bezpieczeństwo w WordPress jest traktowane bardzo poważnie, ale jak w przypadku każdego innego systemu istnieją potencjalne problemy z bezpieczeństwem, które mogą pojawić się, jeśli nie zostaną podjęte podstawowe środki bezpieczeństwa. W tym artykule omówimy niektóre typowe formy luk w zabezpieczeniach i rzeczy, które możesz zrobić, aby zapewnić bezpieczeństwo instalacji WordPress.
Ten artykuł nie jest ostatecznym szybkim rozwiązaniem problemów związanych z bezpieczeństwem. Jeśli masz szczególne obawy lub wątpliwości dotyczące bezpieczeństwa, powinieneś omówić je z osobami, którym ufasz, że mają wystarczającą wiedzę na temat bezpieczeństwa komputera i WordPressa.
czym jest bezpieczeństwo? # Czym jest bezpieczeństwo?
zasadniczo Bezpieczeństwo Nie polega na idealnie bezpiecznych systemach. Takie rzeczy mogą być niepraktyczne lub niemożliwe do znalezienia i / lub utrzymania. Bezpieczeństwo to jednak redukcja ryzyka, a nie eliminacja ryzyka. Chodzi o zastosowanie wszystkich odpowiednich kontroli dostępnych dla Ciebie, w granicach rozsądku, które pozwalają poprawić ogólną postawę, zmniejszając szanse na to, że stanie się celem, a następnie zostanie zhakowany.
hosty stron internetowych
często dobrym miejscem na rozpoczęcie, jeśli chodzi o bezpieczeństwo witryny, jest środowisko hostingowe. Obecnie dostępnych jest wiele opcji i chociaż hosty oferują bezpieczeństwo na pewnym poziomie, ważne jest, aby zrozumieć, gdzie kończy się ich odpowiedzialność, a zaczyna twoja. Oto dobry artykuł wyjaśniający skomplikowaną dynamikę między hostami internetowymi a bezpieczeństwem Twojej witryny. Bezpieczny serwer chroni prywatność, integralność i dostępność zasobów znajdujących się pod kontrolą administratora serwera.
cechy zaufanego hosta internetowego mogą obejmować:
- łatwo omawia twoje obawy dotyczące bezpieczeństwa oraz funkcje i procesy bezpieczeństwa, które oferują w swoim hostingu.
- udostępnia najnowsze stabilne wersje oprogramowania serwera.
- zapewnia niezawodne metody tworzenia kopii zapasowych i odzyskiwania.
zdecyduj, jakiego zabezpieczenia potrzebujesz na swoim serwerze, określając oprogramowanie i dane, które mają być zabezpieczone. Reszta tego przewodnika pomoże ci w tym.
aplikacje internetowe
łatwo jest spojrzeć na hosty internetowe i przekazać im odpowiedzialność za bezpieczeństwo, ale istnieje ogromna ilość bezpieczeństwa, która leży również na właścicielu witryny. Hosty internetowe są często odpowiedzialne za infrastrukturę, na której znajduje się Twoja witryna, nie są odpowiedzialne za aplikację, którą zdecydujesz się zainstalować.
aby zrozumieć, gdzie i dlaczego jest to ważne, musisz zrozumieć, w jaki sposób strony internetowe są hakowane, rzadko jest to przypisywane infrastrukturze, a najczęściej przypisywane samej aplikacji (tj. środowisku, za które jesteś odpowiedzialny).
Top
motywy zabezpieczeń # motywy zabezpieczeń
pamiętaj o kilku ogólnych pomysłach, rozważając bezpieczeństwo dla każdego aspektu systemu:
Ograniczanie dostępu
dokonywanie inteligentnych wyborów, które zmniejszają możliwe punkty wejścia dostępne dla złośliwej osoby.
zabezpieczenie
Twój system powinien być skonfigurowany tak, aby zminimalizować ilość uszkodzeń, które można zrobić w przypadku jego naruszenia.
przygotowanie i wiedza
utrzymywanie kopii zapasowych i znajomość stanu instalacji WordPress w regularnych odstępach czasu. Posiadanie planu tworzenia kopii zapasowych i odzyskiwania instalacji w przypadku katastrofy może pomóc w szybszym powrocie do trybu online w przypadku problemu.
zaufane źródła
nie pobieraj wtyczek/motywów z niezaufanych źródeł. Ogranicz się do WordPress.org repozytorium lub znanych firm. Próba uzyskania wtyczek / motywów z zewnątrz może prowadzić do problemów.
Top
luki w komputerze # luki w komputerze
upewnij się, że używane komputery są wolne od programów szpiegujących, złośliwego oprogramowania i infekcji wirusami. Żadna ilość zabezpieczeń w WordPress lub na serwerze WWW nie zrobi najmniejszej różnicy, jeśli na komputerze jest keylogger.
zawsze aktualizuj swój system operacyjny i oprogramowanie, w szczególności przeglądarkę internetową, aby chronić Cię przed lukami w zabezpieczeniach. Jeśli przeglądasz niezaufane witryny, zalecamy również użycie narzędzi takich jak no-script (lub wyłączenie javascript/flash/java) w przeglądarce.
Top
luki w WordPress # luki w WordPress
podobnie jak wiele nowoczesnych pakietów oprogramowania, WordPress jest regularnie aktualizowany, aby rozwiązać nowe problemy z bezpieczeństwem, które mogą się pojawić. Poprawa bezpieczeństwa oprogramowania jest zawsze ciągłym problemem iw tym celu należy zawsze być na bieżąco z najnowszą wersją WordPress. Starsze wersje WordPress nie są utrzymywane z aktualizacjami zabezpieczeń.
aktualizacja WordPressa # aktualizacja WordPressa
Główny artykuł: aktualizacja WordPressa .
najnowsza wersja WordPressa jest zawsze dostępna z głównej strony WordPressa pod adresem https://wordpress.org. Oficjalne wersje nie są dostępne z innych stron-nigdy nie pobieraj ani nie instaluj WordPressa z żadnej innej strony niż https://wordpress.org.
od wersji 3.7 WordPress posiada automatyczne aktualizacje. Skorzystaj z tej funkcji, aby ułatwić proces aktualizacji. Możesz również korzystać z Pulpitu Nawigacyjnego WordPress, aby być na bieżąco z aktualizacjami. Przeczytaj wpis na pulpicie nawigacyjnym lub blogu programisty WordPress, aby określić, jakie kroki należy podjąć, aby zaktualizować i zachować bezpieczeństwo.
Jeśli Luka zostanie wykryta w WordPressie i zostanie wydana nowa wersja, aby rozwiązać ten problem, informacje wymagane do wykorzystania luki są prawie na pewno w domenie publicznej. To sprawia, że stare wersje są bardziej otwarte na ataki i jest jednym z głównych powodów, dla których powinieneś zawsze aktualizować WordPress.
Jeśli jesteś administratorem odpowiedzialnym za więcej niż jedną instalację WordPress, rozważ użycie Subversion, aby ułatwić zarządzanie.
Top
zgłaszanie problemów z bezpieczeństwem # zgłaszanie problemów z bezpieczeństwem
Jeśli uważasz, że znalazłeś błąd bezpieczeństwa w WordPress, możesz pomóc, zgłaszając problem. Informacje na temat zgłaszania problemów z zabezpieczeniami można znaleźć w FAQ dotyczącym bezpieczeństwa.
Jeśli uważasz, że znalazłeś błąd, zgłoś go. Zobacz zgłaszanie błędów, aby dowiedzieć się, jak to zrobić. Być może odkryłeś lukę lub błąd, który może do niej doprowadzić.
Top
luki w zabezpieczeniach serwera www # luki w zabezpieczeniach serwera www
serwer WWW z systemem WordPress i oprogramowaniem na nim mogą mieć luki w zabezpieczeniach. Dlatego upewnij się, że używasz bezpiecznych, stabilnych wersji serwera WWW i oprogramowania na nim, lub upewnij się, że używasz zaufanego hosta, który zajmuje się tymi rzeczami za Ciebie.
jeśli znajdujesz się na współdzielonym serwerze (takim, który obsługuje inne witryny poza twoją własną), A witryna na tym samym serwerze jest zagrożona, Twoja witryna może również zostać zagrożona, nawet jeśli zastosujesz się do wszystkiego w tym przewodniku. Pamiętaj, aby zapytać swojego hosta, jakie środki bezpieczeństwa podejmują.
Top
luki w sieci # luki w sieci
sieć po obu stronach — po stronie serwera WordPress i po stronie sieci klienta — powinna być zaufana. Oznacza to aktualizację reguł zapory na routerze domowym i uważność na sieci, z których pracujesz. Kawiarenka internetowa, w której wysyłasz hasła za pośrednictwem niezaszyfrowanego połączenia, bezprzewodowego lub w inny sposób, nie jest siecią zaufaną.
Twój host sieciowy powinien upewnić się, że ich sieć nie jest zagrożona przez atakujących, i powinieneś zrobić to samo. Luki w zabezpieczeniach sieciowych mogą pozwolić na przechwycenie haseł i innych poufnych informacji.
Top
hasła # Hasła
dzięki dobrym nawykom w zakresie bezpieczeństwa można uniknąć wielu potencjalnych luk w zabezpieczeniach . Silne hasło jest ważnym aspektem tego.
celem twojego hasła jest utrudnianie innym odgadnięcia i utrudnianie udanego ataku brute force. Dostępnych jest wiele automatycznych generatorów haseł, które można wykorzystać do tworzenia bezpiecznych haseł.
WordPress posiada również miernik siły hasła, który jest wyświetlany podczas zmiany hasła w WordPress. Użyj tego podczas zmiany hasła, aby upewnić się, że jego siła jest odpowiednia.
rzeczy, których należy unikać przy wyborze hasła:
- każda permutacja własnego prawdziwego imienia, nazwy użytkownika, nazwy firmy lub nazwy witryny.
- słowo ze słownika, w dowolnym języku.
- krótkie hasło.
- dowolne hasło tylko numeryczne lub tylko Alfabetyczne (najlepsza jest mieszanka obu).
silne hasło jest niezbędne nie tylko do ochrony treści bloga. Haker, który uzyska dostęp do Twojego konta administratora, jest w stanie zainstalować złośliwe skrypty, które mogą potencjalnie zagrozić całemu serwerowi.
oprócz używania silnego hasła, dobrym pomysłem jest włączenie uwierzytelniania dwuetapowego jako dodatkowego środka bezpieczeństwa.
Top
FTP # FTP
podczas łączenia się z serwerem należy użyć szyfrowania SFTP, jeśli hosting go zapewnia. Jeśli nie masz pewności, czy twój host zapewnia SFTP, po prostu zapytaj ich.
Korzystanie z SFTP jest takie samo jak FTP, z wyjątkiem hasła i innych danych są szyfrowane, ponieważ są przesyłane między komputerem a witryną. Oznacza to, że Twoje hasło nigdy nie jest wysyłane w trybie clear i nie może zostać przechwycone przez atakującego.
Top
uprawnienia do plików # uprawnienia do plików
niektóre fajne funkcje WordPress pochodzą z zezwalania na zapisywanie różnych plików przez serwer WWW. Jednak umożliwienie zapisu plików jest potencjalnie niebezpieczne, szczególnie w współdzielonym środowisku hostingu.
najlepiej jest zablokować uprawnienia do plików tak bardzo, jak to możliwe i poluzować te ograniczenia w sytuacjach, w których musisz zezwolić na dostęp do zapisu lub utworzyć określone foldery z mniejszymi ograniczeniami w celu robienia rzeczy takich jak przesyłanie plików.
oto jeden z możliwych schematów uprawnień.
wszystkie pliki powinny być własnością Twojego konta użytkownika i powinny być zapisywane przez Ciebie. Każdy plik, który wymaga dostępu do zapisu z WordPress powinien być zapisywalny przez serwer WWW, jeśli wymaga tego konfiguracja hostingu, co może oznaczać, że pliki te muszą być własnością grupy przez konto użytkownika używane przez proces serwera www.
/
główny katalog WordPress: wszystkie pliki powinny być zapisywane tylko przez twoje konto użytkownika, z wyjątkiem.htaccess, jeśli chcesz, aby WordPress automatycznie generował reguły przepisywania dla ciebie.
/wp-admin/
obszar administracyjny WordPress: wszystkie pliki powinny być zapisywane tylko przez twoje konto użytkownika.
/wp-includes/
większość logiki aplikacji WordPress: wszystkie pliki powinny być zapisywane tylko przez twoje konto użytkownika.
/wp-content/
zawartość dostarczona przez użytkownika: przeznaczona do zapisu przez konto użytkownika i proces serwera www.
w ramach/wp-content/ znajdziesz:
/wp-content/themes/
pliki motywów. Jeśli chcesz użyć wbudowanego edytora motywów, wszystkie pliki muszą być zapisywalne przez proces serwera www. Jeśli nie chcesz używać wbudowanego edytora motywów, wszystkie pliki mogą być zapisywane tylko przez twoje konto użytkownika.
/wp-content/plugins/
Pliki Wtyczek: wszystkie pliki powinny być zapisywane tylko przez twoje konto użytkownika.
inne katalogi, które mogą być obecne z /wp-content/ powinny być udokumentowane przez dowolną wtyczkę lub motyw. Uprawnienia mogą się różnić.
Top
Zmiana uprawnień do plików # zmiana uprawnień do plików
Jeśli masz dostęp powłoki do serwera, możesz zmienić uprawnienia do plików rekurencyjnie za pomocą następującego polecenia:
dla katalogów:
find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;
dla plików:
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;
Top
dotyczące automatycznych aktualizacji # dotyczące automatycznych aktualizacji
Kiedy każesz WordPressowi wykonać automatyczną aktualizację, wszystkie operacje na plikach są wykonywane jako użytkownik, który jest właścicielem plików, a nie jako serwer WWW użytkownika. Wszystkie pliki są ustawione na 0644 i wszystkie katalogi są ustawione na 0755, i zapisywalne tylko przez użytkownika i czytelne dla wszystkich innych, w tym serwera www.
Top
bezpieczeństwo baz danych # bezpieczeństwo baz danych
Jeśli prowadzisz wiele blogów na tym samym serwerze, rozsądnie jest rozważyć trzymanie ich w oddzielnych bazach danych, z których każda jest zarządzana przez innego użytkownika. Najlepiej to osiągnąć podczas wykonywania wstępnej instalacji WordPress. Jest to strategia powstrzymywania: jeśli intruz pomyślnie złamie jedną instalację WordPress, znacznie utrudnia to zmianę innych blogów.
Jeśli administrujesz MySQL samodzielnie, upewnij się, że rozumiesz konfigurację MySQL i że niepotrzebne funkcje (takie jak akceptowanie zdalnych połączeń TCP) są wyłączone. Zobacz bezpieczne projektowanie baz danych MySQL, aby uzyskać miłe wprowadzenie.
Top
ograniczanie uprawnień użytkowników bazy danych # ograniczanie uprawnień użytkowników bazy danych
w przypadku normalnych operacji WordPress, takich jak publikowanie postów na blogu, przesyłanie plików multimedialnych, publikowanie komentarzy, tworzenie nowych użytkowników WordPress i instalowanie wtyczek WordPress, użytkownik bazy danych MySQL potrzebuje tylko uprawnień do odczytu i zapisu danych do bazy danych MySQL; Wybierz, Wstaw, Aktualizuj i usuń.
dlatego każda inna struktura bazy danych i uprawnienia administracyjne, takie jak DROP, ALTER i GRANT, mogą zostać cofnięte. Cofając takie uprawnienia, poprawiasz również zasady powstrzymywania.
Uwaga: niektóre wtyczki, motywy i główne aktualizacje WordPress mogą wymagać zmian strukturalnych bazy danych, takich jak dodawanie nowych tabel lub zmiana schematu. W takim przypadku przed zainstalowaniem wtyczki lub aktualizacją oprogramowania należy Tymczasowo zezwolić użytkownikowi bazy danych na wymagane uprawnienia.
Ostrzeżenie: Próby aktualizacji bez tych uprawnień mogą powodować problemy w przypadku zmian schematu bazy danych. W związku z tym nie zaleca się cofania tych przywilejów. Jeśli czujesz potrzebę zrobienia tego ze względów bezpieczeństwa, upewnij się najpierw, że masz solidny plan kopii zapasowych, z regularnymi testowanymi kopiami zapasowymi całej bazy danych, które można łatwo przywrócić. Nieudane uaktualnienie bazy danych można zwykle rozwiązać, przywracając bazę danych do starej wersji, przyznając odpowiednie uprawnienia, a następnie pozwalając WordPress ponownie spróbować aktualizacji bazy danych. Przywrócenie bazy danych przywróci ją do starej wersji, a ekrany administracyjne WordPress wykryją starą wersję i pozwolą uruchomić na niej niezbędne polecenia SQL. Większość aktualizacji WordPress nie zmienia schematu, ale niektóre robią. Tylko główne aktualizacje punktów (na przykład 3.7 do 3.8) zmienią schemat. Drobne aktualizacje (3.8 do 3.8.1) na ogół nie będą. Niemniej jednak, zachować regularne wsparcie.
Top
zabezpieczanie wp-admin # zabezpieczanie wp-admin
dodanie ochrony hasłem po stronie serwera (takiej jak BasicAuth) do/wp-admin/ dodaje drugą warstwę ochrony wokół obszaru administracyjnego bloga, ekranu logowania i plików. Zmusza to atakującego lub bota do zaatakowania drugiej warstwy ochrony zamiast rzeczywistych plików administratora. Wiele ataków WordPress są przeprowadzane autonomicznie przez złośliwe boty oprogramowania.
Po prostu zabezpieczenie kataloguwp-admin/ może również złamać niektóre funkcje WordPressa, takie jak obsługa AJAX wwp-admin/admin-ajax.php. Zobacz sekcję Zasoby, aby uzyskać więcej informacji na temat prawidłowego zabezpieczenia hasłem kataloguwp-admin/.
najczęstsze ataki na blog WordPress zazwyczaj dzielą się na dwie kategorie.
- wysyłanie specjalnie spreparowanych żądań HTTP do twojego serwera z określonymi obciążeniami exploitowymi dla określonych luk w zabezpieczeniach. Należą do nich stare / nieaktualne wtyczki i oprogramowanie.
- próba uzyskania dostępu do bloga za pomocą odgadnięcia hasła „brute-force”.
ostateczną implementacją tej „drugiej warstwy” ochrony hasłem jest wymaganie szyfrowanego połączenia HTTPS SSL do administracji, tak aby cała komunikacja i poufne dane były szyfrowane. Zobacz Administracja przez SSL.
Top
Securing wp-includes # Securing wp-includes
można dodać drugą warstwę ochrony, w której skrypty nie są zwykle przeznaczone do dostępu przez żadnego użytkownika. Jednym ze sposobów jest zablokowanie tych skryptów za pomocą mod_rewrite wplik htaccess. Uwaga: aby upewnić się, że poniższy kod nie zostanie nadpisany przez WordPress, umieść go poza znacznikami # BEGIN WordPress I # END WordPress w .plik htaccess. WordPress może nadpisać cokolwiek między tymi tagami.
Top
zabezpieczenie wp-config.php # zabezpieczenie wp-config.php
Możesz przenieść plik wp-config.php do katalogu nad instalacją WordPress. Oznacza to, że w przypadku witryny zainstalowanej w katalogu głównym Twojej przestrzeni Web możesz przechowywać wp-config.php poza folderem głównym sieci Web.
Uwaga: Niektórzy twierdzą, że przenoszenie wp-config.php ma minimalne korzyści w zakresie bezpieczeństwa i, jeśli nie zostanie wykonane ostrożnie, może faktycznie wprowadzić poważne luki w zabezpieczeniach. Inni się nie zgadzają.
zauważ, że wp-config.php może być przechowywany jeden poziom katalogu powyżej instalacji WordPress (gdzie znajduje się wp-includes). Upewnij się również, że tylko Ty (i serwer WWW) możesz odczytać ten plik (zazwyczaj oznacza to uprawnienia 400 lub 440).
Jeśli używasz serwera zhtaccess, możesz umieścić to w tym Pliku (na samej górze), aby odmówić dostępu każdemu, kto go szuka:
<files wp-config.php>order allow,denydeny from all</files>
Góra
Wyłącz edycję plików # Wyłącz edycję plików
Pulpit Nawigacyjny WordPress domyślnie umożliwia administratorom edycję plików PHP, takich jak wtyczki i pliki motywów. Często jest to pierwsze narzędzie, którego używa atakujący, jeśli jest w stanie się zalogować, ponieważ umożliwia wykonanie kodu. WordPress ma stałą, aby wyłączyć edycję z Pulpitu Nawigacyjnego. Umieszczenie tej linii w wp-config.php jest odpowiednikiem usuwania możliwości „edit_themes”, „edit_plugins” i „edit_files” wszystkich użytkowników:
define('DISALLOW_FILE_EDIT', true);
nie uniemożliwi to atakującemu przesłania złośliwych plików do twojej witryny, ale może powstrzymać niektóre ataki.
Top
wtyczki # wtyczki
przede wszystkim upewnij się, że wtyczki są zawsze aktualizowane. Ponadto, jeśli nie używasz określonej wtyczki, usuń ją z systemu.
Top
Firewall # Firewall
istnieje wiele wtyczek i usług, które mogą działać jako firewall dla Twojej witryny. Niektóre z nich działają poprzez modyfikację .htaccess
plik i ograniczenie dostępu na poziomie Apache, zanim zostanie przetworzony przez WordPress. Dobrym przykładem jest iThemes Security lub All in One WP Security. Niektóre wtyczki zapory działają na poziomie WordPress, takie jak WordFence i Shield, i próbują filtrować ataki podczas ładowania WordPress, ale zanim zostanie w pełni przetworzony.
oprócz wtyczek, możesz również zainstalować WAF (zaporę sieciową) na swoim serwerze internetowym, aby filtrować zawartość przed jej przetworzeniem przez WordPress. Najpopularniejszym open source WAF jest ModSecurity.
zapora internetowa może być również dodana jako pośrednik między ruchem z Internetu a serwerem hostingowym. Wszystkie te usługi działają jako odwrotne proxy, w których akceptują początkowe żądania i przekierowują je na serwer, usuwając je ze wszystkich złośliwych żądań. Osiągają to poprzez modyfikację rekordów DNS, poprzez rekord A lub pełną wymianę DNS, umożliwiając najpierw przejście całego ruchu przez nową sieć. Powoduje to filtrowanie całego ruchu przez zaporę przed dotarciem do witryny. Kilka firm oferuje takie usługi, jak CloudFlare, Sucuri i Incapsula.
ponadto ci zewnętrzni dostawcy usług funkcjonują domyślnie jako sieć dystrybucji treści (CDN), wprowadzając optymalizację wydajności i globalny zasięg.
Top
wtyczki, które wymagają dostępu do zapisu # wtyczki, które wymagają dostępu do zapisu
Jeśli wtyczka chce mieć dostęp do zapisu do plików i katalogów WordPress, przeczytaj kod, aby upewnić się, że jest legalny lub skontaktuj się z kimś, komu ufasz. Możliwe miejsca do sprawdzenia to fora wsparcia i kanał IRC.
Top
Code execution plugins # Code execution plugins
jak powiedzieliśmy, częścią celu hartowania WordPressa jest uszkodzenie wyrządzone w przypadku udanego ataku. Wtyczki, które pozwalają na wykonanie dowolnego kodu PHP lub innego z wpisów w bazie danych skutecznie zwiększają możliwość uszkodzenia w przypadku udanego ataku.
sposobem na uniknięcie używania takiej wtyczki jest użycie niestandardowych szablonów stron, które wywołują tę funkcję. Część zabezpieczeń, które zapewnia, jest aktywna tylko wtedy, gdy nie zezwalasz na edycję plików w WordPress.
Top
bezpieczeństwo poprzez obscurity # bezpieczeństwo poprzez obscurity
bezpieczeństwo poprzez obscurity jest ogólnie nierozsądną podstawową strategią. Istnieją jednak obszary w WordPress, w których zaciemnianie informacji może pomóc w bezpieczeństwie:
- Zmień nazwę konta administracyjnego: podczas tworzenia konta administracyjnego unikaj łatwo odgadniętych terminów, takich jak
adminlubwebmasterjako nazw użytkowników, ponieważ zazwyczaj są one najpierw przedmiotem ataków. Na istniejącej instalacji WordPress możesz zmienić nazwę istniejącego konta w kliencie linii poleceń MySQL za pomocą polecenia takiego jakUPDATE wp_users SET user_login = 'newuser' WHERE user_login = 'admin';lub za pomocą interfejsu MySQL, takiego jak phpMyAdmin. - Zmień tabelę_prefix: wiele opublikowanych ataków SQL-injection specyficznych dla WordPressa zakłada, że tabela_prefix to
wp_, domyślnie. Zmiana ta może zablokować przynajmniej niektóre ataki SQL injection.
Góra
kopie zapasowe danych # kopie zapasowe danych
regularnie Twórz kopie zapasowe danych, w tym baz danych MySQL. Zobacz Główny artykuł: Tworzenie Kopii Zapasowej Bazy Danych.
integralność danych ma kluczowe znaczenie dla zaufanych kopii zapasowych. Szyfrowanie kopii zapasowej, przechowywanie niezależnego zapisu skrótów MD5 dla każdego pliku kopii zapasowej i / lub umieszczanie kopii zapasowych na nośnikach tylko do odczytu zwiększa pewność, że dane nie zostały naruszone.
strategia tworzenia kopii zapasowych dźwięku może obejmować przechowywanie zestawu regularnych migawek całej instalacji WordPress (w tym plików podstawowych WordPress i bazy danych) w zaufanej lokalizacji. Wyobraź sobie witrynę, która robi cotygodniowe migawki. Taka strategia oznacza, że jeśli witryna zostanie naruszona 1 maja, ale kompromis nie zostanie wykryty do 12 maja, właściciel witryny będzie miał wstępne kopie zapasowe, które mogą pomóc w przebudowie witryny, a nawet kopie zapasowe po kompromisie, które pomogą w określeniu, w jaki sposób witryna została naruszona.
Top
Logowanie # Logowanie
logi są twoim najlepszym przyjacielem, jeśli chodzi o zrozumienie, co dzieje się z Twoją stroną internetową, zwłaszcza jeśli próbujesz wykonać kryminalistykę. Wbrew powszechnym przekonaniom, dzienniki pozwalają zobaczyć, co zostało zrobione, przez kogo i kiedy. Niestety dzienniki nie powie Ci, kto, nazwa użytkownika, zalogowany, ale pozwoli Ci zidentyfikować IP i czas, a co ważniejsze, działania, które mógł podjąć atakujący. Każdy z tych ataków będzie można zobaczyć za pomocą logów – Cross Site Scripting (XSS), Remote File Inclusion (RFI), Local File Inclusion (LFI) i directory traversal attempts. Będziesz także mógł zobaczyć próby brutalnej siły. Dostępne są różne przykłady i samouczki, które pomogą Ci przejść przez proces analizowania i analizowania surowych dzienników.
jeśli poczujesz się bardziej komfortowo ze swoimi dziennikami, będziesz mógł zobaczyć rzeczy takie jak, kiedy edytory motywu i wtyczek są używane, kiedy ktoś aktualizuje widżety i kiedy dodawane są posty i strony. Wszystkie kluczowe elementy podczas wykonywania prac kryminalistycznych na serwerze WWW. Istnieje kilka wtyczek bezpieczeństwa WordPress, które pomagają również w tym, jak narzędzie audytu Sucuri lub wtyczka ścieżki audytu.
istnieją dwa kluczowe rozwiązania open-source, które będziesz potrzebować na swoim serwerze WWW z punktu widzenia bezpieczeństwa, jest to warstwowe podejście do bezpieczeństwa.
OSSEC może działać na dowolnej dystrybucji NIX i będzie działał również na Windows. Po poprawnym skonfigurowaniu jest bardzo potężny. Chodzi o skorelowanie i agregowanie wszystkich dzienników. Musisz upewnić się, aby skonfigurować go tak, aby przechwytywał wszystkie access_logs i error_logs, a jeśli masz wiele stron internetowych na koncie serwera. Będziesz także chciał mieć pewność, aby odfiltrować hałas. Domyślnie zobaczysz dużo szumu i będziesz chciał skonfigurować go tak, aby był naprawdę skuteczny.
Top
monitorowanie # monitorowanie
czasami zapobieganie nie wystarcza i nadal możesz zostać zhakowany . Dlatego wykrywanie/monitorowanie włamań jest bardzo ważne. Pozwoli Ci to szybciej zareagować, dowiedzieć się, co się stało i odzyskać witrynę.
Top
monitorowanie dzienników # monitorowanie dzienników
Jeśli jesteś na dedykowanym lub wirtualnym serwerze prywatnym, na którym masz luksus dostępu do roota, masz możliwość łatwej konfiguracji rzeczy, aby zobaczyć, co się dzieje. OSSEC łatwo to ułatwia, a oto mały zapis, który może pomóc w rozwiązaniu OSSEC dla bezpieczeństwa witryny-Część I.
Top
monitorowanie plików pod kątem zmian # monitorowanie plików pod kątem zmian
gdy atak się wydarzy, zawsze pozostawia ślady. Albo w logach, albo w systemie plików (nowe pliki, zmodyfikowane pliki itp.). Na przykład, jeśli używasz OSSEC, będzie on monitorował twoje pliki i ostrzegał o ich zmianie.
cele # cele
cele śledzenia systemu plików obejmują:
- Monitoruj zmienione i dodane pliki
- Loguj zmiany i uzupełnienia
- możliwość cofania szczegółowych zmian
- automatyczne alerty
Góra
podejście ogólne # podejście ogólne
administratorzy mogą monitorować system plików za pomocą ogólnych technologii, takich jak:
- Narzędzia systemowe
- Kontrola wersji
- monitorowanie poziomu OS/jądra
top
specyficzne narzędzia # specyficzne narzędzia
opcje monitorowania systemu plików obejmują:
- diff – zbuduj czystą kopię testową swojej witryny i porównaj z produkcją
- Git – zarządzanie kodem źródłowym
- inotify i incron – usługa monitorowania plików na poziomie jądra systemu operacyjnego, która może uruchamiać polecenia na zdarzeniach systemu plików
- Watcher-Biblioteka Pythona inotify
- OSSEC-System Wykrywania włamań oparty na otwartym kodzie źródłowym, który wykonuje analizę logów, sprawdzanie integralności plików, monitorowanie zasad, wykrywanie rootkitów, alerty w czasie rzeczywistym i aktywną odpowiedź.
do góry
rozważania # rozważania
podczas konfigurowania strategii monitorowania opartej na plikach istnieje wiele czynników, w tym następujące.
Uruchom skrypt/usługę monitorowania jako root
utrudniłoby to atakującym wyłączenie lub modyfikację rozwiązania do monitorowania systemu plików.
Wyłącz monitorowanie podczas zaplanowanej konserwacji/aktualizacji
zapobiegnie to niepotrzebnym powiadomieniom podczas regularnej konserwacji w witrynie.
Monitoruj tylko typy plików wykonywalnych
monitorowanie tylko typów plików wykonywalnych, takich jak .Pliki php itp.. Filtrowanie plików niewykonywalnych może zmniejszyć liczbę niepotrzebnych wpisów dziennika i alertów.
użyj ścisłych uprawnień systemu plików
przeczytaj o zabezpieczeniu uprawnień i własności plików. Ogólnie rzecz biorąc, unikaj zezwalania na uprawnienia do wykonywania i zapisu w możliwym zakresie.
Top
monitorowanie zewnętrznego serwera www # monitorowanie zewnętrznego serwera www
Jeśli atakujący próbuje zniszczyć Twoją witrynę lub dodać złośliwe oprogramowanie, możesz również wykryć te zmiany za pomocą internetowego rozwiązania integrity monitor. Jest to obecnie w wielu formach, użyj ulubionej wyszukiwarki i poszukaj wykrywania i usuwania złośliwego oprogramowania w sieci, a prawdopodobnie otrzymasz długą listę dostawców usług.
Top
zasoby # zasoby
- Jak poprawić bezpieczeństwo WordPressa (Infografika)
- wtyczki bezpieczeństwa
- bezpieczeństwo WordPressa cięcie przez BS
- e-Book: blokowanie WordPressa
- wpsecure.net ma kilka przewodników, jak zablokować WordPress.
- Przewodnik dla początkujących do hartowania WordPress
- Brad Williams: Lock It Up (wideo)
- 21 sposobów na zabezpieczenie witryny WordPress
- oficjalne dokumenty dotyczące ochrony katalogów hasłem Za pomocą .plik htaccess
- prosty samouczek na temat ochrony hasłem obszaru administracyjnego WordPress i naprawienia błędu 404
Góra
Zobacz także # patrz również
- FAQ dotyczące bezpieczeństwa
- FAQ – moja strona została zhakowana
- ataki Brute Force
- WordPress Security Whitepaper