Populārā satura pārvaldības sistēma WordPress ir kļuvusi ļoti izplatīta. Šajā rakstā mēs vēlamies sniegt jums dažus padomus par WordPress instalācijas nodrošināšanu.
Sakarā ar wordpress lielo izplatību tas diemžēl ir arī populārs hakeru mērķis, un diemžēl atkal un atkal tiek veikti automātiski uzbrukumi WordPress instalācijām, pārbaudot, vai tajās ir zināmas drošības ievainojamības.
Tāpēc ir ļoti svarīgi, lai jūsu WordPress vienmēr būtu atjaunināts. Tāpēc profesionālai lietošanai ir lietderīgi uzdot aģentūrai uzturēt WordPress atjauninātu versiju un izvēlēties tīmekļa mitinātāju, kas izmanto arī ugunsmūri, lai pēc iespējas labāk aizsargātu sistēmu pret zināmiem uzbrukumiem.
Šeit ir uzskaitīti svarīgākie punkti par to, kā aizsargāt savu WordPress instalāciju.
[tie_list type="checklist"]- Vienmēr atjauniniet WordPress
WordPress ir ne tikai blogiem paredzēta programmatūra, bet to var aprīkot ar plašu funkciju klāstu, izmantojot tā sauktos spraudņus jeb paplašinājumus. Daudzi lietotāji izmanto īpašus spraudņus un dizainus (tēmas) atsevišķām vietnēm. Galvenā uzbrukumu problēma ir instalāciju atjauninājumu trūkums.
Padoms: Ja iespējams, izvēlieties tīmekļa mitinātāju WordPress instalēšanai ar administrēšanas saskarni, kas palīdz atjaunināt WordPress un spraudņus. Mūsu ieteikums ir izmantot Plesk kā pārvaldības programmatūru.
Aktivizējiet WordPress automātisko atjaunināšanu.
Tādējādi programmatūra vienmēr tiek atjaunināta. Tas ir iespējams arī daudziem Plusins.
Ieteicams regulāri pieteikties WordPress administrēšanas saskarnē un pārbaudīt pašreizējo programmatūras statusu. WordPress tieši parāda, vai ir pieejami atjauninājumi.
Problemātiskākas ir tēmas, t.i., gatavi dizaini, kas parasti satur maksas plusus. Šīs tēmas parasti netiek instalētas automātiski, bet ir jāatjaunina manuāli. Lai to izdarītu, jums ir lejupielādēt pašreizējo tēmas versiju no ražotāja un kopēt to direktorijā tēmas. Pēc atjaunināšanas parasti tēmas administrācijā ir jāveic tikai daži iestatījumi.
[tie_list type="checklist"]- Izmantojiet šifrētus savienojumus.
WordPress pieteikšanās dati ir ļoti pieprasīti, un tos var viegli izspiegot nedrošā tīklā, piemēram, pieslēdzoties atvērtam bezvadu internetam restorānā vai viesnīcā.
Tāpēc jums vienmēr jāizmanto mājaslapas sertifikāts. Vislabāk ir izvēlēties tīmekļa mitinātāju, kas var jums uzstādīt sertifikātu. Tas maksā tikai dažus eiro gadā par profesionālu instalācijas aizsardzību.
Vienmēr pārliecinieties, ka jums ir šifrēta piekļuve WordPress instalācijai, izmantojot vietni https://, kā arī droša e-pasta piekļuve un, ja nepieciešams, droša pieteikšanās, izmantojot FTP riekstu. Ja esat izmantojis nešifrētu savienojumu, iesakām nekavējoties nomainīt visas paroles.
[tie_list type="checklist"]- Saglabāt wp-login.php failu
Ir arī veids, kā pārdēvēt wp-admin direktoriju, taču tas var radīt problēmas ar WordPress funkcionalitāti. Vienkāršs veids, kā aizsargāties pret lielāko daļu bruteforce uzbrukumu, kad paroles tiek vienkārši uzminētas, ir .htaccess failā iekļaut kodu. To var labi apvienot ar paroles aizsardzību.
[tie_list type="checklist"]- Nodrošiniet administrēšanas direktoriju ar paroli.
Turklāt šis direktorijs jāaizsargā ar paroli. Jūsu pakalpojumu sniedzējs piedāvā iespēju iestatīt direktoriju aizsardzību noteiktiem direktorijiem. Aizsargājiet administrēšanas direktoriju ar sarežģītu lietotājvārdu un paroli, kas ir vismaz 12 rakstzīmju gara un satur īpašas rakstzīmes. Nekad neizvēlieties paroles, kas ir tikai 8 rakstzīmes garas. Šobrīd tie parasti tiek uzskatīti par nedrošiem un parasti tos var ātri uzlauzt, jo tie jau ir iepriekš aprēķināti atkarībā no šifrēšanas veida.
Pēc paroles aizsardzības atveriet .htaccess failu un ievietojiet šādu kodu:
ErrorDocument 401 "Bloķēts
ErrorDocument 403 "Bloķēts
# Atļaut piekļuvi admin-ajax.php spraudņiem, neskatoties uz paroles aizsardzību
<Files admin-ajax.php>
Rīkojums atļaut,liegt
Atļaut no visiem
Apmierināt jebkuru
</Files>
Tas nodrošina, ka WordPress spraudņi joprojām var izsaukt failus.
[tie_list type="checklist"]- Cik vien iespējams, izmantojiet plaši pieejamus spraudņus un tēmas.
Par drošības ievainojamības novēršanu jūsu WordPress parasti ir atbildīgi spraudņi. Spraudņi un tēmas ir nelielas programmatūras paketes, ko nodrošina trešo personu pakalpojumu sniedzēji. Principā ideja ir laba, taču pašlaik ir daudz apšaubāmu pakalpojumu sniedzēju un arī tādu, kuriem vienkārši nav zināšanu un kuri rada programmatūru ar drošības caurumiem. Nespeciālistiem praktiski nav nekādas aizsardzības pret to. Tāpēc mēs iesakām izmantot tikai tādus spraudņus, kas jau ir uzstādīti ļoti bieži un kuriem ir labs novērtējums.
Neizmantojiet bezmaksas tēmas, ko varat lejupielādēt no jebkuras vietnes. Iegādājieties tēmu, piemēram, no Themeforest vai Templatemonster, no tā sauktā elites pakalpojumu sniedzēja, t.i., profesionālas programmēšanas komandas, kas ir radījusi lielu apgrozījumu.
Pievērsiet uzmanību arī pēdējās uzstādīšanas datumam. Nav ieteicams izmantot pakalpojumu sniedzējus, kuri neatjaunina savus spraudņus un tēmas vai jau ir pārtraukuši izstrādi.
[tie_list type="checklist"]- Dzēst neizmantotās tēmas un spraudņus
Kad jūsu vietne ir gatava un vēlaties sākt darbu, mēs vienmēr iesakām pilnībā dzēst neizmantotos spraudņus un tēmas. Tas attiecas arī uz WordPress tēmām, kuras nav iespējams tik vienkārši noņemt. Iespējamie uzbrucēji labprāt slēpj savus failus šajos standarta direktorijos, tāpēc ir ieteicams pilnībā dzēst neizmantotos failus. To var izdarīt, izmantojot administrēšanas saskarni vai FTP. Vienkārši dzēsiet direktorijus no tēmu direktorija, kurus neizmantojat.
[tie_list type="checklist"]Lietojiet lietojumprogrammu ugunsmūri
[/tie_list]Ja iespējams, jāizmanto lietojumprogrammu ugunsmūris. Tā ir programmatūra, kas pārbauda katru savienojumu un piedāvā daudzas iespējas, lai novērstu iespējamus uzbrukumus.
Daudziem pakalpojumu sniedzējiem ir pieejamas bezmaksas iespējas, piemēram, fail2ban (ieteicams), mod_security Izmantojiet WAF, lai bloķētu zināmus uzbrukumus vai apšaubāmas zināmas IP adreses. Koplietojamā hostinga vidē, t. i., mazos hostinga kontos, tas parasti nav iespējams, jo ir pārāk daudz īpašu funkciju, kuras nevar iestatīt globāli. Profesionālai lietošanai jebkurā gadījumā iesakām izmantot pārvaldītu V-serveri, t. i., atsevišķu vidi tikai jūsu vietnei.
Izmantojot dažus augstākās klases pakalpojumu sniedzējus, varat izmantot arī ārējo ugunsmūri savai vietnei. Šeit ir pieejamas Barracuda, Sonicwall vai Imperva sistēmas. Tie filtrē datplūsmu, pirms tā sasniedz tīmekļa serveri, un tādējādi bloķē lielāko daļu uzbrukumu. Tomēr šāds risinājums ir salīdzinoši dārgs - 50-250 eiro mēnesī, un tas ir piemērots tikai profesionālai lietošanai.
Secinājums: izveidot vietni pašam ir ļoti viegli, izmantojot WordPress. Salīdzinot ar citām satura pārvaldības sistēmām, noderīgi ir arī automātiskie atjauninājumi, ko piedāvā daudzi tīmekļa mitinātāji. Ja vienmēr pārliecināsieties, ka paplašinājumi ir atjaunināti (vismaz reizi nedēļā), ar jums nekas liels nevar notikt.
Tas, kas neko nemaksā, arī ir bezjēdzīgi. Diemžēl tas attiecas uz daudziem spraudņiem un tēmām. Lūdzu, ņemiet vērā, ka daudzi krāpnieki inficē tēmas ar ļaunprātīgu kodu un pēc tam izplata tās bez maksas kā savas tēmas. Tiklīdz būsiet instalējis kaut ko līdzīgu, jūsu vietni ātri varēs izmantot, lai nosūtītu Spams vai uzbrukumiem citiem.
