Maybaygiare.org

Blog Network

WordPress.org

a WordPress biztonságát nagyon komolyan veszik, de mint minden más rendszer esetében, potenciális biztonsági problémák merülhetnek fel, ha néhány alapvető biztonsági óvintézkedést nem tesznek meg. Ez a cikk a sebezhetőségek néhány gyakori formáján, valamint a WordPress telepítésének biztonságának megőrzéséhez szükséges dolgokon megy keresztül.

Ez a cikk nem a végső gyors megoldás a biztonsági aggályokra. Ha konkrét biztonsági aggályai vagy kétségei vannak, beszélje meg azokat olyan emberekkel, akikben bízik, hogy elegendő ismeretekkel rendelkeznek a számítógépes biztonságról és a WordPress-ről.

mi a biztonság? # Mi a biztonság?

alapvetően a biztonság nem a tökéletesen biztonságos rendszerekről szól. Egy ilyen dolog lehet, hogy nem praktikus, vagy lehetetlen megtalálni és/vagy fenntartani. A biztonság azonban a kockázatcsökkentés, nem pedig a kockázat megszüntetése. Arról van szó, hogy az Ön számára elérhető összes megfelelő vezérlőt alkalmazza, ésszerűség határain belül, amelyek lehetővé teszik az Általános testtartás javítását, csökkentve annak esélyét, hogy célponttá váljon, később feltörve.

Website Hosts

gyakran egy jó kiindulópont, amikor a honlap biztonsági a hosting környezetben. Ma már számos lehetőség áll az Ön rendelkezésére, és bár a házigazdák bizonyos szintű biztonságot nyújtanak, fontos megérteni, hogy hol végződik a felelősségük, és a tiéd kezdődik. Itt van egy jó cikk, amely elmagyarázza a webgazdák és a webhely biztonsága közötti bonyolult dinamikát. A biztonságos szerver védi a szerver adminisztrátorának ellenőrzése alatt álló erőforrások adatvédelmét, integritását és rendelkezésre állását.

a megbízható webtárhely tulajdonságai a következők lehetnek:

  • könnyen megvitatja a biztonsági aggályokat, és milyen biztonsági funkciókat és folyamatokat kínálnak a tárhelyükkel.a
  • az összes szerverszoftver legfrissebb stabil verzióját tartalmazza.
  • megbízható módszereket biztosít a biztonsági mentéshez és a helyreállításhoz.

döntse el, hogy milyen biztonságra van szüksége a szerveren a szoftver és az adatok meghatározásával, amelyeket biztosítani kell. Az útmutató többi része segít ebben.

weboldal Alkalmazások

könnyű megnézni a webtárhelyeket, és átadni nekik a biztonság felelősségét, de óriási mennyiségű biztonság rejlik a weboldal tulajdonosán is. A webgazdák gyakran felelősek az infrastruktúráért, amelyen a webhelye ül, nem felelősek a telepíteni kívánt alkalmazásért.

ahhoz, hogy megértsük, hol és miért fontos ez, meg kell értenünk, hogy a webhelyek hogyan kerülnek feltörésre, ritkán tulajdonítják az infrastruktúrának, és leggyakrabban magának az alkalmazásnak (azaz a környezetnek, amelyért felelős).

Top

biztonsági témák # biztonsági témák

tartsa szem előtt néhány általános ötletet, miközben figyelembe veszi a rendszer minden aspektusának biztonságát:

hozzáférés korlátozása

okos döntések meghozatala, amelyek csökkentik a rosszindulatú személyek számára elérhető lehetséges belépési pontokat.

elszigetelés

a rendszert úgy kell beállítani, hogy minimalizálja az esetleges károk mértékét abban az esetben, ha veszélybe kerül.

előkészítés és tudás

biztonsági mentések megtartása és a WordPress telepítésének állapotának ismerete rendszeres időközönként. A katasztrófa esetén a telepítés biztonsági mentésének és helyreállításának terve segíthet abban, hogy probléma esetén gyorsabban térjen vissza az internetre.

megbízható források

nem kap plugins/témák nem megbízható forrásból. Korlátozza magát a WordPress.org adattár vagy jól ismert cégek. Ha kívülről próbál beépülő modulokat/témákat szerezni, problémákat okozhat.

Top

biztonsági rések a számítógépen # biztonsági rések a számítógépen

győződjön meg arról, hogy a használt számítógépek mentesek a kémprogramoktól, rosszindulatú programoktól és vírusfertőzésektől. A WordPress vagy a webkiszolgáló semmilyen biztonsága nem teszi a legkisebb különbséget, ha van egy keylogger a számítógépen.

mindig tartsa naprakészen az operációs rendszert és a rajta lévő szoftvert, különösen a webböngészőt, hogy megvédje Önt a biztonsági résektől. Ha nem megbízható webhelyeket böngész, javasoljuk olyan eszközök használatát is, mint a no-script (vagy a javascript/flash/java letiltása) a böngészőben.

Top

sebezhetőségek a WordPress-ben # sebezhetőségek a WordPress-ben

mint sok modern szoftvercsomag, a WordPress rendszeresen frissül, hogy foglalkozzon az esetlegesen felmerülő új biztonsági problémákkal. A szoftverbiztonság javítása mindig folyamatos aggodalomra ad okot, ezért mindig naprakészen kell tartania a WordPress legújabb verzióját. A WordPress régebbi verzióit nem tartják fenn biztonsági frissítésekkel.

WordPress frissítése # WordPress frissítése

fő cikk: WordPress frissítése.

a WordPress legújabb verziója mindig elérhető a WordPress fő webhelyéről a https://wordpress.orgcímen. A hivatalos kiadások nem érhetők el más webhelyekről — soha ne töltse le vagy telepítse a WordPress-t más webhelyről, mint https://wordpress.org.

a 3.7-es verzió óta a WordPress automatikus frissítéseket tartalmaz. Használja ezt a funkciót, hogy megkönnyítse a naprakészség folyamatát. A WordPress irányítópultját is használhatja, hogy folyamatosan tájékozódjon a frissítésekről. Olvassa el az irányítópult vagy a WordPress fejlesztői Blog bejegyzését, hogy meghatározza, milyen lépéseket kell tennie a frissítéshez és a biztonság megőrzéséhez.

Ha sebezhetőséget fedeznek fel a WordPress-ben, és egy új verzió jelenik meg a probléma megoldására, a biztonsági rés kihasználásához szükséges információk szinte biztosan nyilvánosak. Ez a régi verziókat nyitottabbá teszi a támadásra, és ez az egyik elsődleges oka annak, hogy a WordPress-t mindig naprakészen kell tartani.

Ha ön több WordPress telepítésért felelős rendszergazda, fontolja meg a Subversion használatát a kezelés megkönnyítése érdekében.

Top

biztonsági problémák jelentése # biztonsági problémák jelentése

Ha úgy gondolja, hogy biztonsági hibát talált a WordPress programban, segíthet a probléma bejelentésével. A biztonsági problémák bejelentésével kapcsolatos információkért lásd a biztonsági GYIK oldalt.

Ha úgy gondolja, hogy hibát talált,jelentse. Lásd beküldése hibákat, hogyan kell ezt csinálni. Lehet, hogy felfedezett egy sebezhetőséget, vagy egy hibát, amely ahhoz vezethet.

Top

webkiszolgáló sérülékenységei # webkiszolgáló sérülékenységei

a WordPress-t futtató webkiszolgáló és a rajta lévő szoftver sebezhetőségeket tartalmazhat. Ezért győződjön meg róla, hogy a webkiszolgáló és a rajta lévő szoftver biztonságos, stabil verzióit futtatja, vagy győződjön meg arról, hogy megbízható gazdagépet használ, amely gondoskodik ezekről a dolgokról.

Ha megosztott szerveren van (amely a sajátján kívül más webhelyeket is tárol), és ugyanazon a szerveren található webhely veszélybe kerül, akkor a webhelye is veszélybe kerülhet, még akkor is, ha mindent követ ebben az útmutatóban. Győződjön meg róla, hogy kérdezze meg a web host milyen biztonsági óvintézkedéseket tesznek.

Top

hálózati sebezhetőségek # hálózati sebezhetőségek

a hálózat mindkét végén — a WordPress szerver és az ügyfélhálózat oldalán — meg kell bízni. Ez azt jelenti, hogy frissíti a tűzfalszabályokat az otthoni útválasztón, és ügyel arra, hogy milyen hálózatokról dolgozik. Az internetes kávézó, ahol jelszavakat küld titkosítatlan kapcsolaton keresztül, vezeték nélküli vagy más módon, nem megbízható hálózat.

a webes gazdagépnek ügyelnie kell arra, hogy a hálózatukat ne veszélyeztessék a támadók, és ugyanezt kell tennie. A hálózati sebezhetőségek lehetővé teszik a jelszavak és más érzékeny információk lehallgatását.

Top

jelszavak # jelszavak

jó biztonsági szokásokkal sok lehetséges sebezhetőség elkerülhető. Az erős jelszó ennek fontos szempontja.

a jelszavaddal az a célod, hogy megnehezítsd mások számára a találgatást, és hogy a brute force támadás sikeres legyen. Számos automatikus jelszógenerátor áll rendelkezésre, amelyek biztonságos jelszavak létrehozására használhatók.

a WordPress tartalmaz egy jelszó erősség mérőt is, amely akkor jelenik meg, amikor megváltoztatja a jelszavát a WordPress programban. Használja ezt a jelszó megváltoztatásakor, hogy megbizonyosodjon arról, hogy az erőssége megfelelő-e.

a jelszó kiválasztásakor elkerülendő dolgok:

  • a saját valódi nevének, felhasználónevének, cégnevének vagy webhelyének bármilyen permutációja.
  • egy szó egy szótárból, bármilyen nyelven.
  • rövid jelszó.
  • bármely csak numerikus vagy csak alfabetikus jelszó (mindkettő keveréke a legjobb).

erős jelszó nem csak a blog tartalmának védelme érdekében szükséges. Az a hacker, aki hozzáférést kap az adminisztrátori fiókjához, képes rosszindulatú szkripteket telepíteni, amelyek potenciálisan veszélyeztethetik az egész szervert.

az erős jelszó használata mellett célszerű további biztonsági intézkedésként engedélyezni a kétlépcsős hitelesítést.

Top

FTP # FTP

a kiszolgálóhoz való csatlakozáskor SFTP titkosítást kell használni, ha a webgazda biztosítja. Ha nem biztos abban, hogy a webgazda biztosítja-e az SFTP-t vagy sem, csak kérdezze meg őket.

az SFTP használata ugyanaz, mint az FTP, kivéve, hogy a jelszó és más adatok titkosítva vannak, mivel a számítógép és a webhely között továbbításra kerülnek. Ez azt jelenti, hogy a jelszó soha nem kerül elküldésre, és a támadó nem tudja elfogni.

Top

Fájl engedélyek # Fájl engedélyek

a WordPress néhány ügyes funkciója abból származik, hogy lehetővé teszi a különféle fájlok írását a webszerver által. A fájlokhoz való Írási hozzáférés engedélyezése azonban potenciálisan veszélyes, különösen megosztott tárhelykörnyezetben.

a legjobb, ha a lehető legnagyobb mértékben lezárja a fájlengedélyeket, és lazítja ezeket a korlátozásokat olyan esetekben, amikor engedélyeznie kell az írási hozzáférést, vagy hozzon létre konkrét mappákat kevesebb korlátozással, például fájlok feltöltése céljából.

itt van egy lehetséges engedélyezési rendszer.

minden fájlnak az Ön felhasználói fiókjának kell lennie, és Önnek írhatónak kell lennie. Minden olyan fájlnak, amelyhez írási hozzáférésre van szüksége a WordPress-től, a webszervernek írhatónak kell lennie, ha a tárhely beállítása megköveteli, ez azt jelentheti, hogy ezeket a fájlokat a webszerver folyamat által használt felhasználói fiók csoport tulajdonában kell lennie.

/

a gyökér WordPress könyvtár: minden fájl írható csak a felhasználói fiók, kivéve .htaccess ha azt szeretné, hogy a WordPress automatikusan létrehoz újraírási szabályokat az Ön számára.

/wp-admin/

a WordPress adminisztrációs területe: az összes fájlt csak a felhasználói fiókja írhatja.

/wp-includes/

a WordPress alkalmazás logikájának nagy része: az összes fájlt csak a felhasználói fiókja írhatja.

/wp-content/

Felhasználói tartalom: az Ön felhasználói fiókja és a webszerver folyamata által írható.

belül /wp-content/ meg fogja találni:

/wp-content/themes/

téma fájlokat. Ha szeretné használni a beépített téma szerkesztő, minden fájlt kell írható a webszerver folyamat. Ha nem akarja használni a beépített témaszerkesztőt, akkor az összes fájlt csak a felhasználói fiók írhatja.

/wp-content/plugins/

Plugin files: Minden fájl írható csak a felhasználói fiók.

Egyéb könyvtárak, amelyek jelen lehetnek a /wp-content/ dokumentálni kell bármelyik plugin vagy téma megköveteli őket. Az engedélyek változhatnak.

Top

fájlalehetőségek módosítása # fájlalehetőségek módosítása

ha shell hozzáféréssel rendelkezik a kiszolgálóhoz, a következő paranccsal rekurzívan módosíthatja a fájlalehetőségeket:

könyvtárak esetében:

find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;

fájlok esetében:

find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;

Top

az automatikus frissítésekkel kapcsolatban # az automatikus frissítésekkel kapcsolatban

amikor azt mondja a WordPress-nek, hogy hajtson végre automatikus frissítést, az összes fájlműveletet a fájlok tulajdonosa, nem pedig a webkiszolgáló szervere végzi felhasználó. Az összes fájl 0644-re, az összes könyvtár pedig 0755-re van állítva, és csak a felhasználó írhatja, és mindenki más is olvashatja, beleértve a webszervert is.

Top

Database Security # Database Security

Ha több blogot futtat ugyanazon a szerveren, érdemes megfontolni, hogy azokat külön-külön, egy-egy felhasználó által kezelt adatbázisokban tartsuk. Ez a legjobb a WordPress kezdeti telepítésének végrehajtásakor. Ez egy elszigetelési stratégia: ha egy betolakodó sikeresen feltöri az egyik WordPress telepítést, ez sokkal nehezebbé teszi a többi blog megváltoztatását.

ha saját maga kezeli a MySQL-t, győződjön meg arról, hogy megértette a MySQL-konfigurációt, és hogy a szükségtelen funkciók (például a távoli TCP-kapcsolatok elfogadása) le vannak tiltva. Lásd biztonságos MySQL adatbázis tervezés egy szép bevezetés.

Top

az adatbázis felhasználói jogosultságainak korlátozása # az adatbázis felhasználói jogosultságok korlátozása

a szokásos WordPress műveletekhez, például blogbejegyzések közzétételéhez, médiafájlok feltöltéséhez, megjegyzések közzétételéhez, új WordPress felhasználók létrehozásához és a WordPress beépülő modulok telepítéséhez a MySQL adatbázis-felhasználónak csak adatolvasási és adatírási jogosultságokra van szüksége a MySQL adatbázishoz; Kijelölés, beszúrás, frissítés és törlés.

ezért minden más adatbázis-struktúra és adminisztrációs jogosultság, például a DROP, ALTER és GRANT visszavonható. Az ilyen jogosultságok visszavonásával javítja az elszigetelési politikákat is.

megjegyzés: egyes bővítmények, témák és főbb WordPress frissítések szükségessé tehetik az adatbázis szerkezeti módosítását, például új táblák hozzáadását vagy a séma módosítását. Ebben az esetben a plugin telepítése vagy a szoftver frissítése előtt ideiglenesen engedélyeznie kell az adatbázis-felhasználó számára a szükséges jogosultságokat.

figyelmeztetés: A frissítések megkísérlése ezen jogosultságok nélkül problémákat okozhat, ha az adatbázis-séma megváltozik. Ezért nem ajánlott visszavonni ezeket a kiváltságokat. Ha úgy érzi, hogy szükség van erre biztonsági okokból, akkor kérjük, győződjön meg arról, hogy van egy szilárd biztonsági tervet a helyén az első, a rendszeres teljes adatbázis mentések, amelyek már tesztelt érvényesek, és hogy könnyen visszaállítható. A sikertelen adatbázis-frissítés általában úgy oldható meg, hogy visszaállítja az adatbázist egy régi verzióra, megadja a megfelelő engedélyeket, majd hagyja, hogy a WordPress újra megpróbálja az adatbázis-frissítést. Az adatbázis visszaállítása visszaállítja azt a régi verzióra, és a WordPress adminisztrációs képernyője felismeri a régi verziót, és lehetővé teszi a szükséges SQL parancsok futtatását rajta. A legtöbb WordPress frissítés nem változtatja meg a sémát, de néhány igen. Csak a főbb pontfrissítések (például 3.7-3.8) változtatják meg a sémát. Kisebb frissítések (3.8-3.8.1) általában nem. Ennek ellenére tartson rendszeres biztonsági másolatot.

Top

A wp-admin biztosítása # a wp-admin biztosítása

szerveroldali jelszavas védelem (például BasicAuth) hozzáadása a /wp-admin/ egy második védelmi réteget ad hozzá a blog adminisztrációs területe, a bejelentkezési képernyő és a fájlok körül. Ez arra kényszeríti a támadót vagy a botot, hogy megtámadja ezt a második védelmi réteget a tényleges rendszergazdai fájlok helyett. Sok WordPress támadást önállóan hajtanak végre rosszindulatú szoftver botok.

a wp-admin/ könyvtár egyszerű biztosítása szintén megszakíthat néhány WordPress funkciót, például az AJAX kezelőt a wp-admin/admin-ajax.phpcímen. A wp-admin/ könyvtár megfelelő jelszavas védelméről az erőforrások részben talál további dokumentációt.

a WordPress blog elleni leggyakoribb támadások általában két kategóriába sorolhatók.

  1. speciálisan kialakított HTTP-kérések küldése a kiszolgálóra, konkrét sebezhetőségek kihasználásával. Ezek közé tartoznak a régi / elavult bővítmények és szoftverek.
  2. próbál hozzáférni a blog segítségével “brute-force” jelszó találgatás.

ennek a “második réteg” jelszóvédelemnek a végső megvalósítása az, hogy HTTPS SSL titkosított kapcsolatot igényel az adminisztrációhoz, így minden kommunikáció és érzékeny adat titkosítva van. Lásd adminisztráció SSL-en keresztül.

Top

A WP-includes # biztosítása WP-includes

egy második védelmi réteg hozzáadható, ahol a szkriptek általában nem szándékoznak hozzáférni egyetlen felhasználó számára sem. Ennek egyik módja az, hogy blokkolja ezeket a szkripteket a mod_rewrite használatával .htaccess fájl. Megjegyzés: annak érdekében, hogy az alábbi kódot ne írja felül a WordPress, helyezze a # BEGIN WordPress és # END WordPress címkéken kívülre .htaccess fájl. A WordPress bármit felülírhat ezen címkék között.

Top

A wp-config biztosítása.php # biztonságos wp-config.php

áthelyezheti a wp-config.php fájlt a WordPress telepítése feletti könyvtárba. Ez azt jelenti, hogy a webhely gyökerébe telepített webhelyeknél a wp-config.php tárolható a web-gyökérmappán kívül.

Megjegyzés: Vannak, akik azt állítják, hogy a mozgó wp-config.a php-nek minimális biztonsági előnyei vannak, és ha nem gondosan hajtják végre, valójában súlyos sebezhetőségeket okozhat. Mások nem értenek egyet.

vegye figyelembe, hogy a wp-config.php egy könyvtárszinttel a WordPress (ahol a wp-tartalmazza a lakóhelyeket) telepítése felett tárolható. Győződjön meg arról is, hogy csak Ön (és a webszerver) tudja olvasni ezt a fájlt (ez általában 400 vagy 440 engedélyt jelent).

ha kiszolgálót használ .htaccess, akkor tegye ezt a fájlt (a legtetején), hogy megtagadja a hozzáférést bárki szörfözés érte:

<files wp-config.php>order allow,denydeny from all</files>

Top

fájlszerkesztés letiltása # fájlszerkesztés letiltása

a WordPress Irányítópult alapértelmezés szerint lehetővé teszi a rendszergazdák számára a PHP fájlok, például a plugin és a témafájlok szerkesztését. Gyakran ez az első eszköz, amelyet a támadó használ, ha képes bejelentkezni, mivel lehetővé teszi a kódfuttatást. A WordPress állandó, hogy letiltja a szerkesztést az irányítópultról. Helyezze ezt a sort a wp-config-be.a php egyenértékű az összes felhasználó ‘edit_themes’, ‘edit_plugins’ és ‘edit_files’ képességeinek eltávolításával:

define('DISALLOW_FILE_EDIT', true);

Ez nem akadályozza meg a támadókat abban, hogy rosszindulatú fájlokat töltsenek fel az Ön webhelyére, de megállíthat néhány támadást.

Top

Plugins # Plugins

először is győződjön meg róla, hogy a plugins mindig frissül. Továbbá, ha nem egy adott plugint használ, törölje azt a rendszerből.

Top

tűzfal # tűzfal

számos plugin és szolgáltatás létezik, amelyek tűzfalként működhetnek az Ön webhelyén. Néhány közülük a munka módosításával .htaccess
fájl és korlátozza a hozzáférést az Apache szinten, mielőtt a WordPress feldolgozza. Jó példa erre az iThemes Security vagy az All In One WP Security. Egyes tűzfal-bővítmények a WordPress szintjén működnek, mint például a WordFence és a Shield, és megpróbálják kiszűrni a támadásokat, amikor a WordPress betöltődik, de még mielőtt teljesen feldolgoznák.

a bővítmények mellett telepíthet egy WAF-ot (web tűzfal) a webkiszolgálóra A tartalom szűrésére, mielőtt a WordPress feldolgozná. A legnépszerűbb nyílt forráskódú WAF a ModSecurity.

a webhely tűzfala is hozzáadható közvetítőként az internetről érkező forgalom és a hosting szerver között. Ezek a szolgáltatások minden funkció fordított proxy, amelyben elfogadják a kezdeti kéréseket, majd átirányítani őket, hogy a szerver, stripping minden rosszindulatú kéréseket. Ezt úgy érik el, hogy módosítják a DNS-rekordokat egy a-rekord vagy teljes DNS-csere útján, lehetővé téve az összes forgalom áthaladását az új hálózaton. Ez azt eredményezi, hogy az összes forgalmat a tűzfal szűri, mielőtt elérné webhelyét. Néhány vállalat kínál ilyen szolgáltatást, mint a CloudFlare, a Sucuri és az Incapsula.

Ezen kívül ezek a külső szolgáltatók alapértelmezés szerint tartalomelosztó hálózatként (CDN) működnek, bevezetve a teljesítményoptimalizálást és a globális elérést.

Top

bővítmények, amelyek írási hozzáférést igényelnek # olyan bővítmények, amelyek írási hozzáférést igényelnek

Ha egy plugin írási hozzáférést akar a WordPress fájljaihoz és könyvtáraihoz, kérjük, olvassa el a kódot, hogy megbizonyosodjon arról, hogy legitim-e, vagy ellenőrizze valakivel, akiben megbízik. Lehetséges helyek a támogatási fórumok és az IRC csatorna.

Top

kódvégrehajtási bővítmények # kódvégrehajtási bővítmények

mint mondtuk, a WordPress megkeményedésének célja része a sikeres támadás esetén okozott károknak. Azok a bővítmények, amelyek lehetővé teszik tetszőleges PHP vagy más kód végrehajtását az adatbázis bejegyzéseiből, hatékonyan felnagyítják a sérülés lehetőségét sikeres támadás esetén.

az ilyen plugin használatának elkerülésének egyik módja az egyéni oldalsablonok használata, amelyek meghívják a funkciót. A biztonság egy része csak akkor aktív, ha letiltja a fájlszerkesztést a WordPress-en belül.

Top

biztonság a homályon keresztül # biztonság a homályon keresztül

a homályon keresztüli biztonság általában nem megalapozott elsődleges stratégia. Vannak azonban olyan területek a WordPress-ben, ahol az információk elhomályosítása segíthet a biztonság szempontjából:

  1. nevezze át az adminisztrátori fiókot: adminisztratív Fiók létrehozásakor kerülje az olyan könnyen kitalálható kifejezéseket, mint a admin vagy webmaster felhasználónévként, mert általában először támadásoknak vannak kitéve. Egy meglévő WordPress telepítésnél átnevezheti a meglévő fiókot a MySQL parancssori kliensben olyan paranccsal, mint a UPDATE wp_users SET user_login = 'newuser' WHERE user_login = 'admin';, vagy egy MySQL frontend használatával, mint a phpMyAdmin.
  2. változtassa meg a table_prefix-et: sok közzétett WordPress-specifikus SQL-injekciós támadás feltételezi, hogy a table_prefixwp_, az alapértelmezett. Ennek megváltoztatása blokkolhat legalább néhány SQL injekciós támadást.

Top

adatmentések # adatmentések

rendszeresen készítsen biztonsági másolatot az adatokról, beleértve a MySQL adatbázisokat is. Lásd a fő cikket: Az Adatbázis Biztonsági Mentése.

Az adatok integritása kritikus fontosságú a megbízható biztonsági mentésekhez. A biztonsági mentés titkosítása, az MD5 kivonatok független nyilvántartása az egyes biztonsági mentési fájlokhoz, és / vagy a biztonsági mentések csak olvasható adathordozóra helyezése növeli a bizalmat abban, hogy az adatokat nem manipulálták.

a hangmentési stratégia magában foglalhatja a WordPress teljes telepítésének (beleértve a WordPress core fájlokat és az adatbázist) rendszeresen időzített pillanatképeinek megbízható helyen tartását. Képzeljen el egy webhelyet, amely heti pillanatképeket készít. Egy ilyen stratégia azt jelenti, hogy ha egy webhely május 1-jén veszélybe kerül, de a kompromisszumot május 12-ig nem észlelik, a webhely tulajdonosának kompromisszum előtti biztonsági mentései lesznek, amelyek segíthetnek a webhely újjáépítésében, és esetleg még a kompromisszum utáni biztonsági mentésekben is, amelyek segítenek meghatározni, hogy a webhely hogyan került veszélybe.

Top

naplózás # naplózás

a naplók a legjobb barátok, amikor megértik, mi történik a webhelyével, különösen, ha kriminalisztikát próbál végrehajtani. A közhiedelemmel ellentétben a naplók lehetővé teszik, hogy lássa, mit tettek, ki és mikor. Sajnos a naplók nem fogják megmondani, hogy ki, felhasználónév, bejelentkezett, de lehetővé teszi az IP és az idő azonosítását, és ami még fontosabb, a támadó által végrehajtott műveletek. Ezen támadások bármelyikét láthatja a naplókon keresztül-Cross Site Scripting (XSS), Remote File Inclusion (rfi), Local File Inclusion (LFI) és Directory Traversal kísérletek. Ön is képes lesz arra, hogy nyers erő kísérletek. Különböző példák és oktatóanyagok állnak rendelkezésre, amelyek segítenek a nyers naplók elemzésének és elemzésének folyamatában.

Ha jobban érzi magát a naplókkal, akkor olyan dolgokat láthat, mint például a téma és a plugin szerkesztők használata, amikor valaki frissíti a widgeteket, és amikor bejegyzéseket és oldalakat ad hozzá. Minden kulcsfontosságú elem, amikor törvényszéki munkát végez a webszerveren. Néhány WordPress biztonsági beépülő modul, amely ebben is segít, például a Sucuri Auditing tool vagy az Audit Trail plugin.

két kulcsfontosságú nyílt forráskódú megoldást szeretne a webszerveren biztonsági szempontból, ez egy réteges megközelítés a biztonsághoz.

az OSSEC bármilyen Nix disztribúción futtatható, és Windows rendszeren is fut. Ha helyesen van beállítva, nagyon erős. Az ötlet korrelál és összesíti az összes naplót. Meg kell győződnie arról, hogy konfigurálja az összes access_logs és error_logs rögzítését, és ha több webhely van a szerver fiókjában. Azt is szeretné, hogy biztosan kiszűrje a zajt. Alapértelmezés szerint sok zajt fog látni, és azt szeretné beállítani, hogy valóban hatékony legyen.

Top

Monitoring # Monitoring

néha a megelőzés nem elég, és lehet, hogy még mindig csapkodott. Ezért nagyon fontos a behatolás észlelése/megfigyelése. Ez lehetővé teszi, hogy gyorsabban reagáljon, megtudja, mi történt és helyreállítsa webhelyét.

Top

A naplók figyelése #a naplók figyelése

ha dedikált vagy virtuális privát szerveren van, ahol a root hozzáférés luxusa van, akkor könnyen konfigurálhatja a dolgokat, hogy láthassa, mi folyik itt. Az OSSEC könnyen megkönnyíti ezt, és itt van egy kis írás, amely segíthet az OSSEC-nek a weboldal biztonságához-I. rész.

Top

A fájlok változásainak figyelése # a fájlok változásainak figyelése

amikor támadás történik, mindig nyomokat hagy. Vagy a naplókon, vagy a fájlrendszeren (új fájlok, módosított fájlok stb.). Ha például az OSSEC-et használja, figyelemmel kíséri a fájlokat, és figyelmezteti Önt, ha azok megváltoznak.

célok # célok

a fájlrendszer-követés céljai a következők:

  • monitor megváltozott és hozzáadott fájlok
  • Log változások és kiegészítések
  • képesség, hogy visszaállítsa a szemcsés változások
  • automatikus riasztások

Top

általános megközelítések # általános megközelítések

a rendszergazdák nyomon fájlrendszer keresztül általános technológiák, mint például:

  • rendszer segédprogramok
  • revízió vezérlés
  • OS/kernel szintű monitoring

top

specifikus eszközök # specifikus eszközök

a fájlrendszer megfigyelésének lehetőségei a következők:

  • diff-építsd tiszta teszt másolatát a helyszínen, és hasonlítsa össze a termelés
  • Git-source code management
  • inotify és incron – OS kernel szintű fájl felügyeleti szolgáltatás, amely képes futtatni parancsokat fájlrendszer események
  • Watcher – Python inotify library
  • OSSEC – nyílt forráskódú Host-alapú behatolásérzékelő rendszer, amely elvégzi log elemzés, fájl integritásának ellenőrzése, házirend-felügyelet, rootkit érzékelés, valós idejű riasztást és aktív válasz.

Top

megfontolások # megfontolások

a fájl alapú megfigyelési stratégia konfigurálásakor számos szempont van, beleértve a következőket.

futtassa a felügyeleti szkriptet/szolgáltatást root

ez megnehezíti a támadók számára a fájlrendszer-felügyeleti megoldás letiltását vagy módosítását.

tiltsa le a megfigyelést az ütemezett karbantartás/frissítés során

Ez megakadályozza a felesleges értesítéseket, amikor rendszeres karbantartást végez a webhelyen.

csak végrehajtható fájltípusok figyelése

meglehetősen biztonságos lehet csak végrehajtható fájltípusok figyelése, például .php fájlok stb.. A nem futtatható fájlok kiszűrése csökkentheti a felesleges naplóbejegyzéseket és riasztásokat.

használjon szigorú fájlrendszer-engedélyeket

olvassa el a fájlengedélyek és a tulajdonjog biztosításáról szóló információkat. Általában kerülje a végrehajtási és írási engedélyek engedélyezését a lehető legnagyobb mértékben.

Top

A webkiszolgáló külső megfigyelése # a webkiszolgáló külső megfigyelése

Ha a támadó megpróbálja megrongálni a webhelyet, vagy rosszindulatú programot ad hozzá, ezeket a változásokat webalapú integritásfigyelő megoldással is észlelheti. Ez jön a sok formában ma, használja a kedvenc kereső, és keresse meg a webes Malware észlelés és kármentesítés, és akkor valószínűleg kap egy hosszú listát a szolgáltatók.

Top

Resources # Resources

  • hogyan lehet javítani a WordPress biztonsági (Infographic)
  • biztonsági Plugins
  • WordPress biztonsági átvágása a BS
  • e-Book: zár le WordPress
  • wpsecure.net van néhány útmutatója a WordPress lezárásáról.
  • a kezdők Útmutató edzés WordPress
  • Brad Williams: Lock it Up (Videó)
  • 21 Ways, hogy biztosítsa a WordPress Site
  • hivatalos dokumentumok hogyan jelszóval védett könyvtárak egy .htaccess fájl
  • egyszerű bemutató arról, hogyan kell jelszóval védeni a WordPress adminisztrációs területét és kijavítani a 404-es hibát

Top

Lásd még # Lásd még

  • biztonsági GYIK
  • GYIK-a webhelyemet feltörték
  • Brute Force támadások
  • WordPress biztonsági Whitepaper

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.