WordPress веб-сайтының қауіпсіздігі: міне, сіздің веб-сайтыңызды қорғауға арналған Semalt-тен 15 кеңес



Жақында ақпараттық қауіпсіздік тақырыбы, WordPress сайттарының қауіпсіздігіне назар аудара отырып, бізді қатты қызықтыра бастады. Мұның қарапайым себебі - көптеген веб-сайттар киберқылмысқа ұшырайды және олар өз сайттарын басқарудан айрылғанға дейін өте көп зардап шегеді.

Мұны жақсы біле отырып, біз сізге өз сайтыңызға қатысты кез-келген қауіптен қорғануға көмектесетін өте пайдалы және маңызды ақпарат беруді шештік.

Сонымен, мен сізді осы мақалада болатын ақпаратқа ерекше назар аударуға шақырамын.

Содан кейін веб-сайтыңызды қорғауға арналған негізгі кеңестерді біліңіз.

Веб-сайтыңызды қорғауға арналған ең қарапайым кеңестер

Жоғары кеңеске кіріспес бұрын келесі негізгі кеңестерге қатысу маңызды:

1. WordPress нұсқасын үнемі жаңартып отырыңыз

Рас, бұл бір нәрсе деп қабылдау керек. Дегенмен, мен бірнеше WordPress сайттарына (соның ішінде клиенттік сайттар мен иелік етпейтін сайттарға) кіре алатын адам ретінде мен көптеген жаңартулар туралы хабарламалары бар сайттарды кездестіремін, оларды жүйелі түрде ұстап тұру туралы ешкім ойланбайды.

WordPress әлемдегі ең танымал CMS (Content Management System), яғни бұл жүйе ретінде хакерлер үшін өте танымал мақсат болып табылады.

WordPress сайттарына зиян келтіргісі келетіндер әрдайым қауіпсіздіктің әр түрлі осалдықтарын таба алады. Бұл жүйенің негізгі кодында болсын, әртүрлі плагиндерде, шаблондарда немесе басқаларында.

WordPress нұсқасын салыстырмалы түрде жиі жаңартып отыратын себептердің бірі - қауіпсіздік тесіктерін бітеу және жүйені жақсарту.

Маңызды ескерту: сайттың плагиндері неғұрлым көп болса, және соғұрлым ол «тапсырыс бойынша» көп болса - нұсқаны жаңарту сайтты бұзуы ықтимал - бұл оның жұмысын бұзады. Ұсыныс - жүйені жаңартуды бастамас бұрын әрқашан сайттың (файлдар + дерекқордың) толық сақтық көшірмесін жасау.

2. Біз плагиндер мен шаблондарды үнемі жаңартып отырдық

Тікелей алдыңғы бөлімнен кейін, саңылаулардың көп бөлігі плагиндерден немесе ескірген шаблондардан және/немесе сенімсіз сайттардан жүктелгендерден келеді. Сіз әрқашан плагиндерді сізге таныс емес сайттардан емес, ресми WordPress репозиторийінен жүктеп алуыңыз керек, әсіресе олар сенімді ақпарат көзіне жатпаса.

Штепсельдер мен шаблондарды сатып алудың өзі қауіпсіздікке қатысты осалдықтардың болмауына 100% кепілдік бермейді. Бірақ жоғарыда айтылғандарды сенуге болатын сенімді дереккөздерден қаншалықты көп білсеңіз, олар солай болуы мүмкін емес.

Үлгіні немесе плагинді жаңартпас бұрын сайттың сақтық көшірмесін жасау туралы ұсыныс осы жерде де жарамды. Ашық ақпарат көзі - бұл керемет нәрсе.

Бірақ бұл мәселеде бірнеше кемшіліктер бар, өйткені жүйенің барлық компоненттері арасында олардың әр түрлі нұсқаларында әрқашан толық үйлесімділік бола бермейді.

3. Сайттың сақтық көшірмесін үнемі жасап отырыңыз

Сақтық көшірмелер туралы айтпай-ақ веб-сайттың қауіпсіздігі туралы айту мүмкін емес. Сайтты жаңартудың алдында сақтық көшірмесін жасау жеткіліксіз, сайт файлдарының + мәліметтер базасының толық автоматты резервтік жиынтығы болуы керек. Бұл әдетте сақтау компаниясы арқылы жасалады, бірақ сонымен бірге сақтау компаниясына тікелей тәуелді емес сыртқы сақтық көшірме көзі туралы қамқорлық жасаған жөн.

WordPress сайттарының сақтық көшірмелері

WordPress-ке арналған кейбір ұсынылатын қондырмалар:
  • UpdraftPlus - Сақтық көшірме жасауға арналған ең танымал WordPress плагиндерінің бірі. Dropbox, Google Drive, Amazon S3 және басқалары сияқты танымал бұлтты қызметтермен жұмыс істейді.
  • Сақтық көшірме жасау премиум ақылы плагин, көптеген қосымша мүмкіндіктерді ұсынады. Көптеген пайдаланушылар мен айтқан алдыңғы плагинмен келісе алады.
  • Көшірме - Плагиннің мақсаты - сайтты орнынан жерге көшіру (мысалы, қоймалар арасындағы ауысымда), бірақ ол бәріне резервтік плагин ретінде қызмет етеді.
Егер сіздің сайтыңыз бұзылса және сіз оның не себеп болғанын немесе нақты не болғанын білмесеңіз, қол жетімді сақтық көшірме сізге сайтты бастапқы күйіне қайтаруға мүмкіндік береді. Бұл «құрт» файлдардың алдыңғы нұсқасында жоқ және тек атқылауды күтуде деп болжайды - бұл қазірдің өзінде күрделі жағдай.

4. Пайдаланушы аты мен парольді дұрыс пайдалану

Таңқаларлық емес, көптеген баспагерлер әдепкі «админ» пайдаланушыны пайдаланады, оны болжау өте оңай. Басқа пайдаланушы атын, сіздің ойыңызға келген нәрсені қолданған жөн, тек админді қалдырмаңыз.

Осы негізгі өзгерістің өзі олардың Brute Force шабуылына (сайтты басқарудың пайдаланушы аты мен құпия сөзін автоматты түрде және жылдам әр түрлі комбинациямен табуға бағытталған шабуыл) шабуыл жасауға тырысу мүмкіндігін бірнеше ондаған пайызға төмендетуі мүмкін.

Егер сізде «әкімші» деген пайдаланушы болса, келесі әрекеттерді орындаңыз:
  • Дәл осындай рұқсатпен жаңа пайдаланушы жасаңыз.
  • Алдыңғы пайдаланушыны жою + оның мазмұнын жаңа қолданушымен байланыстыру (WordPress сізден алдыңғы пайдаланушыны өшіру кезінде автоматты түрде жасауды сұрайды).
Күрделі құпия сөзді қолданыңыз - пайдаланушы атыңызды өзгерткен болсаңыз да, егер ол сіздің пароліңіз «123456» немесе «abcde» болса, тіпті сіздің телефоныңыз/әлеуметтік қауіпсіздік нөміріңіз болса, бұл сізге көп көмектеспейді. Рас, бұл ұмытылмас парольдер және бәрі - бірақ сіздің сайтыңызды шабуылдың осы түріне өте оңай мақсат етіңіз. Ұсыныс кіші және үлкен әріптерден, белгілерден және сандардан тұратын құпия сөзді қолдану керек, сондықтан оны кез-келген жолмен болжауға болмайды және көптеген жағдайларда қарапайым хакердің бас тартуына және келесі мақсатты іздеуге себеп болады.

Сыну мүмкін емес құпия сөздің мысалы:
  • nSJ @ $ #
  • J24f8sn!
  • NmSuWP
Brute Force шабуылдарына қарсы тағы бір жақсы және өте тиімді әдіс - екі сатылы аутентификацияны қолдану. Сайтқа кіргеннен кейін, қауіпсіздік коды смартфонға жіберіледі және сайтқа тек сіз ғана кіре алатыныңызға кепілдік береді.

Ол үшін сіз WordPress 2 сатылы растау плагинін қолдана аласыз.

5. Сайттағы басқа пайдаланушыларға тиісті рұқсат беріңіз

Егер сіз мазмұнды жазушылармен немесе мазмұн бергіштермен жұмыс жасасаңыз, оларды орындауға қажет әрекеттер үшін ең аз рұқсаты бар пайдаланушы сеансын ашқан жөн.

Мысалы, тек мазмұнмен айналысатын пайдаланушыға (жазу + редакциялау) әкімшінің рұқсаты қажет емес. «Жазушы» немесе «редактор» типтес тәсіл жеткілікті болады. Сізбен бірге қонақтар туралы жазба жазған кез келген адам және сіз тек жазбаның соңында оның қолтаңбасын қосқыңыз келеді - тек «донордың» рұқсатымен келісе алады.

Төменде WordPress қолданушыларының рұқсаттарының түсіндірмесі келтірілген:
  • Жазылым (Абонент) - Біреу сайтты профильден басқа сайттың мазмұнына ешқандай редакциялау рұқсатынсыз тіркеді (егер бар болса).
  • Салымшы (Салымшы) - Олар өз жазбаларын жаза алады және басқара алады, бірақ жарияламайды (оларға директордың келісімі қажет болады). Классикалық мысал - мақала сайттары/сурфер-контент алатын сайттар (автоматты түрде мақұлдаусыз).
  • Жазу (Автор) - Олар тек өздерінің жазбаларын жаза алады және жариялай алады.
  • Редактор (Редактор) - Олар өз жазбаларын, беттерін және басқаларын жаза алады және жариялай алады, бірақ шаблондар, файлдарды өңдеу және басқа қоспаларды басқару сияқты сайттарды басқарудың «сезімтал» бағыттарынсыз.
  • Әкімші (Әкімші) - мүмкіндіктері бар кез келген басқару жүйесіне вебмастерге рұқсат.
Көптеген пайдаланушылар үшін рұқсаттар неғұрлым жоғары болса, сайтқа кіру жолдары соғұрлым көп болады. Бұл кірулерді мүмкіндігінше азайтыңыз.

6. Сайтқа кіру әрекеттерін шектеу

Brute-Force шабуылдарымен күресуге көмектесетін тағы бір қадам. Бұл өте қарапайым трюк - егер пайдаланушы 2-3 әрекеттен кейін сайтқа қосыла алмаса (әдетте бұл әрекеттің санын орнатуға болады), ол белгілі бір уақытқа бұғатталады, оны да анықтауға болады.

Бұл үшін ұсынылатын плагин (Softalicious бағдарламасымен бірге келеді): Loginizer.

7. Сапалы сақтау компаниясын таңдау

Хостингтік компанияны таңдау сіздің сайтыңыздың өнімділігіне бірнеше жағынан үлкен салмақ түсіреді: сайттың жылдамдығы, оның қол жетімділігі, сонымен қатар - қауіпсіздік. Әрқашан қауіпсіздік мәселелерін білетін, WordPress-тің осалдығына назар аударатын және осы мәселені бірінші орынға қоятын компанияда болған жөн. Сапалы сақтау айына бірнеше баксқа арналған «стандартты» қоймадан қымбатырақ болуы мүмкін, бірақ бұл бос орын, менің ойымша, сіздің ойыңызша, сіздің тыныштық пен уақытқа лайық.

8. Плагиндерді пайдалануды мүмкіндігінше минимумға дейін азайтыңыз

Мен бұл туралы 2-бөлімде біраз сөйлестім, бірақ нақты айтайын - плагиндер - WordPress сайттарындағы қауіпсіздік осалдығының ең көп таралған себептерінің бірі.

Ашық дереккөз жүйесінде кез-келген адам плагин жазып, оны әлемге тарата алады, бұл бақылаушыларды шақырады.

Сондай-ақ, қажет емес плагиндерді шамадан тыс пайдалану жүйені жүктейді және сайттың жүктеу жылдамдығының төмендеуіне әкелуі мүмкін.

Сондықтан, плагиндерді қолдануды минимумға дейін азайту және сайттың дұрыс жұмыс істеуі үшін қажеттерін ғана пайдалану ұсынылады. Плагинді қолданбай-ақ сайтта жасалуы мүмкін кез-келген өзгеріс (және оны WordPress-тің келесі нұсқасында жоққа шығаруға болатын бастапқы файлдың өзгеруі емес деген болжаммен) - «таза» тәсілмен жасалуы ұсынылады.

9. Сайттағы файлдарды және қауіпсіздік плагиндерін үнемі қарап шығу

Компьютеріңізде антивирустың болғаны және сканерлеуді жүйелі түрде жүргізетіндігіңіз сияқты (үміттенемін), серверде вирус жұққан файлдарды антивирустық және жоспарлы тексерулерден өткізу ұсынылады.

Мұны істеудің бірнеше әдісі бар:

A- Серверде орналасқан антивирустың көмегімен сканерлеу (мысалы, cPanel-ді қолдану) - менің тәжірибемде қазіргі заманғы емес және әртүрлі осалдықтарды анықтамайды.

B- Әр түрлі қауіпсіздік плагиндерін пайдаланып сканерлеу. Міне бірнеше танымал:

Wordfence - Ең танымал WordPress қауіпсіздік плагині. Бұл плагин қазіргі мақалада айтылған бірнеше бұрышты жабады, бірақ бәріне ұқсас - 100% қорғауды қамтамасыз етпейді, бірақ хакерлердің жұмысын қиындатады.

Sucuri қауіпсіздігі - Sucuri қауіпсіздік компаниясының тағы бір танымал қауіпсіздік плагині. Бұл WordPress-тен сәл жеңіл, сонымен қатар сайтта зиянды бағдарламалық жасақтаманы іздеу, брандмауэр, Brute Force шабуылдарының алдын алу және тағы басқалары бар бірнеше функцияларды ұсынады.

iThemes қауіпсіздігі - сайтты қорғауға көмектесетін көптеген мүмкіндіктерді ұсынады, мысалы, екі факторлы аутентификация, вирус жұққан файлдарды, журналдарды сканерлеу және пайдаланушының әрекетін бақылау, вирусты анықтау үшін файлдарды салыстыру және т.б.

10. Сайтты Google Search консоліне қосыңыз

Сайтты Google-дің веб-мастер құралдарына қосу Google-мен тікелей байланыс орнатуға көмектеседі және SEO аспектілері туралы кең ақпарат береді, сонымен қатар сайт туралы қауіпсіздік ескертулеріне мүмкіндік береді.

Қосымша кеңестер

WordPress сайттарын қорғауға арналған кеңейтілген кеңестер серверлермен, FTP-мен, мәліметтер базасымен және басқалармен қалай жұмыс істеу керектігін білетін пайдаланушыларға арналған. Жоғарыда айтылғандардың кез-келгенінде керемет маман болу міндетті емес, бірақ бос сөздерді жасамау үшін кейбір негізгі тәжірибелермен иә.

11. Файл рұқсаттарын өзгерту

WordPress-те бірнеше файлдар және бірнеше қалталар бар, олардың кейбіреулері құпия ақпаратты, ал басқалары азырақ. Әрбір файл түрі мен қалтада әдепкі рұқсаттар бар. Сонымен қатар құпия файлдарға (мысалы, wp-config) және/немесе бұзу мүмкіндігіне ие болатын қатаң рұқсаттар бар.

12. .htaccess файлы арқылы қауіпсіздік

Htaccess файлы Apache серверлерінде және сайттың негізгі қалтасында орналасқан. Бұл маңызды және қуатты файл, басқалармен қатар, X мекен-жайынан Y мекен-жайына 301 қайта бағыттау, белгілі бір файлдарға немесе қалталарға рұқсатты бұғаттауға, сервер деңгейіндегі кэштеуге, әр түрлі Пайдаланушы-агенттерді бұғаттауға және басқаларға жауапты. .

WordPress сайттарындағы қауіпсіздік деңгейін күшейту және жақсарту үшін сансыз пәрмендерді қолдануға болады. Мен бәрін білгісі келмейді, бірақ біз білуге ​​тұрарлық кейбір маңызды және қарапайым нәрселерді атап өтеміз:

Маңызды файлдарды қорғау:

Wp-config, php.ini және қателер журналы файлы сияқты маңызды файлдарға рұқсат бермеңіз.

<FilesMatch «^. * (Error_log | wp-config \ .php | php.ini | \. [HH] [tT] [aApP]. *) $»>
Тапсырыстан бас тарту, рұқсат беру
Барлығынан бас тартыңыз
</FilesMatch>

Сайттағы қалталарға қол жеткізуді болдырмау:

Сайттағы қалталарға қол жеткізуге жол бермеу қолданушылардың сайттағы бумаларды шолғыш арқылы көруіне жол бермейді. Бұл зиянды файлды белгілі бір қалтаға кіргізгісі келетін адамға, сайтта қандай плагиндер/шаблондар орнатылғанын және т.б. қарап шығуды қиындатады.

Барлық индекстер параметрлері.

Жүктеулер қалтасында зиянды кодпен PHP файлдарының орындалуын блоктау.

Әдепкі бойынша, жүктеулер қалтасында негізінен кескіндер/PDF болуы керек. Егер сізге PHP кеңейтімі бар файлдар берілген болса, htaccess файлындағы келесі код сізге бұл файлдарды іске қосуға мүмкіндік бермейді:

<«Каталог»/var/www/wp-content/uploads/«>
<Файлдар * .php «>
Бас тартуға рұқсат беріңіз
Барлығынан бас тарту
</Files>
</Directory>

13. Журналдарды және сайттың белсенділігін бақылау

Сайттағы қолданушылардың белсенділігін қадағалау сізге жеке адамның ең кіші деңгейіне дейін сайтқа қандай өзгертулер енгізілгенін білуге ​​мүмкіндік береді, сонымен қатар әр түрлі пайдаланушылардың әрекеттерін бақылауға мүмкіндік береді және осылайша проблемалы қолдануды тудырады сайтқа зиян келтіруі мүмкін.

14. Компьютерден қорғау

Сайтқа вирус сыртқы көзден ғана емес, біздің компьютерден де келуі мүмкін. Егер сіздің компьютеріңізде вирус, зиянды бағдарлама немесе басқа нәрсе жұқтырылған болса және бұл файлдар серверге жол табатын болса, демек, сайтты жұқтырудың қысқа жолы және бұл ақаулықтың форматы.

Менің ұсынысым - кәсіби антивирустық бағдарламалық жасақтамаға жыл сайынғы лицензияны үнемдемеңіз және сатып алмаңыз, ол сіз кіріп жатқан қалталар мен шолып жатқан сайттар туралы нақты уақыт режимінде сканерлеуді жүзеге асырады. Антивируспен қатар, зиянды бағдарламалық жасақтама файлдарын сканерлейтін және олармен жұмыс істейтін бағдарламалық жасақтама болуы керек - жергілікті компьютерде.

Егер сіздің компьютеріңіз таза болса, сіз ең болмағанда сайттағы мәселенің көзі сіздің компьютеріңізден емес екенін білесіз. Егер сайтта басқа қолданушылар болса (әсіресе әкімшілік артықшылықтары бар) болса, сіз оларды осы мәселе туралы хабарлауыңыз керек.

15. Мәліметтер қорының префиксін өзгерту

WordPress сайттарындағы ең танымал және кең таралған осалдықтардың бірі «SQL инжекциясы» деп аталады. Ол сайттың дерекқорындағы әлсіздікті пайдаланып, сайтқа кіру туралы ақпарат, пайдаланушы туралы ақпарат және басқалар сияқты рұқсаттарды тексере алатын барлық әрекеттерді орындай алатын зиянды кодты енгізуге бағытталған.

WordPress дерекқорының әдепкі префиксі wp_ болып табылады. Префиксті өзгерту, кез-келген нәрсе сияқты, сізге SQL инъекцияларынан герметикалық қорғауға кепілдік бермейді. Бірақ бұл шабуылдаушыға көп күш жұмсап, мәліметтер базасындағы кестелердің құрылымын табуға мәжбүр болады және келесі құрбанның онша қиын емес шаштарына өтуі мүмкін.

Орнату кезеңінен бастап кестелер үшін басқа префикс орнатқан жөн. Бірақ мұны кейінірек жасауға болады - қосылатын модульді немесе қолмен.

Қорытындысында

Нұсқаулық сізге ұнады деп үміттенемін. Осы нұсқаулықта байқағаныңыздай, сайттың қауіпсіздігі мәселесі жайдан-жай қабылданбайды. Егер сіздің сайтыңыздың қауіпсіздігін қамтамасыз ететін тиісті дағдыларыңыз болмаса, мен сізге сарапшыларды шақыруға кеңес беремін. Бұл сіздің инвестицияларыңызды жоғалтудан сақтап қана қоймай, сонымен бірге сіздің сайтыңызды Интернет қолданушылары үшін сенімді орынға айналдырады.

Сонымен, көбірек білгіңіз келсе, өтінемін Бізбен хабарласыңы тегін консультацияға жазылыңыз. Сізге көмектесу өте қуанышты болады!

Сонымен қатар, Semalt а блог үнемі SEO-да маңызды тақырыптарды қамтитын тақырыптар бойынша.



mass gmail