. Nega? Blogingizning “Umumiy sozlamalar” bo‘limiga o‘ting va misolda ko‘rsatilganidek, “WordPress manzili (URL)” maydoniga serverdagi haqiqiy blog manzilini kiriting:

Blog manzili chiroyli va ko'zga tashlanmaydigan bo'lishi kerak

Bu blogni chiroyli virtual manzilda ko'rsatishga imkon beradi.

2. wp-config.php faylini yaxshilang

WordPress konfiguratsiya fayli wp-config.php ma'lumotlar bazasiga kirish uchun ba'zi sayt sozlamalari va ma'lumotlarni o'z ichiga oladi. Xavfsizlik bilan bog'liq boshqa sozlamalar ham mavjud (ular quyidagi ro'yxatda keltirilgan). Agar ushbu faylda bunday qiymatlar bo'lmasa yoki faqat standart qiymatlar bo'lsa, ularni mos ravishda qo'shishingiz yoki o'zgartirishingiz kerak:

Xavfsizlik kalitlari: 2.7 versiyasidan boshlab WordPress to'g'ri sozlanishi kerak bo'lgan to'rtta xavfsizlik kalitiga ega. WordPress sizni ushbu qatorlarni avtomatik ravishda o'zingiz o'ylab topishdan qutqaradi hosil qiluvchi xavfsizlik nuqtai nazaridan to'g'ri kalitlar. Siz faqat kalitlarni faylning tegishli satrlariga joylashtirishingiz kerak wp-config.php. Bu kalitlar majburiy blogingiz xavfsizligini ta'minlash uchun.
Yangi o'rnatilgan WordPress blogining jadval prefiksi standart bo'lmasligi kerak "wp_" Prefiks qiymati qanchalik murakkab bo'lsa, MySQL ma'lumotlar bazasidagi jadvallarga ruxsatsiz kirish ehtimoli shunchalik kam bo'ladi. Yomon: $table_prefix = "wp_"; . Juda yaxshi: $table_prefix = "wp4FZ52Y_"; Ushbu qiymatni unutishdan qo'rqmang - uni faqat bir marta kiritishingiz kerak, yana kerak bo'lmaydi.
Agar serveringizda mavjud bo'lsa SSL shifrlash, ma'muriy zonani himoya qilish uchun uni yoqish tavsiya etiladi. Buni wp-config.php fayliga quyidagi buyruqni qo'shish orqali amalga oshirish mumkin: define("FORCE_SSL_ADMIN", rost);

Konfiguratsiya faylida boshqa tizim sozlamalarini ham sozlashingiz mumkin. Sahifada mavjud sozlamalarning aniq va to'liq ro'yxati mavjud Kod

To'g'ri xavfsizlik kalitlarini o'rnatishni e'tiborsiz qoldirmang!

3. wp-config.php faylini ko'chiring

Bundan tashqari, 2.6 versiyasidan boshlab, WordPress sizga faylni ko'chirishga imkon beradi wp-config.php eng yuqori darajaga. Ushbu fayl boshqa har qanday ma'lumotlarga qaraganda ancha muhimroq ma'lumotlarni o'z ichiga olganligi va serverning ildiz papkasiga kirish har doim ancha qiyin bo'lganligi sababli, uni qolgan fayllardan boshqa katalogda saqlash mantiqiy. WortdPress faylni qidirishda avtomatik ravishda eng yuqori jildga qaraydi wp-config.php. Foydalanuvchilarning yo'lni o'zlari sozlashga urinishlari befoyda.

4. wp-config.php faylini himoya qiling

Barcha ISP serverlari ma'lumotlarni ildiz katalogidan yuqori darajalarga o'tkazishga imkon bermaydi. Boshqacha qilib aytadigan bo'lsak, hamma ham oldingi bosqichni bajarish uchun etarli huquqqa ega emas. Yoki boshqa sabablarga ko'ra: masalan, agar sizda bir nechta bloglar bo'lsa, ma'lum bir papka tuzilishi bilan siz barcha fayllarni ildizga joylashtira olmaysiz, chunki ularning nomlari har bir blog uchun bir xil bo'ladi. Bunday holda biz faylga kirishni rad etishimiz mumkin wp-config.php fayldan tashqaridan foydalanish .htaccess. Buning uchun kod:

# wpconfig.php ni himoya qiling
Buyurtmani rad etish, hammadan rad etishga ruxsat berish

Faylga ishonch hosil qilish juda muhimdir .htaccess fayl bilan bir xil katalogda joylashgan wp-config.php.

5. Administrator hisobini olib tashlang.

O'rnatish jarayonida WordPress sukut bo'yicha "admin" foydalanuvchi nomi bilan administrator hisobini yaratadi. Bir tomondan, bu juda mantiqiy, boshqa tomondan, taniqli taxallusli foydalanuvchi, ya'ni. Ma'muriy huquqlarga ega bo'lgan ID - 1 parolni taxmin qilish dasturlari bilan xakerlar uchun butunlay bashorat qilinadigan maqsaddir. Bu bizning maslahatimiz:

Ma'muriy huquqlar va taxallusingiz bilan boshqa foydalanuvchi yarating.
Ish seansingizni tugating.
Yangi hisob bilan tizimga kiring.
Hisobingizni o'chirib tashlang" admin".

Agar sizda yangi blog bo'lmasa va hisob ostida admin Agar siz allaqachon postlar yoki sharhlarni e'lon qilgan bo'lsangiz, o'chirish vaqtida taklif qilingan variantlardan "Barcha xabarlar va havolalarni bog'lash:" ni tanlang va yangi foydalanuvchi ismini tanlang:

Eslatma: Ideal holda, sizning loginingizni hech kim tanimasligi uchun yangi foydalanuvchining logini postlarda ko'rsatilgan foydalanuvchi nomidan farq qilishi ma'qul.

6. Kuchli parolni tanlang.

Potentsial hujumlarning ehtimoli va chastotasi to'g'ridan-to'g'ri blogning mashhurligiga bog'liq. Va shu paytgacha saytingizda xavfsizlik zanjirida zaif aloqalar qolmaganligiga ishonch hosil qilish tavsiya etiladi.

Ko'pincha parollar ushbu zanjirning eng zaif bo'g'inidir. Nega? Ko'pchilik foydalanuvchilarning parolni tanlash usuli ko'pincha o'ylamasdan va beparvo bo'ladi. Ko'pgina tadqiqotlar shuni ko'rsatdiki, parollarning aksariyati bitta bo'g'inli mavjud so'zlar bo'lib, kichik harflar bilan yozilgan, ularni taxmin qilish qiyin emas. Parolni taxmin qilish dasturlarida hatto eng ko'p ishlatiladigan parollar ro'yxati mavjud.

WordPress siz kiritayotgan parol kuchliligining intuitiv ko'rsatkichini joriy qildi, bu uning murakkablik darajasini rangda ko'rsatadi:

7. "wp-admin" jildini himoya qiling.

“Bir boshdan ikki bosh yaxshi” degan naqldan so‘ng ma’muriy hudud xavfsizligini ikki baravar oshirish yo‘li bor. Xavfsizlik fayl bilan tartibga solinadi .htaccess, bu jildda bo'lishi kerak "wp-admin" fayl bilan birga .htpasswd, bu foydalanuvchining login va parolini saqlaydi. Jildga kirganingizdan so'ng siz foydalanuvchi nomingiz va parolingizni kiritishingiz kerak bo'ladi, ammo farq shundaki, bu holda avtorizatsiya WordPress tomonidan emas, balki server tomonidan boshqariladi.

Oson va tez fayllarni yaratish uchun .htaccess Va .htpasswd, foydalaning bu xizmat .

8. Kirish sahifasida xatolarni ko'rsatishni o'chirib qo'ying.

WordPress-ga kirish sahifasi blogingizning ma'muriy hududining eshigi bo'lib, unga xatosiz tekshirilgandan so'ng kirish mumkin bo'ladi. Har bir foydalanuvchi cheksiz ko'p kirish urinishlariga ega va har safar, sukut bo'yicha, foydali WordPress xato nima ekanligini aniq ko'rsatadi. Ya'ni, agar kiritilgan login noto'g'ri bo'lib chiqsa, WordPress buni aytadi. Bu foydalanuvchi uchun, balki xaker uchun ham qulay.

Tizim aynan nima noto'g'ri kiritilganligini ko'rsatsa, login/parol kombinatsiyasini tanlash ehtimoli qanchalik tez kamayishini taxmin qilish oson. Oddiy kod qatori bu muammoni hal qilishga yordam beradi, uni faylga qo'shish kifoya functions.php mavzuingiz:

Add_filter("login_errors",create_function("$a", "return null;"));

Kirish sahifasining asl/o'zgartirilgan ko'rinishi.

9. Muvaffaqiyatsiz kirish urinishlari sonini cheklang.

WordPress avtorizatsiyalar bo'yicha statistik ma'lumotlarni saqlamaydi, ham muvaffaqiyatli, ham muvaffaqiyatsiz. Bu administrator uchun juda noqulay, chunki u ruxsatsiz kirishga urinishlar sodir bo'lganligini ko'rishning imkoni yo'q, agar ular tez-tez uchrasa, biron bir chora ko'rish uchun. Biz ikkita yechim taklif qilamiz: plaginlar

Shuni ta'kidlashni istardimki, so'nggi paytlarda menga xavfsizlik sozlamalari, tahdidlar va viruslarni yo'q qilish bo'yicha kamroq so'rovlar keldi. Va forumlarda shunga o'xshash mavzular kamroq yaratildi.

Yoki kod sifati barqarorlashdi yoki sayt egalari mas'uliyatini oshirdi. Umid qilamanki, ikkala omil ham o'yinda edi.

Biroq, infektsiya xavfi har doim mavjud, shuning uchun saytingizning himoyasiga tegishli e'tibor berilishi kerak.

Amalda xakerlik qilishning sabablari ikkita narsaga bog'liq:

tashlab qo'yilgan va qo'llab-quvvatlanmaydigan plaginlar- har doim yangilanishlarni o'rnatishingiz kerak;
parollar va huquqlar bilan bog'liq— bir marta toʻgʻri oʻrnatishingiz va unga yopishib olishingiz kerak;

Har bir veb-sayt xakerlik hujumiga moyil, shuning uchun o'zingizni himoya qilishning yagona yo'li - zaxira nusxasini yaratish.

Jiddiy.

Zaxira yaratishni sozlang! Ehtimol, plagin yordamida yoki to'g'ridan-to'g'ri hostingda.

To'liq ma'noda, yaqinda men ahmoqona tajribalar natijasida media fayllarimni buzdim, ammo nusxasi mavjud bo'lsa, men bir necha daqiqada ma'lumotlar bazasini tiklay oldim.

Jadvalni qanday o'rnatish sizning saytingizda nima va qanchalik tez-tez o'zgarishiga bog'liq.

Keraksiz kodni qo'shmang

WordPress juda moslashuvchan va kengaytirilishi mumkin. Bu ajoyib imkoniyat. Ammo boshqa tomondan, tashabbuskor va texnologiyani juda yaxshi bilmaydigan veb-sayt egalari o'z veb-saytlarini keraksiz kod bilan juda tez yuklashlari mumkin.

Birinchidan, bu sayt unumdorligining yuqori darajasi. .
Ikkinchidan, qo'yadi Saytingiz xavfsizligi xavf ostida virus infektsiyasi va xakerlik ehtimolini oshiradi.
Uchinchidan, sizga faqat kerak uni boshqarish va qo'llab-quvvatlash uchun ko'proq vaqt. Mavzu uchun yangi plagin yoki funksionallikni o'rnatganingizda, uning haqiqiy ehtiyojini baholang.

Yaxshi savollar bo'lishi mumkin:

Ushbu yangi plagindan qanday voz kechishim mumkin? Ehtimol, siz muqobil variantlarni ko'rasiz yoki undan umuman foydalanish shart emas.
Menga bu plagin aslida nima uchun kerak? Uni ishlatishdan qanday foyda olaman?

To'liq ishlaydigan veb-sayt uchun eng kerakli o'nga yaqin plaginga ega bo'lish kifoya (ularga SEO plagini, saytni himoya qilish plagini, keshlash plagini, antispam, aloqa shakli kiradi va tuzilish uchun bir nechta maxsus plaginlar bo'lishi mumkin. saytingiz yoki uning mazmuni).
Agar saytingizda 30-50 ta plagin o'rnatilgan bo'lsa, unda siz noto'g'ri ish qilyapsiz.

Bundan tashqari, foydalanilmagan plaginlarni shunchaki o'chirib qo'yish kifoya emas, ularni butunlay olib tashlash yaxshidir. Foydalanilmayotgan mavzular bilan bir qatorda.

Oddiy, ammo samarali printsipga amal qiling:

Kamroq kod, kamroq muammolar.

Boshqa ishtirokchilarga o'z majburiyatlaridan ortiq huquqlarni bermang

Keling, buni aniq tushunaylik. Hech kim saytingiz xavfsizligi uchun siz kabi javobgar emas.
Agar siz o'zingizning hisoblaringizni yoki ma'muriy rollaringizni ishonchli odamga bersangiz, saytingiz xavfsizligini sezilarli darajada buzasiz. Men sizga yuqori huquqlar bergan odam saytingizni mamnuniyat bilan buzib kirishini aytmayapman, lekin u hech qanday maqsadsiz bunga yordam berishi mumkin. O'ylab ko'ring, uning kompyuteri sizniki kabi himoyalanmagan bo'lishi mumkin (masalan, ishlaydigan antivirus o'rnatilmagan) va saytni himoya qilish uchun qilgan barcha harakatlaringiz behuda ketadi.

Odamlarga beradigan rollarni cheklang. Agar siz shunchaki biror kishi maqola chop etishini istasangiz, sizga administrator hisobi umuman kerak emas.
Ammo ba'zida siz haqiqatan ham to'liq huquqlarni berishingiz kerak bo'ladi. Masalan, siz frilanserdan saytdagi kodni o'zgartirishni so'radingiz.
Bunday holda, ishni tugatgandan so'ng darhol yangi kuchli parol yarating, shuningdek, ishlaydigan cookie-fayllarni to'liq tozalash uchun WordPress uchun yangi maxfiy kalit yarating.

Sayt va plaginlarni yangilang

Ushbu maqolaning boshida men ushbu muammoni sayt faoliyatiga tahdidning asosiy manbai sifatida ta'kidladim.

Har kuni millionlab veb-saytlar hujumga uchraydi. Bu ishlab chiquvchilarga xavfli zaifliklarni tezda topish va kelgusi yangilanishlarda ularni tuzatish imkonini beradi. Ammo agar siz ushbu qoidaga e'tibor bermasangiz, har kuni siz xakerlik qurboni bo'lishingiz mumkin.
Aksariyat hollarda yangilanishlar muammosiz sodir bo'ladi, siz shunchaki o'zgartirish sahifasiga qarashingiz kerak, bu erda muallif yaxshilanishlar, xatolarni tuzatish va zaifliklarga oid muhim eslatmalarni ko'rsatishi mumkin.

Agar sizda 30-50 dan ortiq plaginlar o'rnatilgan bo'lsa, unda yangilash jarayoni ko'p vaqt talab qilmaydi va odatda oyiga 2-3 marta sodir bo'ladi. Yaxshi tungi uyqu uchun adolatli narx.

Shunday bo'ladiki, dangasa boshlang'ich ishlab chiquvchilar plagin fayllarini to'g'ridan-to'g'ri tahrir qiladilar va ularni yangilash qiyin bo'ladi. Ammo bu yoki boshqa yo'l bilan buning oldini olish mumkin emas.

Vizual kompozitor, Revolution slayderi, Layer slayderi va boshqalar kabi qo'shimcha premium plaginlarni o'z ichiga olgan premium mavzularda ham xuddi shunday muammo yuzaga keladi.

Egalari saytni moslashtiradilar, uni o'zlari xohlagan tarzda ishlashiga erishadilar va uni yangilashdan qo'rqishlari tushunarli.
Amalda, olti oy yoki bir yil o'tgach, bunday saytlar parchalana boshlaydi: nimadir yangilangan, biror narsa yangilanmagan, nizolar paydo bo'ladi, tormozlar va hokazo.

Bu odatiy holat, shuning uchun ikkita narsaga e'tibor bering:

bolalar mavzusini yarating— bir necha daqiqa, lekin kelajakda osonlik bilan yangilashga yordam beradi;
qo'lingizdan kelganicha harakat qiling mavzudagi ko'p kodlarni tahrirlamang— agar kerak boʻlsa, qoʻshimcha funksiyalarni yozgan maʼqul boʻlarmidi?

Albatta, kodni to'g'ridan-to'g'ri mavzuda tuzatish osonroq, lekin siz yangilanishlarda yo'qotasiz. Bu borada o'zingizni himoya qilish ustuvor vazifadir.

Kuchli parollarni o'rnating

Kuchli parollar qo'pol kuch hujumidan, ya'ni kimdir parolingizni taxmin qilishdan qochishingizga yordam beradi. Agar parolingiz atigi 3-4 ta belgidan iborat bo'lsa va siz logindan foydalanayotgan bo'lsangiz admin, keyin saytingiz 1 daqiqadan kamroq vaqt ichida buzib kirishi mumkin! O'ylab ko'r.

Parolda 5-6 ta belgi ham yetarli emas, yaxshi parol 8 ta belgidan boshlanadi. Bundan tashqari, lug'atdagi oddiy so'zlarni ishlatmaslik, balki turli xil holatlarda, raqamlar, tinish belgilari va maxsus belgilarda harflar birikmasidan foydalanish juda muhimdir.

Albatta, bunday parolni topish oson emas, eslab qolish va undan kamroq foydalanish. Bu erda sizga avtomatlashtirilgan ilovalar yordam beradi: 1parol, Keepass, lastpass. Ulardan birini tanlang va ularga parollaringizni saqlashga ruxsat bering.

Ishonchli manbalardan foydalaning

Agar siz uchinchi tomon saytlaridan, ayniqsa barcha turdagi warezniklar va bepul torrentlarda qo'shimchalarni yuklab olsangiz, saytingiz ishlashiga katta xavf tug'dirasiz.

Agar siz kerakli plagin yoki mavzu sahifasiga tashrif buyurgan bo'lsangiz ham va uning muallifiga ishonishingiz mumkin bo'lsa ham, aslida bunday emas. Nega?

Ushbu plaginning kodi, https://wordpress.org/plugins/ saytidagi ishlab chiqish guruhi va hamjamiyat tomonidan bajarilganidek, funksionallik va zaifliklar uchun hech qanday tarzda sinovdan o'tkazilmaganligi sababli va katta ehtimol bilan u xavfli kodni o'z ichiga olishi mumkin. hatto uning muallifi tomonidan hech qanday niyatsiz.

WordPress xavfsizligini yaxshilash chorasi sifatida plaginlar va mavzularni rasmiy ombordan yoki butunligi va obro'siga ishonchingiz komil bo'lgan juda yirik kompaniyalarning omborlaridan o'rnating.

Kompyuteringizda antivirusni yoqing

Yaxshi antivirussiz kompyuterda xavfsiz ishlashni tasavvur qilib bo'lmaydi. Men ulardan birini tavsiya qilmayman, lekin yaxshi qoida - obro'li brenddan foydalanish va yaxshisi to'liq xizmat ko'rsatish.
Yaxshi antivirus o'z kodini va virusga qarshi ma'lumotlar bazalarini mustaqil ravishda yangilaydi, shuning uchun siz uning ishlashini kuzatishingiz shart emas.

Umumiy Wi-Fi tarmoqlariga parollarni kiritmang

Wi-Fi mavjud jamoat joylarida har kim trafikni to'xtata oladi va agar u shifrlanmagan bo'lsa, tajovuzkor ma'lumotlaringizni osongina olishi mumkin.

Shifrlangan uzatish usulidan foydalaning. Veb-saytingiz uchun SSL sertifikatlarini yarating va sozlang, veb-saytingizni va foydalanuvchilaringiz ma'lumotlarini himoya qilganingizni bilib, xotirjam bo'lasiz.

Himoyalangan fayllar va tizim kataloglari

Fayllar va kataloglarga to'g'ri ruxsatlar

Ruxsatlarni fayllar uchun 644 ga, kataloglar uchun 755 ga o'rnating, ya'ni yozuv faqat egasiga - sizda mavjud. Bu potentsial tahdidlar xavfini kamaytiradi, ayniqsa umumiy hostingda.
Huquqlarni hosting boshqaruv paneli yoki ftp mijozi orqali qoʻlda oʻzgartirishingiz mumkin.

Agar sizda qobiqqa ruxsat bo'lsa, ikkita buyruq yordamida ruxsatlarni belgilashingiz mumkin.

Kataloglar uchun:

/word_to_to_wordpress_papkasini toping/ -turi d -exec chmod 755 () ;

Fayllar uchun:

/word_to_to_wordpress_papkasini toping/ -turi f -exec chmod 644 () ;

Muhim fayllar va kataloglarni himoya qilish - (wp-admin/, wp-config.php, wp-login.php, wp-includes)

Himoya /wp-admin/.
Saytingizning boshqaruv konsoli ushbu manzilda ochiladi.

Ba'zi hosting saytlarida ushbu jild uchun parolni bevosita boshqaruv panelida yaratishingiz mumkin

Yoki buni qo'lda qilishingiz mumkin.
Buni amalga oshirish uchun siz htpasswd fayl generatoridan foydalanishingiz kerak, so'ngra olingan faylni serveringizga, masalan, wordpress o'rnatishingiz ustidagi katalogga nusxalashingiz kerak.

Yakuniy qadam saytingizning ildiz papkasida .htaccess faylini yaratish yoki ochish va unga quyidagi kodni kiritishdir:

AuthName "Wordpress Console" AuthUserFile /path_to_your_file/htpasswd AuthGroupFile /dev/null AuthType asosiy foydalanuvchi nomini talab qiladi

Kerakli qiymatlarni almashtiring.

wp-login.php faylini himoya qilish.

Agar siz IP manzillar bo'yicha kirishni cheklashingiz kerak bo'lsa, .htacesss fayliga quyidagi ko'rsatmalarni kiriting:

Buyurtmani rad etish, hammadan rad etish ruxsat berish xxx.xxx.xxx.xxx dan ruxsat berish

Shunday qilib, avval siz barcha manbalardan kirishni rad etasiz, keyin faqat ma'lum IP-lar uchun kirishni ochasiz. Buyurtma muhim.

wp-config.php faylini himoya qilish.

Ushbu faylni wordpress ildiz papkasidan yuqoriroq papkaga ko'chiring. Fayl ruxsatlarini 400 yoki 440 ga o'rnating, shuning uchun siz va serveringiz uchun faqat o'qish ruxsatnomalari mavjud bo'ladi.

Agar faylni uzata olmasangiz, .htaccess ning eng yuqori qismiga quyidagi kodni kiriting, bu esa wp-config.php ga kirishni butunlay o'chirib qo'yadi:

Buyurtmaga ruxsat bering, hammadan rad eting

Himoya wp-o'z ichiga oladi/.

WordPress xavfsizligini yanada oshirish uchun siz bajarilishini cheklashingiz mumkin
wp-includes/ jildidagi skriptlar. .htaccess-ga quyidagi kodni qo'shing:

RewriteEngine on RewriteBase / RewriteRule ^wp-admin/includes/ - RewriteRule !^wp-includes/ - RewriteRule ^wp-includes/[^/]+.php$ - RewriteRule ^wp-includes/js/tinymce. .php - RewriteRule ^wp-includes/theme-compat/ -

Agar sizda ko'p sayt rejimi mavjud bo'lsa, qatorni izohlang

"RewriteRule ^wp-includes/[^/]+.php$ -"

Qidiruv robotlariga xizmat sahifalarini qayta ishlashga ruxsat bermang

robots.txt faylingizni tekshiring.

Foydalanuvchi-agent: * Ruxsat berish: /feed/ Ruxsat berish: /trackback/ Ruxsat berish: /wp-admin/ Ruxsat berish: /wp-content/ Ruxsat berish: /wp-includes/ Ruxsat berish: /xmlrpc.php Ruxsat berish: /wp-

Bularning barchasi qidiruv tizimi indekslamasligi kerak bo'lgan WordPress xizmat papkalari.

WordPress versiyangizni potentsial xakerlardan yashiring

Versiya ma'lumotlari sarlavhada va RSS tasmalarida:

Uni u yerdan olib tashlash uchun faol mavzuning functions.php fayliga quyidagi kodni kiritishingiz kerak:

Funktsiya wp_remove_version() ( "" qaytaring; ) add_filter("generator", "wp_remove_version");

Administrator hisobi nomini o'zgartiring

Odatiy bo'lib, WordPress nomi ostida hisob yaratadi admin, bu qo'pol kuch hujumi yordamida buzishni osonlashtiradi. Siz, albatta, uni o'zgartirishingiz kerak.

Buni amalga oshirish uchun dastur yordamida ma'lumotlar bazasiga o'ting phpmyadmin, jadvalni toping wp_users(prefiks farq qilishi mumkin), hisobga olish ma'lumotlari bilan yozuvlar bo'ladi. Tahrirlash uchun administrator hisobini oching.

Dalada user_login qiymatini o'zgartiring admin yangi tanlagan loginingizga o'ting va bosing Bor.

Ma'lumotlar bazasi prefiksini o'zgartiring

Agar siz CMS-ni hosting boshqaruv panelidan o'rnatgan bo'lsangiz, sayt allaqachon o'zgartirilgan prefiksga ega bo'lish ehtimoli yuqori. Buning uchun tayyor plaginlar ham mavjud, lekin siz buni qo'lda ham qilishingiz mumkin.

phpmyadmin yordamida ma'lumotlar bazasining zaxira nusxasini yarating;
Faylni oddiy matn muharririda oching va "wp_" prefiksini yangi prefiksingiz qiymati bilan almashtiring;
Barcha plaginlaringizni o'chirib qo'ying;
Eski ma'lumotlar bazasini o'chiring va yangi prefiks bilan import qiling;
Yangi prefiksdan foydalanish uchun wp-config.php faylidagi ma'lumotlar bazasi sozlamalarini o'zgartiring;
Kerakli plaginlarni faollashtirish;
CNC/Permalink-ni yangilang.

Saytingizda SSL-ni yoqing

Agar siz SSL sertifikatini olgan bo'lsangiz, wp- faylida SSL qo'llab-quvvatlashni yoqing
config.php:

Aniqlash("FORCE_SSL_LOGIN", rost); define("FORCE_SSL_ADMIN", rost);

Ushbu saytda Cloudflare sertifikati mavjud bo'lib, u bepul beriladi, ammo siz ushbu xizmatni ulashingiz va sozlashingiz kerak.

Kirish urinishlari sonini cheklang

Agar siz server jurnallarida faol shafqatsiz kuch hujumini sezsangiz, Limit Login Attempts plaginidan foydalanib, kirishga urinishlar sonini cheklash orqali uni oldini olishingiz mumkin.

Plagin 2 yil davomida yangilanmagan, biroq millionlab o'rnatishlardan o'tdi va uning ishlashi, shu jumladan WordPressning joriy versiyalari haqida yaxshi sharhlar oldi.

Boshqaruv konsolida plagin va mavzu fayllarini tahrirlashni oldini oling

Agar siz administrator panelidan fayllarni tahrirlashdan foydalanmasangiz, sayt xavfsizligini oshirish uchun ushbu funksiyani o'chirib qo'yishingiz mumkin. wp-config.php fayliga quyidagi qatorni yozing:

Aniqlash("FILE_TASHRILASHNI BERISH", rost);

Agar sizning saytingiz buzilgan bo'lsa

Saytni o'chirib qo'ying
Xizmat ko'rsatuvchi provayderingizga xabar bering, boshqa saytlar zararlangan bo'lishi mumkin
Saytning zaxira nusxasini yarating
wp-config.php faylidagi barcha parollarni o'zgartiring
WordPress-ni qayta o'rnating, bu vosita fayllarini yangi nusxalar bilan almashtiradi
Zararli kod qolmaganligiga ishonch hosil qilish uchun mavzular va plaginlarni qayta oʻrnating.
Potentsial zararli kodni qidirish uchun mavjud plaginlardan ham foydalanishingiz mumkin.

Esingizda bo'lsin, agar xakerlar parolingizni o'g'irlab, saytga kirgan bo'lsa, parolni o'zgartirganingizdan keyin ham ular tizimda qolishi mumkin, chunki ishlaydigan cookie-fayllar amal qiladi. Ularni o'chirish uchun siz yangi maxfiy kalit yaratishingiz kerak. Ochiq

WordPress xavfsizligi masalalari har doim o'ylash uchun juda ko'p oziq-ovqat taqdim etgan. Garchi ushbu CMS uchun so'nggi yangilanishlarning aksariyati xavfsizlik bilan bog'liq bo'lsa-da, xavfsizlikni yaxshilashning ko'plab usullari mavjud bo'lib, ular hatto eng kam texnik bilimdon foydalanuvchilar uchun ham mavjud, hatto plaginlarsiz ham.

WordPress sayti uchun axborot xavfsizligini yaxshilash bo'yicha ba'zi takliflar.

Platformani ishlab chiquvchilar WordPress saytlarini himoya qilishni ta'minlash bo'yicha o'z chora-tadbirlar ro'yxatini taklif qilishadi, biz sizga tanishib chiqishingizni tavsiya qilamiz. Albatta, ushbu tavsiyalarning ba'zilari quyida takrorlanadi, ammo ma'lumotlar xavfsizligi haqida gap ketganda, bir nechta qo'shimcha amaliy maslahatlar va ko'rsatmalar zarar keltirmaydi.

Tahrirlovchi huquqlari bilan alohida hisob yarating

Blog xabarlarini yozganingizda yoki tahrirlaganingizda, postdagi muallif nomi ustiga kursorni olib kelsangiz, brauzerning pastki chap burchagida “muallif nomi” paydo bo‘ladi. Agar sizning muallif ismingiz administrator nomi bilan bir xil bo'lsa, siz xakerlar saytingizni muvaffaqiyatli buzish uchun ishning yarmini bajargansiz.

Tuzatish oddiy: faqat muharrir huquqiga ega bo'lgan yangi foydalanuvchi yarating va blogda biror narsani nashr etmoqchi yoki tahrir qilmoqchi bo'lganingizda shu nom ostida tizimga kiring. Bu nom barcha postlaringizda paydo bo'ladi; va xakerlar sizning blogingizni taxminiy administrator huquqlariga ega bo'lgan foydalanuvchi nomi ostida buzishga harakat qilib, ko'p vaqtlarini behuda sarflashadi, bu aslida sizga faqat xabarlarni yozish va tahrirlash imkonini beradi.

Bundan tashqari, WordPress uchun maxsus xavfsizlik plaginlari ma'lum bir login ostida saytga kirishga urinishlarni cheklaydi va belgilangan elektron pochtaga ruxsatsiz kirishga urinishlar haqida xabar beradi. Shunday qilib, siz haqiqiy administrator login yordamida xakerlik urinishlari qilingan yoki yo'qligini bilib olasiz va tajovuzkorlar parolni taxmin qilishdan oldin WordPress saytining xavfsizligiga e'tibor berishingiz mumkin bo'ladi.

Oddiy parollardan foydalanmang

Oddiy so'zni eslang SUD - Murakkab, noyob, Uzoq. Bu erda 1Password yoki LastPass kabi vositalar ishga tushadi va siz o'rnatgan uzunlikdagi parollarni yaratadi. Siz xohlagan himoya darajasiga qarab, parol uzunligini belgilar bilan tanlang (odatda 20 ta belgi etarli) va # yoki * kabi kamdan-kam ishlatiladigan belgilarni kiriting.

"123456" parol emas. “qwerty” bank kartasiga PIN kodini yozishga teng. Hatto "yulduzli urushlar" ham 2015 yilning eng keng tarqalgan 25 paroli ro'yxatiga kiritilgan. Esingizda bo'lsin, siz o'ylaganingizdek noyob emassiz.

Ikki faktorli autentifikatsiyani qo'shing

Agar siz admin foydalanuvchi nomidan foydalanmasangiz va kuchli, tasodifiy yaratilgan parolni o'rnatmasangiz ham, qo'pol kuch hujumlari muammo bo'lib qoladi. Bunday kirish xavfini kamaytirish uchun ikki faktorli autentifikatsiya kabi usullar asosiy hisoblanadi.

Ha, ikki faktorli autentifikatsiya muammodir. Ammo endi bu sizning Fort-Noksingiz. WordPress saytini himoya qilishning mohiyati, nomidan ko'rinib turibdiki, avtorizatsiyaning ikkita shaklida yotadi. Bugungi kunda bu sizning kirish nuqtalaringiz xavfsizligini yaxshilaydigan standartdir. Siz allaqachon Gmail va Paypal uchun ikki faktorli autentifikatsiyadan foydalanasiz (hech bo'lmaganda kerak). Xo'sh, nima uchun WordPressni ro'yxatga qo'shmaysiz?

Asbobni amalga oshirish uchun maxsus Google Authenticator plagini mavjud. Bir oz boshqacha yondashuv va bir xil natijaga ega bo'lgan muqobil variant - Rublon Plugin.

Eng kam imtiyoz tamoyilidan foydalaning
WordPress.org jamoasi WordPress kodida foydalanuvchi rollari va ruxsatlarini tartibga soluvchi ajoyib maqola tayyorladi. Ushbu bosqichga to'g'ridan-to'g'ri murojaat qiladigan ushbu hujjatni o'qib chiqing.

Eng kam imtiyoz printsipi juda oddiy - faqat quyidagilarga ruxsat bering:

- bunga muhtoj bo'lganlar;

- sizga kerak bo'lganda;

- zarur bo'lgan vaqt uchun.

Agar kimdir konfiguratsiyani o'zgartirish uchun ma'muriy huquqlarga muhtoj bo'lsa, ularga ruxsat bering, lekin vazifani bajargandan so'ng darhol kirishni rad eting.

Yaxshi xabar shundaki, bu qadamlar ko'p vaqtingizni olmaydi.

Ommabop e'tiqoddan farqli o'laroq, WordPress saytingizga kiruvchi har bir foydalanuvchiga administrator huquqlari berilishi shart emas. Odamlarga o'z vazifalarini bajarish uchun etarli kirish huquqini bering va siz WordPress saytingiz xavfsizligi xavfini sezilarli darajada kamaytirasiz.

Bunday sozlash uchun wordpress xavfsizligi plagin mavjud: Google Authenticator. Xuddi shu maqsadda biroz boshqacha yondashuvdan foydalanadigan muqobil plagindir

wp-config.php va .htaccess fayllarini yashirish

Buni qilish nisbatan oson, lekin protseduradagi xatolar saytingizga kirish imkoni bo'lmasligi mumkin. Zaxira nusxasini yarating va shundan keyingina o'zgarishlarni davom eting.

.htaccess faylini tahrirlash uchun Asboblar => Fayl muharririga o'ting. Wp-cnofig.php faylining xavfsizlik va himoya darajasini oshirish uchun .htaccess fayliga quyidagi kodni qo'shishingiz kerak:

U wp-config.php fayliga ruxsatsiz kirishni bloklaydi. Shu kabi kod .htaccess faylining o'zini himoya qilish uchun ishlatilishi mumkin: buyurtma ruxsat berish, hammadan rad etish

Ushbu o'zgarishlarni o'zingiz qilishingiz mumkin, bu erda murakkab narsa yo'q.

Autentifikatsiya qilish uchun WordPress xavfsizlik kalitlaridan foydalaning

Autentifikatsiya kalitlari va tuz kalitlari brauzeringiz va veb-server o'rtasida ma'lumotlarni uzatishda cookie va parollaringizni himoya qilish uchun bir-biri bilan birgalikda ishlaydi. Ushbu autentifikatsiya kalitlari tasodifiy o'zgaruvchilar to'plamiga qurilgan. Ular cookie-fayllardagi ma'lumotlarning xavfsizligini (shifrlanishini) oshiradilar.

Ularni wp-config.php faylida o'zgartirish uchun bu yerdan yangi kalitlar to'plamini oling - https://api.wordpress.org/secret-key/1.1/salt/ va uni faylga qo'shing. Belgilangan sahifani yangilaganingizda, tugmalar o'zgaradi, shuning uchun siz har safar yangi to'plamni olasiz.

Faylni tahrirlashni o'chirib qo'ying

Fayllaringizni o'zgartirishning eng oson yo'li WordPress menyusidagi "Tashqi ko'rinish => Muharrir" bandiga kirishdir. Himoya darajasini oshirish uchun sizga kerak o'chirish konsol orqali fayllarni tahrirlash imkoniyati. Wp-config.php faylini oching va qatorni qo'shing

Aniqlash("FILE_TASHRILASHNI BERISH", rost);

Siz hali ham FTP orqali shablonlarga o'zgartirishlar kiritishingiz mumkin, ammo endi hech kim ularni WordPress konsolidagi vositalar yordamida o'zgartira olmaydi.

Kirish urinishlari sonini cheklang

Asosiy taxminiy hujumlarning maqsadi saytdagi kirish shaklidir. All in One WP Security & Firewall plagini ushbu kiritish shakliga standart yo'lni (/wp-admin/) o'zgartirishga imkon beradi. Bundan tashqari, maxsus plaginlar yordamida siz ma'lum bir IP-manzildan kirish urinishlari sonini cheklashingiz mumkin.

XML-RPC interfeysidan tanlab foydalanish

XML-RPC - bu hamma joyda qo'llaniladigan amaliy dasturlash interfeysi (API). Unga juda ko'p plaginlar va mavzular kiradi, shuning uchun kamroq texnik foydalanuvchilar ushbu vosita bilan tajriba o'tkazishda ayniqsa ehtiyot bo'lishlari kerak.

Amaliy qadam bo'lsa-da, XML-RPC-ni o'chirish qimmatga tushishi mumkin. Shuning uchun uni butunlay o'chirib qo'yish tavsiya etilmaydi, lekin qaysi dasturlar ushbu interfeysga kirishga harakat qilayotganiga va qanday qilib ko'proq e'tibor berish kerak. XML-RPC-ni tanlab amalga oshirish va o'chirishga yordam beradigan ko'plab plaginlar mavjud.

WordPress hosting va xavfsizlik

Veb-sayt egalari ko'pincha o'zlarining xosting kompaniyalari o'z veb-saytlarini xakerlikdan himoya qilishda yordam bermayotganidan yoki WordPress platformasida veb-saytlarni himoya qilish haqida hech narsani tushunmayotganidan shikoyat qiladilar.

Xosting kompaniyalari sizning saytingizga boshqacha qarashadi. WordPress xostingini tanlashning aniq qoidalari yo'q, lekin bu ruxsatsiz kirishdan himoyani yaxshilash choralari haqida gap ketganda juda muhimdir.

Xostingni tanlash haqidagi har bir maqola arzon eng yaxshi degani emas degan so'zlar bilan boshlanadi. Eng arzon tarif rejalari sizni xakerlik hujumlaridan himoya qilishga yordam bermaydi. Bunday paketlar minimal resurs himoyasini o'z ichiga oladi, masalan, oldindan o'rnatilgan veb-sayt xavfsizlik devori.

Birgalikda hosting sizning resursingiz joylashgan server boshqa saytlar uchun ham uy ekanligini anglatadi. Ular sizning saytingiz xavfsizligiga ta'sir qiladigan o'zlarining xavfsizlik muammolariga ega bo'lishi mumkin.

Qayerda WordPress xavfsizligi , ehtimol hosting kompaniyalari ixtisoslashgan WordPress rejalarida taqdim etadigan asosiy afzalliklardan biridir.

Bunga odatda zahira nusxalari, zaxira xavfsizlik devori, zararli dasturlardan fayllarni skanerlash, undan himoyalanish va avtomatik WordPress yangilanishlari kiradi. Bundan tashqari, bularning barchasi, qoida tariqasida, juda maqbul narxda taklif etiladi.

Xosting hisobingiz haqida unutmang

Eng katta hosting muammolaridan biri sayt egasi uchun hisob konfiguratsiyasi bilan bog'liq. Foydalanuvchi o'zi xohlagancha ko'plab saytlarni o'rnatishi va sozlashi mumkin, bu tizim muhitida zararli dasturlar uchun "bepul oshxona" paydo bo'lishiga yordam beradi.

Muammo dolzarbdir, chunki ko'p hollarda veb-resursni saytlararo infektsiya deb nomlanuvchi usul yordamida buzish mumkin, bu erda hujum vektori qo'shni sayt hisoblanadi. Tajovuzkor shimolning himoyasini yengib chiqadi va keyin ushbu serverda joylashgan qo'shni saytlarga kira boshlaydi.

Ushbu turdagi xakerlikdan himoyalanishning eng yaxshi usuli ikkita hisob yaratishdir. Siz ulardan birini ish muhiti sifatida ishlatasiz va unda faqat faol saytlarni joylashtirasiz, ikkinchisini esa hamma narsani saqlaydigan oraliq muhit sifatida.

Eng so'nggi yangilanishlardan xabardor bo'ling

Yangi narsalarni saqlash haqida gapirish oson. Ammo veb-sayt egalari uchun bu kundalik mashaqqatli mehnatni anglatadi. Bizning veb-saytlarimiz murakkab mavjudotlardir. Ularda har qanday vaqtda sodir bo'layotgan o'nlab voqealar mavjud, shuning uchun ba'zida darhol o'zgarishlar qilish qiyin bo'lishi mumkin.

So'nggi tadqiqotlar shuni ko'rsatdiki, WordPress o'rnatishlarining 56 foizi platformaning eskirgan versiyalaridan foydalanmoqda.

Yangilanishlar nafaqat platformaning yadrosiga tegishli bo'lishi kerak. Yuqorida qayd etilgan tadqiqot shuningdek, ko'plab xakerlik hujumlarida plaginlarning eskirgan, zaif versiyalaridan foydalanishi aytiladi.

WordPress uchun xavfsiz plaginlar va mavzularni qanday tanlash mumkin

Aksariyat foydalanuvchilar o'z veb-saytlariga plaginlar va mavzularni befarq o'rnatishni afzal ko'rishadi. Agar siz ma'lum bir mavzu yoki plaginning funksionalligini sinab ko'rish uchun sinov serveriga o'rnatmasangiz, bu ahmoqdir.

Aksariyat plaginlar va ko'plab mavzular bepul. Va agar mualliflar o'z mahsulotlarini jiddiy biznes modelining bir qismi sifatida emas, balki zavqlanish uchun qo'llab-quvvatlasa, ular ushbu mahsulotlarning zaif tomonlari va xavfsizligini tekshirishga ko'p vaqt sarflashlari dargumon.

Wordpress uchun to'g'ri plaginni qanday tanlash mumkin

Yuqorida aytib o'tilganidek, bepul mavzular va plaginlar veb-sayt xavfsizligiga potentsial tahdiddir. Ushbu elementlarni saytingizga qo'shganda, ularning reytingini tekshiring, masalan, WordPress.org saytida.

Ammo atigi besh yulduz plaginning ishonchliligi haqida hech narsa demaydi, o'z joyiga qarab, u ma'lum miqdordagi sharhlarga ega bo'lishi kerak. Agar ko'pchilik uni ajoyib mahsulot deb hisoblasa va uni baholashga vaqt ajratsa, uni o'z saytingizda sinab ko'rishingiz mumkin.

Siz tekshirishingiz kerak bo'lgan yana bir narsa - plagin yoki mavzuning dolzarbligi. Agar so'nggi ikki yil ichida hech qanday yangilanishlar bo'lmasa, WordPress bu haqda xabar beradi. Yangilanishlarning etishmasligi plaginning yomon ekanligini anglatmaydi.

Ehtimol, muallif oddiygina ishchi dasturga tuzatishlar kiritishga hojat qolmagandir. Biroq, uzoq vaqt davomida yangilanmagan plaginlarni o'rnatish tavsiya etilmaydi. Reyting sizga tanlangan elementning ishlashi va uning WordPressning joriy versiyasi bilan mosligi haqida ma'lumot beradi. Ushbu ma'lumotlarning barchasini WordPress.org plaginlari sahifasida ko'rish mumkin.

Xulosa

Agar siz ushbu maqolani oxirigacha o'qigan bo'lsangiz, WordPress saytingizni himoya qilish uchun qo'shimcha choralar ko'rishingiz kerak. Resurs xavfsizligini tekshirishni kundalik harakatlar ro'yxatiga qo'shing. Bu har qanday veb-sayt egasining yangi nashrlar va sahifalarni muntazam ravishda qo'shish kabi kundalik ishiga aylanishi kerak.

Muntazam ravishda zaxira nusxalarini yaratish haqida unutmang, ular uchun platformada ko'plab ishonchli plaginlar mavjud. To'g'ri, ular axborot xavfsizligi siyosatining bir qismi emas, balki ma'muriy va xizmat vazifalari.

Biz sizning saytingizni xakerlik hujumlaridan himoya qilish uchun nima qilish mumkinligi haqida to'liq ro'yxatni taqdim etdik. Ammo bizning amaliy maslahatimiz sizning resursingiz uchun hech bo'lmaganda birinchi darajadagi axborot xavfsizligini ta'minlashga yordam beradi deb umid qilamiz.

Eslab qoling WordPress xavfsizligi hech qachon mutlaq emas.

Shunday qilib, xakerlar uchun hayotni qiyinlashtirish bizning veb-sayt egalari sifatidagi ishimizdir.