Maybaygiare.org

Blog Network

WordPress.org

tietoturva WordPressissä otetaan hyvin vakavasti, mutta kuten missä tahansa muussakin järjestelmässä on mahdollisia tietoturvaongelmia, joita voi syntyä, jos joitain perusturvavaroituksia ei toteuteta. Tässä artikkelissa käydään läpi joitakin yhteisiä muotoja haavoittuvuuksia, ja asioita voit tehdä auttaa pitämään WordPress asennus turvallinen.

Tämä artikkeli ei ole lopullinen pikaratkaisu tietoturvaongelmiisi. Jos sinulla on erityisiä tietoturvahuolia tai epäilyksiä, sinun pitäisi keskustella niistä ihmisten kanssa, joiden luotat olevan riittävästi tietoa tietoturvasta ja WordPress.

mitä on turvallisuus? Mikä on turvallisuus?

pohjimmiltaan tietoturvassa ei ole kyse täysin turvallisista järjestelmistä. Sellainen voi hyvinkin olla epäkäytännöllistä tai mahdotonta löytää ja/tai ylläpitää. Turvallisuus on kuitenkin riskien vähentämistä, ei riskien poistamista. Se on noin työllistävät kaikki tarvittavat ohjausobjektit käytettävissä, kohtuuden rajoissa, joiden avulla voit parantaa yleistä ryhtiä vähentämällä kertoimet tehdä itse kohde, myöhemmin saada hakkeroitu.

verkkosivujen isännät

usein hyvä paikka aloittaa verkkosivuston turvallisuuden suhteen on hostausympäristösi. Tänään, on olemassa useita vaihtoehtoja käytettävissä, ja vaikka isännät tarjoavat turvallisuutta tietyn tason, on tärkeää ymmärtää, missä heidän vastuu päättyy ja sinun alkaa. Tässä on hyvä artikkeli selittää monimutkainen dynamiikka web hosts ja turvallisuus sivuston. Suojattu palvelin suojaa palvelimen ylläpitäjän hallinnassa olevien resurssien yksityisyyttä, eheyttä ja käytettävyyttä.

luotettavan verkkoisännän ominaisuuksia voivat olla esimerkiksi:

  • keskustelee auliisti tietoturvaongelmistasi ja siitä, mitä tietoturvaominaisuuksia ja-prosesseja ne tarjoavat isännöintinsä kanssa.
  • tarjoaa uusimmat vakaat versiot kaikista palvelinohjelmistoista.
  • tarjoaa luotettavia menetelmiä varmuuskopiointiin ja palautumiseen.

päätä, minkä tietoturvan tarvitset palvelimellesi määrittämällä suojattavat ohjelmistot ja tiedot. Loput tämän oppaan auttaa sinua tässä.

verkkosivujen Sovellukset

on helppo katsoa web-isäntiä ja siirtää tietoturvavastuu heille, mutta valtava määrä tietoturvaa on myös verkkosivuston omistajan harteilla. Web-isännät ovat usein vastuussa infrastruktuurista, jossa sivustosi sijaitsee, he eivät ole vastuussa sovelluksen valitset asentaa.

ymmärtääksesi, missä ja miksi tämä on tärkeää, sinun on ymmärrettävä, miten verkkosivustot hakkeroidaan, harvoin se johtuu infrastruktuurista ja useimmiten johtuu itse sovelluksesta (ts.ympäristöstä, josta olet vastuussa).

Top

Tietoturvateemat # Tietoturvateemat

pidä mielessä joitakin yleisiä ajatuksia, kun harkitset tietoturvaa järjestelmäsi jokaiselle osa-alueelle:

pääsyn rajoittaminen

älykkäiden valintojen tekeminen, jotka vähentävät haitallisen henkilön mahdollisia sisäänpääsypaikkoja.

säilytys

järjestelmäsi tulee konfiguroida minimoimaan mahdollisen vahingon määrä, jos se vaarantuu.

valmistelu ja tieto

varmuuskopioiden pitäminen ja WordPress-asennuksen tilan tunteminen säännöllisin väliajoin. Ottaa suunnitelma varmuuskopioida ja palauttaa asennuksen tapauksessa katastrofi voi auttaa sinua saamaan takaisin verkossa nopeammin, jos ongelma.

Luotetut lähteet

eivät saa liitännäisiä / teemoja luotetuista lähteistä. Rajoita itsesi WordPress.org repository tai tunnettuja yrityksiä. Yrittää saada plugins / teemoja ulkopuolelta voi johtaa ongelmiin.

Top

haavoittuvuudet tietokoneessa # haavoittuvuudet tietokoneessa

varmista, että käyttämissäsi tietokoneissa ei ole vakoiluohjelmia, haittaohjelmia eikä virustartuntoja. Ei määrä turvallisuutta WordPress tai web-palvelin tekee pienintäkään eroa, jos on keylogger tietokoneeseen.

pidä käyttöjärjestelmä ja siinä olevat ohjelmistot, erityisesti verkkoselain, aina ajan tasalla suojautuaksesi tietoturvahaavoittuvuuksilta. Jos selaat epäluotettavia sivustoja, suosittelemme myös työkaluja, kuten no-script (tai poistamalla javascript/flash/java) selaimessasi.

Top

haavoittuvuudet WordPress # haavoittuvuudet WordPress

kuten monet nykyaikaiset ohjelmistopaketit, WordPress päivitetään säännöllisesti käsittelemään uusia tietoturvaongelmia, joita voi syntyä. Ohjelmistojen turvallisuuden parantaminen on aina jatkuva huolenaihe, ja tätä varten sinun pitäisi aina pitää ajan tasalla uusimman version WordPress. WordPressin vanhempia versioita ei ylläpidetä tietoturvapäivityksillä.

päivittäminen WordPress # päivittäminen WordPress

pääartikkeli: päivittäminen WordPress.

WordPressin uusin versio on aina saatavilla WordPressin pääsivustolta osoitteesta https://wordpress.org. Virallisia julkaisuja ei ole saatavilla muilta sivustoilta – Älä koskaan lataa tai asenna WordPressiä muilta verkkosivuilta kuin https://wordpress.org.

versiosta 3.7 lähtien WordPress on sisältänyt automaattisia päivityksiä. Käytä tätä toimintoa, jotta pysyt ajan tasalla. Voit myös käyttää WordPress kojelauta pitää ajan tasalla päivityksistä. Lue merkintä kojelautaan tai WordPress Kehittäjä blogi määrittää, mitä toimenpiteitä sinun on toteutettava päivittää ja pysyä turvassa.

Jos haavoittuvuus löytyy WordPressistä ja asiasta julkaistaan uusi versio, haavoittuvuuden hyödyntämiseen tarvittavat tiedot ovat lähes varmasti julkisia. Tämä tekee vanhoista versioista avoimempia hyökkäyksille, ja on yksi tärkeimmistä syistä sinun pitäisi aina pitää WordPress ajan tasalla.

Jos olet ylläpitäjä, joka vastaa useammasta kuin yhdestä WordPress-asennuksesta, harkitse Subversionin käyttöä hallinnan helpottamiseksi.

Top

Reporting Security Issues # Reporting Security Issues

Jos luulet löytäneesi Tietoturvavian WordPress-palvelusta, voit auttaa raportoimalla asiasta. Katso tietoturva usein kysytyt kysymykset siitä, miten raportoit tietoturvaongelmista.

Jos epäilet löytäneesi vian, ilmoita siitä. Katso vikojen lähettämisestä, miten tämä tehdään. Olet saattanut paljastaa haavoittuvuuden tai virheen, joka voi johtaa sellaiseen.

Top

WWW-palvelimen haavoittuvuudet # WWW-palvelimen haavoittuvuudet

WordPressiä pyörittävällä www-palvelimella ja sen ohjelmistolla voi olla haavoittuvuuksia. Varmista siis, että käytössäsi on turvalliset, vakaat versiot www-palvelimestasi ja sen ohjelmistosta, tai varmista, että käytät luotettua isäntää, joka huolehtii näistä asioista puolestasi.

Jos olet jaetulla palvelimella (joka isännöi muita verkkosivustoja oman palvelimesi lisäksi) ja samalla palvelimella oleva verkkosivusto vaarantuu, sivustosi voi mahdollisesti vaarantua myös, vaikka noudattaisit kaikkea tässä oppaassa. Muista kysyä web isäntä mitä turvatoimia he ryhtyvät.

Top

Verkkohaavoittuvuudet # Verkkohaavoittuvuudet

verkon molempiin päihin — WordPress — palvelinpuolelle ja asiakasverkon puolelle-kannattaa luottaa. Tämä tarkoittaa palomuurisääntöjen päivittämistä kotireitittimeen ja tarkkana olemista siinä, missä verkoissa työskentelet. Nettikahvila, johon lähetät salasanoja salaamattoman yhteyden kautta, langattomasti tai muuten, ei ole luotettava verkko.

verkkoisäntäsi tulisi varmistaa, että hyökkääjät eivät vaaranna heidän verkkoaan, ja sinun tulisi tehdä samoin. Verkon haavoittuvuudet voivat mahdollistaa salasanojen ja muiden arkaluonteisten tietojen sieppaamisen.

Top

salasanat # salasanat

monet mahdolliset haavoittuvuudet voidaan välttää hyvillä tietoturvatavoilla. Vahva salasana on tärkeä osa tätä.

salasanalla pyritään siihen, että muiden on vaikea arvata ja raa ’ an voimahyökkäyksen onnistuminen on vaikeaa. Saatavilla on monia automaattisia salasanageneraattoreita, joita voidaan käyttää turvallisten salasanojen luomiseen.

WordPress sisältää myös salasanan vahvuusmittarin, joka näkyy, kun vaihdat salasanaasi WordPressissä. Käytä tätä vaihtaessasi salasanaasi varmistaaksesi, että sen vahvuus on riittävä.

asioita, joita kannattaa välttää salasanaa valitessa:

  • Oman oikean nimen, käyttäjätunnuksen, yrityksen nimen tai verkkosivustosi nimen permutaatio.
  • sana sanakirjasta, millä tahansa kielellä.
  • lyhyt salasana.
  • mikä tahansa numeerinen tai aakkosellinen salasana (molempien sekoitus on paras).

vahva salasana ei ole tarpeen vain blogisi sisällön suojaamiseksi. Hakkeri, joka pääsee järjestelmänvalvojan tilillesi, pystyy asentamaan haitallisia skriptejä, jotka voivat mahdollisesti vaarantaa koko palvelimesi.

vahvan salasanan lisäksi on hyvä ottaa käyttöön kaksivaiheinen tunnistautuminen lisäturvatoimenpiteenä.

Top

FTP # FTP

kun yhdistät palvelimeesi, sinun tulee käyttää SFTP-salausta, jos verkko-isäntäsi tarjoaa sen. Jos olet epävarma, onko web-isäntä tarjoaa SFTP vai ei, vain kysyä heiltä.

SFTP: n käyttö on sama kuin FTP, paitsi että salasanasi ja muut tiedot on salattu, koska ne siirretään tietokoneesi ja verkkosivustosi välillä. Tämä tarkoittaa, että salasanaasi ei koskaan lähetetä tyhjänä, eikä hyökkääjä voi siepata sitä.

Top

tiedostojen käyttöoikeudet # tiedostojen käyttöoikeudet

jotkut WordPressin siisteistä ominaisuuksista tulevat siitä, että WWW-palvelin voi kirjoittaa erilaisia tiedostoja. Kirjoitusoikeuden salliminen tiedostoihisi on kuitenkin potentiaalisesti vaarallista, erityisesti jaetussa hosting-ympäristössä.

on parasta lukita tiedoston käyttöoikeudet niin paljon kuin mahdollista ja löysätä näitä rajoituksia tilanteissa, jotka tarvitset kirjoitusoikeuden sallimiseksi, tai luoda tiettyjä kansioita, joissa on vähemmän rajoituksia, esimerkiksi tiedostojen lataamista varten.

tässä on yksi mahdollinen lupajärjestelmä.

kaikkien tiedostojen tulee olla käyttäjätilisi omistuksessa ja sinun kirjoitettavissa. Minkä tahansa tiedoston, joka tarvitsee kirjoitusoikeutta WordPress pitäisi olla kirjoitettavissa web-palvelimen, jos hosting perustaa sitä, se voi tarkoittaa, että nämä tiedostot täytyy olla ryhmän omistuksessa käyttäjätilin käyttää web-palvelimen prosessi.

/

the root WordPress directory: kaikkien tiedostojen tulee olla kirjoitettavissa vain käyttäjätililläsi, paitsi .htaccess jos haluat, että WordPress luo automaattisesti uudelleenkirjoitussäännöt sinulle.

/wp-admin/

WordPress administration area: kaikki tiedostot tulee kirjoittaa vain käyttäjätilin mukaan.

/wp-includes/

suurin osa WordPress-sovelluslogiikasta: kaikki tiedostot tulee kirjoittaa vain käyttäjätilin mukaan.

/wp-content/

käyttäjän toimittama sisältö: tarkoitettu käyttäjätilin ja www-palvelinprosessin kirjoitettavaksi.

sisällä /wp-content/ löydät:

/wp-content/themes/

teematiedostot. Jos haluat käyttää sisäänrakennettua teemaeditoria, kaikki tiedostot on kirjoitettava www-palvelinprosessilla. Jos et halua käyttää sisäänrakennettua teemaeditoria, kaikki tiedostot voidaan kirjoittaa vain käyttäjätilisi avulla.

/wp-content/plugins/

Liitännäistiedostot: kaikki tiedostot tulee kirjoittaa vain käyttäjätilin mukaan.

muut hakemistot, joissa voi olla /wp-content/, tulee dokumentoida sen liitännäisen tai teeman mukaan, joka niitä vaatii. Käyttöoikeudet voivat vaihdella.

Top

Tiedostojen käyttöoikeuksien muuttaminen # Tiedostojen käyttöoikeuksien muuttaminen

Jos sinulla on komentotulkin käyttöoikeus palvelimeesi, voit muuttaa tiedoston käyttöoikeuksia rekursiivisesti seuraavalla komennolla:

hakemistojen osalta:

find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;

tiedostojen osalta:

find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;

Top

automaattisten päivitysten osalta # automaattisten päivitysten osalta

kun käsket WordPress tekemään automaattisen päivityksen, kaikki Tiedostotoiminnot suoritetaan tiedostot omistavan käyttäjän, ei WWW-palvelimen käyttäjä. Kaikki tiedostot on asetettu arvoon 0644 ja kaikki hakemistot on asetettu arvoon 0755, ja vain käyttäjä voi kirjoittaa ja kaikki muut voivat lukea, WWW-palvelin mukaan lukien.

Top

Database Security # Database Security

Jos käytät useita blogeja samalla palvelimella, on viisasta harkita niiden pitämistä erillisissä tietokannoissa, joita kutakin hallinnoi eri käyttäjä. Tämä tapahtuu parhaiten, kun suoritetaan alkuperäisen WordPress asennus. Tämä on rajoitusstrategia: jos tunkeilija onnistuu murtamaan yhden WordPress-asennuksen, tämä tekee siitä paljon vaikeampaa muuttaa muita blogeja.

jos hallinnoit MySQL: ää itse, varmista, että ymmärrät MySQL-määrityksesi ja että tarpeettomat ominaisuudet (kuten TCP-etäyhteyksien hyväksyminen) on poistettu käytöstä. Katso turvallinen MySQL tietokannan suunnittelu mukava johdanto.

Top

rajoitetaan tietokannan käyttöoikeuksia # rajoitetaan tietokannan käyttöoikeuksia

normaaleihin WordPress-toimintoihin, kuten blogikirjoitusten lähettämiseen, mediatiedostojen lataamiseen, kommenttien lähettämiseen, uusien WordPress-käyttäjien luomiseen ja WordPress-liitännäisten asentamiseen, MySQL-tietokannan käyttäjä tarvitsee vain tietojen luku-ja kirjoitusoikeudet MySQL-tietokantaan; Valitse, Lisää, päivitä ja poista.

näin ollen kaikki muut tietokantarakenteen ja hallintaoikeudet, kuten DROP, ALTER ja GRANT, voidaan peruuttaa. Peruuttamalla tällaiset oikeudet parannat myös eristämiskäytäntöjä.

Huomautus: jotkin liitännäiset, teemat ja suuret WordPress-päivitykset saattavat vaatia tietokannan rakenteellisten muutosten tekemistä, kuten uusien taulukoiden lisäämistä tai skeeman muuttamista. Tällaisessa tapauksessa, ennen liitännäisen asentamista tai ohjelmiston päivittämistä, sinun on väliaikaisesti sallittava tietokannan käyttäjälle vaaditut oikeudet.

varoitus: Päivitysten yrittäminen ilman näitä oikeuksia voi aiheuttaa ongelmia, kun tietokannan skeema muuttuu. Näiden oikeuksien peruuttamista ei siis suositella. Jos et tunne tarvetta tehdä tämän turvallisuussyistä, niin varmista, että sinulla on vankka varasuunnitelma paikallaan ensin, säännöllinen koko tietokannan varmuuskopiot, jotka olet testannut ovat voimassa ja jotka voidaan helposti palauttaa. Epäonnistunut tietokannan päivitys voidaan yleensä ratkaista palauttamalla tietokanta takaisin vanhaan versioon, myöntämällä asianmukaiset oikeudet, ja sitten kerroit WordPress yrittää tietokannan päivitys uudelleen. Palauttaminen tietokanta palauttaa sen takaisin, että vanha versio ja WordPress hallinnon näytöt sitten tunnistaa vanhan version ja voit suorittaa tarvittavat SQL komentoja sitä. Useimmat WordPress päivitykset eivät muuta skeemaa, mutta jotkut tekevät. Vain suuret pistepäivitykset (esimerkiksi 3.7-3.8) muuttavat skeemaa. Pieniä päivityksiä (3.8-3.8.1) ei yleensä tehdä. Kuitenkin, pitää säännöllisesti varmuuskopiointi.

Top

wp-admin # turvaaminen wp-admin

palvelinpuolen salasanasuojauksen (kuten BasicAuth) lisääminen /wp-admin/ lisää toisen suojakerroksen blogisi ylläpitoalueen, sisäänkirjautumisruudun ja tiedostojesi ympärille. Tämä pakottaa hyökkääjän tai botin hyökkäämään tämän toisen suojakerroksen kimppuun varsinaisten admin-tiedostojen sijaan. Monet WordPress-hyökkäykset toteutetaan autonomisesti haittaohjelmia vastaan.

pelkkä wp-admin/ hakemiston varmistaminen saattaa myös rikkoa joitakin WordPress-toimintoja, kuten Ajaxin käsittelijä osoitteessa wp-admin/admin-ajax.php. Katso resurssit-osiosta lisätietoa siitä, miten wp-admin/ Hakemisto oikein suojataan.

yleisimmät hyökkäykset WordPress-blogia vastaan jakautuvat yleensä kahteen kategoriaan.

  1. lähettää palvelimellesi erityisesti muotoiltuja HTTP-pyyntöjä, joissa on erityisiä haavoittuvuutta koskevia hyötykuormia. Näitä ovat vanhat/vanhentuneet liitännäiset ja ohjelmistot.
  2. yrittää päästä blogiisi käyttämällä ”brute-force” – salasanojen arvailua.

tämän ”toisen kerroksen” salasanasuojauksen perimmäinen toteutus on vaatia HTTPS SSL-salattu yhteys hallinnointia varten, jotta kaikki viestintä ja arkaluontoiset tiedot salataan. Katso hallinta SSL: n kautta.

Top

turvaaminen wp-sisältää # turvaaminen wp-sisältää

voidaan lisätä toinen suojauskerros, jossa skriptejä ei yleensä ole tarkoitettu kenenkään käyttäjän käyttöön. Yksi tapa tehdä se on estää näitä skriptejä käyttäen mod_rewrite vuonna .htaccess-tiedosto. Huomautus: jotta alla oleva koodi ei ole WordPress-sivuston korvaama, aseta se # BEGIN WordPress ja # END WordPress – tagien ulkopuolelle .htaccess-tiedosto. WordPress voi korvata mitään näiden tagien välillä.

Top

WP-configin turvaaminen.php # turvaaminen wp-config.php

voit siirtää wp-config.php tiedoston WordPress-asennuksen yläpuolella olevaan hakemistoon. Tämä tarkoittaa, että Web-tilasi juureen asennetun sivuston voi tallentaa wp-config.php web-juurikansion ulkopuolelle.

Huomautus: Jotkut väittävät, että liikkuvat wp-config.php on minimaalinen tietoturvaetuja ja, jos ei tehdä huolellisesti, voi todella ottaa käyttöön vakavia haavoittuvuuksia. Toiset ovat eri mieltä.

huomaa, että wp-config.php voidaan tallentaa yksi Hakemistotaso WordPress-asennuksen yläpuolelle (jossa wp-sisältää asumisen). Varmista myös, että vain sinä (ja WWW-palvelin) voit lukea tämän tiedoston (se tarkoittaa yleensä 400 tai 440 lupaa).

Jos käytät palvelinta, jonka kanssa .htaccess, voit laittaa tämän kyseiseen tiedostoon (aivan yläosassa) kieltää pääsyn kenellekään surffata sitä:

<files wp-config.php>order allow,denydeny from all</files>

Top

Poista Tiedostonmuokkaus # Poista Tiedostomuokkaus

WordPress Dashboard antaa oletuksena ylläpitäjille mahdollisuuden muokata PHP-tiedostoja, kuten plugin-ja teematiedostoja. Tämä on usein ensimmäinen työkalu, jota hyökkääjä käyttää, jos pystyy kirjautumaan sisään, koska se mahdollistaa koodin suorittamisen. WordPress on vakio poistaa muokkaus kojelaudasta. Asettamalla tämän rivin wp-config.php vastaa poistamalla ”edit_themes”, ”edit_plugins” ja ”edit_files” ominaisuuksia kaikkien käyttäjien:

define('DISALLOW_FILE_EDIT', true);

tämä ei estä hyökkääjää lataamasta haitallisia tiedostoja sivustollesi, mutta saattaa estää joitakin hyökkäyksiä.

Top

liitännäiset # liitännäiset

ensinnäkin varmista, että liitännäisesi ovat aina ajan tasalla. Myös, jos et käytä tiettyä plugin, poista se järjestelmästä.

Top

palomuuri # palomuuri

on olemassa monia liitännäisiä ja palveluita, jotka voivat toimia palomuurina verkkosivustollesi. Jotkut niistä toimivat muokkaamalla sinun .htaccess
tiedosto ja rajoittaa joidenkin pääsyä Apache tasolla, ennen kuin se käsitellään WordPress. Hyvä esimerkki on iThemes Security tai All In One WP Security. Jotkut palomuuri plugins toimivat WordPress tasolla, kuten WordFence ja Shield, ja yrittää suodattaa hyökkäyksiä WordPress Ladataan, mutta ennen kuin se on täysin käsitelty.

lisäosien lisäksi voit myös asentaa WAF: n (web firewall) web-palvelimeesi suodattamaan sisältöä ennen kuin WordPress käsittelee sitä. Suosituin avoimen lähdekoodin WAF on ModSecurity.

verkkosivujen palomuuri voidaan myös lisätä välittäjäksi internetistä tulevan liikenteen ja hosting-palvelimesi välille. Kaikki nämä palvelut toimivat käänteisinä välityspalvelimina, joissa ne hyväksyvät alkuperäiset pyynnöt ja reitittävät ne palvelimellesi poistaen sen kaikista haitallisista pyynnöistä. He suorittavat tämän muuttamalla DNS kirjaa, kautta ennätys tai koko DNS swap, jolloin kaikki liikenne kulkee uuden verkon ensimmäinen. Tämä aiheuttaa sen, että palomuuri suodattaa kaiken liikenteen ennen sivustosi saavuttamista. Muutama yritys tarjoaa tällaista palvelua, kuten CloudFlare, Sucuri ja Incapsula.

lisäksi nämä kolmannen osapuolen palveluntarjoajat toimivat oletusarvoisesti sisällön Jakeluverkostona (Cdns), mikä mahdollistaa suorituskyvyn optimoinnin ja maailmanlaajuisen ulottuvuuden.

Top

liitännäiset, jotka tarvitsevat kirjoitusoikeutta # liitännäiset, jotka tarvitsevat kirjoitusoikeutta

Jos liitännäinen haluaa kirjoitusoikeuden WordPress-tiedostoihisi ja-hakemistoihisi, Lue koodi varmistaaksesi, että se on laillinen tai tarkista joltakulta, johon luotat. Mahdollisia tarkistettavia paikkoja ovat Tukifoorumit ja IRC-kanava.

Top

Code execution plugins # Code execution plugins

kuten totesimme, osa WordPressin koventamisen tavoitetta on onnistuneessa hyökkäyksessä syntyneiden vahinkojen hillitseminen. Liitännäiset, jotka mahdollistavat mielivaltaisen PHP: n tai muun koodin suorittamisen tietokannassa olevista merkinnöistä, suurentavat tehokkaasti vahingon mahdollisuutta onnistuneen hyökkäyksen sattuessa.

tapa välttää tällaisen liitännäisen käyttö on käyttää mukautettuja sivupohjia, jotka kutsuvat toimintoa. Osa tämän tarjoamasta tietoturvasta on aktiivinen vain silloin, kun kielsit tiedostojen muokkaamisen WordPressissä.

Top

Security through obscurity # Security through obscurity

Security through obscurity on yleensä epäluotettava ensisijainen strategia. WordPressissä on kuitenkin alueita, joissa tietojen pimittäminen voisi auttaa tietoturvassa:

  1. nimetä hallintotili uudelleen: kun luot hallinnollisen tilin, vältä helposti arvattavia termejä, kuten admin tai webmaster käyttäjätunnuksina, koska niihin kohdistuu tyypillisesti ensin hyökkäyksiä. Olemassa olevalla WordPress-asennuksella voit nimetä olemassa olevan tilin MySQL-komentoriviohjelmassa komennolla, kuten UPDATE wp_users SET user_login = 'newuser' WHERE user_login = 'admin';, tai käyttämällä MySQL-käyttöliittymää, kuten phpMyAdmin.
  2. Vaihda table_prefix: monet julkaistut WordPress-spesifiset SQL-injektiohyökkäykset tekevät oletuksen, että table_prefix on wp_, oletusarvo. Tämän muuttaminen voi estää ainakin joitakin SQL-injektiohyökkäyksiä.

Top

tietojen varmuuskopiot # tietojen varmuuskopiot

varmuuskopioi tietosi säännöllisesti, mukaan lukien MySQL-tietokannat. Katso pääartikkeli: Varmuuskopioin Tietokantaasi.

tietojen eheys on kriittistä luotettavien varmuuskopioiden kannalta. Varmuuskopion salaaminen, jokaisen varmuuskopiotiedoston MD5-tiivisteiden riippumattoman tallentamisen pitäminen ja / tai varmuuskopioiden asettaminen vain luku-medialle lisää luottamusta siihen, että tietojasi ei ole peukaloitu.

hyvä varastrategia voisi sisältää joukon säännöllisesti ajoitettuja tilannekuvia koko WordPress-asennuksestasi (mukaan lukien WordPress-ydintiedostot ja tietokantasi) luotettavassa paikassa. Kuvittele sivusto, joka tekee viikoittain tilannekuvia. Tällainen strategia tarkoittaa, että jos sivusto vaarantuu 1.toukokuuta, mutta kompromissi havaitaan vasta 12. toukokuuta, sivuston omistaja on ennen kompromissia varmuuskopiot, jotka voivat auttaa uudelleenrakentamiseen sivuston ja mahdollisesti jopa kompromissin jälkeiset varmuuskopiot, jotka auttavat määrittämään, miten sivusto vaarantui.

Top

Logging # Logging

Logs are your best friend when it comes to understanding what is happening with your website, especially if you ’ re trying to performing forensics. Vastoin yleisiä uskomuksia, lokit voit nähdä, mitä tehtiin ja kuka ja milloin. Valitettavasti lokit eivät kerro kuka, käyttäjätunnus, Kirjautunut sisään, mutta sen avulla voit tunnistaa IP ja aika ja mikä tärkeintä, toimet hyökkääjä on saattanut ryhtyä. Voit nähdä minkä tahansa näistä hyökkäyksistä lokien kautta-Cross Site Scripting (XSS), Remote File Inclusion (RFI), Local File Inclusion (LFI) ja Directory Traversal yritykset. Voit myös nähdä raakaa voimaa yrityksiä. On olemassa erilaisia esimerkkejä ja opetusohjelmia, jotka auttavat sinua jäsentämään ja analysoimaan raaka lokit.

Jos saat enemmän mukava lokit voit nähdä asioita, kuten, kun teema ja plugin editorit ovat käytössä, kun joku päivittää widgetit ja kun viestit ja sivut lisätään. Kaikki keskeiset tekijät, kun teet rikosteknistä työtä web-palvelimella. Ovat muutamia WordPress turvallisuus plugins, jotka auttavat sinua tämän samoin, kuten Sucuri Auditing tool tai kirjausketju plugin.

on olemassa kaksi keskeistä avoimen lähdekoodin ratkaisua, jotka haluat www-palvelimellesi tietoturvan näkökulmasta, tämä on kerroksellinen lähestymistapa turvallisuuteen.

OSSEC voi toimia millä tahansa NIX-jakelulla ja toimii myös Windowsissa. Kun määritetty oikein sen erittäin tehokas. Ajatuksena on korreloida ja koota kaikki lokit. Sinun täytyy olla varma määrittää se kaapata kaikki access_logs ja error_logs ja jos sinulla on useita sivustoja palvelimella huomioon, että. Sinun kannattaa myös olla varma suodattaa pois melu. Oletusarvoisesti näet paljon melua ja haluat määrittää sen olevan todella tehokas.

Top

monitorointi # monitorointi

joskus ehkäisy ei riitä ja saatat silti joutua hakkeroiduksi. Siksi tunkeutumisen havaitseminen / valvonta on erittäin tärkeää. Sen avulla voit reagoida nopeammin, selvittää mitä tapahtui ja palauttaa sivustosi.

Top

lokien seuranta # lokien seuranta

Jos olet omistetulla tai virtuaalisella yksityisellä palvelimella, jossa sinulla on pääkäyttäjän ylellisyys, sinulla on kyky helposti konfiguroida asioita niin, että näet mitä tapahtuu. OSSEC helposti helpottaa tätä ja tässä on hieman kirjoittaa ylös, joka saattaa auttaa sinua OSSEC sivuston turvallisuus-osa I.

Top

Monitoring your files for changes # Monitoring your files for changes

When an attack happens, it always leave traces. Joko lokit tai tiedostojärjestelmä (uudet tiedostot, muokatut tiedostot, jne). Jos käytät esimerkiksi OSSECIA, se tarkkailee tiedostojasi ja hälyttää, kun ne muuttuvat.

tavoitteet # tavoitteet

tiedostojärjestelmän seurannan tavoitteita ovat:

  • Monitor changed and added files
  • kyky palauttaa rakeisia muutoksia
  • automaattiset hälytykset

Top

Yleiset lähestymistavat # yleiset lähestymistavat

ylläpitäjät voivat seurata tiedostojärjestelmää yleisten teknologioiden kautta, kuten:

  • Järjestelmätyökalut
  • versionhallinta

  • OS/kernel level monitoring

Top

specific tools # specific tools

vaihtoehtoja tiedostojärjestelmän seurantaan ovat:

  • vertaa sivustosi puhtaaseen testikopioon ja vertaa tuotantoon
  • git – source code management
  • Inotify – ja incron – OS kernel level file monitoring service, joka voi suorittaa komentoja tiedostojärjestelmän tapahtumissa
  • Watcher – Python inotify library
  • OSSEC – avoimen lähdekoodin Isäntäpohjainen tunkeutumisen tunnistusjärjestelmä, joka suorittaa lokianalyysin, tiedostojen eheyden tarkistuksen, politiikan seurannan, rootkit-tunnistuksen, reaaliaikaisen hälytyksen ja aktiivisen vastauksen.

Top

Considerations # Considerations

tiedostopohjaisen seurantastrategian määrittämisessä on monia huomioita, mm.

Suorita monitoring script/service nimellä root

tämä tekisi hyökkääjien vaikeaksi poistaa tai muokata tiedostojärjestelmän seurantaratkaisua.

Poista seuranta käytöstä määräaikaishuollon/päivitysten aikana

tämä estäisi tarpeettomat ilmoitukset, kun suoritat säännöllistä huoltoa sivustolla.

seuraa vain suoritettavia tiedostotyyppejä

voi olla kohtuullisen turvallista seurata vain suoritettavia tiedostotyyppejä, kuten .php-tiedostot jne.. Ei-suoritettavien tiedostojen suodattaminen voi vähentää turhia lokimerkintöjä ja hälytyksiä.

käytä tiukkoja tiedostojärjestelmän käyttöoikeuksia

Lue tiedostojen käyttöoikeuksien ja omistajuuden turvaamisesta. Yleensä, välttää sallimasta suorittaa ja kirjoittaa oikeuksia siinä määrin kuin mahdollista.

Top

Monitoring your web server externally # Monitoring your web server externally

jos hyökkääjä yrittää turmella sivustosi tai lisätä haittaohjelmia, voit myös havaita nämä muutokset käyttämällä web-pohjaista integrity monitor-ratkaisua. Tämä tulee monissa muodoissa tänään, Käytä suosikki hakukone ja etsiä Web haittaohjelmien havaitseminen ja korjaaminen ja saat todennäköisesti pitkä lista palveluntarjoajia.

Top

Resources # Resources

  • How to Improve WordPress Security (Infographic)
  • Security Plugins
  • WordPress Security Cutting Through the BS
  • e-Book: Locking Down WordPress
  • wpsecure.net on muutamia oppaita miten lukita WordPress.
  • a Beginners Guide to Hardening WordPress
  • Brad Williams: Lock it Up (Video)
  • 21 Ways to Secure Your WordPress Site
  • Official docs on how to password protect directories with an .htaccess-tiedosto
  • yksinkertainen tutorial on how to password protect the WordPress admin area and fix the 404 error

Top

See Also # See Also

  • Security FAQ
  • FAQ – sivustoni hakkeroitiin
  • rute Force Attacks

  • WordPress Security Whitepaper

Vastaa

Sähköpostiosoitettasi ei julkaista.