Урок за сигурност на WordPress: Осигуряване на блогове на WordPress

Anonim

Колкото много уебсайтове и блогове се изграждат на WordPress, толкова нараства и броят на атаките за уязвимости в сигурността. Поради тази причина администраторите на WordPress сайтове трябва да коригират и подобрят сигурността на инсталацията на WordPress. В настройките по подразбиране след инсталирането WordPress далеч не е сигурен.

Vorsicht: In den Standard-Einstellungen nach der Installation ist WordPress keineswegs sicher.
Внимание: В настройките по подразбиране след инсталирането WordPress в никакъв случай не е защитен.
Снимка: Georgejmclittle - shutterstock.com

В този урок за WordPress ще ви покажем кои настройки за сигурност са важни. Независимо дали управлявате множество блогове в WordPress или само един блог за WordPress, сигурността в WordPress играе важна роля и не бива да се подценява.

За да осигурите WordPress, можете да работите в различни секции. В допълнение към използването на текущите версии за WordPress и базите данни, те могат да използват и плъгини, които повишават сигурността. Правилната настройка на разрешенията също играе важна роля при използването на WordPress.

Прочетете също:

Най-добрият безплатен CMS

Използвайте текущата версия, защитени бази данни

Дори преди да инсталирате WordPress, трябва да се уверите, че компютърът, на който искате да стартирате блога на WordPress, работи възможно най-безопасно. Следователно, вие също трябва да актуализирате базата данни. Настоящите бази данни предлагат много повече сигурност в повечето случаи. Самата инсталация на WordPress също трябва да се основава на най-новата версия. Ако вече използвате WordPress в остаряла версия, трябва да надстроите до най-новата версия.

показ

Дигитална трансформация с управлявани облачни услуги

Digitale Transformation mit Managed Cloud Services - Foto: LeoWolfert - shutterstock.com

Този доклад от Frost & Sullivan показва какви точки трябва да овладеят доставчиците на облачни услуги, така че компаниите да могат да разчитат на тях, когато става дума за стратегията им за дигитализация. (На английски)

Към статията

Много актуализации на WordPress затварят уязвимостите. Винаги трябва да инсталирате актуализации за сигурност за WordPress. Трябва обаче предварително да ги тествате старателно в тестова среда. Тези, които искат допълнително, могат да автоматизират до голяма степен актуализацията на WordPress инсталациите, например чрез файла wp-config.php. Автоматичното актуализиране на основния компонент се извършва:

дефинирайте ('WP_AUTO_UPDATE_CORE', вярно);

Über die Konfigurationsdatei „wp-config.php“ lassen sich auch Sicherheitseinstellungen weitergeben.
Конфигурационният файл "wp-config.php" също може да се използва за преминаване на настройки за защита.

По-старите версии на WordPress улесняват атаките за инжектиране на SQL чрез използване на уязвимост в WP_Query. Също така версия 4.7.3 затваря някои пропуски, това се отнася и за версия 4.8. Особено при новата инсталация може да е полезно да използвате най-новата версия.

Защитете WordPress с приставки

За WordPress са достъпни плъгини, които търсят например в системните файлове, а останалите плъгини за вируси. Такъв плъгин е например "AntiVirus" (https://pluginkollektiv.github.io/antivirus). Въпреки че понякога плъгинът съобщава за грешки там, където няма такива (Грешни позитиви), той разпознава и някои нападатели, които иначе биха останали неоткрити.

Es gibt auch AntiViren-Programme für WordPress,
Има и антивирусни програми за WordPress,

Приставката "Snitch" (https://github.com/pluginkollektiv/snitch/wiki) проследява трафика на WordPress. В резултат администраторите разпознават подозрителни пакети данни и могат да им противодействат своевременно.

Използвайте сложни пароли и защитете базата данни

За достъп до WordPress от базата данни, трябва да използвате сложни пароли. Трябва също да направите настройки за потребителски акаунти, за да имате най-силните възможни пароли. По принцип на потребителите трябва да се разрешават само сложни пароли. Ако искате да регистрирате потребители на уебсайта, плъгините трябва да се погрижат те да поддържат сложни пароли и че опцията също е активирана.

Die Kennwörter in WordPress sollten möglichst sicher gewählt werden, auch für die Datenbank.
Паролите в WordPress трябва да бъдат избрани възможно най-сигурни, дори за базата данни.

Като част от администрацията на потребителя не трябва да използвате стандартни потребителски имена като „Администратор“ или „Администратор“. Използвайте потребителски имена, които не се показват, за да показват, че са администраторски акаунти.

В базите данни на WordPress опитните потребители могат да персонализират идентификационния номер на потребителя на администратора. Идеалният номер трябва да бъде избран така, че акаунтът да бъде разположен в средата на базата данни. Никога не трябва да работите със стандартни акаунти, а само със собствено създадени потребителски акаунти. По принцип влизането в WordPress с администраторски акаунт трябва да се извършва само в изключителни случаи. Ако правата на администратора не са необходими за текущата задача, администраторът не трябва да влиза в акаунт с администраторски акаунт. Блог публикации или отговори не трябва да се правят с администраторски акаунт. В повечето случаи разрешението „Автор“ е достатъчно.

Nicht immer sind Administrator-Rechte notwendig, vor allem nicht für die Bearbeitung von Blogbeiträgen.
Правата на администратор не винаги са необходими, особено не за редактиране на публикации в блогове.

За нови приноси се появява името на автора. Ако това е администраторски акаунт, нападателите могат да използват атаки, за да превземат страницата, тъй като името за вход вече е известно. Следователно администраторският акаунт трябва да се използва само за административните дейности.

Сигурни таблици

WordPress обикновено използва "wp_" като префикс за таблици. Това прави лесно да видите кои таблици от бази данни принадлежат на WordPress. Има смисъл да промените префикса. Ако прехвърляте данни на страници на WordPress, трябва да използвате SFTP само когато използвате FTP и за предпочитане да не използвате незашифровани връзки. Нешифрираните връзки и техните данни за удостоверяване могат да бъдат прихващани бързо, особено във вътрешната мрежа.

In WordPress sollten Sie möglichst auch angepasste Tabellennamen verwenden.
Ако е възможно, трябва да използвате и имена на персонализирани таблици в WordPress.

Оптимизирайте структурата на папките

Директорията, в която се качват данни в WordPress, трябва да се намира извън инсталацията на WordPress и трябва да бъде специално защитена. Настройките могат да бъдат намерени чрез Settings \ Media Center \ Uploads. Директорията също трябва да бъде оптимално защитена. Не трябва да съхранявате системните файлове на WordPress в директории, които показват, че това е WordPress. Ако коригирате директории, трябва също да конфигурирате отделните PHP файлове, например "index-php". Следователно PHP файловете трябва да се позовават на правилните директории, които от своя страна се съхраняват в защитени зони.

Unter Umständen kann es passieren, dass Sie die Konfigurationsdateien von WordPress anpassen müssen, wenn Sie die Verzeichnisse ändern.
Може да се наложи да коригирате конфигурационни файлове на WordPress, ако промените директории.

Защитете PHP файлове и страница за вход

Във файла "function.php" може с "add_filter ('xmlrpc_enabled', '__return_false');" забранено, че WordPress може да комуникира и с XML-RPC. Този интерфейс е необходим например за смартфони или таблети. Можете също да деактивирате функцията с ".htaaccess":

Поръчайте Отказ, Разрешете

Отказ от всички

Административната страница на WordPress може да бъде защитена с плъгин. Например, с приставката "Преименувайте wp-login.php" (https://wordpress.org/plugins/rename-wp-login), вие указвате, че нерегистрираните потребители няма да имат достъп до страницата на администратора на WP.

Конфигурационният файл "wp-config.php", подобно на други системни файлове, се съхранява в стандартен път. Вместо това, ако поставите файла в директорията "/ var / www / sites /", инсталацията на WordPress автоматично търси файла. Обикновено нападателите намират файла, но не толкова бързо, колкото в директорията по подразбиране.

Die Datei „wp-config.php“ ist eine wichtige Konfigurationsdatei, die besonders abgesichert werden muss.
Файлът "wp-config.php" е важен конфигурационен файл, който се нуждае от специална защита.

За да блокирате PHP грешки в WordPress, можете да направите следните редове в "wp-config.php":

error_reporting (0);

@ini_set ('display_errors', 0);

Оптимизирайте структурата на разрешенията в WordPress

По принцип трябва да давате на потребителите само толкова права, колкото е необходимо. Например, в по-големи среди можете да създадете модел за подражания за разрешенията. В малки среди можете да работите и със стандартните роли. Плъгини като „Членове“ (https://wordpress.org/plugins/members/) помагат тук. С членове получавате мениджър на роли, който ви позволява да задавате права с подробности.

Das Plugin „Members“ hilft dabei, das Berechtigungsmodell von WordPress zu erweitern.
Плъгинът „Членове“ помага за разширяване на модела на разрешения на WordPress.

Достъпът до администраторската зона (wpadmin) трябва да се коригира с права. Но това може да стане и чрез блокиране на IP адреси (черен списък) или по-добре, като се позволи достъп от определени IP адреси (списък с бели списъци).

Защитени WordPress с .htaaccess

С ".htaaccess" можете да подобрите сигурността с друг конфигурационен файл. Например, можете да попречите на неоторизирани потребители да получат достъп до системни файлове от Wordpress. Изброяването на системните файлове може да бъде предотвратено например с:

# Предотвратяване на списъци с директории

Опции Индекси или Опции Всички индекси

Например, ако искате да разрешите само конкретен IP адрес, можете да работите със следните настройки:

Поръчайте Отказ, Разрешете

Отказ от всички

Разрешаване от xxx.xxx.xxx.xx1

Разрешаване от yyy.yyy.yyy.yy2

Плъгинът „Ограничете опитите за влизане“ (https://wordpress.org/plugins/limit-login-attempts) предотвратява бруталните атаки. Плъгинът блокира атакуващите след определен брой неуспешни влизания. Друга приставка е „Вход LockDown“ (https://wordpress.org/plugins/login-lockdown).

Приставката "WP htaccess Control" (https://wordpress.org/plugins/wp-htaccess-control) защитава файла ".htaaccess". С ".htaaccess" можете също да блокирате файлове, например конфигурационния файл "wp-config.php":

поръчка позволява, отказва

Отказ от всички

Използвайте многофакторна автентификация - Google и Rublon

С приставката "WP Google Authenticator" (https://wordpress.org/plugins/wp-google-authenticator) можете да настроите потребителите да се регистрират с еднократна парола, в допълнение да влизат с потребителското си име. Плъгинът използва приложението Google Удостоверител. Можете да използвате двупосочна идентификация за отделни потребители или за всички потребители. Връзката с ролите на потребителите също е възможна. Ако разчитате на Authy (https://www.authy.com), можете също да използвате Google Authenticator за Wordpress.

Mit dem Google-Authenticator lassen sich WordPress-Installationen mit Multi-Faktor-Authentifizierung absichern.
Google Удостоверител може да се използва за защита на WordPress инсталации с многофакторна автентификация.

За тези цели можете също да използвате Rublon (https://wordpress.org/plugins/rublon), за да използвате многопътно удостоверяване. Също за този плъгин са налични приложения за Android, iOS, Blackberry и Windows Phone.