5 pikat kryesore të sigurisë në instalimet e WordPress

Instalimi juaj i WordPress mund të jetë aq i sigurt ose i pasigurt sa të doni. Mësoni cilat pesë gjëra janë më të rëndësishmet kur bëhet fjalë për sigurinë.


Shqetësimet dhe ankesat për sigurinë e WordPress nuk janë asgjë e re.

Nëse keni nevojë për një CMS dhe ndodh që të konsultoheni me një ofrues të shërbimit që nuk është në WordPress, siguria është numri një që do të dëgjoni. A do të thotë se të gjithë duhet të heqin WordPress dhe të kalojnë te gjeneratorët statikë të faqeve ose një CMS pa kokë?

Jo, sepse ashtu si çdo e vërtetë në jetë, edhe kjo ka shumë anë.

A është WordPress shumë e pasigurt?

Le të hedhim një vështrim në disa faqe të mëdha që janë ndërtuar në WordPress:

  • TechCrunch
  • New Yorker
  • BBC Amerikë
  • Bloomberg
  • Lajmet MTV
  • Blog PlayStation

Atëherë, çfarë i bën këto kompani – me xhepa absurdë të thellë dhe forcë punëtore që merren me mendje – të mos kalojnë nga WordPress? Nëse mendoni se përgjigjja është kod trashëgimie, mendoni përsëri: për këta emra, siguria e të dhënave dhe imazhi publik janë pafundësisht më të rëndësishme sesa një migrim i thjeshtë që do të kushtojë (po vlerësoj) më pak se 200,000 dollarë.

Me siguri inxhinierët e tyre e dinë se çfarë po bëjnë dhe nuk shohin çështje themelore, të pazgjidhshme të sigurisë me WordPress?

Edhe unë kam fatin e mirë për të menaxhuar një instalim të WordPress që sheh 3.5-4 milion vizitorë në muaj. Numri i përgjithshëm i shkeljeve të sigurisë në tetë vitet e fundit? Zero!

Kështu që . . . është i sigurt WordPress?

Më vjen keq nëse duket se po trolling, por këtu është përgjigjja ime:

Unë them kështu sepse, si çdo e vërtetë në jetë, është e ndërlikuar. Për të arritur një përgjigje të ligjshme, së pari duhet të kuptojmë se WordPress (ose ndonjë CMS e paracaktuar, për atë çështje) nuk është si një dollap që ju rrinë diku përgjithmonë dhe të bëhet me të.

Shtë një program kompleks me shumë varësi:

  • PHP, e cila është gjuha me të cilën është ndërtuar
  • Një makinë e dukshme publik që pret instalimin
  • Web serveri i përdorur për të trajtuar vizitorët (Apache, Nginx, etj.)
  • Baza e të dhënave që përdoret (MySQL / MariaDB)
  • Temat (paketat e skedarëve PHP, CS dhe JS)
  • Plugins (pako të skedarëve PHP, CS dhe JS)
  • Dhe shumë më tepër, në varësi të asaj që instalimi juaj synon të realizojë

Me fjalë të tjera, një shkelje e sigurisë në cilindo prej këtyre qepjeve do të cilësohet si një shkelje e WordPress.

Nëse fjalëkalimi rrënjësor i serverit ishte admin123 dhe u komprometua, është gabim i sigurisë në WordPress?

Nëse versioni PHP kishte një cenueshmëri të sigurisë; ose nëse shtojca e re që keni blerë dhe instaluar përmbante një vrimë sigurie të ndezur; etj. Për ta përmbledhur: Një nënsistem dështon, dhe është një dështim i sigurisë në WordPress.

Si anash, ju lutem mos lejoni që kjo t’ju japë përshtypjen se PHP, MySQL dhe Apache nuk janë të sigurta. Piecedo pjesë e softuerit ka dobësi, numri i të cilave është befasues në rastin e burimit të hapur (sepse është në dispozicion për të gjithë për të parë dhe analizuar).

A thua dikush “i sigurt”? ��

Për burimin e këtyre të dhënave dhe statistikat e tjera demoralizuese, kontrolloni këtë.

Ajo që mësojmë nga e gjithë kjo ushtrim është kjo:

Asgjë nuk është e sigurt ose e pasigurt në vetvete. Componentsshtë komponentët e ndryshëm të përdorur që formojnë lidhjet në zinxhir, zinxhiri, natyrisht, janë po aq të fortë sa më të dobëtit prej tyre. Historikisht, etiketa “jo e sigurt” e WordPress ishte një ndërthurje e versioneve të vjetra PHP, pritja e përbashkët dhe shtimi i shtojcave / temave nga burime jo të besueshme.

Në të njëjtën kohë, disa mbikëqyrje mjaft të zakonshme e bëjnë instalimin tuaj WordPress të prekshëm për ata që dinë t’i shfrytëzojnë ato dhe janë të vendosur. Dhe kjo është ajo që bëhet fjalë për këtë post. Pra, pa ado të mëtejshme (dhe argumente rrethore), le të fillojmë.

Dobësitë kryesore të WordPress që hakerat mund t’i shfrytëzojnë

Parashtesa e tabelës WordPress

Instalimi i famshëm prej 5 minutash është gjëja më e mirë që i ndodh WordPress-it, por si të gjithë magjistarët e instaluar, ajo na bën dembel dhe i lë gjërat në parazgjedhje.

Kjo do të thotë që parashtesa parazgjedhje për tabelat tuaja të WordPress është wp_, duke rezultuar në emrat e tabelave që çdokush mund të mendojë:

  • wp-përdoruesit
  • wp-options
  • wp-mesazhe

Tani, konsideroni një sulm të njohur si SQL Injection, ku pyetjet me qëllim të keq të bazës së të dhënave futen me inteligjencë dhe bëhen për tu ekzekutuar brenda WordPress (ju lutemi vini re – kjo nuk është aspak një sulm ekskluziv i WordPress / PHP).

Ndërsa WordPress ka mekanizma të integruar për të trajtuar këto lloje sulmesh, askush nuk mund të garantojë se nuk do të ndodhë.

Pra, nëse në njëfarë mënyre, sulmuesi arrin të ekzekutojë një pyetje si DROP TABLELE wp_users; DROP TABLELE wp_posts ;, të gjitha llogaritë, profilet dhe postimet e tua do të fshihen në një çast pa shanse për rikuperim (nëse nuk keni një skemë rezervë në vend, por edhe atëherë, ju jeni i detyruar të humbni të dhënat që nga kopja e fundit ).

Thjesht ndryshimi i parafjalës gjatë instalimit është një punë e madhe (e cila kërkon përpjekje zero).

Diqka e rastësishme si sdg21g34_ rekomandohet sepse është e pakuptimtë dhe e vështirë të supozohet (sa më e gjatë të jetë parashtesa, aq më mirë). Pjesa më e mirë është që kjo parashtesë nuk duhet të jetë e paharrueshme; parashtesa është diçka që WordPress do të kursejë, dhe kurrë nuk do të duhet të shqetësoheni për të përsëri (ashtu si nuk shqetësoheni për parashtesën e paracaktuar wp_!).

URL e paracaktuar e hyrjes

Si e dini se një uebfaqe funksionon në WordPress? Një nga shenjat e tregimeve është që ju të shihni faqen e hyrjeve të WordPress kur shtoni “/wp-login.php” në adresën e internetit..

Si shembull, le ta marrim uebfaqen time (http://ankushthakur.com). A është në WordPress? Epo, shkoni përpara dhe shtoni pjesën e hyrjes. Nëse ndiheni shumë dembelë, ja çfarë ndodh:

¯ \ _ (ツ) _ / ¯

WordPress, e drejtë?

Sapo dihet kjo, sulmuesi mund të fërkojë duart e tyre në gëzim dhe të fillojë të aplikojë hile të këqija nga Bag-O’-Doom e tyre mbi baza alfabike. Mua varfer!

Zgjidhja është të ndryshoni URL-në e paracaktuar të hyrjes dhe t’i jepni vetëm atyre personave që u besohet.

Për shembull, kjo faqe në internet është gjithashtu në WordPress, por nëse vizitoni http://geekflare.com/wp-login.php gjithçka që do të merrni është një zhgënjim i thellë, i thellë. URL e hyrjes është e fshehur dhe është e njohur vetëm për administratorët ?.

Ndryshimi i URL-së së hyrjes nuk është gjithashtu shkencë e raketave. Thjesht kapeni këtë plugin.

Përgëzime, thjesht shtove një shtresë tjetër të sigurisë zhgënjyese kundër sulmeve të forcave brutale.

Versioni PHP dhe serveri në internet

Ne kemi diskutuar tashmë se çdo pjesë e softuerit të shkruar ndonjëherë (dhe duke u shkruar) është plot me gabime që presin të shfrytëzohen.

E njëjta gjë vlen edhe për PHP.

Edhe nëse jeni duke përdorur versionin e fundit të PHP, nuk mund të jeni i sigurt se çfarë dobësish ekzistojnë dhe mund të zbulohen brenda natës. Zgjidhja është të fshehni një kokë të veçantë të dërguar nga serveri juaj në internet (nuk dëgjohet kurrë për tituj? Lexoni) kjo!) kur një shfletues lidhet me të: x-powered by.

Ja si duket nëse kontrolloni mjetet dev të shfletuesit tuaj të preferuar:

Siç mund ta shohim këtu, faqja e internetit po na tregon se po ekzekuton në Apache 2.4 dhe po përdor versionin PHP 5.4.16.

Tani, kjo është tashmë një ton informacioni që po i kalojmë pa asnjë arsye, duke ndihmuar sulmuesin të ngushtojë zgjedhjen e tyre të mjeteve.

Këto (dhe të ngjashme) koka duhet të fshihen.

Për fat të mirë, mund të bëhet shpejt; për fat të keq, njohuri teknike të sofistikuara janë të nevojshme pasi ju do të duhet të zhyteni në zorrët e sistemit dhe të rrëmujë skedarë të rëndësishëm. Prandaj, këshilla ime është të pyesni ofruesin tuaj të pritjes së faqes në internet që ta bëjë këtë për ju; nëse ata nuk e shohin nëse një konsulent mund ta përfundojë atë, megjithëse kjo do të varet kryesisht nga hosti i faqes suaj të internetit nëse vendosja e tyre ka mundësi të tilla apo jo.

Nëse nuk funksionon, mund të jetë koha të ndryshoni ofruesit e pritjes ose të transferoheni në një VPS dhe të punësoni një konsulent për shqetësimet e sigurisë dhe administratës.

Ia vlen? Vetëm ju mund ta vendosni atë. ��

Oh, dhe nëse doni të kujdeseni për kokat e sigurisë, këtu është rregullimi juaj!

Numri i përpjekjeve për hyrje

Një nga truket më të vjetra në manualin e hakerit është i ashtuquajturi Sulmi i fjalorit.

Ideja është që të provoni një numër të madh në mënyrë qesharake (miliona, nëse është e mundur) të kombinimeve për një fjalëkalim, përveç nëse njëri prej tyre ka sukses. Meqenëse kompjuterët janë të shpejtë në atë që bëjnë, një skemë e tillë marrëzie është e arsyeshme dhe mund të japë rezultate në një kohë të arsyeshme.

Një mbrojtje e zakonshme (dhe jashtëzakonisht e efektshme) ka qenë shtimi i një vonese përpara se të tregoni gabimin. Kjo bën që pritësi të presë, që do të thotë nëse është një skenar i përdorur nga një haker, do të duhet shumë kohë për të përfunduar. Kjo është arsyeja pse kompjuteri juaj ose aplikacioni juaj i preferuar zhurmohet pak dhe pastaj thotë: “Të mirë, fjalëkalimin e gabuar!”.

Sidoqoftë, çështja është, ju duhet të kufizoni numrin e përpjekjeve për hyrje në faqen tuaj në WordPress.

Përtej një numri të caktuar provash (të themi pesë), llogaria duhet të bllokohet dhe duhet të rikuperohet vetëm përmes emailit të mbajtësit të llogarisë.

Fatmirësisht, të bësh këtë është një cakewalk nëse hasësh një të bukur plugin.

HTTP vs HTTPS

Certificateertifikata SSL që shitësi juaj ju ka provuar është më e rëndësishme nga sa mendoni.

Nuk është thjesht një mjet reputacioni për të treguar një ikonë të bllokimit të gjelbër në shfletuesin që thotë “Sigurt”; përkundrazi, instalimi i një certifikate SSL dhe detyrimi i të gjitha URL-ve që të punojnë në “https” është vetëm sa për të hequr faqen tuaj të internetit nga të qenit një libër i hapur në një lëvizje të fshehtë.

Nëse nuk e kuptoni se si ndodh kjo, ju lutemi lexoni për diçka që njihet si a sulmi njeri-në-mes.

Një mënyrë tjetër për të përgjuar trafikun që rrjedh nga kompjuteri juaj në server është nuhatja e paketave, e cila është një formë pasive e mbledhjes së të dhënave dhe nuk ka nevojë as të marrë dhimbje për tu pozicionuar në mes..

Për faqet që funksionojnë mbi “HTTP” të thjeshtë, personi që përgjon trafikun e rrjetit, fjalëkalimet tuaja dhe numrat e kartave të kreditit shfaqen të qarta, tekst i thjeshtë.

Burimi: համեմատitech.com

Frikshme? shumë!

Por sapo të instaloni një çertifikatë SSL dhe të gjitha URL-të konvertohen në “https”, ky informacion i ndjeshëm shfaqet si gibberish që vetëm serveri mund të deshifrojë. Me fjalë të tjera, mos i djersit ato pak dollarë në vit. ��

përfundim

Do të marrë këto pesë gjëra nën kontroll sigurimin e uebfaqes tuaj bukur?

Jo, aspak. Siç thonë artikuj të panumërt të sigurisë, ju kurrë nuk jeni 100% të sigurt, por është e mundur që të eliminoni një klasë të madhe të këtyre problemeve me përpjekje të arsyeshme. Ju mund të merrni parasysh përdorimin e cloud SUCURI WAF për të mbrojtur faqet tuaja në mënyrë holistike.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map