Populaarne WordPressi sisuhaldussüsteem on nüüdseks väga laialdaselt kasutusel. Selles artiklis tahame anda teile mõned nõuanded WordPressi paigalduse turvamise kohta.
WordPressi suure leviku tõttu on see kahjuks ka populaarne sihtmärk häkkerite jaoks ja kahjuks toimuvad ikka ja jälle ka automaatsed rünnakud WordPressi installatsioonidele, kus kontrollitakse, kas need sisaldavad teadaolevaid turvaauke.
Seetõttu on väga oluline, et te hoiaksite oma WordPressi alati ajakohasena. Professionaalseks kasutamiseks on seetõttu kasulik palgata ka agentuur, kes hoiab WordPressi ajakohasena, ja valida veebimajutaja, mis kasutab ka tulemüüri, et kaitsta süsteemi võimalikult hästi teadaolevate rünnakute eest.
Siin on loetletud kõige olulisemad punktid, kuidas kaitsta oma WordPressi paigaldust.
[tie_list type="checklist"]- Hoidke WordPress alati ajakohasena
WordPress ei ole ainult tarkvara blogide jaoks, vaid seda saab varustada nn pluginatega, erinevate funktsioonidega laiendustega. Paljud kasutajad kasutavad individuaalsete veebisaitide jaoks spetsiaalseid pluginaid ja kujundusi (teemasid). Rünnakute peamiseks probleemiks on paigaldiste uuenduste puudumine.
Vihje: Kui võimalik, valige WordPressi paigaldamiseks veebimajutaja, millel on haldusliides, mis aitab teil WordPressi ja pistikprogramme uuendada. Meie soovitus on kasutada Plesk kui juhtimistarkvara.
Aktiveerige WordPressi automaatne uuendamine.
Tarkvara hoitakse siis alati ajakohasena. See on võimalik ka paljude Plusinside puhul.
Soovitatav on regulaarselt sisse logida wordpressi haldusliidesesse ja kontrollida tarkvara hetkeseisu. WordPress näitab otse, kas uuendused on saadaval.
Probleemsemad on teemad, st valmis kujundused, mis tavaliselt sisaldavad tasulisi lisasid. Neid teemasid ei paigaldata tavaliselt automaatselt, vaid neid tuleb käsitsi uuendada. Selleks peate tootjalt alla laadima teema praeguse versiooni ja kopeerima selle teemade kataloogi. Pärast uuendamist tuleb teema halduses tavaliselt teha vaid mõned seaded.
[tie_list type="checklist"]- Kasutage krüpteeritud ühendusi.
WordPressi sisselogimisandmed on väga ihaldatud ja neid saab ebaturvalises võrgus kergesti välja luurata, näiteks kui logite sisse avatud wifisse restoranis või hotellis.
Seetõttu peaksite alati kasutama kodulehe jaoks sertifikaati. Kõige parem on valida veebimajutaja, kes suudab teile sertifikaadi luua. See maksab vaid mõned eurod aastas, et tagada teie paigalduse professionaalne kaitse.
Palun veenduge alati, et teil on krüpteeritud juurdepääs oma WordPressi paigaldusele aadressil https://, samuti turvaline juurdepääs e-postile ja vajadusel turvaline sisselogimine FTP-pähkli kaudu. Kui olete kasutanud krüpteerimata ühendust, soovitame kõik paroolid kohe ära vahetada.
[tie_list type="checklist"]- Salvesta fail wp-login.php
On ka võimalus ümber nimetada wp-admin kataloogi, kuid see võib põhjustada probleeme WordPressi funktsionaalsusega. Lihtne viis kaitsta end enamiku bruteforce'i rünnakute eest, mille puhul paroole lihtsalt ära arvata, on lisada kood .htaccess-faili. Seda saab hästi kombineerida paroolikaitsega.
[tie_list type="checklist"]- Kaitske oma halduskataloog parooliga.
Lisaks peaksite seda kataloogi kaitsma parooliga. Teie teenusepakkuja pakub võimalust luua kataloogikaitse teatud kataloogidele. Kaitske oma halduskataloogi keerulise kasutajanime ja parooliga, mis on vähemalt 12 tähemärki pikk ja sisaldab erimärke. Ärge kunagi valige paroole, mis on ainult 8 tähemärki pikad. Neid peetakse praegu üldiselt ebaturvalisteks ja neid saab tavaliselt kiiresti murda, sest need on juba eelnevalt arvutatud sõltuvalt krüpteerimise tüübist.
Pärast paroolikaitset avage .htaccess-faili ja kleepige järgmine kood ülalpool:
ErrorDocument 401 "Lukustatud
ErrorDocument 403 "Lukustatud
# Lubage pluginate juurdepääs admin-ajax.php-le vaatamata paroolikaitsele
Tellimus lubada, keelata
Lubatud kõikidest
Rahuldage mis tahes
See tagab, et WordPressi pistikprogrammid saavad endiselt faile kutsuda.
[tie_list type="checklist"]- Kasutage võimalikult palju laialdaselt kättesaadavaid pistikprogramme ja teemasid.
Pluginid vastutavad tavaliselt WordPressi turvaaukude eest. Pistikprogrammid ja teemad on väikesed tarkvarapaketid, mida pakuvad kolmandatest isikutest pakkujad. Põhimõtteliselt on idee hea, kuid praegu on palju kahtlasi pakkujaid ja teenusepakkujaid, kellel lihtsalt puuduvad teadmised ja kes seetõttu loovad tarkvara, mis sisaldab turvaauke. Selle vastu ei ole praktiliselt mingit kaitset tavainimese jaoks. Seetõttu soovitame kasutada ainult selliseid pluginaid, mida on juba väga tihti paigaldatud ja millel on hea hinnang.
Ärge kasutage tasuta teemasid, mida saate alla laadida mis tahes veebisaidilt. Ostke teema nt Themeforestist või Templatemonsterist nn eliidi pakkujalt, st professionaalsetelt programmeerimismeeskondadelt, mis on tekitanud suure käibe.
Pöörake tähelepanu ka sellele, millal on viimane paigaldus. Teenusepakkujaid, kes ei uuenda oma pistikprogramme ja teemasid või on juba arengu peatanud, ei soovitata.
[tie_list type="checklist"]- Kustutage kasutamata teemad ja pluginad
Kui teie veebisait on valmis ja te soovite alustada, soovitame alati kasutamata pistikprogrammid ja teemad täielikult kustutada. See kehtib ka WordPressi enda teemade kohta, mida ei saa nii lihtsalt eemaldada. Potentsiaalsetele ründajatele meeldib oma faile neisse vaikimisi kataloogidesse peita, seega on soovitatav kasutamata failid täielikult kustutada. Seda saate teha haldusliidese või FTP kaudu. Lihtsalt kustutage teemade kataloogist kataloogid, mida te ei kasuta.
[tie_list type="checklist"]Kasutage rakenduste tulemüüri
[/tie_list]Võimaluse korral peaksite kasutama rakenduste tulemüüri. See on tarkvara, mis kontrollib iga ühendust ja pakub palju võimalusi võimalike rünnakute vältimiseks.
Paljude teenusepakkujate puhul on olemas tasuta võimalused, näiteks fail2ban (soovitatav), mod_security Kasutage WAF-i teadaolevate rünnakute või kahtlaste teadaolevate IP-aadresside blokeerimiseks. Jagatud hostingukeskkondade, st väikeste hostingukontode puhul ei ole see tavaliselt võimalik, sest seal on liiga palju eriomadusi, mida ei saa globaalselt määrata. Professionaalseks kasutamiseks soovitame igal juhul kasutada hallatavat V-serverit, st eraldi keskkonda ainult teie veebilehe jaoks.
Mõne lisatasu teenusepakkuja puhul saate oma veebisaidi jaoks kasutada ka välist tulemüüri lahendust. Siin on saadaval näiteks Barracuda, Sonicwalli või Imperva süsteemid. Need filtreerivad liiklust enne veebiserverisse jõudmist ja blokeerivad enamiku rünnakuid. Selline lahendus on aga suhteliselt kallis, 50-250 eurot kuus, ja sobib ainult professionaalseks kasutamiseks.
Kokkuvõte: WordPressi abil on veebilehe loomine väga lihtne. Samuti on paljude veebimajutajate pakutav automaatne uuendamine kasulik võrreldes teiste sisuhaldussüsteemidega. Kui te hoolitsete alati selle eest, et laiendused oleksid ajakohased (vähemalt kord nädalas), siis ei saa teiega palju juhtuda.
See, mis ei maksa midagi, on samuti kasutu. Kahjuks kehtib see paljude pluginate ja teemade kohta. Pange tähele, et paljud petturid nakatavad teemasid pahatahtliku koodiga ja levitavad neid seejärel tasuta oma teemadena. Niipea, kui olete midagi sellist paigaldanud, saab teie veebisait kiiresti kasutada, et saata välja Spam või rünnakud teiste vastu.