План безопасности WordPress для SEO и разработчиков

Как защитить свой сайт WordPress от атак и сохранить его в безопасности.

В наши дни WordPress обеспечивает удивительную треть всех сайтов .Это была платформа CMS для нашего сообщества с середины августа, когда были реализованы многие SEO-функции WordPress. Поэтому он подвергается постоянным атакам , в основном по причинам SEO-спама, но атаки могут перерасти в гораздо худшие.

Вот некоторые основные принципы WordPress и способы обеспечения безопасности вашего сайта WordPress.

WordPress безопасно?

Последняя версия WordPress очень безопасна из коробки. Однако пренебрежение обновлением может сделать его небезопасным. Вот почему многие профессионалы и разработчики в области безопасности не являются поклонниками WordPress. WordPress также напоминает PHP-спагетти-код, который по своей природе небезопасен, где сам WordPress предупреждает, что уязвимости «проистекают из расширяемых частей платформы, в частности плагинов и тем ».

Обновления WordPress

Нет такой вещи, как 100-процентная безопасная система. Для безопасной работы WordPress нужны обновления безопасности, и эти обновления не должны негативно влиять на вас. Включите автоматические обновления безопасности. Однако для обновления ядра WordPress необходимо убедиться, что все совместимо. Обновляйте плагины и темы, как только появятся совместимые версии.

Открытый исходный код

WordPress является открытым исходным кодом, что влечет за собой как риски, так и выгоды. В проекте участвует сообщество разработчиков, предоставляющее код для ядра, основная команда исправляет недостатки безопасности, обнаруженные сообществом, а хулиганы находят способы вскрыть вещи. Уязвимости записываются в сканы с помощью эксплойтов, которые могут определять, какие версии работают, чтобы соответствовать известным недостаткам ваших версий.

Защити себя первым

Есть вещи, которые вы можете сделать, чтобы защитить себя, даже если у вас нет роли администратора. Убедитесь, что вы работаете в защищенной сети с регулярно сканируемой рабочей станцией.Блокируйте рекламу, чтобы предотвратить сложные атаки, которые маскируются под изображения . Используйте VPN для сквозного шифрования всякий раз, когда вы работаете в общественных точках доступа Wi-Fi, чтобы предотвратить перехват сеансов и атаки MITM .

Безопасные пароли

Безопасное управление паролями важно независимо от того, какую роль вы выполняете. Убедитесь, что ваш пароль уникален и достаточно длинный. Комбинации цифр и букв недостаточно безопасны, даже с пунктуацией, когда пароли недостаточно длинные. Вам нужны длинные пароли. Используйте фразы из четырех или пяти слов, соединенных вместе, если вам нужно запомнить, но лучше использовать менеджер паролей, который генерирует пароли для вас.

Длина пароля

Почему длина так важна? Скажем так, восемь паролей символов подбирается менее 2,5 часов , используя свободный и открытый источник утилита под названием HashCat. Неважно, насколько непонятен ваш пароль, это займет несколько часов, чтобы взломать короткие пароли.Начиная с 13+ строк, взломы начинают становиться непреодолимыми, по крайней мере, на данный момент.

Администраторы

Если у вас есть роль администратора, создайте для себя нового пользователя, который ограничен ролью редактора. Начните использовать новый профиль вместо администратора. Таким образом, атаки по глобальной сети будут сосредоточены на атаке ваших учетных данных роли редактора, и, если ваш сеанс будет взломан, у вас будет возможность администратора изменить пароли и вырвать контроль у злоумышленников. Заставьте всех, возможно, с помощью плагина, следовать строгой политике паролей.

Политика безопасности

Если у вас есть опыт безопасности, выполните аудит кода ваших плагинов и тем (очевидно). Установить принцип наименьших привилегий для всех пользователей. Затем вы заставляете хакеров выполнять трюки с высовыванием оболочки и повышение привилегий, которые включают в себя атаки на цели, отличные от учетных данных WordPress.

Изменить права доступа к файлу

Если вы управляете хостом, предоставьте себе учетную запись SFTP через панель управления, если она у вас есть, или попробуйте какой пользовательский интерфейс администратора у вас есть. Это может иметь побочный эффект при настройке учетных данных для открытия окна терминала защищенной оболочки (SSH). Таким образом, вы можете выполнить дополнительные меры безопасности, используя системные утилиты и многое другое.

Блокировка критических файлов

Есть несколько файлов, к которым никогда не нужно обращаться, кроме процесса PHP, работающего на WordPress. Вы можете изменить права доступа к файлу и отредактировать файл .htaccess для дальнейшей блокировки этих файлов. Чтобы изменить права доступа к файлу, используйте клиент SFTP (если он есть) или откройте окно оболочки терминала и выполните команду утилиты chmod.

$ chmod 400 .wp-config
$ ls -la

WordPress Config Безопасность файлов

Это означает, что только PHP-процесс, выполняющий WordPress, сможет прочитать файл, и ничего больше. В файле никогда не должно быть установлен «бит выполнения», как в chmod 700. У вас всегда должны быть нули на втором и третьем месте — это то, что действительно блокирует его. Проверьте ваши изменения, запустив утилиту ls с опциями -la, и посмотрите.

Наличие строгих настроек прав доступа к файлам означает, что ничего не может быть записано в файл, даже WordPress. Вы захотите предоставить разрешения на запись обратно, $ chmod 600 .wp-configкогда произойдет серьезное обновление WordPress, в котором в файле конфигурации есть изменения. Это должно случаться крайне редко, если когда-либо.

Файл входа в WordPress

Мне нравится блокировать файл wp-login.php, используя правила .htaccess. Ограничение доступа только к моим IP-адресам отлично подходит для случаев, когда я работаю с одного статически назначенного IP-адреса, или небольшого количества адресов для себя и некоторых пользователей. Нетрудно изменить настройку, если вы входите в систему из другого места, если вы можете получить оболочку на хосте. Просто закомментируйте директиву deny, войдите в свой браузер и затем раскомментируйте ее.

WordPress Htaccess Limit по IP

XSS и SQL инъекция

Безусловно, самые страшные атаки, с которыми вы столкнетесь, это межсайтовый скриптинг (XSS) и внедрение SQL. Существуют правила перезаписи строки запроса .htaccess, которые можно использовать, чтобы остановить некоторые из них, и вам лучше всего использовать плагин, который справится с этим за вас. Некоторые плагины безопасности будут сканировать вашу установку в поисках признаков компрометации. Если вы знаете, как использовать перезапись, перенаправьте или заблокируйте подписи строки запроса для атак, о которых вы читали или видели в своих журналах.

Плагины безопасности

Некоторые плагины безопасности будут сканировать вашу установку в поисках признаков компрометации. Wordfense — это популярный плагин безопасности, и он регулярно обновляется. У Sucuri Scanner есть платная опция, которая будет сканировать вашу установку. Ninja Firewall попытается ограничить атаки на основе запросов, блокируя их до того, как они достигнут ядра WordPress. Вы также можете написать приложение, используя новый API Google Risk API для сканирования страниц вашего сайта.