10 Kroków do bezpiecznej witryny WordPress

Każdego dnia jakiś przerażający raport o włamaniu do głównej witryny lub włamaniu do poufnej bazy danych trafia do sieci … i przeraża wszystkich.

W zeszłym tygodniu, w ramach przygotowań do wywiadu na temat mojej pracy w zarządzanym przez Copyblogger dziale hostingu WordPress, porysowałem listę najlepszych wskazówek 10, aby zapewnić bezpieczeństwo swojej witryny WordPress.

Dyskutowaliśmy o bezpieczeństwie WordPressa na blogu synteza, tutaj, tutaj, a przede wszystkim tutaj), ale w dzisiejszych czasach nie można być wystarczająco bezpiecznym, prawda?

Warto poświęcić czas na zapoznanie się z tą listą wskazówek dotyczących bezpieczeństwa i podjęcie kilku prostych działań, aby je wdrożyć. Jak bezpieczna jest Twoja strona internetowa?

Przejdźmy teraz do podstaw …

Dlaczego tak poważnie traktujesz bezpieczeństwo WordPress?

Po co ta gadka o ochronie? Ponieważ zachowanie czujności w zakresie bezpieczeństwa jest ciągłą odpowiedzialnością dla każdego właściciela witryny WordPress.

W rzeczywistości jest to ciągła odpowiedzialność za wszyscy online, niezależnie od tego, czy korzystasz z WordPress, czy nie.

Będziemy więc nadal o tym dyskutować, jeśli nie bardziej, niż o wydajności. Hej, czasy ładowania poniżej sekundy są świetne, ale nie, jeśli hostujesz ukryte linki do witryn Viagra lub Google oznacza Twoją witrynę jako zainfekowaną złośliwym oprogramowaniem.

Wiem, że bezpieczeństwo może być czasem mglistym, tępym tematem. Jeśli nie masz zaplecza technicznego, ryzyko i niezbędne zabezpieczenia mogą być trudne do zrozumienia.

Nie jesteś sam.

Kiedy po raz pierwszy uruchomiłem fanów Midwest Sports jakieś cztery lata temu, nie mogłem powiedzieć, jaka jest różnica między DDOS a Mike ‘ em Dossem. Byłem wśród tych, którzy używali tego samego hasła do mojego loginu administratora MSF, co do mojego konta Gmail … i mojego konta bankowego … i, rozumiesz pomysł.

Z czasem nauczyłem się, jak ważne jest poważne traktowanie bezpieczeństwa. Niektóre lekcje nie były przyjemne. Ale dostarczyli mi Wiedzy, aby móc edukować Cię na proste kroki, które możesz podjąć right now aby Twoja strona była bezpieczniejsza.

Czytając tę listę, potraktuj ją mniej jako “listę top 10”, a bardziej jako listę kontrolną. Jeśli natkniesz się na jeden, dwa lub dziesięć z nich, których mentalnie nie możesz sprawdzić jako części obecnego arsenału zabezpieczeń, przestań czytać i idź go zaimplementować.

Niech to cię zmotywuje: widzimy od 50 000 do 180 000 prób nieautoryzowanego logowania każdego dnia na stronach, które hostujemy. Zdecydowana większość z nich to hakerzy wykorzystujący techniki brutalnej siły, aby dostać się do stron internetowych i siać spustoszenie. Jest możliwe, być może nawet prawdopodobne, że haker na całym świecie próbuje włamać się do twojej witryny w tej właśnie chwili

keep wordpress secure

… Mam nadzieję, że Twoje hasło nie jest password123.

A teraz przejdźmy do najważniejszej listy top 10, którą przeczytacie przez cały tydzień:

1. Utrzymuj silne hasła

Rozpocznijmy listę najprostszym krokiem, który możesz natychmiast wdrożyć. Mam nadzieję, że już to zrobiłeś.

Jeśli nie, nie zwlekaj z tym.

Już wcześniej linkowałem do tego posta i ponownie do niego linkuję: “Ochrona hasłem: Jak tworzyć silne hasła” z PCMag. Użyłem wielu wskazówek wymienionych w tym poście, aby całkowicie zmienić moją osobistą strategię haseł.

Potraktuj to poważnie.

Wymówki jak, ” ale chcę jedno hasło dla wszystkich moich stron, tak, że nie zapomnę!”lub” moje (ogólne) hasło jest wystarczająco dobre, a jakie są szanse, że ktoś naprawdę spróbuje mnie zhakować?”są nie do przyjęcia.

Jeśli nie używasz hasła składającego się z co najmniej dziesięciu znaków, z cyframi oraz litery, wielkie litery oraz małe litery … robisz to źle. Zrób to dobrze. Zwłaszcza ten.

2. Zawsze bądź na bieżąco z aktualizacjami

Aktualizacje WordPress nie są wydawane tylko dla wyników wyszukiwania Google News. Są one wydawane w celu naprawiania błędów, wprowadzania nowych funkcji lub, co najważniejsze, łatania luk w zabezpieczeniach.

Czy WordPress (lub jakikolwiek program, o to chodzi) zawsze będzie o krok przed hakerami? Oczywiście, że nie. Wręcz przeciwnie. W większości przypadków, podobnie jak w przypadku testowania leków zwiększających wydajność w sporcie, oprogramowanie zawsze będzie o krok za hakerami. Tak to już jest, taki jest świat, w którym żyjemy.

Ale kiedy znane są poważne luki w zabezpieczeniach — i dostępne są łatki — nie ma wymówki, aby ich nie wdrożyć. Tak więc nie ma wymówki, aby nie nadążać za aktualizacjami WordPress. To samo dotyczy wtyczek i motywów.

Wiem, że wielu z was czuje niepokój, jeśli chodzi o aktualizację WordPressa, obawiając się, że może to złamać twój motyw lub zakłócić funkcjonalność wtyczki. Moja odpowiedź na to jest prosta: jeśli się tego boisz, musisz ponownie ocenić swoją strategię motywu i wtyczki. Twój motyw z pewnością zostanie zakłócony, gdy haker wstrzyknie do niego pół strony paskudnego zaszyfrowanego kodu.

Jedną z zalet inwestowania w framework motywów WordPress, takich jak Genesis, jest to, że nasz oddział StudioPress zaktualizuje Framework Genesis niemal natychmiast po wydaniu aktualizacji WordPress. W rzeczywistości istnieje duża szansa, że mieli wkład w samą aktualizację WordPress! Więc nigdy nie musisz się martwić o łamanie tematu.

Jeśli chodzi o wtyczki, dlatego tak ważne jest sprawdzanie wtyczek. Jeśli wtyczka nie jest regularnie aktualizowana lub nie płacisz za wsparcie, to Ty powinien obawiaj się, że może zerwać z aktualizacjami WordPress. Dlatego warto przemyśleć używanie go w ogóle.

3. Chroń swój dostęp administratora WordPress

Czy powinieneś zmienić nazwę domyślnego użytkownika “admin”, od którego zaczyna się każda instalacja WordPress? Jasne, że możesz. To na pewno nie będzie bolało.

Wiedz tylko, że nie jest to szczyt środków bezpieczeństwa. Hakerzy mogą dość łatwo znaleźć nazwy użytkowników z postów na blogu lub w innym miejscu.

Ważniejsze niż ukrywanie konkretnej nazwy użytkownika administratora jest upewnienie się, że każda nazwa użytkownika witryny z dostępem administratora jest chroniona silnym hasłem. (Tak, odsyłam Cię z powrotem do #1 na tej liście.)

I jeśli naprawdę. chcesz chronić swoją witrynę, przejdź dodatkowy krok wymagający logowania do Yubikey. W ten sposób, nawet jeśli ktoś ma hasło do nazwy użytkownika z dostępem administratora, nie może się zalogować bez fizycznego posiadania Yubikey(który jest łatwo używany przez proste wstawianie USB, gdy jest czas logowania).

I nie, to nie kłopot. To spokój ducha.

4. Ochrona przed atakami brute force

Pamiętasz statystyki, o których wspomniałem powyżej? Warto przytoczyć jeszcze raz: widzimy między 50k a 180K nieudanych prób logowania dziennie na stronach, które hostujemy. Strona, którą teraz czytasz (Copyblogger na wypadek, gdybyś w jakiś sposób czytał stronę skrobaka) widzi 275 nieautoryzowanych prób logowania … co godzinę.

Zanim zemdlejesz na wielkości tej liczby, wiedz, że jesteś daleki od bezsilności wobec tych bezimiennych, bezimiennych prób włamania.

Pierwszy, Twój host sieciowy powinien pomagać chronić Cię przed atakami brute force. Tak. Regularnie monitorujemy, skąd pochodzą nieudane próby logowania, a następnie blokujemy naruszone adresy IP.

Drugi, upewnij się, że sprawdziłeś wskazówki 1, 2 i 3 powyżej.

Trzeci, istnieją programy, które można zainstalować (takie jak ograniczenie prób logowania), które znacznie utrudnią działanie technik brute force.

5. Monitoruj złośliwe oprogramowanie …

Konieczne jest posiadanie jakiegoś systemu do ciągłego monitorowania witryny pod kątem złośliwego oprogramowania.

Ludzie w Sucuri robią to tak dobrze, jak każdy, dlatego nawiązaliśmy z nimi współpracę w zakresie skanowania po stronie serwera, które wykonujemy dla wszystkich naszych klientów.

Jak monitorowanie jest niezwykle ważne. Wybierz metodę, która rzeczywiście może zagłębić się w strukturę plików i wykryć Głębokie naruszenia, a nie metodę, która po prostu pokazuje, gdzie jesteś podatny na ataki.

6. … To zrób coś z złośliwym oprogramowaniem!

Monitorowanie złośliwego oprogramowania nie jest rozwiązaniem samym w sobie. Na rozwiązanie jest to, co dzieje się po wykryciu złośliwego oprogramowania.

Jeśli nie jesteś klientem Synthesis, zespół Sucuri jest świetnym partnerem, ponieważ nie tylko skanuje w poszukiwaniu złośliwego oprogramowania, ale także pomaga je oczyścić po wykryciu.

A jeśli jesteś klientem Synthesis, już wiesz, że podejmiemy się czyszczenia i naprawy Twojej witryny, jeśli coś złego się z nią stanie.

Kilka często pomijanych “prawdziwych kosztów” posiadania WordPressa to koszty związane z przestojami spowodowanymi problemami bezpieczeństwa i usuwaniem tych problemów. Jest to część propozycji wartości, która powinna zostać wprowadzona do oferty zarządzanego dostawcy hostingu.

7. Wybierz odpowiedniego hosta

Powiedziałem już o skanowaniu po stronie serwera i gwarancji czyszczenia złośliwego oprogramowania, które dajemy wszystkim naszym klientom. I to nie jest jedyny powód, dla którego nasz hosting WordPress jest doskonałym wyborem dla świadomego bezpieczeństwa użytkownika WordPress. Tak tylko mówię.

Jednym z głównych zagrożeń bezpieczeństwa jest przebywanie na współdzielonym serwerze. Pomyśl o tym w ten sposób: podejmij ryzyko związane z bezpieczeństwem własnej instalacji WordPress, a następnie pomnóż je przez liczbę witryn na serwerze. A jeśli zdecydujesz się na ogólny hosting, są szanse, że zostaniesz dołączony do setek innych stron internetowych.

Nie.

Twój własny VPS może nie być odpowiednią opcją dla ciebie. Może to być zbyt kosztowne lub twój ruch może nie wymagać tego. W porządku. Ale jeśli masz zamiar być na współdzielonym serwerze, upewnij się, że jest on współdzielony tylko z niewielką liczbą witryn (nasze współdzielone serwery mają nie więcej niż witryny 10) na stosie hostingu, który ma sprawdzone zabezpieczenia, aby go chronić.

Znajdź również hosta, który nie popada w samozadowolenie w kwestii bezpieczeństwa.

Każdy, kto twierdzi, że” obmyślił ochronę”, nie ma pojęcia. Bezpieczeństwo w Internecie jest stale zmiana. Firmy hostingowe muszą stale ewoluować wraz ze zmieniającym się krajobrazem, a zagrożenia z nim związane. Upewnij się, że ktokolwiek, komu ufasz, działa z tą mentalnością.

8. Wyczyść swoją witrynę tak, jak czyścisz kuchnię

Czy wiesz, że Twoja instalacja WordPress może z łatwością zawierać tykające bomby zegarowe, o których nie wiesz?

Jeśli masz stare motywy i wtyczki, których już nie używasz, zwłaszcza jeśli nie zostały zaktualizowane, możesz po prostu rozpocząć odliczanie do następnego naruszenia bezpieczeństwa. Niechlujna strona również znacznie utrudnia pracę specjalistom ds. bezpieczeństwa, jeśli Twoja witryna zostanie naruszona.

Nie zostawiłbyś brudnych naczyń i srebrnych ubrań w czerstwej wodzie przez trzy dni w zlewie, prawda? Oczywiście, że nie. To byłaby wylęgarnia brudu i brudu.

Więc posprzątaj i uporządkuj strukturę plików, tak jak w kuchni. Zapewni Ci bezpieczeństwo na wiele sposobów.

Jeśli pytasz: “od czego mam zacząć?’Zacznij od korzenia. Porównaj listę plików z domyślnym rdzeniem WordPress. Kilka dodatkowych plików, jak twoja favicon? OK. Dwa razy więcej plików w tym prezentacje Power Point do pracy? Czas na potrawy …

9. Kontroluj wrażliwe informacje

A kiedy robisz to czyszczenie struktury plików, upewnij się, że nie zostawiasz fragmentów cennych informacji dostępnych dla całego świata.

Na przykład readme.plik html domyślnie powie, jaką wersję WordPressa używasz. Jeśli korzystasz ze starszej wersji WordPressa ze znaną dziurą bezpieczeństwa, hakerzy cię znajdą.

Podobnie, zajrzyj do swojego phpinfo.php lub i.php pliki. Powie hakerowi wszystko o twojej konfiguracji i posłuży jako “mapa dojazdu do domu”, zanim się włamie.

I wyjeżdżam .pliki kopii zapasowych bazy danych sql to duże Nie-Nie. Jeśli haker może pobrać całą twoją bazę danych, będzie miał do dyspozycji każdą nazwę użytkownika i zaszyfrowane hasło, których kiedykolwiek użyłeś.

Podczas gdy gospodarz witryny powinien skanować w poszukiwaniu takich przedmiotów, po co zostawiać cokolwiek Przypadkowi? Nie wyjdziesz bez spodni (przynajmniej mam nadzieję, że nie!) … więc nie uruchamiaj swojej strony w ten sposób.

10. Zachowaj czujność

To jest dość łatwe do wyjaśnienia. Trzymaj się tego, co się tam dzieje.

Nie musisz rozumieć zawiłości ataku DDOS ani zamieszczać postu na blogu o usunięciu GoDaddy. Ale kiedy problem, taki jak fiasko TimThumb, ma swoją brzydką głowę, czy jesteś tego świadomy? Wczesne wykrywanie to najlepsza profilaktyka.

Powinieneś być z zarządzanym hostem WordPress, który ma twoje plecy, ale nigdy nie boli posiadanie własnego.

Śledź Konta na Twitterze, takie jak Sucuri lub nasze, gdzie będziemy Cię aktualizować, gdy usłyszymy o istotnych problemach bezpieczeństwa wpływających na sieć. I miej oczy szeroko otwarte. Nie myśl, że kwestie bezpieczeństwa dotyczą tylko tych inne miejsca. Równie łatwo mogą wpływać na twoje.

Szanuj swojego wroga, jak to mówią.

Over to you …

Co najważniejsze, musimy szanować krytyczny charakter poważnego podejścia do bezpieczeństwa witryny.

Dziesięć powyższych kroków nie jest jedynymi zabezpieczeniami bezpieczeństwa, które powinieneś rozważyć, ale są dobrze zaokrąglonym początkiem, szczególnie dla tych,którzy mogą mieć problemy z wdrożeniem podstaw.

Podejmij działania zgodnie z tymi wskazówkami, a otrzymasz niezbędne środki bezpieczeństwa WordPress.

Jakieś inne wskazówki dotyczące bezpieczeństwa WordPress? Upuść je w komentarzach poniżej …

Total
0
Shares
Related Posts

Powrót Tutorial marketingu?

Trwa interesująca dyskusja, która nastąpiła po odrzuceniu przez Michela Fortina długiego, przewijanego, wypełnionego hype listu sprzedażowego. Jak wyjaśnił…