Layman uchun 10 Actionable WordPress havfsizlik maslahatlar

Maqola muallifi:
  • WordPress
  • Yangilandi: 06, 2018

U yigirma yildan ortiq vaqtdan beri birinchi marta paydo bo'lganidan beri, WordPress (va yetishtiriladigan) endi dunyoning eng mashhur kontentni boshqarish tizimi deb nomlangan. Bugun, chorakdan ko'p mavjud bo'lgan veb-saytlar WordPress-da ishlaydi.

Ammo qadimgi davrdan beri, ko'proq mashhur bo'lgan narsa ko'p bo'lsa, unda odamlarning ko'pchiligi bu usullardan foydalanishga intiladi. Faqat Microsoft Windows va katta miqdordagi zararli dastur, virus va boshqa ekspluatatsiya faqat bitta maxsus operatsion tizimni maqsad qilib qo'ygan.

10 WordPress versiyalari ko'p jihatdan himoyalanmagan (manba). 2017-da o'tkazilgan tadqiqotlarda Top reyting 74 million veb-saytlarda 1 WordPressning turli xil versiyalari aniqlandi; 11 ushbu versiyalar noto'g'ri - masalan, versiya 6.6.6 (manba).

Nima uchun WordPress blogingiz qimmatli maqsad ekan?

Agar sizda yer yuzida hacker nima uchun WordPress blogingizni nazorat qilishni xohlashini bilmoqchi bo'lsangiz, unda bir necha sabablar bor;

  • Spam-xabarlarni yashirincha jo'natish uchun uni ishlatish
  • E-pochta ro'yxati yoki kredit karta ma'lumotlari kabi ma'lumotlarni o'g'irlash
  • Saytni keyinchalik foydalanishlari mumkin bo'lgan botnetga qo'shish

Yaxshiyamki, WordPress sizga o'zingizni himoya qilish uchun ko'plab imkoniyatlar taqdim etadigan platformalardir. Men o'zimning bir nechta veb-saytlar va bloglarni tashkil etishga va boshqarishimga yordam berib, WordPress saytingizni himoya qilishga yordam beradigan ba'zi muhim narsalarni siz bilan baham ko'rmoqchiman.

Bu erda siz foydalanishingiz mumkin bo'lgan 10 ishlaydigan xavfsizlik bo'yicha tavsiyalar.

#1 maslahat. Yaxshi ma'mur foydalanuvchi nomini tanlang

Tajribadan, ko'pgina saytlar hack urinishlari foydalanuvchilarning uchta asosiy tanlovi bilan kirishga harakat qiladi. Birinchi ikkita "admin" yoki "ma'mur" har doim ham uchinchi, odatda sizning domen nomingizga asoslangan.

Masalan, saytingiz crazymonkey33.com bo'lsa, hacker "crazymonkey33" bilan kirishga urinishi mumkin.

Yaxshi fikr emas.

Maslahat #2. Kuchli parolni ishlatganingizga ishonch hosil qiling

Hozirgi paytda odamlar o'zlarining hisoblarini himoya qilish uchun kuchli, murakkab parollardan foydalanishni bilishadi deb o'ylashlari mumkin edi, lekin "parol" katta deb hisoblaydiganlar hali ham ko'p.

Kuchli parol quyidagilarni o'z ichiga oladi:

  • Yuqori va pastki kattalikdagi harflar
  • Alfa-raqamli bo'ling (AZ va ​​oz)
  • Maxsus belgini kiriting (!, @, #, $, Va hokazo)
  • Kamida 8 ta belgi uzunligi

Sizning parolingiz tasodifiy bo'lsa, qanchalik xavfsiz bo'lsa. Agar sizda muammoga duch kelsangiz, bu tasodifiy parol ishlab chiqaruvchisini harakat qilib ko'ring. https://passwordsgenerator.net/

#3 maslahat. ReCaptcha dasturini ishga tushiring

Wall sizning WP blogingizdan tashqariga chiqadi.

reCaptcha avtomatlashtirilgan vositalarni saytdan ishlashni to'xtatish uchun mo'ljallangan. Albatta, bugungi kunda xakerlik vositalarining murakkabligini hisobga olsak, ularni osonlikcha chetlab o'tish mumkin, ammo hech bo'lmaganda, qo'shimcha xavfsizlik darajasi mavjud.

Bu yerda reCaptcha plaginlari soni Siz qutisidan juda ko'p ishlaydigan o'rnatishingiz mumkin.

#4 maslahat. Ikki faktorli autentifikatsiya usulidan foydalaning (2FA)

2FA sizning loginingizda tekshirishni talab qiluvchi autentifikatsiya usuli hisoblanadi. Misol uchun, foydalanuvchi nomingiz va parolingiz bilan tizimga kirganingizdan so'ng tizim sizning mobil telefoningizga SMS yuborishi yoki sizning identifikatoringizni tekshirish uchun kiritishingiz kerak bo'lgan kodni sizga elektron pochta orqali yuborishi mumkin.

Ushbu autentifikatsiya usuli yaxshi himoya bilan ta'minlaydi va bugungi kunda ko'pgina banklar va moliya institutlari tomonidan qo'llaniladi. Shunga qaramay, bu ehtiyojni osongina echish mumkin 2FA plagin.

MiniOrange (2FA plaginini) quyidagi videoda WordPress login bilan qanday ishlashini ko'ring.

T

#5 maslahat. Kirish URL-manzilingizni qayta nomlash

Aksariyat hackerlar odatda word.com/wp-admin kabi biror so'zni ishlatadigan WordPress kirish sahifasi orqali kirishga harakat qiladi.

Boshqa himoya qatlamini kiritish uchun kirish sahifasi URL-ni tez va qulay tarzda bir vosita bilan o'zgartiring WPS Kirishni yashirish.

Maslahat #6. Wp-administrator katalogini saqlang

Xost katalogiga xavfsizlikning qo'shimcha qatlamini qo'shing.

Wp-admin katalogi sizning WordPress o'rnatmaning qalbidir. Qo'shimcha himoya vositasi sifatida parol ushbu katalogni himoya qiladi.

Buning uchun xosting hisobini boshqarish paneliga kirishingiz kerak bo'ladi. Foydalanadigan bo'lsangiz ham cPanel or Plesksiz izlayotgan parametr "Parolni himoya qilish kataloglari'.

Maslahat #7. Ma'lumotlarni shifrlash uchun SSLdan foydalaning

HTTP vs HTTPS aloqasi (Manba: Sucuri)

Saytning o'zi tashqari, siz va server orasidagi aloqani saqlab qolishni istaysiz va bu sizning aloqalaringizni shifrlash uchun SSL kiradigan joy. Shifrlangan ulanishga ega bo'lib, sizning serveringiz bilan aloqa o'rnatayotganda hackerlar ma'lumotlaringizni (parolingiz kabi) to'xtata olmaydi.

Bundan tashqari, qidiruv tizimlari "xavfsiz bo'lmagan" deb hisoblaydigan saytlarni tobora ko'proq jazoga tortishgani uchun, bundan tashqari, SSLni joriy qilish ham yaxshi amaliyotdir.

SSL haqida batafsil ma'lumotni bizning keng qamrovimizda SSL uchun AZ ko'rsatma.

#8 maslahat. Barcha dasturlarning yangilanganligini tekshiring

Yaxshi yoki qimmat bo'lgan dasturiy ta'minot bo'lishidan qat'i nazar, har doim yangi zaifliklar mavjud bo'lib, ularni ishlatish uchun ochiq qoldirishi mumkin. WordPress istisno emas va jamoa doimiy ravishda tuzatishlar va yangilanishlar bilan yangi versiyalarni chiqaradi.

Hackerlar deyarli har doim zaiflikdan foydalanishga intilmoqdalar va ma'lum bir ekspluatatsiya qilinmasa, shunchaki muammolarni so'rashadi. Bu plaginlar uchun ikki barobar ko'p bo'ladi, ular odatda kamroq resurslar bilan kichikroq kompaniyalar tomonidan yaratiladi.

Agar siz plaginlarni ishlatmoqchi bo'lsangiz, yangilanishlar muntazam ravishda chop etilishiga ishonch hosil qiling yoki yangilangan tutilgan o'xshash funksiyalarni topishni o'ylab ko'ring.

Buni aytib bo'lgach, sizga foydalanishni tavsiya etmayman avtomatik WordPress va plagin yangilanishlari, ayniqsa, siz jonli sayt ishlayotgan bo'lsangiz. Ba'zi yangilanishlar, ichki yoki boshqa plaginlar va sozlamalar bilan ziddiyat bilan bog'liq muammolarga olib kelishi mumkin.

Ideal holda, jonli saytingizni aks ettiradigan va u erda yangilanishlarni sinab ko'radigan sinov muhiti yaratilsin. Har bir narsa yaxshi ishlayotganiga amin bo'lganingizdan so'ng, yangilanishni jonli saytga qo'llashingiz mumkin.

Plesk kabi boshqaruv paneli sizga bu maqsad uchun sayt klonini yaratish imkoniyatini beradi.

#9 maslahat. Kontent tarqatish tarmog'idan (CDN) foydalanish

Bu sizning saytingizni talon-taroj qilishdan qutqarmasa ham, unga qarshi zararli hujumlardan aziyat chekishga yordam beradi. Ba'zi hackerlar veb-saytlarni olib tashlashni maqsad qilib, ularni jamoatchilikka to'sqinlik qila olmaydi. Agar CDN sizning saytingizdagi tarqalgan rad etish xizmatining hujumiga zarba berishga yordam beradi.

Shu bilan bir qatorda, ba'zi tarkiblarni keshlash orqali saytni biroz tezlatishga yordam beradi. Ushbu parametrni o'rganish uchun, masalan, CloudFlare tomon qar. CloudFlare CDN xizmatlarini ko'p bosqichli narxlash darajalarida taklif qiladi, shuning uchun ham siz asosiy xususiyatlardan bepul foydalanishingiz mumkin. https://www.cloudflare.com

#10 maslahat. Zaxiralash, zaxiralash va zaxiralash!

Qanday xavfsizlik choralari yoki ehtiyotkor bo'lishingizdan qat'iy nazar, baxtsiz hodisa ro'y beradi. O'zingizdagi zaxira xizmatlariga ega bo'lishingiz uchun oddiygina yurak xurujidan va yuz soatlik ishlardan saqlaning.

Odatda sizning veb-hostingiz kamida bir necha asosiy zaxiralash xususiyatlariga ega bo'lishi mumkin, lekin agar siz mening kabi paranoid bo'lsa, har doim o'zingizning mustaqil zaxirangizni bajarganingizga ishonch hosil qiling. Zaxiralash ba'zi bir fayllarni nusxalash kabi oddiy emas, shuningdek, ma'lumotlar bazangizdagi ma'lumotlarni ham hisobga oladi.

Sinov etilgan va tasdiqlangan zaxira echimini toping. Favqulodda vaziyatlarda ko'z yoshlarini tejash uchun hatto kichik investitsiya ham kerak. Bir narsa BackupBuddy sizning ma'lumotlar bazangizni, shu jumladan, hamma narsani saqlashga yordam beradi.

Bonus Maslahat: Sizning web-hostingiz hisobga olinadi!

An'anaviy ravishda veb-saytlarni hosting kompaniyalari bizning veb-saytlarimizni joylashtirish uchun joy taklif qilganda, vaqtlar o'zgardi. Veb hosting provayderlari, ortib borayotgan xavfsizlikka bo'lgan favqulodda ehtiyojni bilib, o'z veb-saytlarini to'ldirish uchun qimmatbaho xizmatlar taklif etayotgan ko'pchilikni tashkil qildilar.

Misol uchun Take HostGator, o'yinda aniqlangan nomlardan biri. Asosiy Cloudflare funktsiyalaridan tashqari, HostGator ($ 10 + / mo narxida) shuningdek, Spam-free protection, Avtomatik zararli dasturlarni olib tashlash, Avtomatik zaxiralashlar, Domain Privacy va boshqalar bilan ta'minlanadi.

Boshqariluvchi WordPress hosting provayderi, Kinsta, qo'shimcha xavfsizlik devorlarini qurish va o'zlarining serverlarini zararli dasturlardan va DDoS hujumlari uchun maxsus tuzilgan tizim bilan faol monitoring qilish.

Agar bu hali sizning oldingizga tushmagan bo'lsa, men sizning uy egasi qanday xavfsizlik xususiyati bilan qarashini va u mavjud bo'lgan narsalar bilan taqqoslashni tavsiya qilaman.

Keng qamrovli ro'yxatni ko'rib chiqishingiz mumkin Bu erda veb-saytlarning veb-saytlarini yaratish.

Endi nima?

Yovvoyi yugurishdan oldin va Internetni bir millionga yaqin xavfsizlik echimini izlab panohda teranlashdan oldin chuqur nafas oling. Har bir narsaga o'xshab, kimdir sizni xavotirga solib, hal qilmoqchi.

Agar topsangiz, ko'plab xavfsizlik echimlarini qo'llayotgan bo'lsangiz ham, siz-chi? ishonch Siz xavfsizsizmi?

Mana bir narsa shu erda Xavfsizlik Ninja saytga zaif tomonlarni tekshirishga yordam beruvchi kiring.

Tez demo: Xavfsizlik naqsh qanday ishlaydi.

Security Ninja kabi narsalarni ishlatish uchun bir necha kuchli sabablar bor, biroq, bu sizning saytingiz xavfsizligini ta'minlash uchun safaringiz davomida bir nechta bosqichda foydalanishni tavsiya qiladigan vosita, deb aytsam.

Birinchidan, uni veb-saytingizda "kabi" ishga tushirish - biron bir o'zgartirish kiritmasdan oldin. Plagin sizning natijalaringizdan oldin saytni bezadi va prod.

Keyin natijalar asosida saytni ta'minlashga harakat qiling. Security Ninja sizning himoyangizni tekshirish uchun 50-dan ko'proq sinovni amalga oshiradi. O'zgartirishlaringizni kiritganingizdan so'ng ham, uni qayta ishga tushiring (va har safar sayt o'zgarishlari yoki plagin yangilanishi mavjud).

Agar bu siz uchun bir oz ko'proq ish kabi ko'rinadigan bo'lsa, Security Ninja ham qo'shimcha modullar bilan birga keladi (pro versiyasi, bitta sayt $ 29) siz topadigan muammolarni bartaraf etishga yordam berishi mumkin.

Ushbu modullarning ayrim asosiy xususiyatlari quyidagilarni o'z ichiga oladi:

  • Muammoli fayllarni aniqlash uchun WP yadro fayllarini skanerlang
  • O'zgartirilgan fayllarni bir marta bosish bilan tiklash
  • Buzilgan WP avtomatik yangilanishlarini tuzatish
  • Millionlab hujum qilingan saytlardan 600 million noqonuniy IPni yig'ish
  • Avtomatik yangilanishlar ro'yxati, hech qanday parvarish qilish yoki qo'lda ishlashga hojat yo'q
  • Kirish formasini qo'pol kuch hujumlaridan himoya qiling

final Fikrlar

Bularning barchasi o'rtacha WordPress foydalanuvchisi uchun biroz ortiqcha tuyulishi mumkin bo'lsa-da, men sizga (va yana ko'p narsalarni) kerakli deb ishonaman. Butun dunyo bo'ylab xakerlik statistikasini hisobga olmaganda va bir muncha vaqtni bilmasangiz, sizga yordam beradigan eng qorong'i saytlardan birida siz bilan shaxsiy ma'lumotlarimni almashtiray.

Dastlab oddiy biografiya sayti sifatida boshladim, men yaratdim www.timothyshim.com. Shubhasiz, bu men uchun oddiygina bir narsa bo'lib, men ko'pincha vaqtni belgilab qo'yishim kerak. Har bir oyda bu sayt asosan hech narsa qilmaydi va hech qanday ma'lumot yig'maydi, 30 hujumlari yuzida - qo'pol kuchlar va murakkab bo'lganlarning kombinatsiyasi.

Ularga kerak bo'lgan hamma narsa muvaffaqiyatli bo'lishi uchun, men esa bir narsaga ega bo'lardim albatta, yomon kun.

Timoti Shim haqida

Timoti Shim yozuvchi, muharriri va texnologik geek. Ishga qabul qilish jarayonida Axborot Texnologiyalari sohasida o'z ishini boshlagan, tez orada bosib chiqarish yo'lini topdi va shu paytgacha ComputerWorld, PC.com, Business Today va Asian Banker kabi xalqaro, mintaqaviy va mahalliy ommaviy axborot vositalari bilan ishladi. Uning tajribasi iste'molchi va korxona nuqtai nazaridan texnologiya sohasida yotadi.