Sikkerhet i WordPress tas veldig alvorlig, men som med alle andre systemer er det potensielle sikkerhetsproblemer som kan oppstå hvis noen grunnleggende sikkerhetsforanstaltninger ikke tas. Denne artikkelen vil gå gjennom noen vanlige former for sårbarheter, og de tingene du kan gjøre for å holde WordPress-installasjonen sikker.
denne artikkelen er ikke den ultimate hurtigreparasjonen til dine sikkerhetsbekymringer. Hvis du har spesifikke sikkerhetsproblemer eller tvil, bør du diskutere dem med personer du stoler på å ha tilstrekkelig kunnskap om datasikkerhet og WordPress.
- Hva Er Sikkerhet? # Hva Er Sikkerhet?
- Sikkerhetstemaer # Sikkerhetstemaer
- Sårbarheter På Datamaskinen # Sårbarheter på Datamaskinen
- Sårbarheter I WordPress # Sårbarheter i WordPress
- Oppdatere WordPress # Oppdatere WordPress
- Rapportering Av Sikkerhetsproblemer # Rapportering Av Sikkerhetsproblemer
- Webserver Sårbarheter # Webserver Sårbarheter
- Nettverkssårbarheter # Nettverkssårbarheter
- Passord # Passord
- FTP # FTP
- Filtillatelser # Filtillatelser
- Endre filtillatelser # Endre filtillatelser
- Angående Automatiske Oppdateringer # Angående Automatiske Oppdateringer
- Databasesikkerhet # Databasesikkerhet
- Begrense Databasebrukerrettigheter # Begrense Databasebrukerrettigheter
- Sikring av wp-admin # Sikring av wp-admin
- Sikring av wp-inkluderer # Sikring av wp-inkluderer
- Sikring av wp-config.php # Sikring av wp-config.php
- Deaktiver Filredigering # Deaktiver Filredigering
- Plugins # Plugins
- Firewall # Firewall
- Plugins som trenger skrivetilgang # Plugins som trenger skrivetilgang
- kode kjøring plugins # Kode kjøring plugins
- Sikkerhet gjennom uklarhet # Sikkerhet gjennom uklarhet
- Sikkerhetskopiering Av Data # Sikkerhetskopiering av Data
- Logging # Logging
- Overvåking # Overvåking
- Overvåke loggene # Overvåke loggene
- Overvåke filene dine for endringer # Overvåke filene dine for endringer
- Mål # Mål
- Generelle tilnærminger # Generelle tilnærminger
- spesifikke verktøy # spesifikke verktøy
- Betraktninger # Betraktninger
- Overvåke webserveren eksternt # Overvåke webserveren eksternt
- Ressurser # Ressurser
- Se Også # Se Også
Hva Er Sikkerhet? # Hva Er Sikkerhet?
Sikkerhet handler I Utgangspunktet Ikke om helt sikre systemer. En slik ting kan vel være upraktisk, eller umulig å finne og / eller vedlikeholde. Hva sikkerhet er skjønt er risikoreduksjon, ikke risiko eliminering. Det handler om å bruke alle de riktige kontrollene som er tilgjengelige for deg, i grunn, som gjør at du kan forbedre din generelle holdning og redusere oddsen for å gjøre deg selv et mål, og deretter bli hacket.
Website Hosts
ofte er et godt sted å starte når det gjelder nettstedssikkerhet ditt hostingmiljø. I dag er det en rekke alternativer tilgjengelig for deg, og mens verter tilbyr sikkerhet til et visst nivå, er det viktig å forstå hvor deres ansvar slutter og din begynner. Her er en god artikkel som forklarer den kompliserte dynamikken mellom webverter og sikkerheten til nettstedet ditt. En sikker server beskytter personvernet, integriteten og tilgjengeligheten til ressursene under serveradministratorens kontroll.
Kvaliteter av en pålitelig webverten kan omfatte:
- diskuterer Lett dine sikkerhetsproblemer og hvilke sikkerhetsfunksjoner og prosesser de tilbyr med sin hosting.
- Gir de nyeste stabile versjonene av all serverprogramvare.
- Gir pålitelige metoder for sikkerhetskopiering og gjenoppretting.
Bestem hvilken sikkerhet du trenger på serveren din ved å bestemme programvaren og dataene som må sikres. Resten av denne guiden vil hjelpe deg med dette.Det er lett å se på web verter og passere ansvaret for sikkerhet til dem, men det er en enorm mengde sikkerhet som ligger på nettstedet eieren også. Webverter er ofte ansvarlige for infrastrukturen som nettstedet ditt sitter på, de er ikke ansvarlige for programmet du velger å installere.
for å forstå hvor og hvorfor dette er viktig, må du forstå hvordan nettsteder blir hacket, Sjelden tilskrives det infrastrukturen ,og oftest tilskrives selve applikasjonen (dvs. miljøet du er ansvarlig for).
Topp
Sikkerhetstemaer # Sikkerhetstemaer
Husk på noen generelle ideer mens du vurderer sikkerhet for hvert aspekt av systemet ditt:
Begrense tilgang
Gjør smarte valg som reduserer mulige inngangspunkter tilgjengelig for en ondsinnet person.
Containment
systemet bør konfigureres for å minimere mengden skade som kan gjøres i tilfelle at det er kompromittert.
Forberedelse og kunnskap
Holde sikkerhetskopier og vite tilstanden Til Din WordPress installasjon med jevne mellomrom. Å ha en plan for å sikkerhetskopiere og gjenopprette installasjonen i tilfelle katastrofe, kan hjelpe deg med å komme tilbake på nettet raskere i tilfelle et problem.
Klarerte Kilder
ikke få plugins / temaer fra ikke klarerte kilder. Begrens deg til WordPress.org repository eller kjente selskaper. Prøver å få plugins / temaer fra utsiden kan føre til problemer.
Topp
Sårbarheter På Datamaskinen # Sårbarheter på Datamaskinen
Kontroller at datamaskinene du bruker er fri for spyware, malware, og virusinfeksjoner. Ingen mengde sikkerhet I WordPress eller på webserveren din vil gjøre den minste forskjellen hvis det er en keylogger på datamaskinen.
hold alltid operativsystemet og programvaren på det, spesielt nettleseren din, oppdatert for å beskytte deg mot sikkerhetsproblemer. Hvis du surfer på usikre nettsteder, anbefaler vi også å bruke verktøy som no-script (eller deaktivere javascript / flash / java) i nettleseren din.
Topp
Sårbarheter I WordPress # Sårbarheter i WordPress
Som mange moderne programvarepakker oppdateres WordPress regelmessig for å løse nye sikkerhetsproblemer som kan oppstå. Forbedring av programvaresikkerhet er alltid en pågående bekymring, og for det formål bør du alltid holde deg oppdatert med den nyeste versjonen Av WordPress. Eldre Versjoner Av WordPress vedlikeholdes ikke med sikkerhetsoppdateringer.
Oppdatere WordPress # Oppdatere WordPress
Hovedartikkel: Oppdatere WordPress.
den nyeste versjonen Av WordPress er alltid tilgjengelig fra hoved WordPress nettsted på https://wordpress.org. Offisielle utgivelser er ikke tilgjengelige fra andre nettsteder – last aldri Ned Eller installer WordPress fra noe annet nettsted enn https://wordpress.org.
Siden versjon 3.7 Har WordPress hatt automatiske oppdateringer. Bruk denne funksjonaliteten til å lette prosessen med å holde deg oppdatert. Du kan også bruke WordPress Dashboard for å holde deg informert om oppdateringer. Les oppføringen I Dashbordet eller WordPress-Utviklerbloggen for å finne ut hvilke skritt du må ta for å oppdatere og forbli sikker.
hvis En sårbarhet oppdages I WordPress og en ny versjon slippes for å løse problemet, er informasjonen som kreves for å utnytte sårbarheten, nesten helt sikkert i det offentlige området. Dette gjør gamle versjoner mer åpne for angrep, og er en av hovedgrunnene til at Du alltid bør holde WordPress oppdatert.
hvis du er administrator med ansvar for Mer Enn En WordPress-installasjon, bør Du vurdere Å bruke Subversion for å gjøre administrasjonen enklere.
Topp
Rapportering Av Sikkerhetsproblemer # Rapportering Av Sikkerhetsproblemer
hvis Du tror du har funnet en sikkerhetsfeil I WordPress, kan du hjelpe ved å rapportere problemet. Se Vanlige Spørsmål Om Sikkerhet for informasjon om hvordan du rapporterer sikkerhetsproblemer.
hvis du tror du har funnet en feil, rapporter den. Se Sende Bugs for hvordan du gjør dette. Du kan ha avdekket en sårbarhet, eller en feil som kan føre til en.
Topp
Webserver Sårbarheter # Webserver Sårbarheter
webserveren som kjører WordPress, og programvaren på Den, kan ha sårbarheter. Sørg derfor for at du kjører sikre, stabile versjoner av webserveren og programvaren på den, eller sørg for at du bruker en pålitelig vert som tar vare på disse tingene for deg.
hvis du er på en delt server (en som er vert for andre nettsteder i tillegg til din egen) og et nettsted på samme server er kompromittert, kan nettstedet ditt potensielt bli kompromittert også selv om du følger alt i denne veiledningen. Sørg for å spørre webverten din hvilke sikkerhetsforanstaltninger de tar.
Topp
Nettverkssårbarheter # Nettverkssårbarheter
nettverket i Begge ender — WordPress-serversiden og klientnettverkssiden – bør stole på. Det betyr å oppdatere brannmurregler på hjemmeruteren din og være forsiktig med hvilke nettverk du jobber fra. En internettkafe hvor du sender passord over en ukryptert tilkobling, trådløs eller på annen måte, er ikke et klarert nettverk.
webverten din bør sørge for at nettverket ikke blir kompromittert av angripere, og du bør gjøre det samme. Nettverk sårbarheter kan tillate passord og annen sensitiv informasjon som skal fanges opp.
Topp
Passord # Passord
Mange potensielle sårbarheter kan unngås med gode sikkerhetsvaner. Et sterkt passord er en viktig del av dette.
målet med passordet ditt er å gjøre det vanskelig for andre å gjette og vanskelig for et brute force-angrep for å lykkes. Mange automatiske passordgeneratorer er tilgjengelige som kan brukes til å lage sikre passord.
WordPress har også et passord styrke meter som vises når du endrer passordet Ditt I WordPress. Bruk dette når du endrer passordet ditt for å sikre at dets styrke er tilstrekkelig.
Ting du bør unngå når du velger et passord:
- enhver permutasjon av ditt eget virkelige navn, brukernavn, firmanavn eller navnet på nettstedet ditt.
- et ord fra en ordbok, på alle språk.
- et kort passord.
- alle numeriske eller alfabetiske passord (en blanding av begge er best).
et sterkt passord er nødvendig, ikke bare for å beskytte blogginnholdet ditt. En hacker som får tilgang til administratorkontoen din, kan installere ondsinnede skript som potensielt kan kompromittere hele serveren din.
i tillegg til å bruke et sterkt passord, er det lurt å aktivere to-trinns godkjenning som et ekstra sikkerhetstiltak.
Topp
FTP # FTP
NÅR du kobler til serveren din, bør DU bruke SFTP-kryptering hvis webverten din gir den. Hvis du er usikker på om webverten din gir SFTP eller ikke, bare spør dem.
BRUK AV SFTP er DET SAMME SOM FTP, bortsett fra at passordet ditt og andre data krypteres når de overføres mellom datamaskinen og nettstedet ditt. Dette betyr at passordet ditt aldri sendes i det klare og ikke kan fanges opp av en angriper.
Topp
Filtillatelser # Filtillatelser
noen fine funksjoner I WordPress kommer fra at ulike filer kan skrives av webserveren. Men tillater skrivetilgang til filene dine er potensielt farlig, spesielt i en delt hosting miljø.
det er best å låse filtillatelsene dine så mye som mulig og å løsne disse restriksjonene ved anledninger du trenger for å tillate skrivetilgang, eller å opprette bestemte mapper med mindre begrensninger for å gjøre ting som å laste opp filer.
Her er en mulig tillatelsesordning.
alle filer skal eies av brukerkontoen din, og skal skrives av deg. Enhver fil som trenger skrivetilgang Fra WordPress, bør skrives av webserveren, hvis hostingoppsettet ditt krever det, kan det bety at disse filene må være gruppeeid av brukerkontoen som brukes av webserverprosessen.
/
roten WordPress-katalogen: alle filer skal bare skrives av brukerkontoen din, unntatt .htaccess
hvis Du vil At WordPress automatisk skal generere omskrivningsregler for deg.
/wp-admin/
administrasjonsområdet For WordPress: alle filer skal kun skrives av brukerkontoen din.
/wp-includes/
hoveddelen Av WordPress-applikasjonslogikken: alle filer skal kun skrives av brukerkontoen din.
/wp-content/
brukerinnhold: ment å kunne skrives av brukerkontoen din og webserverprosessen.
Innenfor /wp-content/
Vil Du finne:
/wp-content/themes/
Temafiler. Hvis du vil bruke den innebygde temaeditoren, må alle filer skrives av webserverprosessen. Hvis du ikke vil bruke den innebygde temaeditoren, kan alle filer kun skrives av brukerkontoen din.
/wp-content/plugins/
Plugin-filer: alle filer skal kun skrives av brukerkontoen din.
Andre kataloger som kan være til stede med /wp-content/
skal dokumenteres av hvilken plugin eller tema som krever dem. Tillatelser kan variere.
Topp
Endre filtillatelser # Endre filtillatelser
hvis du har shell-tilgang til serveren din, kan du endre filtillatelser rekursivt med følgende kommando:
For Kataloger:
find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;
For Filer:
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;
Topp
Angående Automatiske Oppdateringer # Angående Automatiske Oppdateringer
når Du forteller WordPress å utføre en automatisk oppdatering, utføres alle filoperasjoner som brukeren som eier filene, ikke som webserveren.bruker. Alle filer er satt til 0644 og alle kataloger er satt til 0755, og skrivbar av bare brukeren og lesbar av alle andre, inkludert webserveren.
Topp
Databasesikkerhet # Databasesikkerhet
hvis du kjører flere blogger på samme server, er det lurt å vurdere å holde dem i separate databaser hver administrert av en annen bruker. Dette oppnås best når Du utfører Den første WordPress-installasjonen. Dette er en inneslutningsstrategi: hvis en inntrenger lykkes med å knekke En WordPress-installasjon, gjør dette det så mye vanskeligere å endre dine andre blogger.
hvis Du administrerer MySQL selv, må du sørge for at Du forstår MySQL-konfigurasjonen og at unødvendige funksjoner (som å godta eksterne tcp-tilkoblinger) er deaktivert. Se Sikker MySQL Database Design for en fin introduksjon.
Topp
Begrense Databasebrukerrettigheter # Begrense Databasebrukerrettigheter
for normale WordPress-operasjoner, for eksempel å legge ut blogginnlegg, laste opp mediefiler, legge inn kommentarer, opprette Nye WordPress-brukere Og installere WordPress-plugins, Trenger MySQL-databasebrukeren bare datalesings-og dataskrivingsrettigheter Til MySQL-databasen; VELG, SETT INN, OPPDATER og SLETT.
alle andre databasestrukturer og administrasjonsrettigheter, SOM DROP, ALTER og GRANT, kan derfor tilbakekalles. Ved å tilbakekalle slike privilegier forbedrer du også inneslutningspolitikken.
Merk: noen plugins, temaer og store WordPress-oppdateringer kan kreve å gjøre databasestrukturendringer, for eksempel legge til nye tabeller eller endre skjemaet. I så fall, før du installerer plugin eller oppdaterer en programvare, må du midlertidig tillate databasebrukeren de nødvendige rettighetene.
ADVARSEL: Forsøk på oppdateringer uten å ha disse rettighetene kan føre til problemer når endringer i databaseskjemaet oppstår. Det anbefales derfor ikke å tilbakekalle disse privilegiene. Hvis du føler behov for å gjøre dette av sikkerhetshensyn, så må du sørge for at du har en solid backup plan på plass først, med vanlige hele database backup som du har testet er gyldige, og som lett kan gjenopprettes. En mislykket databaseoppgradering kan vanligvis løses ved å gjenopprette databasen tilbake til en gammel versjon, gi de riktige tillatelsene, og deretter la WordPress prøve databaseoppdateringen igjen. Gjenoppretting av databasen vil returnere den tilbake til den gamle versjonen, Og WordPress-administrasjonsskjermene vil da oppdage den gamle versjonen og tillate deg å kjøre de nødvendige SQL-kommandoene på den. De Fleste WordPress-oppgraderinger endrer ikke skjemaet, men noen gjør det. Bare større punktoppgraderinger (3,7 til 3,8, for eksempel) vil endre skjemaet. Mindre oppgraderinger (3.8 til 3.8.1) vil vanligvis ikke. Likevel, holde en vanlig backup.
Topp
Sikring av wp-admin # Sikring av wp-admin
Legge til server-side passordbeskyttelse (For Eksempel BasicAuth) til/wp-admin/
legger til et andre lag med beskyttelse rundt bloggens administrasjonsområde, påloggingsskjermen og filene dine. Dette tvinger en angriper eller bot til å angripe dette andre beskyttelseslaget i stedet for dine faktiske adminfiler. Mange WordPress-angrep utføres autonomt av skadelig programvare bots.
bare å sikrewp-admin/
katalogen kan også bryte Noen WordPress funksjonalitet, for EKSEMPEL AJAX handler påwp-admin/admin-ajax.php
. Se Delen Ressurser for mer dokumentasjon om hvordan du passordbeskytter din wp-admin/
katalog riktig.
de vanligste angrepene mot En WordPress-blogg faller vanligvis i to kategorier.
- Sende SPESIALLAGDE HTTP-forespørsler til serveren din med spesifikke utnyttelsesbelastninger for spesifikke sårbarheter. Disse inkluderer gamle / utdaterte plugins og programvare.
- Forsøker å få tilgang til bloggen din ved å bruke» brute-force » passord gjetting.
den ultimate gjennomføringen av denne» andre lag » passordbeskyttelse er å kreve EN HTTPS SSL kryptert tilkobling for administrasjon, slik at all kommunikasjon og sensitive data er kryptert. Se Administrasjon OVER SSL.
Topp
Sikring av wp-inkluderer # Sikring av wp-inkluderer
et andre lag med beskyttelse kan legges til der skript generelt ikke er ment å nås av noen bruker. En måte å gjøre det på er å blokkere disse skriptene ved hjelp av mod_rewrite i .htaccess-fil. Merk: for å sikre at koden nedenfor ikke overskrives Av WordPress, plasser den utenfor # BEGIN WordPress
og # END WordPress
– taggene i .htaccess-fil. WordPress kan overskrive alt mellom disse kodene.
Topp
Sikring av wp-config.php # Sikring av wp-config.php
du kan flyttewp-config.php
filen til katalogen over WordPress-installasjonen din. Dette betyr at for et nettsted installert i roten av webspace, kan du lagre wp-config.php
utenfor web-rotmappen.
Merk: Noen mennesker hevder at flytting wp-config.php har minimale sikkerhetsfordeler, og hvis det ikke gjøres nøye, kan det faktisk introdusere alvorlige sårbarheter. Andre er uenige.
Merk at wp-config.php
kan lagres ETT katalognivå over WordPress (der wp-inkluderer ligger) installasjon. Sørg også for at bare du (og webserveren) kan lese denne filen (det betyr vanligvis en 400 eller 440 tillatelse).
hvis du bruker en server med .htaccess, du kan sette dette i den filen (øverst) for å nekte tilgang til alle som surfer på den:
<files wp-config.php>order allow,denydeny from all</files>
Topp
Deaktiver Filredigering # Deaktiver Filredigering
WordPress-Dashbordet lar som standard administratorer redigere PHP-filer, for eksempel plugin-og temafiler. Dette er ofte det første verktøyet en angriper vil bruke hvis de kan logge inn, siden det tillater kjøring av kode. WordPress har en konstant å deaktivere redigering Fra Dashbordet. Plassere denne linjen i wp-config.php tilsvarer å fjerne’ edit_themes’,’ edit_plugins ‘og’ edit_files ‘ evner av alle brukere:
define('DISALLOW_FILE_EDIT', true);
dette forhindrer ikke at en angriper laster opp skadelige filer til nettstedet ditt, men kan stoppe noen angrep.
Topp
Plugins # Plugins
først av alt, sørg for at plugins er alltid oppdatert. Også, hvis du ikke bruker et bestemt plugin, slett det fra systemet.
Topp
Firewall # Firewall
det er mange plugins og tjenester som kan fungere som en brannmur for nettstedet ditt. Noen av dem fungerer ved å endre din .htaccess
fil og begrense noen tilgang På Apache nivå, før det er behandlet Av WordPress. Et godt eksempel er iThemes Security Eller All in One Wp Security. Noen brannmurplugger fungerer På WordPress-nivå, som WordFence og Shield, og prøver å filtrere angrep som WordPress laster, men før det er fullstendig behandlet.I tillegg til plugins kan DU også installere EN WAF (web firewall) på webserveren din for å filtrere innhold før Det behandles Av WordPress. Den mest populære open source WAF Er ModSecurity.
en nettside brannmur kan også legges som mellomledd mellom trafikken fra internett og din hosting server. Disse tjenestene alle fungere som reverse proxyer, der de aksepterer de første forespørsler og omdirigere dem til serveren din, stripping det av alle ondsinnede forespørsler. De oppnår dette ved å endre DNS-postene dine, via En a-post eller full DNS-bytte, slik at all trafikk kan passere gjennom det nye nettverket først. Dette fører til at all trafikk filtreres av brannmuren før du når nettstedet ditt. Noen få selskaper tilbyr en slik tjeneste, Som CloudFlare, Sucuri og Incapsula.
I Tillegg fungerer disse tredjeparts tjenesteleverandørene som Innholdsdistribusjonsnettverk (Cdn) som standard, og introduserer ytelsesoptimalisering og global rekkevidde.
Topp
Plugins som trenger skrivetilgang # Plugins som trenger skrivetilgang
hvis et plugin vil ha skrivetilgang til WordPress-filene og katalogene dine, vennligst les koden for å sikre at den er legitim eller sjekk med noen du stoler på. Mulige steder å sjekke Er Støttefora og IRC-Kanal.
Topp
kode kjøring plugins # Kode kjøring plugins
som vi sa, en del av målet med herding WordPress inneholder skaden gjort hvis det er et vellykket angrep. Plugins som tillater vilkårlig PHP eller annen kode for å utføre fra oppføringer i en database effektivt forstørre muligheten for skade i tilfelle et vellykket angrep.
en måte å unngå å bruke en slik plugin er å bruke egendefinerte sidemaler som kaller funksjonen. En del av sikkerheten dette gir, er bare aktiv når du ikke tillater filredigering I WordPress.
Topp
Sikkerhet gjennom uklarhet # Sikkerhet gjennom uklarhet
Sikkerhet gjennom uklarhet er generelt en usunn primærstrategi. Det er imidlertid områder I WordPress hvor skjult informasjon kan hjelpe med sikkerhet:
- Gi nytt navn til administrativ konto: når du oppretter en administrativ konto, unngå lett å gjette begreper som
admin
ellerwebmaster
som brukernavn fordi de vanligvis er utsatt for angrep først. På En Eksisterende WordPress-installasjon kan du omdøpe den eksisterende kontoen i MySQL-kommandolinjeklienten med en kommando somUPDATE wp_users SET user_login = 'newuser' WHERE user_login = 'admin';
, eller ved å bruke En MySQL frontend som phpMyAdmin. - Endre table_prefix: mange publiserte WordPress-spesifikke SQL-injeksjonsangrep antar at table_prefix er
wp_
, standard. Endring av dette kan blokkere minst NOEN SQL-injeksjonsangrep.
Topp
Sikkerhetskopiering Av Data # Sikkerhetskopiering av Data
Sikkerhetskopier dataene dine regelmessig, inkludert MySQL-databasene dine. Se hovedartikkelen: Sikkerhetskopiere Databasen.
dataintegritet er kritisk for klarerte sikkerhetskopier. Kryptere backup, holde en uavhengig oversikt OVER MD5 hashes for hver sikkerhetskopifil, og / eller plassere sikkerhetskopier på skrivebeskyttet media øker din tillit til at dataene ikke har blitt tuklet med.en lyd backup strategi kan inkludere å holde et sett med regelmessig tidsbestemte øyeblikksbilder av Hele WordPress installasjon (inkludert WordPress kjernefiler og databasen) på en klarert plassering. Tenk deg et nettsted som gjør ukentlige øyeblikksbilder. En slik strategi betyr at hvis et nettsted er kompromittert 1. Mai, men kompromisset ikke oppdages Før 12. Mai, vil nettstedseieren ha pre-kompromiss-sikkerhetskopier som kan bidra til å gjenoppbygge nettstedet og muligens til og med sikkerhetskopier etter kompromiss som vil hjelpe til med å bestemme hvordan nettstedet ble kompromittert.
Topp
Logging # Logging
Logger Er din beste venn når Det gjelder å forstå hva som skjer med nettstedet ditt, spesielt hvis du prøver å utføre etterforskning. I motsetning til popular tro, lar logger deg se hva som ble gjort og av hvem og når. Dessverre loggene vil ikke fortelle deg hvem, brukernavn, logget inn, men det vil tillate deg å identifisere IP og tid og enda viktigere, handlingene angriperen kan ha tatt. Du vil kunne se noen av disse angrepene via loggene-Cross Site Scripting (XSS), Remote File Inclusion (Rfi), Local File Inclusion (Lfi) og Directory Traversale forsøk. Du vil også kunne se brute force forsøk. Det finnes ulike eksempler og opplæringsprogrammer tilgjengelig for å hjelpe deg gjennom prosessen med å analysere og analysere råloggene dine.
hvis du blir mer komfortabel med loggene dine, kan du se ting som når tema-og plugin-redaktørene blir brukt, når noen oppdaterer widgetene dine og når innlegg og sider legges til. Alle viktige elementer når du gjør rettsmedisinske arbeid på webserveren. Det er Noen WordPress Sikkerhet plugins som hjelper deg med dette også, som Sucuri Revisjonsverktøy eller Audit Trail plugin.
Det er to viktige åpen kildekode-løsninger du vil ha på webserveren din fra et sikkerhetsperspektiv, dette er en lagdelt tilnærming til sikkerhet.OSSEC kan kjøre på noen nix distribusjon og vil også kjøre På Windows. Når det er riktig konfigurert, er det veldig kraftig. Ideen er korrelere og aggregere alle loggene. Du må være sikker på å konfigurere den til å fange opp alle access_logs og error_logs, og hvis du har flere nettsteder på serverkontoen for det. Du vil også være sikker på å filtrere ut støyen. Som standard ser du mye støy, og du vil konfigurere det til å være veldig effektivt.
Topp
Overvåking # Overvåking
noen ganger er forebygging ikke nok, og du kan fortsatt bli hacket. Det er derfor inntrengingsdeteksjon / overvåking er svært viktig. Det vil tillate deg å reagere raskere, finne ut hva som skjedde og gjenopprette nettstedet ditt.
Topp
Overvåke loggene # Overvåke loggene
hvis du er på en dedikert eller virtuell privat server, der du har luksusen av root-tilgang, har du muligheten til enkelt å konfigurere ting slik at du kan se hva som skjer. OSSEC forenkler lett dette, og her er en liten skrive opp som kan hjelpe DEG UT OSSEC For Website Security-Del I.
Topp
Overvåke filene dine for endringer # Overvåke filene dine for endringer
når et angrep skjer, forlater det alltid spor. Enten på loggene eller på filsystemet(nye filer, endrede filer, etc). Hvis DU bruker OSSEC for eksempel, vil den overvåke filene dine og varsle deg når de endres.
Mål # Mål
målene for filsystemsporing inkluderer:Logg endringer og tillegg
Topp
Generelle tilnærminger # Generelle tilnærminger
Administratorer kan overvåke filsystemet via generelle teknologier som:
- Systemverktøy
- Revisjonskontroll
- OS/kernel nivå overvåking
topp
spesifikke verktøy # spesifikke verktøy
Alternativer for filsystemovervåking inkluderer:diff-bygge ren test kopi av nettstedet ditt og sammenligne mot produksjon
Topp
Betraktninger # Betraktninger
når du konfigurerer en filbasert overvåkingsstrategi, er det mange betraktninger, inkludert følgende.
Kjør monitoring script / service som root
Dette vil gjøre det vanskelig for angripere å deaktivere eller endre filsystemet overvåking løsning.
Deaktiver overvåking under planlagt vedlikehold/oppgraderinger
dette vil forhindre unødvendige varsler når du utfører regelmessig vedlikehold på nettstedet.
Overvåk bare kjørbare filtyper
det kan være rimelig trygt å overvåke bare kjørbare filtyper, for eksempel .php-filer, etc.. Filtrering av ikke-kjørbare filer kan redusere unødvendige loggoppføringer og varsler.
Bruk strenge filsystemtillatelser
Les om sikring av filtillatelser og eierskap. Generelt, unngå å tillate kjøre og skrive tillatelser i den grad det er mulig.
Topp
Overvåke webserveren eksternt # Overvåke webserveren eksternt
hvis angriperen prøver å ødelegge nettstedet ditt eller legge til skadelig programvare, kan du også oppdage disse endringene ved hjelp av en nettbasert integrity monitor-løsning. Dette kommer i mange former i dag, bruk din favoritt søkemotor og se Etter Web Malware Deteksjon og Utbedring, og du vil sannsynligvis få en lang liste over tjenesteleverandører.
Topp
Ressurser # Ressurser
- Hvordan Forbedre WordPress Sikkerhet (Infographic)
- Sikkerhet Plugins
- WordPress Sikkerhet Skjære GJENNOM BS
- e-Bok: Låse Ned WordPress
- wpsecure.net har noen guider om hvordan du låser Ned WordPress.Brad Williams: Lås den Opp (Video)
- 21 Måter Å Sikre Ditt WordPress-Nettsted
- Offisielle dokumenter Om hvordan du passordbeskytter kataloger med en .htaccess fil
- Enkel tutorial på hvordan å passordbeskytte WordPress admin området og fikse 404 feil
Top
Se Også # Se Også
- SIKKERHET FAQ
- FAQ – min side ble hacket
- Brute Force Angrep
- WordPress Sikkerhet Whitepaper