tietoturva WordPressissä otetaan hyvin vakavasti, mutta kuten missä tahansa muussakin järjestelmässä on mahdollisia tietoturvaongelmia, joita voi syntyä, jos joitain perusturvavaroituksia ei toteuteta. Tässä artikkelissa käydään läpi joitakin yhteisiä muotoja haavoittuvuuksia, ja asioita voit tehdä auttaa pitämään WordPress asennus turvallinen.
Tämä artikkeli ei ole lopullinen pikaratkaisu tietoturvaongelmiisi. Jos sinulla on erityisiä tietoturvahuolia tai epäilyksiä, sinun pitäisi keskustella niistä ihmisten kanssa, joiden luotat olevan riittävästi tietoa tietoturvasta ja WordPress.
- mitä on turvallisuus? Mikä on turvallisuus?
- Tietoturvateemat # Tietoturvateemat
- haavoittuvuudet tietokoneessa # haavoittuvuudet tietokoneessa
- haavoittuvuudet WordPress # haavoittuvuudet WordPress
- päivittäminen WordPress # päivittäminen WordPress
- Reporting Security Issues # Reporting Security Issues
- WWW-palvelimen haavoittuvuudet # WWW-palvelimen haavoittuvuudet
- Verkkohaavoittuvuudet # Verkkohaavoittuvuudet
- salasanat # salasanat
- FTP # FTP
- tiedostojen käyttöoikeudet # tiedostojen käyttöoikeudet
- Tiedostojen käyttöoikeuksien muuttaminen # Tiedostojen käyttöoikeuksien muuttaminen
- automaattisten päivitysten osalta # automaattisten päivitysten osalta
- Database Security # Database Security
- rajoitetaan tietokannan käyttöoikeuksia # rajoitetaan tietokannan käyttöoikeuksia
- wp-admin # turvaaminen wp-admin
- turvaaminen wp-sisältää # turvaaminen wp-sisältää
- WP-configin turvaaminen.php # turvaaminen wp-config.php
- Poista Tiedostonmuokkaus # Poista Tiedostomuokkaus
- liitännäiset # liitännäiset
- palomuuri # palomuuri
- liitännäiset, jotka tarvitsevat kirjoitusoikeutta # liitännäiset, jotka tarvitsevat kirjoitusoikeutta
- Code execution plugins # Code execution plugins
- Security through obscurity # Security through obscurity
- tietojen varmuuskopiot # tietojen varmuuskopiot
- Logging # Logging
- monitorointi # monitorointi
- lokien seuranta # lokien seuranta
- Monitoring your files for changes # Monitoring your files for changes
- tavoitteet # tavoitteet
- Yleiset lähestymistavat # yleiset lähestymistavat
- specific tools # specific tools
- Considerations # Considerations
- Monitoring your web server externally # Monitoring your web server externally
- Resources # Resources
- See Also # See Also
mitä on turvallisuus? Mikä on turvallisuus?
pohjimmiltaan tietoturvassa ei ole kyse täysin turvallisista järjestelmistä. Sellainen voi hyvinkin olla epäkäytännöllistä tai mahdotonta löytää ja/tai ylläpitää. Turvallisuus on kuitenkin riskien vähentämistä, ei riskien poistamista. Se on noin työllistävät kaikki tarvittavat ohjausobjektit käytettävissä, kohtuuden rajoissa, joiden avulla voit parantaa yleistä ryhtiä vähentämällä kertoimet tehdä itse kohde, myöhemmin saada hakkeroitu.
verkkosivujen isännät
usein hyvä paikka aloittaa verkkosivuston turvallisuuden suhteen on hostausympäristösi. Tänään, on olemassa useita vaihtoehtoja käytettävissä, ja vaikka isännät tarjoavat turvallisuutta tietyn tason, on tärkeää ymmärtää, missä heidän vastuu päättyy ja sinun alkaa. Tässä on hyvä artikkeli selittää monimutkainen dynamiikka web hosts ja turvallisuus sivuston. Suojattu palvelin suojaa palvelimen ylläpitäjän hallinnassa olevien resurssien yksityisyyttä, eheyttä ja käytettävyyttä.
luotettavan verkkoisännän ominaisuuksia voivat olla esimerkiksi:
- keskustelee auliisti tietoturvaongelmistasi ja siitä, mitä tietoturvaominaisuuksia ja-prosesseja ne tarjoavat isännöintinsä kanssa.
- tarjoaa uusimmat vakaat versiot kaikista palvelinohjelmistoista.
- tarjoaa luotettavia menetelmiä varmuuskopiointiin ja palautumiseen.
päätä, minkä tietoturvan tarvitset palvelimellesi määrittämällä suojattavat ohjelmistot ja tiedot. Loput tämän oppaan auttaa sinua tässä.
verkkosivujen Sovellukset
on helppo katsoa web-isäntiä ja siirtää tietoturvavastuu heille, mutta valtava määrä tietoturvaa on myös verkkosivuston omistajan harteilla. Web-isännät ovat usein vastuussa infrastruktuurista, jossa sivustosi sijaitsee, he eivät ole vastuussa sovelluksen valitset asentaa.
ymmärtääksesi, missä ja miksi tämä on tärkeää, sinun on ymmärrettävä, miten verkkosivustot hakkeroidaan, harvoin se johtuu infrastruktuurista ja useimmiten johtuu itse sovelluksesta (ts.ympäristöstä, josta olet vastuussa).
Top
Tietoturvateemat # Tietoturvateemat
pidä mielessä joitakin yleisiä ajatuksia, kun harkitset tietoturvaa järjestelmäsi jokaiselle osa-alueelle:
pääsyn rajoittaminen
älykkäiden valintojen tekeminen, jotka vähentävät haitallisen henkilön mahdollisia sisäänpääsypaikkoja.
säilytys
järjestelmäsi tulee konfiguroida minimoimaan mahdollisen vahingon määrä, jos se vaarantuu.
valmistelu ja tieto
varmuuskopioiden pitäminen ja WordPress-asennuksen tilan tunteminen säännöllisin väliajoin. Ottaa suunnitelma varmuuskopioida ja palauttaa asennuksen tapauksessa katastrofi voi auttaa sinua saamaan takaisin verkossa nopeammin, jos ongelma.
Luotetut lähteet
eivät saa liitännäisiä / teemoja luotetuista lähteistä. Rajoita itsesi WordPress.org repository tai tunnettuja yrityksiä. Yrittää saada plugins / teemoja ulkopuolelta voi johtaa ongelmiin.
Top
haavoittuvuudet tietokoneessa # haavoittuvuudet tietokoneessa
varmista, että käyttämissäsi tietokoneissa ei ole vakoiluohjelmia, haittaohjelmia eikä virustartuntoja. Ei määrä turvallisuutta WordPress tai web-palvelin tekee pienintäkään eroa, jos on keylogger tietokoneeseen.
pidä käyttöjärjestelmä ja siinä olevat ohjelmistot, erityisesti verkkoselain, aina ajan tasalla suojautuaksesi tietoturvahaavoittuvuuksilta. Jos selaat epäluotettavia sivustoja, suosittelemme myös työkaluja, kuten no-script (tai poistamalla javascript/flash/java) selaimessasi.
Top
haavoittuvuudet WordPress # haavoittuvuudet WordPress
kuten monet nykyaikaiset ohjelmistopaketit, WordPress päivitetään säännöllisesti käsittelemään uusia tietoturvaongelmia, joita voi syntyä. Ohjelmistojen turvallisuuden parantaminen on aina jatkuva huolenaihe, ja tätä varten sinun pitäisi aina pitää ajan tasalla uusimman version WordPress. WordPressin vanhempia versioita ei ylläpidetä tietoturvapäivityksillä.
päivittäminen WordPress # päivittäminen WordPress
pääartikkeli: päivittäminen WordPress.
WordPressin uusin versio on aina saatavilla WordPressin pääsivustolta osoitteesta https://wordpress.org. Virallisia julkaisuja ei ole saatavilla muilta sivustoilta – Älä koskaan lataa tai asenna WordPressiä muilta verkkosivuilta kuin https://wordpress.org.
versiosta 3.7 lähtien WordPress on sisältänyt automaattisia päivityksiä. Käytä tätä toimintoa, jotta pysyt ajan tasalla. Voit myös käyttää WordPress kojelauta pitää ajan tasalla päivityksistä. Lue merkintä kojelautaan tai WordPress Kehittäjä blogi määrittää, mitä toimenpiteitä sinun on toteutettava päivittää ja pysyä turvassa.
Jos haavoittuvuus löytyy WordPressistä ja asiasta julkaistaan uusi versio, haavoittuvuuden hyödyntämiseen tarvittavat tiedot ovat lähes varmasti julkisia. Tämä tekee vanhoista versioista avoimempia hyökkäyksille, ja on yksi tärkeimmistä syistä sinun pitäisi aina pitää WordPress ajan tasalla.
Jos olet ylläpitäjä, joka vastaa useammasta kuin yhdestä WordPress-asennuksesta, harkitse Subversionin käyttöä hallinnan helpottamiseksi.
Top
Reporting Security Issues # Reporting Security Issues
Jos luulet löytäneesi Tietoturvavian WordPress-palvelusta, voit auttaa raportoimalla asiasta. Katso tietoturva usein kysytyt kysymykset siitä, miten raportoit tietoturvaongelmista.
Jos epäilet löytäneesi vian, ilmoita siitä. Katso vikojen lähettämisestä, miten tämä tehdään. Olet saattanut paljastaa haavoittuvuuden tai virheen, joka voi johtaa sellaiseen.
Top
WWW-palvelimen haavoittuvuudet # WWW-palvelimen haavoittuvuudet
WordPressiä pyörittävällä www-palvelimella ja sen ohjelmistolla voi olla haavoittuvuuksia. Varmista siis, että käytössäsi on turvalliset, vakaat versiot www-palvelimestasi ja sen ohjelmistosta, tai varmista, että käytät luotettua isäntää, joka huolehtii näistä asioista puolestasi.
Jos olet jaetulla palvelimella (joka isännöi muita verkkosivustoja oman palvelimesi lisäksi) ja samalla palvelimella oleva verkkosivusto vaarantuu, sivustosi voi mahdollisesti vaarantua myös, vaikka noudattaisit kaikkea tässä oppaassa. Muista kysyä web isäntä mitä turvatoimia he ryhtyvät.
Top
Verkkohaavoittuvuudet # Verkkohaavoittuvuudet
verkon molempiin päihin — WordPress — palvelinpuolelle ja asiakasverkon puolelle-kannattaa luottaa. Tämä tarkoittaa palomuurisääntöjen päivittämistä kotireitittimeen ja tarkkana olemista siinä, missä verkoissa työskentelet. Nettikahvila, johon lähetät salasanoja salaamattoman yhteyden kautta, langattomasti tai muuten, ei ole luotettava verkko.
verkkoisäntäsi tulisi varmistaa, että hyökkääjät eivät vaaranna heidän verkkoaan, ja sinun tulisi tehdä samoin. Verkon haavoittuvuudet voivat mahdollistaa salasanojen ja muiden arkaluonteisten tietojen sieppaamisen.
Top
salasanat # salasanat
monet mahdolliset haavoittuvuudet voidaan välttää hyvillä tietoturvatavoilla. Vahva salasana on tärkeä osa tätä.
salasanalla pyritään siihen, että muiden on vaikea arvata ja raa ’ an voimahyökkäyksen onnistuminen on vaikeaa. Saatavilla on monia automaattisia salasanageneraattoreita, joita voidaan käyttää turvallisten salasanojen luomiseen.
WordPress sisältää myös salasanan vahvuusmittarin, joka näkyy, kun vaihdat salasanaasi WordPressissä. Käytä tätä vaihtaessasi salasanaasi varmistaaksesi, että sen vahvuus on riittävä.
asioita, joita kannattaa välttää salasanaa valitessa:
- Oman oikean nimen, käyttäjätunnuksen, yrityksen nimen tai verkkosivustosi nimen permutaatio.
- sana sanakirjasta, millä tahansa kielellä.
- lyhyt salasana.
- mikä tahansa numeerinen tai aakkosellinen salasana (molempien sekoitus on paras).
vahva salasana ei ole tarpeen vain blogisi sisällön suojaamiseksi. Hakkeri, joka pääsee järjestelmänvalvojan tilillesi, pystyy asentamaan haitallisia skriptejä, jotka voivat mahdollisesti vaarantaa koko palvelimesi.
vahvan salasanan lisäksi on hyvä ottaa käyttöön kaksivaiheinen tunnistautuminen lisäturvatoimenpiteenä.
Top
FTP # FTP
kun yhdistät palvelimeesi, sinun tulee käyttää SFTP-salausta, jos verkko-isäntäsi tarjoaa sen. Jos olet epävarma, onko web-isäntä tarjoaa SFTP vai ei, vain kysyä heiltä.
SFTP: n käyttö on sama kuin FTP, paitsi että salasanasi ja muut tiedot on salattu, koska ne siirretään tietokoneesi ja verkkosivustosi välillä. Tämä tarkoittaa, että salasanaasi ei koskaan lähetetä tyhjänä, eikä hyökkääjä voi siepata sitä.
Top
tiedostojen käyttöoikeudet # tiedostojen käyttöoikeudet
jotkut WordPressin siisteistä ominaisuuksista tulevat siitä, että WWW-palvelin voi kirjoittaa erilaisia tiedostoja. Kirjoitusoikeuden salliminen tiedostoihisi on kuitenkin potentiaalisesti vaarallista, erityisesti jaetussa hosting-ympäristössä.
on parasta lukita tiedoston käyttöoikeudet niin paljon kuin mahdollista ja löysätä näitä rajoituksia tilanteissa, jotka tarvitset kirjoitusoikeuden sallimiseksi, tai luoda tiettyjä kansioita, joissa on vähemmän rajoituksia, esimerkiksi tiedostojen lataamista varten.
tässä on yksi mahdollinen lupajärjestelmä.
kaikkien tiedostojen tulee olla käyttäjätilisi omistuksessa ja sinun kirjoitettavissa. Minkä tahansa tiedoston, joka tarvitsee kirjoitusoikeutta WordPress pitäisi olla kirjoitettavissa web-palvelimen, jos hosting perustaa sitä, se voi tarkoittaa, että nämä tiedostot täytyy olla ryhmän omistuksessa käyttäjätilin käyttää web-palvelimen prosessi.
/
the root WordPress directory: kaikkien tiedostojen tulee olla kirjoitettavissa vain käyttäjätililläsi, paitsi .htaccess
jos haluat, että WordPress luo automaattisesti uudelleenkirjoitussäännöt sinulle.
/wp-admin/
WordPress administration area: kaikki tiedostot tulee kirjoittaa vain käyttäjätilin mukaan.
/wp-includes/
suurin osa WordPress-sovelluslogiikasta: kaikki tiedostot tulee kirjoittaa vain käyttäjätilin mukaan.
/wp-content/
käyttäjän toimittama sisältö: tarkoitettu käyttäjätilin ja www-palvelinprosessin kirjoitettavaksi.
sisällä /wp-content/
löydät:
/wp-content/themes/
teematiedostot. Jos haluat käyttää sisäänrakennettua teemaeditoria, kaikki tiedostot on kirjoitettava www-palvelinprosessilla. Jos et halua käyttää sisäänrakennettua teemaeditoria, kaikki tiedostot voidaan kirjoittaa vain käyttäjätilisi avulla.
/wp-content/plugins/
Liitännäistiedostot: kaikki tiedostot tulee kirjoittaa vain käyttäjätilin mukaan.
muut hakemistot, joissa voi olla /wp-content/
, tulee dokumentoida sen liitännäisen tai teeman mukaan, joka niitä vaatii. Käyttöoikeudet voivat vaihdella.
Top
Tiedostojen käyttöoikeuksien muuttaminen # Tiedostojen käyttöoikeuksien muuttaminen
Jos sinulla on komentotulkin käyttöoikeus palvelimeesi, voit muuttaa tiedoston käyttöoikeuksia rekursiivisesti seuraavalla komennolla:
hakemistojen osalta:
find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;
tiedostojen osalta:
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;
Top
automaattisten päivitysten osalta # automaattisten päivitysten osalta
kun käsket WordPress tekemään automaattisen päivityksen, kaikki Tiedostotoiminnot suoritetaan tiedostot omistavan käyttäjän, ei WWW-palvelimen käyttäjä. Kaikki tiedostot on asetettu arvoon 0644 ja kaikki hakemistot on asetettu arvoon 0755, ja vain käyttäjä voi kirjoittaa ja kaikki muut voivat lukea, WWW-palvelin mukaan lukien.
Top
Database Security # Database Security
Jos käytät useita blogeja samalla palvelimella, on viisasta harkita niiden pitämistä erillisissä tietokannoissa, joita kutakin hallinnoi eri käyttäjä. Tämä tapahtuu parhaiten, kun suoritetaan alkuperäisen WordPress asennus. Tämä on rajoitusstrategia: jos tunkeilija onnistuu murtamaan yhden WordPress-asennuksen, tämä tekee siitä paljon vaikeampaa muuttaa muita blogeja.
jos hallinnoit MySQL: ää itse, varmista, että ymmärrät MySQL-määrityksesi ja että tarpeettomat ominaisuudet (kuten TCP-etäyhteyksien hyväksyminen) on poistettu käytöstä. Katso turvallinen MySQL tietokannan suunnittelu mukava johdanto.
Top
rajoitetaan tietokannan käyttöoikeuksia # rajoitetaan tietokannan käyttöoikeuksia
normaaleihin WordPress-toimintoihin, kuten blogikirjoitusten lähettämiseen, mediatiedostojen lataamiseen, kommenttien lähettämiseen, uusien WordPress-käyttäjien luomiseen ja WordPress-liitännäisten asentamiseen, MySQL-tietokannan käyttäjä tarvitsee vain tietojen luku-ja kirjoitusoikeudet MySQL-tietokantaan; Valitse, Lisää, päivitä ja poista.
näin ollen kaikki muut tietokantarakenteen ja hallintaoikeudet, kuten DROP, ALTER ja GRANT, voidaan peruuttaa. Peruuttamalla tällaiset oikeudet parannat myös eristämiskäytäntöjä.
Huomautus: jotkin liitännäiset, teemat ja suuret WordPress-päivitykset saattavat vaatia tietokannan rakenteellisten muutosten tekemistä, kuten uusien taulukoiden lisäämistä tai skeeman muuttamista. Tällaisessa tapauksessa, ennen liitännäisen asentamista tai ohjelmiston päivittämistä, sinun on väliaikaisesti sallittava tietokannan käyttäjälle vaaditut oikeudet.
varoitus: Päivitysten yrittäminen ilman näitä oikeuksia voi aiheuttaa ongelmia, kun tietokannan skeema muuttuu. Näiden oikeuksien peruuttamista ei siis suositella. Jos et tunne tarvetta tehdä tämän turvallisuussyistä, niin varmista, että sinulla on vankka varasuunnitelma paikallaan ensin, säännöllinen koko tietokannan varmuuskopiot, jotka olet testannut ovat voimassa ja jotka voidaan helposti palauttaa. Epäonnistunut tietokannan päivitys voidaan yleensä ratkaista palauttamalla tietokanta takaisin vanhaan versioon, myöntämällä asianmukaiset oikeudet, ja sitten kerroit WordPress yrittää tietokannan päivitys uudelleen. Palauttaminen tietokanta palauttaa sen takaisin, että vanha versio ja WordPress hallinnon näytöt sitten tunnistaa vanhan version ja voit suorittaa tarvittavat SQL komentoja sitä. Useimmat WordPress päivitykset eivät muuta skeemaa, mutta jotkut tekevät. Vain suuret pistepäivitykset (esimerkiksi 3.7-3.8) muuttavat skeemaa. Pieniä päivityksiä (3.8-3.8.1) ei yleensä tehdä. Kuitenkin, pitää säännöllisesti varmuuskopiointi.
Top
wp-admin # turvaaminen wp-admin
palvelinpuolen salasanasuojauksen (kuten BasicAuth) lisääminen /wp-admin/
lisää toisen suojakerroksen blogisi ylläpitoalueen, sisäänkirjautumisruudun ja tiedostojesi ympärille. Tämä pakottaa hyökkääjän tai botin hyökkäämään tämän toisen suojakerroksen kimppuun varsinaisten admin-tiedostojen sijaan. Monet WordPress-hyökkäykset toteutetaan autonomisesti haittaohjelmia vastaan.
pelkkä wp-admin/
hakemiston varmistaminen saattaa myös rikkoa joitakin WordPress-toimintoja, kuten Ajaxin käsittelijä osoitteessa wp-admin/admin-ajax.php
. Katso resurssit-osiosta lisätietoa siitä, miten wp-admin/
Hakemisto oikein suojataan.
yleisimmät hyökkäykset WordPress-blogia vastaan jakautuvat yleensä kahteen kategoriaan.
- lähettää palvelimellesi erityisesti muotoiltuja HTTP-pyyntöjä, joissa on erityisiä haavoittuvuutta koskevia hyötykuormia. Näitä ovat vanhat/vanhentuneet liitännäiset ja ohjelmistot.
- yrittää päästä blogiisi käyttämällä ”brute-force” – salasanojen arvailua.
tämän ”toisen kerroksen” salasanasuojauksen perimmäinen toteutus on vaatia HTTPS SSL-salattu yhteys hallinnointia varten, jotta kaikki viestintä ja arkaluontoiset tiedot salataan. Katso hallinta SSL: n kautta.
Top
turvaaminen wp-sisältää # turvaaminen wp-sisältää
voidaan lisätä toinen suojauskerros, jossa skriptejä ei yleensä ole tarkoitettu kenenkään käyttäjän käyttöön. Yksi tapa tehdä se on estää näitä skriptejä käyttäen mod_rewrite vuonna .htaccess-tiedosto. Huomautus: jotta alla oleva koodi ei ole WordPress-sivuston korvaama, aseta se # BEGIN WordPress
ja # END WordPress
– tagien ulkopuolelle .htaccess-tiedosto. WordPress voi korvata mitään näiden tagien välillä.
Top
WP-configin turvaaminen.php # turvaaminen wp-config.php
voit siirtää wp-config.php
tiedoston WordPress-asennuksen yläpuolella olevaan hakemistoon. Tämä tarkoittaa, että Web-tilasi juureen asennetun sivuston voi tallentaa wp-config.php
web-juurikansion ulkopuolelle.
Huomautus: Jotkut väittävät, että liikkuvat wp-config.php on minimaalinen tietoturvaetuja ja, jos ei tehdä huolellisesti, voi todella ottaa käyttöön vakavia haavoittuvuuksia. Toiset ovat eri mieltä.
huomaa, että wp-config.php
voidaan tallentaa yksi Hakemistotaso WordPress-asennuksen yläpuolelle (jossa wp-sisältää asumisen). Varmista myös, että vain sinä (ja WWW-palvelin) voit lukea tämän tiedoston (se tarkoittaa yleensä 400 tai 440 lupaa).
Jos käytät palvelinta, jonka kanssa .htaccess, voit laittaa tämän kyseiseen tiedostoon (aivan yläosassa) kieltää pääsyn kenellekään surffata sitä:
<files wp-config.php>order allow,denydeny from all</files>
Top
Poista Tiedostonmuokkaus # Poista Tiedostomuokkaus
WordPress Dashboard antaa oletuksena ylläpitäjille mahdollisuuden muokata PHP-tiedostoja, kuten plugin-ja teematiedostoja. Tämä on usein ensimmäinen työkalu, jota hyökkääjä käyttää, jos pystyy kirjautumaan sisään, koska se mahdollistaa koodin suorittamisen. WordPress on vakio poistaa muokkaus kojelaudasta. Asettamalla tämän rivin wp-config.php vastaa poistamalla ”edit_themes”, ”edit_plugins” ja ”edit_files” ominaisuuksia kaikkien käyttäjien:
define('DISALLOW_FILE_EDIT', true);
tämä ei estä hyökkääjää lataamasta haitallisia tiedostoja sivustollesi, mutta saattaa estää joitakin hyökkäyksiä.
Top
liitännäiset # liitännäiset
ensinnäkin varmista, että liitännäisesi ovat aina ajan tasalla. Myös, jos et käytä tiettyä plugin, poista se järjestelmästä.
Top
palomuuri # palomuuri
on olemassa monia liitännäisiä ja palveluita, jotka voivat toimia palomuurina verkkosivustollesi. Jotkut niistä toimivat muokkaamalla sinun .htaccess
tiedosto ja rajoittaa joidenkin pääsyä Apache tasolla, ennen kuin se käsitellään WordPress. Hyvä esimerkki on iThemes Security tai All In One WP Security. Jotkut palomuuri plugins toimivat WordPress tasolla, kuten WordFence ja Shield, ja yrittää suodattaa hyökkäyksiä WordPress Ladataan, mutta ennen kuin se on täysin käsitelty.
lisäosien lisäksi voit myös asentaa WAF: n (web firewall) web-palvelimeesi suodattamaan sisältöä ennen kuin WordPress käsittelee sitä. Suosituin avoimen lähdekoodin WAF on ModSecurity.
verkkosivujen palomuuri voidaan myös lisätä välittäjäksi internetistä tulevan liikenteen ja hosting-palvelimesi välille. Kaikki nämä palvelut toimivat käänteisinä välityspalvelimina, joissa ne hyväksyvät alkuperäiset pyynnöt ja reitittävät ne palvelimellesi poistaen sen kaikista haitallisista pyynnöistä. He suorittavat tämän muuttamalla DNS kirjaa, kautta ennätys tai koko DNS swap, jolloin kaikki liikenne kulkee uuden verkon ensimmäinen. Tämä aiheuttaa sen, että palomuuri suodattaa kaiken liikenteen ennen sivustosi saavuttamista. Muutama yritys tarjoaa tällaista palvelua, kuten CloudFlare, Sucuri ja Incapsula.
lisäksi nämä kolmannen osapuolen palveluntarjoajat toimivat oletusarvoisesti sisällön Jakeluverkostona (Cdns), mikä mahdollistaa suorituskyvyn optimoinnin ja maailmanlaajuisen ulottuvuuden.
Top
liitännäiset, jotka tarvitsevat kirjoitusoikeutta # liitännäiset, jotka tarvitsevat kirjoitusoikeutta
Jos liitännäinen haluaa kirjoitusoikeuden WordPress-tiedostoihisi ja-hakemistoihisi, Lue koodi varmistaaksesi, että se on laillinen tai tarkista joltakulta, johon luotat. Mahdollisia tarkistettavia paikkoja ovat Tukifoorumit ja IRC-kanava.
Top
Code execution plugins # Code execution plugins
kuten totesimme, osa WordPressin koventamisen tavoitetta on onnistuneessa hyökkäyksessä syntyneiden vahinkojen hillitseminen. Liitännäiset, jotka mahdollistavat mielivaltaisen PHP: n tai muun koodin suorittamisen tietokannassa olevista merkinnöistä, suurentavat tehokkaasti vahingon mahdollisuutta onnistuneen hyökkäyksen sattuessa.
tapa välttää tällaisen liitännäisen käyttö on käyttää mukautettuja sivupohjia, jotka kutsuvat toimintoa. Osa tämän tarjoamasta tietoturvasta on aktiivinen vain silloin, kun kielsit tiedostojen muokkaamisen WordPressissä.
Top
Security through obscurity # Security through obscurity
Security through obscurity on yleensä epäluotettava ensisijainen strategia. WordPressissä on kuitenkin alueita, joissa tietojen pimittäminen voisi auttaa tietoturvassa:
- nimetä hallintotili uudelleen: kun luot hallinnollisen tilin, vältä helposti arvattavia termejä, kuten
admin
taiwebmaster
käyttäjätunnuksina, koska niihin kohdistuu tyypillisesti ensin hyökkäyksiä. Olemassa olevalla WordPress-asennuksella voit nimetä olemassa olevan tilin MySQL-komentoriviohjelmassa komennolla, kutenUPDATE wp_users SET user_login = 'newuser' WHERE user_login = 'admin';
, tai käyttämällä MySQL-käyttöliittymää, kuten phpMyAdmin. - Vaihda table_prefix: monet julkaistut WordPress-spesifiset SQL-injektiohyökkäykset tekevät oletuksen, että table_prefix on
wp_
, oletusarvo. Tämän muuttaminen voi estää ainakin joitakin SQL-injektiohyökkäyksiä.
Top
tietojen varmuuskopiot # tietojen varmuuskopiot
varmuuskopioi tietosi säännöllisesti, mukaan lukien MySQL-tietokannat. Katso pääartikkeli: Varmuuskopioin Tietokantaasi.
tietojen eheys on kriittistä luotettavien varmuuskopioiden kannalta. Varmuuskopion salaaminen, jokaisen varmuuskopiotiedoston MD5-tiivisteiden riippumattoman tallentamisen pitäminen ja / tai varmuuskopioiden asettaminen vain luku-medialle lisää luottamusta siihen, että tietojasi ei ole peukaloitu.
hyvä varastrategia voisi sisältää joukon säännöllisesti ajoitettuja tilannekuvia koko WordPress-asennuksestasi (mukaan lukien WordPress-ydintiedostot ja tietokantasi) luotettavassa paikassa. Kuvittele sivusto, joka tekee viikoittain tilannekuvia. Tällainen strategia tarkoittaa, että jos sivusto vaarantuu 1.toukokuuta, mutta kompromissi havaitaan vasta 12. toukokuuta, sivuston omistaja on ennen kompromissia varmuuskopiot, jotka voivat auttaa uudelleenrakentamiseen sivuston ja mahdollisesti jopa kompromissin jälkeiset varmuuskopiot, jotka auttavat määrittämään, miten sivusto vaarantui.
Top
Logging # Logging
Logs are your best friend when it comes to understanding what is happening with your website, especially if you ’ re trying to performing forensics. Vastoin yleisiä uskomuksia, lokit voit nähdä, mitä tehtiin ja kuka ja milloin. Valitettavasti lokit eivät kerro kuka, käyttäjätunnus, Kirjautunut sisään, mutta sen avulla voit tunnistaa IP ja aika ja mikä tärkeintä, toimet hyökkääjä on saattanut ryhtyä. Voit nähdä minkä tahansa näistä hyökkäyksistä lokien kautta-Cross Site Scripting (XSS), Remote File Inclusion (RFI), Local File Inclusion (LFI) ja Directory Traversal yritykset. Voit myös nähdä raakaa voimaa yrityksiä. On olemassa erilaisia esimerkkejä ja opetusohjelmia, jotka auttavat sinua jäsentämään ja analysoimaan raaka lokit.
Jos saat enemmän mukava lokit voit nähdä asioita, kuten, kun teema ja plugin editorit ovat käytössä, kun joku päivittää widgetit ja kun viestit ja sivut lisätään. Kaikki keskeiset tekijät, kun teet rikosteknistä työtä web-palvelimella. Ovat muutamia WordPress turvallisuus plugins, jotka auttavat sinua tämän samoin, kuten Sucuri Auditing tool tai kirjausketju plugin.
on olemassa kaksi keskeistä avoimen lähdekoodin ratkaisua, jotka haluat www-palvelimellesi tietoturvan näkökulmasta, tämä on kerroksellinen lähestymistapa turvallisuuteen.
OSSEC voi toimia millä tahansa NIX-jakelulla ja toimii myös Windowsissa. Kun määritetty oikein sen erittäin tehokas. Ajatuksena on korreloida ja koota kaikki lokit. Sinun täytyy olla varma määrittää se kaapata kaikki access_logs ja error_logs ja jos sinulla on useita sivustoja palvelimella huomioon, että. Sinun kannattaa myös olla varma suodattaa pois melu. Oletusarvoisesti näet paljon melua ja haluat määrittää sen olevan todella tehokas.
Top
monitorointi # monitorointi
joskus ehkäisy ei riitä ja saatat silti joutua hakkeroiduksi. Siksi tunkeutumisen havaitseminen / valvonta on erittäin tärkeää. Sen avulla voit reagoida nopeammin, selvittää mitä tapahtui ja palauttaa sivustosi.
Top
lokien seuranta # lokien seuranta
Jos olet omistetulla tai virtuaalisella yksityisellä palvelimella, jossa sinulla on pääkäyttäjän ylellisyys, sinulla on kyky helposti konfiguroida asioita niin, että näet mitä tapahtuu. OSSEC helposti helpottaa tätä ja tässä on hieman kirjoittaa ylös, joka saattaa auttaa sinua OSSEC sivuston turvallisuus-osa I.
Top
Monitoring your files for changes # Monitoring your files for changes
When an attack happens, it always leave traces. Joko lokit tai tiedostojärjestelmä (uudet tiedostot, muokatut tiedostot, jne). Jos käytät esimerkiksi OSSECIA, se tarkkailee tiedostojasi ja hälyttää, kun ne muuttuvat.
tavoitteet # tavoitteet
tiedostojärjestelmän seurannan tavoitteita ovat:
- Monitor changed and added files
- kyky palauttaa rakeisia muutoksia
- automaattiset hälytykset
Top
Yleiset lähestymistavat # yleiset lähestymistavat
ylläpitäjät voivat seurata tiedostojärjestelmää yleisten teknologioiden kautta, kuten:
- Järjestelmätyökalut
- OS/kernel level monitoring
versionhallinta
Top
specific tools # specific tools
vaihtoehtoja tiedostojärjestelmän seurantaan ovat:
- vertaa sivustosi puhtaaseen testikopioon ja vertaa tuotantoon
- git – source code management
- Inotify – ja incron – OS kernel level file monitoring service, joka voi suorittaa komentoja tiedostojärjestelmän tapahtumissa
- Watcher – Python inotify library
- OSSEC – avoimen lähdekoodin Isäntäpohjainen tunkeutumisen tunnistusjärjestelmä, joka suorittaa lokianalyysin, tiedostojen eheyden tarkistuksen, politiikan seurannan, rootkit-tunnistuksen, reaaliaikaisen hälytyksen ja aktiivisen vastauksen.
Top
Considerations # Considerations
tiedostopohjaisen seurantastrategian määrittämisessä on monia huomioita, mm.
Suorita monitoring script/service nimellä root
tämä tekisi hyökkääjien vaikeaksi poistaa tai muokata tiedostojärjestelmän seurantaratkaisua.
Poista seuranta käytöstä määräaikaishuollon/päivitysten aikana
tämä estäisi tarpeettomat ilmoitukset, kun suoritat säännöllistä huoltoa sivustolla.
seuraa vain suoritettavia tiedostotyyppejä
voi olla kohtuullisen turvallista seurata vain suoritettavia tiedostotyyppejä, kuten .php-tiedostot jne.. Ei-suoritettavien tiedostojen suodattaminen voi vähentää turhia lokimerkintöjä ja hälytyksiä.
käytä tiukkoja tiedostojärjestelmän käyttöoikeuksia
Lue tiedostojen käyttöoikeuksien ja omistajuuden turvaamisesta. Yleensä, välttää sallimasta suorittaa ja kirjoittaa oikeuksia siinä määrin kuin mahdollista.
Top
Monitoring your web server externally # Monitoring your web server externally
jos hyökkääjä yrittää turmella sivustosi tai lisätä haittaohjelmia, voit myös havaita nämä muutokset käyttämällä web-pohjaista integrity monitor-ratkaisua. Tämä tulee monissa muodoissa tänään, Käytä suosikki hakukone ja etsiä Web haittaohjelmien havaitseminen ja korjaaminen ja saat todennäköisesti pitkä lista palveluntarjoajia.
Top
Resources # Resources
- How to Improve WordPress Security (Infographic)
- Security Plugins
- WordPress Security Cutting Through the BS
- e-Book: Locking Down WordPress
- wpsecure.net on muutamia oppaita miten lukita WordPress.
- a Beginners Guide to Hardening WordPress
- Brad Williams: Lock it Up (Video)
- 21 Ways to Secure Your WordPress Site
- Official docs on how to password protect directories with an .htaccess-tiedosto
- yksinkertainen tutorial on how to password protect the WordPress admin area and fix the 404 error
Top
See Also # See Also
- Security FAQ
- FAQ – sivustoni hakkeroitiin
- WordPress Security Whitepaper
rute Force Attacks