Bezpečnost v WordPress je brát velmi vážně, ale jako s jakýmkoliv jiným systémem, existují potenciální bezpečnostní problémy, které mohou nastat, pokud některá základní bezpečnostní opatření nejsou přijata. Tento článek projde některými běžnými formami zranitelností a věcmi, které můžete udělat, abyste udrželi vaši instalaci WordPress v bezpečí.
Tento článek není konečným rychlým řešením vašich bezpečnostních problémů. Pokud máte konkrétní bezpečnostní obavy nebo pochybnosti,měli byste je prodiskutovat s lidmi, kterým důvěřujete, že mají dostatečné znalosti o počítačové bezpečnosti a WordPress.
- co je zabezpečení? # Co je to bezpečnost?
- Bezpečnostní Témata # Bezpečnostní Témata
- zranitelnosti v počítači # zranitelnosti v počítači
- Zranitelnosti v WordPress # Zranitelností v WordPress
- aktualizace WordPress # aktualizace WordPress
- hlášení bezpečnostních problémů # hlášení bezpečnostních problémů
- zranitelnosti webového serveru # zranitelnosti webového serveru
- síťové chyby # síťové chyby
- hesla # hesla
- FTP # FTP
- oprávnění k souborům # oprávnění k souborům
- Změna oprávnění souboru # Změna oprávnění souboru
- Ohledně Automatické Aktualizace # O Automatické Aktualizace
- Zabezpečení Databáze # Zabezpečení Databáze
- Omezení Databáze Uživatelských Oprávnění # Omezení Databáze Uživatelských Oprávnění
- Zabezpečení wp-admin # Zabezpečení wp-admin
- Zabezpečení wp-includes # Zabezpečení wp-includes
- zabezpečení wp-config.php # zabezpečení wp-config.php
- Zakázat Editaci Souboru, # Zakázání Editace Souborů
- pluginy # pluginy
- Firewall # Firewall
- pluginy, které potřebují přístup k zápisu # pluginy, které potřebují přístup k zápisu
- code execution plugins # Code execution plugins
- Security through obscurity # Security through obscurity
- zálohování dat # Zálohování dat
- Protokolování # Přihlášení
- monitorování # monitorování
- monitorování protokolů # sledování protokolů
- sledování souborů pro změny # sledování souborů pro změny
- cíle # cíle
- Obecné přístupy # Obecné přístupy
- Specifické nástroje # Specifických nástrojů
- úvahy # úvahy
- Sledování váš webový server externě # Sledování webového serveru externě
- Zdroje # Zdroje
- Viz Také # Viz Také
co je zabezpečení? # Co je to bezpečnost?
bezpečnost zásadně není o dokonale zabezpečených systémech. Taková věc by mohla být nepraktická nebo nemožná najít a/nebo udržovat. Co je však bezpečnost, je snížení rizika, ne eliminace rizika. Je to o tom, že zaměstná všechny vhodné kontroly k dispozici pro vás, v rámci možností, které vám umožní zlepšit vaše celkové držení těla, čímž se snižuje šance, takže si cíl, následně získání hacknutý.
hostitelé webových stránek
často je dobrým místem pro začátek, pokud jde o zabezpečení webových stránek, vaše hostingové prostředí. Dnes máte k dispozici řadu možností, a zatímco hostitelé nabízejí bezpečnost na určité úrovni, je důležité pochopit, kde končí jejich odpovědnost a začíná vaše. Zde je dobrý článek vysvětlující komplikovanou dynamiku mezi webovými hostiteli a bezpečností vašeho webu. Zabezpečený server chrání soukromí, integritu a dostupnost zdrojů pod kontrolou správce serveru.
Vlastnosti důvěryhodný web hostitele může zahrnovat:
- Snadno popisuje své obavy o bezpečnost a zabezpečení, které funkce a procesy, které nabízejí s jejich hosting.
- poskytuje nejnovější stabilní verze veškerého serverového softwaru.
- poskytuje spolehlivé metody pro zálohování a obnovu.
rozhodněte se, jaké zabezpečení potřebujete na svém serveru, určením softwaru a dat, které je třeba zabezpečit. Zbytek této příručky vám s tím pomůže.
webové aplikace
je snadné se podívat na webové hostitele a přenést na ně odpovědnost za bezpečnost, ale na majiteli webových stránek je také obrovské množství zabezpečení. Weboví hostitelé jsou často zodpovědní za infrastrukturu, na které vaše webové stránky sedí, nejsou zodpovědní za aplikaci, kterou se rozhodnete nainstalovat.
pochopit, kde a proč to je důležité, musíte pochopit, jak stránky dostat hacknutý, Málokdy je to přičítáno infrastruktury, a nejvíce často připisována samotné aplikace (tj. prostředí, které jsou odpovědné za).
Top
Bezpečnostní Témata # Bezpečnostní Témata
Mějte na paměti, některé obecné myšlenky, zároveň s ohledem na bezpečnost pro každý aspekt vašeho systému:
Omezení přístupu
Dělat inteligentní rozhodnutí, které snižují možné vstupní body k dispozici, aby se nebezpečný člověk.
omezení
váš systém by měl být nakonfigurován tak, aby minimalizoval množství poškození, které může být provedeno v případě, že je ohroženo.
příprava a znalosti
udržování záloh a znalost stavu instalace WordPress v pravidelných intervalech. Mít plán zálohování a obnovení instalace v případě katastrofy vám může v případě problému pomoci rychleji se připojit k internetu.
důvěryhodné zdroje
nedostávají pluginy / motivy z nedůvěryhodných zdrojů. Omezte se na WordPress.org úložiště nebo známé společnosti. Pokus o získání pluginů / motivů zvenčí může vést k problémům.
top
zranitelnosti v počítači # zranitelnosti v počítači
ujistěte se, že počítače, které používáte, neobsahují spyware, malware a virové infekce. Žádné množství zabezpečení ve WordPressu nebo na vašem webovém serveru nebude mít sebemenší rozdíl, pokud je v počítači keylogger.
vždy udržujte svůj operační systém a software v něm, zejména webový prohlížeč, aktuální, abyste byli chráněni před zranitelnostmi zabezpečení. Pokud procházíte nedůvěryhodné weby, doporučujeme také používat v prohlížeči nástroje jako no-script (nebo zakázat javascript/flash/java).
Top
Zranitelnosti v WordPress # Zranitelností v WordPress
stejně Jako mnoho moderních softwarových balíčků, WordPress je pravidelně aktualizován řešit nové bezpečnostní problémy, které mohou nastat. Zlepšení zabezpečení softwaru je vždy trvalým problémem, a proto byste měli vždy držet krok s nejnovější verzí WordPress. Starší verze WordPress nejsou udržovány s aktualizacemi zabezpečení.
aktualizace WordPress # aktualizace WordPress
Hlavní článek: aktualizace WordPress.
nejnovější verze WordPress je vždy k dispozici na hlavním webu WordPress na adrese https://wordpress.org. Oficiální zprávy nejsou k dispozici z jiných stránek — nikdy stáhnout nebo nainstalovat WordPress z jakékoliv webové stránky, jiné než https://wordpress.org.
od verze 3.7 má WordPress automatické aktualizace. Pomocí této funkce usnadníte proces udržování aktuálnosti. Můžete také použít ovládací panel WordPress, abyste byli informováni o aktualizacích. Přečtěte si položku na hlavním panelu nebo blogu vývojářů WordPress a zjistěte, jaké kroky musíte podniknout, abyste aktualizovali a zůstali v bezpečí.
Pokud je chyba objevena v WordPress a nová verze je propuštěn k řešení problému, informace potřebné ke zneužití této chyby zabezpečení je téměř jistě ve veřejné doméně. Díky tomu jsou staré verze otevřenější k útoku a je to jeden z hlavních důvodů, proč byste měli WordPress vždy aktualizovat.
Pokud jste správcem odpovědným za více než jednu instalaci WordPress, zvažte použití Subversion pro usnadnění správy.
Top
hlášení bezpečnostních problémů # hlášení bezpečnostních problémů
Pokud si myslíte, že jste našli bezpečnostní chybu ve WordPressu, můžete pomoci nahlášením problému. Informace o tom, jak nahlásit bezpečnostní problémy, naleznete v FAQ o Zabezpečení.
Pokud si myslíte, že jste našli chybu, nahlaste ji. Viz odesílání chyb, jak to udělat. Možná jste odhalili zranitelnost nebo chybu, která by k ní mohla vést.
Top
zranitelnosti webového serveru # zranitelnosti webového serveru
webový server se systémem WordPress a software na něm mohou mít zranitelnosti. Proto se ujistěte, že používáte bezpečné, stabilní verze webového serveru a softwaru na něm, nebo se ujistěte, že používáte důvěryhodného hostitele, který se o tyto věci stará za vás.
Pokud jste na sdíleném serveru (jeden, který je hostitelem jiné webové stránky kromě své vlastní) a webové stránky na stejném serveru je ohrožena, vaše webové stránky může být potenciálně ohrožena příliš, i když se budete řídit vše, co v této příručce. Nezapomeňte se zeptat svého webového hostitele, jaká bezpečnostní opatření přijmou.
Top
síťové chyby # síťové chyby
síť na obou koncích-na straně serveru WordPress a na straně klientské sítě-by měla být důvěryhodná. To znamená aktualizovat pravidla brány firewall na domácím routeru a dávat pozor na to, z jakých sítí pracujete. Internetová kavárna, kam posíláte hesla přes nešifrované připojení, bezdrátové nebo jiné, není důvěryhodná síť.
váš webový hostitel by se měl ujistit, že jeho síť není útočníky ohrožena, a měli byste udělat totéž. Chyby zabezpečení sítě mohou umožnit zachycení hesel a dalších citlivých informací.
Top
hesla # hesla
mnoho potenciálních zranitelností lze zabránit dobrými bezpečnostními návyky. Důležitým aspektem je silné heslo.
cílem vašeho hesla je, aby bylo těžké pro ostatní lidi uhodnout a těžké pro útok hrubou silou uspět. K dispozici je mnoho automatických generátorů hesel, které lze použít k vytvoření bezpečných hesel.
WordPress také obsahuje měřič síly hesla, který se zobrazí při změně hesla v aplikaci WordPress. Použijte to při změně hesla, abyste se ujistili, že jeho síla je dostatečná.
věci, kterým je třeba se při výběru hesla vyhnout:
- jakákoli permutace vašeho vlastního skutečného jména, uživatelského jména, názvu společnosti nebo názvu vašeho webu.
- slovo ze slovníku, v jakémkoli jazyce.
- krátké heslo.
- libovolné číselné nebo abecední heslo (nejlepší je směs obou).
silné heslo je nezbytné nejen pro ochranu obsahu blogu. Hacker, který získá přístup k vašemu účtu správce, je schopen nainstalovat škodlivé skripty, které mohou potenciálně ohrozit celý váš server.
kromě použití silného hesla je vhodné povolit dvoufázové ověřování jako další bezpečnostní opatření.
Top
FTP # FTP
při připojení k serveru byste měli používat šifrování SFTP, pokud jej poskytuje váš webový hostitel. Pokud si nejste jisti, zda váš webový hostitel poskytuje SFTP nebo ne, zeptejte se jich.
Pomocí SFTP je stejné jako FTP, s výjimkou hesla a další data jsou šifrována během přenosu mezi počítačem a webové stránky. To znamená, že Vaše heslo není nikdy odesláno v clear a nemůže být zachyceno útočníkem.
Top
oprávnění k souborům # oprávnění k souborům
některé elegantní funkce aplikace WordPress pocházejí z umožnění zápisu různých souborů webovým serverem. Povolení přístupu k vašim souborům je však potenciálně nebezpečné, zejména v prostředí sdíleného hostingu.
nejlepší je uzamknout oprávnění k souborům co nejvíce a uvolnit tato omezení při příležitostech, které potřebujete povolit přístup k zápisu, nebo vytvořit konkrétní složky s menšími omezeními za účelem provádění věcí, jako je nahrávání souborů.
zde je jedno možné schéma oprávnění.
všechny soubory by měly být vlastněny vaším uživatelským účtem a měly by být zapisovatelné vámi. Soubor, který potřebuje přístup k zápisu z WordPress by měl být zapisovatelný webový server, pokud váš hosting nastavit to vyžaduje, to může znamenat, že tyto soubory musí být skupina-vlastní uživatelský účet používaný webový server proces.
/
kořenový adresář WordPress: všechny soubory musí být zapisovatelný pouze uživatelem svém uživatelském účtu, s výjimkou .htaccess
pokud chcete WordPress automaticky generovat pravidla pro přepis pro vás.
/wp-admin/
oblast správy WordPress: všechny soubory by měly být zapisovatelné pouze vaším uživatelským účtem.
/wp-includes/
převážná část logiky aplikace WordPress: všechny soubory by měly být zapisovatelné pouze vaším uživatelským účtem.
/wp-content/
obsah dodaný uživatelem: určený k zápisu vaším uživatelským účtem a procesem webového serveru.
V /wp-content/
najdete:
/wp-content/themes/
Téma soubory. Pokud chcete použít vestavěný editor motivů, musí být všechny soubory zapisovatelné procesem webového serveru. Pokud nechcete používat vestavěný editor motivů, všechny soubory lze zapisovat pouze vaším uživatelským účtem.
/wp-content/plugins/
Plugin files: všechny soubory by měly být zapisovatelné pouze vaším uživatelským účtem.
Ostatní adresáře, které mohou být přítomny s /wp-content/
by měly být zdokumentovány podle toho, který plugin nebo téma je vyžaduje. Oprávnění se mohou lišit.
Top
Změna oprávnění souboru # Změna oprávnění souboru
Pokud máte přístup shellu k serveru, můžete rekurzivně změnit oprávnění souboru pomocí následujícího příkazu:
Pro Adresáře:
find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;
Pro Soubory:
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;
Top
Ohledně Automatické Aktualizace # O Automatické Aktualizace
Když řeknete WordPress provádět automatické aktualizace, všechny souborové operace jsou prováděny jako uživatel, který vlastní soubory, ne jako webový server je uživatel. Všechny soubory jsou nastaveny na 0644 a všechny adresáře jsou nastaveny na 0755 a zapisovatelné pouze uživatelem a čitelné všemi ostatními, včetně webového serveru.
Top
Zabezpečení Databáze # Zabezpečení Databáze
Pokud spustíte více blogů na jednom serveru, to je moudré, aby zvážila, aby byli v oddělených databázích každý řídí jiný uživatel. Toho lze nejlépe dosáhnout při provádění počáteční instalace WordPress. Toto je strategie zadržování: pokud Vetřelec úspěšně praskne jednu instalaci WordPress, je to mnohem těžší změnit vaše další blogy.
Pokud spravujete MySQL sami, ujistěte se, že rozumíte konfiguraci MySQL a že nepotřebné funkce (například přijímání vzdálených připojení TCP) jsou zakázány. Viz Secure MySQL databáze Design pro pěkný úvod.
Top
Omezení Databáze Uživatelských Oprávnění # Omezení Databáze Uživatelských Oprávnění
Pro normální WordPress operace, jako je vyslání blogu, nahrávání mediálních souborů, vkládání komentářů, vytvářet nové uživatele WordPress a instalace WordPress pluginy, databáze MySQL uživatel potřebuje pouze čtení dat a data oprávnění k zápisu do databáze MySQL; Vyberte, vložte, aktualizujte a odstraňte.
proto lze zrušit jakoukoli jinou strukturu databáze a administrátorská oprávnění, jako je DROP, ALTER a GRANT. Zrušením takových privilegií také zlepšujete politiky omezování.
Poznámka: některé pluginy, témata a hlavní aktualizace WordPress mohou vyžadovat strukturální změny databáze, jako je přidání nových tabulek nebo změna schématu. V takovém případě budete muset před instalací pluginu nebo aktualizací softwaru dočasně povolit uživateli databáze požadovaná oprávnění.
varování: Pokus o aktualizace bez těchto oprávnění může způsobit problémy při změnách schématu databáze. Proto se nedoporučuje tyto výsady zrušit. Pokud máte pocit, že je třeba to udělat z bezpečnostních důvodů, pak se ujistěte, že máte pevný plán zálohování na místě první, s pravidelnými celé databáze zálohy, které jste testovali jsou platné a které lze snadno obnovit. Selhal upgrade databáze mohou obvykle být vyřešeny pomocí obnovení databáze zpět ke staré verzi, poskytnutí řádné oprávnění, a pak nechat WordPress zkuste aktualizaci databáze znovu. Obnovením databáze se vrátí zpět do této staré verze a obrazovky správy WordPress poté detekují starou verzi a umožní vám na ní spustit potřebné příkazy SQL. Většina upgradů WordPress nemění schéma, ale některé Ano. Pouze hlavní aktualizace bodů (například 3.7 až 3.8) změní schéma. Drobné aktualizace (3.8 až 3.8.1) obecně nebudou. Přesto mějte pravidelnou zálohu.
Top
Zabezpečení wp-admin # Zabezpečení wp-admin
Přidat server-side ochrana heslem (jako BasicAuth) /wp-admin/
přidá druhá vrstva ochrany kolem svého blogu admin oblasti, přihlašovací obrazovku, a vaše soubory. To nutí útočníka nebo robota zaútočit na tuto druhou vrstvu ochrany místo vašich skutečných souborů správce. Mnoho útoků WordPress je prováděno autonomně škodlivými softwarovými roboty.
Jednoduše zajištění wp-admin/
adresář může také rozbít některé WordPress funkcí, jako je AJAX handler na wp-admin/admin-ajax.php
. V sekci Zdroje najdete další dokumentaci o tom, jak správně chránit váš adresář wp-admin/
heslem.
nejčastější útoky proti blogu WordPress obvykle spadají do dvou kategorií.
- odesílání speciálně vytvořených požadavků HTTP na váš server se specifickým užitečným zatížením pro konkrétní zranitelnosti. Patří sem staré / zastaralé pluginy a software.
- pokoušíte se získat přístup k vašemu blogu pomocí hádání hesla „hrubou silou“.
konečnou implementací této ochrany heslem „druhé vrstvy“ je vyžadovat šifrované připojení HTTPS SSL pro správu, takže veškerá komunikace a citlivá data jsou šifrována. Viz Správa přes SSL.
Top
Zabezpečení wp-includes # Zabezpečení wp-includes
druhou vrstvu ochrany může být přidán, kde skripty jsou obecně nejsou určeny k být přistupovat každý uživatel. Jedním ze způsobů, jak toho dosáhnout, je blokovat tyto skripty pomocí mod_rewrite v .soubor htaccess. Poznámka: Chcete-li zajistit, aby níže uvedený kód nebyl přepsán WordPress, umístěte jej mimo značky # BEGIN WordPress
a # END WordPress
.soubor htaccess. WordPress může mezi těmito značkami přepsat cokoli.
Top
zabezpečení wp-config.php # zabezpečení wp-config.php
soubor wp-config.php
můžete přesunout do adresáře nad instalací WordPress. To znamená, že pro web nainstalovaný v kořenovém adresáři vašeho webového prostoru můžete uložit wp-config.php
mimo složku web-root.
Poznámka: Někteří lidé tvrdí, že pohybující se wp-config.php má minimální bezpečnostní výhody, a pokud není provedeno pečlivě, může ve skutečnosti představovat vážná zranitelnost. Jiní nesouhlasí.
Všimněte si, že wp-config.php
lze uložit o jednu úroveň adresáře nad instalací WordPress (kde wp-includes sídlí). Také se ujistěte, že tento soubor můžete číst pouze vy (a webový server) (obecně to znamená oprávnění 400 nebo 440).
Pokud používáte server s .htaccess, můžete to dát do tohoto souboru (na samém vrcholu), abyste odepřeli přístup komukoli, kdo pro něj surfuje:
<files wp-config.php>order allow,denydeny from all</files>
Top
Zakázat Editaci Souboru, # Zakázání Editace Souborů
palubní Desce WordPress ve výchozím nastavení umožňuje správcům upravovat PHP soubory, jako plugin a téma soubory. Toto je často první nástroj, který útočník použije, pokud se bude moci přihlásit, protože umožňuje spuštění kódu. WordPress má konstantní zakázat úpravy z řídicího panelu. Umístění tohoto řádku do wp-config.php je ekvivalentní odstranění ‚edit_themes‘, ‚edit_plugins‘ a ‚edit_files‘ schopnosti všech uživatelů:
define('DISALLOW_FILE_EDIT', true);
to nezabrání útočníkovi v nahrávání škodlivých souborů na váš web, ale může zastavit některé útoky.
Top
pluginy # pluginy
nejprve se ujistěte, že jsou vaše pluginy vždy aktualizovány. Pokud nepoužíváte konkrétní plugin, odstraňte jej ze systému.
Top
Firewall # Firewall
existuje mnoho pluginů a služeb, které mohou fungovat jako firewall pro vaše webové stránky. Některé z nich pracují úpravou vašeho .htaccess
soubor a omezení některých přístupů na úrovni Apache, než je zpracován WordPress. Dobrým příkladem je iThemes Security nebo All in One WP Security. Některé pluginy brány firewall působí na úrovni WordPress, jako WordFence a Shield, a snaží se filtrovat Útoky, Jak se WordPress načítá, ale dříve, než bude plně zpracován.
kromě pluginů, můžete také nainstalovat WAF (web firewall) na váš webový server filtrovat obsah před tím, než je zpracován WordPress. Nejoblíbenější open source WAF je ModSecurity.
brána firewall webu může být také přidána jako prostředník mezi provozem z internetu a hostingovým serverem. Tyto služby všechny funkce jako reverzní proxy, ve které akceptují původní žádosti a přesměrovat je na server, zbavuje všech škodlivých žádostí. Dosahují toho úpravou záznamů DNS prostřednictvím záznamu A nebo úplného swapu DNS, což umožní, aby veškerý provoz nejprve prošel novou sítí. To způsobí, že veškerý provoz bude filtrován bránou firewall před dosažením vašeho webu. Několik společností nabízí takové služby, jako CloudFlare, Sucuri a Incapsula.
navíc tito poskytovatelé služeb třetích stran ve výchozím nastavení fungují jako distribuční síť obsahu (CDN), což přináší optimalizaci výkonu a globální dosah.
top
pluginy, které potřebují přístup k zápisu # pluginy, které potřebují přístup k zápisu
Pokud plugin chce přístup k vašim souborům a adresářům WordPress, přečtěte si kód, abyste se ujistili, že je legitimní, nebo se poraďte s někým, komu důvěřujete. Možná místa ke kontrole jsou fóra podpory a kanál IRC.
Top
code execution plugins # Code execution plugins
jak jsme řekli, součástí cíle vytvrzení WordPress je obsahovat škody způsobené v případě úspěšného útoku. Pluginy, které umožňují spuštění libovolného PHP nebo jiného kódu ze záznamů v databázi, účinně zvětšují možnost poškození v případě úspěšného útoku.
způsob, jak se vyhnout použití takového pluginu, je použít vlastní šablony stránek, které volají funkci. Část zabezpečení, které poskytuje, je aktivní pouze tehdy, když zakážete úpravy souborů v rámci WordPress.
Top
Security through obscurity # Security through obscurity
Security through obscurity je obecně nezdravá primární strategie. Nicméně, tam jsou oblasti, ve WordPress, kde zakrývající informace by mohly pomoci s zabezpečení:
- Přejmenovat účet správce: Když vytváříte administrativní účet, vyhnout se snadno uhodnout pojmy jako
admin
nebowebmaster
jako uživatelská jména, protože jsou obvykle předmětem první útoky. Na existující WordPress nainstalovat, můžete přejmenovat existující účet v MySQL příkazového řádku klienta příkazemUPDATE wp_users SET user_login = 'newuser' WHERE user_login = 'admin';
, nebo pomocí MySQL frontend, jako je phpMyAdmin. - Změnit table_prefix: Mnoho publikované WordPress-konkrétní SQL-injection útoky učinit předpoklad, že table_prefix
wp_
výchozí. Tato změna může blokovat alespoň některé útoky SQL injection.
Top
zálohování dat # Zálohování dat
zálohujte svá data pravidelně, včetně databází MySQL. Viz Hlavní článek: Zálohování Databáze.
integrita dat je rozhodující pro důvěryhodné zálohy. Šifrování zálohy, vedení nezávislého záznamu MD5 hashů pro každý záložní soubor a / nebo umístění záloh na média pouze pro čtení zvyšuje vaši jistotu, že s vašimi daty nebylo manipulováno.
strategie zálohování zvuku může zahrnovat udržování sady pravidelně načasovaných snímků celé instalace WordPress (včetně základních souborů WordPress a vaší databáze) na důvěryhodném místě. Představte si web, který vytváří týdenní snímky. Taková strategie znamená, že pokud web je ohrožena na 1. Května, ale kompromis je zjištěna až 12. Května, vlastník webu bude mít pre-kompromis zálohy, které mohou pomoci při obnově stránky a případně i post-kompromis zálohy, které vám pomoci při stanovení, jak byl web napaden.
Top
Protokolování # Přihlášení
Protokoly jsou váš nejlepší přítel, když to přijde k pochopení, co se děje s vaší webové stránky, zejména pokud se snažíte provést forenzní. Na rozdíl od všeobecného přesvědčení vám protokoly umožňují vidět, co se stalo a kdo a kdy. Bohužel protokoly vám neřeknu, kdo, uživatelské jméno, přihlášení, ale to vám umožní identifikovat IP a čas, a co je důležitější, kroky útočník mohl vzít. Budete mít možnost vidět některý z těchto útoků prostřednictvím protokolů-Cross Site Scripting (XSS), Remote File Inclusion (RFI), local file Inclusion (LFI) a pokusy o procházení adresářů. Budete také moci vidět pokusy o hrubou sílu. K dispozici jsou různé příklady a návody, které vám pomohou provést proces analýzy a analýzy vašich protokolů raw.
Pokud můžete získat více pohodlné s vaše záznamy, budete moci vidět věci jako, když téma a plugin editory jsou používány, když někdo aktualizuje widgety a když příspěvky a stránky jsou přidány. Všechny klíčové prvky při forenzní práci na vašem webovém serveru. Existuje několik bezpečnostních pluginů WordPress, které vám s tím pomohou, jako je auditní nástroj Sucuri nebo plugin Audit Trail.
existují dvě klíčová řešení s otevřeným zdrojovým kódem, která budete chtít na vašem webovém serveru z hlediska zabezpečení, jedná se o vrstvený přístup k zabezpečení.
OSSEC může běžet na libovolné distribuci NIX a bude také spuštěn na Windows. Při správné konfiguraci je velmi silný. Myšlenka je korelovat a agregovat všechny protokoly. Musíte si být jisti, že jej nakonfigurujete tak, aby zachytil všechny access_logs a error_logs a pokud máte na účtu serveru více webů. Budete také chtít být jisti, že odfiltrovat hluk. Ve výchozím nastavení uvidíte hodně šumu a budete jej chtít nakonfigurovat tak, aby byl skutečně efektivní.
Top
monitorování # monitorování
někdy prevence nestačí a můžete být stále hacknuti. Proto je detekce/monitorování narušení velmi důležité. Umožní vám rychleji reagovat, zjistit, co se stalo, a obnovit váš web.
Top
monitorování protokolů # sledování protokolů
Pokud jste na vyhrazeném nebo virtuálním privátním serveru, na kterém máte luxus přístupu root, máte možnost snadno konfigurovat věci, abyste viděli, co se děje. OSSEC to snadno usnadňuje a zde je malý zápis, který vám může pomoci OSSEC pro zabezpečení webových stránek-Část I.
Top
sledování souborů pro změny # sledování souborů pro změny
Když dojde k útoku, vždy zanechá stopy. Buď v protokolech nebo v systému souborů (nové soubory, upravené soubory atd.). Pokud například používáte OSSEC, bude sledovat vaše soubory a upozorní vás, když se změní.
cíle # cíle
cíle sledování souborového systému zahrnují:
- Monitor vyměnil a přidal soubory
- Log změny a doplňky
- Schopnost vrátit granulární změny
- Automatické upozornění
Top
Obecné přístupy # Obecné přístupy
Administrátoři mohou monitorovat souborový systém prostřednictvím obecných technologií, jako jsou:
- Systémové nástroje
- verzování
- OS/kernel úrovni monitorování
Top
Specifické nástroje # Specifických nástrojů
Volby pro monitorovací systém souborů patří:
- diff – vybudovat čisté testovací kopie webu a porovnat proti produkci
- Git – zdroj kód řízení
- inotify a incron – OS kernel úrovni souboru sledování služby, které lze spustit příkazy na události souborového systému
- Pozorovatel – Python inotify knihovna
- OSSEC – Open Source Host-based Intrusion Detection System, který provádí analýzu protokolu, soubor integrity kontrola, sledování politik, rootkit detekce, real-time upozornění a aktivní reakci.
Top
úvahy # úvahy
při konfiguraci strategie monitorování založené na souboru existuje mnoho úvah, včetně následujících.
Spustit sledování skriptu/služby jako root
to by bylo těžké pro útočníky zakázat nebo upravit systém souborů monitorovací řešení.
zakázat monitorování během plánované údržby/upgradů
tím se zabrání zbytečným upozorněním při pravidelné údržbě na webu.
monitorujte pouze spustitelné typy souborů
může být poměrně bezpečné sledovat pouze spustitelné typy souborů, například .php soubory, atd.. Odfiltrování nespustitelných souborů může snížit zbytečné položky protokolu a upozornění.
používejte přísná oprávnění systému souborů
Přečtěte si o Zabezpečení Oprávnění a vlastnictví souborů. Obecně se vyhněte povolování oprávnění k provádění a zápisu v maximální možné míře.
Top
Sledování váš webový server externě # Sledování webového serveru externě
Pokud se útočník snaží poškodit vaše stránky, nebo přidat malware, můžete také detekovat tyto změny pomocí web-based integrity monitor řešení. To přichází v mnoha formách dnes, Použijte svůj oblíbený vyhledávač a podívejte se na detekci a nápravu webového malwaru a pravděpodobně získáte dlouhý seznam poskytovatelů služeb.
Top
Zdroje # Zdroje
- Jak Zlepšit Bezpečnost WordPress (Infographic)
- Bezpečnostní Pluginy
- WordPress Zabezpečení Řezání Přes BS
- e-Knihy: Uzamčení WordPress
- wpsecure.net má pár vodítek, jak uzamknout WordPress.
- Příručka pro Začátečníky pro Zpevnění WordPress
- Brad Williams: Zámek (Video)
- 21 Způsobů, jak Zabezpečit Váš WordPress Stránky
- Oficiální dokumenty o tom, jak se chránit heslem adresáře s .htaccess
- Jednoduchý návod, jak heslo chránit WordPress admin oblasti a opravit chyba 404
Top
Viz Také # Viz Také
- Security FAQ
- FAQ – Můj web byl hacknut
- Útoky Hrubou Silou
- WordPress Zabezpečení Whitepaper