Populiarioji turinio valdymo sistema "WordPress" tapo labai paplitusi. Šiame straipsnyje norėtume pateikti keletą patarimų, kaip apsaugoti "WordPress" diegimą.
Dėl didelio "WordPress" paplitimo ji, deja, taip pat yra populiarus įsilaužėlių taikinys ir, deja, vėl ir vėl vykdomos automatinės "WordPress" įrenginių atakos, tikrinant, ar juose yra žinomų saugumo spragų.
Todėl labai svarbu, kad visada atnaujintumėte "WordPress". Todėl profesionaliam naudojimui taip pat tikslinga pavesti agentūrai atnaujinti "WordPress" ir pasirinkti interneto prieglobos tarnybą, kuri taip pat naudoja ugniasienę, kad kuo geriau apsaugotų sistemą nuo žinomų atakų.
Čia pateikiame svarbiausius punktus, kaip apsaugoti "WordPress" diegimą.
[tie_list type="checklist"]- Visada atnaujinkite "WordPress
"WordPress" yra ne tik tinklaraščiams skirta programinė įranga, bet ir gali būti papildyta įvairiomis funkcijomis, naudojant vadinamuosius įskiepius, t. y. plėtinius. Daugelis naudotojų naudoja specialius įskiepius ir atskirų svetainių dizainą (temas). Pagrindinė išpuolių problema - nepakankamas įrenginių atnaujinimas.
Patarimas: Jei įmanoma, "WordPress" diegimui pasirinkite žiniatinklio prieglobos kompiuterį su administravimo sąsaja, kuri padeda atnaujinti "WordPress" ir įskiepius. Rekomenduojame naudoti Plesk kaip valdymo programinė įranga.
Suaktyvinkite automatinį "WordPress" atnaujinimą.
Tokiu atveju programinė įranga visada atnaujinama. Tai įmanoma ir daugeliui "Plusins".
Patartina reguliariai prisijungti prie "WordPress" administravimo sąsajos ir patikrinti dabartinę programinės įrangos būseną. "WordPress" tiesiogiai rodo, ar yra prieinami atnaujinimai.
Daugiau problemų kelia temos, t. y. paruošti dizainai, kuriuose paprastai yra mokamų pliusų. Šios temos paprastai nėra įdiegiamos automatiškai, jas reikia atnaujinti rankiniu būdu. Norėdami tai padaryti, turite atsisiųsti dabartinę temos versiją iš gamintojo ir nukopijuoti ją į temų katalogą. Atnaujinus temą, paprastai temos administravime reikia atlikti tik keletą nustatymų.
[tie_list type="checklist"]- Naudokite šifruotus ryšius.
"WordPress" prisijungimo duomenys yra labai geidžiami ir nesaugiame tinkle, pvz., kai prisijungiate prie atviro "Wi-Fi" restorane ar viešbutyje, juos galima lengvai šnipinėti.
Todėl visada turėtumėte naudoti pradinio puslapio sertifikatą. Geriausia rinktis žiniatinklio prieglobos tarnybą, kuri gali jums sukurti sertifikatą. Tai kainuoja tik kelis eurus per metus ir užtikrina profesionalią įrenginio apsaugą.
Visada įsitikinkite, kad turite šifruotą prieigą prie "WordPress" diegimo per https://, taip pat saugią prieigą prie el. pašto ir, jei reikia, saugų prisijungimą per FTP riešutą. Naudodamiesi neužšifruotu ryšiu, rekomenduojame nedelsdami pakeisti visus slaptažodžius.
[tie_list type="checklist"]- Išsaugoti wp-login.php failą
Taip pat yra būdas pervadinti wp-admin katalogą, tačiau dėl to gali kilti problemų su WordPress funkcionalumu. Lengvas būdas apsisaugoti nuo daugumos "bruteforce" atakų, kai slaptažodžiai tiesiog atspėjami, - į .htaccess failą įtraukti kodą. Tai galima gerai suderinti su slaptažodžių apsauga.
[tie_list type="checklist"]- Apsaugokite administravimo katalogą slaptažodžiu.
Be to, šį katalogą turėtumėte apsaugoti slaptažodžiu. Jūsų paslaugų teikėjas siūlo galimybę nustatyti tam tikrų katalogų apsaugą. Apsaugokite administravimo katalogą sudėtingu naudotojo vardu ir slaptažodžiu, kuris turi ne mažiau kaip 12 simbolių ir kuriame yra specialiųjų simbolių. Niekada nesirinkite tik 8 simbolių ilgio slaptažodžių. Dabar jie paprastai laikomi nesaugiais ir paprastai juos galima greitai nulaužti, nes jie jau iš anksto apskaičiuoti atsižvelgiant į šifravimo tipą.
Po apsaugos slaptažodžiu, atidarykite .htaccess failą ir įterpkite šį kodą:
ErrorDocument 401 "Užrakinta
ErrorDocument 403 "Užrakinta
# Leidimas įskiepiams pasiekti admin-ajax.php nepaisant slaptažodžio apsaugos
<Files admin-ajax.php>
Įsakymas leisti, uždrausti
Leisti iš visų
Patenkinkite bet kokį
</Files>
Taip užtikrinama, kad "WordPress" įskiepiai vis dar gali iškviesti failus.
[tie_list type="checklist"]- Kuo dažniau naudokite plačiai prieinamus įskiepius ir temas
Įskiepiai paprastai yra atsakingi už "WordPress" saugumo spragas. Įskiepiai ir temos yra nedideli programinės įrangos paketai, kuriuos teikia trečiųjų šalių paslaugų teikėjai. Iš esmės idėja yra gera, tačiau dabar yra daug abejotinų paslaugų teikėjų, taip pat paslaugų teikėjų, kurie paprasčiausiai neturi jokių žinių, todėl kuria programinę įrangą, kurioje yra saugumo spragų. Neprofesionalai nuo to praktiškai nėra apsaugoti. Todėl rekomenduojame naudoti tik tuos įskiepius, kurie jau buvo įdiegti labai dažnai ir yra gerai įvertinti.
Nenaudokite nemokamų temų, kurias galite atsisiųsti iš bet kurios svetainės. nusipirkti temą, pvz., iš "Themeforest" arba "Templatemonster", iš vadinamojo elitinio tiekėjo, t. y. profesionalių programuotojų komandų, kurių apyvarta yra didelė.
Taip pat atkreipkite dėmesį į paskutinio įdiegimo datą. Nerekomenduojama naudoti tiekėjų, kurie neatnaujina savo įskiepių ir temų arba jau sustabdė jų kūrimą.
[tie_list type="checklist"]- Ištrinkite nenaudojamas temas ir įskiepius
Kai svetainė paruošta ir norite pradėti darbą, visada rekomenduojame visiškai ištrinti nenaudojamus įskiepius ir temas. Tai taip pat taikoma ir "WordPress" temoms, kurių negalima taip lengvai pašalinti. Galimi įsilaužėliai mėgsta slėpti savo failus šiuose standartiniuose kataloguose, todėl patartina visiškai ištrinti nenaudojamus failus. Tai galite padaryti per administravimo sąsają arba per FTP. Paprasčiausiai ištrinkite nenaudojamus katalogus iš temų katalogo.
[tie_list type="checklist"]Naudokite programų užkardą
[/tie_list]Jei įmanoma, turėtumėte naudoti programų užkardą. Tai programinė įranga, kuri tikrina kiekvieną ryšį ir suteikia daugybę galimybių užkirsti kelią galimoms atakoms.
Daugelyje paslaugų teikėjų yra nemokamų parinkčių, pavyzdžiui, fail2ban (rekomenduojama), mod_security Naudokite WAF žinomoms atakoms arba abejotiniems žinomiems IP adresams blokuoti. Bendrosios prieglobos aplinkoje, t. y. nedidelėse prieglobos paskyrose, paprastai tai neįmanoma, nes yra per daug specialių funkcijų, kurių negalima nustatyti visuotinai. Profesionaliam naudojimui bet kuriuo atveju rekomenduojame naudoti valdomą V serverį, t. y. atskirą aplinką, skirtą tik jūsų svetainei.
Kai kurie aukščiausios klasės paslaugų teikėjai gali naudoti išorinę užkardą savo svetainei. "Barracuda", "Sonicwall" arba "Imperva" sistemas galima įsigyti čia. Jie filtruoja srautą prieš jam pasiekiant žiniatinklio serverį ir taip blokuoja daugumą atakų. Tačiau toks sprendimas yra gana brangus - 50-250 eurų per mėnesį - ir tinka tik profesionaliam naudojimui.
Išvada: su "WordPress" sukurti svetainę patiems labai paprasta. Palyginti su kitomis turinio valdymo sistemomis, taip pat naudingi automatiniai atnaujinimai, kuriuos siūlo daugelis žiniatinklio prieglobos paslaugų teikėjų. Jei visada (bent kartą per savaitę) pasirūpinsite, kad plėtiniai būtų atnaujinami, nieko blogo nenutiks.
Tai, kas nieko nekainuoja, taip pat nenaudinga. Deja, tai pasakytina apie daugelį įskiepių ir temų. Atkreipkite dėmesį, kad daugelis sukčių užkrečia temas kenkėjišku kodu ir vėliau nemokamai platina jas kaip savo temas. Kai tik įdiegsite tokį dalyką, jūsų svetainė bus greitai naudojama siųsti Spam arba išpuoliai prieš kitus.