Қарапайым адамға арналған WordPress қауіпсіздік кеңестері: WordPress жүйесіне кіруді және басқа қауіпсіздік практикасын қорғаңыз

Мақаланы жазған: Тимоти Шим
  • WordPress
  • Жаңартылған: қыркүйек 02, 2020

Осыдан жиырма жыл бұрын алғаш рет енгізілген WordPress енді әлемдегі ең танымал мазмұнды басқару жүйесі деп аталды. Бүгін, төрттен артық бар веб-сайттар WordPress-те іске қосылады.

Дегенмен, көне заманнан бері көбірек танымал нәрсе бар болса, соғұрлым көп адамдар осы мақсатқа жету үшін қолдануға тырысады. Қараңыз Microsoft Windows және зиянды бағдарламалар, вирустар мен басқа да эксплейлердің жаппай саны бұл нақты бір операциялық жүйеге бағытталған.

Көптеген осалдығы бар 10 WordPress нұсқалары (қайнар көз). 2017 жылғы зерттеулер Alexa Top 74 миллион веб-сайттарындағы WordPress-тің 1 түрлі нұсқаларын анықтады; Осы нұсқалардың 11-і жарамсыз - мысалы, 6.6.6 (қайнар көз).

Сіздің WordPress блогыңыз неге құнды мақсат?

Сізге жердегі хакерлердің сіздің WordPress блогыңызды басқарғысы келетінін білгіңіз келсе, бірнеше себеп бар;

  • Спамды электрондық пошта хабарларын жасырын түрде жіберу үшін пайдалану
  • Электрондық пошта немесе кредиттік карта туралы ақпарат сияқты деректеріңізді ұрлаңыз
  • Сайтты кейінірек пайдалануға болатын ботнетке қосу

Бақытымызға орай, WordPress - өзіңізді қорғауға мүмкіндік беретін көптеген платформа. Өзімнің бірнеше веб-сайт пен блогты реттеуге және басқаруға көмектесті, WordPress торабын қорғауға көмектесу үшін сіз жасай алатын кейбір неғұрлым негізгі нәрселерді сізбен бөліскім келеді.

Мұнда қолдануға болатын 10 қолданылатын қауіпсіздік кеңестері.

WordPress кіру парағын қорғаңыз

Кіру бетіңізді қорғау ешқандай нақты техникамен орындалмайды, бірақ, әрине, қадамдар және қауіпсіз қауіпсіздік плагиндері сіз кез келген шабуылдарды сәтсіздікке әкеліп соқтыруы мүмкін.

Сіздің сайтыңыздың кіру парағы, әрине, сіздің веб-сайтыңыздағы ең осал беттердің бірі, сондықтан WordPress сайтына кіру парағын сәл қауіпсізірек етуге кірісейік.

1. Жақсы әкімші атын таңдаңыз

Ерекше пайдаланушы аттарын қолданыңыз. Бұрын WordPress-те сіз әкімшінің әдепкі атымен бастауыңыз керек еді, бірақ бұл енді олай емес. Дегенмен, жаңа веб-әкімшілердің көпшілігі әдепкі пайдаланушы атын пайдаланады және олардың атын өзгерту керек. Сіз қолдана аласыз Әкімші Renamer Extended әкімшінің пайдаланушы атын өзгерту үшін.

Кіру парақтарын мәжбүрлеу - бұл сіздің веб-сайтыңызға тап болатын веб-шабуылдардың кең таралған түрінің бірі. Егер сізде құпия сөзді немесе пайдаланушы атын табу оңай болса, сіздің веб-сайтыңыз тек мақсат емес, ақыры құрбан болады. Тәжірибе бойынша, сайтты бұзудың көптеген әрекеттері пайдаланушының үш негізгі таңдауымен кіруге тырысады. Алғашқы екеуі әрқашан «әкімші» немесе «әкімші», ал үшіншісі сіздің домен атыңызға негізделеді.

Мысалы, егер сіздің сайтыңыз crazymonkey33.com болса, хакерлік тұлға «crazymonkey33» арқылы кіруге тырысуы мүмкін.

Жақсы идея емес.

2. Күшті парольді пайдаланғаныңызға көз жеткізіңіз

Бүгінде адамдар өз шоттарын қорғау үшін күшті, күрделі құпия сөздерді қолданатындығын біледі деп ойлайтын шығарсыз, бірақ «парольді» жақсы деп есептейтін көптеген адамдар бар.

Splash Data тізімін құрастырды 2018 жылы жиі қолданылатын парольдер. Пайдалану шарттары бойынша пароль.

  1. 123456
  2. пароль
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. күн сәулесі
  9. qwerty
  10. мен сені жақсы көремін

Егер сіз осы парольдердің біреуін пайдалансаңыз және сіздің веб-сайтыңыз кез-келген трафикті қабылдамаса, сіздің веб-сайтыңыз ерте ме, кеш пе, әрине, алынып тасталады.

Күшті пароль келесі қоспалардан тұрады:

  • Жоғарғы және төменгі бас әріптерден тұратын таңбалар
  • Әріптік-сандық болыңыз (AZ және az)
  • Арнайы таңбаны (!, @, #, $, Т.б.)
  • Кемінде 8 таңба ұзындығы

Құпия сөзіңіздің кездейсоқтығы соғұрлым қауіпсіз болады. Бір кездегі қиындықтар туындаса, бұл кездейсоқ құпия сөзді генераторын қолданып көріңіз. https://passwordsgenerator.net/

3. ReCaptcha іске қосыңыз

WP блогынан қабырға боттардан шығады.

reCaptcha автоматтандырылған құралдарды сайтта жұмыс істеуді тоқтатуға арналған. Әрине, бүгінгі күні хакерлік құралдардың күрделілігін ескере отырып, оларды оңай айналып өтуге болады, бірақ, кем дегенде, бұл қосымша қауіпсіздік қабаты бар.

Сонда бар reCaptcha плагиндерінің саны сіз қорапта өте көп жұмыс істейтін орнатумен бірге пайдалана аласыз.

4. Екі факторлы аутентификацияны қолданыңыз (2FA)

2FA - сіздің логиніңізді тексеруді талап ететін аутентификация әдісі. Мысалы, пайдаланушы атыңыз бен пароліңізбен жүйеге кіргеннен кейін, жүйе өзіңіздің ұялы телефоныңызға SMS жіберуі немесе өзіңіздің жеке куәлігіңізді тексеру үшін енгізу қажет кодты электрондық пошта арқылы жіберуі мүмкін.

Аутентификациялау әдісі жақсы қорғауды ұсынады және көптеген банктер мен қаржы институттары бүгінгі күні пайдаланылады. Тағы да, бұл қажеттілік оңай болуы мүмкін 2FA плагині.

Төмендегі бейнеде WordPress кіруімен miniOrange (2FA плагині) қалай жұмыс істейтінін көріңіз.

T

5. Кіру URL мекенжайын өзгертіңіз

Көптеген хакерлер әдеттегідей wordpress кіру парағы арқылы кіруге тырысады

sample.com/wp-admin.

Қорғаудың басқа қабатын қосу үшін, кіру бетінің URL-мекен-жайын тез және ыңғайсыз құралмен өзгертіңіз WPS құпия сөзді жасыру.

6. Кіру әрекеттерінің шекті саны

Бұл өзіңіздің логиніңізге қатерлі күштерді шабуылдарды өз тректерінде тоқтатудың керемет қарапайым әдісі. Күшті күштер шабуылы көптеген комбинацияларды қайта-қайта тырысып, пайдаланушы атыңыз бен пароліңізді дұрыс істеуге тырысады.

Егер шабуылды жүзеге асыратын нақты IP қадағаланатын болса, онда сіз қайталанбайтын күштеу әрекеттерін оқшаулауға және торапты қауіпсіз ұстауға болады. Сонымен қатар, жаһандық DDOS шабуылдары әр түрлі шабуылдардың шыққан IP-мекен-жайларымен, хостинг қызметтері мен веб-сайттың қауіпсіздігін қорғаудан бас тартуға байланысты.

Кіру LockDown және Қауіпсіздік шешімі екеуі де веб-сайтыңыздың кіру парақтарын қорғаудың тамаша шешімдерін ұсынады. Олар IP мекенжайларын қадағалап, веб-сайтыңызды қорғауға кіру әрекеттерін шектейді.

Сайттың қауіпсіздік қабырғасын қатайту

Біз сіздің WordPress кіру парағыңызды қорғаудың әртүрлі тактикаларын талқыладық - жоғарыда аталған қадамдар сіз жасай алатын негіздер болып табылады. Сондай-ақ, кейбір веб-хосттар өздерінің қауіпсіздік ережелерінің кейбірін өз пайдаланушыларына міндеттейтінін білгеніңіз жөн. Сіз өзіңіздің сайттарыңызда қолдануға болатын бірқатар басқа қауіпсіздік тәжірибелерін қолдана аласыз.

7. Wp-admin каталогын қорғаңыз

Хост каталогына қауіпсіздік қосымша деңгейін қосыңыз.

Wp-admin каталогы WordPress орнатылымының жүрегі болып табылады. Қосымша қорғаныс ретінде пароль осы каталогты қорғайды.

Ол үшін хостингті басқару тақтасына кіру қажет. Сіз қолданасыз ба Cpanel or Plesk, сіз іздеген опция 'Құпия сөзді қорғайтын каталогтар'.

Сонымен қатар, сіз .htaccess және .htpasswds файлдарын бұру арқылы каталогты парольмен қорғай аласыз. Егжей-тегжейлі нұсқаулық пен код генераторын ақысыз алуға болады Динамикалық диск.

Wp-admin қалтасын парольмен қорғайтынына назар аударыңыз WordPress үшін ашық AJAX-ті бұзу - сайттың қателіктерін болдырмау үшін .htaccess арқылы ajax әкімшілігіне рұқсат беруіңіз керек.

8. Деректерді шифрлау үшін SSL пайдалану

HTTP vs HTTPS қосылымы (көзі: Sucuri)

Сайттың өзінен басқа, сіз және сервер арасындағы байланысты қорғауды қаласаңыз, бұл жерде SSL сіздің байланыстарыңызды шифрлау үшін келеді. Шифрланған байланысқа ие болу арқылы, сервермен байланысқан кезде хакерлер деректерді (мысалы, құпия сөзіңізді) ұстай алмайды.

Бұдан басқа, ССL-ті енгізудің жақсы тәжірибесі де бар, өйткені іздеу жүйелері «қауіпсіз емес» деп санайтын сайттарды барынша айыптайды.

Жеке блоггерлер мен шағын бизнес үшін ақысыз, ортақ SSL - оны әдетте хостинг провайдерінен ала аласыз, Шифрлаймызнемесе CloudFlare - әдетте жеткілікті жақсы. Клиенттердің төлемдерін өңдейтін кәсіпкерлер үшін - сіз үшін жақсы арнайы SSL сертификатын сатып алыңыз веб-хостыңыздан немесе куәландыру орталығынан (CA).

SSL туралы толығырақ біліңіз SSL-ге арналған нұсқаулық.

9. Мазмұн тарату желісін (CDN) пайдаланыңыз

Бұл сіздің сайтыңызды бұзудан сақтамауы мүмкін, бірақ бұл зиянды шабуылдарды азайтуға көмектеседі. Кейбір хакерлер веб-сайттарды жоюға тырысып, оларды көпшілікке қол жетімді етпейді. CDN a соққысын басуға көмектеседі Таратылған қызмет көрсетуден бас тарту сайтқа шабуыл.

Сонымен қатар, бұл сіздің сайтыңызды кейбір мазмұнды кэштеу арқылы жылдамдатуға көмектеседі. Бұл опцияны зерттеу үшін мысал ретінде Cloudflare-ге қараңыз. CloudFlare CDN қызметін көп деңгейлі баға деңгейінде ұсынады, сондықтан сіз тіпті негізгі мүмкіндіктерді ақысыз пайдалана аласыз.

туралы көбірек біліңіз Cloudflare қалай жұмыс істейді және қызметті пайдаланудың артықшылықтары.

10. БАРЛЫҚ бағдарламалық жасақтама жаңартылғанына көз жеткізіңіз

Бағдарламалық қамтамасыз ету қаншалықты жақсы немесе қымбат болмаса да, оларда пайда болған ашық қалдыратын жаңа кемшіліктер болады. WordPress ешқандай ерекшелік емес және команда үнемі түзетулер мен жаңартулармен жаңа нұсқаларын шығарады.

Хакерлер дерлік әрқашан әлсіздіктің пайда болуына тырысады және белгілі бір эксплуатациядан өтіп кетеді, жай ғана қиындықты сұрайды. Бұл плагиндерге екі есе көп келеді, олар жиі әлдеқайда аз ресурстармен аз компаниялармен жасалады.

Егер сіз плагиндерді қолданатын болсаңыз, жаңартулардың үнемі шығарылып тұратындығына көз жеткізіңіз немесе табу туралы ойланыңыз ұқсас функциялары бар танымал плагиндер жаңартылып отырады.

Мұны айтқан болсаңыз, мен сізге кеңес бермеймін автоматты WordPress және Plugin жаңартулары, әсіресе тірі торапты іске қосқан болсаңыз. Кейбір жаңартулар ішкі немесе басқа плагиндермен және параметрлермен қақтығыстар арқылы туындауы мүмкін проблемаларды тудыруы мүмкін.

Ең дұрысы, тірі торабыңызды көрсететін және жаңартуларды тексеретін сынақ ортасын жасаңыз. Сіз бәрі жақсы жұмыс істейтініне сенімді болғаныңыздан кейін, жаңартманы тірі торапқа қолдануға болады.

Plesk сияқты басқару панелдері сізге осы мақсат үшін сайт клоны жасау мүмкіндігін береді.

11. Сақтық көшірме, сақтық көшірме және сақтық көшірме!

Қандай қауіпсіздік шаралары немесе сақтық шаралары болмаса да, апаттар орын алады. Өзіңізді сақтық көшірмелеу қызметтері жеткілікті екеніне көз жеткізу арқылы өзіңізді ауыр сынықтан және жүз сағаттық жұмыстан құтқарыңыз.

Әдетте сіздің веб-хостыңыз кем дегенде кейбір негізгі резервтік мүмкіндіктермен келеді, бірақ егер сіз мен сияқты параноиды болса, әрқашан өзіңіздің дербес резервтік көшірмелеріңізді орындаңыз. Сақтық көшірме жасау кейбір файлдарды көшіру сияқты қарапайым емес, сонымен қатар сіздің дерекқорыңыздағы ақпаратты ескереді.

Сыналған және тексерілген сақтық көшірме шешімін іздеңіз. Төтенше жағдайларда көз жасын үнемдеу үшін шағын инвестиция да қажет. Бір нәрсе BackupBuddy Сіздің деректер базаңызды бір жолмен сақтауға көмектеседі.

12. Сіздің веб-хостыңыз есептейді!

Дәстүрлі түрде болса да, веб-хостинг компаниялары бізге веб-сайттарды орналастыру үшін жай кеңістік ұсынғанымен, уақыт өзгерді. Веб-хостинг провайдерлері, осалдықтарды түсіну, веб-хостингін толықтыратын қосымша қызметтер ұсынатын көптеген адамдар қауіпсіздікті арттыра түсті.

Мысалы, мысалы HostGator, ойдағыдай құрылған атаулардың бірі. Негізгі Cloudflare мүмкіндіктерінен басқа, HostGator ($ 10 + / mo бағасында) ақ Spam Free Protection, Автоматты Зиянды бағдарламаларды жою, Автоматты резервтік көшіру, Домендік құпиялылық және тағы басқалармен бірге келеді.

Басқарылатын WordPress хостинг провайдері, Кинста, бағдарламалық жасақтама брандмауэрін құрыңыз және өз серверлерін зиянды бағдарламалар мен DDoS шабуылдары үшін арнайы құрылған жүйемен бақылап отырыңыз.

Егер бұл әлі сізде болмаған болса, мен сіздің хостыңыздың қандай қауіпсіздік мүмкіндіктері қарастырылғанын және оны қазіргі кезде қол жетімді болғанмен салыстыруға шақырамын.

Толық тізім үшін сіз өзіңізді тексере аласыз WHSR-дің ең жақсы веб-хосттарды құрастыруы.

Қазір не?

Сіз интернетті жабысып, миллиондаған және бір қауіпсіздік шешімдерін іздестіруді бастамас бұрын терең тыныс алыңыз. Қалай болғанда да, біреу сізді паникатқа алып, шешімді іздеуге көмектеседі.

Тіпті сіз таба алатын көптеген қауіпсіздік шешімдерін қолдансаңыз да, сіз бе? сенімді сіз қауіпсізсіз бе?

Мұнда бір нәрсе бар Қауіпсіздік Ниндзя келіңіз, бұл сіздің сайтыңызды әлсіз жақтарға тексеруге көмектеседі.

Жылдам демонстрация: қауіпсіздік ниндзя қалай жұмыс істейді.

Қауіпсіздік Ниндзясы сияқты нәрселерді пайдаланудың бірнеше себептері бар, бірақ мен сіздің сайтты қорғау үшін саяхатыңызда бірнеше сатыда пайдалануды ұсынатын құрал екенін айтайын.

Біріншіден, оны сіздің веб-сайтыңызға енгізіңіз, бұл - кез келген өзгерістер енгізбес бұрын. Сізге нәтиже берместен бұрын плагин сізді сайтқа шығарып, дайындаңыз.

Содан кейін осы нәтижелерге сүйене отырып, сіздің сайтты қорғауға тырысыңыз. Қауіпсіздік ниндзесі қорғанысыңызды тексеру үшін 50 сынақтарынан көп. Өзгертулеріңізді жасағаннан кейін де, оны қайтадан іске қосыңыз (және әрқашан сайт өзгертулері немесе плагин жаңартулары бар).

Егер бұл сіз үшін тым көп жұмыс сияқты көрінсе, Security Ninja қосымша модульдермен бірге келедіpro нұсқасы, $ 29 жалғыз сайт), ол сіз тапқан проблемаларды шешуге көмектеседі.

Осы модульдердегі кейбір басқа негізгі мүмкіндіктерге мыналар жатады:

  • Проблемалы файлдарды анықтау үшін WP негізгі файлдарын сканерлеңіз
  • Бір рет басу арқылы өзгертілген файлдарды қалпына келтіріңіз
  • WP автоматты жаңартуларын түзетіңіз
  • Шабуыл жасалған миллиондаған сайттардан жиналған 600 миллион жаман IP-ге тыйым салыңыз
  • Автоматты жаңартулар тізімі, техникалық қызмет көрсету немесе қолмен жұмыс істеу қажет емес
  • Кіру формасын қатал шабуылдардан қорғаңыз

Қорытынды ой

Бұл WordPress-тың орташа пайдаланушысына біршама шамадан тыс көрінуі мүмкін, бірақ бәрі де (және одан көп) қажет. Дүние жүзінің хакерлік статистикасын елемеу және біраз уақыттан бері қандай да бір ақпараттармен бөлісуге рұқсат етіңіздер.

Бастапқыда қарапайым өмірбаяны ретінде басталдым, мен оны құрдым www.timothyshim.com. Әлбетте, бұл мен орнатқан нәрсе еді, және уақыттың көбі тек қана бастапқы нүкте ретінде қалды. Әр айдың ішінде бұл сайт негізінен ештеңе жасамайды және ешқандай деректерді жинайды, 30 шабуылдарына қарсы - күшті күштер мен күрделі комбинациялар.

Осының бәрі сәттілікке жету үшін қажет, ал мен өзіме ие боламын шынында жаман күн.

Тимофей Шим туралы

Тимоти Шим жазушы, редактор және технологиялық геек. Ақпараттық технологиялар саласындағы өзінің мансабын бастады, ол баспаға тез жол тапты және содан бері ComputerWorld, PC.com, Business Today және Asian Banker сияқты халықаралық, аймақтық және отандық БАҚ атауымен жұмыс жасады. Оның тәжірибесі екі тұтынушыдан, сондай-ақ кәсіпкерлік көзқарастардан технологияның саласына жатады.

Қосылу: