Ինչպես ապահովել WordPress- ը (2020)

WordPress- ը այնտեղի ամենատարածված կառավարման համակարգերից մեկն է և լավ պատճառաբանությամբ: Օգտագործումը շատ պարզ է, դրա համար առկա են հազարավոր թեմաներ և plugins, և դրա հետ կարող եք ստեղծել ցանկացած տեսակի կայք: Ուրեմն զարմանալի չէ, որ WordPress- ի լիազորությունները Բոլոր կայքերի 35.1% -ը Ինտերնետում.


Բայց դրա ժողովրդականությունը գալիս է ծախսով: WordPress- ը հաճախ թիրախավորված է հակերների կողմից: Համաձայն Սուկուրին, 2018-ին կայքի մաքրման բոլոր հայցերի 90% -ը պատկանում էր WordPress- ին ՝ 2017-ի 7% աճ.

Կայք Hack Trend Report 2018 - Sucuri

Որպես այդպիսին, ձեր WordPress կայքի անվտանգությունը պետք է լինի ձեր ցուցակի վերին մասում ՝ անկախ անձնական պորտֆոլիո, բիզնես կայք կամ առցանց խանութ.

Երբ խոսքը վերաբերում է WordPress- ի անվտանգությանը, օգտվողները սովորաբար ընկնում են երկու ճամբարի. Նրանք, ովքեր լուրջ են ընդունում անվտանգությունը և կանխարգելիչ միջոցառումներ են ձեռնարկում, իսկ նրանք, ովքեր հավատում են կամ հույս ունեն, որ դա երբեք չի պատահի նրանց հետ, քանի որ նրանց կայքը բավականաչափ կարևոր չէ.

Որպեսզի ավելի լավ հասկանաք կայքերի հետ կապված անվտանգության խնդիրների խստությունը, համոզվեք, որ այցելեք Internet Live Stats էջ երբեմն Այնտեղ, դուք կարող եք տեսնել ամեն օր թալանված կայքերի ստույգ քանակ և նույնիսկ դիտել իրական ժամանակում աճող թիվը.

Կայքն իրական ժամանակում կոտրվել է

Contents

22 քայլեր ՝ ձեր WordPress կայքի անվտանգությունն ապահովելու համար

Որպեսզի ձեր կայքը վերջ չլինի որպես Ինտերնետի Live Stats- ի կայքերից մեկը, հետևեք հետևյալ խորհուրդներին և ապահովեք ձեր WordPress կայքը:.

1. Ընտրեք անվտանգության առանձնահատկություններ ունեցող հյուրընկալող ընկերություն

Ձեր WordPress կայքի անվտանգությունն ապահովելու առաջին քայլը հյուրընկալող ընկերությունում ներդրումներ կատարելն է, որն իրականացնում է պատշաճ անվտանգության առանձնահատկություններ: Սա ներառում է PHP- ի, MySQL- ի և Apache- ի վերջին տարբերակի աջակցություն, ինչպես նաև firewall և 24/7 անվտանգության դիտանցում:.

Հնարավորության դեպքում ընտրեք հյուրընկալող ընկերություն, որն իրականացնում է ամենօրյա կրկնօրինակում և կանոնավոր չարամիտ սկաներ: Դուք նույնիսկ կարող եք գտնել հյուրընկալող ընկերություններ, որոնք կիրառում են DDOS կանխարգելիչ տարբեր միջոցառումներ.

Ձեր հյուրընկալող ընկերությունը սովորաբար առաջին պատի հակերներն են, որոնք պետք է կոտրվեն ՝ ձեր կայք մուտք ունենալու համար, որպեսզի ավելի շատ առաջատար ներդրումներ կատարեն և ավելի թանկ հոստինգի պլան գնելով, անպայման մարելու են: Մենք առաջարկում ենք ընտրելով կառավարվող WordPress հոստինգի մատակարար.

2. Օգտագործեք ուժեղ գաղտնաբառեր

Համոզվեք, որ ձեր WordPress կայքի, ինչպես նաև ձեր հոստինգի հաշվի տարածքի գաղտնաբառերն ապահով են: Օգտագործեք մեծատառ և փոքրատառ տառերի, համարների և խորհրդանիշների խառնուրդ ՝ ուժեղ գաղտնաբառ ներկայացնելու համար: Կարող եք նաև օգտագործել LastPass- ի նման գաղտնաբառի կառավարիչ ՝ ձեզ համար անվտանգ գաղտնաբառեր ստեղծելու և պահելու համար.

3. Կորեք ադմինիստրատորի անունը

WordPress- ը օգտագործում էր ստանդարտ օգտագործողի անունը որպես ադմինիստրատոր, և օգտվողներից շատերը երբեք չեն անհանգստացրել այն փոխել: Արդյունքում, admin- ը սովորաբար առաջին օգտվողի անունն է, որը հակերները կփորձեն, երբ սկսեն դաժան ուժային գրոհ.

Որպես այդպիսին, դուք երբեք չպետք է օգտագործեք ադմինիստրատորի անունը ձեր WordPress կայքի համար: Եթե ​​դուք վերջերս տեղադրել եք ձեր WordPress կայքը, հավանական է, որ ստիպված եք եղել տեղադրել ձեր սեփական անունը: Բայց եթե երկար WordPress օգտվող եք, միգուցե դեռ կարող եք օգտագործել ադմինիստրատորի անունը.

Եթե ​​դա այդպես է, ձեր կայքի համար ստեղծեք նոր ադմինիստրատորի անուն Users> Ավելացնել նոր և ընտրելով ուժեղ օգտվողի անուն և գաղտնաբառ: Դերը դարձրեք Administrator- ին, այնուհետև կտտացրեք Ավելացնել նոր օգտվող կոճակ.

Կազմեք ադմինիստրատորի հաշիվ

Դրանից հետո մուտք կլինեք այդ նոր հավատարմագրերի հետ և կջնջեք ձեր հին ադմինիստրատորի օգտագործողը: Հիշեք, որ ձեր ամբողջ բովանդակությունը հանձնեք ձեր նոր ադմինիստրատորին `նախքան հինը ջնջելը.

4. Օգտագործեք ներդրողի կամ խմբագիրի հաշիվ ձեր կայքում տեղադրելու համար

Եթե ​​ցանկանում եք վերը նշված հուշը մի քայլ առաջ առնել, ապա մտածեք, որ ստեղծեք ներդրողի կամ խմբագրի հաշիվ ՝ ձեր կայքի նոր հաղորդագրություններ և հոդվածներ ավելացնելու համար: Դա անելը դժվար կդարձնի հակերներին վնասել ձեր կայքը, քանի որ ներդրողները և խմբագիրները սովորաբար չունեն ադմինիստրատորի արտոնություններ.

Խմբագրի հաշիվ ստեղծելը

5. Օգտագործեք պահեստային միացման սարք

Եթե ​​դուք դեռ կրկնօրինակում չեք կատարում ձեր վեբ կայքը, դուք պետք է անմիջապես սկսեք: Կրկնօրինակման համակարգը կօգնի ձեզ վերականգնել ձեր կայքը, եթե ամենավատն է պատահում, և ձեր կայքը վերջանում է խարդավանքի.

Օգտագործեք UpdraftPlus- ի նման հավելված ՝ ձեր կայքի համար կրկնօրինակի կանոնավոր գրաֆիկ ստեղծելու համար և մի մոռացեք պահուստավորել պահուստային ֆայլերը օֆսեթից ՝ ապահովելու համար, որ այդ ֆայլերը նույնպես չեն ավարտվի վարակված:.

6. Հարդեն ադմինիստրատորի տարածք

Երբ խոսքը վերաբերում է ադմինիստրատորի տարածքի կարծրացմանը, դուք պետք է փոխեք լռելյայն ադմինիստրատորի URL- ն և սահմանափակեք մուտքի ձախողման փորձերի քանակը, նախքան օգտագործողը ձեր կայքից դուրս փակվի:.

Լռելյայնորեն, ձեր վեբ կայքի ադմինիստրատորի URL- ն այսպիսին է լինելու. yourdomain.com/wp-admin. Հակերները դա գիտեն և կփորձեն ուղղակիորեն մուտք գործել այս URL, որպեսզի նրանք օգտվեն ձեր կայքից.

Դուք կարող եք փոխել այս URL- ը նման հավելվածով WPS թաքցնել մուտքը.

WPS թաքցնել մուտքը

Ինչ վերաբերում է մուտքի ձախողման փորձերի քանակը սահմանափակելուն, կարող եք օգտագործել Մուտք փակելու plugin.

Մուտք LockDown

7. Պահպանեք ֆայլերը մինչև օրս

Ինչպես արդեն նշեցինք, հնացած ֆայլերը անվտանգության ռիսկ են ներկայացնում, քանի որ դրանք ձեր կայքը խոցելի են թողնում այլ շահագործումների համար: Ահա թե ինչու դրանք թողարկվելուն պես անհրաժեշտ է տեղադրել թարմացումներ.

Մինչդեռ դրանում եք, համոզվեք, որ պարբերաբար անցեք ձեր տեղադրված plugin- երը և անջատեք և ջնջեք այն pluginները, որոնք այլևս չեք օգտագործում:.

8. Պաշտպանեք ձեր համակարգիչը

Գուցե դուք հետաքրքրվեք, թե ինչ կապ ունի ձեր համակարգիչը ձեր կայքի հետ: Եթե ​​ձեր համակարգիչը վարակված է վիրուսով, և դուք մուտք եք գործում ձեր կայք կամ դրա վրա ֆայլեր եք բեռնում, ապա այդ վարակված ֆայլերը կարող են վարակել նաև ձեր վեբ կայքը: Մի խոսքով, ուզում ես համոզվել.

  • Խուսափեք հանրային Wi-Fi ցանցերից օգտվելուց `ձեր կայք մուտք գործելու համար
  • Տեղադրեք հակավիրուսային ծրագիր և համոզվեք, որ այն արդիական է

9. Փոխեք ձեր տվյալների շտեմարանի նախածանցը

Մեկ այլ փաստ, որը հայտնի է WordPress հակերների կողմից, այն է, որ ձեր տվյալների բազայի նախածանցը նշանակված է wp: Այս փաստը նրանց համար հեշտացնում է գուշակել սեղանի նախածանցը և օգտագործել ավտոմատացված SQL ներարկումներ ՝ ձեր կայք մուտք ունենալու համար.

Ձեր տվյալների բազայի նախածանցը փոխելը ձեռնարկ է, որը ներառում է ձեր խմբագրումը wp-config.php ֆայլը և սեղանի անունները փոխելը և օգտագործելով phpMyAdmin: Փոփոխությունը կատարելուց առաջ համոզվեք, որ ձեր կայքը կրկնօրինակում է որպես կանխարգելիչ միջոց.

Wp-config- ի խմբագրում

Դուք պետք է մուտք գործեք ձեր հոստինգի հաշիվ և մուտք գործեք ձեր cPanel կամ ցանկացած կառավարման վահանակ, որն օգտագործում է ձեր հյուրընկալողը: Այնուհետև մուտք գործեք File Manager և տեղադրեք ձեր wp-config.php ֆայլը WordPress գրացուցակում.

Գտեք աղյուսակի նախածանցի տողը, որն այսպիսին է թվում. $ table_prefix որին հաջորդում է a = նշանը և ինքնին աղյուսակի նախածանցը: Տեղադրված լռելյայն տողը փոխարինեք ձեր սեփական նախածանցով ՝ օգտագործելով թվերի, ենթանշանների և տառերի նման համադրություն ՝

$ table_prefix = ‘hgwp_3456_ ‘;

Երբ կատարեք խմբագրումը wp-config.php ֆայլ, դուրս եկեք File Manager- ից և մուտք գործեք phpMyAdmin, որպեսզի կարողանաք փոխել սեղանի բոլոր անունները: Դա անել ձեռքով կարող է լինել հոգնեցուցիչ, քանի որ ընդհանուր առմամբ կա 11 աղյուսակ, որոնք դուք պետք է խմբագրեք: Փոխարենը, դուք կարող եք մուտքագրել SQL հարցումը ՝ անցնելով SQL ներդիր

SQL հարցման գործարկում

Այնուհետև մուտքագրեք սա

RENAME սեղան `wp_commentmeta` TO` hgwp_3456_commentmeta`;

RENAME սեղան `wp_comments` TO` hgwp_3456_comments`;

RENAME սեղան `wp_links` TO` hgwp_3456_links`;

RENAME սեղան `wp_options` TO` hgwp_3456_options`;

RENAME սեղան `wp_postmeta` TO` hgwp_3456_postmeta`;

RENAME սեղան `wp_posts` TO` hgwp_3456_posts`;

RENAME սեղան `wp_terms` TO` hgwp_3456_terms`;

RENAME սեղան `wp_termmeta` TO` wp_a123456_termmeta`;

RENAME սեղան `wp_term_relationships` TO` hgwp_3456_term_relationships`;

RENAME սեղան `wp_term_taxonomy` TO` hgwp_3456_term_taxonomy`;

RENAME սեղան `wp_usermeta` TO` hgwp_3456_usermeta`;

RENAME սեղան `wp_users` TO` hgwp_3456_users`;

Մինչ վերը նշված հարցումը պետք է փոխի ձեր տվյալների բազայի նախածանցը ամենուր, լավ գաղափար է գործարկել մեկ այլ հարցում, որպեսզի համոզվեք, որ հին տվյալների բազայի նախածանց օգտագործող ցանկացած այլ ֆայլ թարմացվի.

ԸՆՏՐԵԼ * `` hgwp_3456_options` Ո՞ւր է «option_name` LIKE '% wp_%'

Դուք նաև կցանկանաք որոնել theusermeta և մնացած հին նախածանցները փոխարինել նորով.

ԸՆՏՐԵԼ * `` hgwp_3456_usermeta` ՈՒՐԻ `meta_key` LIKE '% wp_%'

10. Հարդացրեք ձեր .htaccess և wp-config.php ֆայլերը

.htaccess և wp-config.php ձեր WordPress տեղադրման ամենակարևոր ֆայլերն են: Որպես այդպիսին, դուք պետք է համոզվեք, որ դրանք ապահով և պաշտպանված են.

Պարզապես ավելացրեք ստորև նշված կոդերը ձեր .htaccess ֆայլում ՝ # BEGIN WordPress և # END WordPress պիտակների սահմաններից դուրս, որպեսզի փոփոխությունները չգրվեն յուրաքանչյուր նոր թարմացմամբ.



կարգը թույլ է տալիս, մերժել

ժխտել բոլորից





կարգը թույլ է տալիս, մերժել

ժխտել բոլորից





հրամանը մերժել, թույլ տալ

Մերժիր բոլորից

# թույլատրել մուտք գործել իմ IP հասցեից

թույլատրել 192.168.1.1-ից

Վերը նշված հատվածները կպաշտպանեն ձեր wp-config- ը և .htaccess- ը, ինչպես նաև կսահմանափակեն մուտքը դեպի wp-login.php էկրան.

Վերջապես, PHP ֆայլի կատարումը կանխելու համար ներքևում ավելացրեք հատվածը:



ժխտել բոլորից

11. Ստուգեք և փոխեք ֆայլի թույլտվությունները

Երբ ավարտվել ես ապահովելով քո անվտանգությունը .htaccess և wp-config.php ֆայլ, մի քիչ երկար մնացեք ձեր cPanel- ում և ստուգեք ձեր WordPress կայքում ֆայլերի և պանակների ֆայլերի թույլտվությունները:.

Ֆայլերի թույլտվություններ

Ըստ WordPress ծածկագիր, թույլտվությունները պետք է սահմանվեն հետևյալ կերպ.

  • Բոլոր գրացուցակները պետք է լինեն 755 կամ 750
  • Բոլոր ֆայլերը պետք է լինեն 644 կամ 640
  • wp-config.php- ը պետք է լինի 600

Եթե ​​ձեր պարամետրերը տարբեր են, հակերները կարող են հեշտությամբ կարդալ բովանդակությունը, ինչպես նաև փոխել ֆայլերի և պանակների բովանդակությունը, որոնք կարող են հանգեցնել ձեր կայքի հակերության, ինչպես նաև նույն սերվերի այլ կայքերի, որոնք հակերվում են:.

12. Օգտագործեք երկու գործոնով վավերացում

Մտածեք նման հավելվածի օգտագործումը Google Authenticator ձեր կայքի համար երկկողմանի վավերացում սահմանելու համար: Սա նշանակում է, որ բացի ձեր գաղտնաբառ մուտքագրվելուց, դուք պետք է մուտքագրեք նաև բջջային հավելվածի կողմից գեներացված կոդ ՝ ձեր կայք մուտք գործելու համար: Սա կարող է դադարեցնել կոպիտ ուժային հարձակումները, այնպես որ լավ գաղափար է այժմ դրվել.

Google Authenticator

13. Անջատեք XML-RPC- ն

XML-RPC- ը թույլ է տալիս ձեր կայքին կապ հաստատել Jetpack- ի նման բջջային ծրագրերի և WordPress- ի հետ: Դժբախտաբար, այն նաև սիրված է WordPress հակերների կողմից, քանի որ նրանք կարող են չարաշահել այս արձանագրությունը `միանգամից մի քանի հրամաններ կատարելու և ձեր կայք մուտք ունենալու համար: Օգտագործեք հավելվածի նման Անջատեք XML-RPC plugin- ը այս գործառույթը անջատելու համար.

Անջատեք XML-RPC- ն

14. Օգտագործեք HTTPS և SSL

Համացանցն արդեն բավականին ժամանակ է ՝ բլոգային գրառումներով և հոդվածներով է շփում HTTPS արձանագրության կարևորության մասին և SSL անվտանգության վկայականներ ավելացնում ձեր կայքում:.

HTTPS- ը հանդես է գալիս որպես Hypertext Transfer Protocol Secure, իսկ SSL- ը ՝ Secure Socket Layers: Մի խոսքով, HTTPS- ն թույլ է տալիս այցելուի զննարկչին անվտանգ կապ հաստատել ձեր հոստինգի սերվերի (և, հետևաբար, ձեր կայքի) հետ: HTTPS արձանագրությունն ապահովված է SSL- ի միջոցով: Միասին, HTTPS- ը և SSL- ն ապահովում են, որ այցելուների զննարկչի և ձեր կայքի միջև եղած բոլոր տեղեկությունները գաղտնագրված են.

Ձեր կայքի երկուսն էլ օգտագործելը ոչ միայն կբարձրացնի ձեր կայքի անվտանգությունը, այլ նաև օգուտ կբերի ձեր որոնիչի կոչմանը, վստահություն կստեղծի ձեր այցելուների համար և բարելավել ձեր փոխակերպման փոխարժեքը.

Խոսեք ձեր հոստինգի մատակարարի հետ և հարցրեք SSL վկայագիր ստանալու հնարավորության մասին կամ ձեզ մատնանշեք հեղինակավոր ընկերության ուղղությամբ, որտեղ կարող եք գնել մեկ.

15. Անջատեք թեման և plugin- ի խմբագրումը ձեր WordPress վահանակի միջոցով

Ձեր թեման և plugin ֆայլերը անմիջապես WordPress- ի վահանակում խմբագրելու տարբերակը ունենալը հարմար է, երբ դուք պետք է արագ ավելացնեք ծածկագրի տող: Բայց դա նաև նշանակում է, որ յուրաքանչյուր ոք, ով մուտք է գործում ձեր կայք, կարող է մուտք ունենալ այդ ֆայլեր.

Անջատեք այս հնարավորությունը ՝ ավելացնելով հետևյալ ծածկագիրը ձեր վրա wp-config.php ֆայլ:

// Արգելել ֆայլի խմբագրումը

սահմանել ('DISALLOW_FILE_EDIT', ճշմարիտ);

16. Տեղափոխեք wp-config.php ֆայլը ոչ WWW տեղեկատու

Ինչպես ավելի վաղ նշվեց, որ wp-config.php ֆայլը ձեր WordPress տեղադրման ամենակարևոր ֆայլերից մեկն է: Դժվարեք մուտք գործել `այն տեղափոխելով այն արմատային գրացուցակից դեպի ոչ www մատչելի գրացուցակ.

  1. Սկսնակների համար պատճենեք ձեր բովանդակությունը wp-config.php ֆայլը նոր ֆայլ մուտքագրեք և պահեք այն որպես wp-config.php.
  1. Վերադառնալ ձեր հինին wp-config.php ֆայլը և ավելացրեք ստորև նշված կոդերի շարքը.
  1. Վերբեռնեք և պահպանեք նորը wp-config.php ֆայլը տարբեր թղթապանակում.

17. Փոխեք ձեր WordPress- ի անվտանգության ստեղները

WordPress անվտանգության ստեղները պատասխանատու են օգտագործողի cookie- ներում պահվող տեղեկությունները գաղտնագրելու համար: Նրանք տեղակայված են Ս wp-config.php ֆայլ և տեսք այսպիսին է.

սահմանել ('' AUTH_KEY '', 'այստեղ տեղադրիր քո եզակի արտահայտությունը');

սահմանել ('SECURE_AUTH_KEY', 'այստեղ տեղադրիր քո եզակի արտահայտությունը');

սահմանել ('LOGGED_IN_KEY', 'այստեղ տեղադրիր քո եզակի արտահայտությունը');

սահմանել ('NONCE_KEY', 'այստեղ տեղադրիր քո եզակի արտահայտությունը');

սահմանել ('' AUTH_SALT '', 'այստեղ տեղադրիր քո եզակի արտահայտությունը');

սահմանել ('' SECURE_AUTH_SALT ',' այստեղ տեղադրիր քո եզակի արտահայտությունը ');

սահմանել ('LOGGED_IN_SALT', 'այստեղ տեղադրիր քո եզակի արտահայտությունը');

սահմանել ('NONCE_SALT', 'այստեղ տեղադրիր քո եզակի արտահայտությունը');

Օգտագործեք WordPress աղերի հիմնական գեներատոր դրանք փոխելու և ձեր կայքը ավելի անվտանգ դարձնելու համար.

18. Անջատեք սխալի մասին հաշվետվությունը

Սխալների մասին տեղեկացնելը օգտակար է խնդիրների լուծման համար և որոշելու, թե որ հատուկ հավելվածը կամ թեման սխալ է առաջացնում ձեր WordPress կայքում: Այնուամենայնիվ, համակարգը սխալի մասին տեղեկացնելուց հետո այն կցուցադրի նաև ձեր սերվերի ուղին: Ավելորդ է ասել, որ սա հիանալի հնարավորություն է հակերների համար պարզելու, թե ինչպես և որտեղ կարող են օգտվել ձեր կայքի խոցելիություններից.

Դուք կարող եք դա անջատել `ստորև նշված կոդը ավելացնելով ձերին wp-config.php ֆայլ:

error_reporting (0);

@ini_set (‘display_errors’, 0);

19. Հեռացրեք WordPress- ի տարբերակի համարը

Յուրաքանչյուր ոք, ով հայացք է տալիս ձեր կայքի աղբյուրի կոդին, կկարողանա պատմել WordPress- ի որ տարբերակը: Քանի որ WordPress- ի յուրաքանչյուր տարբերակ ունի հանրային փոփոխություններ, որոնք մանրամասն ներկայացնում են վրիպակների և անվտանգության տրոհումների ցանկը, նրանք կարող են հեշտությամբ որոշել, թե որ անվտանգության անցքերն են նրանք կարող օգտվել.

WordPress- ի տարբերակը

Բարեբախտաբար, կա հեշտ շտկում: Դուք կարող եք հեռացնել WordPress տարբերակի համարը ՝ խմբագրելով ձեր թեմայի գործառույթները.php ֆայլը և ավելացնելով հետևյալը.

remove_action ('wp_head', 'wp_generator');

20. Օգտագործեք անվտանգության վերնագրեր

Ձեր WordPress կայքի անվտանգությունն ապահովելու ևս մեկ տարբերակ ՝ անվտանգության վերնագրերի իրականացումն է: Սովորաբար դրանք տեղադրվում են սերվերի մակարդակում `կանխելու հակերության հարձակումները և նվազեցնելու անվտանգության խոցելիության շահագործման քանակը: Դուք կարող եք դրանք ավելացնել ինքներդ ՝ փոփոխելով ձեր թեման գործառույթները.php ֆայլ.

Անվտանգության ղեկավարներ

Խաչաձև գրոհներ

Լրացուցիչ բովանդակության, սցենարի, ոճերի և այլ բովանդակության աղբյուրների ցուցակին ավելացրեք հետևյալ ծածկագիրը.

վերնագիր ('Content-Security-Policy: default-src https:');

Դա կանխելու է զննարկչին վնասակար ֆայլերը բեռնելու մասին.

Iframe- ի կտտացում

Ստորև բերված տողը ավելացրեք, որպեսզի զննարկիչը հանձնարարի էջը չներկայացնել շրջանակում. վերնագիր (‘X-Frame-Options: SAMEORIGIN»);

X-XSS- պաշտպանության և X- բովանդակության տիպի ընտրանքներ

Լրացրեք հետևյալ տողերը `XSS- ի գրոհները կանխելու համար և Internet Explorer- ին ասեք, որ չխռովեց ականատեսների տեսակները

վերնագիր ('X-XSS- պաշտպանություն. 1; ռեժիմ = թաղամաս');

վերնագիր ('X-Content-Type- ընտրանքներ. nosniff');

Կիրառել HTTPS- ը

Ավելացնել ստորև նշված կոդը ՝ զննարկիչը հրահանգելու համար օգտագործել միայն HTTPS:

վերնագիր ('' Խիստ տրանսպորտ-անվտանգություն. առավելագույն տարիքը = 31536000; ներառյալSubdomains; preload ');

Cookie- ով HTTPOnly և Secure դրոշով WordPress- ում 

Ասացեք, որ զննարկիչը վստահի միայն սերվերի կողմից տեղադրված cookie- ին և որ cookie- ն հասանելի է SSL ալիքներով ՝ ավելացնելով հետևյալը.

@ini_set ('session.cookie_httponly', ճշմարիտ);

@ini_set ('session.cookie_secure', ճշմարիտ);

@ini_set ('session.use_only_cookies', ճշմարիտ);

Եթե ​​չեք ցանկանում այս վերնագրերը ձեռքով ավելացնել, հաշվի առեք նման հավելվածի օգտագործումը Անվտանգության ղեկավարներ. Անկախ այն բանից, թե որ մեթոդից եք ընտրում իրականացնել անվտանգության վերնագրերը, անպայման փորձարկեք դրանք ՝ օգտագործելով https://securityheaders.io կայք և մուտքագրեք ձեր կայքի URL- ն.

21. Կանխեք թեժ կապը

Hotlinking- ը ինքնին անվտանգության խախտում չէ, բայց հաշվի առնելով, որ այն վերաբերում է մեկ այլ կայքին ՝ օգտագործելով ձեր կայքի URL- ն ՝ ուղղակիորեն պատկերի կամ մեկ այլ մեդիա ֆայլի վրա նշելու համար, այն համարվում է գողություն: Որպես այդպիսին, թեժ կապը կարող է հանգեցնել անսպասելի ծախսերի ոչ միայն այն պատճառով, որ դուք ստիպված կլինեք զբաղվել օրինական փոփոխություններով, այլ նաև այն պատճառով, որ ձեր հոստինգի օրինագիծը կարող է անցնել տանիքով, եթե ձեր պատկերը գողացող կայքը մեծ տրաֆիկ ստանա:.

Ստորև բերված ծածկագիրը ավելացրեք ձեր .htaccess ֆայլին, եթե օգտագործում եք Apache սերվեր և փոխարինում եք խրտվիլերի տիրույթը ձեր իրական տիրույթի անունով.

RewriteEngine- ը միացրեք

RewriteCond% {HTTP_REFERER! ^ Http (s) ?: // (www \.)? Domain.com [NC]

RewriteRule \. (Jpg | jpeg | png | gif) $ - [NC, F, L]

Այլապես, եթե դուք օգտագործում եք NGINX սերվերներ, կցանկանաք փոփոխել ձեր կազմաձևման ֆայլը հետևյալով.

գտնվելու վայրը ~. (gif | png | jpe? g) $

valid_referrs ոչ ոք չի արգելափակել ~ .google- ը: .բինգ: .yahoo yourdomain.com * .yourdomain.com;

եթե ($ invalid_referer) {

վերադարձ 403;

}

}

22. Մուտք գործեք անգործ օգտագործողներ

Ձեր կայքի անվտանգության բարձրացման համար այս ուղեցույցի վերջին խորհուրդը անգործության ժամանակահատվածից հետո պարապ օգտվողներին դուրս մտնելն է: Կարող եք օգտագործել նման plugin Ոչ ակտիվ ելք ինքնաբերաբար դադարեցնել ոչ ակտիվ նիստերը.

Ոչ ակտիվ ելք

Սա անհրաժեշտ է, քանի որ եթե դուք մուտք եք գործում ձեր վեբ կայք ՝ նոր բլոգային գրառում ավելացնելու և մեկ այլ առաջադրանքից շեղվելու համար, ձեր նիստը կարող է առևանգվել, և հակերները կարող են չարաշահել իրավիճակը ՝ ձեր կայքը վարակելու համար: Նույնիսկ ավելի կարևոր է դադարեցնել անգործուն նիստերը, եթե ձեր կայքում ունեք բազմաթիվ օգտվողներ.

Ինչպե՞ս վերականգնել հակերից

Վերը նշված անվտանգության միջոցները ձեր կայքը ապահովելու հիանալի միջոց են: Բայց ինչ անել, եթե միևնույն է, ձեր կայքը թալանվի: Ահա ձեր կայքը հակերված լինելու դեպքում հետևելու մի քանի քայլ.

1. Հաստատեք հաքը և փոխեք ձեր գաղտնաբառը

Եթե ​​ձեր կայքը կոտրվել է, նախ և առաջ, մի խուճապի ենթարկեք: Սա ձեզ չի օգնի, և արարքը արվում է, այնպես որ կարևոր է արագ գործել: Սկսեք ստուգել ձեր կայքը և տեսնել, թե արդյոք կարող եք մուտք գործել ձեր վահանակ: Ստուգեք, արդյոք ձեր կայքը վերահղվում է այլ կայք, կամ տեսնում եք կասկածելի կամ տարօրինակ հղումներ կամ գովազդներ.

Անմիջապես փոխեք ձեր գաղտնաբառն ու անցեք հաջորդ քայլին.

2. Կապվեք ձեր հյուրընկալող ընկերության հետ

Կապվեք ձեր հյուրընկալողի հետ և տեղեկացրեք, որ ձեր կայքը թալանել են: Նրանք կարող են օգնել ձեզ պարզել հաքի աղբյուրը: Որոշ հյուրընկալողներ նույնպես մաքրելու են ձեր կայքը և հեռացնել վնասակար կոդն ու ֆայլերը.

Օգտագործեք կրկնօրինակում ձեր կայքը վերականգնելու համար

Եթե ​​ջանասիրաբար վերաբերվել եք ձեր կայքին կրկնօրինակելուն, ձեր հակերից պահեք կրկնօրինակում և օգտագործեք այն ձեր կայքը վերականգնելու համար: Թեև կարող եք կորցնել որոշ բովանդակություն, դուք կկարողանաք ձեր կայքը ակտիվացնել և գործարկել այնպես, ինչպես դա տեղի էր ունեցել նախքան հարձակումը տեղի ունենալը.

3. Սկան ձեր կայքը չարամիտ ծրագրի համար

Օգտագործեք Sucuri անվճար սկաներ ՝ ձեր կայքը չարամիտ չարամիտ ծրագրեր սկանելու և վարկաբեկված ֆայլերը հայտնաբերելու համար: Կարող եք նաև ընտրել իրենց կայքի մաքրման ծառայությունը, եթե ինքներդ չգիտեք, թե ինչպես հեռացնել չարամիտ ծրագիրը.

4. Ստուգեք ձեր կայքի օգտագործողները

Մուտք գործեք ձեր WordPress վեբ կայք և անցեք Users> All Users: Համոզվեք, որ չկան օգտվողներ, ովքեր չպետք է այնտեղ լինեն և անհրաժեշտության դեպքում ջնջեն դրանք.

5. Փոխեք ձեր գաղտնի բանալիները

Օգտագործեք վերը նշված WordPress աղերի ստեղնաշարի գեներատորից ՝ նոր անվտանգության ստեղներ ստեղծելու և դրանք ավելացնելու համար ձեր wp-config.php ֆայլում: Քանի որ այդ ստեղները գաղտնագրում են ձեր գաղտնաբառը, հաքերները կմնան մուտք գործել այնքան ժամանակ, քանի դեռ դրանց թխուկներն անվավեր չեն: Անվտանգության նոր ստեղները հենց դա կանեն և հակերին ստիպեն դուրս հանել ձեր կայքից.

6. վարձել պրոֆեսիոնալ

Վերջապես, վարձեք պրոֆեսիոնալ `հաքը մաքրելու և չարամիտ ծրագիրը ձեր կայքից հանելու համար: Հիշեք, որ հակերները կարող են թաքցնել վնասակար ծածկագիրը մի քանի ֆայլերում, այնպես որ եթե չարամիտ չարամիտ հեռացման փորձ չունեք, հեշտ է վարակված ֆայլը բաց թողնել: Սա հեշտացնում է հակերներին նորից թալանել ձեր կայքը, այնպես որ մասնագետի վարձելը խստորեն խորհուրդ է տրվում.

WordPress- ի խոցելիությունների 7 ամենատարածված տեսակները

Նախքան այս հոդվածի հետ որևէ այլ հարցի անցնելը, եկեք դիմենք սենյակում գտնվող փղին. Արդյո՞ք WordPress- ը ապահով է: Այդ հարցի պատասխանը այո է: WordPress- ի ծրագրակազմի առանցքն ապահով է, և WordPress- ի հետևում կանգնած ընկերությունը լուրջ է ընդունում անվտանգությունը.

Նրանց անվտանգության թիմ ինքնաթիռում ունի 50 մասնագետ, որոնք ներառում են առաջատար ծրագրավորողներ և անվտանգության հետազոտողներ, որոնք աշխատում են կուլիսներում, որպեսզի ապահովեն WordPress- ը անվտանգ.

Փաստորեն, անվտանգության միջադեպերի և ռիսկերի մեծ մասը մարդկային սխալի հետևանք են, որը զուգորդվում է անվտանգության խոցելիության առկայությամբ.

WordPress- ի խոցելիության յոթ տեսակ կա, որոնց մասին պետք է տեղյակ լինեք.

  • WordPress- ի հնացած ֆայլեր
  • Backdoor- ը շահագործում է
  • Ֆարմա հաքեր
  • Թույլ գաղտնաբառեր
  • Վնասակար վերահղումներ
  • Խոցելիությունը հյուրընկալող հարթակում
  • Ծառայությունների գրոհների մերժում

Եկեք անցնենք դրանցից և բացատրենք, թե դրանք կոնկրետ ինչ են.

1. Հնացած WordPress ֆայլեր

WordPress- ի հնացած ֆայլերը վերաբերում են WordPress- ի տարբերակին, թեմային և plugin ֆայլերին: Դրանք անվտանգության ռիսկ են ներկայացնում, քանի որ նրանք թողնում են, որ ձեր կայքը ենթարկվի այլ խոցելիությունների, ինչպիսիք են բացօթյա շահագործումը և դեղատնային հակերները.

Որպես այդպիսին, դուք պետք է համոզվեք, որ ձեր WordPress տեղադրումը արդիական է, ինչպես նաև ձեր թեման և հավելվածները: Դուք պետք է պրակտիկորեն կիրառեք թարմացումներ, քանի որ դրանք թողարկվում են, քանի որ դրանք ոչ միայն նոր հնարավորություններ են ունենում, այլև դրանք ներառում են նաև տարբեր անվտանգության և սխալների շտկումներ.

2. Backdoor Exploits

Երբ խոսքը գնում է հետևի օգտագործման մասին, հակերները կօգտվեն WordPress- ի հնացած ֆայլերից ՝ ձեր կայք մուտք ունենալու համար: Բացի հնացած ֆայլերից, նրանք կարող են նաև մուտք գործել ձեր կայք SFTP, FTP և նմանատիպ միջոցների միջոցով.

Երբ նրանք մուտք ունենան ձեր կայք, նրանք վարակելու են ձեր կայքը և կարող են վարակել նաև այլ կայքեր, որոնք նույն սերվերում են, ինչպես ձեր կայքը: Ետևի ներարկումները նման են WordPress- ի սովորական ֆայլերի անփորձ օգտագործողին: Բայց կուլիսների հետևում նրանք օգտվում են հնացած ֆայլերի վրիպակներից ՝ ձեր տվյալների բազան մուտք գործելու և ձեր կայքում, ինչպես նաև հազարավոր այլ կայքեր.

3. Pharma Hacks

Pharma- ի հակերները վերաբերում են WordPress- ի հնացած ֆայլերում խոցելիության գործածումներին, որտեղ հակերը այդ ֆայլերը մուտքագրում է կոդը: Կոդի տեղադրումից հետո որոնիչները ձեր կայքի փոխարեն ցուցադրում են գովազդներ դեղագործական արտադրանքների համար: Սա կարող է հանգեցնել, որ որոնիչները ձեր կայքը սպամ են նշում.

4. Թույլ գաղտնաբառեր

Թույլ գաղտնաբառերը կարող են հեշտությամբ հիշել, բայց դրանք նաև հեշտացնում են հաքերներին ձեր կայք մուտք գործելը դաժան ուժային հարձակման միջոցով: Դաժան ուժի հարձակումը տեղի է ունենում այն ​​ժամանակ, երբ հակեր օգտագործում է ավտոմատացված գրություններ, որոնք անցնում են ֆոնին ՝ օգտագործելու տարբեր գաղտնաբառերի և գաղտնաբառերի համադրություններ, մինչև որ գտնեն աշխատանքային համադրություն:.

5. Վնասակար վերահղումներ

Նմանապես, օգտագործելով հնացած ֆայլեր և FTP կամ SFTP արձանագրություն ՝ կոդեր ներարկելու համար, որոնք հանգեցնում են դեղագործական հակեր կամ հետնամասի շահագործման, հակերները կօգտագործեն ձեր WordPress- ի տեղադրման մեջ .htaccess ֆայլը ՝ ձեր այցելուներին չարամիտ կայք վերահղելու համար:.

Այնուհետև ձեր այցելուները կարող են ավարտվել վիրուսով կամ փախցնել ֆիշինգը.

6. Խոցելիություններ հյուրընկալող հարթակում

Երբեմն ձեր վեբ կայքի անվտանգությունը կարող է վտանգվել, քանի որ դուք օգտագործում եք հյուրընկալող ընկերություն, որն չունի անվտանգության առանձնահատկություններ, ինչպիսիք են firewall- ը կամ ֆայլերի մոնիտորինգը: Սովորաբար դա տեղի է ունենում ավելի ցածր հյուրընկալող պրովայդերների հետ, ինչը նշանակում է, որ ավելի էժան հյուրընկալող ընտրելը, հեգնաբար, ձեզ ավելի շատ կարժենա, եթե ձեր կայքը խաբվի.

Հիշեք, որ ավելի էժան հոստինգի պլատֆորմները նաև ավելի մեծ անվտանգության ռիսկ են ներկայացնում, քանի որ ձեր կայքը կարող է վարակվել կամ թալանվել է նույն սերվերում հյուրընկալված մեկ այլ կայքում խոցելիությունները շահագործող հակերների արդյունքում:.

7. Ծառայությունների հարձակման մերժում

Ծառայությունների գրոհների կամ DDOS- ի հարձակումների մերժումը ամեն կայքէջի սեփականատիրոջ համար ամենավտանգավոր սպառնալիքներից մեկն է: DDOS գրոհի դեպքում հաքերը կօգտագործի կոդերի սխալներն ու սխալները `պատճառ դառնալով ձեր կայքի օպերացիոն համակարգի հիշողությունը գերագնահատելու: DDOS- ի գրոհները սովորաբար կջնջեն մեծ թվով կայքեր, որոնք օգտագործում են հատուկ պլատֆորմ, ինչպիսին է WordPress- ը.

Այժմ, երբ դուք գիտեք, թե որոնք են ընդհանուր խոցելիությունները, որոնք կապված են WordPress- ի հետ, անցեք այն խորհուրդներին, լավագույն փորձին և անվտանգության առաջարկություններին, որոնք կօգնեն ձեզ ապահովել ձեր WordPress կայքը.

Փաթաթվելով

WordPress- ը հզոր և հանրաճանաչ CMS է, որը յուրաքանչյուրի համար հեշտացնում է կայք ստեղծել: Բայց քանի որ այն այնքան տարածված է, այն նաև սիրված թիրախ է հակերների համար: Բարեբախտաբար, կան մի շարք քայլեր, որոնք կարող եք ձեռնարկել ձեր WordPress կայքը պաշտպանելու համար, և եթե հետևեք այս հոդվածի խորհուրդներին, լավ կլինեք ապահով WordPress կայք ունենալու ճանապարհին:.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map