Kaip apsaugoti svetainę? Svetainės saugumo vadovas

Peržiūrų skaičius

407
spausdinti · Время на чтение: 24vyras · pateikė · Paskelbta · Atnaujinta

Klausyti straipsnioKlausykite šio straipsnio

Kaip apsaugoti savo svetainę? Naudokite šiuos metodus. Svetainės saugumas.

Svetainės saugumas arba kaip apsaugoti svetainę? Kai kurie įsilaužimai įvyksta dėl visiškai juokingų priežasčių: nesavalaikiai atnaujinimai, silpni slaptažodžiai ir pan. Šiame esminiame svetainės saugos vadove parodysiu, kaip apsaugoti svetainę:

  • Net jei... jūs naujokas svetainės saugumo srityje ir nelabai suprantate, ką tai reiškia;
  • Net jei... anksčiau bandėte apsaugoti savo svetainę ir nepavyko;
  • Net jei... esate priblokštas pagrindinių darbų ir nežinote, nuo ko pradėti;
  • Net jei... jūs galvojate: „Aš neprilygstu įsilaužėliams – tai kam bandyti ką nors daryti?
Bet dar svarbiau, kad pakalbėsiu apie tai, kaip pradėti. pagalvokite apie savo svetainių saugumą pirmiausia. Tokiu būdu turėsite visus įrankius, kurių reikia norint priimti teisingus (saugumo) sprendimus savo svetainėje. Bus kuo daugiau informacijos, įsipilkite arbatos ar kavos puodelį ir ruoškitės.
Straipsnio turinys:

Kas yra svetainės saugumas?

Kaip apsaugoti savo svetainę – kas yra svetainės saugumas?

Puiku, kad imasi tam tikrų veiksmų savo svetainei apsaugoti. Turite suprasti, kad svetainės saugumas yra nuolatinis procesas, kuriam reikia periodinio jūsų dėmesio. Piratai yra kūrybingi žmonės, todėl grėsmės nuolat kinta.

Svetainės sauga yra planas, skirtas apsaugoti jūsų svetainę ir vartotojus nuo įsilaužėlių ir jų kenkėjiškų programų. Tai apima jūsų svetainės komponentų supratimą, kaip jie veikia kartu ir kokius pažeidžiamumus jie turi.

Kai šis pagrindas yra sukurtas, turite sudaryti išsamų saugumo planą, skirtą apsisaugoti nuo pažeidžiamumų. Tai apima daugybę konfigūravimo veiksmų, strategijų diegimą ir informacijos apie grėsmę atnaujinimą.

Norint apsaugoti svetainę, svarbu suprasti, kad tai nėra vienkartinis dalykas. Saugumas vystosi, nes vystosi grėsmės.

Žemiau esančiame straipsnyje pamatysite, kad geras saugos papildinys atliks didžiąją dalį sunkaus darbo, susijusio su kenkėjiškomis programomis, tačiau būdami atsargūs ir budrūs pirmiausia užtikrina svetainės saugumą.

Kodėl svetainės saugumas yra svarbus?

„WordPress“ naudoja milijonai žmonių, todėl tikriausiai saugu, tiesa? Taip ir ne.

— Taip, nes pagrindiniai „WordPress“ failai yra apsaugoti ir net jei randamas pažeidžiamumas, jis labai greitai ištaisomas.

– Ne, nes jūsų svetainė nėra tik „WordPress“ pagrindas. Tai papildinių ir temų derinys, padedantis padaryti jūsų svetainę funkcionalesnę, interaktyvesnę ir patrauklesnę. Šie papildiniai ir temos pagerina „WordPress“ funkcionalumą, bet taip pat padidina pažeidžiamumų galimybę. Geri papildinių kūrėjai greitai ištaisys spragas. Tačiau pavojus šiuo atžvilgiu yra daug didesnis.

Kaip apsaugoti savo svetainę nuo įsilaužėlių? Veiksmo žingsniai

Kaip apsaugoti svetainę nuo įsilaužimo, įsilaužėlių, kenkėjiškos veiklos.

Turėti įgyvendinamas planas Norėdami apsaugoti savo svetainę, pirmiausia turite suprasti, kaip į svetaines įsilaužiama. Remiantis šiuo tyrimu, į svetaines dažniausiai įsilaužiama trimis būdais:

  • 90+% – „WordPress“ papildinio arba temos pažeidžiamumas.
  • 5+% – pažeistas vartotojo vardas ir (arba) slaptažodis.
  • <1% – prastos žiniatinklio prieglobos paslaugos.
Šis paskirstymas turėtų būti pagrindas, kaip jūs planuojate apsaugoti savo svetainę ir kur turėtumėte skirti daugiau laiko bei išteklių.

1. Apsaugokite savo svetainę nuo pažeidžiamumų

Piratai nuolat ieško pažeidžiamų svetainių. Nesvarbu, ar svetainė yra didelė, ar maža. Jie turi daug privalumų įsilauždami į beveik bet kurią svetainę. Mūsų patirtis rodo, kad daugiau nei 90% visų pažeidimų atsiranda dėl to, kad įsilaužėliai atranda pažeidžiamumą ir ja naudojasi.

Pažvelkime atidžiau, kas yra pažeidžiamumas. Tai labai svarbu suprasti, kad ateityje galėtumėte sąmoningai formuoti savo svetainės saugumo strategiją.

Kas yra pažeidžiamumas?

Jūsų svetainę sudaro 3 pagrindiniai komponentai: „WordPress“, papildiniai ir temos. Iš esmės visa tai yra programinė įranga ir, kaip ir bet kuri programinė įranga, joje yra klaidų, dėl kurių ji kartais sugenda.

Klaidos gali turėti įvairių pasekmių: kai kurios iš jų sulėtina jūsų svetainę arba sukelia klaidą, kai kas nors joje apsilanko. Tai erzina ir kelia problemų, tačiau rimtesni leidžia neteisėtiems vartotojams (pvz., įsilaužėliams) gauti prieigą prie jūsų svetainės. Tokia klaida žinoma kaip pažeidžiamumas.

Pažeidžiamumų tipai

Pažeidžiamumas gali būti apibūdinamas, kaip darėme ankstesnėje pastraipoje, kaip kodo klaidos. Tačiau yra keletas specifinių tipų, kurie pasitaiko dažniau nei kiti:

  1. Pasenusi programinė įranga: svarbu atnaujinti pagrindinį elementą, papildinius ir temas;
  2. Prastas vartotojo vaidmenų valdymas: nesuteikite kiekvienam vartotojui visiškos administratoriaus prieigos;
  3. Neapdorotos įvesties: įvesties laukai turi patvirtinti įvestį prieš išsaugant ir (arba) vykdant.

Galimi įsilaužimai į nesaugią svetainę

Pažeidžiamumas yra glaudžiai susijęs su leidžiamų atakų rūšimis ir dažnai vadinamos pakaitomis. Dažniausios atakos, su kuriomis susiduria „WordPress“, yra šios:

  • Kodo įpurškimas: kai kenkėjiškas kodas įterpiamas per įvesties laukus ir vykdomas naudojant svetainės kodą arba duomenų bazę. Įprastas SQL įterpimo kodo įterpimo variantas, ypač baisus duomenų baze valdomoms programoms, tokioms kaip „WordPress“.
  • Kelių svetainių scenarijų atakos: Šio tipo pažeidžiamumas vagia naudotojo slapukus, kad galėtų jais apsimesti arba net užgrobti seansą. Tada tikslinio vartotojo prieiga naudojama atakuoti jūsų svetainę.
  • Brutalios jėgos atakos: Kaip rodo pavadinimas, tokio tipo atakai nėra jokios gudrybės. Įsilaužėlis bombarduoja jūsų prisijungimo puslapį naudotojo vardo / slaptažodžio deriniais, bandydamas rasti tinkamą.
  • SEO šlamštasA: Bet koks šlamštas yra rimtas, bet ši ataka paveikia tai, kas labiausiai kenkia svetainei: SEO. Tinklalapių savininkai eikvoja išteklius dirbdami su savo SEO, kad įsilaužėlis pasinaudotų neteisėtu pranašumu, įterpdamas iššokančiuosius langus ir nuorodas į nelegalias ar pilkas prekes. PVO šlamšto atakas taip pat sunku aptikti, todėl dažnai svetainės patiria neigiamą šlamšto poveikį dar nesuvokdamos, kad yra užkrėstos.
  • Sukčiavimo atakos: per šias atakas įsilaužėlis bando apsimesti teisėtu asmeniu, siekdamas apgauti vartotoją, kad šis savanoriškai perduotų savo informaciją. Sukčiavimas veikia kartu su el. paštu ir įsilaužta svetaine, kad gautų tuos kredencialus.

Koks yra pažeidžiamumo poveikis?

Įskiepiai ir temos yra įdiegtos keliuose tūkstančiuose svetainių, todėl šio vieno trūkumo poveikis išauga daug kartų. Atsakingi papildinių ir temų kūrėjai išleisdami naujinimus stengiasi uždaryti savo produktų saugos spragas.

Tiesą sakant, tai yra pagrindinė priežastis, kodėl rekomenduojama, kai tik įmanoma, rinktis aukščiausios kokybės papildinius. Svetainės saugumo strategijoje didžiausias dėmesys turėtų būti skiriamas reguliariam programinės įrangos priežiūrai. Puiku, tai reiškia, kad klaida buvo ištaisyta. Mes dabar saugūs, tiesa? Na, ne visai. Pažeidžiamumo aptikimas yra pavojingas laikas svetainių savininkams.

Kas nutinka, kai aptinkamas pažeidžiamumas?

Pažeidžiamumų dažnai atranda svetainių saugumo tyrinėtojai. Jie praneša apie savo išvadas papildiniui arba temos kūrėjui. Kaip minėjome ankstesniame skyriuje, atsakingi kūrėjai sieks išspręsti problemą ir išleisti naujinimą.
Kai pažeidžiamumas bus pašalintas, svetainės saugumo tyrėjas paskelbs savo išvadas. Kūrėjas išleido pataisą, kad svetainės būtų saugios, tiesa? Ne visai.

Įsilaužėliai taip pat skaito apie pažeidžiamumą ir ieško svetainių, kurios neatnaujino savo versijų. Viešieji pažeidžiamumai dažniausiai patinka naujiems įsilaužėliams (taip pat žinomiems kaip scenarijų vaikai), nes dabar jie gali be vargo naudotis svetainėmis. Jie tiksliai žino, kur yra jų tikslas.

Ką reikėtų daryti norint apsaugoti svetainę nuo pažeidžiamumų?

Dabar pakalbėsiu apie konkrečius veiksmus, kurių galite imtis, kad jūsų svetainė būtų saugi ir apsaugota nuo įsilaužėlių. Šie veiksmai gali atrodyti paprasti, tačiau jie yra veiksmingi būdai apsaugoti svetainę.

1. Padarykite atsargines kopijas

Atsarginės kopijos yra labiausiai neįvertinta svetainės saugumo strategijos dalis. Negaliu pakankamai pabrėžti reguliarių atsarginių kopijų kūrimo svarbos. Jie yra jūsų apsauginis tinklas, vienintelis dalykas, kuriuo galite pasikliauti, kai viskas vyksta ne taip. Atsarginės kopijos padės greitai grąžinti svetainę į sveiką būseną.

2. Atnaujinkite papildinius ir temas

Tai gali atrodyti labai akivaizdu, ypač jei perskaitėte ankstesnį skyrių apie naujinimų svarbą. Tačiau labai lengva nepaisyti raudono pranešimo prietaisų skydelyje ir imtis skubesnių veiksmų.

Todėl pasikartosiu. Papildinių kūrėjai išleidžia naujinimus su saugos pataisymais. Net jei nuspręsite atidėti naujinimų diegimą, atnaujinkite papildinį vėliau, bent jau perskaitę leidimo pastabas.

3. Pasirinkite geros kokybės papildinius ir temas

Mažai tikėtina, kad kada nors bus visiškai patikima programinė įranga, yra pagrindiniai veiksniai, į kuriuos reikia atsižvelgti renkantis tinkamus įskiepius ir temas savo svetainei:

  • Papildinys reguliariai atnaujinamasAts.: Įskiepis arba tema, kurį nuolat prižiūri jo kūrėjas, greičiausiai gaus saugos pataisą, jei aptiks pažeidžiamumą.
  • Ar įskiepis populiarus?? Tai dviašmenis kardas. Populiarus papildinys su milijonais įdiegtų bus įsilaužėlių taikinys. Tačiau tokie papildiniai taip pat yra saugesni, nes juos valdo daug daugiau kūrėjų.
  • Ar tai aukščiausios kokybės papildinysA: Mokami įskiepiai palaiko kūrėjų darbą, todėl jų bus atsisakyta daug rečiau nei nemokami įskiepiai. Tai nereiškia, kad atvirojo kodo programinė įranga niekada nėra saugi, tačiau naudodami aukščiausios kokybės produktą mokate už klientų aptarnavimą ir produkto kokybę.
  • Niekada neįdiekite nuluotų papildinių ir temųA: Aukščiausios kokybės nemokama programinė įranga kelia problemų daugeliu lygių. Nulinėje programinėje įrangoje dažnai yra kenkėjiškų programų arba galinių durų, kurias įdiegus įsilaužėliams suteikiama galimybė pasiekti jūsų svetainę.
4. Naudokite ugniasienę

Nėra patikimo būdo užkirsti kelią įsilaužėliams ar jų robotams atakuoti tokias svetaines kaip jūsų. Tačiau jūs galite žymiai sumažinti tikimybę įdiegę ugniasienę.

2. Apsaugokite savo vartotojo vardą ir slaptažodį

Apie 6% iš įsilaužtų svetainių buvo pažeidžiamos atakoms dėl silpnų slaptažodžių. Tai gali atrodyti nedidelis skaičius, palyginti su tiesiogine kenkėjiška veikla, tačiau jis vis tiek pakankamai reikšmingas, kad atkreiptų jūsų dėmesį.

Svetainės administratoriaus slaptažodžio praradimas prilygsta buto ar automobilio raktų praradimui. Turėdamas raktą, vagis gali visiškai valdyti jūsų vertingą turtą. Panašiai, turėdami slaptažodį, įsilaužėliai turi visišką prieigą prie jūsų svetainės ir jos informacijos. Šiuo metu net ugniasienė ar saugos papildinys negali sutrukdyti įsilaužėliams sugadinti jūsų svetainę.

Stiprių slaptažodžių poreikis vis dar aktyviai propaguojamas, tačiau dėl kylančių sunkumų svetainių vartotojai dažnai į tai nepaiso. Prieš įsigilindamas į geros reputacijos įgijimo mechanizmus, atsakykime į kai kuriuos dažniausiai su jais susijusius žmonių klausimus.

Kaip galima pavogti slaptažodį?

Atsakymas gali nustebinti: įsilaužėlis bando atspėti slaptažodį. Turiu omenyje tai, kad jie bando skirtingus slaptažodžius rankiniu būdu, bet tam ir yra skirti robotai. Tai taip pat žinoma kaip žiaurios jėgos ataka arba, jei robotas atspėja žodžius, žodyno ataka.

Šios atakos labai gerai veikia dėl kelių priežasčių.:

  • Lengva atspėti slaptažodžius: bendriniai žodžiai, trumpi žodžiai, pats žodis „slaptažodis“ įvairiais deriniais.
  • Duomenys iš ankstesnių įsilaužimų: Yra priežastis, kodėl žmonės rekomenduoja naudoti skirtingus slaptažodžius skirtingoms paslaugoms ir svetainėms.

Kaip apsisaugoti nuo slaptažodžio vagystės

1. Naudokite stiprų slaptažodį – stipriems slaptažodžiams naudojamas atsitiktinis raidžių, skaičių ir simbolių derinys, nes juos sunku nulaužti. Gali prireikti metų, kol įsilaužėlių robotai suras tinkamą slaptažodį. Galite pabandyti patys susikurti stiprų slaptažodį arba naudoti slaptažodžių generatorių.

2. Apribokite prisijungimo bandymų skaičių – geras būdas apsisaugoti nuo žiaurios jėgos atakos yra blokuoti įsibrovėlius po kelių nesėkmingų prisijungimo bandymų. Tai veiksmingas mechanizmas, nes tokio tipo ataka susideda iš įsilaužėlių robotų, nuolat bandančių skirtingus slaptažodžius.

3. Įdiekite dviejų veiksnių autentifikavimą – kai kurios paslaugos naudoja dviejų veiksnių autentifikavimą prisijungimo metu, o tai iš esmės reiškia, kad norint pasiekti paskyrą reikia turėti du (idealiu atveju) atskirus prieigos raktus. Dažniausiai tai yra slaptažodžių ir galiojimo pabaigos žetono, pvz., PIN kodo arba QR kodo, derinys, siunčiamas į jūsų el. laišką arba įrenginį.

4. Įdiekite CAPTCHA apsaugą – CAPTCHA gali išspręsti tik žmonės. Jie skirti neleisti įsilaužėlių robotams pasiekti paskyros. Galite jį naudoti norėdami apsaugoti savo svetainę.

5. Naudokite ugniasienę – kai kurios svetainių saugos užkardos taip pat stebi kenkėjiškus IP adresus visame pasaulyje. Ugniasienė mokosi visose svetainėse, kuriose įdiegtas papildinys. Tada jis automatiškai blokuoja blogus IP, kol jie bando nulaužti jūsų slaptažodį. Tai kartu su galimybe apriboti prisijungimus gali apsaugoti jūsų svetainę nuo įsilaužėlių, bandančių įsilaužti į jūsų svetainės administravimo sritį.

3. Pasirinkite gerą prieglobos paslaugų teikėją

Yra tendencija kaltinti žiniatinklio prieglobą dėl visko, kas sugenda svetainėje. Nors žiniatinklio prieglobos paprastai yra atsakingos už daugelį svetainės aspektų, jie retai būna kalti, kai į svetainę įsilaužiama. Tiesą sakant, paprastai yra atvirkščiai: žiniatinklio prieglobos pagerina svetainių saugumą.

Žinoma, yra keletas žiniatinklio prieglobų, kurios gali pažeisti jų serveryje esančias svetaines. Taip nutinka retai, bet kai taip nutinka, tai yra didelis incidentas, dėl kurio kyla pavojus tūkstančiams svetainių.

4. Įdiekite SSL sertifikatą

Secure Sockets Layer, geriau žinomas kaip SSL, yra saugos protokolas, šifruojantis visus ryšius su svetaine. Įdiegus ji bus rodoma kaip pakabinama spyna jūsų svetainės URL pradžioje.

SSL sertifikato naudojimo pranašumai yra tokie:

  • Visi į jūsų svetainę ir iš jos perduodami duomenys yra užšifruoti.
  • Tai pasitikėjimo jūsų svetaine ženklas. Tiesą sakant, dauguma naršyklių adreso juostoje pažymės ne SSL svetaines kaip „Nesaugias“.
  • „Google“ mėgsta svetaines su SSL sertifikatu ir netgi apdovanoja jas aukštesniais reitingais.

Gera svetainių saugos praktika

Kaip sakiau pradžioje, svetainės saugumas yra nuolatinė praktika. Šiame skyriuje išvardinsiu metodus, kuriuos naudinga įtraukti į bendrą svetainės saugumo strategiją. Kai įprasite tai daryti, nedidelė jūsų laiko ir pastangų investicija saugiai svetainei atsipirks daug kartų.

1. Dažnai keiskite slaptažodį — Suprantu, kad sunkiai atspėjamų slaptažodžių nustatymas yra sudėtingas, juolab kad jie dažnai yra sunkiai įsimenamų slaptažodžių sinonimai. Taip pat galime įsivaizduoti, kokį nerimą kelia mūsų prašymas reguliariai keisti mūsų puikų slaptažodį.

Priežastis ta, kad slaptažodžiai yra silpniausia saugumo grandis, ypač jei tuos pačius slaptažodžius naudojate kelioms paskyroms. Net jei į vieną svetainę bus įsilaužta, galite drąsiai manyti, kad visos jūsų paskyros gali būti pažeistos. Įprasta taip pat gali reikšti skirtingus dalykus skirtingiems žmonėms. Kai kurios finansų įstaigos, pavyzdžiui, bankai, reikalauja, kad slaptažodžiai būtų keičiami kas 90 dienų.

2. Patikrinkite svetainės naudotojus, stebėkite naujus administratorius — įsilaužėliai dažnai palieka administratorių naudotojus, kad jie galėtų atgauti prieigą prie svetainės. Todėl reguliariai tikrindami administratoriaus naudotojus galite padidinti svetainės saugumą.

Antra, gali keistis svetainės bendraautoriai. Jei vartotojui nebereikia prieigos, geriausia pašalinti jo prieigą prie svetainės. Priežastis yra dvejopa:

  1. nenorite, kad vartotojas atliktų kokių nors pakeitimų jūsų svetainėje;
  2. jų neaktyvias paskyras gali pažeisti įsilaužėliai.
Laikui bėgant, kurdami savo svetainę su nauju turiniu ir dizainu, į savo svetainę ir toliau įtraukiame naujų vartotojų. Turėtumėte periodiškai tikrinti šiuos vartotojus. Saugos taisyklių galite laikytis patys, tačiau kitas vartotojas, kuriam buvo pakenkta, turės įtakos jūsų svetainei. Pridėdami naudotojus, kai tik įmanoma, suteikite jiems tik reikiamus prieigos lygius. Pavyzdžiui, jei kas nors rašo tik straipsnius, nesuteikite jam administratoriaus teisių.

3. Savo svetainėje nustatykite veiklos žurnalą Įsilaužėliai nenaudoja pagrindinių „WordPress“ API, kad keistų svetainę, todėl daugelis jų atliktų pakeitimų nebus atspindėti veiklos žurnale. Tačiau jie gali palikti pėdsakų, pvz., sukurti administratoriaus paskyras, kad galėtų pasiekti svetainę. Ši netikėta veikla gali padėti aptikti pažeidimą. Ir atvirkščiai, jei pakeitimus atlieka bendradarbis, veiklos žurnalai gali padėti išvengti bereikalingos panikos, kai matote svetainėje atliktus pakeitimus.

4. Užblokuokite PHP aplanke Atsisiuntimai - Visa klasė pažeidžiamumų (tiksliau, nuotolinis kodo vykdymas) leidžia įsilaužėliams įkelti kenkėjiškus PHP failus į aplanką Įkėlimai. Tada įsilaužėlis gali jį naudoti, kad įvykdytų bet kokį kodą jūsų svetainėje. Kitaip tariant, jie visiškai kontroliuoja jūsų svetainę.

Ataka gali būti veiksmingai sumažinta, jei užblokuosite PHP failų vykdymą aplanke Įkėlimai. Nesijaudink. Blokuoti PHP failus aplanke Atsisiuntimai yra saugu, nes jų ten iš viso neturėtų būti. Įkėlimų aplanke saugote medijos failus, o ne scenarijus.

Ko reikėtų vengti saugant savo svetainę?

Greita „Google“ paieška suteiks daug patarimų ir strategijų, kaip apsaugoti svetainę. Keli saugos papildiniai taip pat suteiks kelias parinktis, kaip apsaugoti svetainę nuo slaptažodžių laužytojų. Svetainės apsauga yra tai, ką turėtumėte daryti, tačiau kai kurių dalykų turėtumėte vengti.

Priežastys skiriasi dėl kiekvieno iš toliau aptartų punktų, tačiau iš esmės jūsų priemonės turėtų duoti išmatuojamą saugumo naudą, ypač jei prašote vartotojų įveikti papildomas saugumo kliūtis. Pavyzdžiui, jei naudojate ir captcha, ir dviejų veiksnių autentifikavimą, patekti į svetainę bus sunku, o papildomos naudos nebus.

Taikydami visas galimas parinktis galite įgyti papildomo saugumo jausmo, tačiau sąnaudų ir naudos analizės požiūriu jos nenutraukia linijos.

1. Slėpti wp prisijungimo puslapį - Tai pamatysite daugelyje forumų: pakeiskite wp-login puslapį į savo svetainės URL. Logika tokia, kad jei įsilaužėliai neranda prisijungimo puslapio, jie negali naudoti brutalios jėgos atakų, kad pasiektų jūsų svetainę. Tai turi keletą trūkumų:

  • „WordPress“ taip pat leidžia prisijungti naudojant XML-RPC.
  • Dėl to jūsų svetainę bus sunku naudoti. Jei pamiršite specialų URL, kurį sukūrėte sau vietoje wp-login, gali būti sunku jį atkurti.
  • Jei naudojate bendrąjį URL arba numatytąjį URL, pateiktą kartu su saugos papildiniu, įsilaužėliams vis tiek bus lengva atspėti, kas visiškai nuves jūsų tikslą.
  • Norint paslėpti šį puslapį, svetainėje turi būti taikomi sudėtingi nustatymai, o tai gali turėti kitų netikėtų šalutinių poveikių.
2. Geoblokavimas Kita dažnai rekomenduojama saugos priemonė yra geografinis blokavimas. Jums gali nereikėti arba tikėtis teisėto srauto iš tam tikrų šalių, todėl nuspręsite apriboti prieigą.
  • Regionų IP adresai nėra idealūs ir gali turėti klaidų.
  • Jei užblokuosite save per klaidą, tai bus sunku anuliuoti.
  • Galite užblokuoti gerus robotus, tokius kaip „Google“, kurie negali pakenkti jūsų svetainei.
Gera ugniasienė gali ir apsaugos jūsų svetainę nuo kenkėjiškų robotų ir nepageidaujamo srauto. Ankstesniame skyriuje aprašiau ugniasienės pranašumus.

3. Apsaugokite wp-admin katalogą slaptažodžiu - Aplankas wp-admin yra vienas iš svarbiausių jūsų svetainės aplankų. Natūralu, kad tai pritraukia daug įsilaužėlių dėmesio. Todėl jo apsauga slaptažodžiu gali atrodyti kaip puikus žingsnis, bet neproduktyvus.

Slaptažodis, apsaugantis jūsų wp-admin katalogą, sulaužo AJAX funkciją jūsų „WordPress“ svetainėje. AJAX yra kodavimo technika, kuri atsisiunčia jūsų svetainės dalis iš serverio nekeičiant šiuo metu rodomo puslapio.

Jei tai skamba kaip beprasmybė, tai iš esmės reiškia, kad tai daro jūsų svetainę dinamišką, neperkraunant vartotojų kaskart, kai kas nors pasikeičia.

Pagalvokite apie savo socialinės žiniasklaidos sklaidos kanalo slinkimą. Naujos istorijos ar tviterio žinutės įkeliamos, kol vis dar skaitote jau esančias ekrane, ir galite atnaujinti naujienų kanalą, kai tik norite įkelti naujo turinio.

4. Slėpti „WordPress“ versiją - „WordPress“ svetainės versijos slėpimo logika yra dėl saugos naujinimų. Jei jūsų svetainėje neveikia naujausia „WordPress“ versija, įsilaužėlis gali pasinaudoti senesnės versijos pažeidžiamumu. Tačiau slėpti savo „WordPress“ versiją nėra naudinga. Yra keletas būdų, kaip nustatyti svetainės WordPress versiją: patikrinti išorinį svetainės kodą, patikrinti RSS tiekimą ir tt Visi jie, beje, legalūs.

Senesnių versijų „WordPress“ spragų pašalinimo būdas yra atnaujinti versiją į naujausią. Daugelis svetainių administratorių baiminasi, kad aktyvios svetainės atnaujinimas gali ją sugadinti. Taigi pirmiausia geriausia tai padaryti bandymų aikštelėje.

Ką daryti, jei į jūsų svetainę buvo įsilaužta?

Ką daryti, jei į svetainę buvo įsilaužta?

Jei į jūsų svetainę neseniai buvo įsilaužta, jums dar svarbiau būti itin atidiems savo svetainės saugumui. Jei tai nebus padaryta teisingai, tai gali sukelti pakartotinį įsilaužimą į svetainę, o visa situacija virsta visišku košmaru.

  1. Pirmiausia išvalykite kenkėjiškas programasA: Naudokite gerą saugos papildinį, kad automatiškai pašalintumėte kenkėjiškas programas nepalikdami pėdsakų.
  2. Atnaujinkite viskąA: Kaip sakiau, programinės įrangos atnaujinimai yra gyvybiškai svarbūs. Įsitikinkite, kad įdiegėte naujausias „WordPress“ versijas, temas ir papildinius. Jei to nepadarysite, yra didelė tikimybė, kad dėl šios priežasties jūsų svetainė buvo nulaužta.
  3. Peržiūrėkite kiekvieną administratorių: atidžiai peržiūrėkite kiekvieną administratoriaus paskyrą. Apie tai jau kalbėjome šiame straipsnyje, tačiau įsilaužėliai sukuria administratoriaus paskyras, kad atgautų prieigą prie įsilaužtos svetainės, jei randama kenkėjiškų programų.
  4. Pakeiskite visus slaptažodžius. Tarkime, kad jūsų kredencialai buvo pažeisti, pakeiskite slaptažodžius. Tikiuosi, kad nenaudosite to paties slaptažodžio skirtingiems produktams ir paslaugoms, kitaip turėtumėte pakeisti ir kitus slaptažodžius.
  5. Pakeiskite duomenų bazės kredencialus (jei įmanoma): faile wp-config.php yra kredencialai, kuriuos „WordPress“ svetainė naudoja prisijungdama prie svetainės duomenų bazės. Daugeliu atvejų prieiga prie duomenų bazės yra apribota, net jei duomenų bazės kredencialai yra pažeisti. Tačiau kai kuriuose pagrindiniuose kompiuteriuose įsilaužėliai gali naudoti šią informaciją norėdami tiesiogiai modifikuoti duomenų bazę. Tai gali sukelti pakartotinę svetainės užkrėtimą.
  6. Pakeiskite saugos raktusA: „WordPress“ naudoja saugos raktus registruotų vartotojų seansams valdyti.
  7. Nustatykite „WordPress“ ugniasienę: Šiame straipsnyje jau išsamiai aprašiau tai. „WordPress“ ugniasienė yra geriausia jūsų apsauga nuo kenkėjiškų robotų ir blogo srauto.

Viskas viename WP sauga ir ugniasienė – „WordPress“ svetainės sauga

„WordPress All In One WP Security Firewall“ saugos papildinys.Trumpai: Lengviausias būdas apsaugoti svetainę yra įdiegti svetainės saugos papildinį, pvz.: „All In One WP Security & Firewall“ yra išsamus, paprastas naudoti, stabilus ir gerai prižiūrimas „WordPress“ saugos papildinys.
Viskas viename WP sauga ir ugniasienė turi šias funkcijas:

Viskas viename WP sauga ir ugniasienė nuolat palaikoma.

1. Vartotojo paskyros saugumas

  • Nustatykite, ar yra vartotojo abonementas su numatytuoju vartotojo vardu „admin“, ir lengvai pakeiskite vartotojo vardą į pasirinktą reikšmę.
  • Papildinys taip pat aptiks, ar turite „WordPress“ vartotojų paskyras su tais pačiais prisijungimais ir rodomais vardais. Turėti paskyrą, kurios rodomas vardas yra toks pat kaip prisijungimo vardas, yra bloga saugumo praktika, nes sukuriate įsilaužėlių prisijungimą, kuris jau yra paruoštas 50%, nes jie jau žino prisijungimo vardą.
  • Slaptažodžio stiprumo įrankis, leidžiantis sukurti labai stiprius slaptažodžius.
  • Nustokite įtraukti naudotojus į sąrašą. Taigi vartotojai / robotai negali rasti naudotojo informacijos per autoriaus nuolatinę nuorodą.

2. Vartotojo prisijungimo apsauga

  • Apsaugokite nuo „Brute Force Prisijungimo atakos“ naudodami prisijungimo blokavimo funkciją. Vartotojai, turintys konkretų IP adresą arba diapazoną, bus uždrausti iš sistemos iš anksto nustatytam laikotarpiui, atsižvelgiant į konfigūracijos nustatymus, taip pat galite gauti pranešimus.
    el. paštu, kai kas nors užblokuojamas dėl per daug bandymų prisijungti.
  • Kaip administratorius galite peržiūrėti visų užblokuotų vartotojų sąrašą, kuris rodomas lengvai skaitomoje ir lengvai naršomoje lentelėje, kurioje taip pat galite vienu mygtuko paspaudimu atblokuoti atskirus ar grupinius IP adresus.
  • Priverskite visus vartotojus atsijungti po konfigūruojamo laikotarpio.
  • Stebėkite / peržiūrėkite nesėkmingus prisijungimo bandymus, kurie rodo vartotojo IP adresą, vartotojo ID / naudotojo vardą ir nesėkmingo bandymo prisijungti datą / laiką.
  • Stebėkite / peržiūrėkite visų savo sistemos vartotojų paskyrų veiklą, stebėdami vartotojo vardą, IP adresą, prisijungimo datą / laiką ir atsijungimo datą / laiką.
  • Galimybė automatiškai blokuoti IP adresų diapazonus, kurie bando prisijungti netinkamu vartotojo vardu.
  • Galimybė matyti visų šiuo metu prie jūsų svetainės prisijungusių vartotojų sąrašą.
  • Leidžia nurodyti vieną ar daugiau IP adresų specialiame baltame sąraše. Į baltąjį sąrašą įtraukti IP turės prieigą prie jūsų WP prisijungimo puslapio.
  • Į savo „WordPress“ prisijungimo formą pridėkite „Google reCaptcha“ arba paprastą matematikos „captcha“.
  • Pridėkite „Google reCaptcha“ arba paprastą matematikos „captcha“ prie pamiršto slaptažodžio formos WP prisijungimo sistemoje.

3. Vartotojo registracijos saugumas

  • Įgalinti rankinį „WordPress“ naudotojų paskyrų patvirtinimą. Jei jūsų svetainė leidžia žmonėms susikurti savo paskyras naudojant „WordPress“ registracijos formą, galite sumažinti SPAM arba netikrų registracijų skaičių rankiniu būdu patvirtindami kiekvieną registraciją.
  • Galimybė pridėti „Google reCaptcha“ arba paprastą matematikos „captcha“ prie „WordPress“ vartotojo registracijos puslapio, kad apsaugotumėte jus nuo nepageidaujamo naudotojo registracijos.
  • Galimybė pridėti „Honeypot“ prie „WordPress“ vartotojo registracijos formos, kad sumažintumėte bandymų registruotis iš robotų skaičių.

4. „WordPress“ duomenų bazės apsauga

  • Lengvai nustatykite numatytąjį WP priešdėlį į pasirinktą reikšmę vienu mygtuko paspaudimu.
  • Suplanuokite automatines atsargines kopijas ir pranešimus el. paštu arba pasidarykite momentines DB atsargines kopijas bet kada vienu paspaudimu.

5. WordPress svetainės failų sistemos saugumas

  • Vienu mygtuko paspaudimu nustatykite failus ar aplankus su nesaugiais leidimų nustatymais ir nustatykite leidimus rekomenduojamoms saugioms reikšmėms.
  • Apsaugokite savo PHP kodą išjungdami failų redagavimą „WordPress“ administratoriaus srityje.
  • Lengvai peržiūrėkite ir stebėkite visus prieglobos sistemos žurnalus viename meniu puslapyje ir gaukite naujausią informaciją apie visas problemas ar problemas, kylančias jūsų serveryje, kad galėtumėte jas greitai išspręsti.
  • Neleiskite žmonėms pasiekti jūsų „WordPress“ svetainės failų readme.html, licenc.txt ir wp-config-sample.php.

6. Sukurkite atsarginę kopiją ir atkurkite htaccess ir wp-config.php failus

  • Lengvai sukurkite originalių .htaccess ir wp-config.php failų atsargines kopijas, jei jų prireiks norint atkurti sugedusias funkcijas.
  • Pakeiskite šiuo metu aktyvių .htaccess arba wp-config.php failų turinį iš administratoriaus skydelio vos keliais paspaudimais.

7. Juodojo sąrašo funkcionalumas

  • Blokuokite vartotojus nurodydami IP adresus arba naudokite pakaitos simbolius, kad nurodytumėte IP adresų diapazonus.
  • Uždrausti vartotojus nurodydami vartotojų agentus.

8. Ugniasienės funkcionalumas

Šis papildinys leidžia lengvai pridėti daug ugniasienės apsaugos elementų į savo svetainę naudojant htaccess failą. Htaccess failą jūsų žiniatinklio serveris apdoroja prieš bet kokį kitą kodą jūsų svetainėje.
Taigi šios ugniasienės taisyklės sustabdys kenkėjišką (-ius) scenarijų (-ius), kol jis turės galimybę pasiekti „WordPress“ kodą jūsų svetainėje.

  • Prieigos kontrolės objektas.
  • Akimirksniu suaktyvinkite ugniasienės nustatymų rinkinį nuo pagrindinių, vidutinių ir išplėstinių.
  • Įgalinkite garsiąsias „6G juodojo sąrašo“ ugniasienės taisykles, kurias suteikė „Perishable Press“.
  • Išjungti komentarų skelbimą per tarpinį serverį.
  • Blokuokite prieigą prie derinimo žurnalo failo.
  • Išjungti sekimą ir sekimą.
  • Neleisti netinkamų arba kenkėjiškų užklausų eilučių.
  • Apsaugokite save nuo scenarijų tarp svetainių (XSS) suaktyvindami išsamų išplėstinį simbolių eilutės filtrą.
    arba kenkėjiškų robotų, kurių naršyklėje nėra specialaus slapuko. Jūs (svetainės administratorius) žinosite, kaip nustatyti šį specialų slapuką, ir galėsite prisijungti prie savo svetainės.
  • „WordPress PingBack“ pažeidžiamumo apsaugos funkcija. Ši ugniasienės funkcija leidžia vartotojui uždrausti prieigą prie xmlrpc.php failo, kad apsisaugotų nuo tam tikrų ping funkcijos spragų. Tai taip pat naudinga blokuojant robotams nuolatinę prieigą prie xmlrpc.php failo ir eikvoti jūsų serverio išteklius.
  • Galimybė blokuoti netikrus Googlebots, kad jie neaptiktų jūsų svetainės.
  • Galimybė užkirsti kelią vaizdo karštosioms nuorodoms. Naudokite tai, kad kiti negalėtų susieti jūsų vaizdų karštosios nuorodos.
  • Galimybė registruoti visus 404 įvykius jūsų svetainėje. Taip pat galite automatiškai blokuoti IP adresus, kuriuose pateikiama per daug 404 klaidų.
  • Galimybė pridėti savo taisykles, kad blokuotumėte prieigą prie įvairių jūsų svetainės išteklių.

9. Užkirsti kelią prisijungimo brute force atakai

  • Nedelsiant blokuokite žiaurios jėgos atakas naudodami mūsų tinkintą slapukais pagrįstą prisijungimo brutalios jėgos prevencijos funkciją. Ši ugniasienės funkcija blokuoja visus žmonių ir robotų bandymus prisijungti.
  • Galimybė pridėti paprastą matematikos „captcha“ prie „WordPress“ prisijungimo formos, kad apsisaugotumėte nuo žiaurios jėgos atakų.
  • Galimybė paslėpti administratoriaus prisijungimo puslapį. Pervardykite savo „WordPress“ prisijungimo puslapio URL, kad robotai ir įsilaužėliai negalėtų pasiekti jūsų tikrojo „WordPress“ prisijungimo URL. Ši funkcija leidžia pakeisti numatytąjį prisijungimo puslapį (wp-login.php) į tai, ką jūs tinkinate.
  • Galimybė naudoti Login Honeypot, kuris padės sumažinti prisijungimo bandymų skaičių naudojant žiaurią robotų jėgą.

10. Svetainės failų saugos skaitytuvas

  • Failų pakeitimų aptikimo skaitytuvas gali įspėti, jei jūsų „WordPress“ sistemoje buvo pakeisti kokie nors failai. Tada galite ištirti ir išsiaiškinti, ar tai buvo teisėtas pakeitimas, ar buvo įvestas netinkamas kodas.

11. Komentarų apsauga nuo šiukšlių

  • Stebėkite aktyviausius IP adresus, kurie nuolat pateikia daugiausiai šlamšto komentarų, ir užblokuokite juos vienu mygtuko paspaudimu.
  • Neleiskite siųsti komentarų, jei jie nėra iš jūsų domeno (tai turėtų sumažinti jūsų svetainėje šlamšto robotų paskelbtų komentarų skaičių).
  • Pridėkite captcha prie savo „WordPress“ komentarų formos, kad pagerintumėte apsaugą nuo komentarų šlamšto.
  • Automatiškai ir visam laikui blokuoti IP adresus, viršijančius tam tikrą komentarų skaičių, pažymėtą kaip SPAM.

12. Apsaugos nuo kopijavimo tekstas priekyje

  • Galimybė išjungti savo sąsajos dešinįjį paspaudimą, teksto pasirinkimą ir kopijavimo parinktį.

13. Papildomos įskiepio funkcijos

  • Galimybė pašalinti „WordPress“ generatoriaus meta informaciją iš jūsų svetainės HTML šaltinio kodo.
  • Galimybė pašalinti „WordPress“ versijos informaciją iš jūsų svetainės JS ir CSS failų.
  • Galimybė neleisti žmonėms pasiekti readme.html, licenc.txt ir wp-config-sample.php failų.
  • Galimybė laikinai užblokuoti svetainės priekį nuo nuolatinių lankytojų, kol atliekate įvairias vidines užduotis (tiriate svetainės saugumo atakas, atliekate svetainės atnaujinimus, priežiūrą ir pan.)
  • Galimybė eksportuoti / importuoti saugos nustatymus.
  • Neleiskite kitoms svetainėms rodyti jūsų turinio per rėmelį arba „iframe“.

Tai idealiai tinka tiems, kurie tiesiog neturi laiko rūpintis svetainės saugumu. Tiesiog įdiekite ir pamirškite papildinį. Bet jei galite sau leisti papildomo laiko savo saugumui sustiprinti, primygtinai rekomenduoju įgyvendinti visas pirmiau nurodytas priemones.

Išvestis

Šį straipsnį apie tai, kaip apsaugoti svetainę, pradėjau aiškia nuoroda: pirmas žingsnis – tinkamai užtikrinti svetainės saugumą. Tai nuolatinis procesas. Gera standartinė praktika bet kurioje organizacijoje yra periodiškai atlikti auditą, kad būtų galima maksimaliai kontroliuoti svetainės saugumą. Grėsmių aplinka nuolat keičiasi, o įsilaužėliai ras kūrybiškesnių būdų, kaip įveikti saugumą. Saugumo ekspertai išlieka nuolat budrūs, ir tai yra pagrindinė visko išvada: neatsipalaiduokite.

Dėkojame, kad skaitėte Nicola Top

Kuo įrašas naudingas?

Spustelėkite šypsenėlę, kad įvertintumėte!

Vidutinis reitingas 4.9 / 5. Įvertinimų skaičius: 50

Įvertinimų dar nėra. Pirmiausia įvertinkite.

Tau taip pat gali patikti...

2 Responses

  1. Евгений parašė:
    10.08.2022 02:46

    Pirmą kartą matau tokį ilgą straipsnį. Pagarba svetainės autoriui, kiek laiko praleidote prie jos? Puikus vadovas, kuriame aprašomi beveik visi svetainės apsaugos ir saugumo palaikymo aspektai. Jau kurį laiką skaitau tavo dienoraštį. Ačiū, labai naudinga medžiaga.

    Atsakyti

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *

du × 3 =