10 Συμβατά Συμβουλές Ασφάλειας WordPress για τους Λαϊκούς

Άρθρο που γράφτηκε από:
  • WordPress
  • Ενημερώθηκε: Ιουν 06, 2018

Από τότε που παρουσιάστηκε για πρώτη φορά σε περισσότερες από δύο δεκαετίες πριν, το WordPress αναπτύχθηκε (και αναπτύχθηκε) πλέον με ασφάλεια ονομασμένο ως το πιο δημοφιλές σύστημα διαχείρισης περιεχομένου στον κόσμο. Σήμερα, περισσότερο από το ένα τέταρτο των ιστοσελίδων που υπάρχουν τρέχει στο WordPress.

Ωστόσο, από αμνημονεύτων χρόνων, όσο πιο δημοφιλές είναι κάτι, τόσο περισσότεροι άνθρωποι θέλουν να το εκμεταλλευτούν με κακό τρόπο. Απλά δείτε τα Microsoft Windows και το τεράστιο αριθμό κακόβουλων προγραμμάτων, ιών και άλλων εκμεταλλεύσεων σχεδιασμένο να στοχεύει μόνο αυτό το συγκεκριμένο λειτουργικό σύστημα.

Οι εκδόσεις WordPress 10 με τα περισσότερα θέματα ευπάθειας (πηγή). Η έρευνα στο 2017 εντόπισε 74 διαφορετικές εκδόσεις του WordPress σε Alexa Top 1 εκατομμύρια ιστοσελίδες. Το 11 αυτών των εκδόσεων δεν είναι έγκυρο - για παράδειγμα η έκδοση 6.6.6 (πηγή).

Γιατί το blog σας WordPress είναι ένας πολύτιμος στόχος;

Σε περίπτωση που αναρωτιέστε γιατί στη γη ένας χάκερ θα ήθελε να ελέγξει το WordPress blog σας, υπάρχουν διάφοροι λόγοι, συμπεριλαμβανομένων?

  • Χρησιμοποιώντας το για να στείλετε κρυφά μηνύματα ηλεκτρονικού ταχυδρομείου ανεπιθύμητης αλληλογραφίας
  • Κλέψτε τα δεδομένα σας, όπως μια λίστα αλληλογραφίας ή πληροφορίες πιστωτικής κάρτας
  • Προσθέτοντας τον ιστότοπό σας σε ένα botnet που μπορούν να χρησιμοποιήσουν αργότερα

Ευτυχώς, το WordPress είναι μια πλατφόρμα που σας προσφέρει μια πληθώρα ευκαιριών για να υπερασπιστείτε τον εαυτό σας. Έχοντας βοηθήσει να εγκαταστήσω και να διορθώσω προσωπικά αρκετές ιστοσελίδες και ιστολόγια, θα ήθελα να μοιραστώ μαζί σας μερικά από τα πιο βασικά πράγματα που μπορείτε να κάνετε για να προστατεύσετε τον ιστότοπό σας WordPress.

Ακολουθούν οι συμβουλές ασφάλειας 10 που μπορείτε να χρησιμοποιήσετε.

Συμβουλή #1. Επιλέξτε ένα καλό όνομα χρήστη διαχειριστή

Από την εμπειρία, οι περισσότερες απόπειρες hack site προσπαθούν να συνδεθούν με τρεις κύριες επιλογές των ονομάτων χρηστών. Τα πρώτα δύο είναι πάντα "admin" ή "administrator", ενώ το τρίτο συνήθως βασίζεται στο όνομα τομέα σας.

Για παράδειγμα, αν ο ιστότοπός σας είναι crazymonkey33.com, ο hacker μπορεί να προσπαθήσει να συνδεθεί με το 'crazymonkey33'.

Δεν είναι καλή ιδέα.

Υπόδειξη #2. Βεβαιωθείτε ότι έχετε χρησιμοποιήσει έναν ισχυρό κωδικό πρόσβασης

Μέχρι τώρα πιθανότατα θα σκεφτόσαστε ότι οι άνθρωποι θα ξέρουν να χρησιμοποιούν ισχυρούς, περίπλοκους κωδικούς πρόσβασης για να προστατεύσουν το λογαριασμό τους, αλλά εξακολουθούν να υπάρχουν πολλοί που πιστεύουν ότι ο κωδικός πρόσβασης είναι ένας μεγάλος.

Ένας ισχυρός κωδικός πρόσβασης θα περιλαμβάνει ένα μείγμα:

  • Ανώτατο και Κάτω κεφαλαίο χαρακτήρες
  • Να είναι αλφαριθμητική (AZ και az)
  • Συμπεριλάβετε έναν ειδικό χαρακτήρα (!, @, #, $, Κτλ)
  • Τουλάχιστον χαρακτήρες 8 σε μήκος

Όσο πιο τυχαίος είναι ο κωδικός σας, τόσο πιο ασφαλής θα είναι. Δοκιμάστε αυτή τη γεννήτρια τυχαίων κωδικών πρόσβασης αν αντιμετωπίζετε προβλήματα με ένα. https://passwordsgenerator.net/

Συμβουλή #3. Εφαρμόστε ένα reCaptcha

Αφαιρέστε το ρολόι από το blog του WP.

Το reCaptcha σχεδιάστηκε για να σταματήσει τα αυτοματοποιημένα εργαλεία από την εργασία σε μια τοποθεσία. Φυσικά, δεδομένης της πολυπλοκότητας των εργαλείων hacking σήμερα, αυτά μπορούν εύκολα να παρακάμπτονται, αλλά τουλάχιστον υπάρχει αυτό το πρόσθετο επίπεδο ασφάλειας.

Υπάρχουν ένα πλήθος plugins reCaptcha μπορείτε να χρησιμοποιήσετε με την εγκατάσταση σας που θα λειτουργήσει λίγο πολύ έξω από το κουτί.

Συμβουλή #4. Χρησιμοποιήστε έλεγχο ταυτότητας δύο παραγόντων (2FA)

Το 2FA είναι μια μέθοδος ελέγχου ταυτότητας που απαιτεί επαλήθευση των στοιχείων σύνδεσης. Για παράδειγμα, μόλις συνδεθείτε με το όνομα χρήστη και τον κωδικό πρόσβασής σας, το σύστημα ενδέχεται να στείλει ένα SMS στο κινητό σας τηλέφωνο ή να σας στείλει email με έναν κωδικό που πρέπει να εισαγάγετε για να επαληθεύσετε την ταυτότητά σας.

Αυτή η μέθοδος ελέγχου ταυτότητας προσφέρει καλή προστασία και χρησιμοποιείται σήμερα από πολλές τράπεζες και χρηματοπιστωτικά ιδρύματα. Και πάλι, αυτή η ανάγκη μπορεί εύκολα να αντιμετωπιστεί με ένα 2FA plugin.

Δείτε πώς το miniOrange (προσθήκη 2FA) συνεργάζεται με την είσοδο του WordPress στο παρακάτω βίντεο.

T

Συμβουλή #5. Μετονομάστε τη διεύθυνση URL σύνδεσης

Οι περισσότεροι χάκερ θα προσπαθήσουν να συνδεθούν μέσω της προεπιλεγμένης σελίδας εισόδου wordpress, η οποία είναι συνήθως κάτι σαν sample.com/wp-admin.

Για να προσθέσετε ένα άλλο επίπεδο προστασίας, αλλάξτε τη διεύθυνση URL της σελίδας σύνδεσης γρήγορα και αβίαστα με ένα εργαλείο όπως το WPS Απόκρυψη σύνδεσης.

Συμβουλή #6. Προστατέψτε τον κατάλογο wp-admin

Προσθέστε ένα επιπλέον επίπεδο ασφαλείας στον κατάλογο του κεντρικού υπολογιστή σας.

Ο κατάλογος wp-admin είναι ο πυρήνας της εγκατάστασης του WordPress. Ως πρόσθετη προστασία, ο κωδικός πρόσβασης προστατεύει αυτόν τον κατάλογο.

Για να το κάνετε αυτό, θα πρέπει να συνδεθείτε στον πίνακα ελέγχου του λογαριασμού φιλοξενίας σας. Είτε χρησιμοποιείτε cPanel or Plesk, η επιλογή που αναζητάτε είναι 'Κατάλογοι προστασίας από κωδικό πρόσβασης».

Υπόδειξη #7. Χρησιμοποιήστε το SSL για την κρυπτογράφηση δεδομένων

Σύνδεση HTTP vs HTTPS (Πηγή: Sucuri)

Εκτός από τον ίδιο τον ιστότοπο, θα θελήσετε επίσης να διασφαλίσετε τη σύνδεση μεταξύ εσάς και του διακομιστή και αυτό είναι όπου το SSL έρχεται για να κρυπτογραφήσει τις επικοινωνίες σας. Έχοντας μια κρυπτογραφημένη σύνδεση, οι χάκερς δεν θα μπορούν να παρακολουθήσουν δεδομένα (όπως ο κωδικός πρόσβασής σας) όταν επικοινωνείτε με τον διακομιστή σας.

Εκτός από αυτό, είναι επίσης καλή πρακτική η εφαρμογή του SSL τώρα, αφού οι μηχανές αναζήτησης επιβάλλονται όλο και περισσότερες κυρώσεις σε ιστότοπους που θεωρούν «μη ασφαλείς».

Μάθετε περισσότερα σχετικά με το SSL στο ολοκληρωμένο μας Οδηγός AZ για SSL.

Συμβουλή #8. Βεβαιωθείτε ότι το λογισμικό σας είναι ενημερωμένο

Ανεξάρτητα από το πόσο καλό ή ακριβό λογισμικό είναι, θα υπάρχουν πάντα νέες αδυναμίες που βρίσκονται σε αυτές που θα μπορούσαν να τους αφήσουν ανοικτές για να εκμεταλλευτούν. Το WordPress δεν αποτελεί εξαίρεση και η ομάδα απελευθερώνει συνεχώς νεότερες εκδόσεις με διορθώσεις και ενημερώσεις.

Οι χάκερ σχεδόν πάντα επιδιώκουν να επωφεληθούν από την αδυναμία και ένα γνωστό εκμεταλλευόμενο που έχει απομείνει χωρίς διορθώσεις ζητά απλώς κόπο. Αυτό ισχύει δύο φορές περισσότερο για plugins που δημιουργούνται συχνά από πολύ μικρότερες εταιρείες με λιγότερους πόρους.

Εάν χρησιμοποιείτε plugins, βεβαιωθείτε ότι οι ενημερώσεις κυκλοφορούν τακτικά ή εξετάστε το ενδεχόμενο να βρείτε ένα με παρόμοιες λειτουργίες που ενημερώνονται συνεχώς.

Έχοντας πει αυτό, δεν σας συνιστώ να χρησιμοποιήσετε αυτόματες ενημερώσεις WordPress και Plugin, ειδικά αν τρέχετε έναν ζωντανό ιστότοπο. Ορισμένες ενημερώσεις ενδέχεται να προκαλέσουν προβλήματα, εσωτερικά ή σε σύγκρουση με άλλα πρόσθετα και ρυθμίσεις.

Στην ιδανική περίπτωση, δημιουργήστε ένα περιβάλλον δοκιμών που αντικατοπτρίζει το ζωντανό ιστότοπό σας και δοκιμάστε τις ενημερώσεις εκεί. Μόλις είστε βέβαιοι ότι όλα λειτουργούν καλά τότε μπορείτε να εφαρμόσετε την ενημέρωση στον ζωντανό ιστότοπο.

Πίνακες ελέγχου, όπως το Plesk, σας δίνουν την επιλογή να δημιουργήσετε έναν κλώνο ιστότοπου για αυτό το σκοπό.

Συμβουλή #9. Χρησιμοποιήστε ένα δίκτυο διανομής περιεχομένου (CDN)

Παρόλο που αυτό δεν μπορεί να σώσει τον ιστότοπό σας από το ότι έχει πειραχτεί, συμβάλλει στην άμβλυνση των κακόβουλων επιθέσεων εναντίον του. Μερικοί χάκερ επιδιώκουν να κατεβάσουν τους ιστότοπους, καθιστώντας τους απρόσιτους για το κοινό. Ένα CDN θα βοηθήσει να μετριάσει το χτύπημα μιας επίθεσης κατανεμημένης άρνησης παροχής υπηρεσιών στον ιστότοπό σας.

Εκτός από αυτό, βοηθά επίσης την επιτάχυνση του δικτυακού σας τόπου λίγο από την προσωρινή αποθήκευση κάποιου περιεχομένου. Για να εξερευνήσετε αυτή την επιλογή, κοιτάξτε προς το CloudFlare ως παράδειγμα. Το CloudFlare προσφέρει υπηρεσίες CDN σε επίπεδα τιμολόγησης πολλαπλών κλιμακίων, ώστε να μπορείτε να χρησιμοποιήσετε τα βασικά χαρακτηριστικά δωρεάν. https://www.cloudflare.com

Συμβουλή #10. Δημιουργία αντιγράφων ασφαλείας, δημιουργίες αντιγράφων ασφαλείας

Ανεξάρτητα από τα μέτρα ασφαλείας ή το πόσο προσεκτικοί είστε, συμβαίνουν ατυχήματα. Αποθηκεύστε τον εαυτό σας από μια συντριπτική καρδιά και εκατοντάδες ώρες εργασίας απλά βεβαιωθείτε ότι έχετε επαρκείς υπηρεσίες backup στη θέση του.

Κανονικά ο οικοδεσπότης Ιστού θα έρθει με κάποιες βασικές λειτουργίες δημιουργίας αντιγράφων ασφαλείας, τουλάχιστον, αλλά εάν είστε παρανοϊκοί σαν εμένα, βεβαιωθείτε ότι έχετε πραγματοποιήσει τα ανεξάρτητα αντίγραφα ασφαλείας σας. Η δημιουργία αντιγράφων ασφαλείας δεν είναι τόσο απλή όσο η απλή αντιγραφή ορισμένων αρχείων, αλλά και οι πληροφορίες στη βάση δεδομένων σας.

Αναζητήστε μια εφεδρική λύση που δοκιμάστηκε και αποδείχθηκε. Ακόμα και μια μικρή επένδυση αξίζει τον κόπο να σώσετε τα δάκρυα σε περίπτωση έκτακτης ανάγκης. Κάτι όπως BackupBuddy μπορεί να σας βοηθήσει να σώσετε τα πάντα, συμπεριλαμβανομένης της βάσης δεδομένων σας, με τη μία.

Συμβουλή Μπόνους: Ο οικοδεσπότης Ιστού σας μετρά!

Παρόλο που παραδοσιακά, οι εταιρίες φιλοξενίας ιστοσελίδων απλά πρόσφεραν χώρο για να φιλοξενήσουμε τις ιστοσελίδες μας, οι χρόνοι έχουν αλλάξει. Οι πάροχοι φιλοξενίας ιστοσελίδων, αναγνωρίζοντας την επείγουσα ανάγκη για αυξημένη ασφάλεια, έχουν ενισχυθεί, καθώς πολλοί προσφέρουν υπηρεσίες προστιθέμενης αξίας που συμπληρώνουν τη φιλοξενία τους στο διαδίκτυο.

Πάρτε για παράδειγμα HostGator, ένα από τα πιο καθιερωμένα ονόματα στο παιχνίδι. Εκτός από τις βασικές λειτουργίες του Cloudflare, το HostGator (με την τιμή $ 10 + / mo) έρχεται επίσης με προστασία κατά των ανεπιθύμητων μηνυμάτων, αυτοματοποιημένη αφαίρεση κακόβουλων προγραμμάτων, αυτοματοποιημένα αντίγραφα ασφαλείας, ιδιωτικότητα τομέα και πολλά άλλα.

Διαχειριζόμενη υπηρεσία παροχής φιλοξενίας WordPress, Kinsta, να δημιουργούν τείχη προστασίας υλικού και να παρακολουθούν ενεργά τους διακομιστές τους για κακόβουλο λογισμικό και επιθέσεις DDoS με το δικό του προσαρμοσμένο σύστημα.

Αν αυτό είναι κάτι που δεν σας έχει συμβεί ακόμα, σας ενθαρρύνω να δείτε τι χαρακτηριστικά ασφαλείας παρέχει ο οικοδεσπότης σας και να τα συγκρίνετε με τα διαθέσιμα σήμερα.

Για μια ολοκληρωμένη λίστα μπορείτε να ελέγξετε έξω Η σύνταξη του WHSR από οικοδεσπότες Ιστού εδώ.

Και τώρα τι?

Πριν τρέξετε άγρια ​​και ξεκινήστε να καθαρίζετε το Διαδίκτυο με πανικό ψάχνοντας ένα εκατομμύριο και μία λύσεις ασφάλειας - πάρτε μια βαθιά ανάσα. Όπως και με όλα τα άλλα, κάποιος θα σας έχει βοηθήσει να πανικοβληθείτε ήδη και να αναζητήσετε μια λύση.

Ακόμα κι αν εφαρμόσετε όσες λύσεις ασφάλειας μπορείτε να βρείτε, είστε εσείς βέβαιος είσαι ασφαλής?

Εδώ είναι κάτι σαν Ninja Ασφάλεια έρχονται, που σας βοηθά να ερευνήσετε το site σας για αδυναμίες.

Γρήγορη επίδειξη: Πώς λειτουργεί το Ninja Security.

Υπάρχουν μερικοί επιτακτικοί λόγοι για να χρησιμοποιήσετε κάτι σαν Security Ninja αλλά επιτρέψτε μου να πω ότι είναι ένα εργαλείο το οποίο θα συνιστούσα να χρησιμοποιείτε σε πολλαπλά στάδια στο ταξίδι σας για να εξασφαλίσετε τον ιστότοπό σας.

Αρχικά, εκτελέστε την στον ιστότοπό σας «όπως είναι» - προτού προβείτε σε οποιεσδήποτε αλλαγές. Αφήστε το plugin να σαρώσει και να προωθήσει τον ιστότοπό σας προτού σας δώσει τα αποτελέσματα.

Στη συνέχεια, με βάση αυτά τα αποτελέσματα, εργάζονται για την εξασφάλιση του δικτυακού σας τόπου. Το Ninja ασφαλείας εκτελεί περισσότερες από τις δοκιμές 50 για να διερευνήσει τις άμυνές σας. Ακόμα και αφού έχετε κάνει τις αλλαγές σας, εκτελέστε ξανά (και κάθε φορά που υπάρχουν αλλαγές site ή ενημερώσεις plugin) μόνο για να ελέγξετε τον ιστότοπό σας.

Αν αυτό ακούγεται σαν μια πάρα πολύ δουλειά για σας, το Security Ninja έρχεται επίσης με πλήθος πρόσθετων ενοτήτων (pro έκδοση, ενιαίο site $ 29) που μπορούν να σας βοηθήσουν να διορθώσετε τα προβλήματα που εντοπίζονται.

Ορισμένα άλλα βασικά χαρακτηριστικά σε αυτές τις λειτουργικές μονάδες περιλαμβάνουν:

  • Σάρωση αρχείων πυρήνα WP για τον εντοπισμό προβληματικών αρχείων
  • Επαναφέρετε τα τροποποιημένα αρχεία με ένα κλικ
  • Διορθώστε τις σπασμένες αυτόματες ενημερώσεις WP
  • Ban 600 εκατομμύρια κακό IP που συλλέγονται από εκατομμύρια επιθέσεις
  • Κατάλογος αυτόματων ενημερώσεων, δεν χρειάζεται καμία συντήρηση ή χειρωνακτική εργασία
  • Προστατεύστε τη φόρμα σύνδεσης από επιθέσεις βίαιης δύναμης

Τελικές Σκέψεις

Αν και όλα αυτά μπορεί να φαίνονται λίγο υπερβολικά για το μέσο χρήστη του WordPress, σας διαβεβαιώνω ότι όλα αυτά (και περισσότερα) είναι απαραίτητα. Αγνοώντας τις παγκόσμιες στατιστικές hacking και τίποτα για λίγο, επιτρέψτε μου να μοιραστώ μαζί σας μερικές προσωπικές πληροφορίες σε έναν από τους πιο ασαφείς ιστότοπους που θα βοηθήσω να διαχειριστώ.

Αρχικά ξεκίνησα ως απλή βιογραφική περιοχή, δημιούργησα www.timothyshim.com. Προφανώς, ήταν κάτι που έχω ρυθμίσει και τις περισσότερες φορές αφήνει μόνο του, απλώς ως σημείο αναφοράς. Σε κάθε μηνιαία περίοδο, αυτό το site που ουσιαστικά δεν κάνει τίποτα και δεν συλλέγει δεδομένα, αντιμετωπίζει τις επιθέσεις 30 - ένας συνδυασμός βίαιης δύναμης και σύνθετων.

Το μόνο που χρειάζεται είναι να πετύχει ένας από αυτούς και θα είχα ένα πραγματικά κακή μέρα.

Άρθρο του Timothy Shim

Ο Timothy Shim είναι συγγραφέας, συντάκτης και tech geek. Ξεκινώντας την καριέρα του στον τομέα της Πληροφορικής, βρήκε γρήγορα το δρόμο του για εκτύπωση και από τότε συνεργάστηκε με τίτλους διεθνών, περιφερειακών και εγχώριων μέσων ενημέρωσης όπως οι ComputerWorld, PC.com, Business Today και The Asian Banker. Η εξειδίκευσή του έγκειται στον τομέα της τεχνολογίας τόσο από πλευράς καταναλωτών όσο και επιχειρήσεων.

Συνδέομαι: