Πώς να ασφαλίσετε το WordPress (2020)

Το WordPress είναι ένα από τα πιο δημοφιλή συστήματα διαχείρισης περιεχομένου εκεί έξω και με καλό λόγο. Είναι απλό στη χρήση, υπάρχουν χιλιάδες θέματα και προσθήκες για αυτό και μπορείτε να δημιουργήσετε οποιονδήποτε τύπο ιστότοπου μαζί του. Δεν είναι περίεργο λοιπόν ότι το WordPress έχει δύναμη 35,1% όλων των ιστότοπων στο Ιντερνετ.


Όμως, η δημοτικότητά του έρχεται με κόστος. Το WordPress στοχεύεται συχνά από χάκερ. Σύμφωνα με Σουκούρι, το 2018, το 90% όλων των αιτημάτων εκκαθάρισης ιστότοπων ανήκαν στο WordPress, αύξηση 7% από το 2017.

Αναφορά τάσης Hack ιστοτόπου 2018 - Sucuri

Ως εκ τούτου, η προστασία του ιστότοπού σας στο WordPress θα πρέπει να βρίσκεται στην κορυφή της λίστας σας, είτε έχετε προσωπικό χαρτοφυλάκιο, επιχειρηματικό ιστότοπο ή ηλεκτρονικό κατάστημα.

Όσον αφορά την ασφάλεια του WordPress, οι χρήστες συνήθως πέφτουν σε δύο στρατόπεδα: αυτά που λαμβάνουν σοβαρά υπόψη την ασφάλεια και λαμβάνουν προληπτικά μέτρα και εκείνους που πιστεύουν ή ελπίζουν ότι δεν θα συμβεί ποτέ σε αυτούς, επειδή ο ιστότοπός τους δεν είναι αρκετά σημαντικός.

Για να κατανοήσετε καλύτερα τη σοβαρότητα των ζητημάτων ασφάλειας που σχετίζονται με ιστότοπους, φροντίστε να επισκεφθείτε το Σελίδα διαδικτυακών στατιστικών ωρες ωρες. Εκεί, μπορείτε να δείτε έναν ακριβή αριθμό ιστότοπων που παραβιάζονται κάθε μέρα και ακόμη και να βλέπετε τον αριθμό να αυξάνεται σε πραγματικό χρόνο.

Ο ιστότοπος παραβιάστηκε σε πραγματικό χρόνο

Contents

22 βήματα για την ασφάλεια του ιστότοπού σας στο WordPress

Για να μην καταλήξει ο ιστότοπός σας ως ένας από τους ιστότοπους στο Internet Live Stats, ακολουθήστε τις παρακάτω συμβουλές και ασφαλίστε τον ιστότοπό σας στο WordPress.

1. Επιλέξτε μια εταιρεία φιλοξενίας με χαρακτηριστικά ασφαλείας

Το πρώτο βήμα για την ασφάλεια του ιστότοπού σας WordPress είναι να επενδύσετε σε μια εταιρεία φιλοξενίας που εφαρμόζει κατάλληλες δυνατότητες ασφαλείας. Αυτό περιλαμβάνει υποστήριξη για την τελευταία έκδοση των PHP, MySQL και Apache, καθώς και ένα τείχος προστασίας και παρακολούθηση ασφαλείας 24/7.

Εάν είναι δυνατόν, επιλέξτε μια εταιρεία φιλοξενίας που πραγματοποιεί καθημερινά αντίγραφα ασφαλείας και τακτικές σαρώσεις κακόβουλου λογισμικού. Μπορείτε ακόμη να βρείτε εταιρείες φιλοξενίας που χρησιμοποιούν διάφορα μέτρα πρόληψης DDOS.

Η εταιρεία φιλοξενίας σας είναι συνήθως οι πρώτοι hackers που χρειάζονται για να αποκτήσουν πρόσβαση στον ιστότοπό σας, οπότε επενδύοντας πιο εκ των προτέρων και αγοράζοντας ένα ακριβότερο πρόγραμμα φιλοξενίας σίγουρα θα αποδώσει. Συνιστούμε επιλέγοντας έναν διαχειριζόμενο πάροχο φιλοξενίας WordPress.

2. Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης

Βεβαιωθείτε ότι οι κωδικοί πρόσβασης για τον ιστότοπό σας στο WordPress καθώς και για την περιοχή του λογαριασμού φιλοξενίας σας είναι και οι δύο ασφαλείς. Χρησιμοποιήστε έναν συνδυασμό κεφαλαίων και πεζών γραμμάτων, αριθμών και συμβόλων για να βρείτε έναν ισχυρό κωδικό πρόσβασης. Μπορείτε επίσης να χρησιμοποιήσετε έναν διαχειριστή κωδικών πρόσβασης όπως το LastPass για να δημιουργήσετε και να αποθηκεύσετε ασφαλείς κωδικούς πρόσβασης για εσάς.

3. Διαγράψτε το όνομα χρήστη διαχειριστή

Το WordPress χρησιμοποιούσε το προεπιλεγμένο όνομα χρήστη ως διαχειριστή και οι περισσότεροι χρήστες δεν ενοχλήθηκαν ποτέ να το αλλάξουν. Ως αποτέλεσμα, ο διαχειριστής είναι συνήθως το πρώτο όνομα χρήστη που θα προσπαθήσουν οι hackers όταν ξεκινούν μια επίθεση ωμής βίας.

Ως εκ τούτου, δεν πρέπει ποτέ να χρησιμοποιείτε το όνομα χρήστη διαχειριστή για τον ιστότοπό σας στο WordPress. Εάν εγκαταστήσατε πρόσφατα τον ιστότοπό σας στο WordPress, είναι πιθανό να χρειαστεί να ορίσετε το δικό σας όνομα χρήστη. Ωστόσο, εάν είστε μακροχρόνιος χρήστης του WordPress, ίσως εξακολουθείτε να χρησιμοποιείτε το όνομα χρήστη διαχειριστή.

Σε αυτήν την περίπτωση, δημιουργήστε ένα νέο όνομα χρήστη διαχειριστή για τον ιστότοπό σας μεταβαίνοντας στη διεύθυνση Χρήστες> Προσθήκη νέου και επιλέγοντας ένα ισχυρό όνομα χρήστη και κωδικό πρόσβασης. Ορίστε το ρόλο στο Διαχειριστή και, στη συνέχεια, κάντε κλικ στο Προσθήκη νέου χρήστη κουμπί.

Δημιουργία λογαριασμού διαχειριστή

Στη συνέχεια, θα συνδεθείτε με αυτά τα νέα διαπιστευτήρια και θα διαγράψετε τον παλιό σας διαχειριστή. Θυμηθείτε να εκχωρήσετε όλο το περιεχόμενό σας στον νέο χρήστη διαχειριστή πριν διαγράψετε τον παλιό.

4. Χρησιμοποιήστε έναν λογαριασμό συνεργάτη ή επεξεργαστή για να δημοσιεύσετε στον ιστότοπό σας

Εάν θέλετε να προχωρήσετε ένα παραπάνω βήμα, σκεφτείτε το ενδεχόμενο να δημιουργήσετε έναν λογαριασμό συνεργάτη ή έναν συντάκτη για να προσθέσετε νέες αναρτήσεις και άρθρα στον ιστότοπό σας. Κάτι τέτοιο θα δυσκολέψει τους χάκερ να κάνουν ζημιά στον ιστότοπό σας, καθώς οι συντελεστές και οι συντάκτες δεν έχουν συνήθως δικαιώματα διαχειριστή.

Δημιουργία λογαριασμού προγράμματος επεξεργασίας

5. Χρησιμοποιήστε ένα πρόσθετο δημιουργίας αντιγράφων ασφαλείας

Εάν δεν δημιουργείτε αντίγραφα ασφαλείας του ιστότοπού σας ακόμη, πρέπει να ξεκινήσετε αμέσως. Ένα εφεδρικό σύστημα θα σας βοηθήσει να επαναφέρετε τον ιστότοπό σας εάν συμβεί το χειρότερο και ο ιστότοπός σας καταστραφεί.

Χρησιμοποιήστε μια προσθήκη όπως το UpdraftPlus για να δημιουργήσετε ένα κανονικό πρόγραμμα δημιουργίας αντιγράφων ασφαλείας για τον ιστότοπό σας και μην ξεχάσετε να αποθηκεύσετε τα αρχεία αντιγράφων ασφαλείας εκτός ιστότοπου για να διασφαλίσετε ότι αυτά τα αρχεία δεν θα καταλήξουν να μολυνθούν επίσης.

6. Harden Ο διαχειριστής περιοχή

Όσον αφορά τη σκλήρυνση της περιοχής διαχειριστή, θα πρέπει να αλλάξετε την προεπιλεγμένη διεύθυνση URL διαχειριστή και να περιορίσετε τον αριθμό των αποτυχημένων προσπαθειών σύνδεσης πριν ένας χρήστης κλειδωθεί από τον ιστότοπό σας.

Από προεπιλογή, η διεύθυνση URL του διαχειριστή για τον ιστότοπό σας θα έχει την εξής μορφή: yourdomain.com/wp-admin. Οι χάκερ το γνωρίζουν αυτό και θα προσπαθήσουν να αποκτήσουν άμεση πρόσβαση σε αυτήν τη διεύθυνση URL, ώστε να αποκτήσουν πρόσβαση στον ιστότοπό σας.

Μπορείτε να αλλάξετε αυτήν τη διεύθυνση URL με μια προσθήκη όπως Απόκρυψη σύνδεσης WPS.

Απόκρυψη σύνδεσης WPS

Όσον αφορά τον περιορισμό του αριθμού των αποτυχημένων προσπαθειών σύνδεσης, μπορείτε να χρησιμοποιήσετε Σύνδεση Lockdown plugin.

Σύνδεση LockDown

7. Διατηρήστε τα αρχεία ενημερωμένα

Όπως αναφέραμε νωρίτερα, τα παλιά αρχεία αποτελούν κίνδυνο για την ασφάλεια επειδή αφήνουν τον ιστότοπό σας ευάλωτο σε άλλες εκμεταλλεύσεις. Γι ‘αυτό πρέπει να εγκαταστήσετε ενημερώσεις μόλις κυκλοφορήσουν.

Ενώ βρίσκεστε σε αυτό, φροντίστε να περνάτε τακτικά τις εγκατεστημένες προσθήκες σας και να απενεργοποιείτε και να διαγράφετε τις προσθήκες που δεν χρησιμοποιείτε πια.

8. Προστατέψτε τον υπολογιστή σας

Ίσως αναρωτιέστε τι έχει να κάνει ο υπολογιστής σας με τον ιστότοπό σας. Εάν ο υπολογιστής σας έχει μολυνθεί από ιό και έχετε πρόσβαση στον ιστότοπό σας ή ανεβάζετε αρχεία σε αυτόν, αυτά τα μολυσμένα αρχεία μπορούν επίσης να μολύνουν τον ιστότοπό σας. Εν ολίγοις, θέλετε να βεβαιωθείτε ότι:

  • Αποφύγετε τη χρήση δημόσιων δικτύων Wi-Fi για πρόσβαση στον ιστότοπό σας
  • Εγκαταστήστε λογισμικό προστασίας από ιούς και βεβαιωθείτε ότι είναι ενημερωμένο

9. Αλλάξτε το πρόθεμα βάσης δεδομένων

Ένα άλλο γεγονός που είναι γνωστό από τους χάκερ του WordPress είναι ότι το πρόθεμα της βάσης δεδομένων σας έχει οριστεί σε wp. Αυτό το γεγονός τους καθιστά εύκολο να μαντέψουν το πρόθεμα του πίνακα και να χρησιμοποιούν αυτόματες ενέσεις SQL για να αποκτήσουν πρόσβαση στον ιστότοπό σας.

Η αλλαγή του προθέματος βάσης δεδομένων είναι μια μη αυτόματη διαδικασία που περιλαμβάνει την επεξεργασία του δικού σας wp-config.php αρχείο και αλλάζοντας τα ονόματα των πινάκων χρησιμοποιώντας το phpMyAdmin. Πριν πραγματοποιήσετε την αλλαγή, φροντίστε να δημιουργήσετε αντίγραφα ασφαλείας του ιστότοπού σας ως προληπτικό μέτρο.

Επεξεργασία wp-config

Θα πρέπει να συνδεθείτε στον λογαριασμό σας φιλοξενίας και να αποκτήσετε πρόσβαση στο cPanel ή σε οποιονδήποτε πίνακα ελέγχου χρησιμοποιεί ο κεντρικός υπολογιστής σας. Στη συνέχεια, μεταβείτε στη Διαχείριση αρχείων και εντοπίστε το δικό σας wp-config.php αρχείο στον κατάλογο WordPress.

Βρείτε τη γραμμή προθέματος πίνακα που μοιάζει με αυτό: $ table_prefix ακολουθούμενο από ένα σύμβολο = και το ίδιο το πρόθεμα του πίνακα. Αντικαταστήστε την προεπιλεγμένη συμβολοσειρά με το δικό σας πρόθεμα χρησιμοποιώντας έναν συνδυασμό αριθμών, υπογράμμισης και γραμμάτων όπως:

$ table_prefix = ‘hgwp_3456_’;

Μόλις ολοκληρώσετε την επεξεργασία του wp-config.php αρχείο, βγείτε από τη Διαχείριση αρχείων και αποκτήστε πρόσβαση στο phpMyAdmin, ώστε να μπορείτε να αλλάξετε όλα τα ονόματα του πίνακα. Η χειροκίνητη πραγματοποίηση μπορεί να είναι κουραστική, καθώς υπάρχουν συνολικά 11 πίνακες που πρέπει να επεξεργαστείτε. Αντ ‘αυτού, μπορείτε να εισαγάγετε ένα ερώτημα SQL μεταβαίνοντας στην καρτέλα SQL

εκτέλεση ενός ερωτήματος SQL

Στη συνέχεια, εισαγάγετε αυτό:

RENAME πίνακας `wp_commentmeta` TO` hgwp_3456_commentmeta`;

RENAME πίνακας `wp_comments` TO` hgwp_3456_comments`;

RENAME πίνακας `wp_links` TO `hgwp_3456_links`;

RENAME πίνακας `wp_options` TO `hgwp_3456_options`;

RENAME πίνακας `wp_postmeta` TO` hgwp_3456_postmeta`;

RENAME πίνακας `wp_posts` TO` hgwp_3456_posts`;

RENAME πίνακας `wp_terms` TO` hgwp_3456_terms`;

RENAME πίνακας `wp_termmeta` TO` wp_a123456_termmeta`;

RENAME πίνακας `wp_term_relationships` TO` hgwp_3456_term_relationships`;

RENAME πίνακας `wp_term_taxonomy` TO` hgwp_3456_term_taxonomy`;

RENAME πίνακας `wp_usermeta` TO` hgwp_3456_usermeta`;

RENAME πίνακας `wp_users` TO` hgwp_3456_users`;

Ενώ το παραπάνω ερώτημα πρέπει να αλλάζει το πρόθεμα της βάσης δεδομένων σας παντού, είναι καλή ιδέα να εκτελέσετε ένα άλλο ερώτημα για να βεβαιωθείτε ότι τυχόν άλλα αρχεία που χρησιμοποιούν το παλιό πρόθεμα βάσης δεδομένων ενημερώνονται:

ΕΠΙΛΕΞΤΕ * ΑΠΟ `hgwp_3456_options` WHERE `option_name` LIKE '% wp_%'

Θα θέλατε επίσης να αναζητήσετε το theusermeta και να αντικαταστήσετε τυχόν εναπομείναντα παλιά προθέματα με το νέο:

ΕΠΙΛΕΞΤΕ * ΑΠΟ `hgwp_3456_usermeta` ΠΟΥ« meta_key` LIKE '% wp_%'

10. Κρατήστε τα αρχεία σας .htaccess και wp-config.php

.htaccess και wp-config.php είναι τα πιο σημαντικά αρχεία στην εγκατάσταση του WordPress. Ως εκ τούτου, πρέπει να βεβαιωθείτε ότι είναι ασφαλή και προστατευμένα.

Απλώς προσθέστε τους παρακάτω κωδικούς στο αρχείο .htaccess, έξω από τις ετικέτες # BEGIN WordPress και # END WordPress για να διασφαλίσετε ότι οι αλλαγές δεν αντικαθίστανται με κάθε νέα ενημέρωση.



παραγγελία επιτρέψτε, αρνηθείτε

αρνούνται από όλα





παραγγελία επιτρέψτε, αρνηθείτε

αρνούνται από όλα





άρνηση παραγγελίας, επιτρέψτε

Άρνηση από όλα

# επιτρέψτε την πρόσβαση από τη διεύθυνση IP μου

επιτρέψτε από 192.168.1.1

Τα παραπάνω αποσπάσματα θα προστατεύσουν το wp-config και το .htaccess καθώς και θα περιορίσουν την πρόσβαση στο wp-login.php οθόνη.

Τέλος, προσθέστε το παρακάτω απόσπασμα για να αποτρέψετε την εκτέλεση αρχείων PHP:



αρνούνται από όλα

11. Ελέγξτε και αλλάξτε τα δικαιώματα αρχείου

Όταν τελειώσετε με την προστασία σας .htaccess και wp-config.php αρχείο, μείνετε λίγο περισσότερο στο cPanel σας και ελέγξτε τα δικαιώματα αρχείων για τα αρχεία και τους φακέλους στον ιστότοπό σας WordPress.

Άδειες αρχείων

Σύμφωνα με την Codex WordPress, τα δικαιώματα πρέπει να οριστούν ως εξής:

  • Όλοι οι κατάλογοι πρέπει να είναι 755 ή 750
  • Όλα τα αρχεία πρέπει να είναι 644 ή 640
  • Το wp-config.php πρέπει να είναι 600

Εάν οι ρυθμίσεις σας είναι διαφορετικές, οι εισβολείς θα μπορούσαν εύκολα να διαβάσουν τα περιεχόμενα καθώς και να αλλάξουν τα περιεχόμενα των αρχείων και των φακέλων που μπορούν στη συνέχεια να οδηγήσουν σε παραβίαση του ιστότοπού σας καθώς και σε άλλους ιστότοπους στον ίδιο διακομιστή.

12. Χρησιμοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων

Σκεφτείτε να χρησιμοποιήσετε μια προσθήκη Επαληθευτής Google για να ρυθμίσετε τον έλεγχο ταυτότητας δύο παραγόντων για τον ιστότοπό σας. Αυτό σημαίνει ότι εκτός από την εισαγωγή του κωδικού πρόσβασής σας, θα πρέπει επίσης να εισαγάγετε έναν κωδικό που δημιουργείται από μια εφαρμογή για κινητά για να συνδεθείτε στον ιστότοπό σας. Αυτό μπορεί να σταματήσει τις βίαιες επιθέσεις, επομένως είναι καλή ιδέα να τις ρυθμίσετε τώρα.

Επαληθευτής Google

13. Απενεργοποιήστε το XML-RPC

Το XML-RPC επιτρέπει στον ιστότοπό σας να δημιουργήσει σύνδεση με εφαρμογές και πρόσθετα WordPress για κινητά όπως το Jetpack. Δυστυχώς, είναι επίσης ένα από τα αγαπημένα των χάκερ του WordPress, επειδή μπορούν να κάνουν κατάχρηση αυτού του πρωτοκόλλου για να εκτελέσουν πολλές εντολές ταυτόχρονα και να αποκτήσουν πρόσβαση στον ιστότοπό σας. Χρησιμοποιήστε μια προσθήκη όπως Απενεργοποιήστε την προσθήκη XML-RPC για να απενεργοποιήσετε αυτήν τη δυνατότητα.

Απενεργοποιήστε το XML-RPC

14. Χρησιμοποιήστε HTTPS και SSL

Το Διαδίκτυο γεμίζει με αναρτήσεις ιστολογίου και άρθρα σχετικά με τη σημασία του πρωτοκόλλου HTTPS και την προσθήκη πιστοποιητικών ασφαλείας SSL στον ιστότοπό σας εδώ και αρκετό καιρό τώρα.

Το HTTPS σημαίνει Hypertext Transfer Protocol Secure, ενώ το SSL σημαίνει Secure Socket Layers. Με λίγα λόγια, το HTTPS επιτρέπει στο πρόγραμμα περιήγησης του επισκέπτη να δημιουργήσει μια ασφαλή σύνδεση με τον διακομιστή φιλοξενίας (και επομένως, τον ιστότοπό σας). Το πρωτόκολλο HTTPS προστατεύεται μέσω SSL. Μαζί, HTTPS και SSL διασφαλίζουν ότι όλες οι πληροφορίες μεταξύ του προγράμματος περιήγησης των επισκεπτών και του ιστότοπού σας είναι κρυπτογραφημένες.

Η χρήση και των δύο στον ιστότοπό σας δεν θα αυξήσει μόνο την ασφάλεια του ιστότοπού σας, αλλά θα ωφελήσει επίσης την κατάταξη της μηχανής αναζήτησης, θα δημιουργήσει εμπιστοσύνη στους επισκέπτες σας και βελτιώστε το ποσοστό μετατροπών σας.

Μιλήστε με τον πάροχο φιλοξενίας σας και ρωτήστε για τη δυνατότητα απόκτησης πιστοποιητικού SSL ή για να σας οδηγήσει προς την κατεύθυνση μιας αξιόπιστης εταιρείας όπου μπορείτε να αγοράσετε ένα.

15. Απενεργοποίηση επεξεργασίας θέματος και προσθηκών μέσω του πίνακα ελέγχου του WordPress

Η δυνατότητα επεξεργασίας του θέματος και των αρχείων προσθηκών απευθείας στον πίνακα ελέγχου του WordPress είναι βολική όταν πρέπει να προσθέσετε γρήγορα μια γραμμή κώδικα. Αλλά αυτό σημαίνει επίσης ότι οποιοσδήποτε συνδέεται στον ιστότοπό σας μπορεί να έχει πρόσβαση σε αυτά τα αρχεία.

Απενεργοποιήστε αυτήν τη δυνατότητα προσθέτοντας τον ακόλουθο κώδικα στο δικό σας wp-config.php αρχείο:

// Να μην επιτρέπεται η επεξεργασία αρχείων

καθορισμός ('DISALLOW_FILE_EDIT', true);

16. Μετακινήστε το αρχείο wp-config.php σε έναν κατάλογο χωρίς WWW

Όπως αναφέρθηκε προηγουμένως, το wp-config.php Το αρχείο είναι ένα από τα πιο σημαντικά αρχεία στην εγκατάσταση του WordPress. Κάντε πιο δύσκολη την πρόσβαση μετακινώντας τον από τον ριζικό κατάλογο σε έναν κατάλογο χωρίς πρόσβαση στο www.

  1. Για αρχάριους, αντιγράψτε το περιεχόμενο του wp-config.php αρχείο σε ένα νέο αρχείο και να το αποθηκεύσετε ως wp-config.php.
  1. Επιστρέψτε στα παλιά σας wp-config.php αρχείο και προσθέστε την παρακάτω γραμμή κώδικα:
  1. Ανεβάστε και αποθηκεύστε το νέο wp-config.php αρχείο σε διαφορετικό φάκελο.

17. Αλλάξτε τα κλειδιά ασφαλείας του WordPress

Τα κλειδιά ασφαλείας του WordPress είναι υπεύθυνα για την κρυπτογράφηση των πληροφοριών που είναι αποθηκευμένα στα cookie του χρήστη. Βρίσκονται στο wp-config.php αρχείο και μοιάζει με αυτό:

καθορισμός ('AUTH_KEY', 'βάλτε τη μοναδική σας φράση εδώ');

καθορισμός ("SECURE_AUTH_KEY", "βάλτε τη μοναδική σας φράση εδώ");

καθορισμός ("LOGGED_IN_KEY", "βάλτε τη μοναδική σας φράση εδώ");

define ('NONCE_KEY', 'βάλτε τη μοναδική σας φράση εδώ');

καθορισμός ('AUTH_SALT', 'βάλτε τη μοναδική σας φράση εδώ');

καθορισμός ("SECURE_AUTH_SALT", "βάλτε τη μοναδική σας φράση εδώ");

καθορισμός ("LOGGED_IN_SALT", "βάλτε τη μοναδική σας φράση εδώ");

define ('NONCE_SALT', 'βάλτε τη μοναδική σας φράση εδώ');

Χρησιμοποιήστε το Δημιουργία κλειδιών WordPress Salts για να τα αλλάξετε και να κάνετε τον ιστότοπό σας πιο ασφαλή.

18. Απενεργοποιήστε την αναφορά σφαλμάτων

Η αναφορά σφαλμάτων είναι χρήσιμη για την αντιμετώπιση προβλημάτων και τον προσδιορισμό της συγκεκριμένης προσθήκης ή θέματος που προκαλεί σφάλμα στον ιστότοπό σας στο WordPress. Ωστόσο, όταν το σύστημα αναφέρει σφάλμα, θα εμφανίσει επίσης τη διαδρομή του διακομιστή σας. Περιττό να πούμε, αυτή είναι η τέλεια ευκαιρία για τους χάκερ να ανακαλύψουν πώς και πού μπορούν να εκμεταλλευτούν τις ευπάθειες στον ιστότοπό σας.

Μπορείτε να το απενεργοποιήσετε προσθέτοντας τον παρακάτω κώδικα στο δικό σας wp-config.php αρχείο:

αναφορά_ σφάλματος (0);

@ini_set (‘display_errors’, 0);

19. Καταργήστε τον αριθμό έκδοσης του WordPress

Όποιος ρίχνει μια ματιά στον πηγαίο κώδικα του ιστότοπού σας θα μπορεί να πει ποια έκδοση του WordPress χρησιμοποιείτε. Δεδομένου ότι κάθε έκδοση WordPress έχει δημόσιους πίνακες αλλαγών που περιγράφουν λεπτομερώς τη λίστα σφαλμάτων και ενημερώσεων κώδικα ασφαλείας, μπορούν εύκολα να προσδιορίσουν ποιες τρύπες ασφαλείας μπορούν να επωφεληθούν.

Έκδοση WordPress

Ευτυχώς, υπάρχει μια εύκολη λύση. Μπορείτε να καταργήσετε τον αριθμό έκδοσης του WordPress με την επεξεργασία του αρχείου functions.php του θέματος σας και προσθέτοντας τα εξής:

remove_action ('wp_head', 'wp_generator');

20. Χρησιμοποιήστε κεφαλίδες ασφαλείας

Ένας άλλος τρόπος για να ασφαλίσετε τον ιστότοπό σας στο WordPress είναι να εφαρμόσετε κεφαλίδες ασφαλείας. Συνήθως έχουν ρυθμιστεί σε επίπεδο διακομιστή προκειμένου να αποφευχθούν επιθέσεις εισβολής και να μειωθεί ο αριθμός των εκμεταλλεύσεων ευπάθειας ασφαλείας. Μπορείτε να τα προσθέσετε μόνοι σας τροποποιώντας το θέμα σας functions.php αρχείο.

Κεφαλίδες ασφαλείας

Επιθέσεις πολλαπλών σεναρίων

Προσθέστε τον ακόλουθο κώδικα για επιτρεπόμενο περιεχόμενο, σενάριο, στυλ και άλλες πηγές περιεχομένου:

κεφαλίδα ('Content-Security-Policy: default-src https:');

Αυτό θα αποτρέψει το πρόγραμμα περιήγησης από τη φόρτωση κακόβουλων αρχείων.

Τζάκκερ Iframe

Προσθέστε την παρακάτω γραμμή για να δώσετε εντολή στο πρόγραμμα περιήγησης να μην αποδώσει μια σελίδα σε ένα πλαίσιο: κεφαλίδα («X-Frame-Options: SAMEORIGIN»);

X-XSS-Protection και X-Content-Type-Options

Προσθέστε τις ακόλουθες γραμμές για να αποτρέψετε τις επιθέσεις XSS και πείτε στον Internet Explorer να μην μυρίζει τύπους mime

κεφαλίδα («X-XSS-Protection: 1; mode = block»);

κεφαλίδα ('X-Content-Type-Options: nosniff');

Επιβολή HTTPS

Προσθέστε τον παρακάτω κώδικα για να δώσετε εντολή στο πρόγραμμα περιήγησης να χρησιμοποιεί μόνο HTTPS:

κεφαλίδα ('Αυστηρή μεταφορά-ασφάλεια: max-age = 31536000; includeSubdomains; preload');

Cookie με σημαία HTTPOnly και Secure στο WordPress 

Πείτε στο πρόγραμμα περιήγησης να εμπιστεύεται μόνο το cookie που έχει οριστεί από το διακομιστή και ότι το cookie είναι διαθέσιμο μέσω καναλιών SSL προσθέτοντας τα εξής:

@ini_set ('session.cookie_httponly', true);

@ini_set ('session.cookie_secure', true);

@ini_set ('session.use_only_cookies', αληθινό);

Εάν δεν θέλετε να προσθέσετε αυτές τις κεφαλίδες με μη αυτόματο τρόπο, εξετάστε το ενδεχόμενο να χρησιμοποιήσετε μια προσθήκη όπως Κεφαλίδες ασφαλείας. Ανεξάρτητα από τη μέθοδο που επιλέγετε να εφαρμόσετε τις κεφαλίδες ασφαλείας, φροντίστε να τις δοκιμάσετε χρησιμοποιώντας https://securityheaders.io ιστότοπος και εισάγοντας τη διεύθυνση URL του ιστότοπού σας.

21. Αποτροπή Hotlinking

Η Hotlinking δεν αποτελεί από μόνη της παραβίαση ασφαλείας, αλλά θεωρώντας ότι αναφέρεται σε έναν άλλο ιστότοπο που χρησιμοποιεί τη διεύθυνση URL του ιστότοπού σας για να οδηγεί απευθείας σε μια εικόνα ή σε άλλο αρχείο πολυμέσων, θεωρείται κλοπή. Ως εκ τούτου, η hotlinking μπορεί να οδηγήσει σε απροσδόκητα κόστη όχι μόνο επειδή θα πρέπει να αντιμετωπίσετε νομικές επιπτώσεις, αλλά και επειδή ο λογαριασμός φιλοξενίας σας μπορεί να περάσει από την οροφή εάν ο ιστότοπος που έκλεψε την εικόνα σας λάβει πολλή επισκεψιμότητα.

Προσθέστε τον παρακάτω κώδικα στο αρχείο .htaccess εάν χρησιμοποιείτε τον διακομιστή Apache και αντικαταστήστε τον εικονικό τομέα με το πραγματικό όνομα τομέα σας:

Επανεγγραφή Ενεργοποίησης

RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Domain.com [NC]

RewriteRule \. (Jpg | jpeg | png | gif) $ - [NC, F, L]

Εναλλακτικά, εάν χρησιμοποιείτε διακομιστές NGINX, θα θέλετε να τροποποιήσετε το αρχείο διαμόρφωσης με τα εξής:

τοποθεσία ~. (gif | png | jpe? g) $ {

valid_referers κανένα αποκλεισμένο ~ .google. ~. ~ .yahoo yourdomain.com * .yourdomain.com;

εάν ($ valid_referer) {

επιστροφή 403;

}

}

22. Αποσύνδεση αδρανείς χρήστες

Η τελευταία συμβουλή σε αυτόν τον οδηγό για την αύξηση της ασφάλειας του ιστότοπού σας είναι να αποσυνδεθείτε από τους ανενεργούς χρήστες μετά από μια περίοδο αδράνειας. Μπορείτε να χρησιμοποιήσετε μια προσθήκη όπως Ανενεργή αποσύνδεση για να τερματίσετε αυτόματα ανενεργές περιόδους σύνδεσης.

Ανενεργή αποσύνδεση

Αυτό είναι απαραίτητο γιατί εάν συνδεθείτε στον ιστότοπό σας για να προσθέσετε μια νέα ανάρτηση ιστολογίου και να αποσπάσετε την προσοχή σας από μια άλλη εργασία, η συνεδρία σας μπορεί να παραβιαστεί και οι εισβολείς μπορούν να κάνουν κατάχρηση της κατάστασης για να μολύνουν τον ιστότοπό σας. Είναι ακόμη πιο σημαντικό να τερματίσετε ανενεργές περιόδους σύνδεσης εάν έχετε πολλούς χρήστες στον ιστότοπό σας.

Πώς να ανακτήσετε από ένα Hack

Τα παραπάνω μέτρα ασφαλείας είναι ένας πολύ καλός τρόπος για να ασφαλίσετε τον ιστότοπό σας. Τι γίνεται όμως αν ο ιστότοπός σας παραβιαστεί; Ακολουθούν ορισμένα βήματα που πρέπει να ακολουθήσετε σε περίπτωση παραβίασης του ιστότοπού σας.

1. Επιβεβαιώστε την εισβολή και αλλάξτε τον κωδικό πρόσβασής σας

Εάν ο ιστότοπός σας παραβιάστηκε, πρώτα, μην πανικοβληθείτε. Αυτό δεν θα σας βοηθήσει και η πράξη έχει ολοκληρωθεί, οπότε είναι σημαντικό να ενεργείτε γρήγορα. Ξεκινήστε ελέγχοντας τον ιστότοπό σας και δείτε εάν μπορείτε να συνδεθείτε στον πίνακα ελέγχου σας. Ελέγξτε εάν ο ιστότοπός σας ανακατευθύνει σε άλλο ιστότοπο ή εάν βλέπετε ύποπτους ή περίεργους συνδέσμους ή διαφημίσεις.

Αλλάξτε τον κωδικό πρόσβασής σας αμέσως και, στη συνέχεια, προχωρήστε στο επόμενο βήμα.

2. Ελάτε σε επαφή με την εταιρεία φιλοξενίας σας

Επικοινωνήστε με τον οικοδεσπότη σας και ενημερώστε τους ότι ο ιστότοπός σας έχει παραβιαστεί. Μπορούν να σας βοηθήσουν να προσδιορίσετε την πηγή της εισβολής. Ορισμένοι κεντρικοί υπολογιστές θα καθαρίσουν επίσης τον ιστότοπό σας και θα καταργήσουν τον κακόβουλο κώδικα και τα αρχεία.

Χρησιμοποιήστε ένα αντίγραφο ασφαλείας για να επαναφέρετε τον ιστότοπό σας

Αν είστε επιμελής σχετικά με τη δημιουργία αντιγράφων ασφαλείας του ιστότοπού σας, εντοπίστε ένα αντίγραφο ασφαλείας πριν από την εισβολή και χρησιμοποιήστε το για να επαναφέρετε τον ιστότοπό σας. Παρόλο που μπορεί να χάσετε μέρος του περιεχομένου, θα μπορείτε να ενεργοποιήσετε τον ιστότοπό σας όπως ήταν πριν από την επίθεση.

3. Σάρωση του ιστότοπού σας για κακόβουλο λογισμικό

Χρησιμοποιήστε τον δωρεάν σαρωτή της Sucuri για να σαρώσετε τον ιστότοπό σας για κακόβουλο λογισμικό και να εντοπίσετε τα παραβιασμένα αρχεία. Μπορείτε επίσης να επιλέξετε την υπηρεσία εκκαθάρισης του ιστότοπού τους εάν δεν ξέρετε πώς να καταργήσετε μόνοι σας το κακόβουλο λογισμικό.

4. Ελέγξτε τους χρήστες του ιστότοπού σας

Συνδεθείτε στον ιστότοπό σας στο WordPress και μεταβείτε στην επιλογή Χρήστες> Όλοι οι χρήστες. Βεβαιωθείτε ότι δεν υπάρχουν χρήστες που δεν πρέπει να είναι εκεί και διαγράψτε τους εάν είναι απαραίτητο.

5. Αλλάξτε τα μυστικά σας κλειδιά

Χρησιμοποιήστε την προαναφερθείσα γεννήτρια αλάτων WordPress για να δημιουργήσετε νέα κλειδιά ασφαλείας και να τα προσθέσετε στο αρχείο wp-config.php. Δεδομένου ότι αυτά τα κλειδιά κρυπτογραφούν τον κωδικό πρόσβασής σας, οι εισβολείς θα παραμείνουν συνδεδεμένοι έως ότου ακυρωθούν τα cookie τους. Τα νέα κλειδιά ασφαλείας θα κάνουν ακριβώς αυτό και θα εξαναγκάσουν τον χάκερ να βγει από τον ιστότοπό σας.

6. Μίσθωση επαγγελματία

Τέλος, προσλάβετε έναν επαγγελματία για να καθαρίσετε το hack και να αφαιρέσετε το κακόβουλο λογισμικό από τον ιστότοπό σας. Λάβετε υπόψη ότι οι εισβολείς μπορούν να κρύψουν κακόβουλο κώδικα σε πολλά αρχεία, οπότε αν δεν έχετε εμπειρία με την κατάργηση κακόβουλου λογισμικού, είναι εύκολο να χάσετε ένα μολυσμένο αρχείο. Αυτό καθιστά εύκολο για τους εισβολείς να χαράξουν ξανά τον ιστότοπό σας, επομένως συνιστάται ιδιαίτερα η πρόσληψη επαγγελματία.

7 πιο συνηθισμένοι τύποι ευπάθειας του WordPress

Πριν προχωρήσουμε περαιτέρω με αυτό το άρθρο, ας απευθυνθούμε στον ελέφαντα στο δωμάτιο: είναι ασφαλές το WordPress; Η απάντηση σε αυτήν την ερώτηση είναι ναι. Ο πυρήνας του λογισμικού WordPress είναι ασφαλής και η εταιρεία πίσω από το WordPress λαμβάνει σοβαρά υπόψη την ασφάλεια.

Δικα τους ομάδα ασφαλείας έχει 50 εμπειρογνώμονες επί του σκάφους που περιλαμβάνουν κύριους προγραμματιστές και ερευνητές ασφαλείας που εργάζονται πίσω από τα παρασκήνια για να διασφαλίσουν ότι το WordPress είναι ασφαλές.

Στην πραγματικότητα, τα περισσότερα περιστατικά και κίνδυνοι ασφαλείας είναι αποτέλεσμα ανθρώπινου σφάλματος σε συνδυασμό με την παρουσία ευπάθειας ασφαλείας.

Υπάρχουν επτά τύποι τρωτών σημείων WordPress που πρέπει να γνωρίζετε:

  • Ξεπερασμένα αρχεία WordPress
  • Εκμεταλλεύσεις πίσω πόρτας
  • Οι φαρμακευτικές απειλές
  • Αδύναμοι κωδικοί πρόσβασης
  • Κακόβουλες ανακατευθύνσεις
  • Ευπάθειες στην πλατφόρμα φιλοξενίας
  • Επιθέσεις άρνησης υπηρεσίας

Ας τα δούμε και να εξηγήσουμε τι ακριβώς είναι.

1. Ξεπερασμένα αρχεία WordPress

Τα παλιά αρχεία WordPress αναφέρονται στην έκδοση WordPress, το θέμα και τα αρχεία προσθηκών. Αποτελούν κίνδυνο για την ασφάλεια επειδή αφήνουν τον ιστότοπό σας εκτεθειμένο σε άλλες ευπάθειες, όπως εκμεταλλεύσεις backdoor και hacks φαρμακευτικών προϊόντων.

Ως εκ τούτου, πρέπει να βεβαιωθείτε ότι η εγκατάσταση του WordPress είναι ενημερωμένη, καθώς και το θέμα και οι προσθήκες σας. Θα πρέπει να εφαρμόζετε προληπτικά ενημερώσεις καθώς κυκλοφορούν, επειδή όχι μόνο συνοδεύονται από νέες δυνατότητες, αλλά περιλαμβάνουν επίσης διάφορες διορθώσεις ασφαλείας και σφαλμάτων.

2. Εκμεταλλεύσεις πίσω πόρτας

Όταν πρόκειται για backdoor exploits, οι hackers θα επωφεληθούν από τα παλιά αρχεία WordPress για να αποκτήσουν πρόσβαση στον ιστότοπό σας. Εκτός από τα παλιά αρχεία, μπορούν επίσης να αποκτήσουν πρόσβαση στον ιστότοπό σας μέσω SFTP, FTP και παρόμοιων.

Μόλις έχουν πρόσβαση στον ιστότοπό σας, θα μολύνουν τον ιστότοπό σας και μπορούν επίσης να μολύνουν άλλους ιστότοπους που βρίσκονται στον ίδιο διακομιστή με τον ιστότοπό σας. Οι εγχύσεις Backdoor μοιάζουν με κανονικά αρχεία WordPress στον άπειρο χρήστη. Ωστόσο, πίσω από τα παρασκήνια, εκμεταλλεύονται σφάλματα στα παλιά αρχεία για πρόσβαση στη βάση δεδομένων σας και καταστρέφουν τον ιστότοπό σας καθώς και χιλιάδες άλλους ιστότοπους.

3. Pharma Hacks

Οι φαρμακευτικές παραβιάσεις αναφέρονται σε εκμεταλλεύσεις τρωτών σημείων σε ξεπερασμένα αρχεία WordPress, όπου ένας εισβολέας εισάγει κώδικα σε αυτά τα αρχεία. Μόλις εισαχθεί ο κωδικός, οι μηχανές αναζήτησης εμφανίζουν διαφημίσεις για φαρμακευτικά προϊόντα αντί για τον ιστότοπό σας. Αυτό μπορεί να οδηγήσει σε μηχανές αναζήτησης να επισημάνουν τον ιστότοπό σας ως ανεπιθύμητο.

4. Αδύναμοι κωδικοί πρόσβασης

Οι αδύναμοι κωδικοί πρόσβασης μπορεί να είναι εύκολο να θυμηθούν, αλλά διευκολύνουν επίσης τους εισβολείς να αποκτήσουν πρόσβαση στον ιστότοπό σας μέσω μιας βίαιης επίθεσης. Μια βίαια επίθεση συμβαίνει όταν ένας χάκερ χρησιμοποιεί αυτοματοποιημένα σενάρια που εκτελούνται στο παρασκήνιο για να επιχειρήσει διάφορους συνδυασμούς ονόματος χρήστη και κωδικού πρόσβασης μέχρι να βρουν έναν συνδυασμό εργασίας.

5. Κακόβουλες ανακατευθύνσεις

Παρομοίως με τη χρήση ξεπερασμένων αρχείων και πρωτόκολλο FTP ή SFTP για την έγχυση κώδικα που έχει ως αποτέλεσμα μια φαρμακευτική hack ή μια εκμετάλλευση backdoor, οι hackers θα χρησιμοποιήσουν το αρχείο .htaccess στην εγκατάσταση του WordPress για να ανακατευθύνουν τους επισκέπτες σας σε έναν κακόβουλο ιστότοπο.

Οι επισκέπτες σας μπορούν στη συνέχεια να καταλήξουν σε ιό ή να πέσουν θύματα του ηλεκτρονικού ψαρέματος (phishing).

6. Ευπάθειες στην πλατφόρμα φιλοξενίας

Μερικές φορές, η ασφάλεια του ιστότοπού σας ενδέχεται να διακυβεύεται επειδή χρησιμοποιείτε μια εταιρεία φιλοξενίας που δεν διαθέτει λειτουργίες ασφαλείας, όπως τείχος προστασίας ή παρακολούθηση αρχείων. Αυτό συμβαίνει συνήθως με τους φθηνότερους παρόχους φιλοξενίας που σημαίνει ότι η επιλογή ενός φθηνότερου κεντρικού υπολογιστή, ειρωνικά, θα σας κοστίσει περισσότερο εάν ο ιστότοπός σας παραβιαστεί.

Λάβετε υπόψη ότι οι φθηνότερες πλατφόρμες φιλοξενίας ενέχουν επίσης υψηλότερο κίνδυνο ασφάλειας, επειδή ο ιστότοπός σας θα μπορούσε να μολυνθεί ή να παραβιαστεί ως αποτέλεσμα των χάκερ που εκμεταλλεύονται ευπάθειες σε έναν άλλο ιστότοπο που φιλοξενείται στον ίδιο διακομιστή.

7. Επιθέσεις άρνησης υπηρεσίας

Επιθέσεις άρνησης υπηρεσίας ή επιθέσεις DDOS είναι μια από τις πιο επικίνδυνες απειλές για οποιονδήποτε κάτοχο ιστότοπου. Σε μια επίθεση DDOS, ένας εισβολέας θα εκμεταλλευτεί σφάλματα και σφάλματα στον κώδικα, προκαλώντας τη μνήμη του λειτουργικού συστήματος του ιστότοπού σας να κατακλύζεται. Οι επιθέσεις DDOS συνήθως θα μειώσουν μεγάλο αριθμό ιστότοπων που χρησιμοποιούν μια συγκεκριμένη πλατφόρμα, όπως το WordPress.

Τώρα που γνωρίζετε ποιες είναι οι κοινές ευπάθειες που σχετίζονται με το WordPress, ας προχωρήσουμε στις συμβουλές, τις βέλτιστες πρακτικές και τις προτάσεις ασφαλείας που θα σας βοηθήσουν να ασφαλίσετε τον ιστότοπό σας στο WordPress.

Τυλίγοντας

Το WordPress είναι ένα ισχυρό και δημοφιλές CMS που καθιστά εύκολο για όλους να δημιουργήσουν έναν ιστότοπο. Αλλά επειδή είναι τόσο δημοφιλές, είναι επίσης ένας αγαπημένος στόχος για τους χάκερ. Ευτυχώς, υπάρχουν πολλά βήματα που μπορείτε να κάνετε για να προστατέψετε τον ιστότοπό σας στο WordPress και εάν ακολουθήσετε τις συμβουλές σε αυτό το άρθρο, θα είστε καλά στο δρόμο σας για να αποκτήσετε έναν ασφαλή ιστότοπο WordPress.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map