securitatea în WordPress este luată foarte în serios, dar, ca și în cazul oricărui alt sistem, există potențiale probleme de securitate care pot apărea dacă nu sunt luate unele măsuri de securitate de bază. Acest articol va trece prin câteva forme comune de vulnerabilități și lucrurile pe care le puteți face pentru a vă menține instalarea WordPress în siguranță.
Acest articol nu este soluția rapidă finală a preocupărilor dvs. de securitate. Dacă aveți probleme sau îndoieli specifice de securitate, ar trebui să le discutați cu persoane în care aveți încredere că au cunoștințe suficiente despre securitatea computerului și WordPress.
- ce este securitatea? # Ce este securitatea?
- teme de securitate # teme de securitate
- vulnerabilități pe Computer # vulnerabilități pe Computer
- vulnerabilități în WordPress # vulnerabilități în WordPress
- actualizarea WordPress # actualizarea WordPress
- Raportarea problemelor de securitate # Raportarea problemelor de securitate
- vulnerabilitățile serverului Web # vulnerabilitățile serverului Web
- vulnerabilități de rețea # vulnerabilități de rețea
- Parole # parole
- FTP # FTP
- permisiuni de fișiere # permisiuni de fișiere
- schimbarea permisiunilor de fișiere # schimbarea permisiunilor de fișiere
- privind actualizările automate # privind actualizările automate
- securitatea bazei de date # securitatea bazei de date
- restricționarea privilegiilor utilizatorului bazei de date # restricționarea privilegiilor utilizatorului bazei de date
- securizarea wp-admin # securizarea wp-admin
- securizarea wp-include # securizarea WP-include
- securizarea wp-config.php # securizarea wp-config.php
- dezactivați editarea fișierelor # dezactivați editarea fișierelor
- Plugins # Plugins
- Firewall # Firewall
- pluginuri care au nevoie de acces la scriere # pluginuri care au nevoie de acces la scriere
- code execution plugins # code execution plugins
- securitate prin obscuritate # securitate prin obscuritate
- backup de date # backup de date
- Logging # Logging
- monitorizare # monitorizare
- monitorizarea jurnalelor # monitorizarea jurnalelor
- monitorizarea fișierelor pentru modificări # monitorizarea fișierelor pentru modificări
- obiective # obiective
- abordări generale # abordări generale
- instrumente specifice # instrumente specifice
- considerații # considerații
- monitorizarea externă a serverului web # monitorizarea externă a serverului web
- resurse # resurse
- Vezi și # vezi și
ce este securitatea? # Ce este securitatea?
fundamental, securitatea nu este despre sisteme perfect sigure. Un astfel de lucru ar putea fi impracticabil sau imposibil de găsit și/sau de întreținut. Ceea ce este securitatea este totuși reducerea riscului, nu eliminarea riscului. Este vorba despre angajarea tuturor controalelor adecvate disponibile pentru dvs., în termen de motiv, care vă permit să vă îmbunătățiți postura generală, reducând șansele de a vă face o țintă, ulterior fiind hacked.de multe ori, un loc bun pentru a începe atunci când vine vorba de securitatea site-ului este mediul dvs. de găzduire. Astăzi, există o serie de opțiuni disponibile pentru dvs. și, în timp ce gazdele oferă securitate la un anumit nivel, este important să înțelegeți unde se termină responsabilitatea lor și începe a voastră. Iată un articol bun care explică dinamica complicată dintre gazdele web și securitatea site-ului dvs. web. Un server securizat protejează confidențialitatea, integritatea și disponibilitatea resurselor aflate sub controlul administratorului serverului.
calitățile unei gazde web de încredere ar putea include:
- discută cu ușurință preocupările dvs. de securitate și caracteristicile și procesele de securitate pe care le oferă cu găzduirea lor.
- oferă cele mai recente versiuni stabile ale tuturor software-urilor de server.
- oferă metode fiabile pentru backup și recuperare.
decideți ce Securitate aveți nevoie pe serverul dvs. determinând software-ul și datele care trebuie securizate. Restul acestui ghid vă va ajuta în acest sens.este ușor să te uiți la gazdele web și să le transmiți responsabilitatea securității, dar există o cantitate imensă de securitate care se află și pe proprietarul site-ului web. Gazdele Web sunt adesea responsabile pentru infrastructura pe care se află site-ul dvs. web, nu sunt responsabile pentru aplicația pe care alegeți să o instalați.
pentru a înțelege unde și de ce acest lucru este important, trebuie să înțelegeți modul în care site-urile web sunt hackate, rareori este atribuit infrastructurii și cel mai adesea atribuit aplicației în sine (adică mediului pentru care sunteți responsabil).
Top
teme de securitate # teme de securitate
rețineți câteva idei generale în timp ce luați în considerare securitatea pentru fiecare aspect al sistemului dvs.:
limitarea accesului
efectuarea de alegeri inteligente care reduc posibilele puncte de intrare disponibile pentru o persoană rău intenționată.
izolare
sistemul dvs. ar trebui să fie configurat pentru a minimiza cantitatea de daune care pot fi făcute în cazul în care este compromisă.
pregătirea și cunoașterea
păstrarea copiilor de rezervă și cunoașterea stării instalării WordPress la intervale regulate. Având un plan de backup și recuperare a instalării dvs. în caz de catastrofă vă poate ajuta să reveniți online mai repede în cazul unei probleme.
surse de încredere
nu obțineți pluginuri / teme din surse de încredere. Limitați-vă la WordPress.org depozit sau companii bine cunoscute. Încercarea de a obține pluginuri/teme din exterior poate duce la probleme.
Top
vulnerabilități pe Computer # vulnerabilități pe Computer
asigurați-vă că computerele pe care le utilizați nu conțin spyware, malware și infecții virale. Nici o cantitate de securitate în WordPress sau pe serverul dvs. web nu va face cea mai mică diferență dacă există un keylogger pe computer.
păstrați întotdeauna sistemul de operare și software-ul de pe acesta, în special browserul web, actualizate pentru a vă proteja de vulnerabilitățile de securitate. Dacă navigați pe site-uri care nu sunt de încredere, vă recomandăm, de asemenea, să utilizați instrumente precum no-script (sau dezactivarea javascript/flash/java) în browserul dvs.
Top
vulnerabilități în WordPress # vulnerabilități în WordPress
ca multe pachete software moderne, WordPress este actualizat în mod regulat pentru a aborda noi probleme de securitate care pot apărea. Îmbunătățirea securității software – ului este întotdeauna o preocupare continuă și, în acest scop, ar trebui să fiți mereu la curent cu cea mai recentă versiune de WordPress. Versiunile mai vechi de WordPress nu sunt menținute cu actualizări de securitate.
actualizarea WordPress # actualizarea WordPress
Articol principal: actualizarea WordPress.
cea mai recentă versiune de WordPress este întotdeauna disponibilă de pe site-ul principal WordPress lahttps://wordpress.org. Versiunile oficiale nu sunt disponibile de pe alte site — uri-nu descărcați sau instalați niciodată WordPress de pe niciun alt site decât https://wordpress.org.
de la versiunea 3.7, WordPress a prezentat actualizări automate. Utilizați această funcționalitate pentru a ușura procesul de menținere la zi. De asemenea, puteți utiliza tabloul de bord WordPress pentru a vă informa despre actualizări. Citiți intrarea din tabloul de bord sau blogul dezvoltatorului WordPress pentru a determina ce pași trebuie să faceți pentru a actualiza și a rămâne în siguranță.
dacă o vulnerabilitate este descoperită în WordPress și o nouă versiune este lansată pentru a aborda problema, informațiile necesare pentru a exploata vulnerabilitatea sunt aproape sigur în domeniul public. Acest lucru face ca versiunile vechi să fie mai deschise pentru atac și este unul dintre motivele principale pentru care ar trebui să păstrați întotdeauna WordPress actualizat.
Dacă sunteți administrator responsabil de mai multe instalări WordPress, luați în considerare utilizarea Subversion pentru a facilita gestionarea.
Top
Raportarea problemelor de securitate # Raportarea problemelor de securitate
dacă credeți că ați găsit un defect de securitate în WordPress, vă poate ajuta prin raportarea problemei. Consultați secțiunea Întrebări frecvente privind securitatea pentru informații despre modul de raportare a problemelor de securitate.
dacă credeți că ați găsit o eroare, raportați-o. Consultați Trimiterea erorilor pentru a face acest lucru. Este posibil să fi descoperit o vulnerabilitate sau o eroare care ar putea duce la una.
Top
vulnerabilitățile serverului Web # vulnerabilitățile serverului Web
serverul web care rulează WordPress și software-ul de pe acesta pot avea vulnerabilități. Prin urmare, asigurați-vă că rulați versiuni sigure și stabile ale serverului dvs. web și ale software-ului de pe acesta sau asigurați-vă că utilizați o gazdă de încredere care se ocupă de aceste lucruri pentru dvs.
Dacă sunteți pe un server partajat (unul care găzduiește alte site-uri web în afară de propriul dvs.) și un site web pe același server este compromis, site-ul dvs. web poate fi compromis chiar dacă urmați totul în acest ghid. Asigurați-vă că întrebați gazda dvs. web ce măsuri de securitate iau.
Top
vulnerabilități de rețea # vulnerabilități de rețea
rețeaua de la ambele capete — partea de server WordPress și partea de rețea client — ar trebui să fie de încredere. Asta înseamnă că actualizați regulile firewall-ului pe routerul de acasă și aveți grijă la ce rețele lucrați. Un internet cafe în care trimiteți parole printr-o conexiune necriptată, fără fir sau altfel, nu este o rețea de încredere.
gazda dvs. web ar trebui să se asigure că rețeaua lor nu este compromisă de atacatori și ar trebui să faceți același lucru. Vulnerabilitățile rețelei pot permite interceptarea parolelor și a altor informații sensibile.
Top
Parole # parole
multe vulnerabilități potențiale pot fi evitate cu obiceiuri bune de securitate. O parolă puternică este un aspect important al acestui lucru.
scopul cu parola este de a face greu pentru alte persoane să ghicească și greu pentru un atac de forță brută pentru a reuși. Sunt disponibile multe generatoare automate de parole care pot fi utilizate pentru a crea parole sigure.
WordPress are, de asemenea, un contor de rezistență a parolei care este afișat la schimbarea parolei în WordPress. Utilizați acest lucru atunci când schimbați parola pentru a vă asigura că puterea sa este adecvată.
lucruri de evitat atunci când alegeți o parolă:
- orice permutare a propriului nume real, nume de utilizator, nume de companie sau nume al site-ului dvs. web.
- un cuvânt dintr-un dicționar, în orice limbă.
- o parolă scurtă.
- orice parolă numai numerică sau alfabetică (un amestec de ambele este cel mai bun).
o parolă puternică este necesară nu doar pentru a vă proteja conținutul blogului. Un hacker care obține acces la contul dvs. de administrator poate instala scripturi rău intenționate care vă pot compromite întregul server.
pe lângă utilizarea unei parole puternice, este o idee bună să activați autentificarea în doi pași ca măsură suplimentară de securitate.
Top
FTP # FTP
când vă conectați la serverul dvs., ar trebui să utilizați criptarea SFTP dacă gazda dvs. web o furnizează. Dacă nu sunteți sigur dacă gazda dvs. web oferă SFTP sau nu, întrebați-i.
utilizarea SFTP este aceeași cu FTP, cu excepția parolei și a altor date care sunt criptate pe măsură ce sunt transmise între computer și site-ul dvs. web. Aceasta înseamnă că parola dvs. nu este trimisă niciodată în clar și nu poate fi interceptată de un atacator.
Top
permisiuni de fișiere # permisiuni de fișiere
unele caracteristici îngrijite de WordPress provin de la care să permită diferite fișiere pentru a fi inscriptibil de serverul de web. Cu toate acestea, permiterea accesului la scriere la fișierele dvs. este potențial periculoasă, în special într-un mediu de găzduire partajat.
cel mai bine este să blocați permisiunile de fișiere cât mai mult posibil și să slăbiți aceste restricții în ocaziile în care trebuie să permiteți accesul la scriere sau să creați foldere specifice cu mai puține restricții în scopul de a face lucruri precum încărcarea fișierelor.
aici este o posibilă schemă de permisiune.
toate fișierele ar trebui să fie deținute de contul dvs. de utilizator și ar trebui să poată fi scrise de dvs. Orice fișier care are nevoie de acces de scriere de la WordPress ar trebui să fie scris de serverul web, dacă configurarea dvs. de găzduire o cere, ceea ce poate însemna că acele fișiere trebuie să fie deținute de grup de contul de utilizator utilizat de procesul serverului web.
/
directorul rădăcină WordPress: toate fișierele ar trebui să poată fi scrise numai de contul dvs. de utilizator, cu excepția.htaccess
dacă doriți ca WordPress să genereze automat Reguli de rescriere pentru dvs.
/wp-admin/
zona de administrare WordPress: toate fișierele trebuie să poată fi scrise numai de contul dvs. de utilizator.
/wp-includes/
cea mai mare parte a logicii aplicației WordPress: toate fișierele ar trebui să poată fi scrise numai de contul dvs. de utilizator.
/wp-content/
Conținut furnizat de utilizator: destinat a fi scris de contul dvs. de utilizator și de procesul serverului web.
în/wp-content/
veți găsi:
/wp-content/themes/
fișiere tematice. Dacă doriți să utilizați editorul de teme încorporat, toate fișierele trebuie să poată fi scrise prin procesul serverului web. Dacă nu doriți să utilizați editorul de teme încorporat, toate fișierele pot fi scrise numai de contul dvs. de utilizator.
/wp-content/plugins/
Fișiere Plugin: toate fișierele trebuie să poată fi scrise numai de contul dvs. de utilizator.
alte directoare care pot fi prezente cu/wp-content/
ar trebui să fie documentate de oricare plugin sau temă le cere. Permisiunile pot varia.
Top
schimbarea permisiunilor de fișiere # schimbarea permisiunilor de fișiere
Dacă aveți acces shell la serverul dvs., puteți schimba permisiunile de fișiere recursiv cu următoarea comandă:
pentru Directoare:
find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;
pentru fișiere:
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;
Top
privind actualizările automate # privind actualizările automate
când spuneți WordPress să efectueze o actualizare automată, toate operațiile de fișiere sunt efectuate ca utilizator care deține fișierele, nu ca utilizator. Toate fișierele sunt setate la 0644 și toate directoarele sunt setate la 0755 și pot fi scrise doar de utilizator și pot fi citite de toți ceilalți, inclusiv de serverul web.
Top
securitatea bazei de date # securitatea bazei de date
dacă rulați mai multe bloguri pe același server, este înțelept să luați în considerare păstrarea lor în baze de date separate, fiecare administrată de un utilizator diferit. Acest lucru este cel mai bine realizat atunci când efectuați instalarea inițială WordPress. Aceasta este o strategie de izolare: dacă un intrus sparge cu succes o instalare WordPress, acest lucru face mult mai greu să vă modificați celelalte bloguri.
Dacă administrați MySQL singur, asigurați-vă că înțelegeți configurația MySQL și că caracteristicile care nu sunt necesare (cum ar fi acceptarea conexiunilor TCP la distanță) sunt dezactivate. Consultați designul securizat al bazei de date MySQL pentru o introducere plăcută.
Top
restricționarea privilegiilor utilizatorului bazei de date # restricționarea privilegiilor utilizatorului bazei de date
pentru operațiuni WordPress normale, cum ar fi postarea de postări pe blog, încărcarea fișierelor media, postarea comentariilor, crearea de noi utilizatori WordPress și instalarea pluginurilor WordPress, utilizatorul bazei de date MySQL are nevoie doar de privilegii de citire și scriere a datelor; Selectați, Inserați, actualizați și ștergeți.
prin urmare, orice alte privilegii de structură și administrare a bazei de date, cum ar fi DROP, ALTER și GRANT, pot fi revocate. Prin revocarea acestor privilegii, îmbunătățiți, de asemenea, politicile de izolare.
notă: unele pluginuri, teme și actualizări majore WordPress ar putea necesita modificări structurale ale bazei de date, cum ar fi adăugarea de tabele noi sau modificarea schemei. În acest caz, înainte de a instala pluginul sau de a actualiza un software, va trebui să permiteți temporar utilizatorului bazei de date privilegiile necesare.
avertisment: Încercarea actualizărilor fără a avea aceste privilegii poate cauza probleme atunci când apar modificări ale schemei bazei de date. Astfel, nu se recomandă revocarea acestor privilegii. Dacă vă simțiți nevoia de a face acest lucru din motive de securitate, atunci vă rugăm să asigurați-vă că aveți un plan de backup solid în loc în primul rând, cu backup-uri regulate întreaga bază de date pe care le-ați testat sunt valabile și care pot fi ușor restaurate. O actualizare a bazei de date eșuată poate fi rezolvată de obicei prin restaurarea bazei de date la o versiune veche, acordând permisiunile corespunzătoare și apoi lăsând WordPress să încerce din nou actualizarea bazei de date. Restaurarea bazei de date o va readuce la acea versiune veche, iar ecranele de administrare WordPress vor detecta apoi versiunea veche și vă vor permite să rulați comenzile SQL necesare pe ea. Majoritatea actualizărilor WordPress nu schimbă schema, dar unele o fac. Numai upgrade-uri majore punct (3.7 la 3.8, de exemplu) va modifica schema. Upgrade-uri minore (3.8 la 3.8.1), în general, nu vor. Cu toate acestea, păstrați o copie de rezervă regulată.
Top
securizarea wp-admin # securizarea wp-admin
adăugarea protecției prin parolă pe partea de server (cum ar fi BasicAuth) la/wp-admin/
adaugă un al doilea strat de protecție în jurul zonei de administrare a blogului dvs., a ecranului de conectare și a fișierelor dvs. Acest lucru obligă un atacator sau un bot să atace acest al doilea strat de protecție în locul fișierelor dvs. de administrare reale. Multe atacuri WordPress sunt efectuate în mod autonom de către roboți software rău intenționați.
pur și simplu securizareawp-admin/
directorul ar putea rupe, de asemenea, unele funcționalități WordPress, cum ar fi handler AJAX lawp-admin/admin-ajax.php
. Consultați secțiunea Resurse pentru mai multe documentații despre cum să vă protejați prin parolă directorul wp-admin/
în mod corespunzător.
cele mai frecvente atacuri împotriva unui blog WordPress se încadrează de obicei în două categorii.
- trimiterea de cereri HTTP special-artizanale la serverul dvs. cu sarcini utile specifice exploata pentru vulnerabilități specifice. Acestea includ pluginuri și software vechi/învechite.
- încercarea de a avea acces la blog-ul dvs. prin utilizarea „brute-force” parola ghicitul.
implementarea finală a acestei protecții cu parolă „al doilea strat” este de a solicita o conexiune criptată HTTPS SSL pentru administrare, astfel încât toate comunicațiile și datele sensibile să fie criptate. A se vedea administrarea peste SSL.
Top
securizarea wp-include # securizarea WP-include
Un al doilea strat de protecție poate fi adăugat în cazul în care scripturile nu sunt, în general, destinate a fi accesate de către orice utilizator. O modalitate de a face acest lucru este de a bloca aceste scripturi folosind mod_rewrite în .fișier htaccess. Notă: pentru a vă asigura că codul de mai jos nu este suprascris de WordPress, plasați-l în afara etichetelor # BEGIN WordPress
și # END WordPress
din .fișier htaccess. WordPress poate suprascrie orice între aceste etichete.
sus
securizarea wp-config.php # securizarea wp-config.php
puteți muta fișierulwp-config.php
în directorul de deasupra instalării WordPress. Aceasta înseamnă că pentru un site instalat în rădăcina spațiului dvs. web, puteți stoca wp-config.php
în afara folderului web-root.
notă: Unii oameni afirmă că mutarea wp-config.php are beneficii minime de securitate și, dacă nu este făcut cu atenție, poate introduce de fapt vulnerabilități grave. Alții nu sunt de acord.
rețineți că wp-config.php
poate fi stocat cu un nivel de director deasupra instalării WordPress (unde wp-include reședința). De asemenea, asigurați-vă că numai dvs. (și serverul web) puteți citi acest fișier (în general înseamnă o permisiune de 400 sau 440).
dacă utilizați un server cu .htaccess, puteți pune acest lucru în acel fișier (chiar în partea de sus) pentru a refuza accesul oricui navighează pentru el:
<files wp-config.php>order allow,denydeny from all</files>
Top
dezactivați editarea fișierelor # dezactivați editarea fișierelor
Tabloul de bord WordPress implicit permite administratorilor să editeze fișiere PHP, cum ar fi fișierele plugin și tematice. Acesta este adesea primul instrument pe care un atacator îl va folosi dacă este capabil să se conecteze, deoarece permite executarea codului. WordPress are o constantă pentru a dezactiva editarea din tabloul de bord. Plasarea acestei linii în wp-config.php este echivalent cu eliminarea capabilităților ‘edit_themes’,’ edit_plugins ‘și’ edit_files ‘ ale tuturor utilizatorilor:
define('DISALLOW_FILE_EDIT', true);
Acest lucru nu va împiedica un atacator să încarce fișiere rău intenționate pe site-ul dvs., dar ar putea opri unele atacuri.
Top
Plugins # Plugins
în primul rând, asigurați-vă că pluginurile dvs. sunt întotdeauna actualizate. De asemenea, dacă nu utilizați un anumit plugin, ștergeți-l din sistem.
Top
Firewall # Firewall
există multe pluginuri și servicii care pot acționa ca un firewall pentru site-ul dvs. web. Unele dintre ele funcționează prin modificarea dvs.htaccess
și restricționarea accesului la nivel Apache, înainte de a fi procesat de WordPress. Un bun exemplu este iThemes Security sau All in One WP Security. Unele pluginuri firewall acționează la nivel WordPress, cum ar fi WordFence și Shield, și încearcă să filtreze atacurile pe măsură ce WordPress se încarcă, dar înainte de a fi complet procesat.
pe lângă pluginuri, puteți instala și un WAF (firewall web) pe serverul dvs. web pentru a filtra conținutul înainte de a fi procesat de WordPress. Cel mai popular WAF open source este ModSecurity.
un firewall al site-ului poate fi adăugat și ca intermediar între traficul de pe internet și serverul dvs. de găzduire. Toate aceste servicii funcționează ca proxy-uri inverse, în care acceptă cererile inițiale și le redirecționează către serverul dvs., eliminându-l de toate cererile rău intenționate. Ei realizează acest lucru modificând înregistrările DNS, printr-o înregistrare A sau swap DNS complet, permițând tot traficul să treacă mai întâi prin noua rețea. Acest lucru face ca tot traficul să fie filtrat de firewall înainte de a ajunge pe site-ul dvs. Câteva companii oferă astfel de servicii, cum ar fi CloudFlare, Sucuri și Incapsula.
În plus, acești furnizori de servicii terți funcționează în mod implicit ca rețea de distribuție a conținutului (CDN), introducând optimizarea performanței și acoperirea globală.
Top
pluginuri care au nevoie de acces la scriere # pluginuri care au nevoie de acces la scriere
dacă un plugin dorește acces la scriere la fișierele și directoarele dvs. Locurile posibile de verificat sunt forumurile de asistență și canalul IRC.
Top
code execution plugins # code execution plugins
după cum am spus, o parte din obiectivul de întărire WordPress conține daunele făcute dacă există un atac de succes. Plugin-uri care permit PHP arbitrar sau alt cod pentru a executa de la intrările într-o bază de date mări în mod eficient posibilitatea de deteriorare în cazul unui atac de succes.
o modalitate de a evita utilizarea unui astfel de plugin este de a utiliza șabloane de pagină personalizate care apelează funcția. O parte din Securitatea pe care o oferă este activă numai atunci când interziceți editarea fișierelor în WordPress.
Top
securitate prin obscuritate # securitate prin obscuritate
securitate prin obscuritate este, în general, o strategie primară nesănătoasă. Cu toate acestea, există zone în WordPress în care ascunderea informațiilor ar putea ajuta la securitate:
- redenumiți contul administrativ: atunci când creați un cont administrativ, evitați termenii ușor de ghicit, cum ar fi
admin
sauwebmaster
ca nume de utilizator, deoarece acestea sunt de obicei supuse atacurilor mai întâi. Pe o instalare WordPress existentă, puteți redenumi contul existent în clientul de linie de comandă MySQL cu o comandă precumUPDATE wp_users SET user_login = 'newuser' WHERE user_login = 'admin';
sau utilizând o interfață MySQL precum phpMyAdmin. - schimbați table_prefix: multe atacuri SQL-injection specifice WordPress publicate fac presupunerea că table_prefix este
wp_
, implicit. Modificarea acestui lucru poate bloca cel puțin unele atacuri de injecție SQL.
Top
backup de date # backup de date
backup de date în mod regulat, inclusiv bazele de date MySQL. Vezi articolul principal: Copierea De Rezervă A Bazei De Date.
integritatea datelor este esențială pentru backup-urile de încredere. Criptarea copiei de rezervă, păstrarea unei înregistrări independente a hash-urilor MD5 pentru fiecare fișier de rezervă și/sau plasarea copiilor de rezervă pe suporturi de citire crește încrederea că datele dvs. nu au fost modificate.
o strategie de backup de sunet ar putea include păstrarea unui set de instantanee programate în mod regulat ale întregii instalări WordPress (inclusiv fișierele de bază WordPress și baza de date) într-o locație de încredere. Imaginați-vă un site care face instantanee săptămânale. O astfel de strategie înseamnă că, dacă un site este compromis pe 1 Mai, dar compromisul nu este detectat până pe 12 mai, proprietarul site-ului va avea copii de rezervă pre-compromis care pot ajuta la reconstruirea site-ului și, eventual, chiar și copii de rezervă post-compromis care vor ajuta la determinarea modului în care site-ul a fost compromis.
Top
Logging # Logging
logurile sunt cel mai bun prieten atunci când vine vorba de înțelegerea a ceea ce se întâmplă cu site-ul dvs. web, mai ales dacă încercați să efectuați criminalistică. Contrar credințelor populare, jurnalele vă permit să vedeți ce a fost făcut și de cine și când. Din păcate, jurnalele nu vă vor spune cine, numele de utilizator, autentificat, dar vă va permite să identificați IP-ul și timpul și, mai important, acțiunile pe care atacatorul le-ar fi putut întreprinde. Veți putea vedea oricare dintre aceste atacuri prin intermediul jurnalelor-Cross Site Scripting (XSS), Remote File Inclusion (RFI), Local File Inclusion (LFI) și Directory Traversal tentative. De asemenea, veți putea vedea încercări de forță brută. Există diverse exemple și tutoriale disponibile pentru a vă ajuta să vă ghidați prin procesul de analiză și analiză a jurnalelor dvs. brute.
dacă vă simțiți mai confortabil cu jurnalele dvs., veți putea vedea lucruri precum, când se utilizează editorii de teme și pluginuri, când cineva vă actualizează widget-urile și când se adaugă postări și pagini. Toate elementele cheie atunci când efectuați lucrări medico-legale pe serverul dvs. web. Sunt câteva pluginuri de securitate WordPress care vă ajută și în acest sens, cum ar fi instrumentul de audit Sucuri sau pluginul Audit Trail.există două soluții cheie open-source pe care le veți dori pe serverul dvs. web dintr-o perspectivă de securitate, aceasta este o abordare stratificată a securității.OSSEC poate rula pe orice distribuție NIX și va rula și pe Windows. Când este configurat corect, este foarte puternic. Ideea este corelați și agregați toate jurnalele. Trebuie să vă asigurați că îl configurați pentru a captura toate access_logs și error_logs și dacă aveți mai multe site-uri web pe contul de server pentru asta. De asemenea, veți dori să vă asigurați că filtrați zgomotul. În mod implicit, veți vedea mult zgomot și veți dori să îl configurați pentru a fi cu adevărat eficient.
Top
monitorizare # monitorizare
uneori prevenirea nu este suficientă și este posibil să fiți în continuare hacked. De aceea, detectarea/monitorizarea intruziunilor este foarte importantă. Vă va permite să reacționați mai repede, să aflați ce s-a întâmplat și să vă recuperați site-ul.
Top
monitorizarea jurnalelor # monitorizarea jurnalelor
Dacă sunteți pe un server privat dedicat sau virtual, în care aveți luxul accesului root, aveți capacitatea de a configura cu ușurință lucrurile, astfel încât să puteți vedea ce se întâmplă. OSSEC facilitează cu ușurință acest lucru și aici este o mică scriere care vă poate ajuta OSSEC pentru securitatea site-ului web-Partea I.
Top
monitorizarea fișierelor pentru modificări # monitorizarea fișierelor pentru modificări
când se întâmplă un atac, acesta lasă întotdeauna urme. Fie pe jurnalele sau pe sistemul de fișiere (fișiere noi, fișiere modificate, etc). Dacă utilizați OSSEC, de exemplu, acesta vă va monitoriza fișierele și vă va avertiza când se schimbă.
obiective # obiective
obiectivele urmăririi sistemului de fișiere includ:
- Monitor schimbat și adăugat fișiere
- Log modificări și completări
- capacitatea de a reveni modificări granulare
- alerte automate
top
abordări generale # abordări generale
administratorii pot monitoriza sistemul de fișiere prin tehnologii generale, cum ar fi:
- utilitare de sistem
- control/li>
Top
instrumente specifice # instrumente specifice
opțiunile pentru monitorizarea sistemului de fișiere includ:
- diff-construiți o copie de testare curată a site – ului dvs. și comparați – o cu producția
- git – source code management
- inotify și incron – OS kernel Level file monitoring service care poate rula comenzi pe evenimente ale sistemului de fișiere
- Watcher-Python Inotify library
- OSSEC-sistem de detectare a intruziunilor bazat pe gazdă, care efectuează analiza jurnalului, verificarea integrității fișierelor, monitorizarea politicilor, detectarea rootkit-ului, alertarea în timp real și răspunsul activ.
Top
considerații # considerații
când configurați o strategie de monitorizare bazată pe fișiere, există multe considerații, inclusiv următoarele.
rulați scriptul/serviciul de monitorizare ca root
Acest lucru ar face dificil pentru atacatori să dezactiveze sau să modifice soluția de monitorizare a sistemului de fișiere.
dezactivați monitorizarea în timpul întreținerii/actualizărilor programate
Acest lucru ar împiedica notificările inutile atunci când efectuați întreținerea regulată pe site.
monitorizați numai tipurile de fișiere executabile
poate fi rezonabil de sigur să monitorizați numai tipurile de fișiere executabile, cum ar fi .fișiere php etc.. Filtrarea fișierelor neexecutabile poate reduce intrările și alertele de jurnal inutile.
utilizați permisiuni stricte de sistem de fișiere
citiți despre securizarea permisiunilor de fișiere și a proprietății. În general, evitați să permiteți permisiunile de executare și scriere în măsura posibilului.
Top
monitorizarea externă a serverului web # monitorizarea externă a serverului web
dacă atacatorul încearcă să vă șteargă site-ul sau să adauge programe malware, puteți detecta aceste modificări utilizând o soluție de monitorizare a integrității bazată pe web. Acest lucru vine în multe forme astăzi, utilizați motorul de căutare preferat și căutați detectarea și remedierea Malware-ului Web și probabil veți obține o listă lungă de furnizori de servicii.
Top
resurse # resurse
- Cum de a îmbunătăți WordPress de securitate (Infographic)
- plugin-uri de securitate
- WordPress de securitate de tăiere prin BS
- E-Book: blocare în jos WordPress
- wpsecure.net are câteva ghiduri despre cum să blocați WordPress.
- Un ghid pentru începători pentru întărirea WordPress
- Brad Williams: blocați – l (Video)
- 21 de moduri de a vă asigura site-ul WordPress
- documente oficiale despre cum să protejați prin parolă directoarele cu un .fișier htaccess
- tutorial simplu despre cum să protejați parola zona de administrare WordPress și să remediați eroarea 404
Top
Vezi și # vezi și
- Întrebări frecvente de securitate
- Întrebări frecvente – site-ul meu a fost piratat
- atacuri de forță brută
- WordPress Security Whitepaper