The zabezpečení webových stránek je jedním z nejdůležitějších aspektů, které a Webmaster musí zvážit.
Webový server, který používáme pro náš web pod WordPressem, může mít také chyby zabezpečení, proto se musíme ujistit, že nemá problémy se zabezpečením, ani provádět opatření ke zlepšení zabezpečení. V jiných výukových programech byly specifikovány akce a nástroje pro posílení zabezpečení, například použitím:
1. Bezpečnostní opatření pro servery VPS
2. Jak detekovat a řídit služby na serverech Linux
Velmi důležitým aspektem, který je třeba vzít v úvahu, je vyhněte se používání sdíleného serveru„Jsou to servery, které hostují jiné webové stránky, kromě naší webové stránky a webové stránky na stejném serveru, který je zranitelný, může ohrozit všechny ostatní webové stránky, protože soubory jsou ve stejném prostoru, a šířit tak útok nebo infekci virem.
The webové stránky vytvořené pod Wordpressem jsou citlivé na většinu útoků, protože 30% webových stránek je vyvíjeno v rámci této platformy.
Proto je důležité přijmout opatření k ochraně našich webových stránek a našich dat před možnými útočníky a minimalizaci rizika, které máme zranitelnosti.
Strategie, které můžeme implementovat
Změňte cestu ke složce wp-content
Změňte výchozí cestu do složky obsahu wp WordPress, což je složka, ve které se nachází většina souborů a doplňků, témat tvořících náš web. Exploits a malware budou hledat tuto složku, aby prohledali a našli zranitelná místa, pokud změníme trasu, ztížíme sledování.
Abychom mohli změnit trasu, musíme upravte soubor wp-config.php a upravte konstantu wp_content_dir:
define ('WP_CONTENT_DIR', dirname (__ FILE__). ' / path / wp-content');S tím by byl změněn.
Instalujte pouze bezpečné doplňky
Pluginy lze odebrat z oficiálního úložiště WordPress.org, pokud nejsou často aktualizovány, a tím zajistit komunitě, že pluginy mají určité zabezpečení, a také nám ukazuje, které pluginy jsou uživateli více přijímány. Skutečnost, že nejsou škodliví, neznamená, že fungují správně nebo nemají žádné chyby zabezpečení.
Musíme věnovat pozornost tomu, když plugin nebyl léta aktualizován, má údajně chyby. Komunita uživatelů zjistila, že obsahuje chybu zabezpečení.
Použití WPHardening k automatizaci zabezpečených instalací
WPHardening je nástroj pro automatizaci a provádění různých bezpečnostních kontrol aby byla naše webová stránka Wordpress bezpečně nakonfigurována.
Tento projekt je vytvořen v Pythonu a umožňuje kontrolovat různé aspekty vývojářského webu pod Wordpressem a hledat zranitelnosti.
Jednou z hlavních výhod tohoto nástroje je automatizace úkolů a nastavení zabezpečení jsou důležitá, aby se zabránilo vystavování informací potenciálním útočníkům. Existuje mnoho nástrojů, které byly speciálně vytvořeny pro získávání a shromažďování všech druhů informací spojených s instalací WordPress. Mnoho Útoky proti systémům WordPress obvykle začínají předběžnými informacemi na základě skenů a shromažďování informací.
WpHardening Lze jej stáhnout na náš server nebo místní počítač z jeho oficiální stránky nebo z terminálu pomocí příkazu pomocí příkazu:
klon git https://github.com/elcodigok/wphardening.gitMůžeme si jej také stáhnout ze stránky projektu na GitHub:
Jakmile je soubor nainstalován nebo rozbalen, můžeme přistoupit ke složce wphardening.
Abychom mohli tento nástroj používat, musíme znát trasu na web, který chceme kontrolovat, a tento web, protože byl vyvinut s Wordpressem.
Dále musíme aktualizovat wphardening, abychom se ujistili, že máme nejnovější repozitáře a nejnovější vylepšení, která byla začleněna, pro ně z terminálového okna spustíme následující příkaz:
python wphardening.py --updatePoté můžeme začít používat wphardening a pomocí následujícího příkazu zkontrolovat zabezpečení webové stránky vyvinuté pod wordpressem:
python wphardening.py -d / home / myuser / myweb -vPamatujte, že se používá pouze lokálně, to znamená na lokálním nebo vzdáleném serveru z příkazového řádku a do webové stránky vyvinuté ve wordpressu.
Pro tento tutoriál například použiji demo web vytvořený ve Wordpressu na lokálním serveru s Xampp:
Mnohokrát máme problémy s oprávněními k souborům a složkám, kvůli kterým jsou naše webové stránky vystaveny útokům nebo vetřelcům. K vyřešení tohoto problému použijeme následující příkaz:
python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -chmod -vTím se automaticky nastaví doporučená oprávnění pro přidané zabezpečení.
Další velmi zajímavou možností tohoto nástroje je možnost stahujte a instalujte automatizovaně plugin a bezpečnostní nástroje doporučeno a vyzkoušeno.
python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -plugins
Když spustíme příkaz, požádá nás o povolení k instalaci každého bezpečnostního pluginu, včetně antiviru, skeneru zneužití, správce databází, skeneru zabezpečení a zabezpečení, mimo jiné na konci budeme moci vidět nainstalované doplňky v složka pluginu našeho webu Wordpress. Tyto pluginy používají proprietární online nástroje a databáze k vyhledávání rastrů v souborech a databázích na našem webu WordPress nebo mohou naznačovat, že jste se stali obětí škodlivých hackerů.
[příloha = 12158: panta06.jpg.webp]Poté z Administrátorský panel WordPress můžeme nainstalovat a povolit bezpečnostní doplňky.
Další zajímavou možností je automatické vytváření souboru robots.txt který automaticky odepře přístup k nejdůležitějším adresářům webových stránek. Také přidáváme -o možnost to nám umožňuje vytvořit soubor protokolu s výsledkem provedeného úkolu.
python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -robots -o securitywp.log
Když spustíme příkaz, zeptá se nás na cestu k webu a poté lze vytvořit soubor robots.txt.
Odstranění souborů, které nejsou použity, je důležité, protože zabírají místo a mohou být zranitelné, protože obvykle nejsou udržovány ani aktualizovány, a to i na webových stránkách s mnoha soubory, které mohou způsobit zmatek, protože kvůli nim použijeme příkaz parametru remove automaticky odebrat všechny soubory, které naše webové stránky nepoužívají.
python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -remove -o securitywp.log
Na konci vidíme protokol, který jsme vytvořili, se seznamem všech souborů, které byly odstraněny.
The útoky na weby a servery jsou způsobeny bezpečnostními problémy kvůli zranitelnostem ve vašem softwaru buď kvůli chybám v programování, nebo kvůli špatně nakonfigurovanému softwaru.
Tyto chyby zabezpečení umožňují útočníkům použít velké množství technikjako je použití parametru URL ke spuštění injekce SQL, přidání kódu do vaší databáze prostřednictvím formulářů, které mohou datům umožnit změnit nebo odstranit důležitá data, jako je odstranění všech příspěvků a stránek nebo ponechání webu deaktivovaného.
Webové stránky vytvořené pod Wordpressem, které přijímaly útoky, jsou obecně způsobeny zranitelností pluginu WordPress. Hackeři často vkládají malware kódovaný na bázi 64, který jim umožňuje spustit funkci PHP na našem webu. Někde na vašem webu mohou také nechat zadní vrátka. Toto je technika, kterou v budoucnu používají k přístupu na váš web, i tento typ útoku obvykle nakazí všechny soubory na webu.
Pamatujte, že všechny nástroje, které používáme, navíc nezaručují bezpečnost našich webových stránek musíme implementovat zásady zabezpečení Co provádět přírůstkové zálohy databáze a všech souborů týdně nebo denně.
Líbil se vám tento návod a pomohl mu?Autora můžete odměnit stisknutím tohoto tlačítka, čímž mu dáte kladný bod