Maybaygiare.org

Blog Network

WordPress.org

Säkerhet i WordPress tas väldigt seriöst, men som med alla andra system finns det potentiella säkerhetsproblem som kan uppstå om vissa grundläggande säkerhetsåtgärder inte vidtas. Den här artikeln kommer att gå igenom några vanliga former av sårbarheter och de saker du kan göra för att hålla din WordPress-installation säker.

den här artikeln är inte den ultimata snabbkorrigeringen till dina säkerhetsproblem. Om du har specifika säkerhetsproblem eller tvivel bör du diskutera dem med personer som du litar på att ha tillräcklig kunskap om datasäkerhet och WordPress.

Vad är säkerhet? # Vad är säkerhet?

i grund och botten handlar säkerhet inte om helt säkra system. En sådan sak kan mycket väl vara opraktiskt, eller omöjligt att hitta och/eller underhålla. Vad säkerhet är är dock riskreduktion, inte Risk eliminering. Det handlar om att använda alla lämpliga kontroller som är tillgängliga för dig, inom rimliga gränser, som gör att du kan förbättra din övergripande hållning och minska oddsen för att göra dig själv till ett mål och därefter bli hackad.

webbplatsvärdar

ofta är ett bra ställe att börja när det gäller webbplatssäkerhet din värdmiljö. Idag finns det ett antal alternativ tillgängliga för dig, och medan värdar erbjuder säkerhet till en viss nivå är det viktigt att förstå var deras ansvar slutar och ditt börjar. Här är en bra artikel som förklarar den komplicerade dynamiken mellan Webbhotell och säkerheten på din webbplats. En säker server skyddar integriteten, integriteten och tillgängligheten för resurserna under serveradministratörens kontroll.

egenskaper hos en betrodd webbhotell kan inkludera:

  • diskuterar lätt dina säkerhetsproblem och vilka säkerhetsfunktioner och processer de erbjuder med sin värd.
  • innehåller de senaste stabila versionerna av all serverprogramvara.
  • ger tillförlitliga metoder för säkerhetskopiering och återställning.

Bestäm vilken säkerhet du behöver på din server genom att bestämma vilken programvara och data som behöver säkras. Resten av den här guiden hjälper dig med detta.

Webbplatsapplikationer

det är lätt att titta på webbhotell och överföra ansvaret för säkerhet till dem, men det finns en enorm mängd säkerhet som ligger på webbplatsägaren också. Webbhotell är ofta ansvariga för den infrastruktur som din webbplats sitter på, de är inte ansvariga för det program du väljer att installera.

för att förstå var och varför detta är viktigt måste du förstå hur webbplatser hackas, sällan tillskrivs det infrastrukturen och oftast tillskrivs själva applikationen (dvs. miljön du ansvarar för).

topp

Säkerhetsteman # Säkerhetsteman

Tänk på några allmänna tankar när du överväger säkerhet för varje aspekt av ditt system:

begränsa åtkomst

göra smarta val som minskar möjliga ingångspunkter tillgängliga för en skadlig person.

inneslutning

ditt system bör konfigureras för att minimera mängden skada som kan göras om det äventyras.

förberedelse och kunskap

att hålla säkerhetskopior och känna till tillståndet för din WordPress-installation med jämna mellanrum. Att ha en plan för att säkerhetskopiera och återställa din installation i händelse av katastrof kan hjälpa dig att komma tillbaka online snabbare i händelse av ett problem.

betrodda källor

hämta inte plugins / teman från otillförlitliga källor. Begränsa dig till WordPress.org repository eller välkända företag. Att försöka få plugins / teman från utsidan kan leda till problem.

Top

sårbarheter på din dator # sårbarheter på din dator

se till att datorerna du använder är fria från spionprogram, skadlig kod och virusinfektioner. Ingen mängd säkerhet i WordPress eller på din webbserver kommer att göra den minsta skillnaden om det finns en keylogger på din dator.

håll alltid ditt operativsystem och programvaran på det, särskilt din webbläsare, uppdaterade för att skydda dig mot säkerhetsproblem. Om du surfar på otillförlitliga webbplatser rekommenderar vi också att du använder verktyg som no-script (eller inaktiverar javascript/flash/java) i din webbläsare.

topp

sårbarheter i WordPress # sårbarheter i WordPress

liksom många moderna programvarupaket uppdateras WordPress regelbundet för att ta itu med nya säkerhetsproblem som kan uppstå. Att förbättra programvarans säkerhet är alltid ett pågående problem, och för detta ändamål bör du alltid hålla dig uppdaterad med den senaste versionen av WordPress. Äldre versioner av WordPress underhålls inte med säkerhetsuppdateringar.

uppdatera WordPress # uppdatera WordPress

Huvudartikel: uppdatera WordPress.

den senaste versionen av WordPress är alltid tillgänglig från den huvudsakliga WordPress-webbplatsen på https://wordpress.org. Officiella utgåvor är inte tillgängliga från andra webbplatser — ladda aldrig ner eller installera WordPress från någon annan webbplats än https://wordpress.org.

Sedan version 3.7 har WordPress presenterat automatiska uppdateringar. Använd denna funktion för att underlätta processen att hålla dig uppdaterad. Du kan också använda WordPress-instrumentpanelen för att hålla dig informerad om uppdateringar. Läs posten i instrumentpanelen eller WordPress-Utvecklarbloggen för att avgöra vilka steg du måste vidta för att uppdatera och förbli säker.

om en sårbarhet upptäcks i WordPress och en ny version släpps för att lösa problemet, är informationen som krävs för att utnyttja sårbarheten nästan säkert i det offentliga området. Detta gör gamla versioner mer öppna för attacker, och är en av de främsta anledningarna till att du alltid bör hålla WordPress uppdaterad.

om du är administratör som ansvarar för mer än en WordPress-installation, överväg att använda Subversion för att underlätta hanteringen.

topp

rapportera säkerhetsproblem # rapportera säkerhetsproblem

om du tror att du har hittat ett säkerhetsfel i WordPress kan du hjälpa till genom att rapportera problemet. Se Vanliga frågor om säkerhet för information om hur du rapporterar säkerhetsproblem.

om du tror att du har hittat ett fel, rapportera det. Se Skicka in buggar för hur du gör detta. Du kanske har upptäckt en sårbarhet eller en bugg som kan leda till en.

topp

Webbserversårbarheter # Webbserversårbarheter

webbservern som kör WordPress och programvaran på den kan ha sårbarheter. Se därför till att du kör säkra, stabila versioner av din webbserver och programvaran på den, eller se till att du använder en betrodd värd som tar hand om dessa saker åt dig.

Om du är på en delad server (en som är värd för andra webbplatser förutom din egen) och en webbplats på samma server äventyras, kan din webbplats potentiellt äventyras även om du följer allt i den här guiden. Var noga med att fråga din webbhotell vilka säkerhetsåtgärder de vidtar.

topp

Nätverkssårbarheter # Nätverkssårbarheter

nätverket i båda ändar — WordPress — serversidan och klientnätverkssidan-bör lita på. Det innebär att uppdatera brandväggsregler på din hemrouter och vara försiktig med vilka nätverk du arbetar från. Ett Internet cafe där du skickar lösenord via en okrypterad anslutning, trådlös eller på annat sätt, är inte ett pålitligt nätverk.

din webbhotell bör se till att deras nätverk inte äventyras av angripare, och du bör göra detsamma. Nätverkssårbarheter kan tillåta att lösenord och annan känslig information avlyssnas.

topp

lösenord # lösenord

många potentiella sårbarheter kan undvikas med goda säkerhetsvanor. Ett starkt lösenord är en viktig aspekt av detta.

målet med ditt lösenord är att göra det svårt för andra att gissa och svårt för en brute force attack att lyckas. Många automatiska lösenordsgeneratorer finns tillgängliga som kan användas för att skapa säkra lösenord.

WordPress har också en lösenordsstyrkemätare som visas när du ändrar ditt lösenord i WordPress. Använd detta när du ändrar ditt lösenord för att säkerställa att dess styrka är tillräcklig.

saker att undvika när du väljer ett lösenord:

  • varje permutation av ditt eget riktiga namn, användarnamn, företagsnamn eller namn på din webbplats.
  • ett ord från en ordbok, på vilket språk som helst.
  • ett kort lösenord.
  • Alla numeriska eller alfabetiska lösenord (en blandning av båda är bäst).

ett starkt lösenord är nödvändigt inte bara för att skydda ditt blogginnehåll. En hackare som får tillgång till ditt administratörskonto kan installera skadliga skript som potentiellt kan äventyra hela servern.

förutom att använda ett starkt lösenord är det bra att aktivera tvåstegsautentisering som en extra säkerhetsåtgärd.

topp

FTP # FTP

När du ansluter till din server bör du använda SFTP-kryptering om din webbhotell tillhandahåller den. Om du är osäker på om din webbhotell tillhandahåller SFTP eller inte, fråga bara dem.

att använda SFTP är detsamma som FTP, förutom att ditt lösenord och annan data krypteras när den överförs mellan din dator och din webbplats. Detta innebär att ditt lösenord aldrig skickas i klartext och kan inte avlyssnas av en angripare.

topp

filbehörigheter # filbehörigheter

några snygga funktioner i WordPress kommer från att låta olika filer vara skrivbara av webbservern. Att tillåta skrivåtkomst till dina filer är dock potentiellt farligt, särskilt i en delad värdmiljö.

det är bäst att låsa ner dina filbehörigheter så mycket som möjligt och att lossa dessa begränsningar vid de tillfällen som du behöver för att tillåta skrivåtkomst, eller att skapa specifika mappar med mindre begränsningar för att göra saker som att ladda upp filer.

Här är ett möjligt tillståndsschema.

alla filer ska ägas av ditt användarkonto och ska vara skrivbara av dig. Alla filer som behöver skrivåtkomst från WordPress bör vara skrivbara av webbservern, om din värdinställning kräver det, kan det innebära att dessa filer måste vara gruppägda av användarkontot som används av webbserverprocessen.

/

root WordPress-katalogen: alla filer ska endast skrivas av ditt användarkonto, utom .htaccess om du vill att WordPress automatiskt ska generera omskrivningsregler för dig.

/wp-admin/

WordPress-administrationsområdet: alla filer ska endast skrivas av ditt användarkonto.

/wp-includes/

huvuddelen av WordPress-applikationslogiken: alla filer ska endast skrivas av ditt användarkonto.

/wp-content/

användarinnehåll: avsett att vara skrivbart av ditt användarkonto och webbserverprocessen.

inom/wp-content/ hittar du:

/wp-content/themes/

temafiler. Om du vill använda den inbyggda temaredigeraren måste alla filer vara skrivbara av webbserverprocessen. Om du inte vill använda den inbyggda temaredigeraren kan alla filer endast skrivas av ditt användarkonto.

/wp-content/plugins/

Plugin-filer: alla filer ska endast skrivas av ditt användarkonto.

andra kataloger som kan finnas med /wp-content/ ska dokumenteras av vilket plugin eller tema som kräver dem. Behörigheter kan variera.

topp

ändra filbehörigheter # ändra filbehörigheter

om du har shell-åtkomst till din server kan du ändra filbehörigheter rekursivt med följande kommando:

För kataloger:

find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;

För filer:

find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;

Top

när det gäller automatiska uppdateringar # när det gäller automatiska uppdateringar

När du ber WordPress att utföra en automatisk uppdatering utförs alla filoperationer som användaren som äger filerna, inte som webbserverns användare. Alla filer är inställda på 0644 och alla kataloger är inställda på 0755, och skrivbara av endast användaren och läsbara av alla andra, inklusive webbservern.

Top

databassäkerhet # databassäkerhet

om du kör flera bloggar på samma server, är det klokt att överväga att hålla dem i separata databaser varje hanteras av en annan användare. Detta uppnås bäst när du utför den första WordPress-installationen. Detta är en inneslutningsstrategi: om en inkräktare framgångsrikt spricker en WordPress-installation gör det det mycket svårare att ändra dina andra bloggar.

om du administrerar MySQL själv, se till att du förstår din MySQL-konfiguration och att onödiga funktioner (som att acceptera fjärranslutna TCP-anslutningar) är inaktiverade. Se säker MySQL databasdesign för en trevlig introduktion.

topp

begränsa Databasanvändarrättigheter # begränsa Databasanvändarrättigheter

För normala WordPress-operationer, som att posta blogginlägg, ladda upp mediefiler, posta kommentarer, skapa nya WordPress-användare och installera WordPress-plugins, behöver MySQL-databasanvändaren bara dataläsning och dataskrivbehörigheter till MySQL-databasen; Välj, infoga, uppdatera och ta bort.

därför kan alla andra databasstrukturer och administrationsbehörigheter, som DROP, ALTER och GRANT, återkallas. Genom att återkalla sådana privilegier förbättrar du också inneslutningspolicyn.

OBS: Vissa plugins, teman och större WordPress uppdateringar kan kräva att göra databas strukturella förändringar, till exempel lägga till nya tabeller eller ändra schemat. I så fall måste du tillfälligt tillåta databasanvändaren de nödvändiga behörigheterna innan du installerar plugin eller uppdaterar en programvara.

varning: Att försöka uppdatera utan att ha dessa behörigheter kan orsaka problem när databasschemaändringar inträffar. Det rekommenderas därför inte att återkalla dessa privilegier. Om du känner behov av att göra detta av säkerhetsskäl, vänligen se till att du har en solid backup plan på plats först, med regelbundna hela databas säkerhetskopior som du har testat är giltiga och som lätt kan återställas. En misslyckad databasuppgradering kan vanligtvis lösas genom att återställa databasen tillbaka till en gammal version, bevilja rätt behörigheter och sedan låta WordPress prova databasuppdateringen igen. Om du återställer databasen återgår den till den gamla versionen och WordPress-administrationsskärmarna upptäcker sedan den gamla versionen och låter dig köra nödvändiga SQL-kommandon på den. De flesta WordPress-uppgraderingar ändrar inte schemat, men vissa gör det. Endast större punktuppgraderingar (3,7 till 3,8, till exempel) kommer att ändra schemat. Mindre uppgraderingar (3.8 till 3.8.1) kommer i allmänhet inte. Ändå behåll en vanlig säkerhetskopia.

topp

säkra wp-admin # säkra wp-admin

lägga till lösenordsskydd på serversidan (som BasicAuth) till /wp-admin/ lägger till ett andra skyddslager runt din bloggs administratörsområde, inloggningsskärmen och dina filer. Detta tvingar en angripare eller bot att attackera detta andra lager av skydd istället för dina faktiska administratörsfiler. Många WordPress-attacker utförs autonomt av skadliga programvarubotar.

helt enkelt säkrawp-admin/ katalog kan också bryta vissa WordPress funktionalitet, såsom AJAX handler påwp-admin/admin-ajax.php. Se avsnittet Resurser för mer dokumentation om hur du lösenordsskyddar katalogen wp-admin/ korrekt.

de vanligaste attackerna mot en WordPress-blogg faller vanligtvis i två kategorier.

  1. skicka specialskrivna HTTP-förfrågningar till din server med specifika nyttolaster för specifika sårbarheter. Dessa inkluderar gamla / föråldrade plugins och programvara.
  2. försöker få tillgång till din blogg med hjälp av ”brute-force” lösenord gissa.

den ultimata implementeringen av detta” andra lager ” lösenordsskydd är att kräva en HTTPS SSL-krypterad anslutning för administration, så att all kommunikation och känslig data krypteras. Se Administration över SSL.

topp

säkra WP-inkluderar # säkra wp-inkluderar

ett andra skyddsskikt kan läggas till där skript i allmänhet inte är avsedda att nås av någon användare. Ett sätt att göra det är att blockera dessa skript med mod_rewrite i .htaccess-fil. OBS: För att säkerställa att koden nedan inte skrivs över av WordPress, placera den utanför # BEGIN WordPress och # END WordPress taggar i .htaccess-fil. WordPress kan skriva över allt mellan dessa taggar.

topp

säkra wp-config.php # säkra wp-config.php

Du kan flytta filen wp-config.php till katalogen ovanför din WordPress-installation. Det betyder att för en webbplats som är installerad i roten på ditt webbutrymme kan du lagra wp-config.php utanför webbrotmappen.

notera: Vissa människor hävdar att flytta wp-config.php har minimala säkerhetsfördelar och kan, om det inte görs noggrant, faktiskt införa allvarliga sårbarheter. Andra håller inte med.

Observera att wp-config.php kan lagras en katalognivå ovanför WordPress-installationen (där wp-includes finns). Se också till att bara du (och webbservern) kan läsa den här filen (det betyder i allmänhet en 400 eller 440 tillstånd).

Om du använder en server med .htaccess, du kan lägga detta i den filen (högst upp) för att neka åtkomst till alla som surfar för det:

<files wp-config.php>order allow,denydeny from all</files>

topp

inaktivera filredigering # inaktivera filredigering

WordPress-instrumentpanelen tillåter som standard administratörer att redigera PHP-filer, till exempel plugin-och temafiler. Detta är ofta det första verktyget som en angripare kommer att använda om han kan logga in, eftersom det tillåter kodkörning. WordPress har en konstant att inaktivera redigering från instrumentpanelen. Placera denna rad i wp-config.php motsvarar att ta bort funktionerna’ edit_themes’,’ edit_plugins ’och’ edit_files ’ för alla användare:

define('DISALLOW_FILE_EDIT', true);

detta hindrar inte en angripare från att ladda upp skadliga filer till din webbplats, men kan stoppa vissa attacker.

topp

Plugins # Plugins

kontrollera först att dina plugins alltid är uppdaterade. Om du inte använder ett specifikt plugin, ta bort det från systemet.

Top

brandvägg # brandvägg

det finns många plugins och tjänster som kan fungera som en brandvägg för din webbplats. Några av dem arbetar genom att ändra din .htaccess
fil och begränsa viss tillgång på Apache nivå, innan den behandlas av WordPress. Ett bra exempel är iThemes Security eller All in One WP Security. Vissa brandväggspluggar fungerar på WordPress-nivå, som WordFence och Shield, och försöker filtrera attacker när WordPress laddas, men innan det är helt bearbetat.

förutom plugins kan du också installera en WAF (web firewall) på din webbserver för att filtrera innehåll innan det bearbetas av WordPress. Den mest populära open source WAF är ModSecurity.

en webbplats brandvägg kan också läggas till som mellanhand mellan trafiken från internet och din värdserver. Dessa tjänster fungerar alla som omvända proxyer, där de accepterar de ursprungliga förfrågningarna och omdirigerar dem till din server och tar bort alla skadliga förfrågningar. De åstadkommer detta genom att ändra dina DNS-poster, via en a-post eller full DNS-byte, så att all trafik kan passera genom det nya nätverket först. Detta gör att all trafik filtreras av brandväggen innan den når din webbplats. Några företag erbjuder sådan tjänst, som CloudFlare, Sucuri och Incapsula.

dessutom fungerar dessa tredjepartsleverantörer som standard som Content Distribution Network (CDN) och introducerar prestandaoptimering och global räckvidd.

Top

Plugins som behöver skrivåtkomst # Plugins som behöver skrivåtkomst

om ett plugin vill ha skrivåtkomst till dina WordPress-filer och kataloger, läs koden för att se till att den är legitim eller kolla med någon du litar på. Möjliga platser att kontrollera är supportforum och IRC-kanal.

Top

code execution plugins # Code execution plugins

som vi sa, en del av målet att härda WordPress innehåller skadan om det finns en lyckad attack. Plugins som tillåter godtycklig PHP eller annan kod för att köra från poster i en databas effektivt förstora risken för skador i händelse av en lyckad attack.

ett sätt att undvika att använda ett sådant plugin är att använda anpassade sidmallar som anropar funktionen. En del av säkerheten som detta ger är endast aktiv när du inte tillåter filredigering inom WordPress.

Top

säkerhet genom dunkelhet # säkerhet genom dunkelhet

säkerhet genom dunkelhet är i allmänhet en osund primär strategi. Det finns dock områden i WordPress där dold information kan hjälpa till med säkerhet:

  1. Byt namn på det administrativa kontot: när du skapar ett administrativt konto, undvik lätt gissade termer som admin eller webmaster som användarnamn eftersom de vanligtvis utsätts för attacker först. På en befintlig WordPress-installation kan du byta namn på det befintliga kontot i MySQL-kommandoradsklienten med ett kommando som UPDATE wp_users SET user_login = 'newuser' WHERE user_login = 'admin';, eller genom att använda ett MySQL-gränssnitt som phpMyAdmin.
  2. ändra table_prefix: Många publicerade WordPress-specifika SQL-injektionsattacker antar att table_prefix ärwp_, standard. Att ändra detta kan blockera åtminstone några SQL-injektionsattacker.

topp

Databackups # Databackups

säkerhetskopiera dina data regelbundet, inklusive dina MySQL-databaser. Se huvudartikeln: Säkerhetskopiera Din Databas.

dataintegritet är avgörande för betrodda säkerhetskopior. Att kryptera säkerhetskopian, hålla en oberoende registrering av MD5-hashar för varje säkerhetskopieringsfil och/eller placera säkerhetskopior på skrivskyddade media ökar ditt förtroende för att dina data inte har manipulerats.

en ljudbackupstrategi kan inkludera att hålla en uppsättning regelbundna ögonblicksbilder av hela din WordPress-installation (inklusive WordPress-kärnfiler och din databas) på en betrodd plats. Föreställ dig en webbplats som gör veckovisa ögonblicksbilder. En sådan strategi innebär att om en webbplats äventyras maj 1st men kompromissen inte upptäcks förrän maj 12th, webbplatsägaren kommer att ha pre-kompromiss säkerhetskopior som kan hjälpa till att återuppbygga webbplatsen och eventuellt även efter kompromiss säkerhetskopior som kommer att hjälpa till att bestämma hur webbplatsen äventyras.

topp

loggning # loggning

loggar är din bästa vän när det gäller att förstå vad som händer med din webbplats, särskilt om du försöker utföra kriminalteknik. I motsats till populära övertygelser tillåter loggar dig att se vad som gjordes och av vem och när. Tyvärr kommer loggarna inte att berätta vem, användarnamn, inloggad, men det gör att du kan identifiera IP och tid och ännu viktigare, de åtgärder som angriparen kan ha vidtagit. Du kommer att kunna se någon av dessa attacker via loggarna – Cross Site Scripting (XSS), Remote File Inclusion (RFI), Local File Inclusion (LFI) och Directory Traversal försök. Du kommer också att kunna se brute force försök. Det finns olika exempel och handledning tillgängliga för att hjälpa dig genom processen att analysera och analysera dina raw-loggar.

Om du blir mer bekväm med dina loggar kan du se saker som när temat och plugin-redaktörerna används, när någon uppdaterar dina widgets och när inlägg och sidor läggs till. Alla viktiga element när du gör rättsmedicinskt arbete på din webbserver. Det är några WordPress-säkerhetsplugin som också hjälper dig med detta, som Sucuri-Revisionsverktyget eller Audit Trail-plugin.

det finns två viktiga lösningar med öppen källkod som du vill ha på din webbserver ur ett säkerhetsperspektiv, det här är en skiktad inställning till säkerhet.

OSSEC kan köras på alla Nix distribution och kommer också att köras på Windows. När den är korrekt konfigurerad är den mycket kraftfull. Tanken är att korrelera och aggregera alla loggar. Du måste vara säker på att konfigurera den för att fånga alla access_logs och error_logs och om du har flera webbplatser på serverns konto för det. Du vill också vara säker på att filtrera bort bruset. Som standard ser du mycket ljud och du vill konfigurera det för att vara riktigt effektivt.

topp

övervakning # övervakning

Ibland är förebyggande inte tillräckligt och du kan fortfarande hackas. Det är därför intrångsdetektering / övervakning är mycket viktigt. Det låter dig reagera snabbare, ta reda på vad som hände och återställa din webbplats.

topp

övervaka dina loggar # övervaka dina loggar

Om du är på en dedikerad eller virtuell privat server, där du har lyxen av root-åtkomst, har du möjlighet att enkelt konfigurera saker så att du kan se vad som händer. OSSEC underlättar enkelt detta och här är en liten skrivning som kan hjälpa dig OSSEC för webbplatssäkerhet – del I.

topp

övervaka dina filer för ändringar # övervaka dina filer för ändringar

När en attack inträffar lämnar den alltid spår. Antingen på loggarna eller på filsystemet (nya filer, ändrade filer, etc). Om du till exempel använder OSSEC kommer den att övervaka dina filer och varna dig när de ändras.

mål # mål

målen för spårning av filsystem inkluderar:

  • övervaka ändrade och tillagda filer
  • Loggändringar och tillägg
  • förmåga att återställa granulära förändringar
  • automatiska varningar

topp

allmänna tillvägagångssätt # allmänna tillvägagångssätt

administratörer kan övervaka filsystemet via allmän teknik som:

  • Systemhjälpmedel
  • revisionskontroll
  • OS/kernel level monitoring

topp

specifika verktyg # specifika verktyg

alternativ för filsystemövervakning inkluderar:

  • diff-Bygg ren testkopia av din webbplats och jämför mot produktion
  • Git – källkodshantering
  • inotify och incron – OS kernel level file monitoring service som kan köra kommandon på filsystemhändelser
  • Watcher – Python inotify library
  • OSSEC – Open Source Host-baserat intrångsdetekteringssystem som utför logganalys, filintegritetskontroll, policyövervakning, rootkit-detektering, realtidsvarning och aktivt svar.

Top

överväganden # överväganden

När du konfigurerar en filbaserad övervakningsstrategi finns det många överväganden, inklusive följande.

kör övervakningsskriptet / tjänsten som root

detta skulle göra det svårt för angripare att inaktivera eller ändra din filsystemövervakningslösning.

inaktivera övervakning under schemalagt underhåll/uppgraderingar

detta skulle förhindra onödiga meddelanden när du utför regelbundet underhåll på webbplatsen.

övervaka endast körbara filtyper

det kan vara rimligt säkert att övervaka endast körbara filtyper, till exempel .php-filer, etc.. Filtrering av icke-körbara filer kan minska onödiga loggposter och varningar.

använd strikta filsystembehörigheter

Läs om att säkra filbehörigheter och äganderätt. Undvik i allmänhet att tillåta exekvera och skriva behörigheter i den utsträckning det är möjligt.

Top

övervaka din webbserver externt # övervaka din webbserver externt

om angriparen försöker vanställa din webbplats eller lägga till skadlig kod kan du också upptäcka dessa ändringar genom att använda en webbaserad integrity monitor-lösning. Detta kommer i många former idag, använda din favorit sökmotor och leta efter webb Malware upptäckt och sanering och du kommer sannolikt att få en lång lista över tjänsteleverantörer.

topp

Resurser # resurser

  • hur man kan förbättra WordPress säkerhet (Infographic)
  • säkerhet Plugins
  • WordPress säkerhet skär genom BS
  • e-bok: låsa WordPress
  • wpsecure.net har några guider om hur man låser ner WordPress.
  • en nybörjare Guide till härdning WordPress
  • Brad Williams: Lock It Up (Video)
  • 21 sätt att säkra din WordPress webbplats
  • officiella dokument om hur man lösenordsskydda kataloger med en .htaccess-fil
  • enkel handledning om hur du lösenordsskyddar WordPress-administratörsområdet och fixar 404-felet

topp

Se även # Se även

  • säkerhet FAQ
  • FAQ-min webbplats hackades
  • Brute Force Attacks
  • WordPress Security Whitepaper

Lämna ett svar

Din e-postadress kommer inte publiceras.