Maybaygiare.org

Blog Network

WordPress.org

Bezpečnost v WordPress je brát velmi vážně, ale jako s jakýmkoliv jiným systémem, existují potenciální bezpečnostní problémy, které mohou nastat, pokud některá základní bezpečnostní opatření nejsou přijata. Tento článek projde některými běžnými formami zranitelností a věcmi, které můžete udělat, abyste udrželi vaši instalaci WordPress v bezpečí.

Tento článek není konečným rychlým řešením vašich bezpečnostních problémů. Pokud máte konkrétní bezpečnostní obavy nebo pochybnosti,měli byste je prodiskutovat s lidmi, kterým důvěřujete, že mají dostatečné znalosti o počítačové bezpečnosti a WordPress.

co je zabezpečení? # Co je to bezpečnost?

bezpečnost zásadně není o dokonale zabezpečených systémech. Taková věc by mohla být nepraktická nebo nemožná najít a/nebo udržovat. Co je však bezpečnost, je snížení rizika, ne eliminace rizika. Je to o tom, že zaměstná všechny vhodné kontroly k dispozici pro vás, v rámci možností, které vám umožní zlepšit vaše celkové držení těla, čímž se snižuje šance, takže si cíl, následně získání hacknutý.

hostitelé webových stránek

často je dobrým místem pro začátek, pokud jde o zabezpečení webových stránek, vaše hostingové prostředí. Dnes máte k dispozici řadu možností, a zatímco hostitelé nabízejí bezpečnost na určité úrovni, je důležité pochopit, kde končí jejich odpovědnost a začíná vaše. Zde je dobrý článek vysvětlující komplikovanou dynamiku mezi webovými hostiteli a bezpečností vašeho webu. Zabezpečený server chrání soukromí, integritu a dostupnost zdrojů pod kontrolou správce serveru.

Vlastnosti důvěryhodný web hostitele může zahrnovat:

  • Snadno popisuje své obavy o bezpečnost a zabezpečení, které funkce a procesy, které nabízejí s jejich hosting.
  • poskytuje nejnovější stabilní verze veškerého serverového softwaru.
  • poskytuje spolehlivé metody pro zálohování a obnovu.

rozhodněte se, jaké zabezpečení potřebujete na svém serveru, určením softwaru a dat, které je třeba zabezpečit. Zbytek této příručky vám s tím pomůže.

webové aplikace

je snadné se podívat na webové hostitele a přenést na ně odpovědnost za bezpečnost, ale na majiteli webových stránek je také obrovské množství zabezpečení. Weboví hostitelé jsou často zodpovědní za infrastrukturu, na které vaše webové stránky sedí, nejsou zodpovědní za aplikaci, kterou se rozhodnete nainstalovat.

pochopit, kde a proč to je důležité, musíte pochopit, jak stránky dostat hacknutý, Málokdy je to přičítáno infrastruktury, a nejvíce často připisována samotné aplikace (tj. prostředí, které jsou odpovědné za).

Top

Bezpečnostní Témata # Bezpečnostní Témata

Mějte na paměti, některé obecné myšlenky, zároveň s ohledem na bezpečnost pro každý aspekt vašeho systému:

Omezení přístupu

Dělat inteligentní rozhodnutí, které snižují možné vstupní body k dispozici, aby se nebezpečný člověk.

omezení

váš systém by měl být nakonfigurován tak, aby minimalizoval množství poškození, které může být provedeno v případě, že je ohroženo.

příprava a znalosti

udržování záloh a znalost stavu instalace WordPress v pravidelných intervalech. Mít plán zálohování a obnovení instalace v případě katastrofy vám může v případě problému pomoci rychleji se připojit k internetu.

důvěryhodné zdroje

nedostávají pluginy / motivy z nedůvěryhodných zdrojů. Omezte se na WordPress.org úložiště nebo známé společnosti. Pokus o získání pluginů / motivů zvenčí může vést k problémům.

top

zranitelnosti v počítači # zranitelnosti v počítači

ujistěte se, že počítače, které používáte, neobsahují spyware, malware a virové infekce. Žádné množství zabezpečení ve WordPressu nebo na vašem webovém serveru nebude mít sebemenší rozdíl, pokud je v počítači keylogger.

vždy udržujte svůj operační systém a software v něm, zejména webový prohlížeč, aktuální, abyste byli chráněni před zranitelnostmi zabezpečení. Pokud procházíte nedůvěryhodné weby, doporučujeme také používat v prohlížeči nástroje jako no-script (nebo zakázat javascript/flash/java).

Top

Zranitelnosti v WordPress # Zranitelností v WordPress

stejně Jako mnoho moderních softwarových balíčků, WordPress je pravidelně aktualizován řešit nové bezpečnostní problémy, které mohou nastat. Zlepšení zabezpečení softwaru je vždy trvalým problémem, a proto byste měli vždy držet krok s nejnovější verzí WordPress. Starší verze WordPress nejsou udržovány s aktualizacemi zabezpečení.

aktualizace WordPress # aktualizace WordPress

Hlavní článek: aktualizace WordPress.

nejnovější verze WordPress je vždy k dispozici na hlavním webu WordPress na adrese https://wordpress.org. Oficiální zprávy nejsou k dispozici z jiných stránek — nikdy stáhnout nebo nainstalovat WordPress z jakékoliv webové stránky, jiné než https://wordpress.org.

od verze 3.7 má WordPress automatické aktualizace. Pomocí této funkce usnadníte proces udržování aktuálnosti. Můžete také použít ovládací panel WordPress, abyste byli informováni o aktualizacích. Přečtěte si položku na hlavním panelu nebo blogu vývojářů WordPress a zjistěte, jaké kroky musíte podniknout, abyste aktualizovali a zůstali v bezpečí.

Pokud je chyba objevena v WordPress a nová verze je propuštěn k řešení problému, informace potřebné ke zneužití této chyby zabezpečení je téměř jistě ve veřejné doméně. Díky tomu jsou staré verze otevřenější k útoku a je to jeden z hlavních důvodů, proč byste měli WordPress vždy aktualizovat.

Pokud jste správcem odpovědným za více než jednu instalaci WordPress, zvažte použití Subversion pro usnadnění správy.

Top

hlášení bezpečnostních problémů # hlášení bezpečnostních problémů

Pokud si myslíte, že jste našli bezpečnostní chybu ve WordPressu, můžete pomoci nahlášením problému. Informace o tom, jak nahlásit bezpečnostní problémy, naleznete v FAQ o Zabezpečení.

Pokud si myslíte, že jste našli chybu, nahlaste ji. Viz odesílání chyb, jak to udělat. Možná jste odhalili zranitelnost nebo chybu, která by k ní mohla vést.

Top

zranitelnosti webového serveru # zranitelnosti webového serveru

webový server se systémem WordPress a software na něm mohou mít zranitelnosti. Proto se ujistěte, že používáte bezpečné, stabilní verze webového serveru a softwaru na něm, nebo se ujistěte, že používáte důvěryhodného hostitele, který se o tyto věci stará za vás.

Pokud jste na sdíleném serveru (jeden, který je hostitelem jiné webové stránky kromě své vlastní) a webové stránky na stejném serveru je ohrožena, vaše webové stránky může být potenciálně ohrožena příliš, i když se budete řídit vše, co v této příručce. Nezapomeňte se zeptat svého webového hostitele, jaká bezpečnostní opatření přijmou.

Top

síťové chyby # síťové chyby

síť na obou koncích-na straně serveru WordPress a na straně klientské sítě-by měla být důvěryhodná. To znamená aktualizovat pravidla brány firewall na domácím routeru a dávat pozor na to, z jakých sítí pracujete. Internetová kavárna, kam posíláte hesla přes nešifrované připojení, bezdrátové nebo jiné, není důvěryhodná síť.

váš webový hostitel by se měl ujistit, že jeho síť není útočníky ohrožena, a měli byste udělat totéž. Chyby zabezpečení sítě mohou umožnit zachycení hesel a dalších citlivých informací.

Top

hesla # hesla

mnoho potenciálních zranitelností lze zabránit dobrými bezpečnostními návyky. Důležitým aspektem je silné heslo.

cílem vašeho hesla je, aby bylo těžké pro ostatní lidi uhodnout a těžké pro útok hrubou silou uspět. K dispozici je mnoho automatických generátorů hesel, které lze použít k vytvoření bezpečných hesel.

WordPress také obsahuje měřič síly hesla, který se zobrazí při změně hesla v aplikaci WordPress. Použijte to při změně hesla, abyste se ujistili, že jeho síla je dostatečná.

věci, kterým je třeba se při výběru hesla vyhnout:

  • jakákoli permutace vašeho vlastního skutečného jména, uživatelského jména, názvu společnosti nebo názvu vašeho webu.
  • slovo ze slovníku, v jakémkoli jazyce.
  • krátké heslo.
  • libovolné číselné nebo abecední heslo (nejlepší je směs obou).

silné heslo je nezbytné nejen pro ochranu obsahu blogu. Hacker, který získá přístup k vašemu účtu správce, je schopen nainstalovat škodlivé skripty, které mohou potenciálně ohrozit celý váš server.

kromě použití silného hesla je vhodné povolit dvoufázové ověřování jako další bezpečnostní opatření.

Top

FTP # FTP

při připojení k serveru byste měli používat šifrování SFTP, pokud jej poskytuje váš webový hostitel. Pokud si nejste jisti, zda váš webový hostitel poskytuje SFTP nebo ne, zeptejte se jich.

Pomocí SFTP je stejné jako FTP, s výjimkou hesla a další data jsou šifrována během přenosu mezi počítačem a webové stránky. To znamená, že Vaše heslo není nikdy odesláno v clear a nemůže být zachyceno útočníkem.

Top

oprávnění k souborům # oprávnění k souborům

některé elegantní funkce aplikace WordPress pocházejí z umožnění zápisu různých souborů webovým serverem. Povolení přístupu k vašim souborům je však potenciálně nebezpečné, zejména v prostředí sdíleného hostingu.

nejlepší je uzamknout oprávnění k souborům co nejvíce a uvolnit tato omezení při příležitostech, které potřebujete povolit přístup k zápisu, nebo vytvořit konkrétní složky s menšími omezeními za účelem provádění věcí, jako je nahrávání souborů.

zde je jedno možné schéma oprávnění.

všechny soubory by měly být vlastněny vaším uživatelským účtem a měly by být zapisovatelné vámi. Soubor, který potřebuje přístup k zápisu z WordPress by měl být zapisovatelný webový server, pokud váš hosting nastavit to vyžaduje, to může znamenat, že tyto soubory musí být skupina-vlastní uživatelský účet používaný webový server proces.

/

kořenový adresář WordPress: všechny soubory musí být zapisovatelný pouze uživatelem svém uživatelském účtu, s výjimkou .htaccess pokud chcete WordPress automaticky generovat pravidla pro přepis pro vás.

/wp-admin/

oblast správy WordPress: všechny soubory by měly být zapisovatelné pouze vaším uživatelským účtem.

/wp-includes/

převážná část logiky aplikace WordPress: všechny soubory by měly být zapisovatelné pouze vaším uživatelským účtem.

/wp-content/

obsah dodaný uživatelem: určený k zápisu vaším uživatelským účtem a procesem webového serveru.

V /wp-content/ najdete:

/wp-content/themes/

Téma soubory. Pokud chcete použít vestavěný editor motivů, musí být všechny soubory zapisovatelné procesem webového serveru. Pokud nechcete používat vestavěný editor motivů, všechny soubory lze zapisovat pouze vaším uživatelským účtem.

/wp-content/plugins/

Plugin files: všechny soubory by měly být zapisovatelné pouze vaším uživatelským účtem.

Ostatní adresáře, které mohou být přítomny s /wp-content/ by měly být zdokumentovány podle toho, který plugin nebo téma je vyžaduje. Oprávnění se mohou lišit.

Top

Změna oprávnění souboru # Změna oprávnění souboru

Pokud máte přístup shellu k serveru, můžete rekurzivně změnit oprávnění souboru pomocí následujícího příkazu:

Pro Adresáře:

find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;

Pro Soubory:

find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;

Top

Ohledně Automatické Aktualizace # O Automatické Aktualizace

Když řeknete WordPress provádět automatické aktualizace, všechny souborové operace jsou prováděny jako uživatel, který vlastní soubory, ne jako webový server je uživatel. Všechny soubory jsou nastaveny na 0644 a všechny adresáře jsou nastaveny na 0755 a zapisovatelné pouze uživatelem a čitelné všemi ostatními, včetně webového serveru.

Top

Zabezpečení Databáze # Zabezpečení Databáze

Pokud spustíte více blogů na jednom serveru, to je moudré, aby zvážila, aby byli v oddělených databázích každý řídí jiný uživatel. Toho lze nejlépe dosáhnout při provádění počáteční instalace WordPress. Toto je strategie zadržování: pokud Vetřelec úspěšně praskne jednu instalaci WordPress, je to mnohem těžší změnit vaše další blogy.

Pokud spravujete MySQL sami, ujistěte se, že rozumíte konfiguraci MySQL a že nepotřebné funkce (například přijímání vzdálených připojení TCP) jsou zakázány. Viz Secure MySQL databáze Design pro pěkný úvod.

Top

Omezení Databáze Uživatelských Oprávnění # Omezení Databáze Uživatelských Oprávnění

Pro normální WordPress operace, jako je vyslání blogu, nahrávání mediálních souborů, vkládání komentářů, vytvářet nové uživatele WordPress a instalace WordPress pluginy, databáze MySQL uživatel potřebuje pouze čtení dat a data oprávnění k zápisu do databáze MySQL; Vyberte, vložte, aktualizujte a odstraňte.

proto lze zrušit jakoukoli jinou strukturu databáze a administrátorská oprávnění, jako je DROP, ALTER a GRANT. Zrušením takových privilegií také zlepšujete politiky omezování.

Poznámka: některé pluginy, témata a hlavní aktualizace WordPress mohou vyžadovat strukturální změny databáze, jako je přidání nových tabulek nebo změna schématu. V takovém případě budete muset před instalací pluginu nebo aktualizací softwaru dočasně povolit uživateli databáze požadovaná oprávnění.

varování: Pokus o aktualizace bez těchto oprávnění může způsobit problémy při změnách schématu databáze. Proto se nedoporučuje tyto výsady zrušit. Pokud máte pocit, že je třeba to udělat z bezpečnostních důvodů, pak se ujistěte, že máte pevný plán zálohování na místě první, s pravidelnými celé databáze zálohy, které jste testovali jsou platné a které lze snadno obnovit. Selhal upgrade databáze mohou obvykle být vyřešeny pomocí obnovení databáze zpět ke staré verzi, poskytnutí řádné oprávnění, a pak nechat WordPress zkuste aktualizaci databáze znovu. Obnovením databáze se vrátí zpět do této staré verze a obrazovky správy WordPress poté detekují starou verzi a umožní vám na ní spustit potřebné příkazy SQL. Většina upgradů WordPress nemění schéma, ale některé Ano. Pouze hlavní aktualizace bodů (například 3.7 až 3.8) změní schéma. Drobné aktualizace (3.8 až 3.8.1) obecně nebudou. Přesto mějte pravidelnou zálohu.

Top

Zabezpečení wp-admin # Zabezpečení wp-admin

Přidat server-side ochrana heslem (jako BasicAuth) /wp-admin/ přidá druhá vrstva ochrany kolem svého blogu admin oblasti, přihlašovací obrazovku, a vaše soubory. To nutí útočníka nebo robota zaútočit na tuto druhou vrstvu ochrany místo vašich skutečných souborů správce. Mnoho útoků WordPress je prováděno autonomně škodlivými softwarovými roboty.

Jednoduše zajištění wp-admin/ adresář může také rozbít některé WordPress funkcí, jako je AJAX handler na wp-admin/admin-ajax.php. V sekci Zdroje najdete další dokumentaci o tom, jak správně chránit váš adresář wp-admin/ heslem.

nejčastější útoky proti blogu WordPress obvykle spadají do dvou kategorií.

  1. odesílání speciálně vytvořených požadavků HTTP na váš server se specifickým užitečným zatížením pro konkrétní zranitelnosti. Patří sem staré / zastaralé pluginy a software.
  2. pokoušíte se získat přístup k vašemu blogu pomocí hádání hesla „hrubou silou“.

konečnou implementací této ochrany heslem „druhé vrstvy“ je vyžadovat šifrované připojení HTTPS SSL pro správu, takže veškerá komunikace a citlivá data jsou šifrována. Viz Správa přes SSL.

Top

Zabezpečení wp-includes # Zabezpečení wp-includes

druhou vrstvu ochrany může být přidán, kde skripty jsou obecně nejsou určeny k být přistupovat každý uživatel. Jedním ze způsobů, jak toho dosáhnout, je blokovat tyto skripty pomocí mod_rewrite v .soubor htaccess. Poznámka: Chcete-li zajistit, aby níže uvedený kód nebyl přepsán WordPress, umístěte jej mimo značky # BEGIN WordPress a # END WordPress.soubor htaccess. WordPress může mezi těmito značkami přepsat cokoli.

Top

zabezpečení wp-config.php # zabezpečení wp-config.php

soubor wp-config.php můžete přesunout do adresáře nad instalací WordPress. To znamená, že pro web nainstalovaný v kořenovém adresáři vašeho webového prostoru můžete uložit wp-config.php mimo složku web-root.

Poznámka: Někteří lidé tvrdí, že pohybující se wp-config.php má minimální bezpečnostní výhody, a pokud není provedeno pečlivě, může ve skutečnosti představovat vážná zranitelnost. Jiní nesouhlasí.

Všimněte si, že wp-config.php lze uložit o jednu úroveň adresáře nad instalací WordPress (kde wp-includes sídlí). Také se ujistěte, že tento soubor můžete číst pouze vy (a webový server) (obecně to znamená oprávnění 400 nebo 440).

Pokud používáte server s .htaccess, můžete to dát do tohoto souboru (na samém vrcholu), abyste odepřeli přístup komukoli, kdo pro něj surfuje:

<files wp-config.php>order allow,denydeny from all</files>

Top

Zakázat Editaci Souboru, # Zakázání Editace Souborů

palubní Desce WordPress ve výchozím nastavení umožňuje správcům upravovat PHP soubory, jako plugin a téma soubory. Toto je často první nástroj, který útočník použije, pokud se bude moci přihlásit, protože umožňuje spuštění kódu. WordPress má konstantní zakázat úpravy z řídicího panelu. Umístění tohoto řádku do wp-config.php je ekvivalentní odstranění ‚edit_themes‘, ‚edit_plugins‘ a ‚edit_files‘ schopnosti všech uživatelů:

define('DISALLOW_FILE_EDIT', true);

to nezabrání útočníkovi v nahrávání škodlivých souborů na váš web, ale může zastavit některé útoky.

Top

pluginy # pluginy

nejprve se ujistěte, že jsou vaše pluginy vždy aktualizovány. Pokud nepoužíváte konkrétní plugin, odstraňte jej ze systému.

Top

Firewall # Firewall

existuje mnoho pluginů a služeb, které mohou fungovat jako firewall pro vaše webové stránky. Některé z nich pracují úpravou vašeho .htaccess
soubor a omezení některých přístupů na úrovni Apache, než je zpracován WordPress. Dobrým příkladem je iThemes Security nebo All in One WP Security. Některé pluginy brány firewall působí na úrovni WordPress, jako WordFence a Shield, a snaží se filtrovat Útoky, Jak se WordPress načítá, ale dříve, než bude plně zpracován.

kromě pluginů, můžete také nainstalovat WAF (web firewall) na váš webový server filtrovat obsah před tím, než je zpracován WordPress. Nejoblíbenější open source WAF je ModSecurity.

brána firewall webu může být také přidána jako prostředník mezi provozem z internetu a hostingovým serverem. Tyto služby všechny funkce jako reverzní proxy, ve které akceptují původní žádosti a přesměrovat je na server, zbavuje všech škodlivých žádostí. Dosahují toho úpravou záznamů DNS prostřednictvím záznamu A nebo úplného swapu DNS, což umožní, aby veškerý provoz nejprve prošel novou sítí. To způsobí, že veškerý provoz bude filtrován bránou firewall před dosažením vašeho webu. Několik společností nabízí takové služby, jako CloudFlare, Sucuri a Incapsula.

navíc tito poskytovatelé služeb třetích stran ve výchozím nastavení fungují jako distribuční síť obsahu (CDN), což přináší optimalizaci výkonu a globální dosah.

top

pluginy, které potřebují přístup k zápisu # pluginy, které potřebují přístup k zápisu

Pokud plugin chce přístup k vašim souborům a adresářům WordPress, přečtěte si kód, abyste se ujistili, že je legitimní, nebo se poraďte s někým, komu důvěřujete. Možná místa ke kontrole jsou fóra podpory a kanál IRC.

Top

code execution plugins # Code execution plugins

jak jsme řekli, součástí cíle vytvrzení WordPress je obsahovat škody způsobené v případě úspěšného útoku. Pluginy, které umožňují spuštění libovolného PHP nebo jiného kódu ze záznamů v databázi, účinně zvětšují možnost poškození v případě úspěšného útoku.

způsob, jak se vyhnout použití takového pluginu, je použít vlastní šablony stránek, které volají funkci. Část zabezpečení, které poskytuje, je aktivní pouze tehdy, když zakážete úpravy souborů v rámci WordPress.

Top

Security through obscurity # Security through obscurity

Security through obscurity je obecně nezdravá primární strategie. Nicméně, tam jsou oblasti, ve WordPress, kde zakrývající informace by mohly pomoci s zabezpečení:

  1. Přejmenovat účet správce: Když vytváříte administrativní účet, vyhnout se snadno uhodnout pojmy jako admin nebo webmaster jako uživatelská jména, protože jsou obvykle předmětem první útoky. Na existující WordPress nainstalovat, můžete přejmenovat existující účet v MySQL příkazového řádku klienta příkazem UPDATE wp_users SET user_login = 'newuser' WHERE user_login = 'admin';, nebo pomocí MySQL frontend, jako je phpMyAdmin.
  2. Změnit table_prefix: Mnoho publikované WordPress-konkrétní SQL-injection útoky učinit předpoklad, že table_prefix wp_ výchozí. Tato změna může blokovat alespoň některé útoky SQL injection.

Top

zálohování dat # Zálohování dat

zálohujte svá data pravidelně, včetně databází MySQL. Viz Hlavní článek: Zálohování Databáze.

integrita dat je rozhodující pro důvěryhodné zálohy. Šifrování zálohy, vedení nezávislého záznamu MD5 hashů pro každý záložní soubor a / nebo umístění záloh na média pouze pro čtení zvyšuje vaši jistotu, že s vašimi daty nebylo manipulováno.

strategie zálohování zvuku může zahrnovat udržování sady pravidelně načasovaných snímků celé instalace WordPress (včetně základních souborů WordPress a vaší databáze) na důvěryhodném místě. Představte si web, který vytváří týdenní snímky. Taková strategie znamená, že pokud web je ohrožena na 1. Května, ale kompromis je zjištěna až 12. Května, vlastník webu bude mít pre-kompromis zálohy, které mohou pomoci při obnově stránky a případně i post-kompromis zálohy, které vám pomoci při stanovení, jak byl web napaden.

Top

Protokolování # Přihlášení

Protokoly jsou váš nejlepší přítel, když to přijde k pochopení, co se děje s vaší webové stránky, zejména pokud se snažíte provést forenzní. Na rozdíl od všeobecného přesvědčení vám protokoly umožňují vidět, co se stalo a kdo a kdy. Bohužel protokoly vám neřeknu, kdo, uživatelské jméno, přihlášení, ale to vám umožní identifikovat IP a čas, a co je důležitější, kroky útočník mohl vzít. Budete mít možnost vidět některý z těchto útoků prostřednictvím protokolů-Cross Site Scripting (XSS), Remote File Inclusion (RFI), local file Inclusion (LFI) a pokusy o procházení adresářů. Budete také moci vidět pokusy o hrubou sílu. K dispozici jsou různé příklady a návody, které vám pomohou provést proces analýzy a analýzy vašich protokolů raw.

Pokud můžete získat více pohodlné s vaše záznamy, budete moci vidět věci jako, když téma a plugin editory jsou používány, když někdo aktualizuje widgety a když příspěvky a stránky jsou přidány. Všechny klíčové prvky při forenzní práci na vašem webovém serveru. Existuje několik bezpečnostních pluginů WordPress, které vám s tím pomohou, jako je auditní nástroj Sucuri nebo plugin Audit Trail.

existují dvě klíčová řešení s otevřeným zdrojovým kódem, která budete chtít na vašem webovém serveru z hlediska zabezpečení, jedná se o vrstvený přístup k zabezpečení.

OSSEC může běžet na libovolné distribuci NIX a bude také spuštěn na Windows. Při správné konfiguraci je velmi silný. Myšlenka je korelovat a agregovat všechny protokoly. Musíte si být jisti, že jej nakonfigurujete tak, aby zachytil všechny access_logs a error_logs a pokud máte na účtu serveru více webů. Budete také chtít být jisti, že odfiltrovat hluk. Ve výchozím nastavení uvidíte hodně šumu a budete jej chtít nakonfigurovat tak, aby byl skutečně efektivní.

Top

monitorování # monitorování

někdy prevence nestačí a můžete být stále hacknuti. Proto je detekce/monitorování narušení velmi důležité. Umožní vám rychleji reagovat, zjistit, co se stalo, a obnovit váš web.

Top

monitorování protokolů # sledování protokolů

Pokud jste na vyhrazeném nebo virtuálním privátním serveru, na kterém máte luxus přístupu root, máte možnost snadno konfigurovat věci, abyste viděli, co se děje. OSSEC to snadno usnadňuje a zde je malý zápis, který vám může pomoci OSSEC pro zabezpečení webových stránek-Část I.

Top

sledování souborů pro změny # sledování souborů pro změny

Když dojde k útoku, vždy zanechá stopy. Buď v protokolech nebo v systému souborů (nové soubory, upravené soubory atd.). Pokud například používáte OSSEC, bude sledovat vaše soubory a upozorní vás, když se změní.

cíle # cíle

cíle sledování souborového systému zahrnují:

  • Monitor vyměnil a přidal soubory
  • Log změny a doplňky
  • Schopnost vrátit granulární změny
  • Automatické upozornění

Top

Obecné přístupy # Obecné přístupy

Administrátoři mohou monitorovat souborový systém prostřednictvím obecných technologií, jako jsou:

  • Systémové nástroje
  • verzování
  • OS/kernel úrovni monitorování

Top

Specifické nástroje # Specifických nástrojů

Volby pro monitorovací systém souborů patří:

  • diff – vybudovat čisté testovací kopie webu a porovnat proti produkci
  • Git – zdroj kód řízení
  • inotify a incron – OS kernel úrovni souboru sledování služby, které lze spustit příkazy na události souborového systému
  • Pozorovatel – Python inotify knihovna
  • OSSEC – Open Source Host-based Intrusion Detection System, který provádí analýzu protokolu, soubor integrity kontrola, sledování politik, rootkit detekce, real-time upozornění a aktivní reakci.

Top

úvahy # úvahy

při konfiguraci strategie monitorování založené na souboru existuje mnoho úvah, včetně následujících.

Spustit sledování skriptu/služby jako root

to by bylo těžké pro útočníky zakázat nebo upravit systém souborů monitorovací řešení.

zakázat monitorování během plánované údržby/upgradů

tím se zabrání zbytečným upozorněním při pravidelné údržbě na webu.

monitorujte pouze spustitelné typy souborů

může být poměrně bezpečné sledovat pouze spustitelné typy souborů, například .php soubory, atd.. Odfiltrování nespustitelných souborů může snížit zbytečné položky protokolu a upozornění.

používejte přísná oprávnění systému souborů

Přečtěte si o Zabezpečení Oprávnění a vlastnictví souborů. Obecně se vyhněte povolování oprávnění k provádění a zápisu v maximální možné míře.

Top

Sledování váš webový server externě # Sledování webového serveru externě

Pokud se útočník snaží poškodit vaše stránky, nebo přidat malware, můžete také detekovat tyto změny pomocí web-based integrity monitor řešení. To přichází v mnoha formách dnes, Použijte svůj oblíbený vyhledávač a podívejte se na detekci a nápravu webového malwaru a pravděpodobně získáte dlouhý seznam poskytovatelů služeb.

Top

Zdroje # Zdroje

  • Jak Zlepšit Bezpečnost WordPress (Infographic)
  • Bezpečnostní Pluginy
  • WordPress Zabezpečení Řezání Přes BS
  • e-Knihy: Uzamčení WordPress
  • wpsecure.net má pár vodítek, jak uzamknout WordPress.
  • Příručka pro Začátečníky pro Zpevnění WordPress
  • Brad Williams: Zámek (Video)
  • 21 Způsobů, jak Zabezpečit Váš WordPress Stránky
  • Oficiální dokumenty o tom, jak se chránit heslem adresáře s .htaccess
  • Jednoduchý návod, jak heslo chránit WordPress admin oblasti a opravit chyba 404

Top

Viz Také # Viz Také

  • Security FAQ
  • FAQ – Můj web byl hacknut
  • Útoky Hrubou Silou
  • WordPress Zabezpečení Whitepaper

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.