როგორ დავიცვათ საიტი? ვებსაიტის უსაფრთხოების სახელმძღვანელო

ნახვების რაოდენობა

407
ბეჭდვა · დრო на чтение: 24მინ · მიერ · გამოქვეყნდა · განახლებულია

მოუსმინეთ სტატიასმოუსმინეთ ამ სტატიას

როგორ დავიცვათ თქვენი საიტი? გამოიყენეთ შემდეგი მეთოდები. საიტის უსაფრთხოება.

ვებსაიტის უსაფრთხოება ან როგორ დავიცვათ ვებსაიტი? ზოგიერთი ჰაკი ხდება სრულიად სასაცილო მიზეზების გამო: დროული განახლებები, სუსტი პაროლები და ა.შ. ვებსაიტის უსაფრთხოების ამ აუცილებელ სახელმძღვანელოში მე გაჩვენებთ, თუ როგორ დაიცვათ ვებსაიტი:

  • მაშინაც კი, თუ… თქვენ ახალი ხართ ვებსაიტის უსაფრთხოებაში და კარგად არ გესმით, რას ნიშნავს ეს;
  • მაშინაც კი, თუ… თქვენ სცადეთ და ვერ მოახერხეთ თქვენი საიტის დაცვა ადრე;
  • მაშინაც კი, თუ... გადატვირთული ხართ მთავარი საქმით და არ იცით საიდან დაიწყოთ;
  • მაშინაც კი, თუ... თქვენ ფიქრობთ, "მე არ ვარ ჰაკერების შესატყვისი - რატომ ცდილობთ რაიმეს გაკეთებას?"
მაგრამ რაც მთავარია, მე ვაპირებ ვისაუბრო იმაზე, თუ როგორ დავიწყოთ. იფიქრეთ თქვენი ვებსაიტების უსაფრთხოებაზე პირველ რიგში. ამ გზით თქვენ გაქვთ ყველა ინსტრუმენტი, რომელიც გჭირდებათ თქვენი საიტისთვის სწორი (უსაფრთხოების) გადაწყვეტილებების მისაღებად. იქნება რაც შეიძლება მეტი ინფორმაცია, დაასხით ჩაი ან ყავა და მოემზადეთ.
სტატიის შინაარსი:

რა არის საიტის უსაფრთხოება?

როგორ დავიცვათ თქვენი ვებ – გვერდი - რა არის ვებსაიტის უსაფრთხოება?

მიუხედავად იმისა, რომ კარგია, რომ თქვენ იღებთ გარკვეულ ნაბიჯებს თქვენი ვებსაიტის დასაცავად. თქვენ უნდა გესმოდეთ, რომ საიტის უსაფრთხოება არის მიმდინარე პროცესი, რომელიც მოითხოვს თქვენგან პერიოდულ ყურადღებას. ჰაკერები შემოქმედებითი ადამიანები არიან, ამიტომ მუქარები მუდმივად ვითარდება.

საიტის უსაფრთხოება არის გეგმა, რომელიც იცავს თქვენს ვებსაიტს და მომხმარებლებს ჰაკერები და მათი მავნე პროგრამები. ეს მოიცავს თქვენი ვებსაიტის კომპონენტების გაგებას, როგორ მუშაობენ ისინი ერთად და რა დაუცველობა აქვთ.

ამ ფონდის შექმნის შემდეგ, თქვენ უნდა ჩამოაყალიბოთ უსაფრთხოების ყოვლისმომცველი გეგმა დაუცველებისგან თავის დასაცავად. ეს მოიცავს კონფიგურაციის ნაბიჯების სერიას, პოლიტიკის განხორციელებას და საფრთხის შესახებ ინფორმაციის განახლებას.

ვებსაიტის უსაფრთხოების გასაღები არის იმის გაგება, რომ ეს არ არის ერთჯერადი რამ. უსაფრთხოება ვითარდება, რადგან საფრთხეები ვითარდება.

ქვემოთ მოცემულ სტატიაში ნახავთ, რომ კარგი უსაფრთხოების მოდული შეასრულებს რთულ სამუშაოს მავნე პროგრამების თვალსაზრისით, მაგრამ სიფრთხილე და სიფხიზლე არის ის, რაც უპირველეს ყოვლისა იცავს ვებსაიტს.

რატომ არის საიტის უსაფრთხოება მნიშვნელოვანი?

WordPress-ს მილიონობით ადამიანი იყენებს, ასე რომ, ალბათ უსაფრთხოა, არა? Კი და არა.

— დიახ, რადგან WordPress-ის ძირითადი ფაილები დაცულია და დაუცველობის აღმოჩენის შემთხვევაშიც კი, ის ძალიან სწრაფად გამოსწორდება.

- არა, რადგან თქვენი საიტი არ არის მხოლოდ WordPress-ის ბირთვი. ეს არის დანამატებისა და თემების კომბინაცია, რომელიც დაგეხმარებათ გახადოთ თქვენი საიტი უფრო ფუნქციონალური, ინტერაქტიული და მიმზიდველი. ეს დანამატები და თემები აძლიერებს WordPress-ის ფუნქციონირებას, მაგრამ ასევე ზრდის დაუცველობის პოტენციალს. მოდულების კარგი დეველოპერები სწრაფად გამოასწორებენ დაუცველობას. მაგრამ ამ მხრივ საფრთხე გაცილებით მაღალია.

როგორ დავიცვათ თქვენი საიტი ჰაკერებისგან? სამოქმედო ნაბიჯები

როგორ დავიცვათ საიტი ჰაკერებისგან, ჰაკერებისგან, მავნე მოქმედებებისგან.

რომ ჰქონდეს სამოქმედო გეგმა თქვენი ვებსაიტის დასაცავად, პირველი ნაბიჯი არის იმის გაგება, თუ როგორ ხდება ვებსაიტების გატეხვა. შემდეგი კვლევის მიხედვით, ვებსაიტები ძირითადად გატეხილია სამი გზით:

  • 90+% - დაუცველობა WordPress დანამატში ან თემაში.
  • 5+% - გატეხილი მომხმარებლის სახელი და/ან პაროლი.
  • <1% - ცუდი ვებ ჰოსტინგის სერვისები.
ეს განაწილება უნდა იყოს საფუძველი იმისა, თუ როგორ აპირებთ თქვენი საიტის დაცვას და სად უნდა გამოყოთ მეტი დრო და რესურსი.

1. დაიცავით თქვენი საიტი დაუცველებისგან

ჰაკერები მუდმივად ეძებენ დაუცველ ვებსაიტებს. არ აქვს მნიშვნელობა საიტი დიდია თუ პატარა. მათ ბევრი სარგებელი აქვთ თითქმის ნებისმიერი ვებსაიტის გატეხვისგან. ჩვენი გამოცდილებით, ყველა დარღვევის 90%-ზე მეტი გამოწვეულია ჰაკერების მიერ დაუცველობის აღმოჩენითა და ექსპლუატაციით.

მოდით უფრო დეტალურად განვიხილოთ რა არის დაუცველობა. ამის გაგება ძალიან მნიშვნელოვანია, რათა მომავალში შეგნებულად ჩამოაყალიბოთ თქვენი ვებსაიტის უსაფრთხოების სტრატეგია.

რა არის დაუცველობა?

თქვენი ვებსაიტი შედგება 3 ძირითადი კომპონენტისგან: WordPress, დანამატები და თემები. ეს ყველაფერი ძირითადად პროგრამული უზრუნველყოფაა და, როგორც ნებისმიერი პროგრამული უზრუნველყოფა, შეიცავს შეცდომებს, რომლებიც ზოგჯერ იწვევს მის ავარიას.

შეცდომებს შეიძლება ჰქონდეს სხვადასხვა შედეგები: ზოგიერთი მათგანი ანელებს თქვენს ვებსაიტს ან იწვევს შეცდომას, როდესაც ვინმე სტუმრობს მას. ეს არის შემაშფოთებელი და პრობლემური, მაგრამ უფრო სერიოზულები საშუალებას აძლევს არაავტორიზებულ მომხმარებლებს (როგორიცაა ჰაკერები) მიიღონ წვდომა თქვენს ვებსაიტზე. ასეთი შეცდომა ცნობილია როგორც დაუცველობა.

დაუცველობის სახეები

დაუცველობა შეიძლება დახასიათდეს, როგორც ეს გავაკეთეთ წინა აბზაცში, როგორც შეცდომები კოდში. თუმცა, არსებობს რამდენიმე სპეციფიკური ტიპი, რომლებიც უფრო ხშირად გვხვდება, ვიდრე სხვები:

  1. მოძველებული პროგრამული უზრუნველყოფა: მნიშვნელოვანია განახლებული იყოს ძირითადი, დანამატები და თემები;
  2. მომხმარებლის როლების ცუდი მართვა: არ მისცეთ ყველა მომხმარებელს სრული ადმინისტრატორის წვდომა;
  3. არასანიტარული შენატანები: შეყვანის ველებმა უნდა შეამოწმოს შეყვანა შენახვამდე და/ან შესრულებამდე.

შესაძლო ჰაკები დაუცველ ვებსაიტზე

დაუცველობა მჭიდრო კავშირშია თავდასხმების ტიპებთან, რომლებიც მათ ნებადართულია და ხშირად მათ ურთიერთშემცვლელად მოიხსენიებენ. WordPress-ის ყველაზე გავრცელებული შეტევებია:

  • კოდის ინექცია: როდესაც მავნე კოდი ჩასმულია შეყვანის ველებში და შესრულებულია ვებსაიტის კოდით ან მონაცემთა ბაზის საშუალებით. კოდის ინექციის ჩვეულებრივი SQL ინექციის ვარიანტი, რომელიც განსაკუთრებით დამახასიათებელია მონაცემთა ბაზაზე ორიენტირებული აპლიკაციებისთვის, როგორიცაა WordPress.
  • ჯვარედინი სკრიპტირების შეტევები: ამ ტიპის დაუცველობა იპარავს მომხმარებლის ქუქი-ფაილებს, რათა აჩვენოს ისინი, ან თუნდაც სესიის გატაცება. სამიზნე მომხმარებლის წვდომა შემდეგ გამოიყენება თქვენს საიტზე თავდასხმისთვის.
  • უხეში ძალის შეტევები: როგორც სახელი გვთავაზობს, ამ ტიპის შეტევა არ არსებობს. ჰაკერი დაბომბავს თქვენს შესვლის გვერდს მომხმარებლის სახელის/პაროლის კომბინაციით, რათა იპოვოთ სწორი.
  • SEO სპამიპასუხი: ნებისმიერი სპამი სერიოზულია, მაგრამ ეს შეტევა ყველაზე მეტად აზიანებს ვებსაიტს: SEO. ვებსაიტების მფლობელები ხარჯავენ რესურსებს, რომლებიც მუშაობენ თავიანთ SEO-ზე, მხოლოდ იმისთვის, რომ ჰაკერმა ისარგებლოს არასასურველი უპირატესობით ამომხტარი ფანჯრებისა და არალეგალური ან ნაცრისფერი საქონლის ბმულების ჩასმით. SEO სპამის შეტევები ასევე ძნელია გამოვლენილი და ხშირად ვებსაიტები განიცდიან სპამის მავნე ეფექტებს, სანამ გააცნობიერებენ, რომ ინფიცირებულები არიან.
  • ფიშინგის შეტევები: ამ თავდასხმების დროს ჰაკერი ცდილობს მოახდინოს ლეგიტიმური პიროვნების განსახიერება, რათა მოატყუოს მომხმარებელი, რათა ნებაყოფლობით გადასცეს მათი ინფორმაცია. ფიშინგი მუშაობს ელ.ფოსტისა და გატეხილი ვებსაიტის ტანდემში ამ რწმუნებათა სიგელების მისაღებად.

რა გავლენას ახდენს დაუცველობა?

პლაგინები და თემები დაინსტალირებულია რამდენიმე ათას საიტზე, ამიტომ ამ ერთი ხარვეზის ეფექტი მრავალჯერ მრავლდება. მოდულების და თემების პასუხისმგებელი შემქმნელები ცდილობენ დახურონ უსაფრთხოების ხვრელები თავიანთ პროდუქტებში განახლებების გამოქვეყნებით.

სინამდვილეში, ეს არის მთავარი მიზეზი, რის გამოც რეკომენდებულია პრემიუმ დანამატების არჩევა შეძლებისდაგვარად. პროგრამული უზრუნველყოფის რეგულარულ შენარჩუნებას მაქსიმალური ყურადღება უნდა მიექცეს ვებსაიტის უსაფრთხოების სტრატეგიაში. შესანიშნავია, ეს ნიშნავს, რომ შეცდომა გამოსწორებულია. ჩვენ ახლა უსაფრთხოდ ვართ, არა? კარგად, არა საკმაოდ. დაუცველობის აღმოჩენა სახიფათო დროა საიტის მფლობელებისთვის.

რა ხდება დაუცველობის აღმოჩენისას?

დაუცველობას ხშირად აღმოაჩენენ ვებსაიტების უსაფრთხოების მკვლევარები. ისინი აცნობებენ თავიანთ დასკვნებს მოდულის ან თემის შემქმნელს. როგორც წინა ნაწილში ვთქვით, პასუხისმგებელი დეველოპერები შეეცდებიან პრობლემის მოგვარებას და განახლების გამოშვებას.
როდესაც დაუცველობა გამოსწორდება, საიტის უსაფრთხოების მკვლევარი გამოაქვეყნებს მათ დასკვნებს. დეველოპერმა გამოუშვა შესწორება ვებსაიტების უსაფრთხოების შესანარჩუნებლად, არა? Ნამდვილად არ.

ჰაკერები ასევე კითხულობენ დაუცველობის შესახებ და ეძებენ ვებსაიტებს, რომლებსაც არ აქვთ განახლებული ვერსიები. საზოგადოებრივი დაუცველობა ხშირად მიმართავს ახალშობილ ჰაკერებს (ასევე ცნობილია როგორც სკრიპტის ბავშვები), რადგან მათ ახლა შეუძლიათ უპრობლემოდ გამოიყენონ ვებსაიტები. მათ ზუსტად იციან სად არის მათი მიზანი.

რა უნდა გაკეთდეს საიტის დაუცველობისგან დასაცავად?

ახლა მე ვისაუბრებ კონკრეტულ ნაბიჯებზე, რომელთა გადადგმაც შეგიძლიათ თქვენი ვებსაიტის დაცულობის შესანარჩუნებლად და ჰაკერებისგან. ეს ნაბიჯები შეიძლება მარტივი ჩანდეს, მაგრამ ისინი ეფექტური გზებია თქვენი საიტის უსაფრთხოების შესანარჩუნებლად.

1. გააკეთეთ სარეზერვო ასლები

სარეზერვო ასლები არის საიტის უსაფრთხოების სტრატეგიის ყველაზე ნაკლებად შეფასებული ნაწილი. მე არ შემიძლია საკმარისად ხაზი გავუსვა რეგულარული სარეზერვო ასლების მნიშვნელობას. ისინი თქვენი უსაფრთხოების ბადეა, ერთადერთი, რისი იმედიც შეგიძლიათ, როცა რამე არასწორედ მიდის. სარეზერვო ასლები დაგეხმარებათ სწრაფად დააბრუნოთ საიტი ჯანსაღ მდგომარეობაში.

2. განაახლეთ დანამატები და თემები

ეს შეიძლება ძალიან აშკარად მოგეჩვენოთ, განსაკუთრებით თუ წაიკითხეთ წინა განყოფილება იმის შესახებ, თუ რამდენად მნიშვნელოვანია განახლებები. თუმცა, ძალიან ადვილია უგულებელყო წითელი შეტყობინებები დაფაზე და შეუდგე რაღაც უფრო სასწრაფო საქმეს.

ამიტომ, გავიმეორებ. მოდულების დეველოპერები ავრცელებენ განახლებებს ამისთვის უსაფრთხოების შესწორებებით. მაშინაც კი, თუ გადაწყვეტთ განახლებების ინსტალაციის გადადებას, განაახლეთ დანამატი მოგვიანებით, ყოველ შემთხვევაში, გამოშვების შენიშვნების წაკითხვის შემდეგ.

3. აირჩიეთ კარგი ხარისხის დანამატები და თემები

ნაკლებად სავარაუდოა, რომ ოდესმე არსებობდეს სრულიად სანდო პროგრამული უზრუნველყოფა, არის ძირითადი ფაქტორები, რომლებიც გასათვალისწინებელია თქვენი ვებსაიტისთვის სწორი დანამატებისა და თემების არჩევისას:

  • მოდული რეგულარულად განახლდებაპასუხი: დანამატი ან თემა, რომელსაც მუდმივად ინახავს მისი დეველოპერი, უფრო სავარაუდოა, რომ მიიღებს უსაფრთხოების პატჩს, თუ აღმოჩენილია დაუცველობა.
  • არის მოდული პოპულარული?? ეს არის ორპირიანი ხმალი. მილიონობით ინსტალირებული პოპულარული დანამატი ჰაკერების სამიზნე იქნება. მაგრამ მსგავსი დანამატები ასევე უფრო უსაფრთხოა, რადგან მათ უფრო მეტი დეველოპერი აკონტროლებს.
  • არის ეს პრემიუმ მოდული?პასუხი: ფასიანი დანამატები მხარს უჭერენ დეველოპერების მუშაობას და, შესაბამისად, გაცილებით ნაკლებია მათი მიტოვების ალბათობა, ვიდრე უფასო დანამატები. ეს არ ნიშნავს, რომ ღია კოდის პროგრამული უზრუნველყოფა არასდროს არის უსაფრთხო, თუმცა, პრემიუმ პროდუქტით, თქვენ იხდით მომხმარებლის მხარდაჭერასა და პროდუქტის ხარისხს.
  • არასოდეს დააინსტალიროთ გაუქმებული დანამატები და თემებიპასუხი: ხელმისაწვდომი პრემიუმ უფასო პროგრამული უზრუნველყოფა პრობლემურია მრავალ დონეზე. Zeroed პროგრამული უზრუნველყოფა ხშირად შეიცავს მავნე პროგრამას ან უკანა კარებს, რომლებიც დაინსტალირების შემდეგ ჰაკერებს საშუალებას აძლევს მიიღონ წვდომა თქვენს ვებსაიტზე.
4. გამოიყენეთ firewall

არ არსებობს საიმედო გზა, რათა შეაჩეროს ჰაკერები ან მათი ბოტები შეტევაში თქვენს მსგავს ვებსაიტებზე. თუმცა, თქვენ შეგიძლიათ მნიშვნელოვნად შეამციროთ შანსი firewall-ის დაყენებით.

2. დაიცავით თქვენი მომხმარებლის სახელი და პაროლი

გატეხილი ვებსაიტების დაახლოებით 6% იყო დაუცველი თავდასხმების მიმართ სუსტი პაროლების გამო. ეს შეიძლება მცირე რიცხვად მოგეჩვენოთ პირდაპირ მავნე აქტივობასთან შედარებით, მაგრამ მაინც საკმარისად მნიშვნელოვანია თქვენი ყურადღების მისაქცევად.

საიტის ადმინისტრატორის პაროლის დაკარგვა ბინის ან მანქანის გასაღების დაკარგვას ჰგავს. გასაღებით ქურდი სრულად აკონტროლებს თქვენს ძვირფას ნივთებს. ანალოგიურად, პაროლით, ჰაკერებს აქვთ სრული წვდომა თქვენს საიტზე და მის ინფორმაციაზე. ამ მომენტში, არც Firewall ან უსაფრთხოების დანამატი არ შეუძლია შეაჩეროს ჰაკერები თქვენი საიტის დაზიანებაში.

ძლიერი პაროლების მოთხოვნილება კვლავ აქტიურად არის პროპაგანდა, მაგრამ სირთულეების გამო, ვებსაიტების მომხმარებლები ხშირად უგულებელყოფენ მას. სანამ კარგი რეპუტაციის მოპოვების მექანიზმს შევეხები, მოდით ვუპასუხოთ რამდენიმე გავრცელებულ კითხვას, რომელსაც ხალხი მათ შესახებ აქვს.

როგორ შეიძლება პაროლის მოპარვა?

პასუხი შეიძლება გასაკვირი იყოს: ჰაკერი ცდილობს გამოიცნოს პაროლი. ამით ვგულისხმობ, რომ ისინი ცდილობენ ხელით სხვადასხვა პაროლს, მაგრამ ეს არის ის, რისთვისაც არის ბოტები. ეს ასევე ცნობილია როგორც უხეში ძალის შეტევა ან, თუ ბოტი სიტყვებს გამოიცნობს, ლექსიკონის შეტევა.

ეს შეტევები ძალიან კარგად მუშაობს რამდენიმე მიზეზის გამო.:

  • პაროლების გამოცნობა მარტივია: ჩვეულებრივი სიტყვები, მოკლე სიტყვები, თავად სიტყვა „პაროლი“ სხვადასხვა კომბინაციებში.
  • მონაცემები წინა ჰაკერებიდან: არსებობს მიზეზი, რის გამოც ადამიანები გვირჩევენ სხვადასხვა პაროლების გამოყენებას სხვადასხვა სერვისებისა და საიტებისთვის.

როგორ დავიცვათ თავი პაროლის მოპარვისგან

1. გამოიყენეთ ძლიერი პაროლი - ძლიერი პაროლები იყენებენ ასოების, რიცხვების და სიმბოლოების შემთხვევით კომბინაციას, რადგან მათი გატეხვა რთულია. ჰაკერ ბოტებს შეიძლება წლები დასჭირდეს სწორი პაროლის პოვნაში. თქვენ შეგიძლიათ სცადოთ შექმნათ ძლიერი პაროლი ან გამოიყენოთ პაროლის გენერატორი.

2. შეზღუდეთ შესვლის მცდელობების რაოდენობა - უხეში ძალის შეტევის თავიდან აცილების კარგი გზაა შეტევების დაბლოკვა შესვლის რამდენიმე წარუმატებელი მცდელობის შემდეგ. ეს ეფექტური მექანიზმია, რადგან ამ ტიპის თავდასხმა შედგება ჰაკერული ბოტებისგან, რომლებიც განმეორებით ცდიან სხვადასხვა პაროლს.

3. განახორციელეთ ორფაქტორიანი ავტორიზაცია - ზოგიერთი სერვისი იყენებს ორფაქტორიან ავთენტიფიკაციას შესვლის პროცესში, რაც არსებითად ნიშნავს, რომ თქვენ უნდა გქონდეთ ორი (იდეალურად) ცალკე ჟეტონი თქვენს ანგარიშზე წვდომისთვის. ეს არის ყველაზე ხშირად პაროლების კომბინაცია და ვადის გასვლის ჟეტონი, როგორიცაა პინი ან QR კოდი, რომელიც იგზავნება თქვენს ელფოსტაზე ან მოწყობილობაზე.

4. დანერგეთ CAPTCHA დაცვა - CAPTCHA-ების გადაჭრა მხოლოდ ადამიანებს შეუძლიათ. ისინი შექმნილია იმისთვის, რომ თავიდან აიცილონ ჰაკერ ბოტებს ანგარიშზე წვდომა. თქვენ შეგიძლიათ გამოიყენოთ იგი თქვენი საიტის დასაცავად.

5. გამოიყენეთ firewall - ზოგიერთი ვებსაიტის უსაფრთხოების ფეიერვალი ასევე აკონტროლებს მავნე IP მისამართებს გლობალურად. Firewall სწავლობს ყველა საიტზე დაინსტალირებული დანამატით. შემდეგ ის ავტომატურად ბლოკავს ცუდ IP-ებს, სანამ ისინი შეეცდებიან თქვენი პაროლის გატეხვას. ეს, შესვლის შეზღუდვის უნართან ერთად, შეუძლია დაიცვას თქვენი საიტი ჰაკერებისგან, რომლებიც ცდილობენ შეაღწიონ თქვენი საიტის ადმინისტრაციულ ზონაში.

3. აირჩიეთ კარგი ჰოსტინგის პროვაიდერი

არსებობს ტენდენცია, რომ დაადანაშაულონ ვებ მასპინძელი ყველაფერში, რაც არასწორია ვებსაიტთან. მიუხედავად იმისა, რომ ვებ მასპინძლები, როგორც წესი, პასუხისმგებელნი არიან ვებსაიტის ბევრ ასპექტზე, ისინი იშვიათად არიან დამნაშავე, როდესაც ვებსაიტი გატეხილია. სინამდვილეში, ზოგადად საპირისპიროა: ვებ მასპინძლები აუმჯობესებენ ვებსაიტების უსაფრთხოებას.

რა თქმა უნდა, არის რამდენიმე ვებ მასპინძელი, რომლებიც როლს თამაშობენ მათ სერვერზე განთავსებული ვებსაიტების კომპრომეტირებაში. ეს იშვიათად ხდება, მაგრამ როდესაც ეს ხდება, ეს არის მთავარი ინციდენტი, რომელიც საფრთხეს უქმნის ათასობით ვებსაიტს.

4. დააინსტალირეთ SSL სერთიფიკატი

Secure Sockets Layer, უკეთ ცნობილი როგორც SSL, არის უსაფრთხოების პროტოკოლი, რომელიც შიფრავს ყველა კავშირს ვებსაიტთან. ინსტალაციის შემდეგ, ის გამოჩნდება როგორც ბოქლომი თქვენი საიტის URL-ის დასაწყისში.

SSL სერთიფიკატის გამოყენების სარგებელი შემდეგია:

  • თქვენს ვებსაიტზე გადაცემული ყველა მონაცემი დაშიფრულია.
  • ეს თქვენი საიტისადმი ნდობის ნიშანია. სინამდვილეში, ბრაუზერების უმეტესობა მონიშნავს არა-SSL საიტებს, როგორც "დაუცველი" მისამართების ზოლში.
  • Google-ს უყვარს ვებსაიტები SSL სერთიფიკატით და აჯილდოებს მათ უფრო მაღალი რეიტინგებით.

კარგი ვებსაიტის უსაფრთხოების პრაქტიკა

როგორც დასაწყისში ვთქვი, ვებსაიტის უსაფრთხოება მუდმივი პრაქტიკაა. ამ განყოფილებაში მე ჩამოვთვლი ტექნიკებს, რომლებიც სასარგებლოა თქვენი ვებსაიტის უსაფრთხოების მთლიან სტრატეგიაში შესატანად. როგორც კი ამის ჩვევას მიიღებთ, თქვენი დროისა და ძალისხმევის მცირე ინვესტიცია ბევრჯერ გადაიხდება უსაფრთხო ვებსაიტით.

1. ხშირად შეცვალეთ პაროლი — მესმის, რომ ძნელად გამოსაცნობი პაროლების დაყენება სახიფათოა, მით უმეტეს, რომ ისინი ხშირად ძნელად დასამახსოვრებელი პაროლების სინონიმია. ჩვენ ასევე შეგვიძლია წარმოვიდგინოთ შფოთვა, რომელიც გამოწვეულია ჩვენი შესანიშნავი პაროლის რეგულარულად შეცვლის თხოვნით.

მიზეზი ის არის, რომ პაროლები უსაფრთხოების ყველაზე სუსტი რგოლია, განსაკუთრებით თუ იყენებთ ერთსა და იმავე პაროლს მრავალი ანგარიშისთვის. მაშინაც კი, თუ ერთი საიტი გატეხილია, შეგიძლიათ უსაფრთხოდ ჩავთვალოთ, რომ თქვენი ყველა ანგარიში პოტენციურად კომპრომეტირებულია. რეგულარული ასევე შეიძლება ნიშნავდეს სხვადასხვა რამეს სხვადასხვა ადამიანებისთვის. ზოგიერთი ფინანსური ინსტიტუტი, როგორიცაა ბანკები, მოითხოვს პაროლების შეცვლას ყოველ 90 დღეში.

2. შეამოწმეთ ვებსაიტის მომხმარებლები, აკონტროლეთ ახალი ადმინისტრატორები — ჰაკერები ხშირად ტოვებენ ადმინისტრატორ მომხმარებლებს, რათა მათ შეძლონ საიტზე წვდომის აღდგენა. ამიტომ, ადმინისტრატორის მომხმარებლების რეგულარულ შემოწმებას შეუძლია გაზარდოს ვებსაიტის უსაფრთხოება.

მეორეც, საიტის თანაავტორები შეიძლება შეიცვალოს. თუ მომხმარებელს აღარ სჭირდება წვდომა, უმჯობესია გააუქმოს მისი წვდომა საიტზე. მიზეზი ორგვარია:

  1. თქვენ არ გსურთ მომხმარებელმა რაიმე ცვლილება შეიტანოს თქვენს საიტზე;
  2. მათი არააქტიური ანგარიშები შეიძლება იყოს კომპრომეტირებული ჰაკერების მიერ.
დროთა განმავლობაში, როდესაც ჩვენ ვაშენებთ ჩვენს საიტს ახალი შინაარსით და დიზაინით, ჩვენ ვაგრძელებთ ახალი მომხმარებლების დამატებას ჩვენს საიტზე. პერიოდულად უნდა შეამოწმოთ ეს მომხმარებლები. თქვენ თავად შეგიძლიათ დაიცვას უსაფრთხოების წესები, მაგრამ სხვა კომპრომეტირებული მომხმარებელი იმოქმედებს თქვენს საიტზე. მომხმარებლების დამატებისას, შეძლებისდაგვარად, მიეცით მათ მხოლოდ საჭირო წვდომის დონეები. მაგალითად, თუ ვინმე მხოლოდ სტატიებს წერს, არ მისცეთ მას ადმინისტრატორის უფლებები.

3. დააყენეთ აქტივობის ჟურნალი თქვენს საიტზე ჰაკერები არ იყენებენ WordPress-ის ძირითად API-ებს ვებსაიტის შესაცვლელად, ამიტომ მათ მიერ შეტანილი ბევრი ცვლილება არ აისახება აქტივობის ჟურნალში. თუმცა, მათ შეუძლიათ დატოვონ კვალი, მაგალითად, შექმნან ადმინისტრატორის ანგარიშები საიტზე წვდომისთვის. ეს მოულოდნელი აქტივობები დაგეხმარებათ დარღვევის გამოვლენაში. პირიქით, თუ ცვლილებები ხდება კოლაბორატორის მიერ, აქტივობების ჟურნალები დაგეხმარებათ თავიდან აიცილოთ ზედმეტი პანიკა, როდესაც ხედავთ თქვენს საიტზე განხორციელებულ ცვლილებებს.

4. დაბლოკეთ PHP თქვენს ჩამოტვირთვების საქაღალდეში - დაუცველობის მთელი კლასი (ზუსტად, დისტანციური კოდის შესრულება) საშუალებას აძლევს ჰაკერებს ატვირთონ მავნე PHP ფაილები Uploads საქაღალდეში. შემდეგ ჰაკერს შეუძლია გამოიყენოს იგი თქვენს საიტზე ნებისმიერი კოდის შესასრულებლად. სხვა სიტყვებით რომ ვთქვათ, მათ აქვთ სრული კონტროლი თქვენს საიტზე.

შეტევა შეიძლება ეფექტურად შემცირდეს, თუ დაბლოკავთ PHP ფაილების შესრულებას Uploads საქაღალდეში. არ ინერვიულო. PHP ფაილების დაბლოკვა ჩამოტვირთვების საქაღალდეში უსაფრთხოა, რადგან ისინი საერთოდ არ უნდა იყოს იქ. ატვირთვების საქაღალდე არის სადაც ინახავთ თქვენს მედია ფაილებს და არა სკრიპტებს.

რას უნდა ერიდოთ თქვენი ვებსაიტის დაცვისას?

სწრაფი Google ძიება მოგცემთ უამრავ რჩევას და სტრატეგიას თქვენი საიტის დასაცავად. უსაფრთხოების რამდენიმე დანამატი ასევე გთავაზობთ რამდენიმე ვარიანტს თქვენი საიტის პაროლის კრეკერისგან დასაცავად. თქვენი ვებსაიტის დაცვა არის ის, რაც უნდა გააკეთოთ, თუმცა არის რაღაცეები, რასაც უნდა მოერიდოთ.

მიზეზები განსხვავდება თითოეული პუნქტისთვის, რომელსაც ქვემოთ განვიხილავ, მაგრამ მათი ძირითადი მნიშვნელობით, თქვენმა ზომებმა უნდა უზრუნველყოს უსაფრთხოების გაზომვადი სარგებელი, განსაკუთრებით იმ შემთხვევაში, თუ თქვენს მომხმარებლებს სთხოვთ უსაფრთხოების დამატებითი ბარიერების გადალახვას. მაგალითად, თუ იყენებთ როგორც captcha-ს, ასევე ორფაქტორიან ავთენტიფიკაციას, თქვენს საიტზე მოხვედრა რთული ხდება, მცირე დამატებითი სარგებლით.

თქვენ შეგიძლიათ მიიღოთ დამატებითი უსაფრთხოების განცდა ყველა არსებული ვარიანტის გამოყენებით, მაგრამ ხარჯ-სარგებლის ანალიზის თვალსაზრისით, ისინი არ წყვეტენ ხაზს.

1. დამალეთ wp შესვლის გვერდი - ამას ბევრ ფორუმზე ნახავთ: შეცვალეთ wp-login გვერდი თქვენი საიტის URL-ზე. ლოგიკა იმაში მდგომარეობს, რომ თუ ჰაკერები ვერ პოულობენ შესვლის გვერდს, ისინი ვერ გამოიყენებენ უხეში ძალის შეტევებს თქვენს საიტზე წვდომისთვის. ამას აქვს რამდენიმე უარყოფითი მხარე:

  • WordPress ასევე საშუალებას გაძლევთ შეხვიდეთ XML-RPC გამოყენებით.
  • ეს გაართულებს თქვენი საიტის გამოყენებას. თუ დაგავიწყდათ თქვენთვის შექმნილი სპეციალური URL wp-login-ის ნაცვლად, ამისგან აღდგენა შეიძლება რთული იყოს.
  • თუ იყენებთ ზოგად URL-ს ან ნაგულისხმევ URL-ს, რომელიც მოყვება უსაფრთხოების დანამატს, ჰაკერებისთვის მაინც ადვილია გამოიცნონ, რომელიც მთლიანად დაამარცხებს თქვენს მიზანს.
  • ამ გვერდის დამალვა მოითხოვს თქვენს საიტზე კომპლექსური პარამეტრების გამოყენებას, რასაც შეიძლება მოჰყვეს სხვა მოულოდნელი გვერდითი მოვლენები.
2. გეობლოკირება უსაფრთხოების კიდევ ერთი საყოველთაოდ რეკომენდებული ღონისძიებაა გეო-ბლოკირება. შეიძლება არ დაგჭირდეთ ან არ მოელით ლეგიტიმურ ტრაფიკს გარკვეული ქვეყნებიდან და ამიტომ აირჩიეთ წვდომის შეზღუდვა.
  • რეგიონების IP მისამართები არ არის იდეალური და შეიძლება ჰქონდეს შეცდომები.
  • თუ საკუთარ თავს შეცდომით დაბლოკავთ, ამის გაუქმება გაგიჭირდებათ.
  • შეიძლება საბოლოოდ დაბლოკოთ ისეთი კარგი ბოტები, როგორიცაა Google, რომლებსაც არ შეუძლიათ ზიანი მიაყენონ თქვენს საიტს.
კარგი firewall-ს შეუძლია და დაიცავს თქვენს საიტს მავნე ბოტებისა და არასასურველი ტრაფიკისგან. წინა განყოფილებაში გავაშუქე firewalls-ის უპირატესობები.

3. პაროლით იცავს wp-admin დირექტორიას - wp-admin საქაღალდე არის ერთ-ერთი ყველაზე მნიშვნელოვანი საქაღალდე თქვენს საიტზე. ბუნებრივია, ის ჰაკერების დიდ ყურადღებას იპყრობს. ამიტომ, პაროლით მისი დაცვა შეიძლება ბრწყინვალე ნაბიჯი იყოს, მაგრამ კონტრპროდუქტიული.

პაროლი, რომელიც იცავს თქვენს wp-admin დირექტორიას, არღვევს AJAX ფუნქციონირებას თქვენს WordPress ვებსაიტზე. AJAX არის კოდირების ტექნიკა, რომელიც ჩამოტვირთავს თქვენი ვებსაიტის ნაწილებს სერვერიდან, ამჟამად ნაჩვენები გვერდის შეცვლის გარეშე.

თუ ეს სულელურად ჟღერს, ეს არსებითად ნიშნავს იმას, რომ ის თქვენს საიტს დინამიურს ხდის მომხმარებლების მუდმივად გადატვირთვის გარეშე, ყოველ ჯერზე, როცა რაღაც იცვლება.

იფიქრეთ თქვენი სოციალური მედიის არხის გადახვევაზე. ახალი ისტორიები ან ტვიტები იტვირთება, სანამ ჯერ კიდევ კითხულობთ მათ, რაც უკვე თქვენს ეკრანზეა და შეგიძლიათ განაახლოთ თქვენი ახალი ამბების არხი, როდესაც გსურთ ახალი შინაარსის ჩატვირთვა.

4. WordPress-ის ვერსიის დამალვა - თქვენი WordPress საიტის ვერსიის დამალვის ლოგიკა გამოწვეულია უსაფრთხოების განახლებით. თუ თქვენს ვებსაიტს არ აქვს WordPress-ის უახლესი ვერსია, ჰაკერს შეუძლია გამოიყენოს დაუცველობა, რომელიც არსებობს ძველ ვერსიაში. თუმცა, WordPress-ის თქვენი ვერსიის დამალვა უსარგებლოა. ვებსაიტის WordPress ვერსიის განსაზღვრის რამდენიმე გზა არსებობს: საიტის გარე კოდის შემოწმება, RSS feed-ის შემოწმება და ა.შ. ყველა მათგანი, სხვათა შორის, ლეგალურია.

ძველ ვერსიებში WordPress-ის დაუცველობასთან გამკლავების გზა არის თქვენი ვერსიის უახლესზე განახლება. ვებსაიტების ბევრი ადმინისტრატორი შიშობს, რომ ცოცხალი საიტის განახლებამ შეიძლება ის დაარღვიოს. ამიტომ უმჯობესია ამის გაკეთება პირველ რიგში სატესტო ადგილზე.

რა უნდა გააკეთოთ, თუ თქვენი საიტი გატეხილია?

რა უნდა გააკეთოს, თუ საიტი გატეხილია?

თუ თქვენი საიტი ახლახანს გატეხეს, თქვენთვის კიდევ უფრო მნიშვნელოვანია იყოთ უკიდურესად ყურადღებიანი თქვენი საიტის უსაფრთხოებაზე. თუ ეს არ გაკეთებულა სწორად, შეიძლება გამოიწვიოს საიტის განმეორებითი გატეხვა და მთელი სიტუაცია გადაიქცევა სრულ კოშმარად.

  1. ჯერ გაასუფთავეთ მავნე პროგრამაპასუხი: გამოიყენეთ კარგი უსაფრთხოების მოდული, რათა ავტომატურად წაშალოთ მავნე პროგრამები კვალის დატოვების გარეშე.
  2. განაახლეთ ყველაფერიპასუხი: როგორც ვთქვი, პროგრამული უზრუნველყოფის განახლებები სასიცოცხლოდ მნიშვნელოვანია. დარწმუნდით, რომ დაინსტალირებული გაქვთ WordPress-ის უახლესი ვერსიები, თემები და დანამატები. თუ ამას არ აკეთებთ, დიდი შანსია, რომ ეს არის თქვენი საიტის გატეხვის მიზეზი.
  3. იხილეთ თითოეული ადმინისტრატორი მომხმარებელი: ყურადღებით დააკვირდით თითოეულ ადმინისტრატორის ანგარიშს. ჩვენ უკვე ვისაუბრეთ ამაზე ამ სტატიაში, მაგრამ ჰაკერები ქმნიან ადმინისტრატორის ანგარიშებს, რათა აღადგინონ წვდომა გატეხილ ვებსაიტზე, თუ მავნე პროგრამა აღმოჩნდება.
  4. შეცვალეთ ყველა პაროლი. დავუშვათ, რომ თქვენი რწმუნებათა სიგელები გატეხილია, შეცვალეთ თქვენი პაროლები. ვიმედოვნებ, რომ არ იყენებთ ერთსა და იმავე პაროლს სხვადასხვა პროდუქტისა და სერვისისთვის, წინააღმდეგ შემთხვევაში, თქვენ ასევე უნდა შეცვალოთ დანარჩენი პაროლები.
  5. მონაცემთა ბაზის სერთიფიკატების შეცვლა (თუ შესაძლებელია): wp-config.php ფაილი შეიცავს რწმუნებათა სიგელებს, რომლებსაც WordPress საიტი იყენებს საიტის მონაცემთა ბაზასთან დასაკავშირებლად. ხშირ შემთხვევაში, მონაცემთა ბაზაზე წვდომა იზღუდება მაშინაც კი, თუ მონაცემთა ბაზის რწმუნებათა სიგელები კომპრომეტირებულია. თუმცა, ზოგიერთ ჰოსტზე ჰაკერებს შეუძლიათ გამოიყენონ ეს ინფორმაცია მონაცემთა ბაზის პირდაპირ შესაცვლელად. ამან შეიძლება გამოიწვიოს ადგილის ხელახალი ინფექცია.
  6. შეცვალეთ უსაფრთხოების გასაღებებიპასუხი: WordPress იყენებს უსაფრთხოების გასაღებებს რეგისტრირებული მომხმარებლებისთვის სესიების სამართავად.
  7. დააყენეთ თქვენი WordPress firewall: მე უკვე განვიხილეთ ეს დეტალურად ამ სტატიაში. WordPress firewall არის თქვენი საუკეთესო დაცვა მავნე ბოტებისა და ცუდი ტრაფიკისგან.

All In One WP Security & Firewall - WordPress საიტის უსაფრთხოება

უსაფრთხოების მოდული WordPress-ისთვის All In One WP Security Firewall.მოკლედ: თქვენი საიტის დასაცავად უმარტივესი გზაა საიტის უსაფრთხოების დანამატის დაყენება, როგორიცაა: All In One WP Security & Firewall არის ყოვლისმომცველი, მარტივი გამოსაყენებელი, სტაბილური და კარგად მოვლილი WordPress უსაფრთხოების მოდული.
All In One WP Security & Firewall-ს აქვს შემდეგი მახასიათებლები:

All In One WP Security & Firewall მუდმივად არის მხარდაჭერილი.

1. მომხმარებლის ანგარიშის უსაფრთხოება

  • დაადგინეთ, არსებობს თუ არა მომხმარებლის ანგარიში ნაგულისხმევი მომხმარებლის სახელით "admin" და მარტივად შეცვალეთ მომხმარებლის სახელი თქვენთვის სასურველი მნიშვნელობით.
  • დანამატი ასევე აღმოაჩენს, გაქვთ თუ არა WordPress მომხმარებლის ანგარიშები იგივე შესვლებითა და საჩვენებელი სახელებით. ანგარიშის არსებობა, რომელსაც აქვს იგივე საჩვენებელი სახელი, როგორც შესვლა, უსაფრთხოების ცუდი პრაქტიკაა, რადგან თქვენ ქმნით ლოგინს ჰაკერებისთვის, რომელიც უკვე მზად არის 50%-ზე, რადგან მათ უკვე იციან შესვლა.
  • პაროლის გაძლიერების ინსტრუმენტი, რომელიც საშუალებას გაძლევთ შექმნათ ძალიან ძლიერი პაროლები.
  • შეაჩერე მომხმარებლების სია. ამრიგად, მომხმარებლებს/ბოტებს არ შეუძლიათ მომხმარებლის ინფორმაციის აღმოჩენა ავტორის პერმალინკის საშუალებით.

2. მომხმარებლის შესვლის უსაფრთხოება

  • დაიცავით „Brute Force Login Attack“-ისგან შესვლის დაბლოკვის ფუნქციით. კონკრეტული IP მისამართის ან დიაპაზონის მქონე მომხმარებლები აიკრძალება სისტემიდან წინასწარ განსაზღვრული პერიოდის განმავლობაში, კონფიგურაციის პარამეტრებიდან გამომდინარე, ასევე შეიძლება მიიღოთ შეტყობინებები.
    ელექტრონული ფოსტით, როდესაც ვინმე დაბლოკილია შესვლის ძალიან ბევრი მცდელობის გამო.
  • როგორც ადმინისტრატორს, თქვენ შეგიძლიათ ნახოთ ყველა დაბლოკილი მომხმარებლის სია, რომელიც ნაჩვენებია ადვილად წასაკითხად და ნავიგაციის ცხრილში, რომელიც ასევე საშუალებას გაძლევთ განბლოკოთ ინდივიდუალური ან ჯგუფური IP მისამართები ღილაკის დაჭერით.
  • ყველა მომხმარებლის გამოსვლის იძულება კონფიგურირებადი პერიოდის შემდეგ.
  • თვალყური ადევნეთ/იხილეთ წარუმატებელი შესვლის მცდელობები, რომელიც აჩვენებს მომხმარებლის IP მისამართს, მომხმარებლის ID/მომხმარებლის სახელს და შესვლის წარუმატებელი მცდელობის თარიღს/დროს.
  • თვალყური ადევნეთ/იხილეთ ყველა მომხმარებლის ანგარიშის აქტივობას თქვენს სისტემაში მომხმარებლის სახელის, IP მისამართის, შესვლის თარიღის/დროის და გამოსვლის თარიღის/დროის თვალყურის დევნით.
  • IP მისამართების დიაპაზონის ავტომატურად დაბლოკვის შესაძლებლობა, რომლებიც ცდილობენ შესვლას არასწორი მომხმარებლის სახელით.
  • ყველა მომხმარებლის სიის ნახვის შესაძლებლობა, რომლებიც ამჟამად არიან შესული თქვენს საიტზე.
  • საშუალებას გაძლევთ მიუთითოთ ერთი ან მეტი IP მისამართი სპეციალურ თეთრ სიაში. თეთრ სიაში შეყვანილ IP-ებს ექნებათ წვდომა თქვენს WP შესვლის გვერდზე.
  • დაამატეთ Google reCaptcha ან მარტივი მათემატიკის captcha თქვენს WordPress შესვლის ფორმას.
  • დაამატეთ Google reCaptcha ან მარტივი მათემატიკის captcha თქვენი WP შესვლის სისტემის დავიწყებული პაროლის ფორმას.

3. მომხმარებლის რეგისტრაციის უსაფრთხოება

  • ჩართეთ WordPress მომხმარებლის ანგარიშების ხელით გადამოწმება. თუ თქვენი საიტი საშუალებას აძლევს ადამიანებს შექმნან საკუთარი ანგარიშები WordPress რეგისტრაციის ფორმის საშუალებით, შეგიძლიათ მინიმუმამდე დაიყვანოთ SPAM ან ყალბი რეგისტრაცია თითოეული რეგისტრაციის ხელით დადასტურებით.
  • თქვენს WordPress მომხმარებლის რეგისტრაციის გვერდზე Google reCaptcha ან მარტივი მათემატიკის captcha-ს დამატების შესაძლებლობა, რათა დაგიცვათ მომხმარებლის სპამის რეგისტრაციისგან.
  • WordPress მომხმარებლის რეგისტრაციის ფორმაში Honeypot-ის დამატების შესაძლებლობა, რათა შემცირდეს ბოტების რეგისტრაციის მცდელობები.

4. WordPress მონაცემთა ბაზის დაცვა

  • მარტივად დააყენეთ ნაგულისხმევი WP პრეფიქსი თქვენი არჩევანის მნიშვნელობაზე ღილაკის დაჭერით.
  • დაგეგმეთ ავტომატური სარეზერვო ასლები და ელ.ფოსტის შეტყობინებები, ან მიიღეთ მყისიერი DB სარეზერვო ასლები ნებისმიერ დროს მხოლოდ ერთი დაწკაპუნებით.

5. WordPress საიტის ფაილური სისტემის უსაფრთხოება

  • იდენტიფიცირეთ ფაილები ან საქაღალდეები არასაიმედო ნებართვის პარამეტრებით და დააყენეთ ნებართვები რეკომენდებულ უსაფრთხო მნიშვნელობებზე ღილაკის დაჭერით.
  • დაიცავით თქვენი PHP კოდი WordPress-ის ადმინისტრატორის ზონაში ფაილის რედაქტირების გამორთვით.
  • მარტივად დაათვალიერეთ და დააკვირდით მასპინძელი სისტემის ყველა ჟურნალს ერთი მენიუს გვერდიდან და იყავით განახლებული თქვენს სერვერზე არსებულ ნებისმიერ საკითხზე ან პრობლემაზე, ასე რომ თქვენ შეგიძლიათ სწრაფად მოაგვაროთ ისინი.
  • აღკვეთეთ ხალხის წვდომა თქვენი WordPress საიტის readme.html, licence.txt და wp-config-sample.php ფაილებზე.

6. დააკოპირეთ და აღადგინეთ htaccess და wp-config.php ფაილები

  • მარტივად შექმენით თქვენი ორიგინალური .htaccess და wp-config.php ფაილების სარეზერვო ასლი, თუ დაგჭირდებათ ისინი გაფუჭებული ფუნქციების აღსადგენად.
  • შეცვალეთ ამჟამად აქტიური .htaccess ან wp-config.php ფაილების შინაარსი ადმინისტრატორის პანელიდან მხოლოდ რამდენიმე დაწკაპუნებით.

7. შავი სიის ფუნქციონირება

  • დაბლოკეთ მომხმარებლები IP მისამართების მითითებით, ან გამოიყენეთ wildcard IP მისამართების დიაპაზონის დასაზუსტებლად.
  • უარყავით მომხმარებლები მომხმარებლის აგენტების მითითებით.

8. Firewall-ის ფუნქციონირება

ეს მოდული საშუალებას გაძლევთ მარტივად დაამატოთ ფეიერვოლ დაცვის მრავალი ელემენტი თქვენს ვებსაიტზე htaccess ფაილის საშუალებით. htaccess ფაილს ამუშავებს თქვენი ვებ სერვერი თქვენს საიტზე არსებულ ნებისმიერ სხვა კოდამდე.
ასე რომ, firewall-ის ეს წესები შეაჩერებს მავნე სკრიპტ(ებ)ს, სანამ მას ექნება შანსი მოხვდეს WordPress კოდზე თქვენს საიტზე.

  • წვდომის კონტროლის ობიექტი.
  • მყისიერად გაააქტიურეთ firewall პარამეტრების ნაკრები, დაწყებული ძირითადი, შუალედური და გაფართოებული.
  • ჩართეთ ცნობილი "6G შავი სიის" ბუხარლის წესები Perishable Press-ის თავაზიანობით.
  • გამორთეთ კომენტარების გამოქვეყნება პროქსის საშუალებით.
  • დაბლოკეთ წვდომა გამართვის ჟურნალის ფაილზე.
  • გამორთეთ მიკვლევა და თვალთვალი.
  • არასწორი ან მავნე მოთხოვნის სტრიქონების უარყოფა.
  • დაიცავით თავი ჯვარედინი სკრიპტირებისგან (XSS) ყოვლისმომცველი გაფართოებული სიმბოლოების სიმებიანი ფილტრის გააქტიურებით.
    ან მავნე ბოტებს, რომლებსაც არ აქვთ სპეციალური ქუქი ბრაუზერში. თქვენ (საიტის ადმინისტრატორი) გეცოდინებათ როგორ დააყენოთ ეს სპეციალური ქუქი და შეძლებთ თქვენს საიტზე შესვლას.
  • WordPress PingBack დაუცველობის დაცვის ფუნქცია. Firewall-ის ეს ფუნქცია მომხმარებელს საშუალებას აძლევს უარყოს xmlrpc.php ფაილზე წვდომა, რათა დაიცვას ping ფუნქციის გარკვეული დაუცველობისგან. ეს ასევე სასარგებლოა იმისთვის, რომ დაბლოკოს ბოტები xmlrpc.php ფაილზე მუდმივი წვდომისა და თქვენი სერვერის რესურსების გაფლანგვისთვის.
  • ყალბი Googlebots-ის დაბლოკვის შესაძლებლობა თქვენი საიტის ცოცვისგან.
  • სურათის ცხელი ლინკების თავიდან აცილების შესაძლებლობა. გამოიყენეთ ეს, რათა თავიდან აიცილოთ სხვების მიერ თქვენი სურათების ცხელი ლინკები.
  • თქვენს საიტზე ყველა 404 მოვლენის ჩაწერის შესაძლებლობა. თქვენ ასევე შეგიძლიათ ავტომატურად დაბლოკოთ IP მისამართები, რომლებიც იღებენ ძალიან ბევრ 404 შეცდომას.
  • თქვენი საკუთარი წესების დამატების შესაძლებლობა თქვენს საიტზე სხვადასხვა რესურსებზე წვდომის დაბლოკვის მიზნით.

9. თავიდან აიცილეთ შესვლის უხეში ძალის შეტევა

  • დაბლოკეთ უხეში ძალის შეტევები მყისიერად ჩვენი მორგებული ქუქი-ფაილების სისტემაზე დაფუძნებული შესვლის უხეში ძალის პრევენციის ფუნქციით. Firewall-ის ეს ფუნქცია ბლოკავს ყველა შესვლის მცდელობას ადამიანებისა და ბოტების მხრიდან.
  • WordPress-ის შესვლის ფორმაში მარტივი მათემატიკური captcha-ს დამატების შესაძლებლობა უხეში ძალის შეტევებისგან დასაცავად.
  • ადმინისტრატორის შესვლის გვერდის დამალვის შესაძლებლობა. გადაარქვით თქვენი WordPress შესვლის გვერდის URL, რათა თავიდან აიცილონ ბოტებისა და ჰაკერების წვდომა თქვენს რეალურ WordPress შესვლის URL-ზე. ეს ფუნქცია საშუალებას გაძლევთ შეცვალოთ ნაგულისხმევი შესვლის გვერდი (wp-login.php) თქვენს მიერ მორგებული გვერდით.
  • Login Honeypot-ის გამოყენების შესაძლებლობა, რაც ხელს შეუწყობს შესვლის მცდელობების რაოდენობის შემცირებას რობოტების უხეში ძალის გამოყენებით.

10. ვებსაიტის ფაილების უსაფრთხოების სკანერი

  • ფაილის ცვლილების აღმოჩენის სკანერს შეუძლია გაფრთხილება, თუ რაიმე ფაილი შეიცვალა თქვენს WordPress სისტემაში. ამის შემდეგ შეგიძლიათ გამოიკვლიოთ და ნახოთ, იყო თუ არა ეს ლეგიტიმური ცვლილება ან შემოღებული იყო თუ არა ცუდი კოდი.

11. კომენტარების დაცვა სპამისგან

  • თვალყური ადევნეთ ყველაზე აქტიურ IP-ებს, რომლებიც მუდმივად აწარმოებენ ყველაზე მეტ სპამის კომენტარს და დაბლოკეთ ისინი მყისიერად ღილაკის დაჭერით.
  • თავიდან აიცილეთ კომენტარების გაგზავნა, თუ ისინი არ არის თქვენი დომენიდან (ამან უნდა შეამციროს თქვენს საიტზე სპამის ბოტების მიერ გამოქვეყნებული კომენტარების რაოდენობა).
  • დაამატეთ captcha თქვენს WordPress კომენტარის ფორმაში, რათა გააუმჯობესოთ თქვენი დაცვა კომენტარების სპამისგან.
  • ავტომატურად და სამუდამოდ დაბლოკოს IP მისამართები, რომლებიც აღემატება სპამად მონიშნული კომენტარების გარკვეულ რაოდენობას.

12. წინა კოპირების დაცვის ტექსტი

  • მარჯვენა ღილაკით დაწკაპუნების, ტექსტის არჩევისა და კოპირების ოფციის გამორთვის შესაძლებლობა თქვენი წინა ნაწილისთვის.

13. მოდულის დამატებითი ფუნქციები

  • WordPress გენერატორის მეტა ინფორმაციის წაშლის შესაძლებლობა თქვენი საიტის HTML კოდიდან.
  • WordPress-ის ვერსიის ინფორმაციის წაშლის შესაძლებლობა თქვენი საიტის JS და CSS ფაილებიდან.
  • ადამიანებს readme.html, licence.txt და wp-config-sample.php ფაილებზე წვდომის აკრძალვის უნარი.
  • თქვენი საიტის წინა ნაწილის დროებით დაბლოკვის შესაძლებლობა რეგულარული ვიზიტორებისგან, როდესაც თქვენ ასრულებთ სხვადასხვა შიდა ამოცანებს (საიტზე უსაფრთხოების შეტევების გამოკვლევა, საიტის განახლებების შესრულება, ტექნიკური მომსახურება და ა.შ.)
  • უსაფრთხოების პარამეტრების ექსპორტის/იმპორტის შესაძლებლობა.
  • აარიდეთ სხვა საიტებს თქვენი შინაარსის ჩვენება ჩარჩოში ან iframe-ში.

იდეალურია მათთვის, ვისაც უბრალოდ დრო არ აქვს ვებსაიტის უსაფრთხოებასთან გამკლავებისთვის. უბრალოდ დააინსტალირეთ და დაივიწყეთ დანამატი. მაგრამ თუ თქვენ შეძლებთ დამატებით დროს დაუთმოთ თქვენი უსაფრთხოების გამკაცრებას, გირჩევთ, განახორციელოთ ყველა ზემოთ ჩამოთვლილი ღონისძიება.

გამომავალი

მე დავიწყე ეს სტატია იმის შესახებ, თუ როგორ დავიცვათ ვებსაიტი მკაფიო მითითებით: პირველი ნაბიჯი არის თქვენი საიტის უსაფრთხოების სწორად დაცვა. ეს არის უწყვეტი პროცესი. ნებისმიერ ორგანიზაციაში კარგი სტანდარტული პრაქტიკაა პერიოდული აუდიტის ჩატარება, რათა უზრუნველყოს საიტის უსაფრთხოებაზე მაქსიმალური კონტროლი. საფრთხის ლანდშაფტი მუდმივად იცვლება და ჰაკერები იპოვიან უფრო კრეატიულ გზებს უსაფრთხოების გასარღვევად. უსაფრთხოების ექსპერტები მუდმივად ფხიზლად რჩებიან და ეს არის ყველაფრის მთავარი დასკვნა: არ დაისვენოთ.

გმადლობთ, რომ კითხულობთ ნიკოლა ტოპს

რამდენად სასარგებლოა პოსტი?

დააწკაპუნეთ სმაილზე შეფასებისთვის!

საშუალო რეიტინგი 4.9 / 5. შეფასებების რაოდენობა: 50

ჯერ არ არის რეიტინგები. ჯერ შეაფასეთ.

ასევე შეიძლება მოგეწონოთ...

2 Responses

  1. Евгений ამბობს:
    10.08.2022 02:46-ში

    ამხელა სტატიას პირველად ვხედავ. პატივისცემით საიტის ავტორს, რამდენი დრო დახარჯეთ მასზე? მშვენიერი სახელმძღვანელო, რომელიც აღწერს საიტის დაცვისა და უსაფრთხოების შენარჩუნების თითქმის ყველა ასპექტს. დიდი ხანია ვკითხულობ შენს ბლოგს. მადლობა, ძალიან სასარგებლო მასალაა.

    პასუხი
    • Николай Алексеев ამბობს:
      10.08.2022 12:10-ში

      არც ისე ცოტა)) მადლობა ჩემი ბლოგის წაკითხვისთვის)

      პასუხი

კომენტარის დატოვება

თქვენი ელფოსტის მისამართი გამოქვეყნებული არ იყო. აუცილებელი ველები მონიშნულია *

თხუთმეტი − ერთი =