Kuidas saiti kaitsta? Veebisaidi turvajuhend
· Время на чтение: 24мин · kõrval · Avaldatud · UuendatudVeebisaidi turvalisus ehk kuidas veebisaiti kaitsta? Mõned häkkimised juhtuvad täiesti naeruväärsetel põhjustel: enneaegsed värskendused, nõrgad paroolid jne. Selles olulises veebisaidi turvajuhendis näitan teile, kuidas veebisaiti kaitsta.
- Isegi kui... olete veebisaidi turvalisuse vallas uus ja ei saa päris täpselt aru, mida see tähendab;
- Isegi kui… olete proovinud oma saiti varem turvata, kuid see pole õnnestunud;
- Isegi kui… olete põhitööst rabatud ega tea, kust alustada;
- Isegi kui... sa arvad: "Ma ei sobi häkkeritega - miks siis proovida midagi teha?"
Kuid mis veelgi olulisem, räägin sellest, kuidas me hakkame üldse mõtlema oma veebisaitide turvalisusele. Nii on teil kõik tööriistad, mida vajate oma saidi jaoks õigete (turva)otsuste tegemiseks. Seal on nii palju teavet kui võimalik, valage endale tass teed või kohvi ja valmistuge.
Artikli sisu:
- Mis on saidi turvalisus?
- Miks on veebisaidi turvalisus oluline?
- Kuidas kaitsta oma saiti häkkerite eest? (Tõhusad sammud)
- Head veebisaidi turvatavad
- Mida peaksite oma veebisaidi kaitsmisel vältima?
- Mida teha, kui teie sait on häkitud?
- Kõik ühes WP turvalisus ja tulemüür – WordPressi saidi turvalisus
- Väljund
Mis on saidi turvalisus?
Kuigi on tore, et võtate oma veebisaidi kaitsmiseks mõned sammud. Peate mõistma, et saidi turvalisus on pidev protsess, mis nõuab teilt perioodilist tähelepanu. Häkkerid on loomingulised inimesed, mistõttu ohud arenevad pidevalt.
Saidi turvalisus on plaan kaitsta teie veebisaiti ja kasutajaid häkkerite ja nende pahavara eest. See hõlmab teie veebisaidi komponentide mõistmist, nende koos töötamist ja nende turvaauke.
Kui see alus on paigas, peate koostama tervikliku turvaplaani, et kaitsta haavatavust. See hõlmab mitmeid konfiguratsioonietappe, poliitikate rakendamist ja ohuteabe ajakohastamist.
Veebisaidi turvalisuse võti on mõista, et see ei ole ühekordne asi. Turvalisus areneb, sest ohud arenevad.
Allolevast artiklist näete, et hea turbeplugin teeb suurema osa pahavaraga seotud raskest tööst, kuid ettevaatlik ja valvsus on see, mis hoiab veebisaidi esmajoones turvalisena.
Miks on veebisaidi turvalisus oluline?
WordPressi kasutavad miljonid inimesed, seega on see tõenäoliselt ohutu, eks? Jah ja ei.
— Jah, kuna WordPressi põhifailid on kaitstud ja isegi kui leitakse haavatavus, parandatakse see väga kiiresti.
- Ei, sest teie sait pole ainult WordPressi tuum. See on pluginate ja teemade kombinatsioon, mis aitab muuta teie saidi funktsionaalsemaks, interaktiivsemaks ja atraktiivsemaks. Need pistikprogrammid ja teemad täiustavad WordPressi funktsionaalsust, kuid suurendavad ka haavatavust. Head pistikprogrammide arendajad parandavad haavatavused kiiresti. Kuid sellega seoses on oht palju suurem.
Kuidas kaitsta oma saiti häkkerite eest? Tegevusetapid
Veebisaidi kaitsmiseks tõhusa plaani loomiseks on esimene samm mõista, kuidas veebisaite häkitakse. Järgmise uuringu kohaselt häkitakse veebisaite peamiselt kolmel viisil:
- 90+% – haavatavus WordPressi pistikprogrammis või teemas.
- 5+% – rikutud kasutajanimi ja/või parool.
- <1% – kehvad veebimajutusteenused.
See jaotus peaks olema aluseks sellele, kuidas kavatsete oma saiti kaitsta ning kuhu peaksite eraldama rohkem aega ja ressursse.
1. Kaitske oma saiti haavatavuste eest
Häkkerid otsivad pidevalt haavatavaid veebisaite. Pole vahet, kas sait on suur või väike. Neil on peaaegu iga veebisaidi häkkimisest palju eeliseid. Meie kogemuse kohaselt on enam kui 90% kõigist rikkumistest tingitud sellest, et häkkerid avastavad ja kasutavad haavatavust.
Vaatame lähemalt, mis on haavatavused. Seda on väga oluline mõista, et saaksid edaspidi oma veebisaidi turvastrateegiat teadlikult kujundada.
Mis on haavatavus?
Teie veebisait koosneb kolmest põhikomponendist: WordPress, pistikprogrammid ja teemad. Põhimõtteliselt on see kõik tarkvara ja nagu iga tarkvara, sisaldab see vigu, mis mõnikord põhjustavad selle krahhi.
Vigadel võivad olla mitmesugused tagajärjed: mõned neist aeglustavad teie veebisaiti või põhjustavad tõrke, kui keegi seda külastab. See on tüütu ja problemaatiline, kuid tõsisemad need võimaldavad volitamata kasutajatel (näiteks häkkeritel) teie veebisaidile juurdepääsu saada. Sellist viga nimetatakse haavatavaks.
Turvaaukude tüübid
Turvaauke võib kirjeldada, nagu tegime eelmises lõigus, koodi vigadena. Siiski on mõned spetsiifilised tüübid, mis esinevad sagedamini kui teised:
- Aegunud tarkvara: oluline on hoida tuum, pistikprogrammid ja teemad ajakohasena;
- Halb kasutajarollide haldamine: ärge andke igale kasutajale täielikku administraatorijuurdepääsu;
- Desinfitseerimata sisendid: sisestusväljad peavad enne salvestamist ja/või käivitamist sisendi kinnitama.
Võimalikud häkkimised turvamata veebisaidil
Haavatavused on tihedalt seotud nende poolt lubatud rünnete tüüpidega ja neid nimetatakse sageli vaheldumisi. Kõige tavalisemad rünnakud, millega WordPress silmitsi seisab, on järgmised:
- Koodi süstimine: kui pahatahtlik kood sisestatakse sisestusväljade kaudu ja käivitatakse veebisaidi koodi või andmebaasi kaudu. Levinud koodisüstimise SQL-i süstimise variant, mis on eriti äge andmebaasipõhiste rakenduste jaoks, nagu WordPress.
- Saidiülesed skriptirünnakud: seda tüüpi haavatavus varastab kasutajate küpsiseid, et esineda nendena või isegi seansi kaaperdada. Seejärel kasutatakse sihtkasutaja juurdepääsu teie saidi ründamiseks.
- Jõhja jõu rünnakud: Nagu nimigi ütleb, pole seda tüüpi rünnakute jaoks ühtegi nippi. Häkker pommitab teie sisselogimislehte kasutajanime/parooli kombinatsioonidega, püüdes leida õiget.
- SEO rämpspostV: Igasugune rämpspost on tõsine, kuid see rünnak tabab seda, mis veebisaidile kõige rohkem haiget teeb: SEO. Veebisaitide omanikud raiskavad ressursse oma SEO kallal, ainult selleks, et häkker saaks liigselt eeliseid kasutada, lisades hüpikaknaid ja linke ebaseaduslikele või hallidele kaupadele. SEO rämpspostirünnakuid on samuti raske tuvastada ja sageli kogevad veebisaidid rämpsposti halba mõju enne, kui nad saavad aru, et nad on nakatunud.
- Andmepüügirünnakud: nende rünnakute puhul üritab häkker esineda seadusliku isikuna, et meelitada kasutajat oma teavet vabatahtlikult üle andma. Andmepüük toimib nende mandaatide saamiseks koos e-posti ja häkitud veebisaidiga.
Mis on haavatavuse mõju?
Pluginad ja teemad on installitud mitmele tuhandele saidile, nii et selle ühe vea mõju mitmekordistub. Vastutustundlikud pistikprogrammide ja teemade arendajad püüavad värskendusi välja anda oma toodetes turvaauke sulgeda.
Tegelikult on see peamine põhjus, miks soovitatakse võimaluse korral valida esmaklassilised pistikprogrammid. Veebisaidi turvastrateegias tuleks pöörata maksimaalset tähelepanu regulaarsele tarkvarahooldusele. Suurepärane, see tähendab, et viga on parandatud. Oleme nüüd kaitstud, eks? No mitte päris. Haavatavuse avastamine on saidiomanike jaoks ohtlik aeg.
Mis juhtub, kui haavatavus avastatakse?
Veebisaitide turvalisuse uurijad avastavad sageli haavatavusi. Nad teatavad oma leidudest pistikprogrammile või teema arendajale. Nagu eelmises jaotises ütlesime, püüavad vastutavad arendajad probleemi lahendada ja värskenduse välja anda.
Kui haavatavus on parandatud, avaldab saidi turvateadlane oma leiud. Arendaja andis veebisaitide turvalisuse tagamiseks välja paranduse, eks? Mitte päris.
Häkkerid loevad ka haavatavuse kohta ja otsivad veebisaite, mis pole oma versioone värskendanud. Avalikud haavatavused kipuvad meeldima hakkajatele häkkeritele (tuntud ka kui skriptilapsed), sest nad saavad nüüd hõlpsalt veebisaite kasutada. Nad teavad täpselt, kus nende sihtmärk on.
Mida tuleks teha saidi kaitsmiseks haavatavuste eest?
Nüüd räägin konkreetsetest sammudest, mida saate teha oma veebisaidi turvaliseks ja häkkerite eest kaitsmiseks. Need sammud võivad tunduda lihtsad, kuid need on tõhusad viisid saidi turvalisuse tagamiseks.
1. Tehke varukoopiaid
Varukoopiad on saidi turvastrateegia kõige alahinnatud osa. Ma ei saa piisavalt rõhutada regulaarsete varukoopiate olulisust. Need on teie turvavõrk, ainus asi, millele saate loota, kui asjad lähevad valesti. Varukoopiad aitavad teil saidi kiiresti normaalseks muuta.
2. Värskendage pistikprogramme ja teemasid
See võib tunduda väga ilmne, eriti kui olete lugenud eelmist jaotist värskenduste tähtsuse kohta. Siiski on väga lihtne eirata armatuurlaual olevat punast teadet ja asuda millegi kiireloomulisema juurde.
Seetõttu kordan. Pistikprogrammide arendajad annavad selleks välja värskendusi koos turvaparandustega. Isegi kui otsustate värskenduste installimisega edasi lükata, värskendage pistikprogrammi hiljem, vähemalt pärast väljalaskemärkmete lugemist.
3. Valige hea kvaliteediga pistikprogrammid ja teemad
On ebatõenäoline, et kunagi ilmub täiesti usaldusväärne tarkvara, oma veebisaidi jaoks õigete pistikprogrammide ja teemade valimisel tuleb arvestada peamiste teguritega:
- Pluginat uuendatakse regulaarseltV: Pistikprogramm või teema, mida selle arendaja pidevalt hooldab, saab haavatavuse avastamisel suurema tõenäosusega turvapaiga.
- Kas pistikprogramm on populaarne?? See on kahe teraga mõõk. Populaarne miljonite installidega pistikprogramm on häkkerite sihikule. Kuid sellised pistikprogrammid kipuvad olema ka turvalisemad, kuna neid juhivad palju rohkem arendajaid.
- Kas see on esmaklassiline pistikprogrammV: Tasulised pluginad toetavad arendajate tööd ja on seetõttu palju väiksema tõenäosusega hüljatud kui tasuta pistikprogrammid. See ei tähenda, et avatud lähtekoodiga tarkvara pole kunagi turvaline, kuid esmaklassilise toote puhul maksate klienditoe ja tootekvaliteedi eest.
- Ärge kunagi installige nullitud pistikprogramme ja teemasidV: Saadaolev esmaklassiline tasuta tarkvara on mitmel tasandil problemaatiline. Nullitud tarkvara sisaldab sageli pahavara või tagauksi, mis pärast installimist võimaldavad häkkeritel juurdepääsu teie veebisaidile.
4. Kasutage tulemüüri
Ei ole usaldusväärset viisi, kuidas peatada häkkerite või nende robotite ründamine teie sarnaseid veebisaite. Kuid tulemüüri installimisega saate seda võimalust oluliselt vähendada.
2. Kaitske oma kasutajanime ja parooli
Umbes 6% häkitud veebisaitidest olid nõrkade paroolide tõttu rünnakute suhtes haavatavad. Võrreldes otsese pahatahtliku tegevusega võib see tunduda väike arv, kuid see on siiski piisavalt märkimisväärne, et teie tähelepanu äratada.
Saidi administraatori parooli kaotamine on nagu korteri- või autovõtmete kaotamine. Võtmega on vargal täielik kontroll teie väärtusliku vara üle. Samamoodi on häkkeritel parooliga täielik juurdepääs teie saidile ja selle teabele. Praegu ei suuda isegi tulemüür ega turbeplugin takistada häkkereid teie saiti kahjustamast.
Tugevate paroolide vajadust propageeritakse endiselt aktiivselt, kuid sellega kaasnevate raskuste tõttu eiravad veebisaidi kasutajad seda sageli. Enne kui hakkan tutvuma hea maine saavutamise mehhanismidega, vastame mõnele levinumale küsimusele, mida inimestel nende kohta tekib.
Kuidas saab parooli varastada?
Vastus võib tulla üllatusena: häkker üritab parooli ära arvata. Selle all pean silmas, et nad proovivad käsitsi erinevaid paroole, aga selleks on robotid. Seda tuntakse ka kui jõhkra jõu rünnakut või kui bot arvab sõnad ära, siis sõnaraamatu rünnakuna.
Need rünnakud toimivad väga hästi mitmel põhjusel.:
- Lihtne ära arvata paroole: levinud sõnad, lühikesed sõnad, sõna "parool" ise erinevates kombinatsioonides.
- Andmed varasematest häkkidest: On põhjus, miks inimesed soovitavad erinevate teenuste ja saitide jaoks kasutada erinevaid paroole.
Kuidas kaitsta end paroolivarguse eest
1. Kasutage tugevat parooli – tugevate paroolide puhul kasutatakse juhuslikku tähtede, numbrite ja sümbolite kombinatsiooni, kuna neid on raske lahti murda. Häkkerirobotidel võib õige parooli leidmine võtta aastaid. Võite proovida luua tugeva parooli ise või kasutada parooligeneraatorit.
2. Piirake sisselogimiskatsete arvu – hea viis jõhkra jõuga rünnaku vältimiseks on sissetungijate blokeerimine pärast mitut ebaõnnestunud sisselogimiskatset. See on tõhus mehhanism, kuna seda tüüpi rünnak seisneb selles, et häkkerirobotid proovivad korduvalt erinevaid paroole.
3. Rakendage kahefaktorilist autentimist – mõned teenused kasutavad sisselogimisprotsessi ajal kahefaktorilist autentimist, mis sisuliselt tähendab, et kontole juurdepääsuks peab teil olema kaks (ideaaljuhul) eraldi luba. Enamasti on see kombinatsioon paroolidest ja aegumismärgist (nt PIN-kood või QR-kood), mis saadetakse teie meilile või seadmele.
4. Rakendage CAPTCHA kaitse – CAPTCHA-sid saavad lahendada ainult inimesed. Need on loodud selleks, et takistada häkkerirobotidel kontole juurdepääsu. Saate seda kasutada oma saidi kaitsmiseks.
5. Kasutage tulemüüri – mõned veebisaidi turvatulemüürid jälgivad ka pahatahtlikke IP-aadresse globaalselt. Tulemüür õpib kõikidel saitidel, kuhu pistikprogramm on installitud. Seejärel blokeerib see automaatselt halvad IP-d, enne kui nad proovivad teie parooli murda. See koos sisselogimiste piiramise võimalusega võib kaitsta teie saiti häkkerite eest, kes üritavad tungida teie saidi administraatorialasse.
3. Valige hea hosting pakkuja
Kõiges, mis veebisaidiga valesti läheb, kiputakse süüdistama veebimajutajat. Kuigi veebimajutajad vastutavad tavaliselt veebisaidi paljude aspektide eest, on nad veebisaidi häkkimisel harva süüdi. Tegelikult on üldiselt vastupidi: veebimajutajad parandavad veebisaitide turvalisust.
Muidugi on mõned veebimajutajad, mis mängivad oma serveris hostitud veebisaitide ohtu seadmisel. Seda juhtub harva, kuid kui see juhtub, on tegemist suure intsidendiga, mis seab ohtu tuhanded veebisaidid.
4. Installige SSL-sertifikaat
Secure Sockets Layer, paremini tuntud kui SSL, on turvaprotokoll, mis krüpteerib kõik veebisaidiga ühendused. Pärast installimist kuvatakse see tabalukuna teie saidi URL-i alguses.
SSL-sertifikaadi kasutamise eelised on järgmised:
- Kõik teie veebisaidile ja veebisaidilt edastatavad andmed on krüpteeritud.
- See on märk usaldusest teie saidi vastu. Tegelikult märgib enamik brausereid mitte-SSL-saite aadressiribale kui "Ebaturvaline".
- Google armastab SSL-sertifikaadiga veebisaite ja premeerib neid isegi kõrgema asetusega.
Head veebisaidi turvatavad
Nagu ma alguses ütlesin, on veebisaidi turvalisus pidev praktika. Selles jaotises loetlen ma tehnikaid, mida on kasulik lisada veebisaidi üldisesse turvastrateegiasse. Kui olete seda harjumuseks saanud, tasub teie väike aja- ja pingutusinvesteering turvalise veebisaidiga kordades ära.
1. Muutke oma parooli sageli — Ma saan aru, et raskesti äraarvatavate paroolide määramine on keeruline, eriti kuna need on sageli raskesti meeldejäävate paroolide sünonüümid. Võime ka ette kujutada ärevust, mida põhjustab meie suurepärast parooli korrapäraselt muutmine.
Põhjus on selles, et paroolid on turvalisuse nõrgim lüli, eriti kui kasutate samu paroole mitme konto jaoks. Isegi kui ühte saiti häkitakse, võite kindlalt eeldada, et kõik teie kontod on potentsiaalselt ohustatud. Tavaline võib erinevatele inimestele tähendada ka erinevaid asju. Mõned finantsasutused, näiteks pangad, nõuavad paroolide vahetamist iga 90 päeva tagant.
2. Kontrollige veebisaidi kasutajaid, jälgige uusi administraatorkasutajaid — häkkerid jätavad sageli administraatorikasutajad, et nad saidile tagasi pääseksid. Seetõttu võib administraatori kasutajate regulaarne kontrollimine veebisaidi turvalisust suurendada.
Teiseks võivad saidi kaasautorid muutuda. Kui kasutajal pole enam juurdepääsu vaja, on kõige parem tema juurdepääs saidile eemaldada. Põhjus on kahekordne:
- te ei soovi, et kasutaja teeks teie saidil muudatusi;
- nende passiivsed kontod võivad häkkerite poolt ohtu sattuda.
Aja jooksul, kui loome oma saiti uue sisu ja kujundusega, lisame oma saidile jätkuvalt uusi kasutajaid. Peaksite neid kasutajaid perioodiliselt kontrollima. Saate ise järgida turvareegleid, kuid teie saiti mõjutab mõni muu kasutaja. Kasutajate lisamisel andke neile võimalusel ainult nõutavad juurdepääsutasemed. Näiteks kui keegi kirjutab ainult artikleid, siis ärge andke talle administraatoriõigusi.
3. Seadistage oma saidil tegevuste logi Häkkerid ei kasuta veebisaidi muutmiseks põhilisi WordPressi API-sid, mistõttu paljud nende tehtud muudatused ei kajastu tegevuste logis. Siiski võivad nad jätta jälgi, näiteks luua saidile juurdepääsuks endale administraatorikontod. Need ootamatud tegevused võivad aidata rikkumist tuvastada. Ja vastupidi, kui muudatusi teeb kaasautor, võivad tegevuslogid aidata vältida asjatut paanikat, kui näete oma saidil tehtud muudatusi.
4. Blokeerige PHP kaustas Allalaadimised - Terve turvaaukude klass (täpsemalt koodi kaugtäitmine) võimaldab häkkeritel laadida üles kausta Üleslaadimised pahatahtlikke PHP-faile. Häkker saab seejärel kasutada seda teie saidil mis tahes koodi käivitamiseks. Teisisõnu, neil on teie saidi üle täielik kontroll.
Rünnakut saab tõhusalt leevendada, kui blokeerite PHP-failide täitmise kaustas Üleslaadimised. Ära muretse. PHP-failide blokeerimine kaustas Allalaadimised on ohutu, kuna neid ei tohiks seal üldse olla. Üleslaadimiste kaust on koht, kuhu salvestate oma meediumifailid, mitte skriptid.
Mida peaksite oma veebisaidi kaitsmisel vältima?
Kiire Google'i otsing annab teile saidi kaitsmiseks palju näpunäiteid ja strateegiaid. Mitmed turbepluginad pakuvad ka mitmeid võimalusi saidi kaitsmiseks paroolimurdjate eest. Oma veebisaidi kaitsmine on midagi, mida peaksite tegema, kuid mõningaid asju peaksite vältima.
Põhjused on iga punkti puhul, mida ma allpool käsitlen, erinevad, kuid sisuliselt peaksid teie meetmed pakkuma käegakatsutavat turvakasu, eriti kui palute kasutajatel ületada täiendavad turvatõkked. Näiteks kui kasutate nii captcha- kui ka kahefaktorilist autentimist, muutub saidile jõudmine keeruliseks ja sellest pole palju kasu.
Kõiki saadaolevaid valikuid rakendades saate täiendava kindlustunde, kuid tasuvusanalüüsi osas need joont ei lõika.
1. Peida wp sisselogimisleht - Seda näete paljudes foorumites: muutke wp-sisselogimisleht oma saidi URL-iks. Loogika on see, et kui häkkerid ei leia sisselogimislehte, ei saa nad teie saidile juurdepääsu saamiseks kasutada toore jõu rünnakuid. Sellel on mitmeid puudusi:
- WordPress võimaldab teil sisse logida ka XML-RPC abil.
- See muudab teie saidi kasutamise keeruliseks. Kui unustate spetsiaalse URL-i, mille lõite endale wp-logini asemel, võib sellest taastumine olla keeruline.
- Kui kasutate üldist URL-i või turvapistikprogrammiga kaasas olevat vaike-URL-i, on häkkeritel siiski lihtne ära arvata, mis teie eesmärgi täielikult nurjab.
- Selle lehe peitmine nõuab teie saidile keerukate seadete rakendamist, millel võib olla muid ootamatuid kõrvalmõjusid.
2. Geoblokeerimine Teine sageli soovitatav turvameede on geoblokeerimine. Te ei pruugi teatud riikidest seaduslikku liiklust vajada ega oodata ja seetõttu otsustate juurdepääsu piirata.
- Piirkondade IP-aadressid ei ole ideaalsed ja võivad sisaldada vigu.
- Kui blokeerite end kogemata, on seda raske tagasi võtta.
- Võite blokeerida head robotid, nagu Google, mis ei saa teie saiti kahjustada.
Hea tulemüür suudab ja kaitseb teie saiti pahatahtlike robotite ja soovimatu liikluse eest. Eelmises jaotises käsitlesin tulemüüride eeliseid.
3. Kaitske wp-admin kataloogi parooliga - Wp-admin kaust on teie saidi üks olulisemaid kaustu. Loomulikult äratab see häkkerite palju tähelepanu. Seetõttu võib selle parooliga kaitsmine tunduda geniaalne samm, kuid vastupidine.
Teie wp-admin kataloogi kaitsev parool rikub teie WordPressi veebisaidil AJAX-i funktsiooni. AJAX on kodeerimistehnika, mis laadib teie veebisaidi osad serverist alla ilma praegu kuvatavat lehte muutmata.
Kui see kõlab jaburana, tähendab see sisuliselt seda, et see muudab teie saidi dünaamiliseks ilma kasutajaid pidevalt uuesti laadimata, kui midagi muutub.
Mõelge oma sotsiaalmeedia voo sirvimisele. Uued lood või säutsud laaditakse siis, kui loed juba ekraanil olevaid lugusid ja säutse, ja saate oma uudistevoogu värskendada alati, kui soovite uut sisu laadida.
4. Peida WordPressi versioon - Teie WordPressi saidi versiooni peitmise loogika tuleneb turvavärskendustest. Kui teie veebisaidil ei käitata WordPressi uusimat versiooni, võib häkker kasutada vanemas versioonis olevat haavatavust. WordPressi versiooni peitmisest pole aga kasu. Veebisaidi WordPressi versiooni määramiseks on mitu võimalust: saidi välise koodi kontrollimine, RSS-kanali kontrollimine jne. Kõik need on muide legaalsed.
Vanemate versioonide WordPressi haavatavustega tegelemise viis on värskendada oma versioon uusimale. Paljud veebisaitide administraatorid kardavad, et aktiivse saidi värskendamine võib selle rikkuda. Seega on kõige parem teha seda esmalt katseplatsil.
Mida teha, kui teie sait on häkitud?
Kui teie saiti on hiljuti häkitud, on veelgi olulisem olla oma saidi turvalisuse suhtes äärmiselt tähelepanelik. Kui seda ei tehta õigesti, võib see kaasa tuua korduvaid saidi häkkimisi ja kogu olukord muutub täielikuks õudusunenäoks.
- Esmalt puhastage pahavaraV: Kasutage head turbepluginat, et pahavara automaatselt eemaldada ilma jälgi jätmata.
- Värskendage kõikeV: Nagu ma ütlesin, on tarkvaravärskendused üliolulised. Veenduge, et teil oleks installitud WordPressi uusimad versioonid, teemad ja pistikprogrammid. Kui te seda ei tee, on suur tõenäosus, et see on põhjus, miks teie saiti üldse häkiti.
- Vaadake iga administraatorist kasutajat: vaadake iga administraatori kontot hoolikalt. Oleme sellest selles artiklis juba rääkinud, kuid häkkerid loovad administraatorikontod, et taastada juurdepääs häkitud veebisaidile, kui leitakse pahavara.
- Muuda kõik paroolid. Oletame, et teie mandaati on rikutud, muutke oma paroole. Loodan, et te ei kasuta erinevate toodete ja teenuste jaoks sama parooli, vastasel juhul peaksite muutma ka ülejäänud paroolid.
- Muutke andmebaasi mandaate (kui võimalik): fail wp-config.php sisaldab mandaate, mida WordPressi sait kasutab saidi andmebaasiga ühenduse loomiseks. Paljudel juhtudel on juurdepääs andmebaasile piiratud isegi siis, kui andmebaasi mandaadid on ohus. Kuid mõnel hostil saavad häkkerid seda teavet andmebaasi otse muutmiseks kasutada. See võib põhjustada saidi uuesti nakatumist.
- Muutke turvavõtmeidV: WordPress kasutab registreeritud kasutajate seansside haldamiseks turvavõtmeid.
- Seadistage oma WordPressi tulemüür: Olen seda selles artiklis juba üksikasjalikult käsitlenud. WordPressi tulemüür on teie parim kaitse pahatahtlike robotite ja halva liikluse vastu.
Kõik ühes WP turvalisus ja tulemüür – WordPressi saidi turvalisus
Lühidalt: Lihtsaim viis oma saidi kaitsmiseks on installida saidi turbeplugin, näiteks: All In One WP Security & Firewall on kõikehõlmav, hõlpsasti kasutatav, stabiilne ja hästi hooldatud WordPressi turbeplugin.
Kõik ühes WP turva- ja tulemüüril on järgmised funktsioonid:
1. Kasutajakonto turvalisus
- Tehke kindlaks, kas vaikekasutajanimega "admin" on kasutajakonto olemas, ja muutke kasutajanimi hõlpsalt enda valitud väärtuseks.
- Samuti tuvastab pistikprogramm, kas teil on samade sisselogimiste ja kuvatavate nimedega WordPressi kasutajakontod. Konto omamine, millel on sisselogimisel sama kuvatav nimi, on halb turvapraktika, kuna loote häkkerite jaoks sisselogimise, mis on 50%-s juba valmis, kuna nad juba teavad sisselogimist.
- Paroolitugevuse tööriist, mis võimaldab luua väga tugevaid paroole.
- Lõpeta kasutajate loetlemine. Seega ei saa kasutajad/robotid kasutajateavet autori püsilingi kaudu avastada.
2. Kasutaja sisselogimise turvalisus
- Kaitske sisselogimise blokeerimise funktsiooniga "Jõhja jõu sisselogimise rünnaku" vastu. Konkreetse IP-aadressi või vahemikuga kasutajad keelatakse sõltuvalt konfiguratsiooniseadetest eelnevalt kindlaksmääratud ajaks süsteemist, samuti võite saada teateid.
meili teel, kui keegi on liiga paljude sisselogimiskatsete tõttu blokeeritud. - Administraatorina saate vaadata kõigi blokeeritud kasutajate loendit, mis kuvatakse lihtsalt loetavas ja hõlpsasti navigeeritavas tabelis, mis võimaldab ühe nupuvajutusega deblokeerida ka üksikuid või grupi IP-aadresse.
- Kõigi kasutajate sunniviisiline väljalogimine pärast konfigureeritavat ajavahemikku.
- Jälgi/vaata ebaõnnestunud sisselogimiskatseid, mis näitab kasutaja IP-aadressi, kasutajatunnust/kasutajanime ja nurjunud sisselogimiskatse kuupäeva/kellaaega.
- Jälgige/vaadake kõigi oma süsteemi kasutajakontode kontotegevust, jälgides kasutajanime, IP-aadressi, sisselogimise kuupäeva/kellaaega ja väljalogimise kuupäeva/kellaaega.
- Võimalus automaatselt blokeerida IP-aadresside vahemikud, mis proovivad sisse logida kehtetu kasutajanimega.
- Võimalus näha kõigi kasutajate loendit, kes on praegu teie saidile sisse logitud.
- Võimaldab määrata ühe või mitu IP-aadressi spetsiaalses valges loendis. Valgesse nimekirja kantud IP-del on juurdepääs teie WP sisselogimislehele.
- Lisage oma WordPressi sisselogimisvormile Google reCaptcha või lihtne matemaatiline captcha.
- Lisage oma WP sisselogimissüsteemi unustatud paroolivormile Google reCaptcha või lihtne matemaatiline captcha.
3. Kasutaja registreerimise turvalisus
- Lubage WordPressi kasutajakontode käsitsi kinnitamine. Kui teie sait võimaldab inimestel WordPressi registreerimisvormi kaudu oma kontosid luua, saate rämpsposti või võltsitud registreerimisi minimeerida, kinnitades iga registreerimise käsitsi.
- Võimalus lisada oma WordPressi kasutaja registreerimislehele Google reCaptcha või lihtne matemaatika captcha, et kaitsta teid rämpsposti kasutaja registreerimise eest.
- Võimalus lisada WordPressi kasutaja registreerimisvormi Honeypot, et vähendada robotite registreerimiskatsete arvu.
4. WordPressi andmebaasi kaitsmine
- Määrake WP vaikeprefiks lihtsalt ühe nupuvajutusega enda valitud väärtusele.
- Ajastage automaatseid varukoopiaid ja e-posti märguandeid või tehke kohesed DB-varukoopiad igal ajal vaid ühe klõpsuga.
5. WordPressi saidi failisüsteemi turvalisus
- Tuvastage ebaturvaliste lubade seadetega failid või kaustad ja määrake ühe nupuvajutusega õigused soovitatud turvalistele väärtustele.
- Kaitske oma PHP-koodi, keelates WordPressi administraatorialal faili redigeerimise.
- Saate hõlpsalt vaadata ja jälgida kõiki hostisüsteemi logisid ühelt menüülehelt ning olla kursis kõigi teie serveris ilmnevate probleemidega, et saaksite need kiiresti lahendada.
- Takistage inimestel juurdepääs teie WordPressi saidi failidele readme.html, licence.txt ja wp-config-sample.php.
6. Varundage ja taastage htaccess ja wp-config.php failid
- Varundage hõlpsalt oma algsed .htaccess- ja wp-config.php-failid juhuks, kui vajate neid katkiste funktsioonide taastamiseks.
- Muutke parajasti aktiivsete .htaccess- või wp-config.php-failide sisu administraatoripaneelilt vaid mõne klõpsuga.
7. Musta nimekirja funktsionaalsus
- Blokeerige kasutajad, määrates IP-aadressid, või kasutage IP-aadresside vahemike määramiseks metamärki.
- Keelake kasutajad, määrates kasutajaagendid.
8. Tulemüüri funktsionaalsus
See pistikprogramm võimaldab hõlpsasti lisada oma veebisaidile htaccess-faili kaudu palju tulemüüri kaitseelemente. Htaccess-faili töötleb teie veebiserver enne mis tahes muud koodi teie saidil.
Seega peatavad need tulemüürireeglid pahatahtliku(d) skripti(d) enne, kui see jõuab teie saidil olevale WordPressi koodile.
- Juurdepääsu kontrolli objekt.
- Aktiveerige koheselt tulemüüri seadete komplekt, mis ulatub põhi-, keskmisest ja täiustatud tasemest.
- Lubage kuulsad "6G musta nimekirja" tulemüürireeglid tänu Perishable Pressile.
- Keela puhverserveri kaudu kommentaaride postitamine.
- Blokeeri juurdepääs silumislogifailile.
- Keela jälgimine ja jälgimine.
- Keela kehtetud või pahatahtlikud päringustringid.
- Kaitske end saidiülese skriptimise (XSS) eest, aktiveerides kõikehõlmava täiustatud märgistringi filtri.
või pahatahtlikud robotid, mille brauseris pole spetsiaalset küpsist. Teie (saidi administraator) teate, kuidas seda spetsiaalset küpsist seadistada, ja saate oma saidile sisse logida. - WordPressi PingBacki haavatavuse kaitse funktsioon. See tulemüüri funktsioon võimaldab kasutajal keelata juurdepääsu failile xmlrpc.php, et kaitsta end pingifunktsiooni teatud haavatavuste eest. See on kasulik ka selleks, et blokeerida robotite pidev juurdepääs failile xmlrpc.php ja teie serveriressursside raiskamine.
- Võimalus blokeerida võlts-Googlebotid teie saidil roomamast.
- Võimalus takistada piltide kuumalinki. Kasutage seda, et takistada teistel teie pilte kuumalinkimast.
- Võimalus logida saidil kõik 404 sündmust. Samuti saate automaatselt blokeerida IP-aadressid, mis saavad liiga palju 404 vigu.
- Võimalus lisada oma reegleid, et blokeerida juurdepääs teie saidi erinevatele ressurssidele.
9. Vältige sisselogimisel brute force rünnakut
- Blokeerige jõhkra jõu rünnakud koheselt meie kohandatud küpsisepõhise sisselogimise jõhkra jõu vältimise funktsiooniga. See tulemüüri funktsioon blokeerib kõik inimeste ja robotite sisselogimiskatsed.
- Võimalus lisada WordPressi sisselogimisvormile lihtne matemaatiline captcha, et kaitsta jõhkra jõu rünnakute eest.
- Võimalus peita administraatori sisselogimisleht. Nimetage oma WordPressi sisselogimislehe URL ümber, et robotid ja häkkerid ei pääseks juurde teie tegelikule WordPressi sisselogimise URL-ile. See funktsioon võimaldab teil muuta vaikimisi sisselogimislehte (wp-login.php) millekski, mida kohandate.
- Võimalus kasutada Login Honeypoti, mis aitab robotite toore jõu abil sisselogimiskatsete arvu vähendada.
10. Veebisaidi faili turvaskanner
- Failimuutuste tuvastamise skanner võib teid hoiatada, kui teie WordPressi süsteemis on mõnda faili muudetud. Seejärel saate uurida ja näha, kas tegemist oli seadusliku muudatusega või on sisse viidud mõni halb kood.
11. Kommentaaride rämpspostikaitse
- Jälgige kõige aktiivsemaid IP-sid, mis toodavad pidevalt kõige rohkem rämpsposti kommentaare, ja blokeerige need ühe nupuvajutusega.
- Vältige kommentaaride saatmist, kui need ei ole pärit teie domeenist (see peaks vähendama teie saidile rämpspostirobotite postitatud kommentaaride arvu).
- Lisage oma WordPressi kommentaarivormile captcha, et parandada kaitset kommentaaride rämpsposti vastu.
- Blokeerige automaatselt ja jäädavalt IP-aadressid, mis ületavad teatud arvu rämpspostiks märgitud kommentaare.
12. Esikülje kopeerimiskaitse tekst
- Võimalus keelata oma kasutajaliidese jaoks paremklõps, teksti valik ja kopeerimine.
13. Plugina lisafunktsioonid
- Võimalus eemaldada oma saidi HTML-i lähtekoodist WordPressi generaatori metateave.
- Võimalus eemaldada saidi JS- ja CSS-failidest WordPressi versiooniteave.
- Võimalus takistada inimestel juurdepääsu failidele readme.html, litsents.txt ja wp-config-sample.php.
- Võimalus ajutiselt blokeerida oma saidi esikülg tavaliste külastajate eest, kui täidate erinevaid sisemisi ülesandeid (saidi turvarünnete uurimine, saidi värskendused, hooldus jne).
- Võimalus turvaseadeid eksportida / importida.
- Takistage teistel saitidel teie sisu kuvamist raami või iframe'i kaudu.
See on ideaalne neile, kellel pole lihtsalt aega veebisaidi turvalisusega tegeleda. Lihtsalt installige ja unusta pistikprogramm. Kuid kui saate oma turvalisuse tugevdamiseks lisaaega lubada, soovitan tungivalt rakendada kõiki ülaltoodud meetmeid.
Väljund
Alustasin seda artiklit veebisaidi kaitsmise kohta selge viitega: esimene samm on saidi turvalisuse parandamine. See on pidev protsess. Iga organisatsiooni hea tavapraktika on perioodiliste auditite läbiviimine, et võimaldada maksimaalset kontrolli saidi turvalisuse üle. Ohumaastik muutub pidevalt ja häkkerid leiavad loovamaid viise turvalisusest läbi murdmiseks. Turvaeksperdid on pidevalt valvsad ja see on kõige peamine järeldus: ärge lõõgastuge.
Seda artiklit lugedes:
- Mis vahe on pahavara ja viiruste vahel? (seletus)
- 10 olulist sammu oma veebisaidi turvalisuse parandamiseks
Täname lugemise eest: SEO HELPER | NICOLA.TOP
Esimest korda näen nii pikka artiklit. Respekt saidi autorile, kui palju aega sellele kulutasite? Suurepärane juhend, mis kirjeldab peaaegu kõiki saidi turvalisuse kaitsmise ja säilitamise aspekte. Olen su blogi juba mõnda aega lugenud. Aitäh, väga kasulik materjal.
Mitte vähe)) tänan, et lugesite mu blogi)