Як засцерагчы ад небяспекі сайт? Кіраўніцтва па бяспецы вэб-сайта

Колькасць праглядаў

407
Надрукаваць · Время на чтение: 24мін · па · Апублікавана · Абноўлены

Праслухаць артыкулПраслухаць гэты артыкул

Як засцерагчы свой сайт? Выкарыстоўвайце наступныя метады. Бяспека сайта.

Бяспека сайта ці як абараніць сайт? Некаторыя ўзломы адбываюцца па зусім недарэчным чыннікам: несвоечасовыя абнаўленні, ненадзейныя паролі і т. д. У гэтым важным кіраўніцтве па бяспецы вэб-сайта я пакажу вам, як абараніць вэб-сайт:

  • Нават калі ... вы пачатковец у пытаннях бяспекі вэб-сайтаў і не зусім разумееце, што гэта значыць;
  • Нават калі… вы спрабавалі і не змаглі абараніць свой сайт раней;
  • Нават калі… вы перагружаны асноўнай працай і не ведаеце, з чаго пачаць;
  • Нават калі ... вы падумаеце: "Я не раўня хакерам - так навошта спрабаваць, што небудзь зрабіць?"
Але што яшчэ больш важна, я збіраюся пагаварыць аб тым, як нам пачаць думаць аб бяспецы сваіх вэб-сайтаў у першую чаргу. Такім чынам, у вас ёсць усе неабходныя прылады для прыняцця правільных рашэнняў з пункту гледжання (бяспекі) для вашага сайта. Інфармацыі будзе максімальна шмат, наліце сабе чайку ці каву і прыгатуйцеся.
Змест артыкула:

Што такое бяспека сайта?

Як засцерагчы свой сайт - што такое бяспека вэб-сайта?

Хоць гэта і выдатна, што вы робіце нейкія крокі для абароны свайго вэб-сайта. Вам трэба разумець, што бяспека сайта - гэта бесперапынны працэс які патрабуе перыядычнай увагі з вашага боку. Хакеры людзі творчыя, таму пагрозы ўвесь час эвалюцыянуюць.

Бяспека сайта складае план абароны вашага вэб-сайта і карыстальнікаў ад хакераў і іх шкоднасных праграм. Гэта ўключае ў сябе разуменне кампанентаў вашага вэб-сайта, як яны працуюць разам і якія ў іх ёсць уразлівасці.

Як толькі гэтая аснова будзе створана, вам неабходна сфармуляваць комплексны план бяспекі для абароны ад уразлівасцяў. Гэта ўключае ў сябе шэраг крокаў наладкі, рэалізацыю палітык і пастаяннае абнаўленне інфармацыі аб пагрозах.

Ключавым фактарам у забеспячэнні бяспекі вэб-сайта з'яўляецца разуменне таго, што гэта не разавае дзеянне. Бяспека развіваецца, таму што развіваюцца пагрозы.

У артыкуле ніжэй вы ўбачыце, што добрая ўбудова бяспекі зробіць большую частку цяжкай працы з пункту гледжання шкоднасных праграм, але асцярожнасць і пільнасць – вось што ў першую чаргу забяспечвае бяспеку вэб-сайта.

Чаму важная бяспека сайта?

WordPress выкарыстоўваюць мільёны людзей, таму ён, верагодна, бяспечны, праўда? Ды і не.

- Так, таму што асноўныя файлы WordPress абаронены, і нават пры выяўленні ўразлівасці яе ўхіляюць вельмі хутка.

- Не, таму што ваш сайт - гэта не проста ядро ​​WordPress. Гэта камбінацыя плагінаў і тым, якія дапамагаюць зрабіць ваш сайт больш функцыянальным, інтэрактыўным і прывабным. Гэтыя плагіны і тэмы пашыраюць функцыянальнасць WordPress, але таксама павялічваюць магчымасці для ўразлівасцяў. Добрыя распрацоўшчыкі плагінаў, хутка выправяць уразлівасці. Але небяспека ў гэтым плане значна вышэйшая.

Як абараніць сайт ад хакераў? Дзейныя крокі

Як абараніць сайт ад узлому, хакераў, шкоднасных дзеянняў.

Каб мець дзейсны план па абароне вашага вэб-сайта, перш за ўсё трэба зразумець, як вэб-сайты ўзломваюцца. Паводле наступнага даследавання, вэб-сайты ў асноўным узломваюцца трыма спосабамі:

  • 90+% - Уразлівасць у плагіне або тэме сайта на WordPress.
  • 5+% - Скампраметаванае імя карыстальніка і/або пароль.
  • <1% - Дрэнныя паслугі вэб-хостынгу.
Гэтае размеркаванне павінна стаць асновай таго, як вы плануеце засцерагчы свой сайт і на што трэба выдзяляць больш часу і рэсурсаў.

1. Абараніце свой сайт ад уразлівасцяў

Хакеры знаходзяцца ў пастаянным пошуку ўразлівых вэб-сайтаў. Усё роўна, вялікі сайт або маленькі. У іх ёсць шмат выгады ад узлому практычна любога вэб-сайта. Па нашым досведзе, больш 90% усіх узломаў адбываюцца з-за таго, што хакеры выявілі ўразлівасць і скарысталіся ёю.

Давайце крыху падрабязней разгледзім, што такое ўразлівасці . Гэта вельмі важна разумець, каб у будучыні вы маглі свядома фармаваць стратэгію бяспекі свайго вэб-сайта.

Што такое ўразлівасць?

Ваш сайт складаецца з 3 асноўных кампанентаў: WordPress, убудоў і тэм. Усё гэта ў асноўным праграмнае забеспячэнне, і, як і любое праграмнае забеспячэнне, яно змяшчае памылкі, якія часам прыводзяць да збояў у працы.

Памылкі могуць мець розныя наступствы: некаторыя з іх запавольваюць працу вашага вэб-сайта або выклікаюць памылку, калі нехта наведвае яго. Гэта раздражняе і стварае праблемы, але больш сур'ёзныя з іх дазваляюць неаўтарызаваных карыстальнікам (напрыклад, хакерам) атрымаць доступ да вашага вэб-сайту. Такая памылка вядомая як уразлівасць.

Тыпы ўразлівасцяў

Уразлівасці можна ахарактарызаваць, як мы гэта рабілі ў папярэднім абзацы, як памылкі ў кодзе. Аднак ёсць некалькі канкрэтных тыпаў, якія ўзнікаюць часцей за іншыя:

  1. Састарэлае праграмнае забеспячэнне: важна абнаўляць ядро, убудовы і тэмы;
  2. Дрэннае кіраванне ролямі карыстальнікаў: не давайце кожнаму карыстачу поўны доступ адміністратара;
  3. Недэзінфікаваныя ўваходныя дадзеныя: палі ўводу павінны правяраць увод перад захаваннем і/ці выкананнем.

Магчымы ўзломы на неабароненым вэб-сайце

Уразлівасці цесна злучаны з тыпамі нападаў, якія яны дапушчаюць, і часта завуцца ўзаемазаменнымі. Найбольш распаўсюджаныя атакі, з якімі сутыкаецца WordPress:

  • Укараненне кода: калі шкоднасны код устаўляецца праз палі ўводу і выконваецца кодам вэб-сайта або базай дадзеных. Часта сустракаемы варыянт укаранення кода ў SQL-ін'екцыю, які асабліва абуральны для прыкладанняў, якія кіруюцца базай дадзеных, такіх як WordPress.
  • Напады з выкарыстаннем міжсайтавых сцэнараў: гэты тып уразлівасці крадзе прыстасаваныя файлы cookie, каб выдаць сябе за іх, ці нават перахапіць сеанс. Затым доступ мэтавага карыстальніка выкарыстоўваецца для нападу на ваш сайт.
  • Напады грубай сілы: як вынікае з назвы, у гэтым тыпе атакі няма ніякай хітрасці. Хакер бамбардзіруе вашу старонку ўваходу камбінацыямі імёнаў карыстальнікаў і пароляў, спрабуючы знайсці правільны.
  • SEO-спам: любы спам сур'ёзны, але гэты напад дзівіць тое, што больш за ўсё шкодзіць вэб-сайту: SEO. Уладальнікі вэб-сайтаў марнуюць рэсурсы, працуючы над сваім SEO, толькі для таго, каб хакер скарыстаўся неправамернай перавагай, уставіўшы ўсплывальныя вокны і спасылкі на нелегальныя ці шэрыя тавары. Напады SEO-спаму таксама цяжка выявіць, і часта вэб-сайты адчуваюць згубныя наступствы спаму, перш чым усведамляюць, што яны заражаныя.
  • Фішынгавыя атакі: у гэтых атаках хакер спрабуе выдаць сябе за законную асобу, каб падманам прымусіць карыстальніка добраахвотна перадаць сваю інфармацыю. Фішынг працуе ў тандэме з электроннай поштай і узламаным вэб-сайтам, каб атрымаць гэтыя ўліковыя дадзеныя.

Які эфект уразлівасці?

Убудовы і тэмы ўсталяваныя на некалькі тысяч сайтаў, таму эфект ад аднаго гэтага недахопу шматкроць узмацняецца. Адказныя распрацоўшчыкі плагінаў і тым прыкладаюць намаганні, каб закрыць дзюры ў бяспецы сваіх прадуктаў, выпускаючы абнаўлення.

Насамрэч гэта ключавая прычына, па якой рэкамендуецца выбіраць убудовы прэміум-класа, калі гэта магчыма. Рэгулярнае тэхнічнае абслугоўванне праграмнага забеспячэння, гэтаму павінна быць нададзена максімум увагі ў стратэгіі бяспекі вэб-сайта. Выдатна, значыць памылка выпраўлена. Цяпер мы ў бяспецы, праўда? Ну, не зусім. Выяўленне ўразлівасці - небяспечны час для ўладальнікаў сайтаў.

Што адбываецца пры выяўленні ўразлівасці?

Уразлівасці часта выяўляюцца даследнікамі бяспекі сайтаў. Яны паведамляюць аб сваіх высновах распрацоўніку плагіна або тэмы. Як мы ўжо казалі ў папярэднім раздзеле, адказныя распрацоўшчыкі будуць імкнуцца выправіць праблему і выпусціць абнаўленне.
Калі ўразлівасць будзе ўхіленая, даследнік бяспекі сайта апублікуе свае высновы. Распрацоўнік выпусціў выпраўленне, каб вэб-сайты былі ў бяспецы, праўда? Не зусім.

Хакеры таксама чытаюць аб уразлівасці і шукаюць вэб-сайты, якія не абнавілі свае версіі. Публічныя ўразлівасці, як правіла, прыцягваюць пачаткоўцаў хакераў (таксама вядомых як дзеці-скрыпты), таму што зараз яны могуць без намаганняў выкарыстоўваць вэб-сайты. Яны дакладна ведаюць, дзе знаходзіцца іхняя мэта.

Што трэба зрабіць, каб засцерагчы сайт ад уразлівасцяў?

Цяпер я пагавару аб канкрэтных кроках, якія вы можаце зрабіць, каб забяспечыць бяспеку вэб-сайта і абараніць яго ад хакераў. Гэтыя крокі могуць здацца простымі, аднак яны з'яўляюцца эфектыўнымі спосабамі забеспячэння бяспекі вашага сайта.

1. Рабіце рэзервовыя копіі

Рэзервовыя копіі - самая недаацэненая частка стратэгіі бяспекі сайта. Я не магу не падкрэсліць важнасць рэгулярнага рэзервовага капіравання. Яны ваша сетка бяспекі, адзінае, на што вы можаце разлічваць, калі справы ідуць дрэнна. Рэзервовыя копіі дапамогуць вам хутка адкаціць сайт да працаздольнага стану.

2. Абнаўляйце плагіны і тэмы

Гэта можа здацца вельмі відавочным, асабліва калі вы чыталі папярэдні раздзел аб тым, наколькі важныя абнаўленні. Аднак вельмі лёгка праігнараваць чырвонае апавяшчэнне на прыборнай панэлі і заняцца чымсьці больш тэрміновым.

Таму паўтаруся. Распрацоўнікі плагінаў, для таго і выпускаюць абнаўленні з выпраўленнямі бяспекі. Нават калі вы вырашыце адкласці ўсталёўку абнаўленняў, абновіце ўбудову пазней, прынамсі, пасля азнаямлення з нататкамі да выпуску.

3. Выбірайце плагіны і тэмы добрай якасці

Ці наўрад калі-небудзь будзе цалкам надзейнае праграмнае забеспячэнне, ёсць ключавыя фактары, якія варта ўлічваць пры выбары правільных убудоў і тэм для вашага вэб-сайта:

  • Убудова рэгулярна абнаўляецца: Убудова або тэма, якія пастаянна падтрымліваюцца іх распрацоўшчыкам, хутчэй за ўсё, атрымаюць выпраўленне бяспекі, калі будзе выяўлена ўразлівасць.
  • Ці папулярны убудова? Гэта палка аб двух канцах. Папулярная ўбудова з мільёнамі ўсталёвак стане мэтай хакераў. Але падобныя плагіны таксама маюць тэндэнцыю быць больш бяспечнымі, таму што іх кантралюе значна больш распрацоўшчыкаў.
  • Ці з'яўляецца гэта прэміяльным плагінам: платныя плагіны падтрымліваюць працу распрацоўшчыкаў, і таму верагоднасць таго, што іх закінуць, значна ніжэйшая, чым у бясплатных плагінаў. Гэта не азначае, што праграмнае забеспячэнне з адчыненым зыходным кодам ніколі не бывае бяспечным, аднак з прадуктам прэміум-класа вы плаціце за падтрымку кліентаў і якасць прадукта.
  • Ніколі не ўстанаўлівайце абнуленыя плагіны і тэмы: даступнае бясплатнае праграмнае забеспячэнне прэміум-класа праблематычна на многіх узроўнях. Абнуленае праграмнае забеспячэнне часта змяшчае шкоднаснае ПЗ або бэкдоры, якія пасля ўстаноўкі дазваляюць хакерам атрымаць доступ да вашага вэб-сайта.
4. Выкарыстоўвайце брандмаўэр

Не існуе надзейнага спосабу перашкодзіць хакерам ці створаным імі робатам атакаваць вэб-сайты, падобныя вашаму. Аднак вы можаце значна зменшыць верагоднасць, усталяваўшы брандмаўэр.

2. Абараніце сваё імя карыстальніка і пароль

Каля 6% узламаных вэб-сайтаў былі ўразлівыя для нападаў з-за слабых пароляў. Гэта можа здацца невялікім лікам у параўнанні з прамой шкоднаснай актыўнасцю, але ўсё ж дастаткова значным, каб прыцягнуць вашу ўвагу.

Страта пароля адміністратара вашага сайта падобная да страты ключоў ад кватэры або машыны. З ключом злодзей мае поўны кантроль над вашай каштоўнай маёмасцю. Гэтак жа з паролем хакеры маюць поўны доступ да вашага сайту і яго інфармацыі. На дадзены момант нават брандмаўэр або плягін бяспекі не могуць перашкодзіць хакерам нанесці шкоду вашаму сайту.

Неабходнасць у надзейных паролях па-ранейшаму актыўна прапагандуецца, але з-за злучаных з гэтым цяжкасцяў карыстачы вэб-сайтаў часта ігнаруюць яе. Перш чым я перайду да механізмаў атрымання надзейнай рэпутацыі, давайце адкажам на некаторыя распаўсюджаныя пытанні, якія ўзнікаюць у людзей пра іх.

Як можна скрасці пароль?

Адказ можа стаць нечаканасцю: хакер спрабуе адгадаць пароль. Пад гэтым я маю на ўвазе, што яны спрабуюць розныя паролі ўручную, але для гэтага ёсць робаты. Гэта таксама вядома як атака метадам перабору або, калі бот адгадвае словы, атака па слоўніку.

Падобныя атакі працуюць вельмі добра па некалькіх прычынах.:

  • Лёгка якія адгадваюцца паролі: агульнаўжытныя словы, кароткія словы, само слова "пароль" у розных спалучэннях.
  • Дадзеныя папярэдніх узломаў: ёсць прычына, па якой людзі рэкамендуюць выкарыстоўваць розныя паролі для розных сэрвісаў і сайтаў.

Як абараніцца ад крадзяжу пароля

1. Выкарыстоўвайце надзейны пароль - у надзейных паролях выкарыстоўваецца камбінацыя літар, лічбаў і сімвалаў у адвольным парадку, таму што іх цяжка ўзламаць. Хакерскім ботам могуць спатрэбіцца гады, каб знайсці правільны пароль. Вы можаце паспрабаваць стварыць надзейны пароль самастойна ці выкарыстоўваць генератар пароляў.

2. Абмяжуйце колькасць спроб уваходу - добры спосаб прадухіліць напад грубай сілы - заблакаваць зламыснікаў пасля некалькіх няўдалых спроб уваходу ў сістэму. Гэта эфектыўны механізм, бо гэты тып нападу складаецца ў тым, што хакерскія робаты неаднаразова спрабуюць розныя паролі.

3. Укараніце двухфактарную аўтэнтыфікацыю - некаторыя службы выкарыстоўваюць двухфактарную аўтэнтыфікацыю падчас працэсу ўваходу ў сістэму, што, па сутнасці, азначае, што вам трэба мець два (у ідэале) асобных токена для доступу да вашага ўліковага запісу. Часцей за ўсё гэта камбінацыя пароляў і токена з абмежаваным тэрмінам дзеяння, такога як пін-код ці QR-код, адпраўленыя на вашу электронную пошту ці прыладу.

4. Укараніць абарону CAPTCHA - CAPTCHA могуць вырашыць толькі людзі. Яны прызначаны для прадухілення доступу хакерскіх робатаў да ўліковага запісу. Вы можаце выкарыстоўваць яго для абароны вашага сайта.

5. Выкарыстоўвайце брандмаўэр - некаторыя брандмаўэры бяспекі вэб-сайтаў, таксама адсочваюць шкоднасныя IP-адрасы на глабальным узроўні. Брандмаўэр вучыцца на ўсіх сайтах з усталяваным убудовай. Затым ён аўтаматычна блакуе дрэнныя IP-адрасы яшчэ да таго, як яны паспрабуюць узламаць ваш пароль. Гэта, у спалучэнні з магчымасцю абмежавання ўваходу ў сістэму, можа абараніць ваш сайт ад хакераў, якія спрабуюць пракрасціся ў адмінку сайта.

3. Абярыце добрага хостынг-правайдэра

Існуе тэндэнцыя вінаваціць вэб-хостынг ва ўсім, што ідзе не так з вэб-сайтам. Хоць вэб-хасты звычайна нясуць адказнасць за многія аспекты вэб-сайта, яны рэдка вінаватыя, калі вэб-сайт узламаны. На самай справе, як правіла, дакладна адваротнае: вэб-хостынгі паляпшаюць бяспеку вэб-сайтаў.

Вядома, ёсць некаторыя вэб-хасты, якія гуляюць ролю ў кампраметацыі вэб-сайтаў, размешчаных на іх серверы. Гэта здараецца рэдка, але калі гэта адбываецца, гэта сур'ёзны інцыдэнт, які ставіць пад пагрозу тысячы вэб-сайтаў.

4. Усталюйце SSL-сертыфікат

Secure Sockets Layer, больш вядомы як SSL, уяўляе сабой пратакол бяспекі, які шыфруе ўсе злучэнні з вэб-сайтам. Пасля ўстаноўкі ён адлюстроўваецца ў выглядзе замка ў пачатку URL-адрасу вашага сайта.

Перавагі выкарыстання SSL-сертыфіката наступныя:

  • Усе дадзеныя, якія перадаюцца на ваш сайт і з яго, зашыфраваны.
  • Гэта знак даверу да вашага сайту. Насамрэч, большасць браўзэраў будуць пазначаць сайты без SSL як "Небяспечныя" у адрасным радку.
  • Google любіць вэб-сайты з SSL-сертыфікатам і нават узнагароджвае іх больш высокім рэйтынгам.

Належныя метады забеспячэння бяспекі вэб-сайтаў

Як я ўжо казаў у пачатку, бяспека вэб-сайтаў - гэта пастаянная практыка. У гэтым раздзеле я пералічу метады, якія карысна ўкараніць у агульную стратэгію бяспекі вэб-сайта. Як толькі вы ўвойдзеце ў звычку рабіць гэта, невялікія інвестыцыі вашага часу і намаганняў акупяцца ў шмат разоў дзякуючы бяспечнаму вэб-сайту.

1. Часцей мяняйце пароль - я разумею, што ўстаноўка пароляў, якія цяжка адгадаць, складаная, асабліва таму, што яны часта з'яўляюцца сінонімамі пароляў, якія цяжка запомніць. Мы таксама можам прадставіць трывогу, выкліканую тым, што нас просяць рэгулярна мяняць свой цудоўны пароль.

Чыннік у тым, што паролі з'яўляюцца самым слабым звяном у сістэме бяспекі, асабліва калі вы выкарыстоўваеце адны і тыя ж паролі для некалькіх уліковых запісаў. Нават калі адзін сайт падвергнецца ўзлому, вы можаце з упэўненасцю выказаць здагадку, што ўсе вашы ўліковыя запісы патэнцыйна скампраметаваныя. Рэгулярна таксама можа азначаць розныя рэчы для розных людзей. Некаторыя фінансавыя ўстановы, такія як банкі, патрабуюць змены пароляў кожныя 90 дзён.

2. Правярайце карыстальнікаў вэб-сайта, адсочвайце новых карыстальнікаў-адміністратараў - хакеры часта пакідаюць карыстальнікаў-адміністратараў, каб яны маглі аднавіць доступ да сайта. Такім чынам, рэгулярная праверка карыстальнікаў-адміністратараў можа павысіць бяспеку вэб-сайта.

Па-другое, суаўтары сайта могуць мяняцца. Калі карыстачу больш не патрэбен доступ, лепш выдаліць яго доступ да сайта. Чыннік дваякая:

  1. вы не жадаеце, каб карыстач уносіў якія-небудзь змены на ваш сайт;
  2. іх неактыўныя ўліковыя запісы могуць быць узламаныя хакерамі.
З часам, калі мы ствараем наш сайт з новым зместам і дызайнам, мы працягваем дадаваць новых карыстальнікаў на наш сайт. Вы павінны перыядычна правяраць такіх карыстальнікаў. Вы можаце самі прытрымлівацца правілаў бяспекі, але іншы карыстальнік, скампраметаваны, паўплывае на ваш сайт. Пры даданні карыстальнікаў па магчымасці давайце ім, толькі неабходныя ўзроўні доступу. Напрыклад, калі нехта толькі піша артыкулы, не давайце яму права адміністратара.

3. Наладзьце часопіс актыўнасці на сваім сайце - хакеры не выкарыстоўваюць асноўныя API-інтэрфейсы WordPress для змены вэб-сайта, таму шматлікія з уносімых імі змен не будуць адлюстраваны ў часопісе актыўнасці. Аднак яны могуць пакінуць сляды, напрыклад, стварыць для сябе ўліковыя запісы адміністратара для доступу да сайта. Гэтыя нечаканыя дзеянні могуць дапамагчы выявіць узлом. І наадварот, калі змены ўносяцца суаўтарам, часопісы актыўнасці могуць дапамагчы пазбегнуць непатрэбнай панікі, калі вы бачыце змены, унесеныя на ваш сайт.

4. Заблакуйце PHP у тэчцы «Загрузкі» - цэлы клас уразлівасцяў ( калі быць дакладным, Remote Code Execution ) дазваляе хакерам загружаць шкоднасныя PHP-файлы ў тэчку Uploads. Затым хакер можа выкарыстоўваць яго для выканання любога кода на вашым сайце. Іншымі словамі, яны маюць поўны кантроль над вашым сайтам.

Атаку можна эфектыўна нейтралізаваць, калі вы заблакуеце выкананне файлаў PHP у тэчцы Uploads. Не хвалюйцеся. Блакаванне PHP-файлаў у тэчцы "Загрузкі" бяспечная, таму што іх тамака наогул не павінна быць. Тэчка Uploads - гэта месца, дзе вы захоўваеце свае медыяфайлы, а не сцэнары.

Чаго трэба пазбягаць пры абароне вашага вэб-сайта?

Хуткі пошук у Google дасць вам мноства парад і стратэгій для абароны вашага сайта. Некалькі плагінаў бяспекі таксама дадуць некалькі варыянтаў абароны вашага сайта ад узломшчыкаў пароляў. Абарона вашага вэб-сайта - гэта тое, што вы павінны рабіць, аднак ёсць некаторыя рэчы, якіх варта пазбягаць.

Чыннікі адрозніваюцца для кожнага з пунктаў, пра якія я кажу ніжэй, але па сваёй сутнасці вашы меры павінны прыносіць адчувальную карысць у плане бяспекі, асабліва калі вы просіце сваіх карыстачоў пераадольваць дадатковыя бар'еры бяспекі. Напрыклад, калі вы ўжываеце як капчу, так і двухфактарную аўтэнтыфікацыю, патрапіць на ваш сайт становіцца складана, з невялікай дадатковай выгадай.

Вы можаце атрымаць дадатковае адчуванне бяспекі, ужываючы ўсе даступныя варыянты, але з пункта гледжання аналізу выдаткаў і выгод яны не рэжуць мяжу.

1. Схаваць старонку аўтарызацыі wp - Вы ўбачыце гэта на шматлікіх форумах: зменіце старонку wp-login на ўласны URL-адрас вашага сайта. Логіка такая, што калі хакеры не могуць знайсці старонку ўваходу, яны не могуць выкарыстоўваць напады грубіянскай сілы, каб атрымаць доступ да вашага сайта. У гэтым ёсць некалькі недахопаў:

  • WordPress таксама дазваляе вам уваходзіць у сістэму з дапамогай XML-RPC.
  • Гэта абцяжарыць выкарыстанне вашага сайта. Калі вы забудзецеся спецыяльны URL-адрас, які вы стварылі для сябе замест wp-login, аднаўленне пасля гэтага можа быць абцяжарана.
  • Калі вы выкарыстоўваеце агульны URL-адрас або URL-адрас па змаўчанні, які пастаўляецца з які падлучаецца модулем бяспекі, хакерам усё роўна будзе лёгка здагадацца, што цалкам звядзе на нішто вашу мэту.
  • Утойванне гэтай старонкі патрабуе прымянення да вашага сайта складаных налад, якія могуць мець іншыя нечаканыя пабочныя эфекты.
2. Геаблакіроўка - іншы часта рэкамендаванай мерай бяспекі з'яўляецца геаблакіроўка. Вам можа не спатрэбіцца ці не чакацца законны трафік з пэўных краін, і, такім чынам, вы вырашыце абмежаваць доступ.
  • IP-адрасы для рэгіёнаў не ідэальныя і могуць мець памылкі.
  • Калі вы заблакуеце сябе па памылцы, адмяніць гэта будзе складана.
  • Вы можаце ў канчатковым выніку заблакаваць добрых ботаў, такіх як Google, якія не могуць нанесці шкоду вашаму сайту.
Добры брандмаўэр можа і абароніць ваш сайт ад шкоднасных робатаў і непажаданага трафіку. Я разгледзеў перавагі брандмаўэраў у папярэднім раздзеле.

3. Абараніце паролем дырэкторыю wp-admin - тэчка wp-admin - адна з самых важных тэчак на вашым сайце. Натуральна, яна прыцягвае вялікую ўвагу хакераў. Таму абарона яго паролем можа здацца бліскучым ходам, але контрпрадуктыўным.

Пароль, які абараняе ваш каталог wp-admin, парушае функцыянальнасць AJAX на вашым вэб-сайце WordPress. AJAX - гэта метад кадавання, які загружае часткі вашага вэб-сайта з сервера без змены бягучай якая адлюстроўваецца старонкі.

Калі гэта гучыць як абракадабра, па сутнасці гэта азначае, што ён робіць ваш сайт дынамічным, без пастаяннай перазагрузкі для карыстальнікаў кожны раз, калі нешта мяняецца.

Падумайце аб пракрутцы стужкі навін у сацыяльнай сетцы. Новыя гісторыі ці твіты загружаюцца, калі вы ўсё яшчэ праглядаеце тыя, якія ўжо ёсць на вашым экране, і вы можаце абнавіць стужку навін, калі захочаце загрузіць новы кантэнт.

4. Схаваць версію WordPress - Логіка ўтойвання версіі вашага сайта на WordPress звязана з абнаўленнямі бяспекі. Калі на вашым вэб-сайце не ўстаноўлена апошняя версія WordPress, хакер можа скарыстацца ўразлівасцю, якая існуе ў больш старой версіі. Аднак утойванне вашай версіі WordPress не мае ніякай карысці. Ёсць некалькі спосабаў вызначыць версію WordPress вэб-сайта: праверка знешняга кода сайта, праверка RSS-канала і т. д. Між іншым, усе яны з'яўляюцца законнымі.

Спосаб барацьбы з уразлівасцямі WordPress у больш старых версіях - абнаўляць вашу версію да апошняй. Многія адміністратары вэб-сайтаў асцерагаюцца, што абнаўленне працавальнага сайта можа прывесці да паломкі. Таму лепш спачатку зрабіць гэта на тэставым сайце.

Што рабіць, калі ваш сайт узламаны?

Што рабіць, калі сайт быў узламаны?

Калі ваш сайт нядаўна быў узламаны, для вас яшчэ важней быць лімітава ўважлівым да бяспекі вашага сайта. Калі не зрабіць гэта правільна, гэта можа прывесці да неаднаразовага ўзлому сайта, і ўся сітуацыя ператворыцца ў поўны кашмар.

  1. Спачатку ачысціце шкоднаснае ПЗ: выкарыстоўвайце добры плягін бяспекі, для аўтаматычнага выдалення шкоднаснага ПЗ без следу.
  2. Абнаўляйце ўсё: як я ўжо казаў, абнаўленні праграмнага забеспячэння жыццёва важныя. Пераканайцеся, што ў вас устаноўлены апошнія версіі WordPress, тым і плагінаў. Калі вы гэтага не зробіце, ёсць вялікая верагоднасць, што менавіта з гэтай прычыны ваш сайт быў узламаны ў першую чаргу.
  3. Праглядзіце кожнага карыстальніка-адміністратара: уважліва вывучыце кожны ўліковы запіс адміністратара. Мы ўжо казалі пра гэта ў гэтым артыкуле, але хакеры ствараюць уліковыя запісы адміністратара, каб аднавіць доступ да ўзламанага вэб-сайта ў выпадку выяўлення шкоднаснага ПЗ.
  4. Змяніце ўсе паролі. Выкажам здагадку, што вашы ўліковыя дадзеныя былі скампраметаваныя, зменіце паролі. Спадзяюся, вы не выкарыстоўваеце адзін і той жа пароль для розных прадуктаў і паслуг, у адваротным выпадку вам таксама варта змяніць і астатнія паролі.
  5. Змяніць уліковыя дадзеныя БД (калі магчыма): файл wp-config.php змяшчае ўліковыя дадзеныя, якія сайт WordPress выкарыстоўвае для падлучэння да базы дадзеных сайта. У шматлікіх выпадках доступ да базы дадзеных абмежаваны, нават калі ўліковыя дадзеныя БД скампраметаваныя. Аднак на некаторых хастах хакеры могуць выкарыстоўваць гэтую інфармацыю для прамой змены базы дадзеных. Гэта можа прывесці да паўторнага заражэння сайта.
  6. Змяніць ключы бяспекі: WordPress выкарыстоўвае ключы бяспекі для кіравання сеансамі для зарэгістраваных карыстальнікаў.
  7. Наладзьце брандмаўэр WordPress: я ўжо падрабязна разгледзеў гэта ў гэтым артыкуле. Брандмаўэр WordPress - ваша лепшая абарона ад шкоднасных ботаў і дрэннага трафіку.

All In One WP Security & Firewall - бяспека сайта на WordPress

Убудова бяспекі для WordPress All In One WP Security Firewall.Коратка: Самы просты спосаб абараніць свой сайт - усталяваць убудову які ўзмацняе бяспеку сайта да прыкладу: All In One WP Security & Firewall - комплексны падыход, просты ў выкарыстанні, стабільная і добра падтрымліваемая ўбудова для бяспекі WordPress.
All In One WP Security & Firewall мае наступны функцыянал:

All In One WP Security & Firewall увесь час падтрымліваецца.

1. Бяспека уліковых запісаў карыстальнікаў

  • Вызначыце, ці існуе ўліковы запіс карыстальніка з імем карыстальніка "admin" па змаўчанні, і лёгка зменіце імя карыстальніка на значэнне па вашым выбары.
  • Убудова таксама выявіць, ці ёсць у вас уліковыя запісы карыстачоў WordPress з аднолькавымі лагінамі і якія адлюстроўваюцца імёнамі. Наяўнасць уліковага запісу, у якой якое адлюстроўваецца імя ідэнтычна імя для ўваходу, з'яўляецца дрэннай практыкай бяспекі, таму што вы ствараеце для хакераў уваход, ужо гатовы на 50%, бо яны ўжо ведаюць імя для ўваходу.
  • Інструмент надзейнасці пароля, які дазваляе ствараць вельмі надзейныя паролі.
  • Спыніць пералік карыстальнікаў. Такім чынам, карыстачы/боты не могуць выявіць інфармацыю аб карыстачу праз сталую спасылку аўтара.

2. Бяспека ўваходу для карыстальніка

  • Абараніцеся ад "Brute Force Login Attack"(атакі грубай сілы) з дапамогай функцыі блакавання ўваходу. Карыстальнікі з пэўным IP-адрасам або дыяпазонам будуць заблакаваныя ў сістэме на загадзя вызначаны перыяд часу ў залежнасці ад налад канфігурацыі, і вы таксама можаце атрымліваць апавяшчэнні.
    па электроннай пошце кожны раз, калі хтосьці блакуецца з-за занадта вялікай колькасці спроб уваходу ў сістэму.
  • Як адміністратар вы можаце прагледзець спіс усіх заблакаваных карыстальнікаў, які адлюстроўваецца ў лёгка чытанай і зручнай для навігацыі табліцы, якая таксама дазваляе вам разблакаваць асобныя або групавыя IP-адрасы адным націскам кнопкі.
  • Прымусовае выйсце ўсіх карыстальнікаў праз наладжвальны перыяд часу.
  • Адсочванне/прагляд няўдалых спроб уваходу ў сістэму, якія паказваюць IP-адрас карыстальніка, ідэнтыфікатар карыстальніка/імя карыстальніка і дату/час няўдалай спробы ўваходу ў сістэму.
  • Адсочвайце/праглядайце актыўнасць уліковых запісаў усіх уліковых запісаў карыстальнікаў у вашай сістэме, адсочваючы імя карыстальніка, IP-адрас, дату/час уваходу і дату/час выхаду з сістэмы.
  • Магчымасць аўтаматычна блакаваць дыяпазоны IP-адрасоў, якія спрабуюць увайсці ў сістэму з недапушчальным імем карыстальніка.
  • Магчымасць убачыць спіс усіх карыстальнікаў, якія ў дадзены момант увайшлі на ваш сайт.
  • Дазваляе пазначыць адзін або некалькі IP-адрасоў у спецыяльным белым спісе. IP-адрасы з белага спісу будуць мець доступ да вашай старонцы ўваходу ў WP.
  • Дадайце Google reCaptcha або простую матэматычную капчу ў форму ўваходу ў WordPress.
  • Дадайце Google reCaptcha або простую матэматычную капчу ў форму забытага пароля вашай сістэмы ўваходу ў WP.

3. Бяспека рэгістрацыі карыстальнікаў

  • Уключыце ручное пацверджанне уліковых запісаў карыстальнікаў WordPress. Калі ваш сайт дазваляе людзям ствараць свае ўласныя ўліковыя запісы праз рэгістрацыйную форму WordPress, вы можаце звесці да мінімуму СПАМ або фіктыўныя рэгістрацыі, пацвярджаючы кожную рэгістрацыю ўручную.
  • Магчымасць дадаць Google reCaptcha або простую матэматычную капчу на старонку рэгістрацыі карыстальніка WordPress, каб абараніць вас ад спам-рэгістрацыі карыстальніка.
  • Магчымасць дадаць Honeypot у форму рэгістрацыі карыстальніка WordPress, каб паменшыць колькасць спроб рэгістрацыі з боку робатаў.

4. Абарона Базы дадзеных WordPress

  • Лёгка ўсталюеце прэфікс WP па змаўчанні на значэнне па вашаму выбару адным націскам кнопкі.
  • Заплануйце аўтаматычнае рэзервовае капіраванне і апавяшчэння па электроннай пошце або зрабіце імгненнае рэзервовае капіраванне БД ў любы час адной пстрычкай мышы.

5. Бяспека файлавай сістэмы сайта на WordPress

  • Вызначыце файлы ці тэчкі з небяспечнымі наладамі дазволаў і ўсталюеце дазволы на рэкамендуемыя бяспечныя значэнні адным націскам кнопкі.
  • Абараніце свой PHP-код, адключыўшы рэдагаванне файлаў у вобласці адміністравання WordPress.
  • Лёгка праглядайце і адсочвайце ўсе часопісы хост-сістэмы з адной старонкі меню і будзьце ў курсе любых праблем ці праблем, якія ўзнікаюць на вашым серверы, каб вы маглі хутка іх вырашыць.
  • Забараніце людзям доступ да файлаў readme.html, license.txt і wp-config-sample.php вашага сайта WordPress.

6. Рэзервовае капіраванне і аднаўленне файлаў htaccess і wp-config.php

  • Лёгка стварайце рэзервовыя копіі зыходных файлаў .htaccess і wp-config.php на выпадак, калі яны спатрэбяцца вам для аднаўлення парушанай функцыянальнасці.
  • Змяніце змесціва бягучых актыўных файлаў .htaccess або wp-config.php з панэлі адміністратара ўсяго за некалькі клікаў.

7. Функцыянальнасць чорнага спісу

  • Заблакуйце карыстачоў, паказаўшы IP-адрасы або выкарыстоўвайце подстановочный знак для ўказання дыяпазонаў IP-адрасоў.
  • Забараніць карыстальнікаў, паказаўшы карыстацкія агенты.

8. Функцыянальнасць брандмаўэра

Гэты убудова дазваляе вам лёгка дадаць шматлікіх элементаў абароны брандмаўэра на ваш сайт праз файл htaccess. Файл htaccess апрацоўваецца вашым вэб-серверам раней за любы іншы код на вашым сайце.
Такім чынам, гэтыя правілы брандмаўэра спыняць шкоднасны скрыпт(ы) да таго, як ён атрымае шанец дабрацца да кода WordPress на вашым сайце.

  • Аб'ект кантролю доступу.
  • Імгненна актывуйце набор налад брандмаўэра, пачынальна ад базавых, прамежкавых і пашыраных.
  • Уключыце знакамітыя правілы брандмаўэра "6G Blacklist", ласкава прадстаўленыя Perishable Press.
  • Забараніць размяшчэнне каментароў праз проксі.
  • Заблакаваць доступ да файла часопіса адладкі.
  • Адключыце трасіроўку і адсочванне.
  • Забараніць няправільныя або шкоднасныя радкі запыту.
  • Абараніце сябе ад міжсайтавага скрыптынгу (XSS), актываваўшы комплексны пашыраны фільтр сімвальных радкоў.
    ці шкоднасныя боты, у якіх у браўзэры няма адмысловага файла cookie. Вы (адміністратар сайта) будзеце ведаць, як усталяваць гэты спецыяльны файл cookie, і зможаце ўвайсці на свой сайт.
  • Функцыя абароны ад уразлівасцяў WordPress PingBack. Гэтая функцыя брандмаўэра дазваляе карыстачу забараніць доступ да файла xmlrpc.php для абароны ад вызначаных уразлівасцяў у функцыі праверкі сувязі. Гэта таксама карысна для блакавання ботаў ад сталага доступу да файла xmlrpc.php і марнаванні рэсурсаў вашага сервера.
  • Магчымасць блакаваць фальшывых робатаў Google ад сканавання вашага сайта.
  • Магчымасць прадухіліць хотлінкінг малюнкаў. Выкарыстоўвайце гэта, каб іншыя не маглі звязваць вашыя выявы па гарачых спасылках.
  • Магчымасць рэгістрацыі ўсіх падзей 404 на вашым сайце. Вы таксама можаце аўтаматычна блакаваць IP-адрасы, якія атрымліваюць занадта шмат памылак 404.
  • Магчымасць дадаваць уласныя правілы для блакавання доступу да розных рэсурсаў вашага сайта.

9. Прадухіленне нападу грубай сілы пры ўваходзе ў сістэму

  • Імгненна блакуйце напады грубай сілы з дапамогай нашай спецыяльнай функцыі прадухілення грубай сілы ўваходу на аснове файлаў cookie. Гэтая функцыя брандмаўэра блакуе ўсе спробы ўваходу ў сістэму ад людзей і робатаў.
  • Магчымасць дадаць простую матэматычную капчу ў форму ўваходу ў WordPress для абароны ад нападаў метадам грубіянскай сілы.
  • Магчымасць схаваць старонку ўваходу адміністратара. Перайменуйце URL-адрас старонкі ўваходу ў WordPress, каб боты і хакеры не маглі атрымаць доступ да вашага рэальнага URL-адрасу ўваходу ў WordPress. Гэтая функцыя дазваляе вам змяніць старонку ўваходу па змаўчанні (wp-login.php) на тое, што вы наладзіце.
  • Магчымасць выкарыстоўваць Login Honeypot, які дапаможа паменшыць колькасць спроб уваходу ў сістэму з дапамогай грубіянскай сілы з боку робатаў.

10. Сканар бяспекі файлаў сайта

  • Сканар выяўлення змен файлаў можа папярэдзіць вас, калі якія-небудзь файлы былі змененыя ў вашай сістэме WordPress. Затым вы можаце даследаваць і паглядзець, ці было гэта законным змяненнем ці быў уведзены нейкі дрэнны код.

11. Каментарый Абарона ад спаму

  • Адсочвайце найболей актыўныя IP-адрасы, якія стала вырабляюць найвялікую колькасць спам-каментароў, і імгненна блакуйце іх адным націскам кнопкі.
  • Прадухіліць адпраўку каментароў, калі яны зыходзяць не ад вашага дамена (гэта павінна скараціць колькасць каментароў, якія размяшчаюцца ботамі для спаму на вашым сайце).
  • Дадайце капчу ў форму каментара WordPress, каб узмацніць абарону ад спаму ў каментарах.
  • Аўтаматычна і назаўжды блакаваць IP-адрасы, якія перавысілі пэўную колькасць каментароў, пазначаных як СПАМ.

12. Франтальная абарона ад капіявання тэксту

  • Магчымасць адключыць пстрычка правай кнопкай мышы, выбар тэксту і опцыю капіявання для вашага знешняга інтэрфейсу.

13. Дадатковыя магчымасці плагіна

  • Магчымасць выдаліць метаінфармацыю генератара WordPress з зыходнага кода HTML вашага сайта.
  • Магчымасць выдаліць інфармацыю аб версіі WordPress з файлаў JS і CSS вашага сайта.
  • Магчымасць забараніць людзям доступ да файлаў readme.html, license.txt і wp-config-sample.php.
  • Магчымасць часова заблакаваць перадпакой частка вашага сайта ад звычайных наведвальнікаў, пакуль вы выконваеце розныя ўнутраныя задачы (расследаванне нападаў на бяспеку сайта, выкананне абнаўленняў сайта, тэхнічнае абслугоўванне і т. д.)
  • Магчымасць экспарту/імпарту настроек бяспекі.
  • Забараніце іншым сайтам адлюстроўваць ваш кантэнт праз фрэйм ці iframe.

Ён ідэальна падыходзіць для тых, у каго проста няма часу займацца бяспекай вэб-сайтаў. Проста ўсталюеце і забудзьцеся плягін. Але калі вы можаце дазволіць сабе дадатковы час для ўзмацнення бяспекі, я настойліва рэкамендую вам рэалізаваць усе вышэйпералічаныя меры.

Выснова

Я пачаў гэты артыкул аб тым, як абараніць вэб-сайт з выразнага паказальніка: першы крок - правільна прадумаць бяспеку сайта. Гэта бесперапынны працэс. Добрай стандартнай практыкай у любой арганізацыі з'яўляецца правядзенне перыядычных аўдытаў, якія дазваляюць максімальна кантраляваць бяспеку сайта. Ландшафт пагроз увесь час змяняецца, і хакеры знойдуць больш творчыя спосабы пераадолення абароны. Эксперты па бяспецы захоўваюць пастаянную пільнасць, і гэта галоўная выснова з усяго: не расслабляйцеся.

Дзякуй, што чытаеш Nicola Top

Наколькі публікацыя карысная?

Націсніце на смайлік, каб ацаніць!

Сярэдняя адзнака 4.9 / 5. Колькасць адзнак: 50

Ацэнак пакуль няма. Пастаўце адзнаку першым.

Вам таксама можа спадабацца...

2 Responses

  1. Евгений кажа:
    10.08.2022 у 02:46

    Я ў першыя бачу, такі доўгі артыкул. Рэспект аўтару сайта, гэта ж колькі часу вы патрацілі на яе? Выдатнае кіраўніцтва, якія апісваюць усе практычна ўсе аспекты па абароне і забеспячэнні бяспекі сайта. Ужо некаторы час чытаю ваш блог. Дзякуй вам, вельмі шмат карысных матэрыялаў.

    Адказаць

Пакінуць адказ

Ваш адрас электроннай пошты не будзе апублікаваны. Неабходныя палі пазначаны як *

6 − адзін =