Vidokezo vya Usalama vya WordPress kwa Layman: Salama Ingizo lako la WordPress na Mazoea mengine ya Usalama

Kifungu kilichoandikwa na:
  • WordPress
  • Imesasishwa Februari 06, 2020

Kwa kuwa ilianzishwa kwanza katika zaidi ya miongo miwili iliyopita, WordPress imeongezeka (na imeongezeka) sasa inaitwa salama kama mfumo wa usimamizi wa bidhaa maarufu ulimwenguni. Leo, zaidi ya robo ya tovuti zilizopo zinaendeshwa kwenye WordPress.

Hata hivyo tangu zamani, jambo ambalo linajulikana zaidi, watu wengi wanapenda kuimarisha kwa njia ya nefarious. Angalia tu Microsoft Windows na idadi kubwa ya zisizo, virusi na matumizi mengine iliyoundwa na lengo moja tu ya mfumo wa uendeshaji maalum.

Neno la 10 WordPress na Vulnerability wengi (chanzo). Utafiti katika 2017 umebaini matoleo tofauti ya 74 ya WordPress kwenye tovuti ya Alexa Top milioni 1; 11 ya matoleo haya ni batili - kwa mfano toleo la 6.6.6 (chanzo).

Kwa nini blog yako ya WordPress ni lengo la thamani?

Ikiwa wewe unashangaa kwa nini duniani hacker anaweza kutunza blog yako ya WordPress, kuna sababu kadhaa ikiwa ni pamoja na;

  • Kutumia kwa siri kutuma barua pepe za barua taka
  • Ube data yako kama vile orodha ya barua pepe au maelezo ya kadi ya mkopo
  • Kuongeza tovuti yako kwenye botnet ambayo wanaweza kutumia baadaye

Kwa bahati nzuri, WordPress ni jukwaa ambalo linawapa fursa nyingi ya kujikinga. Baada ya kusaidiwa kuanzisha na kusimamia tovuti kadhaa na blogu mwenyewe, ningependa kushiriki nawe baadhi ya mambo ya msingi ambayo unaweza kufanya ili kusaidia salama yako tovuti ya WordPress.

Hapa ni vidokezo vya usalama vya 10 vinavyotumika unaweza kutumia.

Salama Ukurasa wako wa Kuingia wa WordPress

Kulinda ukurasa wako wa kuingia hauwezi kukamilika na mbinu yoyote maalum, lakini kuna hakika hatua na mipangilio ya usalama ya bure unaweza kuchukua ili kufanya mashambulizi yoyote yasiwezekana sana kufanikiwa.

Ukurasa wa kuingia kwako wavuti bila shaka ni moja ya kurasa zilizo hatarini zaidi kwenye wavuti yako, kwa hivyo wacha tuanze kutengeneze ukurasa wako wa kuingia wa WordPress salama zaidi.

1. Chagua jina la mtumiaji la msimamizi mzuri

Tumia majina ya watumiaji ya kawaida. Hapo awali na WordPress, ilibidi uanze na jina la mtumiaji la default, lakini hiyo sio hivyo tena. Bado, watu wengi wapya wavuti hutumia jina la mtumiaji la msingi na wanahitaji kubadilisha jina lao la mtumiaji. Unaweza kutumia Ramu ya Admin imeongezwa kubadilisha jina lako la mtumiaji.

Kulazimisha kurasa za kuingia kwa moja kwa moja ni moja ya aina ya kawaida ya mashambulio ya wavuti ambayo wavuti yako inakabiliwa nayo. Ikiwa unayo nadhani nadhani nywila au jina la mtumiaji, wavuti yako hakika haitakuwa shabaha tu lakini mwishowe. Kutoka kwa uzoefu, majaribio mengi ya wavuti ya wavuti hujaribu kuingia na chaguzi kuu tatu za majina ya watumiaji. Wawili wa kwanza huwa 'admin' au 'msimamizi', wakati wa tatu kawaida ni kwa jina la kikoa chako.

Kwa mfano, ikiwa tovuti yako ni crazymonkey33.com, hacker anaweza kujaribu kuingia na 'crazymonkey33'.

Si wazo nzuri.

2. Hakikisha kutumia nenosiri kali

Kwa sasa ungependa kufikiri kwamba watu wangetambua kutumia nywila kali, ngumu kulinda akaunti zao, lakini bado kuna wengi ambao wanadhani 'password' ni kubwa.

Data ya Splash imeorodhesha orodha ya nywila zinazotumiwa mara nyingi mnamo 2018. Nenosiri kwa safu katika suala la matumizi.

  1. 123456
  2. nywila
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. jua
  9. upo
  10. nakupenda

Ikiwa unatumia mojawapo ya nywila hizo na tovuti yako inapata trafiki yoyote kabisa, tovuti yako itakuwa karibu kabisa kuchukuliwa chini mapema au baadaye.

Nenosiri kali linatia ndani mchanganyiko wa:

  • Wahusika wa chini na wa chini
  • Kuwa alphanumeric (AZ na az)
  • Jumuisha tabia maalum (!, @, #, $, Nk)
  • Angalau wahusika wa 8 kwa urefu

Nenosiri yako zaidi ni salama, itakuwa salama zaidi. Jaribu jenereta hii ya nenosiri la random ikiwa una shida kuja na moja. https://passwordsgenerator.net/

3. Utekeleze reCaptcha

Bonde la Wall kutoka kwenye blogu yako ya WP.

ReCaptcha iliundwa ili kuacha zana za automatiska kutoka kwenye kazi kwenye tovuti. Bila shaka, kutokana na utata wa zana za hacking leo, hizi zinaweza kupunguzwa kwa urahisi, lakini angalau kuna safu hiyo ya usalama.

Kuna Plugins kadhaa ya reCaptcha unaweza kutumia na usanidi wako ambao utafanya kazi vizuri sana kwenye sanduku.

4. Tumia Uthibitishaji wa sababu mbili (2FA)

2FA ni njia ya uthibitisho ambayo inahitaji uthibitisho kwenye kuingia kwako. Kwa mfano, mara tu umeingia na jina lako la mtumiaji na nenosiri, mfumo unaweza kutuma SMS kwa simu yako ya mkononi au kukupelekea barua pepe kwa msimbo unahitaji kuingiza ili uhakikishe utambulisho wako.

Njia hii ya uthibitishaji inatoa ulinzi mzuri na hutumiwa na mabenki mengi na taasisi za fedha leo. Tena, mahitaji haya yanaweza kupatikana kwa urahisi na Plugin ya 2FA.

Angalia jinsi miniOrange (Plugin ya 2FA) inafanya kazi na kuingia kwa WordPress kwenye video ifuatayo.

T

5. Badilisha URL yako ya kuingia

Hackare wengi watajaribu kuingia kupitia ukurasa wa kuingia wa maneno wa kawaida, ambayo kawaida ni kitu kama hicho

sampuli.com/wp-admin.

Ili kuongeza safu nyingine ya ulinzi, ubadili URL ya kuingilia URL haraka na bila kujitahidi na chombo kama WPS Ficha Ingia.

6. Punguza idadi ya majaribio ya kuingia

Hii ni mbinu moja rahisi sana ya kuacha mashambulizi ya nguvu ya kijinga kwenye ukurasa wako wa kuingilia haki katika nyimbo zao. Mashambulizi ya nguvu ya kijinga hufanya kazi kwa kujaribu kupata jina lako la mtumiaji na nenosiri kwa kuzingatia mara nyingi mchanganyiko.

Ikiwa IP maalum inayofanya mashambulizi yanafuatwa, basi unaweza kuzuia majaribio ya mara kwa mara ya kulazimisha majaribio na kuweka tovuti yako salama. Hii pia ni kwa nini mashambulizi ya DDOS ya kimataifa hutokea kwa anwani nyingi za IP na asili tofauti za mashambulizi, kutupa huduma za kuhudhuria na usalama wa wavuti mbali na walinzi.

Login Lockdown na Suluhisho la Usalama wa Ingia zote zinatoa suluhisho nzuri kulinda kurasa za kuingia kwa wavuti yako. Wafuatilia anwani za IP na wanaweka kikomo cha majaribio ya kuingia kwenye akaunti ili kulinda tovuti yako.

Ukuta wa Usalama wa Harden

Tumejadili mbinu mbali mbali za kupata ukurasa wako wa kuingia kwenye WordPress - hatua hizo zilizotajwa hapo juu ndio misingi unaweza kufanya. Unapaswa pia kufahamu kuwa baadhi ya wenyeji wa wavuti wanakuamuru baadhi ya mazoea haya ya usalama kwa watumiaji wao. Kuna idadi ya mazoea mengine ya usalama ambayo unaweza kutekeleza kwenye tovuti zako.

7. Pinda directory yako ya wp-admin

Ongeza safu ya ziada ya usalama kwenye saraka yako ya mwenyeji.

Sura ya wp-admin ni moyo wa ufungaji wako wa WordPress. Kama ulinzi wa ziada, nenosiri linalinda saraka hii.

Kwa kufanya hivyo, unahitaji kuingia kwenye jopo lako la kudhibiti akaunti ya mwenyeji. Ikiwa unatumia cPanel or Plesk, chaguo unayotafuta ni 'Password-kulinda Directories'.

Vinginevyo, unaweza kulinda saraka kwa kutumia data yako .htaccess na .htpasswds. Maelezo ya hatua kwa hatua na jenereta ya kanuni zinapatikana bure Hifadhi ya Dynamic.

Kumbuka kuwa nenosiri linalolinda nywila yako ya wp-admin kuvunja AJAX ya umma kwa WordPress - Utahitaji kuruhusu ruhusa kwa admin ajax kupitia .htaccess kuzuia makosa yoyote ya tovuti.

8. Tumia SSL ili ufiche data

Uunganisho wa HTTP vs HTTPS (Chanzo: Sucuri)

Mbali na tovuti yenyewe, utahitaji pia kulinda uhusiano kati yako na seva na hii ndio ambapo SSL inakuja kufuta mawasiliano yako. Kwa kuwa na uunganisho wa kiambatanisho, washaki hawataweza kupinga data (kama vile nenosiri lako) unapowasiliana na seva yako.

Mbali na hili, pia ni mazoea mazuri ya kutekeleza SSL sasa tangu injini za utafutaji zinazidi kupiga tovuti ambazo zinaona 'zisizo salama'.

Kwa wanablogu wa kibinafsi na biashara ndogo ndogo, SSL ya bure, iliyoshirikiwa - ambayo kawaida unaweza kupata kutoka kwa mtoaji wako mwenyeji, Hebu Turuhusu, Au Wingu - kawaida ni zaidi ya nzuri ya kutosha. Kwa biashara inayoshughulikia malipo ya wateja - ni bora wewe kununua cheti cha SSL cha kujitolea kutoka kwa mwenyeji wako wa wavuti au mamlaka ya hati (CA).

Pata maelezo zaidi kuhusu SSL kwa kina Mwongozo wa AZ kwa SSL.

9. Tumia Mtandao wa Usambazaji wa Yaliyomo (CDN)

Wakati hii inaweza kuokoa tovuti yako kutokana na kutapeliwa inasaidia kusafiri dhidi ya mashambulizi mabaya dhidi yake. Wadadisi wengine wanakusudia kuleta chini ya tovuti, na kuzifanya zifikike kwa umma. CDN itasaidia mto pigo la a Kusambazwa kukataliwa kwa Huduma shambulio kwenye tovuti yako.

Mbali na hayo, pia husaidia kasi yako tovuti kidogo kwa kusukuma baadhi ya maudhui. Kuchunguza chaguo hili, angalia kuelekea CloudFlare kama mfano. CloudFlare inatoa huduma za CDN katika viwango vya bei mbalimbali, hivyo unaweza hata kutumia vipengele vya msingi kwa bure. https://www.cloudflare.com

10. Hakikisha programu yako YOTE iko juu

Haijalishi programu nzuri au ghali ni, daima kutakuwa na udhaifu mpya unaopatikana ndani yao ambayo inaweza kuwaacha kufunguliwa. WordPress sio ubaguzi na timu inatoa daima matoleo mapya na marekebisho na sasisho.

Wadanganyifu karibu daima wanatafuta kuchukua faida ya udhaifu na matumizi ya kujulikana ambayo yameachwa unfixed inaomba tu shida. Hii huenda mara mbili zaidi kwa Plugins ambayo mara nyingi huundwa na makampuni madogo madogo yenye rasilimali ndogo.

Ikiwa unatumia programu-jalizi, hakikisha kuwa sasisho zimetolewa kila mara, au fikiria kupata programu-jalizi maarufu zilizo na utendaji sawa ambao huhifadhiwa.

Baada ya kusema hili, mimi sio kupendekeza kutumia WordPress moja kwa moja na sasisho la Plugin, hasa kama unaendesha tovuti ya kuishi. Baadhi ya sasisho zinaweza kusababisha matatizo, iwe ndani au kwa njia ya migogoro na programu nyingine na mipangilio.

Kwa hakika, uunda mazingira ya mtihani ambayo inaonyesha tovuti yako ya kuishi na uhakiki masasisho huko. Ukihakikisha kuwa kila kitu kinafanya kazi vizuri basi unaweza kutumia sasisho kwenye tovuti inayoishi.

Paneli za kudhibiti kama vile Plesk inakupa fursa ya kuunda kifaa cha tovuti kwa kusudi hili.

11. Backup, Backup na Backup!

Bila kujali hatua za usalama au jinsi wewe ni tahadhari, ajali hutokea. Jifanye mwenyewe kutokana na kuvunjika moyo kwa moyo na masaa mia ya kazi kwa kuhakikisha tu una huduma za kutosha za salama zilizopo.

Kwa kawaida mwenyeji wako wa wavuti atakuja na baadhi ya vipengele vya msingi vya salama, angalau, ikiwa unapenda kama mimi, daima uhakikishe kufanya kazi zako binafsi za kujitegemea. Kusimamisha sio rahisi tu kunakili faili fulani, lakini pia utazingatia habari katika database yako.

Tafuta ufumbuzi wa salama ambao umejaribiwa na kuthibitishwa. Hata uwekezaji mdogo ni thamani ya kuokoa kwenye machozi katika hali ya dharura. Kitu kama BackupBuddy inaweza kukusaidia kuokoa kila kitu ikiwa ni pamoja na database yako kwa moja.

12. Kukaribisha wavuti yako ya wavutiwa!

Ijapokuwa jadi, kampuni za mwenyeji wa mtandao zinazotolewa tu kwa nafasi yetu ya kuwashughulikia tovuti zetu, nyakati zimebadilishwa. Watoaji wa wavuti wa wavuti, kutambua haja ya dharura ya kuongezeka kwa usalama, wameongezeka, na huduma nyingi zinazotolewa kwa thamani ya kuongeza huduma zao za mtandao.

Chukua kwa mfano HostGator, mojawapo ya majina yaliyo imara katika mchezo. Mbali na vipengele vya msingi vya Cloudflare, HostGator (kwa bei ya $ 10 + / mo) pia inakuja na Ulinzi wa Spam Free, Kuondolewa kwa Malware ya Moja kwa moja, Backups ya Usajili, Faragha ya Faragha na zaidi.

Msaidizi mwenye usimamizi wa WordPress, Kinsta, jenga milango ya vifaa vya moto na uangalie kwa nguvu seva zao kwa programu hasidi na shambulio la DDoS na mfumo uliojengwa wa forodha.

Ikiwa hii ni kitu ambacho hakijawahi kutokea kwako bado, ninawahimiza sana kutazama ni usalama gani unaojumuisha mwenyeji wako na kuupanisha na kile kinachopatikana sasa.

Kwa orodha kamili unaweza kuangalia Mkusanyiko wa WHSR wa majeshi bora ya wavuti hapa.

Sasa nini?

Kabla ya kukimbia mwitu na kuanza kupiga mtandao kwa hofu kutafuta mia moja ya usalama na ufumbuzi mmoja - kuchukua pumzi kubwa. Kama ilivyo kwa kila kitu kingine, mtu atakusaidia kuogopa tayari na kutafuta suluhisho.

Hata kama unatekeleza ufumbuzi wa usalama kama unavyoweza kupata, wewe uhakika wewe ni salama?

Hapa ni wapi kitu kama Usalama Ninja kuja, ambayo inakusaidia kuchunguza tovuti yako kwa udhaifu.

Demo ya haraka: Jinsi Usalama Ninja hufanya kazi.

Kuna sababu kadhaa za kulazimisha kutumia kitu kama Usalama Ninja lakini niruhusu niseme kwamba ni chombo ambacho ningependekeza kupitumia katika hatua nyingi katika safari yako ili kupata tovuti yako.

Kwanza, tendeni kwenye tovuti yako 'kama ilivyo' - kabla ya kufanya mabadiliko yoyote. Hebu Plugin na pock tovuti yako kabla ya kukupa matokeo.

Kisha kulingana na matokeo hayo, jitahidi kupata tovuti yako. Usalama Ninja hufanya zaidi ya vipimo vya 50 kuchunguza ulinzi wako. Hata baada ya kufanya mabadiliko yako, uikimbie tena (na kila wakati kuna mabadiliko ya tovuti au sasisho la programu ya plugin) ili tu kupima tovuti yako.

Ikiwa hii inaonekana kama kazi kidogo sana kwako, Usalama Ninja pia huja na jeshi la ziada modules (toleo la pro, tovuti moja $ 29) ambayo inaweza kukusaidia kurekebisha matatizo ambayo hupata.

Vipengele vingine vingine muhimu katika modules hizi ni pamoja na:

  • Futa faili za msingi za WP kutambua faili zenye matatizo
  • Rejesha faili zilizobadilishwa kwa click moja
  • Fiza kuvunjwa WP updates binafsi
  • Tumia IPs milioni mbaya ya IPS zilizokusanywa kutoka kwa mamilioni ya maeneo yaliyoshambuliwa
  • Orodha ya updates-auto, hakuna haja ya matengenezo yoyote au kazi ya mwongozo
  • Jilinda fomu ya kuingilia kutoka kwenye mashambulizi ya nguvu

Mawazo ya mwisho

Ingawa yote haya yanaweza kuonekana kuwa mno kwa mtumiaji wa kawaida wa WordPress, nawahakikishia kuwa yote (na zaidi) yanahitajika. Kupuuza takwimu za kimataifa za kupiga hazina na sio kwa muda, napenda nishirikane na wewe maelezo fulani ya kibinafsi kwenye mojawapo ya tovuti zisizofichwa ambazo ninazisaidia kusimamia.

Ilianza mwanzo kama tovuti rahisi ya wasifu, nimeumba www.timothyshim.com. Ni dhahiri, ilikuwa kitu tu ambacho mimi nikianzisha na wakati mwingi huondoka pekee, tu kama hatua ya kumbukumbu. Kwa kipindi cha kila mwezi, tovuti hii ambayo kimsingi haina kitu na kukusanya data hakuna, inakabiliwa na mashambulizi ya 30 - mchanganyiko wa nguvu za kijinga na zile ngumu.

Yote inahitaji ni kwa mmoja wao kufanikiwa na ningependa kuwa na kweli siku mbaya.

Kuhusu Timothy Shim

Timothy Shim ni mwandishi, mhariri, na tech geek. Kuanzia kazi yake katika uwanja wa Teknolojia ya Habari, alipata haraka njia yake ya kuchapishwa na tangu sasa alifanya kazi na majina ya vyombo vya habari vya kimataifa, vya kikanda na vya ndani ikiwa ni pamoja na ComputerWorld, PC.com, Biashara Leo, na Benki ya Asia. Utaalamu wake upo katika uwanja wa teknolojia kutoka kwa watumiaji wote pamoja na mtazamo wa biashara.