Maybaygiare.org

Blog Network

WordPress.org

securitatea în WordPress este luată foarte în serios, dar, ca și în cazul oricărui alt sistem, există potențiale probleme de securitate care pot apărea dacă nu sunt luate unele măsuri de securitate de bază. Acest articol va trece prin câteva forme comune de vulnerabilități și lucrurile pe care le puteți face pentru a vă menține instalarea WordPress în siguranță.

Acest articol nu este soluția rapidă finală a preocupărilor dvs. de securitate. Dacă aveți probleme sau îndoieli specifice de securitate, ar trebui să le discutați cu persoane în care aveți încredere că au cunoștințe suficiente despre securitatea computerului și WordPress.

ce este securitatea? # Ce este securitatea?

fundamental, securitatea nu este despre sisteme perfect sigure. Un astfel de lucru ar putea fi impracticabil sau imposibil de găsit și/sau de întreținut. Ceea ce este securitatea este totuși reducerea riscului, nu eliminarea riscului. Este vorba despre angajarea tuturor controalelor adecvate disponibile pentru dvs., în termen de motiv, care vă permit să vă îmbunătățiți postura generală, reducând șansele de a vă face o țintă, ulterior fiind hacked.de multe ori, un loc bun pentru a începe atunci când vine vorba de securitatea site-ului este mediul dvs. de găzduire. Astăzi, există o serie de opțiuni disponibile pentru dvs. și, în timp ce gazdele oferă securitate la un anumit nivel, este important să înțelegeți unde se termină responsabilitatea lor și începe a voastră. Iată un articol bun care explică dinamica complicată dintre gazdele web și securitatea site-ului dvs. web. Un server securizat protejează confidențialitatea, integritatea și disponibilitatea resurselor aflate sub controlul administratorului serverului.

calitățile unei gazde web de încredere ar putea include:

  • discută cu ușurință preocupările dvs. de securitate și caracteristicile și procesele de securitate pe care le oferă cu găzduirea lor.
  • oferă cele mai recente versiuni stabile ale tuturor software-urilor de server.
  • oferă metode fiabile pentru backup și recuperare.

decideți ce Securitate aveți nevoie pe serverul dvs. determinând software-ul și datele care trebuie securizate. Restul acestui ghid vă va ajuta în acest sens.este ușor să te uiți la gazdele web și să le transmiți responsabilitatea securității, dar există o cantitate imensă de securitate care se află și pe proprietarul site-ului web. Gazdele Web sunt adesea responsabile pentru infrastructura pe care se află site-ul dvs. web, nu sunt responsabile pentru aplicația pe care alegeți să o instalați.

pentru a înțelege unde și de ce acest lucru este important, trebuie să înțelegeți modul în care site-urile web sunt hackate, rareori este atribuit infrastructurii și cel mai adesea atribuit aplicației în sine (adică mediului pentru care sunteți responsabil).

Top

teme de securitate # teme de securitate

rețineți câteva idei generale în timp ce luați în considerare securitatea pentru fiecare aspect al sistemului dvs.:

limitarea accesului

efectuarea de alegeri inteligente care reduc posibilele puncte de intrare disponibile pentru o persoană rău intenționată.

izolare

sistemul dvs. ar trebui să fie configurat pentru a minimiza cantitatea de daune care pot fi făcute în cazul în care este compromisă.

pregătirea și cunoașterea

păstrarea copiilor de rezervă și cunoașterea stării instalării WordPress la intervale regulate. Având un plan de backup și recuperare a instalării dvs. în caz de catastrofă vă poate ajuta să reveniți online mai repede în cazul unei probleme.

surse de încredere

nu obțineți pluginuri / teme din surse de încredere. Limitați-vă la WordPress.org depozit sau companii bine cunoscute. Încercarea de a obține pluginuri/teme din exterior poate duce la probleme.

Top

vulnerabilități pe Computer # vulnerabilități pe Computer

asigurați-vă că computerele pe care le utilizați nu conțin spyware, malware și infecții virale. Nici o cantitate de securitate în WordPress sau pe serverul dvs. web nu va face cea mai mică diferență dacă există un keylogger pe computer.

păstrați întotdeauna sistemul de operare și software-ul de pe acesta, în special browserul web, actualizate pentru a vă proteja de vulnerabilitățile de securitate. Dacă navigați pe site-uri care nu sunt de încredere, vă recomandăm, de asemenea, să utilizați instrumente precum no-script (sau dezactivarea javascript/flash/java) în browserul dvs.

Top

vulnerabilități în WordPress # vulnerabilități în WordPress

ca multe pachete software moderne, WordPress este actualizat în mod regulat pentru a aborda noi probleme de securitate care pot apărea. Îmbunătățirea securității software – ului este întotdeauna o preocupare continuă și, în acest scop, ar trebui să fiți mereu la curent cu cea mai recentă versiune de WordPress. Versiunile mai vechi de WordPress nu sunt menținute cu actualizări de securitate.

actualizarea WordPress # actualizarea WordPress

Articol principal: actualizarea WordPress.

cea mai recentă versiune de WordPress este întotdeauna disponibilă de pe site-ul principal WordPress lahttps://wordpress.org. Versiunile oficiale nu sunt disponibile de pe alte site — uri-nu descărcați sau instalați niciodată WordPress de pe niciun alt site decât https://wordpress.org.

de la versiunea 3.7, WordPress a prezentat actualizări automate. Utilizați această funcționalitate pentru a ușura procesul de menținere la zi. De asemenea, puteți utiliza tabloul de bord WordPress pentru a vă informa despre actualizări. Citiți intrarea din tabloul de bord sau blogul dezvoltatorului WordPress pentru a determina ce pași trebuie să faceți pentru a actualiza și a rămâne în siguranță.

dacă o vulnerabilitate este descoperită în WordPress și o nouă versiune este lansată pentru a aborda problema, informațiile necesare pentru a exploata vulnerabilitatea sunt aproape sigur în domeniul public. Acest lucru face ca versiunile vechi să fie mai deschise pentru atac și este unul dintre motivele principale pentru care ar trebui să păstrați întotdeauna WordPress actualizat.

Dacă sunteți administrator responsabil de mai multe instalări WordPress, luați în considerare utilizarea Subversion pentru a facilita gestionarea.

Top

Raportarea problemelor de securitate # Raportarea problemelor de securitate

dacă credeți că ați găsit un defect de securitate în WordPress, vă poate ajuta prin raportarea problemei. Consultați secțiunea Întrebări frecvente privind securitatea pentru informații despre modul de raportare a problemelor de securitate.

dacă credeți că ați găsit o eroare, raportați-o. Consultați Trimiterea erorilor pentru a face acest lucru. Este posibil să fi descoperit o vulnerabilitate sau o eroare care ar putea duce la una.

Top

vulnerabilitățile serverului Web # vulnerabilitățile serverului Web

serverul web care rulează WordPress și software-ul de pe acesta pot avea vulnerabilități. Prin urmare, asigurați-vă că rulați versiuni sigure și stabile ale serverului dvs. web și ale software-ului de pe acesta sau asigurați-vă că utilizați o gazdă de încredere care se ocupă de aceste lucruri pentru dvs.

Dacă sunteți pe un server partajat (unul care găzduiește alte site-uri web în afară de propriul dvs.) și un site web pe același server este compromis, site-ul dvs. web poate fi compromis chiar dacă urmați totul în acest ghid. Asigurați-vă că întrebați gazda dvs. web ce măsuri de securitate iau.

Top

vulnerabilități de rețea # vulnerabilități de rețea

rețeaua de la ambele capete — partea de server WordPress și partea de rețea client — ar trebui să fie de încredere. Asta înseamnă că actualizați regulile firewall-ului pe routerul de acasă și aveți grijă la ce rețele lucrați. Un internet cafe în care trimiteți parole printr-o conexiune necriptată, fără fir sau altfel, nu este o rețea de încredere.

gazda dvs. web ar trebui să se asigure că rețeaua lor nu este compromisă de atacatori și ar trebui să faceți același lucru. Vulnerabilitățile rețelei pot permite interceptarea parolelor și a altor informații sensibile.

Top

Parole # parole

multe vulnerabilități potențiale pot fi evitate cu obiceiuri bune de securitate. O parolă puternică este un aspect important al acestui lucru.

scopul cu parola este de a face greu pentru alte persoane să ghicească și greu pentru un atac de forță brută pentru a reuși. Sunt disponibile multe generatoare automate de parole care pot fi utilizate pentru a crea parole sigure.

WordPress are, de asemenea, un contor de rezistență a parolei care este afișat la schimbarea parolei în WordPress. Utilizați acest lucru atunci când schimbați parola pentru a vă asigura că puterea sa este adecvată.

lucruri de evitat atunci când alegeți o parolă:

  • orice permutare a propriului nume real, nume de utilizator, nume de companie sau nume al site-ului dvs. web.
  • un cuvânt dintr-un dicționar, în orice limbă.
  • o parolă scurtă.
  • orice parolă numai numerică sau alfabetică (un amestec de ambele este cel mai bun).

o parolă puternică este necesară nu doar pentru a vă proteja conținutul blogului. Un hacker care obține acces la contul dvs. de administrator poate instala scripturi rău intenționate care vă pot compromite întregul server.

pe lângă utilizarea unei parole puternice, este o idee bună să activați autentificarea în doi pași ca măsură suplimentară de securitate.

Top

FTP # FTP

când vă conectați la serverul dvs., ar trebui să utilizați criptarea SFTP dacă gazda dvs. web o furnizează. Dacă nu sunteți sigur dacă gazda dvs. web oferă SFTP sau nu, întrebați-i.

utilizarea SFTP este aceeași cu FTP, cu excepția parolei și a altor date care sunt criptate pe măsură ce sunt transmise între computer și site-ul dvs. web. Aceasta înseamnă că parola dvs. nu este trimisă niciodată în clar și nu poate fi interceptată de un atacator.

Top

permisiuni de fișiere # permisiuni de fișiere

unele caracteristici îngrijite de WordPress provin de la care să permită diferite fișiere pentru a fi inscriptibil de serverul de web. Cu toate acestea, permiterea accesului la scriere la fișierele dvs. este potențial periculoasă, în special într-un mediu de găzduire partajat.

cel mai bine este să blocați permisiunile de fișiere cât mai mult posibil și să slăbiți aceste restricții în ocaziile în care trebuie să permiteți accesul la scriere sau să creați foldere specifice cu mai puține restricții în scopul de a face lucruri precum încărcarea fișierelor.

aici este o posibilă schemă de permisiune.

toate fișierele ar trebui să fie deținute de contul dvs. de utilizator și ar trebui să poată fi scrise de dvs. Orice fișier care are nevoie de acces de scriere de la WordPress ar trebui să fie scris de serverul web, dacă configurarea dvs. de găzduire o cere, ceea ce poate însemna că acele fișiere trebuie să fie deținute de grup de contul de utilizator utilizat de procesul serverului web.

/

directorul rădăcină WordPress: toate fișierele ar trebui să poată fi scrise numai de contul dvs. de utilizator, cu excepția.htaccess dacă doriți ca WordPress să genereze automat Reguli de rescriere pentru dvs.

/wp-admin/

zona de administrare WordPress: toate fișierele trebuie să poată fi scrise numai de contul dvs. de utilizator.

/wp-includes/

cea mai mare parte a logicii aplicației WordPress: toate fișierele ar trebui să poată fi scrise numai de contul dvs. de utilizator.

/wp-content/

Conținut furnizat de utilizator: destinat a fi scris de contul dvs. de utilizator și de procesul serverului web.

în/wp-content/ veți găsi:

/wp-content/themes/

fișiere tematice. Dacă doriți să utilizați editorul de teme încorporat, toate fișierele trebuie să poată fi scrise prin procesul serverului web. Dacă nu doriți să utilizați editorul de teme încorporat, toate fișierele pot fi scrise numai de contul dvs. de utilizator.

/wp-content/plugins/

Fișiere Plugin: toate fișierele trebuie să poată fi scrise numai de contul dvs. de utilizator.

alte directoare care pot fi prezente cu/wp-content/ ar trebui să fie documentate de oricare plugin sau temă le cere. Permisiunile pot varia.

Top

schimbarea permisiunilor de fișiere # schimbarea permisiunilor de fișiere

Dacă aveți acces shell la serverul dvs., puteți schimba permisiunile de fișiere recursiv cu următoarea comandă:

pentru Directoare:

find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;

pentru fișiere:

find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;

Top

privind actualizările automate # privind actualizările automate

când spuneți WordPress să efectueze o actualizare automată, toate operațiile de fișiere sunt efectuate ca utilizator care deține fișierele, nu ca utilizator. Toate fișierele sunt setate la 0644 și toate directoarele sunt setate la 0755 și pot fi scrise doar de utilizator și pot fi citite de toți ceilalți, inclusiv de serverul web.

Top

securitatea bazei de date # securitatea bazei de date

dacă rulați mai multe bloguri pe același server, este înțelept să luați în considerare păstrarea lor în baze de date separate, fiecare administrată de un utilizator diferit. Acest lucru este cel mai bine realizat atunci când efectuați instalarea inițială WordPress. Aceasta este o strategie de izolare: dacă un intrus sparge cu succes o instalare WordPress, acest lucru face mult mai greu să vă modificați celelalte bloguri.

Dacă administrați MySQL singur, asigurați-vă că înțelegeți configurația MySQL și că caracteristicile care nu sunt necesare (cum ar fi acceptarea conexiunilor TCP la distanță) sunt dezactivate. Consultați designul securizat al bazei de date MySQL pentru o introducere plăcută.

Top

restricționarea privilegiilor utilizatorului bazei de date # restricționarea privilegiilor utilizatorului bazei de date

pentru operațiuni WordPress normale, cum ar fi postarea de postări pe blog, încărcarea fișierelor media, postarea comentariilor, crearea de noi utilizatori WordPress și instalarea pluginurilor WordPress, utilizatorul bazei de date MySQL are nevoie doar de privilegii de citire și scriere a datelor; Selectați, Inserați, actualizați și ștergeți.

prin urmare, orice alte privilegii de structură și administrare a bazei de date, cum ar fi DROP, ALTER și GRANT, pot fi revocate. Prin revocarea acestor privilegii, îmbunătățiți, de asemenea, politicile de izolare.

notă: unele pluginuri, teme și actualizări majore WordPress ar putea necesita modificări structurale ale bazei de date, cum ar fi adăugarea de tabele noi sau modificarea schemei. În acest caz, înainte de a instala pluginul sau de a actualiza un software, va trebui să permiteți temporar utilizatorului bazei de date privilegiile necesare.

avertisment: Încercarea actualizărilor fără a avea aceste privilegii poate cauza probleme atunci când apar modificări ale schemei bazei de date. Astfel, nu se recomandă revocarea acestor privilegii. Dacă vă simțiți nevoia de a face acest lucru din motive de securitate, atunci vă rugăm să asigurați-vă că aveți un plan de backup solid în loc în primul rând, cu backup-uri regulate întreaga bază de date pe care le-ați testat sunt valabile și care pot fi ușor restaurate. O actualizare a bazei de date eșuată poate fi rezolvată de obicei prin restaurarea bazei de date la o versiune veche, acordând permisiunile corespunzătoare și apoi lăsând WordPress să încerce din nou actualizarea bazei de date. Restaurarea bazei de date o va readuce la acea versiune veche, iar ecranele de administrare WordPress vor detecta apoi versiunea veche și vă vor permite să rulați comenzile SQL necesare pe ea. Majoritatea actualizărilor WordPress nu schimbă schema, dar unele o fac. Numai upgrade-uri majore punct (3.7 la 3.8, de exemplu) va modifica schema. Upgrade-uri minore (3.8 la 3.8.1), în general, nu vor. Cu toate acestea, păstrați o copie de rezervă regulată.

Top

securizarea wp-admin # securizarea wp-admin

adăugarea protecției prin parolă pe partea de server (cum ar fi BasicAuth) la/wp-admin/ adaugă un al doilea strat de protecție în jurul zonei de administrare a blogului dvs., a ecranului de conectare și a fișierelor dvs. Acest lucru obligă un atacator sau un bot să atace acest al doilea strat de protecție în locul fișierelor dvs. de administrare reale. Multe atacuri WordPress sunt efectuate în mod autonom de către roboți software rău intenționați.

pur și simplu securizareawp-admin/ directorul ar putea rupe, de asemenea, unele funcționalități WordPress, cum ar fi handler AJAX lawp-admin/admin-ajax.php. Consultați secțiunea Resurse pentru mai multe documentații despre cum să vă protejați prin parolă directorul wp-admin/ în mod corespunzător.

cele mai frecvente atacuri împotriva unui blog WordPress se încadrează de obicei în două categorii.

  1. trimiterea de cereri HTTP special-artizanale la serverul dvs. cu sarcini utile specifice exploata pentru vulnerabilități specifice. Acestea includ pluginuri și software vechi/învechite.
  2. încercarea de a avea acces la blog-ul dvs. prin utilizarea „brute-force” parola ghicitul.

implementarea finală a acestei protecții cu parolă „al doilea strat” este de a solicita o conexiune criptată HTTPS SSL pentru administrare, astfel încât toate comunicațiile și datele sensibile să fie criptate. A se vedea administrarea peste SSL.

Top

securizarea wp-include # securizarea WP-include

Un al doilea strat de protecție poate fi adăugat în cazul în care scripturile nu sunt, în general, destinate a fi accesate de către orice utilizator. O modalitate de a face acest lucru este de a bloca aceste scripturi folosind mod_rewrite în .fișier htaccess. Notă: pentru a vă asigura că codul de mai jos nu este suprascris de WordPress, plasați-l în afara etichetelor # BEGIN WordPress și # END WordPress din .fișier htaccess. WordPress poate suprascrie orice între aceste etichete.

sus

securizarea wp-config.php # securizarea wp-config.php

puteți muta fișierulwp-config.php în directorul de deasupra instalării WordPress. Aceasta înseamnă că pentru un site instalat în rădăcina spațiului dvs. web, puteți stoca wp-config.php în afara folderului web-root.

notă: Unii oameni afirmă că mutarea wp-config.php are beneficii minime de securitate și, dacă nu este făcut cu atenție, poate introduce de fapt vulnerabilități grave. Alții nu sunt de acord.

rețineți că wp-config.php poate fi stocat cu un nivel de director deasupra instalării WordPress (unde wp-include reședința). De asemenea, asigurați-vă că numai dvs. (și serverul web) puteți citi acest fișier (în general înseamnă o permisiune de 400 sau 440).

dacă utilizați un server cu .htaccess, puteți pune acest lucru în acel fișier (chiar în partea de sus) pentru a refuza accesul oricui navighează pentru el:

<files wp-config.php>order allow,denydeny from all</files>

Top

dezactivați editarea fișierelor # dezactivați editarea fișierelor

Tabloul de bord WordPress implicit permite administratorilor să editeze fișiere PHP, cum ar fi fișierele plugin și tematice. Acesta este adesea primul instrument pe care un atacator îl va folosi dacă este capabil să se conecteze, deoarece permite executarea codului. WordPress are o constantă pentru a dezactiva editarea din tabloul de bord. Plasarea acestei linii în wp-config.php este echivalent cu eliminarea capabilităților ‘edit_themes’,’ edit_plugins ‘și’ edit_files ‘ ale tuturor utilizatorilor:

define('DISALLOW_FILE_EDIT', true);

Acest lucru nu va împiedica un atacator să încarce fișiere rău intenționate pe site-ul dvs., dar ar putea opri unele atacuri.

Top

Plugins # Plugins

în primul rând, asigurați-vă că pluginurile dvs. sunt întotdeauna actualizate. De asemenea, dacă nu utilizați un anumit plugin, ștergeți-l din sistem.

Top

Firewall # Firewall

există multe pluginuri și servicii care pot acționa ca un firewall pentru site-ul dvs. web. Unele dintre ele funcționează prin modificarea dvs.htaccess
și restricționarea accesului la nivel Apache, înainte de a fi procesat de WordPress. Un bun exemplu este iThemes Security sau All in One WP Security. Unele pluginuri firewall acționează la nivel WordPress, cum ar fi WordFence și Shield, și încearcă să filtreze atacurile pe măsură ce WordPress se încarcă, dar înainte de a fi complet procesat.

pe lângă pluginuri, puteți instala și un WAF (firewall web) pe serverul dvs. web pentru a filtra conținutul înainte de a fi procesat de WordPress. Cel mai popular WAF open source este ModSecurity.

un firewall al site-ului poate fi adăugat și ca intermediar între traficul de pe internet și serverul dvs. de găzduire. Toate aceste servicii funcționează ca proxy-uri inverse, în care acceptă cererile inițiale și le redirecționează către serverul dvs., eliminându-l de toate cererile rău intenționate. Ei realizează acest lucru modificând înregistrările DNS, printr-o înregistrare A sau swap DNS complet, permițând tot traficul să treacă mai întâi prin noua rețea. Acest lucru face ca tot traficul să fie filtrat de firewall înainte de a ajunge pe site-ul dvs. Câteva companii oferă astfel de servicii, cum ar fi CloudFlare, Sucuri și Incapsula.

În plus, acești furnizori de servicii terți funcționează în mod implicit ca rețea de distribuție a conținutului (CDN), introducând optimizarea performanței și acoperirea globală.

Top

pluginuri care au nevoie de acces la scriere # pluginuri care au nevoie de acces la scriere

dacă un plugin dorește acces la scriere la fișierele și directoarele dvs. Locurile posibile de verificat sunt forumurile de asistență și canalul IRC.

Top

code execution plugins # code execution plugins

după cum am spus, o parte din obiectivul de întărire WordPress conține daunele făcute dacă există un atac de succes. Plugin-uri care permit PHP arbitrar sau alt cod pentru a executa de la intrările într-o bază de date mări în mod eficient posibilitatea de deteriorare în cazul unui atac de succes.

o modalitate de a evita utilizarea unui astfel de plugin este de a utiliza șabloane de pagină personalizate care apelează funcția. O parte din Securitatea pe care o oferă este activă numai atunci când interziceți editarea fișierelor în WordPress.

Top

securitate prin obscuritate # securitate prin obscuritate

securitate prin obscuritate este, în general, o strategie primară nesănătoasă. Cu toate acestea, există zone în WordPress în care ascunderea informațiilor ar putea ajuta la securitate:

  1. redenumiți contul administrativ: atunci când creați un cont administrativ, evitați termenii ușor de ghicit, cum ar fi admin sau webmaster ca nume de utilizator, deoarece acestea sunt de obicei supuse atacurilor mai întâi. Pe o instalare WordPress existentă, puteți redenumi contul existent în clientul de linie de comandă MySQL cu o comandă precum UPDATE wp_users SET user_login = 'newuser' WHERE user_login = 'admin'; sau utilizând o interfață MySQL precum phpMyAdmin.
  2. schimbați table_prefix: multe atacuri SQL-injection specifice WordPress publicate fac presupunerea că table_prefix este wp_, implicit. Modificarea acestui lucru poate bloca cel puțin unele atacuri de injecție SQL.

Top

backup de date # backup de date

backup de date în mod regulat, inclusiv bazele de date MySQL. Vezi articolul principal: Copierea De Rezervă A Bazei De Date.

integritatea datelor este esențială pentru backup-urile de încredere. Criptarea copiei de rezervă, păstrarea unei înregistrări independente a hash-urilor MD5 pentru fiecare fișier de rezervă și/sau plasarea copiilor de rezervă pe suporturi de citire crește încrederea că datele dvs. nu au fost modificate.

o strategie de backup de sunet ar putea include păstrarea unui set de instantanee programate în mod regulat ale întregii instalări WordPress (inclusiv fișierele de bază WordPress și baza de date) într-o locație de încredere. Imaginați-vă un site care face instantanee săptămânale. O astfel de strategie înseamnă că, dacă un site este compromis pe 1 Mai, dar compromisul nu este detectat până pe 12 mai, proprietarul site-ului va avea copii de rezervă pre-compromis care pot ajuta la reconstruirea site-ului și, eventual, chiar și copii de rezervă post-compromis care vor ajuta la determinarea modului în care site-ul a fost compromis.

Top

Logging # Logging

logurile sunt cel mai bun prieten atunci când vine vorba de înțelegerea a ceea ce se întâmplă cu site-ul dvs. web, mai ales dacă încercați să efectuați criminalistică. Contrar credințelor populare, jurnalele vă permit să vedeți ce a fost făcut și de cine și când. Din păcate, jurnalele nu vă vor spune cine, numele de utilizator, autentificat, dar vă va permite să identificați IP-ul și timpul și, mai important, acțiunile pe care atacatorul le-ar fi putut întreprinde. Veți putea vedea oricare dintre aceste atacuri prin intermediul jurnalelor-Cross Site Scripting (XSS), Remote File Inclusion (RFI), Local File Inclusion (LFI) și Directory Traversal tentative. De asemenea, veți putea vedea încercări de forță brută. Există diverse exemple și tutoriale disponibile pentru a vă ajuta să vă ghidați prin procesul de analiză și analiză a jurnalelor dvs. brute.

dacă vă simțiți mai confortabil cu jurnalele dvs., veți putea vedea lucruri precum, când se utilizează editorii de teme și pluginuri, când cineva vă actualizează widget-urile și când se adaugă postări și pagini. Toate elementele cheie atunci când efectuați lucrări medico-legale pe serverul dvs. web. Sunt câteva pluginuri de securitate WordPress care vă ajută și în acest sens, cum ar fi instrumentul de audit Sucuri sau pluginul Audit Trail.există două soluții cheie open-source pe care le veți dori pe serverul dvs. web dintr-o perspectivă de securitate, aceasta este o abordare stratificată a securității.OSSEC poate rula pe orice distribuție NIX și va rula și pe Windows. Când este configurat corect, este foarte puternic. Ideea este corelați și agregați toate jurnalele. Trebuie să vă asigurați că îl configurați pentru a captura toate access_logs și error_logs și dacă aveți mai multe site-uri web pe contul de server pentru asta. De asemenea, veți dori să vă asigurați că filtrați zgomotul. În mod implicit, veți vedea mult zgomot și veți dori să îl configurați pentru a fi cu adevărat eficient.

Top

monitorizare # monitorizare

uneori prevenirea nu este suficientă și este posibil să fiți în continuare hacked. De aceea, detectarea/monitorizarea intruziunilor este foarte importantă. Vă va permite să reacționați mai repede, să aflați ce s-a întâmplat și să vă recuperați site-ul.

Top

monitorizarea jurnalelor # monitorizarea jurnalelor

Dacă sunteți pe un server privat dedicat sau virtual, în care aveți luxul accesului root, aveți capacitatea de a configura cu ușurință lucrurile, astfel încât să puteți vedea ce se întâmplă. OSSEC facilitează cu ușurință acest lucru și aici este o mică scriere care vă poate ajuta OSSEC pentru securitatea site-ului web-Partea I.

Top

monitorizarea fișierelor pentru modificări # monitorizarea fișierelor pentru modificări

când se întâmplă un atac, acesta lasă întotdeauna urme. Fie pe jurnalele sau pe sistemul de fișiere (fișiere noi, fișiere modificate, etc). Dacă utilizați OSSEC, de exemplu, acesta vă va monitoriza fișierele și vă va avertiza când se schimbă.

obiective # obiective

obiectivele urmăririi sistemului de fișiere includ:

  • Monitor schimbat și adăugat fișiere
  • Log modificări și completări
  • capacitatea de a reveni modificări granulare
  • alerte automate

top

abordări generale # abordări generale

administratorii pot monitoriza sistemul de fișiere prin tehnologii generale, cum ar fi:

  • utilitare de sistem
  • control/li>

Top

instrumente specifice # instrumente specifice

opțiunile pentru monitorizarea sistemului de fișiere includ:

  • diff-construiți o copie de testare curată a site – ului dvs. și comparați – o cu producția
  • git – source code management
  • inotify și incron – OS kernel Level file monitoring service care poate rula comenzi pe evenimente ale sistemului de fișiere
  • Watcher-Python Inotify library
  • OSSEC-sistem de detectare a intruziunilor bazat pe gazdă, care efectuează analiza jurnalului, verificarea integrității fișierelor, monitorizarea politicilor, detectarea rootkit-ului, alertarea în timp real și răspunsul activ.

Top

considerații # considerații

când configurați o strategie de monitorizare bazată pe fișiere, există multe considerații, inclusiv următoarele.

rulați scriptul/serviciul de monitorizare ca root

Acest lucru ar face dificil pentru atacatori să dezactiveze sau să modifice soluția de monitorizare a sistemului de fișiere.

dezactivați monitorizarea în timpul întreținerii/actualizărilor programate

Acest lucru ar împiedica notificările inutile atunci când efectuați întreținerea regulată pe site.

monitorizați numai tipurile de fișiere executabile

poate fi rezonabil de sigur să monitorizați numai tipurile de fișiere executabile, cum ar fi .fișiere php etc.. Filtrarea fișierelor neexecutabile poate reduce intrările și alertele de jurnal inutile.

utilizați permisiuni stricte de sistem de fișiere

citiți despre securizarea permisiunilor de fișiere și a proprietății. În general, evitați să permiteți permisiunile de executare și scriere în măsura posibilului.

Top

monitorizarea externă a serverului web # monitorizarea externă a serverului web

dacă atacatorul încearcă să vă șteargă site-ul sau să adauge programe malware, puteți detecta aceste modificări utilizând o soluție de monitorizare a integrității bazată pe web. Acest lucru vine în multe forme astăzi, utilizați motorul de căutare preferat și căutați detectarea și remedierea Malware-ului Web și probabil veți obține o listă lungă de furnizori de servicii.

Top

resurse # resurse

  • Cum de a îmbunătăți WordPress de securitate (Infographic)
  • plugin-uri de securitate
  • WordPress de securitate de tăiere prin BS
  • E-Book: blocare în jos WordPress
  • wpsecure.net are câteva ghiduri despre cum să blocați WordPress.
  • Un ghid pentru începători pentru întărirea WordPress
  • Brad Williams: blocați – l (Video)
  • 21 de moduri de a vă asigura site-ul WordPress
  • documente oficiale despre cum să protejați prin parolă directoarele cu un .fișier htaccess
  • tutorial simplu despre cum să protejați parola zona de administrare WordPress și să remediați eroarea 404

Top

Vezi și # vezi și

  • Întrebări frecvente de securitate
  • Întrebări frecvente – site-ul meu a fost piratat
  • atacuri de forță brută
  • WordPress Security Whitepaper

Lasă un răspuns

Adresa ta de email nu va fi publicată.