WordPress qurğularında ən yaxşı 5 təhlükəsizlik boşluqları

WordPress quraşdırma istədiyiniz qədər etibarlı və ya etibarlı ola bilər. Təhlükəsizliyə gəldikdə hansı beş şeyin ən vacib olduğunu öyrənin.


WordPress təhlükəsizliyi ilə bağlı narahatlıqlar və şikayətlər yeni bir şey deyil.

Bir CMS ehtiyacınız varsa və WordPress-ə daxil olmayan bir xidmət təminatçınızla məsləhətləşməyiniz halında, təhlükəsizlik barədə eşitəcəyiniz bir nömrədir. Bu deməkdir ki, hər kəs WordPress-i tərk edib statik sayt generatorlarına və ya başsız bir CMS-ə keçməlidir?

Xeyr, həyatda hər həqiqət kimi, bunun da bir çox tərəfi var.

WordPress olduqca etibarsızdır?

WordPress-də qurulmuş bəzi nəhəng veb saytlara nəzər salaq:

  • TechCrunch
  • New Yorker
  • BBC Amerika
  • Bloomberg
  • MTV Xəbərləri
  • PlayStation Blog

Bəs, bu şirkətləri – absurd dərəcədə dərin cibləri və düşüncəli işçi qüvvəsi olan WordPress-dən keçməməsinə səbəb olan nədir? Cavabın köhnə kod olduğunu düşünürsünüzsə, yenidən düşünün: bu adlar üçün məlumat təhlükəsizliyi və ictimai imic 200.000 dollardan aşağı (sadə hesab edirəm) baha başa gələcək sadə köçdən daha vacibdir..

Şübhəsiz ki, mühəndisləri nə etdiklərini bilirlər və WordPress ilə təməl, həll olunmayan təhlükəsizlik problemlərini görmürlər?

Hətta mənim ayda 3,5-4 milyon ziyarətçi görən bir WordPress quraşdırmanı idarə etməkdə yaxşı bir bəxtim var. Son səkkiz ildə təhlükəsizlik pozuntularının ümumi sayı? Sıfır!

Belə ki . . . təhlükəsiz WordPress?

Təəssüf edirəm ki, bu, dolandırma kimi görünür, amma cavabım budur:

Bunu deyirəm, çünki həyatda hər həqiqət kimi, mürəkkəbdir. Qanuni cavabı əldə etmək üçün əvvəlcə WordPress-in (və ya hər hansı bir əvvəlcədən qurulmuş CMS-nin) daimi bir yerə yapışdırıldığınız bir şkafa bənzəmədiyini və onunla birlikdə edilməyin lazım olduğunu başa düşməliyik..

Bir çox asılılığı olan mürəkkəb bir proqram parçasıdır:

  • İlə qurulan dil olan PHP
  • Quraşdırmaya ev sahibliyi edən ictimaiyyətə görünən bir maşın
  • Ziyarətçiləri idarə etmək üçün istifadə olunan veb server (Apache, Nginx və s.)
  • İstifadə olunan verilənlər bazası (MySQL / MariaDB)
  • Mövzular (PHP, CS və JS fayllarının dəstləri)
  • Pluginlər (PHP, CS və JS fayllarının dəstləri)
  • Quraşdırmağınızın nə dərəcədə yerinə yetirilməsini hədəflədiyindən asılı olaraq daha çox şey

Başqa sözlə, bu seamsın hər hansı birində təhlükəsizlik pozuntusu WordPress pozuntusu adlandırılacaq.

Əgər serverin kök parolu admin123 olubsa, güzəştə uğrayıbsa, bu WordPress təhlükəsizlik qüsurudur?

PHP versiyasında təhlükəsizlik zəifliyi varsa; və ya satın aldığınız və quraşdırdığınız yeni plagində parlaq bir təhlükəsizlik çuxuru varsa; və s. Xülasə etmək üçün: bir alt sistem uğursuzdur və bu WordPress təhlükəsizlik uğursuzluğu.

Bir kənara qoyaraq, xahiş edirəm bu sizə PHP, MySQL və Apache-nin etibarlı olmadığı təəssüratı yaratmasın. Proqramın hər bir hissəsinin sayı açıq mənbəli vəziyyətdə heyranedici zəif cəhətlərə malikdir (çünki hamının görə və təhlil edə biləcəyi üçün).

Kimsə “təhlükəsiz” dedi? ��

Bu məlumatların mənbəyi və digər pisləşdirən məlumatlar üçün, bunu yoxla.

Bütün bu məşqdən öyrəndiyimiz budur:

Heç bir şey öz təhlükəsizliyini təmin edə bilməz. Əlbəttə ki, zəncirdə əlaqəni yaradan fərqli komponentlər, zəncir, ən zəifləri qədər güclüdür. Tarixən, WordPress’in “etibarlı deyil” etiketi köhnə PHP versiyalarının birləşməsi, paylaşılan hosting və etibarsız mənbələrdən plaginlər / mövzular əlavə etmək idi..

Eyni zamanda, bəzi olduqca ümumi nəzarət, WordPress qurğularınızı istismar etməyi bilənlər üçün həssas edir. Bu yazı haqqında da budur. Beləliklə, daha çox danışmadan (və dairəvi arqumentlərlə), işə başlayın.

Hakerlərin istismar edə biləcəyi ən yaxşı WordPress boşluqları

WordPress masa prefiksi

Məşhur 5 dəqiqəlik quraşdırma WordPress-də baş verən ən yaxşı şeydir, lakin bütün quraşdırma sehrbazları kimi, bizi tənbəlləşdirir və hər şeyi standart olaraq tərk edir.

Bu, WordPress masalarınız üçün standart prefiksin wp_ deməkdir və nəticədə hər kəsin təxmin edə biləcəyi cədvəl adları olur:

  • wp-istifadəçilər
  • wp-variantları
  • wp-postlar

İndi, zərərli verilənlər bazası sorğularının ağıllı şəkildə daxil edildiyi və WordPress içərisində işləməsi üçün edildiyi SQL Enjeksiyonu kimi bir hücumu nəzərdən keçirin (diqqət yetirin – bu heç bir şəkildə WordPress / PHP eksklüziv hücum deyildir).

WordPress bu tip hücumları idarə etmək üçün daxili mexanizmlərə sahib olsa da, heç kim bunun baş verməyəcəyinə zəmanət verə bilməz.

Beləliklə, nədənsə, təcavüzkar DROP TABLE wp_users kimi bir sorğu işlətməyi bacarırsa; DROP TABLE wp_posts; bütün hesablarınız, profilləriniz və ismarıclarınız dərhal bərpa olunma şansı olmayan bir anda silinəcəkdir (yerinizdə bir backup sxemi olmadıqca, ancaq yenə də son ehtiyatdan bəri məlumatları itirməyə məcbur olacaqsınız) ).

Quraşdırma zamanı sadəcə prefiks dəyişdirmək çox böyük bir işdir (bu tələb olunur) sıfır səy).

Sdg21g34_ kimi təsadüfi bir şey tövsiyə olunur, çünki cəfəng və təxmin etmək çətindir (nə qədər prefiks olsa, daha yaxşıdır). Ən yaxşı tərəfi, bu prefiksin yadda qalmamasıdır; prefiks WordPress-in xilas edəcəyi bir şeydir və heç vaxt bu barədə heç vaxt narahat olmayacaqsınız (eynilə standart wp_ prefiksi barədə narahat olmağınız kimi!).

Defolt giriş URL

Bir veb saytın WordPress-də işlədiyini necə bilirsiniz? Söz nişanələrindən biri veb saytına “/wp-login.php” əlavə etdikdə WordPress giriş səhifəsini görməkdir..

Nümunə olaraq veb saytımı götürək (http://ankushthakur.com). WordPress-dədir? Yaxşı, davam edin və giriş hissəsini əlavə edin. Əgər özünüzü tənbəl hiss edirsinizsə, burada nə baş verir:

¯ \ _ (ツ) _ / ¯

WordPress, sağ?

Bu çox şey bilinəndən sonra təcavüzkar əllərini əl ilə ovuşdura bilər və əlifba sırası ilə Çanta-Dövrdən yaramaz tövsiyələr tətbiq etməyə başlaya bilər. Yazıq məni!

Həll yolu, giriş giriş URL-sini dəyişdirmək və yalnız etibarlı insanlara verməkdir.

Məsələn, bu veb sayt da WordPress-dədir, ancaq http://geekflare.com/wp-login.php saytına daxil olsanız, əldə edəcəyiniz hər şey dərin, dərin məyusluqdur. Giriş URL gizlidir və yalnız adminlərə məlumdur ?.

Giriş URL-nin dəyişdirilməsi də raket elmi deyildir. Bunu yalnız tut plagin.

Təbrik edirəm, qəddar qüvvələrin hücumlarına qarşı təhlükəsizliyi pozan başqa bir qat əlavə etdiniz.

PHP və veb server versiyası

Əvvəllər yazılmış (və yazılmaqda olan) hər bir proqramın istismar edilməsini gözləyən səhvlərlə dolu olduğunu müzakirə etdik.

Eyni şey PHP üçün də gedir.

Ən son PHP versiyasını istifadə etsəniz də, zəifliklərin nə olduğundan əmin deyilsiniz və bir gecədə aşkarlana bilərsiniz. Həll veb serveriniz tərəfindən göndərilən müəyyən bir başlığı gizlətməkdir (başlıqları heç eşitməmisiniz? Oxumaq.) bu!) bir brauzer onunla bağlandıqda: x-powered-by.

Ən sevdiyiniz brauzerinizin dev alətlərini yoxladığınız kimi görünür.

Burada gördüyümüz kimi veb sayt Apache 2.4-də işlədiyini və PHP 5.4.16 versiyasını istifadə etdiyini söyləyir.

Artıq bu, artıq heç bir səbəb olmadan ötürdüyümüz bir çox məlumatdır və bu, təcavüzkarın alət seçimlərini azaltmasına kömək edir.

Bu (və oxşar) başlıqları gizlətmək lazımdır.

Xoşbəxtlikdən, bunu tez bir zamanda etmək olar; Təəssüf ki, sistemin boşluğuna batmaq və vacib sənədlərlə qarışmaq lazım olduğundan mürəkkəb texniki biliklər tələb olunur. Buna görə də, mənim məsləhətim, veb saytın hosting provayderindən bunu sizin üçün etməsini xahiş etməkdir; bir məsləhətçinin bunu edə biləcəyini görməsələr də, onların qurulmasının belə imkanları olub-olmaması əsasən veb saytınızdan asılı olacaqdır..

Bu işləmirsə, hosting provayderlərinə keçmək və ya VPS-ə keçmək və təhlükəsizlik və idarəetmə problemləri üçün məsləhətçi işə götürməyin vaxtı ola bilər..

Buna dəyərmi? Buna yalnız siz qərar verə bilərsiniz. ��

Oh, və təhlükəsizlik başlıqlarını öyrənmək istəyirsinizsə, burada düzəlişiniz var!

Giriş cəhdlərinin sayı

Hacker kitabçasında ən köhnə tövsiyələrdən biri sözdə deyilir Lüğət Hücumu.

Fikir odur ki, onlardan biri müvəffəq olmasa, şifrə üçün çox sayda kombinasiya (milyonlarla) mümkündür. Kompüterlər etdikləri işlərə ildırım vurduqları üçün belə bir ağılsız bir sxem ağlabatan bir müddətdə nəticə verə bilər.

Bir ümumi (və son dərəcə təsirli) bir müdafiə xətanı göstərmədən əvvəl bir gecikmə əlavə etmək idi. Bu, alıcını gözləyir, yəni hacker tərəfindən işlədilmiş bir skriptdirsə, başa çatdırmaq üçün çox vaxt lazım olacaqdır. Bu, kompüterinizin və ya sevimli tətbiqinizin bir az sıçrayış etməsinin və “Eh, səhv parol!” Deməsinin səbəbidir..

Hər halda, məsələ budur ki, WordPress saytınıza giriş cəhdlərinin sayını məhdudlaşdırmalısınız.

Müəyyən sayda cəhddən (məsələn, beş) başqa, hesab kilidlənməlidir və yalnız hesab sahibinin elektron poçtu vasitəsilə bərpa olunmalıdır.

Şükürlər olsun ki, yaxşı bir işlə rastlaşsanız, bu işə düzəlməkdir plagin.

HTTP vs HTTPS

Təchizatçınızın sizi pisləşdirdiyi SSL sertifikatı düşünə biləcəyinizdən daha vacibdir.

“Təhlükəsiz” deyən brauzerdə yaşıl bir kilid simgesini göstərmək üçün sadəcə bir nüfuz vasitəsi deyil; əksinə, bir SSL sertifikatı quraşdırılıb bütün URL-lərin “https” üzərində işləməsinə məcbur edilməsi veb saytınızı açıq kitab olmağınızdan kriptovalyutaya aparmaq üçün kifayətdir..

Bunun necə baş verdiyini başa düşmürsən, a kimi tanınan bir şey haqqında oxuyun man-in-the-orta hücum.

Kompüterinizdən serverə axan trafikə mane olmağın başqa bir yolu, məlumat toplamağın passiv bir forması olan və hətta ortada özünü göstərmək üçün ağrı çəkməyə ehtiyac duymayan paket siqaret çəkməsidir..

Düz “HTTP” üzərində işləyən saytlar üçün şəbəkə trafikinə mane olan şəxs üçün parol və kredit kart nömrələriniz aydın, düz mətn görünür.

Mənbə: müqayitech.com

Qorxudan? Çox!

Ancaq bir SSL sertifikatı quraşdırdıqdan və URL-lərin hamısı “https” -ə çevrilirsə, bu həssas məlumatlar yalnız serverin şifrələnə biləcəyini zibillik kimi göstərir. Başqa sözlə, ildə bu neçə dolları tərləməyin. ��

Nəticə

Nəzarət altında olan bu beş şeyi veb saytınızı yaxşı bir şəkildə təmin edəcəksiniz?

Xeyr, ümumiyyətlə deyil. Saysız-hesabsız təhlükəsizlik məqalələrində deyildiyi kimi, heç vaxt 100% etibarlı deyilsiniz, lakin bu problemlərin böyük bir hissəsini ağlabatan səylə aradan qaldırmaq mümkündür. Saytlarınızı tamamilə qorumaq üçün SUCURI bulud WAF istifadə etməyi düşünə bilərsiniz.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map