vietnes drošība ir viens no vissvarīgākajiem aspektiem, kas a Tīmekļa pārzinis jāapsver.
Tīmekļa serverim, ko mēs izmantojam savai vietnei, izmantojot WordPress, var būt arī ievainojamības, tāpēc mums noteikti jāpārbauda, vai tam nav drošības problēmu, vai jāveic darbības, lai uzlabotu drošību. Citās apmācībās tika norādītas darbības un rīki, lai pastiprinātu drošību, piemēram, izmantojot:
1. Drošības pasākumi VPS serveriem
2. Kā atklāt un kontrolēt pakalpojumus Linux serveros
Ļoti svarīgs aspekts, kas jāņem vērā, ir neizmantojiet koplietojamu serveri, ir tie serveri, kas mitina citas vietnes, papildus mūsu vietnei un tajā pašā serverī esošajai vietnei, kas ir neaizsargāta, tā var apdraudēt visas citas vietnes, jo faili atrodas vienā vietā un tādējādi izplatīt uzbrukumu vai vīrusa infekciju.
vietnes, kas izstrādātas programmā Wordpress, ir jutīgas uz lielāko daļu uzbrukumu, jo 30% vietņu ir izstrādātas saskaņā ar šo platformu.
Tāpēc ir svarīgi pieņemt pasākumus, lai aizsargātu mūsu vietni un mūsu datus no iespējamiem uzbrucējiem un samazinātu mūsu risku ievainojamības.
Stratēģijas, kuras mēs varam īstenot
Mainiet ceļu uz mapi wp-content
Mainiet noklusējuma ceļu uz mapi WordPress wp-content, kas ir mape, kurā atrodas lielākā daļa failu un spraudņu, tēmu, kas veido mūsu vietni. Izmantotāji un ļaunprātīga programmatūra meklēs šo mapi, lai skenētu un atrastu ievainojamības, ja mainīsim maršrutu, apgrūtināsim izsekošanu.
Lai mainītu maršrutu, mums tas ir jādara rediģējiet failu wp-config.php un mainīt konstanti wp_content_dir:
define ('WP_CONTENT_DIR', dirname (__ FILE__). ' / path / wp-content');Līdz ar to viņš tiktu mainīts.
Instalējiet tikai drošus spraudņus
Spraudņus var noņemt no oficiālās WordPress.org krātuves, ja tie netiek bieži atjaunināti, tādējādi nodrošinot sabiedrībai pārliecību, ka spraudņiem ir noteikta drošība, kā arī tiek parādīts, kurus spraudņus lietotāji vairāk pieņem. Tas, ka tie nav ļaunprātīgi, nenozīmē, ka tie darbojas pareizi vai tiem nav ievainojamību.
Mums jāpievērš uzmanība, ja spraudnis gadiem ilgi nav atjaunināts, tiek ziņots, ka tajā ir kļūdas. Lietotāju kopiena ir atklājusi, ka tajā ir ievainojamība.
Izmantot WPRūdīšana lai automatizētu drošas instalācijas
WPRūdīšana ir rīks, lai automatizētu un veiktu dažādas drošības pārbaudes lai mūsu Wordpress vietne būtu droši konfigurēta.
Šis projekts ir izveidots programmā Python un ļauj pārbaudīt dažādus izstrādātāja vietnes aspektus programmā Wordpress, lai meklētu ievainojamības.
Viena no šī rīka galvenajām priekšrocībām ir uzdevumu automatizācija, un drošības iestatījumi ir svarīgi, lai izvairītos no informācijas atklāšanas potenciālajiem uzbrucējiem. Ir daudz rīku, kas ir īpaši izveidoti, lai iegūtu un apkopotu visu veidu informāciju, kas saistīta ar WordPress instalēšanu. Daudzi no Uzbrukumi WordPress sistēmām parasti sākas ar iepriekšēju informāciju, kuras pamatā ir skenēšana un informācijas apkopošana.
WpSacietēšana To var lejupielādēt mūsu serverī vai vietējā datorā no oficiālās lapas vai no termināļa ar komandu, izmantojot komandu:
git klons https://github.com/elcodigok/wphardening.gitMēs to varam lejupielādēt arī no projekta lapas vietnē GitHub:
Kad fails ir instalēts vai izsaiņots, mēs varam piekļūt mapei wphardening.
Lai izmantotu šo rīku, mums ir jāzina ceļš uz tīmekli, kuru vēlamies pārbaudīt, un šis tīmeklis, jo tas tika izstrādāts kopā ar Wordpress.
Tālāk mums ir jāatjaunina wphardening, lai pārliecinātos, ka mums ir jaunākās krātuves un jaunākie uzlabojumi, kas ir iekļauti, tiem no termināļa loga izpildām šādu komandu:
python wphardening.py -atjauninātTad mēs varam sākt izmantot wphardening un pārbaudīt WordPress izstrādātās vietnes drošību, izmantojot šādu komandu:
python wphardening.py -d / home / myuser / myweb -vAtcerieties, ka to izmanto tikai lokāli, tas ir, vietējā vai attālā serverī no komandrindas un uz vietnes, kas izstrādātas WordPress.
Piemēram, šai apmācībai es izmantošu demonstrācijas vietni, kas izveidota Wordpress vietējā serverī ar Xampp:
Daudzas reizes mums ir problēmas ar failu un mapju atļaujām, kuru dēļ mūsu vietne tiek pakļauta uzbrukumiem vai iebrucējiem, lai atrisinātu šo problēmu, mēs izmantojam šādu komandu:
python wphardening.py -d / opt / lampp / htdocs / project / cabanias -chmod -vTas automātiski iestata ieteicamās atļaujas papildu drošībai.
Vēl viena ļoti interesanta šī rīka iespēja ir iespēja automātiski lejupielādēt un instalēt spraudņus un drošības rīkus ieteicams un pārbaudīts.
python wphardening.py -d / opt / lampp / htdocs / project / cabanias -plugins
Izpildot komandu, tā lūgs mums atļauju instalēt katru drošības spraudni, ieskaitot pretvīrusu, ekspluatācijas skeneri, datu bāzes pārvaldnieku, drošības un ievainojamības skeneri, cita starpā, beigās mēs varēsim redzēt spraudņus, kas instalēti mūsu WordPress vietnes spraudņu mape. Šie spraudņi izmanto patentētus tiešsaistes rīkus un datubāzes, lai mūsu WordPress vietnē esošajos failos un datu bāzēs meklētu rastos, vai arī tie var norādīt, ka esat kļuvis par ļaunprātīgu hakeru upuri.
[pielikums = 12158: panta06.jpg.webp]Tad no WordPress administratora panelis mēs varam instalēt un iespējot drošības spraudņus.
Vēl viena interesanta iespēja ir faila robots.txt automātiska izveidošana kas automātiski liedz piekļuvi svarīgākajiem vietnes direktorijiem. Mēs pievienojam arī -opcija kas ļauj mums izveidot žurnāla failu ar veiktā uzdevuma rezultātu.
python wphardening.py -d / opt / lampp / htdocs / project / cabanias -robots -o securitywp.log
Izpildot komandu, tā mums prasīs vietnes ceļu un pēc tam var izveidot failu robots.txt.
Izmantoto failu dzēšana ir svarīga, jo tie aizņem vietu un var būt neaizsargāti, jo tie parasti netiek uzturēti vai atjaunināti, arī vietnē ar daudziem failiem tie var radīt neskaidrības, jo to dēļ mēs izmantosim parametra komandu noņemt, lai automātiski noņem visus failus, kurus mūsu vietne neizmanto.
python wphardening.py -d / opt / lampp / htdocs / project / cabanias -remove -o securitywp.log
Beigās mēs varam redzēt mūsu izveidoto žurnālu ar visu izdzēsto failu sarakstu.
uzbrukumus vietnēm un serveriem izraisa drošības problēmas ievainojamības dēļ programmatūrā programmēšanas kļūdu vai nepareizi konfigurētas programmatūras dēļ.
Šīs ievainojamības ļauj uzbrucējiem izmantot lielu skaitu paņēmienupiemēram, URL parametra izmantošana SQL injekcijas palaišanai, koda pievienošana datubāzei, izmantojot veidlapas, kas var ļaut datiem mainīt vai dzēst svarīgus datus, piemēram, visu ziņu un lapu dzēšanu vai tīmekļa atspējošanu.
Vietnes, kas izveidotas saskaņā ar Wordpress un kuras saņēma uzbrukumus, parasti tas ir saistīts ar WordPress spraudņa ievainojamību. Hakeri bieži ievieto 64 bāzes kodētu ļaunprātīgu programmatūru, kas ļauj mūsu vietnē izpildīt PHP funkciju. Viņi var arī atstāt aizmugurējās durvis kaut kur jūsu vietnē. Šo metodi viņi izmanto, lai nākotnē piekļūtu jūsu vietnei, pat šāda veida uzbrukumi parasti inficē visus tīmeklī esošos failus.
Atcerieties, ka visi mūsu izmantotie rīki negarantē mūsu vietnes drošību mums jāīsteno drošības politika Kas katru nedēļu vai katru dienu veiciet datu bāzes un visu failu papildu dublējumus.
Vai jums patika šī apmācība un palīdzējāt tai?Jūs varat apbalvot autoru, nospiežot šo pogu, lai sniegtu viņam pozitīvu punktu