De nettstedssikkerhet er et av de viktigste aspektene som a Nettredaktør må vurdere.
Webserveren som vi bruker for nettstedet vårt under WordPress, kan også ha sårbarheter. Derfor må vi kontrollere at det ikke har sikkerhetsproblemer eller iverksette tiltak for å forbedre sikkerheten. I andre opplæringsprogrammer ble handlinger og verktøy spesifisert for å forsterke sikkerheten, for eksempel ved å bruke:
1. Sikkerhetstiltak for VPS -servere
2. Hvordan oppdage og kontrollere tjenester på Linux -servere
Et veldig viktig aspekt å ta hensyn til er unngå å bruke en delt server, er de serverne som er vert for andre nettsteder, i tillegg til nettstedet vårt og et nettsted på samme server som er sårbart, kan det kompromittere alle andre nettsteder siden filene er i samme plass og dermed spre et angrep eller en infeksjon av virus.
De nettsteder utviklet under Wordpress er følsomme til de fleste angrep fordi 30% av nettstedene er utviklet under denne plattformen.
Derfor er det viktig å vedta tiltak for å beskytte nettstedet vårt og dataene våre mot mulige angripere og minimere risikoen vi har sårbarheter.
Strategier vi kan implementere
Endre banen til mappen wp-content
Endre standardbane til WordPress wp-innholdsmappe, som er mappen der de fleste filene og pluginene, temaene som utgjør nettstedet vårt, ligger. Utnyttelsene og skadelig programvare vil lete etter denne mappen for å skanne og finne sårbarheter. Hvis vi endrer ruten, vil vi gjøre sporing vanskeligere.
For å gjøre endringen av ruten må vi rediger wp-config.php-filen og endre konstanten wp_content_dir:
definere ('WP_CONTENT_DIR', dirname (__ FILE__). ' / path / wp-content');Med det ville han bli endret.
Installer bare sikre plugins
Pluginene kan fjernes fra det offisielle WordPress.org -depotet, hvis de ikke oppdateres ofte, og dermed kunne forsikre samfunnet om at pluginene har viss sikkerhet og også viser oss hvilke plugins som er mer akseptert av brukerne. Det at de ikke er ondsinnede, betyr ikke at de fungerer som de skal eller ikke har noen sårbarheter.
Vi må ta hensyn når et programtillegg ikke har blitt oppdatert på mange år, det rapporteres å ha feil. Brukerfellesskapet har oppdaget at det inneholder et sikkerhetsproblem.
Bruk WPHardening å automatisere sikre installasjoner
WPHardening er en verktøy for å automatisere og utføre forskjellige sikkerhetskontroller slik at Wordpress -nettstedet vårt er konfigurert trygt.
Dette prosjektet er laget under Python og lar deg sjekke ulike aspekter ved et utviklerwebsted under Wordpress for å se etter sårbarheter.
En av de viktigste fordelene med dette verktøyet er automatisering av oppgaver og sikkerhetsinnstillinger er viktige for å unngå å eksponere informasjon for potensielle angripere. Det er mange verktøy som er spesielt utviklet for å skaffe og samle all slags informasjon knyttet til en WordPress -installasjon. Mange av Angrep mot WordPress -systemer starter vanligvis med forhåndsinformasjon basert på skanninger og innsamling av informasjon.
WpHardening Den kan lastes ned til vår server eller lokale datamaskin fra den offisielle siden eller fra terminalen med kommandoen ved hjelp av kommandoen:
git -klon https://github.com/elcodigok/wphardening.gitVi kan også laste den ned fra prosjektsiden på GitHub:
Når filen er installert eller pakket ut, får vi tilgang til wphardening -mappen.
For å bruke dette verktøyet må vi kjenne ruten til nettet som vi ønsker å inspisere og dette nettet siden det ble utviklet med Wordpress.
Deretter må vi oppdatere wphardening for å sikre at vi har de siste depotene og de siste forbedringene som er innarbeidet, for dem fra et terminalvindu utfører vi følgende kommando:
python wphardening.py -oppdateringDeretter kan vi begynne å bruke wphardening og kontrollere sikkerheten til et nettsted utviklet under wordpress ved å bruke følgende kommando:
python wphardening.py -d / home / myuser / myweb -vHusk at den bare brukes lokalt, det vil si på en lokal eller ekstern server fra kommandolinjen og til nettsteder utviklet i wordpress.
For eksempel vil jeg bruke for denne opplæringen et demonettsted laget i Wordpress på en lokal server med Xampp:
Mange ganger har vi problemer med fil- og mappetillatelser som lar nettstedet vårt utsettes for angrep eller inntrengere, for å løse dette problemet bruker vi følgende kommando:
python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -chmod -vDette angir de anbefalte tillatelsene for ekstra sikkerhet automatisk.
Et annet veldig interessant alternativ for dette verktøyet er muligheten for last ned og installer plugin og sikkerhetsverktøy på en automatisk måte anbefalt og testet.
python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -plugins
Når vi utfører kommandoen, vil den be oss om tillatelse til å installere hvert sikkerhetsplugin, inkludert et antivirusprogram, utnytte skanner, databasesjef, sikkerhet og sårbarhetsskanner, blant annet på slutten vil vi kunne se pluginene installert i plugin -mappen på vårt Wordpress -nettsted. Disse pluginene bruker proprietære elektroniske verktøy og databaser for å søke i filer og databaser på vårt WordPress -nettsted for rastoer, eller de kan indikere at du har vært utsatt for ondsinnede hackere.
[vedlegg = 12158: panta06.jpg.webp]Deretter fra WordPress admin panel vi kan installere og aktivere sikkerhetsplugins.
Et annet interessant alternativ er automatisk opprettelse av robots.txt -fil som automatisk nekter tilgang til de viktigste katalogene på nettstedet. Vi legger også til -o alternativ som lar oss lage en loggfil med resultatet av oppgaven som er utført.
python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -robots -o securitywp.log
Når vi utfører kommandoen, vil den be oss om banen til nettstedet, og deretter kan robots.txt -filen opprettes.
Slette filer som ikke brukes er viktig siden de tar opp plass og kan være sårbare siden de vanligvis ikke vedlikeholdes eller oppdateres, også på et nettsted med mange filer kan de generere forvirring, på grunn av dem vil vi bruke parameterkommandoen remove to automatisk fjerne alle filer som ikke brukes av nettstedet vårt.
python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -fjerne -o securitywp.log
På slutten kan vi se loggen som vi opprettet med en liste over alle filene som er slettet.
De angrep på nettsteder og servere er forårsaket av sikkerhetsproblemer på grunn av sårbarheter i programvaren enten på grunn av programmeringsfeil eller feilkonfigurert programvare.
Disse sårbarhetene lar angriperne bruke et stort antall teknikkerfor eksempel å bruke en URL -parameter for å kjøre en SQL -injeksjon, legge til kode i databasen din via skjemaer, som kan tillate data å endre eller slette viktige data, for eksempel å slette alle innlegg og sider eller la nettet være deaktivert.
Nettstedene laget under Wordpress som mottok angrep, vanligvis skyldes det sårbarheter i et WordPress -plugin. Hackere setter ofte inn base-64-kodet skadelig programvare som lar dem utføre en PHP-funksjon på nettstedet vårt. De kan også legge igjen en bakdør et sted på nettstedet ditt. Dette er en teknikk de bruker for å få tilgang til nettstedet ditt i fremtiden, selv denne typen angrep infiserer vanligvis alle filer på nettet.
Husk at alle verktøyene vi bruker ikke garanterer sikkerheten til nettstedet vårt, i tillegg vi må implementere sikkerhetspolitikk Hva utføre trinnvise sikkerhetskopier av databasen og alle filer ukentlig eller daglig.
Likte og hjalp du denne opplæringen?Du kan belønne forfatteren ved å trykke på denne knappen for å gi ham et positivt poeng