Hogyan lehet biztonságossá tenni egy webhelyet? Webhelybiztonsági útmutató

Megtekintések száma

407
nyomtatás · Время на чтение: 24мин · Автор: · Опубликовано · Обновлено

Hallgassa meg a cikketHallgassa meg ezt a cikket

Hogyan lehet biztonságossá tenni webhelyét? Használja a következő módszereket. A webhely biztonsága.

Weboldal biztonsága vagy a webhelyek védelme? Egyes feltörések teljesen nevetséges okokból történnek: idő előtti frissítések, gyenge jelszavak stb. Ebben az alapvető webhelybiztonsági útmutatóban megmutatom, hogyan védheti meg a webhelyet:

  • Még akkor is, ha… még nem ismeri a webhelyek biztonságát, és nem egészen érti, mit jelent ez;
  • Még akkor is, ha… korábban megpróbálta biztonságossá tenni webhelyét, de nem sikerült;
  • Még akkor is, ha… túlterheli a fő munka, és nem tudja, hol kezdje;
  • Még akkor is, ha... úgy gondolja, "nem vagyok párja a hackereknek - akkor miért próbálna bármit is csinálni?"
De ami még fontosabb, arról fogok beszélni, hogyan kezdjük el. gondoljon webhelye biztonságára elsősorban. Így minden eszköz rendelkezésére áll ahhoz, hogy megfelelő (biztonsági) döntéseket hozzon webhelyével kapcsolatban. Lesz a lehető legtöbb információ, tölts magadnak egy csésze teát vagy kávét, és készülj.
A cikk tartalma:

Mi a webhely biztonsága?

Hogyan védjük meg webhelyünket – mi az a webhelybiztonság?

Bár nagyszerű, hogy tesz néhány lépést webhelye védelme érdekében. Meg kell értenie, hogy a webhely biztonsága egy folyamatos folyamat, amely rendszeres figyelmet igényel. A hackerek kreatív emberek, ezért a fenyegetések folyamatosan fejlődnek.

A webhelybiztonság az a terv, amely megvédi webhelyét és felhasználóit hackerek és rosszindulatú programjaik. Ez magában foglalja a webhely összetevőinek megértését, azok együttműködési módját és azt, hogy milyen sebezhetőségeik vannak.

Ha ez az alap megvan, átfogó biztonsági tervet kell kidolgoznia a sebezhetőségek elleni védelem érdekében. Ez magában foglalja a konfigurációs lépések sorozatát, a házirendek megvalósítását és a fenyegetéssel kapcsolatos információk naprakészen tartását.

A webhely biztonságának kulcsa annak megértése, hogy ez nem egyszeri dolog. A biztonság azért fejlődik, mert fejlődnek a fenyegetések.

Az alábbi cikkből látni fogja, hogy egy jó biztonsági beépülő modul elvégzi a rosszindulatú programokkal kapcsolatos kemény munka nagy részét, de az óvatosság és éberség az, ami elsősorban a webhely biztonságát tartja.

Miért fontos a weboldal biztonsága?

A WordPress-t emberek milliói használják, tehát valószínűleg biztonságos, nem? Igen és nem.

— Igen, mert a WordPress alapvető fájlok védettek, és még ha sérülékenységet találnak is, azt nagyon gyorsan kijavítják.

- Nem, mert az Ön webhelye nem csak a WordPress magja. Ez olyan beépülő modulok és témák kombinációja, amelyek segítik webhelyét funkcionálisabbá, interaktívabbá és vonzóbbá tenni. Ezek a bővítmények és témák javítják a WordPress funkcionalitását, de növelik a sebezhetőségek lehetőségét is. A jó beépülő modul-fejlesztők gyorsan kijavítják a biztonsági réseket. De a veszély ebben a tekintetben sokkal nagyobb.

Hogyan védheti meg webhelyét a hackerek ellen? Akció lépései

Hogyan védjük meg az oldalt a hackerektől, hackerektől és rosszindulatú tevékenységektől.

Birtokolni megvalósítható terv Webhelye védelme érdekében az első lépés annak megértése, hogyan törik fel a webhelyeket. Az alábbi tanulmány szerint a webhelyeket főként három módon törik fel:

  • 90+% – Sebezhetőség egy WordPress beépülő modulban vagy témában.
  • 5+% – Feltört felhasználónév és/vagy jelszó.
  • <1% – Gyenge webtárhely-szolgáltatás.
Ennek az elosztásnak kell az alapját képeznie annak, hogyan tervezi biztonságossá tenni webhelyét, és hol kell több időt és erőforrást fordítania.

1. Védje webhelyét a sebezhetőségektől

A hackerek folyamatosan keresik a sebezhető webhelyeket. Nem számít, hogy az oldal nagy vagy kicsi. Szinte minden webhely feltörése számos előnnyel jár. Tapasztalataink szerint az összes incidens több mint 90%-ja annak köszönhető, hogy a hackerek felfedeztek és kihasználtak egy biztonsági rést.

Nézzük meg közelebbről, melyek a sebezhetőségek. Ezt nagyon fontos megérteni, hogy a jövőben tudatosan alakíthassa webhelybiztonsági stratégiáját.

Mi a sebezhetőség?

Webhelye 3 fő összetevőből áll: WordPress, beépülő modulok és témák. Ez mind alapvetően szoftver, és mint minden szoftver, ez is tartalmaz olyan hibákat, amelyek miatt néha összeomlik.

A hibáknak különféle következményei lehetnek: némelyikük lelassítja webhelyét, vagy hibát okoz, amikor valaki meglátogatja azt. Ez bosszantó és problémás, de a komolyabbak lehetővé teszik, hogy illetéktelen felhasználók (például hackerek) hozzáférjenek webhelyéhez. Az ilyen hibát sebezhetőségnek nevezik.

A sérülékenységek típusai

A sérülékenységek – ahogy az előző bekezdésben is tettük – a kód hibáiként jellemezhetők. Vannak azonban bizonyos típusok, amelyek gyakrabban fordulnak elő, mint mások:

  1. Elavult szoftver: fontos a mag, a bővítmények és a témák naprakészen tartása;
  2. Gyenge felhasználói szerepkör kezelése: ne adjon minden felhasználónak teljes adminisztrátori hozzáférést;
  3. Nem megtisztított bemenetek: A beviteli mezőknek érvényesíteniük kell a bevitelt a mentés és/vagy végrehajtás előtt.

Lehetséges feltörések egy nem biztonságos webhelyen

A sérülékenységek szorosan kapcsolódnak az általuk engedélyezett támadások típusaihoz, és gyakran felcserélhetően hivatkoznak rájuk. A leggyakoribb támadások, amelyekkel a WordPress szembesül:

  • Kódbefecskendezés: ha rosszindulatú kódot szúrnak be a beviteli mezőkön keresztül, és a webhely kódja vagy adatbázisa hajtja végre. A kódbefecskendezés gyakori SQL-befecskendezési változata, amely különösen az adatbázis-vezérelt alkalmazások, például a WordPress esetében kirívó.
  • Site-ok közötti parancsfájl-támadások: Az ilyen típusú sebezhetőség a felhasználói cookie-kat lopja el, hogy megszemélyesítse őket, vagy akár eltérítse a munkamenetet. A célfelhasználó hozzáférését ezután arra használják fel, hogy megtámadják az Ön webhelyét.
  • Brutális erőszakos támadások: Ahogy a neve is sugallja, az ilyen típusú támadásoknak nincs trükkje. A hacker felhasználónév/jelszó kombinációkkal bombázza bejelentkezési oldalát, hogy megtalálja a megfelelőt.
  • SEO spamV: Minden spam komoly, de ez a támadás azt sújtja, ami a legjobban bántja a webhelyet: a SEO-t. A webhelytulajdonosok erőforrásaikat pazarolják a keresőoptimalizálásukra, csak azért, hogy egy hacker jogosulatlan előnyhöz juthasson előugró ablakok és illegális vagy szürke árukra mutató linkek beszúrásával. A SEO spamtámadásokat is nehéz észlelni, és a webhelyek gyakran még azelőtt megtapasztalják a spam káros hatásait, mielőtt észrevennék, hogy fertőzöttek.
  • Adathalász támadások: Ezekben a támadásokban a hacker megkísérli kiadni magát egy törvényes személynek, hogy rávegye a felhasználót az adatainak önkéntes átadására. Az adathalászat az e-mailekkel és a feltört webhelyekkel párhuzamosan működik, hogy megszerezze ezeket a hitelesítő adatokat.

Mi a sebezhetőség hatása?

A beépülő modulok és a témák több ezer webhelyre vannak telepítve, így ennek az egyetlen hibának a hatása többszörösére nő. A felelős plugin- és témafejlesztők frissítések kiadásával igyekeznek bezárni termékeik biztonsági réseit.

Valójában ez a fő oka annak, hogy amikor csak lehetséges, ajánlatos prémium bővítményeket választani. A webhely biztonsági stratégiájában maximális figyelmet kell fordítani a rendszeres szoftverkarbantartásra. Remek, ez azt jelenti, hogy a hibát javították. Most már biztonságban vagyunk, igaz? Hát nem egészen. A sebezhetőség felfedezése veszélyes időszak a webhelytulajdonosok számára.

Mi történik, ha egy sebezhetőséget fedeznek fel?

A sebezhetőségeket gyakran fedezik fel a webhelybiztonsági kutatók. Eredményeiket jelentik a bővítménynek vagy a téma fejlesztőjének. Ahogy az előző részben említettük, a felelős fejlesztők igyekezni fognak a probléma megoldásán és egy frissítés kiadásán.
A sérülékenység kijavítása után a webhely biztonsági kutatója közzéteszi megállapításait. A fejlesztő kiadott egy javítást a webhelyek biztonságának megőrzése érdekében, igaz? Nem igazán.

A hackerek a sérülékenységről is olvasnak, és olyan webhelyeket keresnek, amelyek nem frissítették a verziójukat. A nyilvános sebezhetőségek általában vonzóak a kezdő hackerek (más néven script gyerekek) számára, mivel mostantól könnyedén használhatják a webhelyeket. Pontosan tudják, hol a céljuk.

Mit kell tenni, hogy megvédjük a webhelyet a sebezhetőségektől?

Most azokról a konkrét lépésekről fogok beszélni, amelyeket megtehet annak érdekében, hogy webhelyét biztonságosan és a hackerekkel szemben megvédje. Ezek a lépések egyszerűnek tűnhetnek, de hatékony módszerek a webhely biztonságának megőrzésére.

1. Készítsen biztonsági másolatot

A biztonsági mentések a leginkább alábecsült részei a webhely biztonsági stratégiájának. Nem tudom eléggé hangsúlyozni a rendszeres biztonsági mentések fontosságát. Ők jelentik a biztonsági hálót, az egyetlen dolog, amire számíthatsz, ha valami rosszul sül el. A biztonsági mentések segítségével gyorsan visszaállíthatja a webhelyet egészséges állapotba.

2. Frissítse a bővítményeket és a témákat

Ez nagyon kézenfekvőnek tűnhet, különösen, ha elolvasta a frissítések fontosságáról szóló előző részt. Nagyon könnyű azonban figyelmen kívül hagyni az irányítópulton megjelenő piros értesítést, és valami sürgősebb feladathoz kezdeni.

Ezért megismétlem. A beépülő modulok fejlesztői ehhez biztonsági javításokat tartalmazó frissítéseket adnak ki. Még ha úgy dönt is, hogy elhalasztja a frissítések telepítését, frissítse a bővítményt később, legalább a kiadási megjegyzések elolvasása után.

3. Válasszon jó minőségű bővítményeket és témákat

Nem valószínű, hogy valaha is lesz teljesen megbízható szoftver, kulcsfontosságú tényezőket kell figyelembe venni, amikor kiválasztja a megfelelő bővítményeket és témákat webhelyéhez:

  • A bővítmény rendszeresen frissülV: A fejlesztője által következetesen karbantartott beépülő modulok vagy témák nagyobb valószínűséggel kapnak biztonsági javítást, ha sebezhetőséget fedeznek fel.
  • Népszerű a plugin?? Ez egy kétélű kard. Egy népszerű, több millió telepítést tartalmazó bővítmény kerül a hackerek célpontjába. De az ehhez hasonló bővítmények általában biztonságosabbak is, mert sokkal több fejlesztő vezérli őket.
  • Ez egy prémium bővítmény?V: A fizetős beépülő modulok támogatják a fejlesztők munkáját, ezért sokkal kevésbé valószínű, hogy elhagyják őket, mint az ingyenes bővítmények. Ez nem jelenti azt, hogy a nyílt forráskódú szoftverek soha nem biztonságosak, azonban egy prémium termék esetén fizetni kell az ügyfélszolgálatért és a termékminőségért.
  • Soha ne telepítsen nullázott bővítményeket és témákatV: Az elérhető prémium ingyenes szoftver sok szempontból problémás. A nullázott szoftverek gyakran tartalmaznak rosszindulatú programokat vagy hátsó ajtókat, amelyek telepítése után a hackerek hozzáférhetnek webhelyéhez.
4. Használjon tűzfalat

Nincs megbízható módszer annak megakadályozására, hogy a hackerek vagy robotjaik megtámadják az Önéhez hasonló webhelyeket. Tűzfal telepítésével azonban nagyban csökkentheti az esélyt.

2. Védje felhasználónevét és jelszavát

A feltört webhelyek közül körülbelül 6% volt sebezhető a gyenge jelszavak miatti támadásokkal szemben. Ez kevésnek tűnhet a közvetlen rosszindulatú tevékenységhez képest, de még mindig elég jelentős ahhoz, hogy felkeltse a figyelmét.

A webhely rendszergazdai jelszavának elvesztése olyan, mintha elvesztené a lakás- vagy autókulcsát. A kulccsal a tolvaj teljes mértékben uralja értékes javait. Hasonlóképpen, jelszóval a hackerek teljes hozzáféréssel rendelkeznek az Ön webhelyéhez és annak információihoz. Jelenleg még egy tűzfal vagy biztonsági bővítmény sem képes megakadályozni, hogy a hackerek károsítsák webhelyét.

Az erős jelszavak szükségességét továbbra is aktívan hirdetik, de az ezzel járó nehézségek miatt a webhely használói ezt gyakran figyelmen kívül hagyják. Mielőtt rátérnék a jó hírnév megszerzésének mechanikájára, válaszoljunk néhány gyakori kérdésre, amelyeket az emberek feltesznek velük kapcsolatban.

Hogyan lehet egy jelszót ellopni?

A válasz meglepő lehet: a hacker megpróbálja kitalálni a jelszót. Ez alatt azt értem, hogy manuálisan próbálkoznak különböző jelszavakkal, de a botok erre valók. Ezt brute-force támadásnak is nevezik, vagy ha a bot kitalálja a szavakat, szótári támadásnak is nevezik.

Ezek a támadások több okból is nagyon jól működnek.:

  • Könnyen kitalálható jelszavak: gyakori szavak, rövid szavak, maga a "jelszó" szó különféle kombinációkban.
  • Adatok korábbi hackelésekből: Megvan az oka annak, hogy az emberek különböző jelszavak használatát javasolják a különböző szolgáltatásokhoz és webhelyekhez.

Hogyan védekezhet a jelszólopás ellen

1. Használjon erős jelszót – Az erős jelszavak véletlenszerű betűk, számok és szimbólumok kombinációját használják, mert nehéz feltörni őket. Évekbe telhet, amíg a hackerrobotok megtalálják a megfelelő jelszót. Megpróbálhat saját maga létrehozni egy erős jelszót, vagy használhat jelszógenerátort.

2. Korlátozza a bejelentkezési kísérletek számát – A brute force támadások megelőzésének jó módja, ha több sikertelen bejelentkezési kísérlet után blokkolja a behatolókat. Ez egy hatékony mechanizmus, mivel ez a fajta támadás abból áll, hogy hackerbotok többször próbálkoznak különböző jelszavakkal.

3. Kéttényezős hitelesítés megvalósítása – Egyes szolgáltatások kéttényezős hitelesítést használnak a bejelentkezési folyamat során, ami lényegében azt jelenti, hogy két (ideális esetben) külön tokennel kell rendelkeznie a fiók eléréséhez. Leggyakrabban jelszavak és lejárati token kombinációja, például PIN-kód vagy QR-kód, amelyet e-mail-címére vagy eszközére küldenek.

4. CAPTCHA védelem megvalósítása – A CAPTCHA-kat csak emberek tudják megoldani. Úgy tervezték, hogy megakadályozzák, hogy a hackerbotok hozzáférjenek egy fiókhoz. Használhatja webhelye biztonságára.

5. Használjon tűzfalat – Egyes webhelybiztonsági tűzfalak globálisan is figyelik a rosszindulatú IP-címeket. A tűzfal minden olyan webhelyen tanul, amelyen a bővítmény telepítve van. Ezután automatikusan blokkolja a rossz IP-címeket, mielőtt megpróbálnák feltörni a jelszavát. Ez a bejelentkezések korlátozásának lehetőségével kombinálva megvédheti webhelyét a hackerektől, akik megpróbálnak betörni a webhely adminisztrációs területére.

3. Válasszon egy jó tárhelyszolgáltatót

Hajlamosak a webtárhelyet hibáztatni mindenért, ami elromlik egy webhelyen. Míg a webtárhely általában felelős a webhely számos aspektusáért, ritkán hibáznak, amikor egy webhelyet feltörnek. Valójában ennek az ellenkezője igaz: a webtárhely javítja a webhelyek biztonságát.

Természetesen vannak olyan webtárak, amelyek szerepet játszanak a szerverükön tárolt webhelyek veszélyeztetésében. Ez ritkán fordul elő, de ha megtörténik, akkor ez egy jelentős esemény, amely webhelyek ezreit veszélyezteti.

4. Telepítsen egy SSL-tanúsítványt

A Secure Sockets Layer, ismertebb nevén SSL, egy olyan biztonsági protokoll, amely titkosítja a webhelyhez vezető összes kapcsolatot. A telepítés után lakatként jelenik meg a webhely URL-címének elején.

Az SSL-tanúsítvány használatának előnyei a következők:

  • Az Ön webhelyére és onnan továbbított összes adat titkosítva van.
  • Ez a webhelye iránti bizalom jele. Valójában a legtöbb böngésző a nem SSL-t használó webhelyeket "Nem biztonságosként" jelöli meg a címsorban.
  • A Google szereti az SSL-tanúsítvánnyal rendelkező webhelyeket, és még magasabb helyezésekkel is jutalmazza őket.

Helyes webhelybiztonsági gyakorlatok

Ahogy az elején mondtam, a webhelyek biztonsága folyamatos gyakorlat. Ebben a részben azokat a technikákat sorolom fel, amelyeket hasznos lehet beépíteni a webhely általános biztonsági stratégiájába. Ha ezt megszokta, az idő és az erőfeszítés kis befektetése többszörösen megtérül egy biztonságos weboldallal.

1. Gyakran változtassa meg jelszavát — Megértem, hogy a nehezen kitalálható jelszavak beállítása bonyolult, különösen azért, mert gyakran egyet jelentenek a nehezen megjegyezhető jelszavakkal. Azt is el tudjuk képzelni, milyen szorongást kelt, ha megkérnek minket, hogy rendszeresen változtassuk meg kiváló jelszavunkat.

Ennek az az oka, hogy a jelszavak a leggyengébb láncszem a biztonságban, különösen akkor, ha ugyanazt a jelszót több fiókhoz használja. Még ha egy webhelyet feltörnek is, nyugodtan feltételezheti, hogy az összes fiókját potenciálisan feltörték. A rendszeres különböző emberek számára mást is jelenthet. Egyes pénzintézetek, például bankok, 90 naponként megkövetelik a jelszavak cseréjét.

2. Ellenőrizze a webhely felhasználóit, kövesse az új admin felhasználókat — a hackerek gyakran elhagyják a rendszergazda felhasználókat, hogy visszanyerjék hozzáférésüket az oldalhoz. Ezért a rendszergazda felhasználók rendszeres ellenőrzése növelheti a webhely biztonságát.

Másodszor, az oldal társszerzői változhatnak. Ha egy felhasználónak már nincs szüksége hozzáférésre, a legjobb, ha megszünteti a webhelyhez való hozzáférését. Az ok kettős:

  1. nem szeretné, hogy a felhasználó bármilyen változtatást végrehajtson a webhelyén;
  2. inaktív fiókjaikat feltörhetik a hackerek.
Idővel, ahogy oldalunkat új tartalommal és dizájnnal építjük, folyamatosan új felhasználókat veszünk fel oldalunkra. Rendszeresen ellenőriznie kell ezeket a felhasználókat. Ön maga is követheti a biztonsági szabályokat, de egy másik feltört felhasználó hatással lesz webhelyére. Felhasználók hozzáadásakor, amikor csak lehetséges, csak a szükséges hozzáférési szinteket adja meg. Például, ha valaki csak cikkeket ír, ne adjon neki rendszergazdai jogokat.

3. Hozzon létre egy tevékenységnaplót a webhelyén A hackerek nem az alapvető WordPress API-kat használják a webhely módosítására, ezért az általuk végrehajtott módosítások nagy része nem fog megjelenni a tevékenységnaplóban. Azonban nyomokat hagyhatnak maguk után, például rendszergazdai fiókokat hozhatnak létre maguknak a webhely eléréséhez. Ezek a váratlan tevékenységek segíthetnek észlelni a jogsértést. Ezzel szemben, ha a módosításokat egy együttműködő hajtja végre, a tevékenységnaplók segíthetnek elkerülni a szükségtelen pánikot, amikor a webhelyen végrehajtott módosításokat látja.

4. Blokkolja a PHP-t a Letöltések mappában - A sebezhetőségek egész osztálya (pontosabban távoli kódvégrehajtás) lehetővé teszi a hackerek számára, hogy rosszindulatú PHP fájlokat töltsenek fel a Feltöltések mappába. A hacker ezután bármilyen kódot futtathat a webhelyen. Más szóval, teljes ellenőrzésük van a webhely felett.

A támadás hatékonyan mérsékelhető, ha blokkolja a PHP-fájlok végrehajtását a Feltöltések mappában. Ne aggódj. A PHP-fájlok letiltása a Letöltések mappában biztonságos, mert egyáltalán nem szabad ott lenniük. A Feltöltések mappában tárolja a médiafájlokat, nem pedig a szkripteket.

Mit kell kerülni a webhely védelme során?

Egy gyors Google-keresés rengeteg tippet és stratégiát kínál webhelye biztonságossá tételéhez. Számos biztonsági beépülő modul számos lehetőséget kínál arra, hogy megvédje webhelyét a jelszótörőkkel szemben. A webhely védelme olyasvalami, amit meg kell tennie, azonban van néhány dolog, amit el kell kerülnie.

Az okok az alábbiakban tárgyalt pontok mindegyikénél eltérőek, de alapvetően az intézkedéseknek kézzelfogható biztonsági előnyöket kell nyújtaniuk, különösen akkor, ha további biztonsági akadályok leküzdésére kéri a felhasználókat. Például, ha captcha és kéttényezős hitelesítést is használ, akkor a webhelyre való eljutás nehézkessé válik, és ez kevés előnyt jelent.

Extra biztonságérzetet szerezhet az összes rendelkezésre álló lehetőség alkalmazásával, de a költség-haszon elemzés szempontjából nem vágják a sort.

1. A wp bejelentkezési oldal elrejtése - Ezt sok fórumon látni fogja: módosítsa a wp-bejelentkezési oldalt webhelye saját URL-jére. A logika az, hogy ha a hackerek nem találják a bejelentkezési oldalt, akkor nem tudnak brute force támadásokkal hozzáférni az Ön webhelyéhez. Ennek több hátránya is van:

  • A WordPress lehetővé teszi az XML-RPC használatával történő bejelentkezést is.
  • Ez megnehezíti a webhely használatát. Ha elfelejti a speciális URL-t, amelyet a wp-login helyett hozott létre magának, nehéz lehet a helyreállítás.
  • Ha az általános URL-t vagy a biztonsági beépülő modulhoz tartozó alapértelmezett URL-t használja, a hackerek továbbra is könnyen kitalálhatják, hogy melyik fogja teljesen meghiúsítani a célját.
  • Ennek az oldalnak az elrejtéséhez összetett beállításokat kell alkalmazni a webhelyen, ami egyéb váratlan mellékhatásokkal is járhat.
2. Területi alapú tartalomkorlátozás Egy másik gyakran javasolt biztonsági intézkedés a földrajzi blokkolás. Előfordulhat, hogy bizonyos országokból nincs szüksége jogszerű forgalomra, és ezért úgy dönt, hogy korlátozza a hozzáférést.
  • A régiók IP-címei nem ideálisak, és hibákat tartalmazhatnak.
  • Ha véletlenül blokkolja magát, nehéz lesz visszavonni.
  • Előfordulhat, hogy blokkolja az olyan jó robotokat, mint a Google, amelyek nem károsíthatják webhelyét.
Egy jó tűzfal képes és meg is védi webhelyét a rosszindulatú robotoktól és a nem kívánt forgalomtól. Az előző részben ismertettem a tűzfalak előnyeit.

3. Jelszavas védelem a wp-admin könyvtárban - A wp-admin mappa a webhely egyik legfontosabb mappája. Természetesen sok figyelmet vonz a hackerek részéről. Ezért a jelszó jelszóval való védelme zseniális lépésnek tűnhet, de kontraproduktív.

A wp-admin könyvtárat védő jelszó megszakítja az AJAX funkciót a WordPress webhelyén. Az AJAX egy olyan kódolási technika, amely az aktuálisan megjelenített oldal megváltoztatása nélkül tölti le a webhely egyes részeit a szerverről.

Ha ez halandzsának hangzik, az lényegében azt jelenti, hogy dinamikussá teszi webhelyét anélkül, hogy folyamatosan újratöltené a felhasználókat, amikor valami megváltozik.

Gondoljon a közösségi média hírfolyamának görgetésére. Az új történetek vagy tweetek akkor töltődnek be, amikor Ön még olvassa a képernyőn lévőket, és bármikor frissítheti hírfolyamát, amikor új tartalmat szeretne betölteni.

4. A WordPress verzió elrejtése - A WordPress webhely verziójának elrejtése mögött meghúzódó logika a biztonsági frissítéseknek köszönhető. Ha webhelyén nem a WordPress legújabb verziója fut, a hacker kihasználhat egy régebbi verzióban található biztonsági rést. A WordPress verziójának elrejtése azonban nem használ. Egy webhely WordPress verzióját többféleképpen is meg lehet állapítani: az oldal külső kódjának ellenőrzése, az RSS-hírfolyam ellenőrzése stb. Egyébként mindegyik legális.

A WordPress régebbi verzióiban lévő sebezhetőségeinek kezelésének módja a verzió frissítése a legújabbra. Sok webhely adminisztrátora attól tart, hogy egy élő webhely frissítése megszakíthatja azt. Ezért a legjobb, ha először egy teszthelyen csinálod.

Mi a teendő, ha webhelyét feltörték?

Mi a teendő, ha az oldalt feltörték?

Ha webhelyét nemrégiben feltörték, még fontosabb, hogy rendkívül figyelmes legyen webhelye biztonságára. Ha nem végzik el megfelelően, az ismételt webhely-feltörésekhez vezethet, és az egész helyzet egy teljes rémálommá válik.

  1. Először tisztítsa meg a rosszindulatú programokatV: Használjon jó biztonsági beépülő modult a rosszindulatú programok automatikus eltávolításához anélkül, hogy nyomot hagyna.
  2. Frissítsen mindentV: Mint mondtam, a szoftverfrissítések létfontosságúak. Győződjön meg arról, hogy a WordPress, a témák és a bővítmények legújabb verziói vannak telepítve. Ha nem, akkor nagy eséllyel ez az oka annak, hogy webhelyét először feltörték.
  3. Minden adminisztrátor megtekintése: Nézze meg alaposan az egyes rendszergazdai fiókokat. Ebben a cikkben már beszéltünk erről, de a hackerek rendszergazdai fiókokat hoznak létre, hogy visszanyerjék a hozzáférést egy feltört webhelyhez, ha rosszindulatú programokat találnak.
  4. Módosítsa az összes jelszót. Tegyük fel, hogy a hitelesítő adatait feltörték, változtassa meg a jelszavait. Remélem, nem ugyanazt a jelszót használja a különböző termékekhez és szolgáltatásokhoz, ellenkező esetben a többi jelszót is módosítania kell.
  5. Az adatbázis hitelesítő adatainak módosítása (ha lehetséges): A wp-config.php fájl tartalmazza azokat a hitelesítő adatokat, amelyeket a WordPress webhely a webhely adatbázisához való csatlakozáshoz használ. Sok esetben az adatbázishoz való hozzáférés még akkor is korlátozott, ha az adatbázis hitelesítő adatai sérülnek. Egyes gépeken azonban a hackerek felhasználhatják ezeket az információkat az adatbázis közvetlen módosítására. Ez a hely újbóli fertőzéséhez vezethet.
  6. Módosítsa a biztonsági kulcsokatV: A WordPress biztonsági kulcsokat használ a regisztrált felhasználók munkameneteinek kezelésére.
  7. Állítsa be a WordPress tűzfalát: Ebben a cikkben már részletesen foglalkoztam ezzel. A WordPress tűzfal a legjobb védekezés a rosszindulatú robotok és a rossz forgalom ellen.

All In One WP biztonság és tűzfal – WordPress webhelybiztonság

Biztonsági bővítmény a WordPress All In One WP biztonsági tűzfalhoz.Röviden: Webhelye védelmének legegyszerűbb módja egy webhelybiztonsági bővítmény telepítése, például: Az All In One WP Security & Firewall egy átfogó, könnyen használható, stabil és jól karbantartott WordPress biztonsági bővítmény.
Az All In One WP Security & Firewall a következő funkciókkal rendelkezik:

Az All In One WP biztonság és tűzfal folyamatosan támogatott.

1. Felhasználói fiók biztonsága

  • Határozza meg, hogy létezik-e felhasználói fiók az alapértelmezett "admin" felhasználónévvel, és egyszerűen módosítsa a felhasználónevet az Ön által választott értékre.
  • A beépülő modul azt is észleli, hogy van-e WordPress felhasználói fiókja azonos bejelentkezési és megjelenítési névvel. A bejelentkezési névvel megegyező megjelenített névvel rendelkező fiók rossz biztonsági gyakorlat, mert létrehoz egy bejelentkezést a hackerek számára, amely már készen áll az 50%-n, mert már ismerik a bejelentkezést.
  • Jelszóerősítő eszköz, amellyel nagyon erős jelszavakat hozhat létre.
  • A felhasználók listázásának leállítása. Így a felhasználók/robotok nem fedezhetik fel a felhasználói információkat a szerző állandó hivatkozásán keresztül.

2. Bejelentkezési biztonság a felhasználó számára

  • Védekezzen a „Brute Force Login Attack” ellen a bejelentkezést blokkoló funkcióval. A meghatározott IP-címmel vagy tartománysal rendelkező felhasználók a konfigurációs beállításoktól függően előre meghatározott időre ki lesznek tiltva a rendszerből, és Ön értesítéseket is kaphat.
    e-mailben, ha valakit túl sok bejelentkezési kísérlet miatt blokkolnak.
  • Rendszergazdaként megtekintheti az összes letiltott felhasználó listáját, amely egy könnyen olvasható és könnyen navigálható táblázatban jelenik meg, amely lehetővé teszi az egyes vagy csoportos IP-címek blokkolásának egy gombnyomással történő feloldását is.
  • Az összes felhasználó kijelentkezésének kényszerítése konfigurálható időtartam után.
  • Sikertelen bejelentkezési kísérletek nyomon követése/megtekintése, amely megmutatja a felhasználó IP-címét, felhasználói azonosítóját/felhasználónevét, valamint a sikertelen bejelentkezési kísérlet dátumát/időpontját.
  • Nyomon követheti/megtekintheti a rendszerén lévő összes felhasználói fiók fióktevékenységét a felhasználónév, az IP-cím, a bejelentkezés dátuma/időpontja és a kijelentkezés dátuma/időpontja követésével.
  • Képes automatikusan blokkolni azon IP-címtartományokat, amelyek érvénytelen felhasználónévvel próbálnak bejelentkezni.
  • Lehetőség az összes felhasználó listájának megtekintéséhez, aki jelenleg bejelentkezett a webhelyére.
  • Lehetővé teszi egy vagy több IP-cím megadását egy speciális fehér listán. Az engedélyezési listán szereplő IP-címek hozzáférhetnek a WP bejelentkezési oldalához.
  • Adja hozzá a Google reCaptcha-t vagy egy egyszerű matematikai captcha-t a WordPress bejelentkezési űrlapjához.
  • Adja hozzá a Google reCaptcha-t vagy egy egyszerű matematikai captcha-t a WP bejelentkezési rendszer elfelejtett jelszó űrlapjához.

3. Felhasználó regisztrációs biztonság

  • Engedélyezze a WordPress felhasználói fiókok kézi ellenőrzését. Ha webhelye lehetővé teszi az emberek számára, hogy saját fiókot hozzanak létre a WordPress regisztrációs űrlapján keresztül, minden regisztráció manuális megerősítésével minimalizálhatja a SPAM-et vagy a hamis regisztrációkat.
  • Lehetőség a Google reCaptcha vagy egyszerű matematikai captcha hozzáadására a WordPress felhasználói regisztrációs oldalára, hogy megvédje magát a spam felhasználói regisztrációtól.
  • Lehetőség Honeypot hozzáadására a WordPress felhasználói regisztrációs űrlapjához a botok általi regisztrációs kísérletek számának csökkentése érdekében.

4. A WordPress adatbázis védelme

  • Egyszerűen, egy gombnyomással beállíthatja az alapértelmezett WP előtagot egy tetszőleges értékre.
  • Ütemezze be az automatikus biztonsági mentéseket és az e-mail értesítéseket, vagy készítsen azonnali DB biztonsági mentést bármikor egyetlen kattintással.

5. WordPress webhely fájlrendszerének biztonsága

  • Azonosítsa a nem biztonságos engedélybeállításokkal rendelkező fájlokat vagy mappákat, és egyetlen gombnyomással állítsa be az engedélyeket az ajánlott biztonságos értékekre.
  • Védje meg PHP-kódját a fájlszerkesztés letiltásával a WordPress adminisztrációs területén.
  • Könnyen megtekintheti és nyomon követheti az összes gazdagéprendszer naplóját egyetlen menüoldalról, és naprakész maradhat a szerverén felmerülő problémákkal kapcsolatban, így gyorsan megoldhatja azokat.
  • Akadályozza meg, hogy az emberek hozzáférjenek a WordPress-webhely readme.html, licence.txt és wp-config-sample.php fájljaihoz.

6. A htaccess és wp-config.php fájlok biztonsági mentése és visszaállítása

  • Könnyen készítsen biztonsági másolatot eredeti .htaccess és wp-config.php fájljairól arra az esetre, ha szüksége lenne rájuk a meghibásodott funkciók helyreállításához.
  • Módosítsa a jelenleg aktív .htaccess vagy wp-config.php fájlok tartalmát az adminisztrációs panelről néhány kattintással.

7. Feketelista funkció

  • Blokkolja a felhasználókat IP-címek megadásával, vagy használjon helyettesítő karaktert az IP-címtartományok megadásához.
  • Felhasználók tiltása felhasználói ügynökök megadásával.

8. Tűzfal funkció

Ez a beépülő modul lehetővé teszi számos tűzfal védelmi elem hozzáadását webhelyéhez a htaccess fájlon keresztül. A htaccess fájlt a webszerver dolgozza fel a webhelyén található bármely más kód előtt.
Tehát ezek a tűzfalszabályok leállítják a rosszindulatú szkript(eke)t, mielőtt esélyük lenne elérni a webhelyén található WordPress-kódot.

  • Hozzáférés-vezérlő objektum.
  • Azonnal aktiválja a tűzfalbeállítások készletét, az alapszinttől a közepestől a haladóig terjedően.
  • Engedélyezze a híres "6G Blacklist" tűzfalszabályokat a Perishable Press jóvoltából.
  • A hozzászólások proxyn keresztüli közzétételének letiltása.
  • A hibakeresési naplófájlhoz való hozzáférés letiltása.
  • Nyomon követés és nyomon követés letiltása.
  • Érvénytelen vagy rosszindulatú lekérdezési karakterláncok elutasítása.
  • Egy átfogó, speciális karakterlánc-szűrő aktiválásával védheti meg magát a cross-site scripting (XSS) ellen.
    vagy olyan rosszindulatú botok, amelyeknek nincs speciális cookie a böngészőjében. Ön (a webhely adminisztrátora) tudni fogja, hogyan kell beállítani ezt a speciális cookie-t, és be tud jelentkezni az Ön webhelyére.
  • A WordPress PingBack sebezhetőség elleni védelmi funkciója. Ez a tűzfal funkció lehetővé teszi a felhasználó számára, hogy megtagadja az xmlrpc.php fájlhoz való hozzáférést, hogy megvédje magát a ping funkció bizonyos sebezhetőségei ellen. Ez akkor is hasznos, ha megakadályozza, hogy a robotok folyamatosan hozzáférjenek az xmlrpc.php fájlhoz, és ezzel a szerver erőforrásait pazarolják.
  • Lehetősége van arra, hogy megakadályozza a hamis Googlebotok webhelyének feltérképezését.
  • Képes gyorslinkelés megakadályozása. Használja ezt, hogy megakadályozza, hogy mások hotlinkeljék a képeket.
  • Képes naplózni az összes 404 eseményt a webhelyén. Automatikusan blokkolhatja azokat az IP-címeket is, amelyek túl sok 404-es hibát kapnak.
  • Lehetőség saját szabályok hozzáadására a webhely különböző erőforrásaihoz való hozzáférés blokkolására.

9. A bejelentkezési brute force támadás megelőzése

  • Azonnal blokkolja a brute force támadásokat egyéni cookie-alapú bejelentkezési brute force megelőzési funkciónkkal. Ez a tűzfal funkció blokkol minden bejelentkezési kísérletet az emberektől és a robotoktól.
  • Egyszerű matematikai captcha hozzáadása a WordPress bejelentkezési űrlapjához, hogy megvédje magát a brutális támadásoktól.
  • Lehetőség az adminisztrátori bejelentkezési oldal elrejtésére. Nevezze át WordPress bejelentkezési oldalának URL-címét, hogy megakadályozza, hogy a robotok és a hackerek hozzáférjenek valódi WordPress bejelentkezési URL-címéhez. Ez a funkció lehetővé teszi, hogy az alapértelmezett bejelentkezési oldalt (wp-login.php) úgy módosítsa, hogy az Ön által testreszabott legyen.
  • A Login Honeypot használatának lehetősége, amely segít csökkenteni a bejelentkezési kísérletek számát a robotok nyers erőszakával.

10. Website File Security Scanner

  • A File Change Detection Scanner figyelmeztetheti, ha bármilyen fájl módosult a WordPress rendszerében. Ezt követően kivizsgálhatja, hogy jogos változás-e, vagy rossz kódot vezettek-e be.

11. Megjegyzés Spamvédelem

  • Kövesse nyomon a legaktívabb IP-címeket, amelyek következetesen a legtöbb spamet okozzák, és egy gombnyomással azonnal blokkolják őket.
  • Akadályozza meg a megjegyzések küldését, ha azok nem az Ön domainjéből származnak (ez csökkentheti a spamrobotok által a webhelyen közzétett megjegyzések számát).
  • Adjon hozzá egy captcha-t a WordPress megjegyzésűrlapjához, hogy javítsa a megjegyzésspam elleni védelmet.
  • Automatikusan és véglegesen blokkolja azokat az IP-címeket, amelyek meghaladják a SPAM-ként megjelölt megjegyzések számát.

12. Elülső másolásvédelmi szöveg

  • Lehetőség a jobb kattintás, a szövegkiválasztás és a másolás lehetőségének letiltására a kezelőfelületen.

13. A bővítmény további szolgáltatásai

  • Lehetőség a WordPress generátor metainformációinak eltávolítására webhelye HTML-forráskódjából.
  • Lehetőség a WordPress verzió információinak eltávolítására webhelye JS- és CSS-fájljaiból.
  • Lehetőség annak megakadályozására, hogy az emberek hozzáférjenek a readme.html, a licenc.txt és a wp-config-sample.php fájlokhoz.
  • Lehetőség arra, hogy ideiglenesen blokkolja webhelye elejét a rendszeres látogatók elől, miközben különféle belső feladatokat hajt végre (webhelybiztonsági támadások kivizsgálása, webhelyfrissítések végrehajtása, karbantartás stb.)
  • Biztonsági beállítások exportálása/importálása.
  • Akadályozza meg, hogy más webhelyek kereten vagy iframe-en keresztül jelenítsék meg az Ön tartalmát.

Ideális azok számára, akiknek nincs idejük a webhely biztonságával foglalkozni. Csak telepítse és felejtse el a bővítményt. Ha azonban megengedheti magának a plusz időt a biztonság fokozására, erősen ajánlom, hogy hajtsa végre a fenti intézkedések mindegyikét.

Kimenet

Ezt a cikket a webhely biztonságossá tételéről kezdtem egy egyértelmű mutatóval: az első lépés a webhely megfelelő biztonságának megteremtése. Ez egy folyamatos folyamat. Minden szervezetben bevált gyakorlat az időszakos auditok elvégzése, hogy maximálisan ellenőrizhető legyen a telephely biztonsága. A fenyegetettség folyamatosan változik, és a hackerek kreatívabb módokat találnak a biztonságon való áttörésre. A biztonsági szakértők folyamatosan éberek maradnak, és mindennek ez a fő következtetése: ne lazíts.

Köszönjük, hogy elolvasta Nicola Topot

Mennyire hasznos a poszt?

Kattintson a smiley-ra az értékeléshez!

átlagos értékelés 4.9 / 5. Értékelések száma: 50

Még nincsenek értékelések. Értékelje először.

Читайте также:

2 Responses

  1. Евгений szerint:
    10.08.2022 - 02:46

    Most látok először ilyen hosszú cikket. Tisztelet az oldal szerzőjének, mennyi időt töltöttél vele? Egy csodálatos útmutató, amely leírja a webhely védelmének és biztonságának megőrzésének szinte minden aspektusát. Már egy ideje olvasom a blogodat. Köszönöm, nagyon hasznos anyag.

    Válasz

Добавить комментарий

Az e-mail címet nem tesszük közzé. Обязательные поля помечены *

három × 2 =