Layman için WordPress Güvenlik İpuçları: WordPress Giriş ve Diğer Güvenlik Uygulamalarınızı Koruyun

Yazan makale:
  • WordPress
  • Güncelleme: Şubat 06, 2020

İlk yirmi yıldan daha uzun bir süre önce kullanıma sunulduğundan beri, WordPress artık dünyanın en popüler içerik yönetim sistemi olarak adlandırılan büyümüştür (ve büyüdü). Bugün, dörtte birinden fazla mevcut web sitelerinin WordPress üzerinde çalıştırılır.

Yine de zamanın ötesinde, daha popüler olan şey, daha çok insan, hain yollarla bunun üzerinde kaldı. Sadece Microsoft Windows ve Çok sayıda kötü amaçlı yazılım, virüs ve diğer istismarlar Sadece bu özel bir işletim sistemini hedeflemek için tasarlanmıştır.

En Zararlılıklara Sahip 10 WordPress Sürümleri (kaynak). 2017'teki araştırma, Alexa Top 74 milyon web sitelerindeki WordPress'in 1 farklı sürümlerini tanımladı; Bu sürümlerin 11'i geçersiz - örneğin 6.6.6 sürümü (kaynak).

WordPress blogunuz neden değerli bir hedeftir?

Dünyanın neresinde bir hacker'ın WordPress blogunuzu kontrol etmek isteyeceğini merak ediyorsanız, aşağıdakileri içeren çeşitli nedenler vardır:

  • Spam e-postaları gizlice göndermek için kullanma
  • Verilerinizi posta listesi veya kredi kartı bilgileri gibi çalmak
  • Sitenizi daha sonra kullanabilecekleri bir botnet'e ekleme

Neyse ki, WordPress, kendinizi savunmanız için çok sayıda fırsat sunan bir platformdur. Çeşitli web sitelerini ve blogları kendim kurmaya ve yönetmeye yardımcı olduktan sonra, WordPress sitenizi güvenceye almak için yapabileceğiniz bazı temel şeyleri sizinle paylaşmak isterim.

Burada kullanabileceğiniz 10 işlem yapılabilir güvenlik ipuçları.

WordPress Giriş Sayfanızı Güvenli Hale Getirin

Giriş sayfanızı korumak, belirli bir teknikle gerçekleştirilemez, ancak kesinlikle adımlar ve ücretsiz güvenlik eklentileri Herhangi bir saldırıyı başarma olasılığı daha düşük yapmak için alabilirsiniz.

Sitenizin giriş sayfası kesinlikle web sitenizdeki daha savunmasız sayfalardan biridir, bu nedenle WordPress sitesi giriş sayfanızı biraz daha güvenli hale getirmeye başlayalım.

1. İyi bir yönetici kullanıcı adı seçin

Alışılmadık kullanıcı adları kullanın. Daha önce WordPress ile, varsayılan bir yönetici kullanıcı adıyla başlamak zorundaydınız, ancak artık böyle değil. Yine de, çoğu yeni web yöneticisi varsayılan kullanıcı adını kullanır ve kullanıcı adlarını değiştirmeniz gerekir. Kullanabilirsiniz Yönetici Renamer Genişletilmiş Yönetici kullanıcı adınızı değiştirmek için

Brute zorlu giriş sayfaları, web sitenizin karşılaşabileceği yaygın web saldırı biçimlerinden biridir. Kolay bir şifre veya kullanıcı adı varsa, web siteniz neredeyse kesinlikle sadece bir hedef değil, sonunda bir kurban olacaktır. Deneyimden, çoğu site hack girişimi üç ana kullanıcı adı seçeneğiyle giriş yapmaya çalışır. İlk ikisi her zaman 'admin' veya 'admin', üçüncüsü ise genellikle alan adınızı temel alır.

Örneğin, siteniz crazymonkey33.com ise, bilgisayar korsanı 'crazymonkey33' ile giriş yapmayı deneyebilir.

İyi bir fikir değil.

2. Güçlü bir şifre kullandığınızdan emin olun

Şimdiye kadar insanların muhtemelen kendi hesaplarını korumak için güçlü, karmaşık şifreler kullanmayı bileceklerini düşünürsünüz, ancak hala 'şifre'yi' düşünen birçok kişi var.

Splash Verileri listesini derledi 2018'de sık kullanılan şifreler. Kullanım açısından parola sıralaması.

  1. 123456
  2. şifre
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. Gunes isigi
  9. qwerty
  10. iloveyou

Bu şifrelerden birini kullanırsanız ve web siteniz hiç trafik almazsa, web siteniz neredeyse tamamen ertelenecektir.

Güçlü bir şifre şunları içerecektir:

  • Büyük ve Alt büyük harfli karakterler
  • Alfasayısal ol (AZ ve az)
  • Özel bir karakter ekleyin (!, @, #, $, Vb.)
  • En az 8 karakter uzunluğunda

Parola ne kadar rasgele olursa, o kadar güvenli olur. Biriyle gelmekte sorun yaşıyorsanız, bu rastgele şifre üreticisini deneyin. https://passwordsgenerator.net/

3. Bir reCaptcha uygulayın

WP blog'unuzdaki duvarlar kapalı.

reCaptcha, otomatik araçların bir sitede çalışmasını durdurmak için tasarlandı. Tabii ki, bugün hack araçları karmaşıklığı göz önüne alındığında, bunlar kolayca atlanabilir, ancak en azından bu ek güvenlik katmanı var.

Var reCaptcha eklentileri bir dizi Kutunuzda oldukça fazla çalışacak olan kurulumunuzla kullanabilirsiniz.

4. İki Faktörlü Kimlik Doğrulama (2FA) kullanın

2FA, girişinizde doğrulama gerektiren bir kimlik doğrulama yöntemidir. Örneğin, kullanıcı adınızı ve şifrenizi girdikten sonra, sistem cep telefonunuza bir SMS gönderebilir veya kimliğinizi doğrulamak için girmeniz gereken bir kodla size e-posta gönderebilir.

Bu kimlik doğrulama yöntemi iyi bir koruma sağlar ve günümüzde birçok banka ve finans kuruluşu tarafından kullanılmaktadır. Yine, bu ihtiyaç ile kolayca karşılanabilir 2FA eklentisi.

MiniOrange'ın (bir 2FA eklentisi) aşağıdaki videoda WordPress girişiyle nasıl çalıştığını görün.

T

5. Giriş URL'nizi yeniden adlandırın

Çoğu bilgisayar korsanı varsayılan wordpress giriş sayfası üzerinden giriş yapmaya çalışır, bu genellikle

sample.com/wp-admin.

Başka bir koruma katmanı eklemek için, giriş sayfası URL'sini, benzeri bir araçla hızlı ve zahmetsizce değiştirin. WPS Girişi Gizle.

6. Oturum açma denemesi sayısını sınırlayın

Bu, giriş sayfanızdaki kaba kuvvet saldırılarını izlerine bırakmak için inanılmaz derecede basit bir tekniktir. Bir kaba kuvvet saldırısı, kullanıcı adınızı ve şifrenizi doğru bir şekilde birden fazla kombinasyonları denemeye çalışarak çalışır.

Saldırıyı gerçekleştiren belirli IP izlenirse, tekrarlanan kaba giriş denemelerini engelleyebilir ve sitenizi güvende tutabilirsiniz. Bu aynı zamanda global DDOS saldırılarının, farklı barındırma kökenleri olan birden çok IP adresiyle, barındırma hizmetlerini ve web sitesi güvenliğini koruma görevini yerine getirmesi için de neden olmasıdır.

Lockdown yap ve Giriş Güvenlik Çözümü her ikisi de web sitenizin giriş sayfalarını korumak için mükemmel çözümler sunar. IP adreslerini izlerler ve web sitenizi korumak için giriş yapma girişimlerinin sayısını sınırlarlar.

Harden Site Güvenlik Duvarı

WordPress giriş sayfanızı güvenceye almak için çeşitli taktikleri tartıştık - yukarıda belirtilen adımlar yapabileceğiniz temel bilgilerdir. Ayrıca bazı web sunucularının bu güvenlik uygulamalarından bazılarını kullanıcılarına zorunlu kıldığını da bilmelisiniz. Sitelerinize uygulayabileceğiniz başka güvenlik uygulamaları da vardır.

7. Wp-admin dizininizi koruyun

Ana makine dizininize ek bir güvenlik katmanı ekleyin.

Wp-admin dizini, WordPress kurulumunuzun kalbi. Ek bir koruma olarak, şifre bu dizini korur.

Bunu yapmak için, barındırma hesabı kontrol panelinize giriş yapmanız gerekir. Kullanıp kullanmadığınızı cPanel or Plesk, aradığınız seçenek 'Şifre Koruma Dizinleri'.

Alternatif olarak, .htaccess ve .htpasswds dosyalarınızı düzenleyerek bir dizini parola ile koruyabilirsiniz. Ayrıntılı adım adım kılavuz ve bir kod oluşturucu ücretsiz olarak şu adresten edinilebilir: Dinamik sürücü.

Wp-admin klasörünüzün parola korumasının WordPress için halka açık AJAX - site hatalarından kaçınmak için ajax'ı .htaccess aracılığıyla yönetme izinlerine izin vermeniz gerekir.

8. Verileri şifrelemek için SSL kullan

HTTP ve HTTPS bağlantısı (Kaynak: Sucuri)

Sitenin kendisinin yanı sıra, siz ve sunucu arasındaki bağlantıyı da korumak isteyeceksiniz ve bu, iletişimlerinizi şifrelemek için SSL'nin devreye girdiği yerdir. Şifrelenmiş bir bağlantıya sahip olarak, bilgisayar korsanları, sunucunuzla iletişim kurduğunuzda verileri (şifreniz gibi) engelleyemez.

Bunun yanı sıra, arama motorları 'güvenli olmayan' olarak düşündükleri siteleri giderek daha fazla cezalandırdığı için SSL'yi uygulamak da iyi bir uygulamadır.

Bireysel blogcular ve küçük işletmeler için, genellikle barındırma sağlayıcınızdan alabileceğiniz ücretsiz, paylaşılan bir SSL, Diyelim Şifreleya da CloudFlare - genellikle yeterince iyi değildir. Müşterilerin ödemelerini işleme koyan işletmeler için - özel bir SSL sertifikası satın al web sunucunuzdan veya bir sertifika otoritesinden (CA)

Kapsamımızda SSL hakkında daha fazla bilgi edinin AZ SSL Kılavuzu.

9. Bir İçerik Dağıtım Ağı'ndan (CDN) yararlanın

Bu, sitenizin saldırıya uğramasını engellemese de, sitenize yönelik kötü niyetli saldırılara karşı hafifletmeye yardımcı olur. Bazı bilgisayar korsanları, web sitelerini indirmeyi ve onları halka erişememeyi hedefler. Bir CDN, Hizmet Distributed Denial sitenize saldırı.

Bunun yanı sıra, bazı içeriği önbelleğe alarak sitenizi hızlandırmanıza da yardımcı olur. Bu seçeneği keşfetmek için örnek olarak CloudFlare'a bakın. CloudFlare, çok katmanlı fiyatlandırma seviyelerinde CDN hizmetleri sunar, böylece temel özellikleri ücretsiz bile kullanabilirsiniz. https://www.cloudflare.com

10. TÜM yazılımınızın güncel olduğundan emin olun

Yazılımın ne kadar iyi ya da pahalı olduğu önemli değil, her zaman, onları istismara açık bırakabilecek yeni zayıflıklar olacaktır. WordPress bir istisna değildir ve ekip sürekli olarak yeni sürümleri düzeltmeler ve güncellemeler ile serbest bırakır.

Hackerlar hemen hemen her zaman zayıflıktan faydalanmaya çalışırlar ve çözülmeden kalan bilinen bir istismar sadece sorun çıkarır. Bu, genellikle daha az kaynakla daha küçük şirketler tarafından oluşturulan eklentiler için iki kat daha fazladır.

Eklentiler kullanıyorsanız, güncellemelerin düzenli olarak yayınlandığından emin olun veya bulmayı düşünün güncel tutulan benzer işlevlere sahip popüler eklentiler.

Bunu söyledikten sonra kullanmanızı tavsiye etmiyorum otomatik WordPress ve Eklenti güncellemeleriözellikle de canlı bir site çalıştırıyorsanız. Bazı güncellemeler dahili olarak veya diğer eklentiler ve ayarlarla çakışarak sorunlara neden olabilir.

İdeal olarak, canlı sitenizi yansıtan ve buradaki güncellemeleri test eden bir test ortamı oluşturun. Her şeyin iyi çalıştığından emin olduktan sonra güncellemeyi canlı siteye uygulayabilirsiniz.

Plesk gibi kontrol panelleri, bu amaç için bir site klonu oluşturma seçeneği sunar.

11. Yedekleme, yedekleme ve yedekleme!

Hangi güvenlik önlemleri olursa olsun, ne kadar ihtiyatlı olursanız olun, kazalar gerçekleşir. Sadece yeterli yedekleme hizmetlerini yerine getirdiğinizden emin olarak, ezici bir kalp kırıklığından ve yüzlerce işten kendinizi kurtarın.

Normalde web sunucunuz en azından bazı temel yedekleme özellikleriyle gelirdi, ama benim gibi paranoyaksa, her zaman kendi bağımsız yedeklerinizi gerçekleştirdiğinizden emin olun. Yedekleme sadece bazı dosyaları kopyalamak kadar basit değildir, aynı zamanda veritabanınızdaki bilgileri de dikkate alır.

Denenmiş ve kanıtlanmış bir yedekleme çözümüne bakın. Acil durumlarda gözyaşlarını kurtarmak için küçük bir yatırım bile buna değer. Gibi bir şey BackupBuddy Veritabanınız da dahil olmak üzere her şeyi tek seferde kaydetmenize yardımcı olabilir.

12. Web barındırıcınız önemlidir!

Geleneksel olarak, web hosting şirketleri sadece bizim web sitemizi barındırmak için alan sunduk, zaman değişti. Web barındırma sağlayıcıları, artan güvenlik gereksinimlerinin farkında olarak, web hostinglerini tamamlayacak çok sayıda katma değerli hizmetler sunarak hızlandırdılar.

Örneğin al HostGatorOyundaki daha köklü isimlerden biri. Temel Cloudflare özelliklerinin yanı sıra HostGator ($ 10 + / mo fiyatına) ayrıca Spam Ücretsiz Koruma, Otomatik Kötü Amaçlı Yazılım Kaldırma, Otomatik Yedeklemeler, Etki Alanı Gizliliği ve daha fazlası ile birlikte gelir.

Yönetilen WordPress barındırma sağlayıcısı, Kinsta, özel güvenlik sistemiyle donanım güvenlik duvarları oluşturun ve sunucularını kötü amaçlı yazılımlara ve DDoS saldırılarına karşı aktif olarak izleyin.

Bu, henüz size gerçekleşmemiş bir şeyse, sunucunuzun sağladığı güvenlik özelliklerine bakmanızı ve mevcut durumda olanlarla karşılaştırmanızı şiddetle tavsiye ederim.

Kapsamlı bir liste için kontrol edebilirsiniz WHSR en iyi web barındırma burada derleme.

Şimdi ne olacak?

Vahşi yaşamadan ve bir milyonu ve bir güvenlik çözümünü ararken panik içinde interneti gözden geçirmeye başlamadan önce - derin bir nefes alın. Diğer her şeyde olduğu gibi, birisi zaten panik yapmanıza yardımcı olacak ve bir çözüm aramaya başlayacaktır.

Bulduğunuz kadar güvenlik çözümü uygulasanız bile, elbette güvendesin?

İşte böyle bir şey Güvenlik Ninja içeri girerek, sitenizi zayıflıklara karşı incelemenize yardımcı olur.

Hızlı demo: Güvenlik Ninja nasıl çalışır.

Güvenlik Ninja gibi bir şey kullanmak için birkaç neden var ama bu sitenin güvenliğini sağlamak için yolculuğunuzda birden fazla aşamada tavsiye edeceğim bir araç olduğunu söyleyeyim.

Öncelikle, herhangi bir değişiklik yapmadan önce web sitenizi 'olduğu gibi' çalıştırın. Eklentiyi size vermeden önce eklentiyi kurcalayın ve sitenize ekleyin.

Ardından, bu sonuçlara dayanarak sitenizi güvenli hale getirmeye çalışın. Güvenlik Ninja, savunmalarınızı araştırmak için 50 testlerinden daha fazlasını gerçekleştirir. Değişikliklerinizi yaptıktan sonra bile, sitenizi test etmek için tekrar çalıştırın (ve site değişiklikleri veya eklenti güncellemeleri her defasında).

Bu sizin için biraz fazla iş gibi geliyorsa, Güvenlik Ninja ayrıca bir dizi ek modülle birlikte gelir (pro sürümü, tek site $ 29) Bulduğu sorunları düzeltmenize yardımcı olabilir.

Bu modüllerdeki diğer bazı önemli özellikler şunlardır:

  • Sorunlu dosyaları tanımlamak için WP çekirdek dosyalarını tarayın
  • Tek bir tıklamayla değiştirilmiş dosyaları geri yükle
  • Kırık WP otomatik güncellemelerini düzeltin
  • Milyonlarca saldırıya uğramış siteden toplanan 600 milyon kötü IP adresi yasaklandı
  • Otomatik güncellemeleri listeleme, herhangi bir bakım veya manuel çalışmaya gerek yok
  • Giriş formunu kaba kuvvet saldırılarından koru

Son Düşüncelerimiz

Tüm bunlar ortalama WordPress kullanıcısına biraz fazla gelebilirken, sizi (ve daha fazlasının) gerekli olduğunu garanti ederim. Dünya çapındaki bilgisayar korsanlığı istatistiklerini göz ardı edersiniz ve bir süredir, size yardım edeceğim en karanlık sitelerden biriyle ilgili kişisel bilgileri paylaşmama izin verin.

Başlangıçta basit bir biyografi sitesi olarak başladı, ben yarattım www.timothyshim.com. Açıkçası, kurduğum ve çoğu zaman sadece bir referans noktası olarak yalnız bıraktığım bir şeydi. Her ay boyunca, bu site temelde hiçbir şey yapmaz ve hiçbir veri toplamaz, 30 saldırılarına karşı karşıya gelir - kaba kuvvet ve karmaşık olanların bir arada.

Tek ihtiyacım olan biri başarılı olmak ve bir Gerçekten mi Kötü gün

Timothy Shim hakkında

Timothy Shim bir yazar, editör ve teknoloji uzmanıdır. Kariyerine Bilişim Teknolojisi alanında başlamış, hızla baskıya geçmiştir ve o zamandan beri ComputerWorld, PC.com, Business Today ve The Asian Banker gibi Uluslararası, bölgesel ve yerel medya başlıklarında çalışmıştır. Uzmanlığı, hem tüketici hem de kurumsal bakış açısından teknoloji alanında yatar.