The сигурност на уебсайта е един от най -важните аспекти, които а Уеб администратор трябва да се обмисли.
Уеб сървърът, който използваме за нашия уебсайт под WordPress, също може да има уязвимости, затова трябва да се уверим, че няма проблеми със сигурността, или да предприемем действия за подобряване на сигурността. В други уроци бяха посочени действия и инструменти за укрепване на сигурността, например чрез прилагане:
1. Мерки за сигурност за VPS сървъри
2. Как да откриваме и контролираме услуги на Linux сървъри
Много важен аспект, който трябва да се вземе предвид, е избягвайте използването на споделен сървър, са тези сървъри, които хостват други уебсайтове, в допълнение към нашия уебсайт и уебсайт на същия сървър, който е уязвим, той може да компрометира всички други уебсайтове, тъй като файловете са в едно и също пространство и по този начин да разпространят атака или инфекция от вирус.
The уебсайтовете, разработени под Wordpress, са чувствителни към повечето атаки, защото 30% от уебсайтовете са разработени под тази платформа.
Ето защо е важно да приемем мерки за защита на нашия уебсайт и данните ни от евентуални нападатели и минимизиране на риска, който имаме уязвимости.
Стратегии, които можем да приложим
Променете пътя към папката wp-content
Променете пътя по подразбиране в папка wp-content на WordPress, която е папката, където се намират повечето файлове и плъгини, теми, които съставляват нашия уебсайт. Експлойтите и зловредният софтуер ще търсят тази папка за сканиране и намиране на уязвимости, ако променим маршрута, ще направим проследяването по -трудно.
За да променим маршрута, трябва редактирайте файла wp-config.php и модифицирайте константата wp_content_dir:
define ('WP_CONTENT_DIR', dirname (__ FILE__). ' / path / wp-content');С това той щеше да бъде променен.
Инсталирайте само безопасни приставки
Плъгините могат да бъдат премахнати от официалното хранилище на WordPress.org, ако не се актуализират често, като по този начин може да се увери общността, че приставките имат определена сигурност, а също така ни показва кои плъгини са по -приети от потребителите. Фактът, че не са злонамерени, не означава, че те работят правилно или нямат уязвимости.
Трябва да обърнем внимание, когато плъгинът не е актуализиран от години, съобщава се, че има грешки. Общността на потребителите е открила, че тя съдържа уязвимост в сигурността.
Използвайте WP Закаляване за автоматизиране на сигурни инсталации
WP Закаляване е инструмент за автоматизиране и извършване на различни проверки на сигурността така че нашият уебсайт Wordpress да е конфигуриран безопасно.
Този проект е направен под Python и позволява проверка на различни аспекти на уебсайт за разработчици под Wordpress за търсене на уязвимости.
Едно от основните предимства на този инструмент е автоматизирането на задачите и настройките за сигурност са важни, за да се избегне излагането на информация на потенциални нападатели. Има много инструменти, които са специално създадени за получаване и събиране на всякакъв вид информация, свързана с инсталация на WordPress. Много от Атаките срещу системите на WordPress обикновено започват с предварителна информация, базирана на сканиране и събиране на информация.
WpЗакаляване Той може да бъде изтеглен на нашия сървър или локален компютър от официалната му страница или от терминала с командата с помощта на командата:
git clone https://github.com/elcodigok/wphardening.gitМожем също да го изтеглите от страницата на проекта в GitHub:
След като файлът е инсталиран или разархивиран, можем да получим достъп до папката wphardening.
За да използваме този инструмент, трябва да знаем пътя към мрежата, който искаме да проверим, и тази мрежа, тъй като е разработена с Wordpress.
След това трябва да актуализираме wphardening, за да сме сигурни, че имаме най -новите хранилища и най -новите подобрения, които са включени, за тях от прозорец на терминал изпълняваме следната команда:
python wphardening.py -актуализиранеСлед това можем да започнем да използваме wphardening и да проверим сигурността на уебсайт, разработен под wordpress, като използваме следната команда:
python wphardening.py -d / home / myuser / myweb -vНе забравяйте, че той се използва само локално, тоест на локален или отдалечен сървър от командния ред и до уебсайтове, разработени в wordpress.
Например ще използвам за този урок демонстрационен уебсайт, направен в Wordpress на локален сървър с Xampp:
Много пъти имаме проблеми с разрешенията за файлове и папки, които оставят нашия уебсайт изложен на атаки или натрапници, за да разрешим този проблем, използваме следната команда:
python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -chmod -vТова задава препоръчителните разрешения за допълнителна защита автоматично.
Друг много интересен вариант на този инструмент е възможността за изтегляйте и инсталирайте приставки и инструменти за защита по автоматизиран начин препоръчани и тествани.
python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -plugins
Когато изпълним командата, тя ще ни поиска разрешение да инсталираме всяка приставка за сигурност, включително антивирусна програма, скенер за експлоатация, мениджър на бази данни, скенер за сигурност и уязвимост, наред с други, в края ще можем да видим добавките, инсталирани в приставка папка на нашия уебсайт Wordpress. Тези плъгини използват собствени онлайн инструменти и бази данни, за да търсят файлове и бази данни на нашия уебсайт WordPress за rastos или те могат да показват, че сте били жертва на злонамерени хакери.
[прикачен файл = 12158: panta06.jpg.webp]След това от Административен панел на WordPress можем да инсталираме и активираме приставки за сигурност.
Друг интересен вариант е автоматично създаване на файл robots.txt което автоматично ще откаже достъп до най -важните директории на уебсайта. Добавяме и -o опция което ни позволява да създадем лог файл с резултата от изпълнената задача.
python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -robots -o securitywp.log
Когато изпълним командата, тя ще ни попита за пътя на уебсайта и след това файлът robots.txt може да бъде създаден.
Изтриването на файлове, които не се използват, е важно, тъй като те заемат място и могат да бъдат уязвими, тъй като обикновено не се поддържат или актуализират, също и в уебсайт с много файлове, които могат да генерират объркване, поради което ще използваме командата параметър премахване, за да автоматично премахва всички файлове, които не се използват от нашия уебсайт.
python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -remove -o securitywp.log
В края можем да видим дневника, който създадохме със списък на всички файлове, които са били изтрити.
The атаките срещу уебсайтове и сървъри са причинени от проблеми със сигурността поради уязвимости във вашия софтуер поради грешки в програмирането или неправилно конфигуриран софтуер.
Тези уязвимости позволяват на нападателите да използват голям брой техникикато например използване на URL параметър за стартиране на SQL инжекция, добавяне на код към базата данни чрез формуляри, което може да позволи на данните да променят или изтрият важни данни, като например изтриване на всички публикации и страници или оставяне на мрежата деактивирана.
Уебсайтовете, направени под Wordpress, които са получили атаки, обикновено се дължат на уязвимости на WordPress плъгин. Хакерите често вмъкват зловреден софтуер, кодиран с база 64, който им позволява да изпълняват PHP функция на нашия уебсайт. Те също могат да оставят задна врата някъде на вашия уебсайт. Това е техника, която използват за достъп до вашия уебсайт в бъдеще, дори този тип атака обикновено заразява всички файлове в мрежата.
Не забравяйте, че всички инструменти, които използваме, освен това не гарантират сигурността на нашия уебсайт трябва да прилагаме политики за сигурност Какво извършвайте постепенно архивиране на базата данни и всички файлове седмично или ежедневно.
Хареса ли ви и помогнахте на този урок?Можете да възнаградите автора, като натиснете този бутон, за да му дадете положителна точка
