Säkerhet i WordPress tas väldigt seriöst, men som med alla andra system finns det potentiella säkerhetsproblem som kan uppstå om vissa grundläggande säkerhetsåtgärder inte vidtas. Den här artikeln kommer att gå igenom några vanliga former av sårbarheter och de saker du kan göra för att hålla din WordPress-installation säker.
den här artikeln är inte den ultimata snabbkorrigeringen till dina säkerhetsproblem. Om du har specifika säkerhetsproblem eller tvivel bör du diskutera dem med personer som du litar på att ha tillräcklig kunskap om datasäkerhet och WordPress.
- Vad är säkerhet? # Vad är säkerhet?
- Säkerhetsteman # Säkerhetsteman
- sårbarheter på din dator # sårbarheter på din dator
- sårbarheter i WordPress # sårbarheter i WordPress
- uppdatera WordPress # uppdatera WordPress
- rapportera säkerhetsproblem # rapportera säkerhetsproblem
- Webbserversårbarheter # Webbserversårbarheter
- Nätverkssårbarheter # Nätverkssårbarheter
- lösenord # lösenord
- FTP # FTP
- filbehörigheter # filbehörigheter
- ändra filbehörigheter # ändra filbehörigheter
- när det gäller automatiska uppdateringar # när det gäller automatiska uppdateringar
- databassäkerhet # databassäkerhet
- begränsa Databasanvändarrättigheter # begränsa Databasanvändarrättigheter
- säkra wp-admin # säkra wp-admin
- säkra WP-inkluderar # säkra wp-inkluderar
- säkra wp-config.php # säkra wp-config.php
- inaktivera filredigering # inaktivera filredigering
- Plugins # Plugins
- brandvägg # brandvägg
- Plugins som behöver skrivåtkomst # Plugins som behöver skrivåtkomst
- code execution plugins # Code execution plugins
- säkerhet genom dunkelhet # säkerhet genom dunkelhet
- Databackups # Databackups
- loggning # loggning
- övervakning # övervakning
- övervaka dina loggar # övervaka dina loggar
- övervaka dina filer för ändringar # övervaka dina filer för ändringar
- mål # mål
- allmänna tillvägagångssätt # allmänna tillvägagångssätt
- specifika verktyg # specifika verktyg
- överväganden # överväganden
- övervaka din webbserver externt # övervaka din webbserver externt
- Resurser # resurser
- Se även # Se även
Vad är säkerhet? # Vad är säkerhet?
i grund och botten handlar säkerhet inte om helt säkra system. En sådan sak kan mycket väl vara opraktiskt, eller omöjligt att hitta och/eller underhålla. Vad säkerhet är är dock riskreduktion, inte Risk eliminering. Det handlar om att använda alla lämpliga kontroller som är tillgängliga för dig, inom rimliga gränser, som gör att du kan förbättra din övergripande hållning och minska oddsen för att göra dig själv till ett mål och därefter bli hackad.
webbplatsvärdar
ofta är ett bra ställe att börja när det gäller webbplatssäkerhet din värdmiljö. Idag finns det ett antal alternativ tillgängliga för dig, och medan värdar erbjuder säkerhet till en viss nivå är det viktigt att förstå var deras ansvar slutar och ditt börjar. Här är en bra artikel som förklarar den komplicerade dynamiken mellan Webbhotell och säkerheten på din webbplats. En säker server skyddar integriteten, integriteten och tillgängligheten för resurserna under serveradministratörens kontroll.
egenskaper hos en betrodd webbhotell kan inkludera:
- diskuterar lätt dina säkerhetsproblem och vilka säkerhetsfunktioner och processer de erbjuder med sin värd.
- innehåller de senaste stabila versionerna av all serverprogramvara.
- ger tillförlitliga metoder för säkerhetskopiering och återställning.
Bestäm vilken säkerhet du behöver på din server genom att bestämma vilken programvara och data som behöver säkras. Resten av den här guiden hjälper dig med detta.
Webbplatsapplikationer
det är lätt att titta på webbhotell och överföra ansvaret för säkerhet till dem, men det finns en enorm mängd säkerhet som ligger på webbplatsägaren också. Webbhotell är ofta ansvariga för den infrastruktur som din webbplats sitter på, de är inte ansvariga för det program du väljer att installera.
för att förstå var och varför detta är viktigt måste du förstå hur webbplatser hackas, sällan tillskrivs det infrastrukturen och oftast tillskrivs själva applikationen (dvs. miljön du ansvarar för).
topp
Säkerhetsteman # Säkerhetsteman
Tänk på några allmänna tankar när du överväger säkerhet för varje aspekt av ditt system:
begränsa åtkomst
göra smarta val som minskar möjliga ingångspunkter tillgängliga för en skadlig person.
inneslutning
ditt system bör konfigureras för att minimera mängden skada som kan göras om det äventyras.
förberedelse och kunskap
att hålla säkerhetskopior och känna till tillståndet för din WordPress-installation med jämna mellanrum. Att ha en plan för att säkerhetskopiera och återställa din installation i händelse av katastrof kan hjälpa dig att komma tillbaka online snabbare i händelse av ett problem.
betrodda källor
hämta inte plugins / teman från otillförlitliga källor. Begränsa dig till WordPress.org repository eller välkända företag. Att försöka få plugins / teman från utsidan kan leda till problem.
Top
sårbarheter på din dator # sårbarheter på din dator
se till att datorerna du använder är fria från spionprogram, skadlig kod och virusinfektioner. Ingen mängd säkerhet i WordPress eller på din webbserver kommer att göra den minsta skillnaden om det finns en keylogger på din dator.
håll alltid ditt operativsystem och programvaran på det, särskilt din webbläsare, uppdaterade för att skydda dig mot säkerhetsproblem. Om du surfar på otillförlitliga webbplatser rekommenderar vi också att du använder verktyg som no-script (eller inaktiverar javascript/flash/java) i din webbläsare.
topp
sårbarheter i WordPress # sårbarheter i WordPress
liksom många moderna programvarupaket uppdateras WordPress regelbundet för att ta itu med nya säkerhetsproblem som kan uppstå. Att förbättra programvarans säkerhet är alltid ett pågående problem, och för detta ändamål bör du alltid hålla dig uppdaterad med den senaste versionen av WordPress. Äldre versioner av WordPress underhålls inte med säkerhetsuppdateringar.
uppdatera WordPress # uppdatera WordPress
Huvudartikel: uppdatera WordPress.
den senaste versionen av WordPress är alltid tillgänglig från den huvudsakliga WordPress-webbplatsen på https://wordpress.org. Officiella utgåvor är inte tillgängliga från andra webbplatser — ladda aldrig ner eller installera WordPress från någon annan webbplats än https://wordpress.org.
Sedan version 3.7 har WordPress presenterat automatiska uppdateringar. Använd denna funktion för att underlätta processen att hålla dig uppdaterad. Du kan också använda WordPress-instrumentpanelen för att hålla dig informerad om uppdateringar. Läs posten i instrumentpanelen eller WordPress-Utvecklarbloggen för att avgöra vilka steg du måste vidta för att uppdatera och förbli säker.
om en sårbarhet upptäcks i WordPress och en ny version släpps för att lösa problemet, är informationen som krävs för att utnyttja sårbarheten nästan säkert i det offentliga området. Detta gör gamla versioner mer öppna för attacker, och är en av de främsta anledningarna till att du alltid bör hålla WordPress uppdaterad.
om du är administratör som ansvarar för mer än en WordPress-installation, överväg att använda Subversion för att underlätta hanteringen.
topp
rapportera säkerhetsproblem # rapportera säkerhetsproblem
om du tror att du har hittat ett säkerhetsfel i WordPress kan du hjälpa till genom att rapportera problemet. Se Vanliga frågor om säkerhet för information om hur du rapporterar säkerhetsproblem.
om du tror att du har hittat ett fel, rapportera det. Se Skicka in buggar för hur du gör detta. Du kanske har upptäckt en sårbarhet eller en bugg som kan leda till en.
topp
Webbserversårbarheter # Webbserversårbarheter
webbservern som kör WordPress och programvaran på den kan ha sårbarheter. Se därför till att du kör säkra, stabila versioner av din webbserver och programvaran på den, eller se till att du använder en betrodd värd som tar hand om dessa saker åt dig.
Om du är på en delad server (en som är värd för andra webbplatser förutom din egen) och en webbplats på samma server äventyras, kan din webbplats potentiellt äventyras även om du följer allt i den här guiden. Var noga med att fråga din webbhotell vilka säkerhetsåtgärder de vidtar.
topp
Nätverkssårbarheter # Nätverkssårbarheter
nätverket i båda ändar — WordPress — serversidan och klientnätverkssidan-bör lita på. Det innebär att uppdatera brandväggsregler på din hemrouter och vara försiktig med vilka nätverk du arbetar från. Ett Internet cafe där du skickar lösenord via en okrypterad anslutning, trådlös eller på annat sätt, är inte ett pålitligt nätverk.
din webbhotell bör se till att deras nätverk inte äventyras av angripare, och du bör göra detsamma. Nätverkssårbarheter kan tillåta att lösenord och annan känslig information avlyssnas.
topp
lösenord # lösenord
många potentiella sårbarheter kan undvikas med goda säkerhetsvanor. Ett starkt lösenord är en viktig aspekt av detta.
målet med ditt lösenord är att göra det svårt för andra att gissa och svårt för en brute force attack att lyckas. Många automatiska lösenordsgeneratorer finns tillgängliga som kan användas för att skapa säkra lösenord.
WordPress har också en lösenordsstyrkemätare som visas när du ändrar ditt lösenord i WordPress. Använd detta när du ändrar ditt lösenord för att säkerställa att dess styrka är tillräcklig.
saker att undvika när du väljer ett lösenord:
- varje permutation av ditt eget riktiga namn, användarnamn, företagsnamn eller namn på din webbplats.
- ett ord från en ordbok, på vilket språk som helst.
- ett kort lösenord.
- Alla numeriska eller alfabetiska lösenord (en blandning av båda är bäst).
ett starkt lösenord är nödvändigt inte bara för att skydda ditt blogginnehåll. En hackare som får tillgång till ditt administratörskonto kan installera skadliga skript som potentiellt kan äventyra hela servern.
förutom att använda ett starkt lösenord är det bra att aktivera tvåstegsautentisering som en extra säkerhetsåtgärd.
topp
FTP # FTP
När du ansluter till din server bör du använda SFTP-kryptering om din webbhotell tillhandahåller den. Om du är osäker på om din webbhotell tillhandahåller SFTP eller inte, fråga bara dem.
att använda SFTP är detsamma som FTP, förutom att ditt lösenord och annan data krypteras när den överförs mellan din dator och din webbplats. Detta innebär att ditt lösenord aldrig skickas i klartext och kan inte avlyssnas av en angripare.
topp
filbehörigheter # filbehörigheter
några snygga funktioner i WordPress kommer från att låta olika filer vara skrivbara av webbservern. Att tillåta skrivåtkomst till dina filer är dock potentiellt farligt, särskilt i en delad värdmiljö.
det är bäst att låsa ner dina filbehörigheter så mycket som möjligt och att lossa dessa begränsningar vid de tillfällen som du behöver för att tillåta skrivåtkomst, eller att skapa specifika mappar med mindre begränsningar för att göra saker som att ladda upp filer.
Här är ett möjligt tillståndsschema.
alla filer ska ägas av ditt användarkonto och ska vara skrivbara av dig. Alla filer som behöver skrivåtkomst från WordPress bör vara skrivbara av webbservern, om din värdinställning kräver det, kan det innebära att dessa filer måste vara gruppägda av användarkontot som används av webbserverprocessen.
/
root WordPress-katalogen: alla filer ska endast skrivas av ditt användarkonto, utom .htaccess
om du vill att WordPress automatiskt ska generera omskrivningsregler för dig.
/wp-admin/
WordPress-administrationsområdet: alla filer ska endast skrivas av ditt användarkonto.
/wp-includes/
huvuddelen av WordPress-applikationslogiken: alla filer ska endast skrivas av ditt användarkonto.
/wp-content/
användarinnehåll: avsett att vara skrivbart av ditt användarkonto och webbserverprocessen.
inom/wp-content/
hittar du:
/wp-content/themes/
temafiler. Om du vill använda den inbyggda temaredigeraren måste alla filer vara skrivbara av webbserverprocessen. Om du inte vill använda den inbyggda temaredigeraren kan alla filer endast skrivas av ditt användarkonto.
/wp-content/plugins/
Plugin-filer: alla filer ska endast skrivas av ditt användarkonto.
andra kataloger som kan finnas med /wp-content/
ska dokumenteras av vilket plugin eller tema som kräver dem. Behörigheter kan variera.
topp
ändra filbehörigheter # ändra filbehörigheter
om du har shell-åtkomst till din server kan du ändra filbehörigheter rekursivt med följande kommando:
För kataloger:
find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;
För filer:
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;
Top
när det gäller automatiska uppdateringar # när det gäller automatiska uppdateringar
När du ber WordPress att utföra en automatisk uppdatering utförs alla filoperationer som användaren som äger filerna, inte som webbserverns användare. Alla filer är inställda på 0644 och alla kataloger är inställda på 0755, och skrivbara av endast användaren och läsbara av alla andra, inklusive webbservern.
Top
databassäkerhet # databassäkerhet
om du kör flera bloggar på samma server, är det klokt att överväga att hålla dem i separata databaser varje hanteras av en annan användare. Detta uppnås bäst när du utför den första WordPress-installationen. Detta är en inneslutningsstrategi: om en inkräktare framgångsrikt spricker en WordPress-installation gör det det mycket svårare att ändra dina andra bloggar.
om du administrerar MySQL själv, se till att du förstår din MySQL-konfiguration och att onödiga funktioner (som att acceptera fjärranslutna TCP-anslutningar) är inaktiverade. Se säker MySQL databasdesign för en trevlig introduktion.
topp
begränsa Databasanvändarrättigheter # begränsa Databasanvändarrättigheter
För normala WordPress-operationer, som att posta blogginlägg, ladda upp mediefiler, posta kommentarer, skapa nya WordPress-användare och installera WordPress-plugins, behöver MySQL-databasanvändaren bara dataläsning och dataskrivbehörigheter till MySQL-databasen; Välj, infoga, uppdatera och ta bort.
därför kan alla andra databasstrukturer och administrationsbehörigheter, som DROP, ALTER och GRANT, återkallas. Genom att återkalla sådana privilegier förbättrar du också inneslutningspolicyn.
OBS: Vissa plugins, teman och större WordPress uppdateringar kan kräva att göra databas strukturella förändringar, till exempel lägga till nya tabeller eller ändra schemat. I så fall måste du tillfälligt tillåta databasanvändaren de nödvändiga behörigheterna innan du installerar plugin eller uppdaterar en programvara.
varning: Att försöka uppdatera utan att ha dessa behörigheter kan orsaka problem när databasschemaändringar inträffar. Det rekommenderas därför inte att återkalla dessa privilegier. Om du känner behov av att göra detta av säkerhetsskäl, vänligen se till att du har en solid backup plan på plats först, med regelbundna hela databas säkerhetskopior som du har testat är giltiga och som lätt kan återställas. En misslyckad databasuppgradering kan vanligtvis lösas genom att återställa databasen tillbaka till en gammal version, bevilja rätt behörigheter och sedan låta WordPress prova databasuppdateringen igen. Om du återställer databasen återgår den till den gamla versionen och WordPress-administrationsskärmarna upptäcker sedan den gamla versionen och låter dig köra nödvändiga SQL-kommandon på den. De flesta WordPress-uppgraderingar ändrar inte schemat, men vissa gör det. Endast större punktuppgraderingar (3,7 till 3,8, till exempel) kommer att ändra schemat. Mindre uppgraderingar (3.8 till 3.8.1) kommer i allmänhet inte. Ändå behåll en vanlig säkerhetskopia.
topp
säkra wp-admin # säkra wp-admin
lägga till lösenordsskydd på serversidan (som BasicAuth) till /wp-admin/
lägger till ett andra skyddslager runt din bloggs administratörsområde, inloggningsskärmen och dina filer. Detta tvingar en angripare eller bot att attackera detta andra lager av skydd istället för dina faktiska administratörsfiler. Många WordPress-attacker utförs autonomt av skadliga programvarubotar.
helt enkelt säkrawp-admin/
katalog kan också bryta vissa WordPress funktionalitet, såsom AJAX handler påwp-admin/admin-ajax.php
. Se avsnittet Resurser för mer dokumentation om hur du lösenordsskyddar katalogen wp-admin/
korrekt.
de vanligaste attackerna mot en WordPress-blogg faller vanligtvis i två kategorier.
- skicka specialskrivna HTTP-förfrågningar till din server med specifika nyttolaster för specifika sårbarheter. Dessa inkluderar gamla / föråldrade plugins och programvara.
- försöker få tillgång till din blogg med hjälp av ”brute-force” lösenord gissa.
den ultimata implementeringen av detta” andra lager ” lösenordsskydd är att kräva en HTTPS SSL-krypterad anslutning för administration, så att all kommunikation och känslig data krypteras. Se Administration över SSL.
topp
säkra WP-inkluderar # säkra wp-inkluderar
ett andra skyddsskikt kan läggas till där skript i allmänhet inte är avsedda att nås av någon användare. Ett sätt att göra det är att blockera dessa skript med mod_rewrite i .htaccess-fil. OBS: För att säkerställa att koden nedan inte skrivs över av WordPress, placera den utanför # BEGIN WordPress
och # END WordPress
taggar i .htaccess-fil. WordPress kan skriva över allt mellan dessa taggar.
topp
säkra wp-config.php # säkra wp-config.php
Du kan flytta filen wp-config.php
till katalogen ovanför din WordPress-installation. Det betyder att för en webbplats som är installerad i roten på ditt webbutrymme kan du lagra wp-config.php
utanför webbrotmappen.
notera: Vissa människor hävdar att flytta wp-config.php har minimala säkerhetsfördelar och kan, om det inte görs noggrant, faktiskt införa allvarliga sårbarheter. Andra håller inte med.
Observera att wp-config.php
kan lagras en katalognivå ovanför WordPress-installationen (där wp-includes finns). Se också till att bara du (och webbservern) kan läsa den här filen (det betyder i allmänhet en 400 eller 440 tillstånd).
Om du använder en server med .htaccess, du kan lägga detta i den filen (högst upp) för att neka åtkomst till alla som surfar för det:
<files wp-config.php>order allow,denydeny from all</files>
topp
inaktivera filredigering # inaktivera filredigering
WordPress-instrumentpanelen tillåter som standard administratörer att redigera PHP-filer, till exempel plugin-och temafiler. Detta är ofta det första verktyget som en angripare kommer att använda om han kan logga in, eftersom det tillåter kodkörning. WordPress har en konstant att inaktivera redigering från instrumentpanelen. Placera denna rad i wp-config.php motsvarar att ta bort funktionerna’ edit_themes’,’ edit_plugins ’och’ edit_files ’ för alla användare:
define('DISALLOW_FILE_EDIT', true);
detta hindrar inte en angripare från att ladda upp skadliga filer till din webbplats, men kan stoppa vissa attacker.
topp
Plugins # Plugins
kontrollera först att dina plugins alltid är uppdaterade. Om du inte använder ett specifikt plugin, ta bort det från systemet.
Top
brandvägg # brandvägg
det finns många plugins och tjänster som kan fungera som en brandvägg för din webbplats. Några av dem arbetar genom att ändra din .htaccess
fil och begränsa viss tillgång på Apache nivå, innan den behandlas av WordPress. Ett bra exempel är iThemes Security eller All in One WP Security. Vissa brandväggspluggar fungerar på WordPress-nivå, som WordFence och Shield, och försöker filtrera attacker när WordPress laddas, men innan det är helt bearbetat.
förutom plugins kan du också installera en WAF (web firewall) på din webbserver för att filtrera innehåll innan det bearbetas av WordPress. Den mest populära open source WAF är ModSecurity.
en webbplats brandvägg kan också läggas till som mellanhand mellan trafiken från internet och din värdserver. Dessa tjänster fungerar alla som omvända proxyer, där de accepterar de ursprungliga förfrågningarna och omdirigerar dem till din server och tar bort alla skadliga förfrågningar. De åstadkommer detta genom att ändra dina DNS-poster, via en a-post eller full DNS-byte, så att all trafik kan passera genom det nya nätverket först. Detta gör att all trafik filtreras av brandväggen innan den når din webbplats. Några företag erbjuder sådan tjänst, som CloudFlare, Sucuri och Incapsula.
dessutom fungerar dessa tredjepartsleverantörer som standard som Content Distribution Network (CDN) och introducerar prestandaoptimering och global räckvidd.
Top
Plugins som behöver skrivåtkomst # Plugins som behöver skrivåtkomst
om ett plugin vill ha skrivåtkomst till dina WordPress-filer och kataloger, läs koden för att se till att den är legitim eller kolla med någon du litar på. Möjliga platser att kontrollera är supportforum och IRC-kanal.
Top
code execution plugins # Code execution plugins
som vi sa, en del av målet att härda WordPress innehåller skadan om det finns en lyckad attack. Plugins som tillåter godtycklig PHP eller annan kod för att köra från poster i en databas effektivt förstora risken för skador i händelse av en lyckad attack.
ett sätt att undvika att använda ett sådant plugin är att använda anpassade sidmallar som anropar funktionen. En del av säkerheten som detta ger är endast aktiv när du inte tillåter filredigering inom WordPress.
Top
säkerhet genom dunkelhet # säkerhet genom dunkelhet
säkerhet genom dunkelhet är i allmänhet en osund primär strategi. Det finns dock områden i WordPress där dold information kan hjälpa till med säkerhet:
- Byt namn på det administrativa kontot: när du skapar ett administrativt konto, undvik lätt gissade termer som
admin
ellerwebmaster
som användarnamn eftersom de vanligtvis utsätts för attacker först. På en befintlig WordPress-installation kan du byta namn på det befintliga kontot i MySQL-kommandoradsklienten med ett kommando somUPDATE wp_users SET user_login = 'newuser' WHERE user_login = 'admin';
, eller genom att använda ett MySQL-gränssnitt som phpMyAdmin. - ändra table_prefix: Många publicerade WordPress-specifika SQL-injektionsattacker antar att table_prefix är
wp_
, standard. Att ändra detta kan blockera åtminstone några SQL-injektionsattacker.
topp
Databackups # Databackups
säkerhetskopiera dina data regelbundet, inklusive dina MySQL-databaser. Se huvudartikeln: Säkerhetskopiera Din Databas.
dataintegritet är avgörande för betrodda säkerhetskopior. Att kryptera säkerhetskopian, hålla en oberoende registrering av MD5-hashar för varje säkerhetskopieringsfil och/eller placera säkerhetskopior på skrivskyddade media ökar ditt förtroende för att dina data inte har manipulerats.
en ljudbackupstrategi kan inkludera att hålla en uppsättning regelbundna ögonblicksbilder av hela din WordPress-installation (inklusive WordPress-kärnfiler och din databas) på en betrodd plats. Föreställ dig en webbplats som gör veckovisa ögonblicksbilder. En sådan strategi innebär att om en webbplats äventyras maj 1st men kompromissen inte upptäcks förrän maj 12th, webbplatsägaren kommer att ha pre-kompromiss säkerhetskopior som kan hjälpa till att återuppbygga webbplatsen och eventuellt även efter kompromiss säkerhetskopior som kommer att hjälpa till att bestämma hur webbplatsen äventyras.
topp
loggning # loggning
loggar är din bästa vän när det gäller att förstå vad som händer med din webbplats, särskilt om du försöker utföra kriminalteknik. I motsats till populära övertygelser tillåter loggar dig att se vad som gjordes och av vem och när. Tyvärr kommer loggarna inte att berätta vem, användarnamn, inloggad, men det gör att du kan identifiera IP och tid och ännu viktigare, de åtgärder som angriparen kan ha vidtagit. Du kommer att kunna se någon av dessa attacker via loggarna – Cross Site Scripting (XSS), Remote File Inclusion (RFI), Local File Inclusion (LFI) och Directory Traversal försök. Du kommer också att kunna se brute force försök. Det finns olika exempel och handledning tillgängliga för att hjälpa dig genom processen att analysera och analysera dina raw-loggar.
Om du blir mer bekväm med dina loggar kan du se saker som när temat och plugin-redaktörerna används, när någon uppdaterar dina widgets och när inlägg och sidor läggs till. Alla viktiga element när du gör rättsmedicinskt arbete på din webbserver. Det är några WordPress-säkerhetsplugin som också hjälper dig med detta, som Sucuri-Revisionsverktyget eller Audit Trail-plugin.
det finns två viktiga lösningar med öppen källkod som du vill ha på din webbserver ur ett säkerhetsperspektiv, det här är en skiktad inställning till säkerhet.
OSSEC kan köras på alla Nix distribution och kommer också att köras på Windows. När den är korrekt konfigurerad är den mycket kraftfull. Tanken är att korrelera och aggregera alla loggar. Du måste vara säker på att konfigurera den för att fånga alla access_logs och error_logs och om du har flera webbplatser på serverns konto för det. Du vill också vara säker på att filtrera bort bruset. Som standard ser du mycket ljud och du vill konfigurera det för att vara riktigt effektivt.
topp
övervakning # övervakning
Ibland är förebyggande inte tillräckligt och du kan fortfarande hackas. Det är därför intrångsdetektering / övervakning är mycket viktigt. Det låter dig reagera snabbare, ta reda på vad som hände och återställa din webbplats.
topp
övervaka dina loggar # övervaka dina loggar
Om du är på en dedikerad eller virtuell privat server, där du har lyxen av root-åtkomst, har du möjlighet att enkelt konfigurera saker så att du kan se vad som händer. OSSEC underlättar enkelt detta och här är en liten skrivning som kan hjälpa dig OSSEC för webbplatssäkerhet – del I.
topp
övervaka dina filer för ändringar # övervaka dina filer för ändringar
När en attack inträffar lämnar den alltid spår. Antingen på loggarna eller på filsystemet (nya filer, ändrade filer, etc). Om du till exempel använder OSSEC kommer den att övervaka dina filer och varna dig när de ändras.
mål # mål
målen för spårning av filsystem inkluderar:
- övervaka ändrade och tillagda filer
- Loggändringar och tillägg
- förmåga att återställa granulära förändringar
- automatiska varningar
topp
allmänna tillvägagångssätt # allmänna tillvägagångssätt
administratörer kan övervaka filsystemet via allmän teknik som:
- Systemhjälpmedel
- revisionskontroll
- OS/kernel level monitoring
topp
specifika verktyg # specifika verktyg
alternativ för filsystemövervakning inkluderar:
- diff-Bygg ren testkopia av din webbplats och jämför mot produktion
- Git – källkodshantering
- inotify och incron – OS kernel level file monitoring service som kan köra kommandon på filsystemhändelser
- Watcher – Python inotify library
- OSSEC – Open Source Host-baserat intrångsdetekteringssystem som utför logganalys, filintegritetskontroll, policyövervakning, rootkit-detektering, realtidsvarning och aktivt svar.
Top
överväganden # överväganden
När du konfigurerar en filbaserad övervakningsstrategi finns det många överväganden, inklusive följande.
kör övervakningsskriptet / tjänsten som root
detta skulle göra det svårt för angripare att inaktivera eller ändra din filsystemövervakningslösning.
inaktivera övervakning under schemalagt underhåll/uppgraderingar
detta skulle förhindra onödiga meddelanden när du utför regelbundet underhåll på webbplatsen.
övervaka endast körbara filtyper
det kan vara rimligt säkert att övervaka endast körbara filtyper, till exempel .php-filer, etc.. Filtrering av icke-körbara filer kan minska onödiga loggposter och varningar.
använd strikta filsystembehörigheter
Läs om att säkra filbehörigheter och äganderätt. Undvik i allmänhet att tillåta exekvera och skriva behörigheter i den utsträckning det är möjligt.
Top
övervaka din webbserver externt # övervaka din webbserver externt
om angriparen försöker vanställa din webbplats eller lägga till skadlig kod kan du också upptäcka dessa ändringar genom att använda en webbaserad integrity monitor-lösning. Detta kommer i många former idag, använda din favorit sökmotor och leta efter webb Malware upptäckt och sanering och du kommer sannolikt att få en lång lista över tjänsteleverantörer.
topp
Resurser # resurser
- hur man kan förbättra WordPress säkerhet (Infographic)
- säkerhet Plugins
- WordPress säkerhet skär genom BS
- e-bok: låsa WordPress
- wpsecure.net har några guider om hur man låser ner WordPress.
- en nybörjare Guide till härdning WordPress
- Brad Williams: Lock It Up (Video)
- 21 sätt att säkra din WordPress webbplats
- officiella dokument om hur man lösenordsskydda kataloger med en .htaccess-fil
- enkel handledning om hur du lösenordsskyddar WordPress-administratörsområdet och fixar 404-felet
topp
Se även # Se även
- säkerhet FAQ
- FAQ-min webbplats hackades
- Brute Force Attacks
- WordPress Security Whitepaper