Temel Güvenlik WordPress: Nasıl saldırıya uğramazsın
WordPress, yayıncılık gösterme çabalarında büyük bir adım attı, Web’de içerik yayınlama yeteneğini dünyanın dört bir yanındaki birçok insan tarafından erişilebilir. Şu anda, bu, web’deki web sitelerinin yaklaşık% 28’ini desteklemektedir, onu pazar payı açısından dünyanın en yaygın kullanılan platformu haline getirmektedir. Ancak, bir numaralı statüsü ile onu kullanmak isteyen kişilerin endişesi. Bu makalede, sitenizi kötü insanların ebedi fırtınasından daha güvenli hale getirmek için neler yapabileceğinizi göreceğiz. WordPress güvenli değil mi? Tıpkı evinizi% 100 güvence altına almak imkansız olduğu gibi,% 100 güvenli bir site yoktur. Her asma kilit, aynı şekilde eşleşen bir şey olan herkes tarafından açılabilecek bir anahtar vardır. Bu, WordPress’in güvenli olmadığı anlamına gelmez. Üzerinde, içinde ve etrafında çalışan binlerce geliştiriciyle açık kaynaklı bir proje olarak, birçok insanın kolektif çabaları bunu çok güçlü hale getiriyor, çünkü güvenlik açığı bulmak ve bunu rapor etmek için sadece bir kişiye ihtiyaç var. WordPress ayrıca WordPress’in çekirdeğini olabildiğince güvenli sağlamaktan sorumlu özel bir güvenlik ekibine sahiptir.
WordPress Güvenlik Ekibi, ana geliştirici ve güvenlik araştırmacısı da dahil olmak üzere yaklaşık 50 uzmandan oluşur – bunların yaklaşık yarısı otomatik çalışanlardır (WordPress.com üreticileri, web’deki en eski ve en büyük WordPress barındırma platformları) ve bazıları web’de çalışırlar. Güvenlik Sektörü.Ekip, güvenlik araştırmacılarına ve ünlü ve güvenilir barındırma şirketlerine danıştı.https://wordpress.org/about/security/ Inti WordPress, web sitenizi oluşturan karmaşık sistemin sadece bir bileşenidir.WordPress sitelerinin çoğu çıplak bir WordPress kurulumundan daha fazlasıdır.Çoğu eklenti ve tema, hem ücretsiz hem de premium, sadece güvenlik açığını denetlemek yerine, neredeyse aynı ilgiyi almaz.En büyük eklentilerden bazılarının başına gelebilir ve Jetpack ve WooCommerce gibi iyi desteklenebilirse, bazı güvenlik açıklarına sahip siteleri karıştırma olasılığı neredeyse kaçınılmazdır.
Kendimizi korumak istiyorsak, rakiplerinizle tanışın, kendimizi başarıya yönlendirmek için neyle karşılaştığımızı bilmek önemlidir. Bu saldırılar nereden geldi? İyi haber şu ki, saldırıların çoğu tamamen otomatik ve çok sofistike değil. Tıpkı sitenizi içerik dizine eklenmiş bir arama motoru gibi, çoğu saldırı, daha sonra otomatik olarak kullanılan bilinen güvenlik açığını arayan sitenizi sürükleyen basit bir bot olarak başlar. Bir başka genel saldırı kaynağı, sızan diğer alanlardan. Zombi’nin kıyamet günü düşünün. Bu, aynı sunucudaki diğer sitelere veya hatta birlikte kullanılabilecek yüzlerce hatta binlerce makine içeren “botnet” şeklinde aynı ana bilgisayardaki diğer siteler şeklinde olabilir. Çok güçlü bir şekilde kullanılacak. Düşünebileceğiniz şeyin aksine, en sıra dışı forvet gerçek insandan. Bu, korunması en zor olanıdır, çünkü insanlar makineler tarafından mümkün olmayan vektörlerden (telefon almak ve sizinle iletişim kurmak gibi) çok daha akıllı saldırılar yapabilir. Bilgisayar korsanlarına olan site oranı nedeniyle insan siber saldırılarının hedefi olma olasılığı oldukça düşüktür. Daha yüksek profilli bir alan genellikle daha yüksek risktir, çünkü insanlar için kedi şekilli örme şablonlar hakkındaki bloglardan daha çekicidir. Bu makaledeki ipuçlarını izleyerek tüm kaynaklardan gelen saldırılara karşı daha güçlü olmaya hazır olacaksınız.
Güncellemeye devam edin Her şeyin en belirgin ve yapılması en kolay (ve ayrıca göz ardı edilmek) WordPress’in çekirdeğini korumaktır ve yüklenen tüm eklentiler ve temalar en son kararlı sürüme güncellenir. Ünlü bir platform olarak, WordPress, eklentiler ve temaların çekirdeği ile bilinen güvenlik açığı hakkında halka açık bir veritabanı vardır. Siteniz herhangi bir yazılımın eski sürümünü kullanıyorsa, temel olarak saldırganın gelip bulmadığını kumar oynarsınız. Yazılımınızı korumanın yanı sıra, numaranın yüklü sürümünü gizleyerek sitenizi kolayca güçlendirebilirsiniz. Saldırganın siteniz hakkında bilgi vermek için bilebileceği en önemli iki veri parçası: hangi yazılımı kullandığı (bu durumda WordPress, ve hangi uzantı yüklenir) ve hangi sürüm. Bu küçük bilgilerle, saldırganlar sitenizi tehlikeye atmada çok etkili olabilir. Tek yapmaları gereken, el kitabında sahip olduklarınızı aramak ve sisteminizi keskin nişancılar gibi doğrulukla tehlikeye atmak için mevcut en iyi sömürüyü bulmaktır. WordPress kullandığınız gerçeğini gizlemek kolay değil, kullandığınız sürümü yayınlamıyor.
etiketinin WordPress sürümünü silin (eklentilere gerek yok)
add_filter (‘the_generator’, ‘__return_empty_string’); WordPress ayrıca sürümü Enqueed Style için varsayılan sürüm olarak kullanır.
Önbellek tarayıcısını optimize ederken her ikisi de sürümü gizleyen karma içerikle değiştirmek için varlık sürümleri (mandiri oss promosyonları) gibi eklentileri kullanabilirsiniz. Güçlü bir giriş kimlik bilgisi kullanın Her şeyi doğru yapabilirsiniz, ancak giriş kimlik bilgisi yönetici ve şifre ise, temelde arabanızı aşağıdaki pencereyle park edersiniz ve sandalyeye kilitlersiniz. Bu tahmin ettiğiniz kadar zor değil. Kendi şifrenizi oluşturmanın basit bir alternatifi, sizin için uzun ve çirkin bir şey üretmek için LastPass veya 1Password gibi bir şifre yöneticisi kullanmaktır. Bu, sizi bu kadar çok şifreyi hatırlamakta zorluklardan kurtarır. Web geliştiricileri için, şifre yöneticiniz ihtiyaçlar açısından oksijen ve kahveye çok yakındır, çünkü genellikle kimlik bilgilerini korumak için gereken birçok site ve hizmet. Eklentiler tarafından sizin için yapılamayan önemli bir politika, diğer sitelerde kullandığınız herhangi bir şifreyi yeniden kullanmamaktır. Bunun nedeni, diğer siteler sızdıysa (büyük olasılıkla kontrol edemeyeceğiniz bir şey) ve şifrenizin bilinmesi (parola sıradan bir metinde depolanmamalı, ancak çatlak olması gerektiği için olmamalıdır), sonra saldırgan Diğer sitelere veya hizmetleri girmek için kullanıcı adı/e -posta ve şifreleri kullanmayı deneyebilir. Ne yaparsanız yapın, bu listede herhangi bir şifre kullanmayın. İlgili Eklentiler:
Güçlü bir şifre zorlayın – WordPress şifre gücü ölçerini kullanarak minimum düzeyde şifre gücü gerektirir. Süresi dolmuş şifre – seçilen rolden kullanıcıların parolalarını her gün değiştirmesini gerektirir. Bu genel yöneticinin kullanıcı adını kullanmayın, sadece yönetici veya yönetici gibi genel kullanıcı adlarını kullanarak risklerde sizinle yüzleşmeniz gerekmeyen bir başka kolaydır. . Siteniz bu kullanıcı adlarından birini kullanıyorsa, yeni bir yönetici oluşturun ve eskisini silin (eski kullanıcılardan tüm yayınları/içeriği her zaman sildiğinizde diğer kullanıcılarla ilişkilendirebilirsiniz).
Çabalar girme olasılığını sınırlandırın Siz ve site kullanıcısınızın birbirinizin giriş bilgilerini oldukça iyi bilmenizdir. Varsayılan olarak, WordPress birisinin dakikada yüzlerce kez veya daha fazla giriş yapmaya çalışmasını önlemek için hiçbir şey yapmadı (sitenizin vurulabileceği gerçeği dışında). İhtiyacınız olan bir şey gibi geliyor mu? Öyle düşünme. Buna izin vermeyin, çünkü bir kişinin jetlerini birkaç dakika soğumasına izin vermeden önce kaç kez deneyebileceği konusunda makul sınırlar vardır. Giriş Sınırı Sınırı Eklentisi, gönderdiğinizde aldığınız birçok yönetilen WordPress ana bilgisayar arasında bir zımba haline geldi. Kullanıcı, belirli bir süre içinde başarısız olan X giriş çabalarını yaptıktan sonra, doğru şifre ile bile önümüzdeki 10 dakika (veya düzenlenen) için giriş yapmaları engellenir. Daha sonra kullanıcıların, son kullanma işlemini girmesini beklemeleri veya kendileri için geçici bir yasağı silebilecek bir sitede yöneticiyle iletişime geçmeleri gerekir.
2 Faktörlü Kimlik Doğrulama Kullanın 2 Faktörlü Kimlik Doğrulama Ek bir giriş güvenliği katmanıdır. Şifreniz ilk katmandır. Doğru şifre verildikten sonra, girmeden önce ikinci zorluğu geçmelisiniz. Bu genellikle mobil cihazlarınız veya ek girişte sağladığınız diğer cihazlar tarafından sağlanan 6-9 basamak biçimindedir. Kimlik doğrulama için yapılandırdığınız cihazın mülkiyeti 2 faktörler sitenizle, şifrenize sahip olan bir saldırganı değil, girmeye çalışan bir saldırganı değil, en sevdiğim 2FA uygulaması, arkasında şirket olarak adlandırılan 2FA olarak adlandırılan oldukça yeni. Başlamak ve diğer insanlara sahip olmayan çok iyi özelliklere sahip olmak çok hızlıdır: güvenilir cihazlar ve cihazları kaybediyorsanız veya onsuz girmeniz gerekiyorsa yedekleme kodları. Cep telefonunuz için kendi uygulamaları var, ancak Google Authenticator veya Authy’yi de kullanabilirsiniz (benim favorim çünkü bir bilgisayarda da kullanabilirsiniz). WordPress’i dizinin kendisine yerleştirin Tüm ana bilgisayarlar size bunu yapma özgürlüğü vermez, ancak eğer yapabilirseniz, WordPress’i kendi yönetmenlerine koymak, kapınızı çalan büyük miktarda tehlikeli trafikten kaçınmanın çok etkili bir yoludur.
Bunu yapmak için başka bir neden daha var, ancak güvenlik açısından, bazı botlar sitenizi yalnızca standart kurulumlar kullanmayı düşünecektir. /Wp-login.php ve /wp-admin /talepler 404 olarak başarısız olacak çünkü şimdi /wp/wp-login.php ve /wp /wp-admin /içinde. Yüklü savunmasız bir eklentiniz olsa bile, bot gelirse ve varsayılan standart kurulum yolu ile kullanmaya çalışırsa, yalnızca hedefi kaybedecektir. WordPress’i kendi yöneticilerine yerleştirmek, sitenizi bir geçiş dizin saldırısı haline getirir, bu da temel olarak bir eklentideki güvenlik açığını kullanan saldırı anlamına gelir, eklenti dosyasından beklenen göreli yolları kullanarak wp-config.php dosya içeriğinizi okur. Örneğin, /wp-content/plugins/abcxyz-slider/slide-loader.php olsun, siteniz yarın aktif ve tekrar çalıştırılacak mı? Rezervler sizin için değerli bir site çalıştırmanın ayrılmaz bir parçasıdır. Siteniz bir şekilde saldırıya uğrarsa ve hasar onarılamazsa, siteniz sızmadan önce noktaya geri dönebilmeniz gerekir. Siteniz bildirimde bulunmaksızın hacklenmeden önce noktaya geri dönmek için birkaç gün içinde otomatik bir rezervlere ihtiyacınız olacaktır. 30 günlük Rezerv Tarihi, durumunuz için gerektiği gibi başlamak ve ayarlamak için iyi bir sayıdır. Yedeklemenizi asla sunucunuza kaydetmeyin iki nedenden dolayı önemlidir: Siteniz sızdıysa, saldırgan yedeklemenizi silebilir veya bulaşabilir
Yedeklemenize erişilebilirse (bazı eklentiler doğrudan yükleme dizininde bir yedekleme dosyası oluşturur), bilgisayar korsanları yedeklemenizi indirebilir ve bir hata oluştuğunda gerçekleştiğinde gerçekleşen son şey, rezervlerden doğrudan kurtarma işlemine erişmek için kullanabilir. Güvenilir yedeklemenizi elde edin ve yapın ve çalışmamasını sağlayın, hatta daha da kötüsü: her zaman yapılmadıklarını öğrenin. Kurtarıldıktan sonra, veritabanı dökümü veya yedeklemenin bir parçası olan diğer hassas dosyaların silindiğinden veya erişilemediğinden emin olun. Siteniz için sağlam bir ana bilgisayara sahip iyi bir ana bilgisayar kullanın, sitenizin güvenliğini korumaya gerçekten yardımcı olabilir. Özellikle ev sahibi WordPress konusunda uzmanlaşmıştır: özellikle şunları sunmalıdır:
Siteniz için özel bir örnek, barındırdıkları diğer tüm sitelerden izole
Dosya sisteminiz ve veritabanınızdan günlük olarak ofis dışında Günlük kötü amaçlı yazılım taraması ve WordPress dosya temizliği Ekranda (genellikle üstte yakın) görüntülenen bir PHP hatası veya bildirim gördüyseniz, hataların ekrana kaldırılmasını devre dışı bırakın, o zaman siteniz, yüklediğiniz eklenti gibi saldırgan tarafından sizinle savaşmak için kullanılabilecek bilgileri sızdırdı veya Dosya sistemindeki yol. Bu, PHP’nin sunucunuzda nasıl yapılandırıldığına bağlı olarak etkinleştiriliyor mu, ancak WordPress hata ayıklama Constanta tarafından da kontrol edilebilir. Hataların ekrana görüntülenmesini önlemek için WP-Config.php’nize aşağıdakileri eklemek isteyebilirsiniz. Sitenizdeki hataları gözlemlemenin veya denetlemenin en iyi yolu, hata ayıklama günlüğünü etkinleştirmektir, böylece hata dosyaya yazılır. tanımlama (‘wp_debugg_display’, false); tanımlama (‘wp_debugg_log’, true); Ayrıca aynı nedenden ötürü HTTP üzerinden WP-Concent/Debug.log’a erişimi engellemeniz gerekir. WordPress sitesinin sahibini en çok etkileyen eklentiler ve güvenlik açığı temaları, özellikle eklentiler ve temalardan, genişletilmiş platform bölümünden gelir. Bu, WordPress sitesini hacklemek ve kötüye kullanmak için siber suçlular tarafından kullanılan 1 numaralı saldırı vektörüdür. Codex – WordPress’in güçlendirilmesi Sitenizin güvenliğini korumak için uzantınızı denetleme çok önemlidir. Uzantınızı, hem üreticinin hem de indirdiğiniz güvenilir bir kaynak tarafından sağlanan uzantı ile sınırlamaya çalışın. Ücretsiz eklentiler ve temalar için, varsa wordpress.org adresinden aldığınızdan emin olun. Premium uzantılar için yalnızca doğrudan satıcıdan indirin. Ücretsiz premium uzantılardan kaçının veya “geçersiz”
Çünkü bu, “sokak satıcılarının” sitenize kolayca tam olarak erişmesini sağlamak için backdoors yüklenecek şekilde değiştirilebilir. Ebeveynlerinizin size her zaman yabancılardan asla şeker almamasını nasıl söylediğini hatırlıyor musunuz? Bu şeker. Normal olarak yüklenmesi için eklenti bağımlılıklarına ihtiyaç duyanlar yerine, eklentileri temadaki eklentileri birleştiren temalara dikkat edin. Bunun nedeni, bir temada paketlenmiş eklentinin normal otomatik güncelleme işlemi boyunca güncellenememesidir, böylece bağımlılıklar için bir güncelleme yayınlama temasına dayanır. Kullanmadığınız eklentileri veya temaları kaydetmeyin. Etkin eklentiler bile bir güvenlik açığı olabilir, çünkü hala kod tabanınızın bir parçasıdır ve web tarafından erişilebilir. Düzenli güncellenmiş uzantıları tercih edin ve bir kez daha uzantınızı düzenli olarak güncelleyin. En küçük ayrıcalık prensibini kullanın En küçük ayrıcalık ilkesi, temel olarak sistemin her bir bölümünün yalnızca görevlerini yerine getirmek için gereken kaynaklara erişim ve izin alabileceğini ve daha fazlasını yapmadığını söyleyen bilgi güvenliği dünyasının terimidir. Güç vermeyin veya gerektiğinden daha fazla erişim vermeyin. WordPress terimleriyle, yapabileceğiniz en kolay şey, gereksiz sitenizde kimseyi yönetici olarak yapmak değildir. Güvenlik Eklentileri ve Hizmetleri İncelemesi WordPress için mevcut tüm güvenlik eklentileri ayrı bir dizi olabilir, ancak WordPress’teki güvenlik hakkında hangi makale en azından bahsetmeden tamamlanacaktır?
Bu yazma zamanında, wordpress.org eklenti deposundaki ilk 3 güvenlik eklentisi (en aktif kurulumdan en aza kadar sıralanır): 1. WordFence Güvenliği 2. Ithemes Güvenliği (daha önce WP güvenliği daha iyi) 3. Sucuri’nin güvenliği – Denetim, tarayıcı kötü amaçlı yazılım ve eklentinin güvenliğinin sertleştirilmesi, yukarıda açıklanan sorun ve uygulamaların üstesinden gelmek için birçok özellik sunar. Bu yazı herhangi bir üçüncü taraf tarafından desteklenmez, ancak düşünürseniz, hangi eklentinin sizin için doğru olduğu konusunda daha uygun bir karar vermenize yardımcı olacaktır. Bahsetmeye değer diğer bazı ürünler, kendileri tarafından gönderilen yönetim ve sonsuz şeydir. Bu, WordPress kurulumlarını uzaktan yönetmenize ve serbest seviyelerde bile güvenlik açığı ve rezervlerin taranması gibi birkaç harika güvenlik işlevi sunmanıza olanak tanıyan üçüncü bir taraf hizmetidir. ManagerWP size serbest seviyede daha fazlasını verir, ancak InfiniteWP kendinize ev sahipliği yaptığınız ve premium özellikler için eklentiyi kullandığınız bir şeydir. Sincapları kuş yemek yerinizden uzak tutmaya çalışmak gibi web sitenizi güvence altına almak; Her zaman sincaplar olacak, besleyicilerinize sadece diğerlerinden daha zor olmanız gerekir. Bu makale boyunca, sitenizi riske atan ve bunların üstesinden nasıl geleceğinizi gösteren birçok farklı yol öğrendik. Elbette güvenlik, neredeyse bir gönderide kapsamlı bir şekilde tartışılamayan bir konudur, ancak umarım, daha önce bilmediğiniz bir veya iki şeyi öğrenirsiniz. Temel bilgileri tartıştıktan sonra, WordPress için penetrasyon testini yapmak isteyebilirsiniz.
WordPress Güvenlik Ekibi, ana geliştirici ve güvenlik araştırmacısı da dahil olmak üzere yaklaşık 50 uzmandan oluşur – bunların yaklaşık yarısı otomatik çalışanlardır (WordPress.com üreticileri, web’deki en eski ve en büyük WordPress barındırma platformları) ve bazıları web’de çalışırlar. Güvenlik Sektörü.Ekip, güvenlik araştırmacılarına ve ünlü ve güvenilir barındırma şirketlerine danıştı.https://wordpress.org/about/security/ Inti WordPress, web sitenizi oluşturan karmaşık sistemin sadece bir bileşenidir.WordPress sitelerinin çoğu çıplak bir WordPress kurulumundan daha fazlasıdır.Çoğu eklenti ve tema, hem ücretsiz hem de premium, sadece güvenlik açığını denetlemek yerine, neredeyse aynı ilgiyi almaz.En büyük eklentilerden bazılarının başına gelebilir ve Jetpack ve WooCommerce gibi iyi desteklenebilirse, bazı güvenlik açıklarına sahip siteleri karıştırma olasılığı neredeyse kaçınılmazdır.
Kendimizi korumak istiyorsak, rakiplerinizle tanışın, kendimizi başarıya yönlendirmek için neyle karşılaştığımızı bilmek önemlidir. Bu saldırılar nereden geldi? İyi haber şu ki, saldırıların çoğu tamamen otomatik ve çok sofistike değil. Tıpkı sitenizi içerik dizine eklenmiş bir arama motoru gibi, çoğu saldırı, daha sonra otomatik olarak kullanılan bilinen güvenlik açığını arayan sitenizi sürükleyen basit bir bot olarak başlar. Bir başka genel saldırı kaynağı, sızan diğer alanlardan. Zombi’nin kıyamet günü düşünün. Bu, aynı sunucudaki diğer sitelere veya hatta birlikte kullanılabilecek yüzlerce hatta binlerce makine içeren “botnet” şeklinde aynı ana bilgisayardaki diğer siteler şeklinde olabilir. Çok güçlü bir şekilde kullanılacak. Düşünebileceğiniz şeyin aksine, en sıra dışı forvet gerçek insandan. Bu, korunması en zor olanıdır, çünkü insanlar makineler tarafından mümkün olmayan vektörlerden (telefon almak ve sizinle iletişim kurmak gibi) çok daha akıllı saldırılar yapabilir. Bilgisayar korsanlarına olan site oranı nedeniyle insan siber saldırılarının hedefi olma olasılığı oldukça düşüktür. Daha yüksek profilli bir alan genellikle daha yüksek risktir, çünkü insanlar için kedi şekilli örme şablonlar hakkındaki bloglardan daha çekicidir. Bu makaledeki ipuçlarını izleyerek tüm kaynaklardan gelen saldırılara karşı daha güçlü olmaya hazır olacaksınız.
Güncellemeye devam edin Her şeyin en belirgin ve yapılması en kolay (ve ayrıca göz ardı edilmek) WordPress’in çekirdeğini korumaktır ve yüklenen tüm eklentiler ve temalar en son kararlı sürüme güncellenir. Ünlü bir platform olarak, WordPress, eklentiler ve temaların çekirdeği ile bilinen güvenlik açığı hakkında halka açık bir veritabanı vardır. Siteniz herhangi bir yazılımın eski sürümünü kullanıyorsa, temel olarak saldırganın gelip bulmadığını kumar oynarsınız. Yazılımınızı korumanın yanı sıra, numaranın yüklü sürümünü gizleyerek sitenizi kolayca güçlendirebilirsiniz. Saldırganın siteniz hakkında bilgi vermek için bilebileceği en önemli iki veri parçası: hangi yazılımı kullandığı (bu durumda WordPress, ve hangi uzantı yüklenir) ve hangi sürüm. Bu küçük bilgilerle, saldırganlar sitenizi tehlikeye atmada çok etkili olabilir. Tek yapmaları gereken, el kitabında sahip olduklarınızı aramak ve sisteminizi keskin nişancılar gibi doğrulukla tehlikeye atmak için mevcut en iyi sömürüyü bulmaktır. WordPress kullandığınız gerçeğini gizlemek kolay değil, kullandığınız sürümü yayınlamıyor.
etiketinin WordPress sürümünü silin (eklentilere gerek yok)
add_filter (‘the_generator’, ‘__return_empty_string’); WordPress ayrıca sürümü Enqueed Style için varsayılan sürüm olarak kullanır.
Önbellek tarayıcısını optimize ederken her ikisi de sürümü gizleyen karma içerikle değiştirmek için varlık sürümleri (mandiri oss promosyonları) gibi eklentileri kullanabilirsiniz. Güçlü bir giriş kimlik bilgisi kullanın Her şeyi doğru yapabilirsiniz, ancak giriş kimlik bilgisi yönetici ve şifre ise, temelde arabanızı aşağıdaki pencereyle park edersiniz ve sandalyeye kilitlersiniz. Bu tahmin ettiğiniz kadar zor değil. Kendi şifrenizi oluşturmanın basit bir alternatifi, sizin için uzun ve çirkin bir şey üretmek için LastPass veya 1Password gibi bir şifre yöneticisi kullanmaktır. Bu, sizi bu kadar çok şifreyi hatırlamakta zorluklardan kurtarır. Web geliştiricileri için, şifre yöneticiniz ihtiyaçlar açısından oksijen ve kahveye çok yakındır, çünkü genellikle kimlik bilgilerini korumak için gereken birçok site ve hizmet. Eklentiler tarafından sizin için yapılamayan önemli bir politika, diğer sitelerde kullandığınız herhangi bir şifreyi yeniden kullanmamaktır. Bunun nedeni, diğer siteler sızdıysa (büyük olasılıkla kontrol edemeyeceğiniz bir şey) ve şifrenizin bilinmesi (parola sıradan bir metinde depolanmamalı, ancak çatlak olması gerektiği için olmamalıdır), sonra saldırgan Diğer sitelere veya hizmetleri girmek için kullanıcı adı/e -posta ve şifreleri kullanmayı deneyebilir. Ne yaparsanız yapın, bu listede herhangi bir şifre kullanmayın. İlgili Eklentiler:
Güçlü bir şifre zorlayın – WordPress şifre gücü ölçerini kullanarak minimum düzeyde şifre gücü gerektirir. Süresi dolmuş şifre – seçilen rolden kullanıcıların parolalarını her gün değiştirmesini gerektirir. Bu genel yöneticinin kullanıcı adını kullanmayın, sadece yönetici veya yönetici gibi genel kullanıcı adlarını kullanarak risklerde sizinle yüzleşmeniz gerekmeyen bir başka kolaydır. . Siteniz bu kullanıcı adlarından birini kullanıyorsa, yeni bir yönetici oluşturun ve eskisini silin (eski kullanıcılardan tüm yayınları/içeriği her zaman sildiğinizde diğer kullanıcılarla ilişkilendirebilirsiniz).
Çabalar girme olasılığını sınırlandırın Siz ve site kullanıcısınızın birbirinizin giriş bilgilerini oldukça iyi bilmenizdir. Varsayılan olarak, WordPress birisinin dakikada yüzlerce kez veya daha fazla giriş yapmaya çalışmasını önlemek için hiçbir şey yapmadı (sitenizin vurulabileceği gerçeği dışında). İhtiyacınız olan bir şey gibi geliyor mu? Öyle düşünme. Buna izin vermeyin, çünkü bir kişinin jetlerini birkaç dakika soğumasına izin vermeden önce kaç kez deneyebileceği konusunda makul sınırlar vardır. Giriş Sınırı Sınırı Eklentisi, gönderdiğinizde aldığınız birçok yönetilen WordPress ana bilgisayar arasında bir zımba haline geldi. Kullanıcı, belirli bir süre içinde başarısız olan X giriş çabalarını yaptıktan sonra, doğru şifre ile bile önümüzdeki 10 dakika (veya düzenlenen) için giriş yapmaları engellenir. Daha sonra kullanıcıların, son kullanma işlemini girmesini beklemeleri veya kendileri için geçici bir yasağı silebilecek bir sitede yöneticiyle iletişime geçmeleri gerekir.
2 Faktörlü Kimlik Doğrulama Kullanın 2 Faktörlü Kimlik Doğrulama Ek bir giriş güvenliği katmanıdır. Şifreniz ilk katmandır. Doğru şifre verildikten sonra, girmeden önce ikinci zorluğu geçmelisiniz. Bu genellikle mobil cihazlarınız veya ek girişte sağladığınız diğer cihazlar tarafından sağlanan 6-9 basamak biçimindedir. Kimlik doğrulama için yapılandırdığınız cihazın mülkiyeti 2 faktörler sitenizle, şifrenize sahip olan bir saldırganı değil, girmeye çalışan bir saldırganı değil, en sevdiğim 2FA uygulaması, arkasında şirket olarak adlandırılan 2FA olarak adlandırılan oldukça yeni. Başlamak ve diğer insanlara sahip olmayan çok iyi özelliklere sahip olmak çok hızlıdır: güvenilir cihazlar ve cihazları kaybediyorsanız veya onsuz girmeniz gerekiyorsa yedekleme kodları. Cep telefonunuz için kendi uygulamaları var, ancak Google Authenticator veya Authy’yi de kullanabilirsiniz (benim favorim çünkü bir bilgisayarda da kullanabilirsiniz). WordPress’i dizinin kendisine yerleştirin Tüm ana bilgisayarlar size bunu yapma özgürlüğü vermez, ancak eğer yapabilirseniz, WordPress’i kendi yönetmenlerine koymak, kapınızı çalan büyük miktarda tehlikeli trafikten kaçınmanın çok etkili bir yoludur.
Bunu yapmak için başka bir neden daha var, ancak güvenlik açısından, bazı botlar sitenizi yalnızca standart kurulumlar kullanmayı düşünecektir. /Wp-login.php ve /wp-admin /talepler 404 olarak başarısız olacak çünkü şimdi /wp/wp-login.php ve /wp /wp-admin /içinde. Yüklü savunmasız bir eklentiniz olsa bile, bot gelirse ve varsayılan standart kurulum yolu ile kullanmaya çalışırsa, yalnızca hedefi kaybedecektir. WordPress’i kendi yöneticilerine yerleştirmek, sitenizi bir geçiş dizin saldırısı haline getirir, bu da temel olarak bir eklentideki güvenlik açığını kullanan saldırı anlamına gelir, eklenti dosyasından beklenen göreli yolları kullanarak wp-config.php dosya içeriğinizi okur. Örneğin, /wp-content/plugins/abcxyz-slider/slide-loader.php olsun, siteniz yarın aktif ve tekrar çalıştırılacak mı? Rezervler sizin için değerli bir site çalıştırmanın ayrılmaz bir parçasıdır. Siteniz bir şekilde saldırıya uğrarsa ve hasar onarılamazsa, siteniz sızmadan önce noktaya geri dönebilmeniz gerekir. Siteniz bildirimde bulunmaksızın hacklenmeden önce noktaya geri dönmek için birkaç gün içinde otomatik bir rezervlere ihtiyacınız olacaktır. 30 günlük Rezerv Tarihi, durumunuz için gerektiği gibi başlamak ve ayarlamak için iyi bir sayıdır. Yedeklemenizi asla sunucunuza kaydetmeyin iki nedenden dolayı önemlidir: Siteniz sızdıysa, saldırgan yedeklemenizi silebilir veya bulaşabilir
Yedeklemenize erişilebilirse (bazı eklentiler doğrudan yükleme dizininde bir yedekleme dosyası oluşturur), bilgisayar korsanları yedeklemenizi indirebilir ve bir hata oluştuğunda gerçekleştiğinde gerçekleşen son şey, rezervlerden doğrudan kurtarma işlemine erişmek için kullanabilir. Güvenilir yedeklemenizi elde edin ve yapın ve çalışmamasını sağlayın, hatta daha da kötüsü: her zaman yapılmadıklarını öğrenin. Kurtarıldıktan sonra, veritabanı dökümü veya yedeklemenin bir parçası olan diğer hassas dosyaların silindiğinden veya erişilemediğinden emin olun. Siteniz için sağlam bir ana bilgisayara sahip iyi bir ana bilgisayar kullanın, sitenizin güvenliğini korumaya gerçekten yardımcı olabilir. Özellikle ev sahibi WordPress konusunda uzmanlaşmıştır: özellikle şunları sunmalıdır:
Siteniz için özel bir örnek, barındırdıkları diğer tüm sitelerden izole
Dosya sisteminiz ve veritabanınızdan günlük olarak ofis dışında Günlük kötü amaçlı yazılım taraması ve WordPress dosya temizliği Ekranda (genellikle üstte yakın) görüntülenen bir PHP hatası veya bildirim gördüyseniz, hataların ekrana kaldırılmasını devre dışı bırakın, o zaman siteniz, yüklediğiniz eklenti gibi saldırgan tarafından sizinle savaşmak için kullanılabilecek bilgileri sızdırdı veya Dosya sistemindeki yol. Bu, PHP’nin sunucunuzda nasıl yapılandırıldığına bağlı olarak etkinleştiriliyor mu, ancak WordPress hata ayıklama Constanta tarafından da kontrol edilebilir. Hataların ekrana görüntülenmesini önlemek için WP-Config.php’nize aşağıdakileri eklemek isteyebilirsiniz. Sitenizdeki hataları gözlemlemenin veya denetlemenin en iyi yolu, hata ayıklama günlüğünü etkinleştirmektir, böylece hata dosyaya yazılır. tanımlama (‘wp_debugg_display’, false); tanımlama (‘wp_debugg_log’, true); Ayrıca aynı nedenden ötürü HTTP üzerinden WP-Concent/Debug.log’a erişimi engellemeniz gerekir. WordPress sitesinin sahibini en çok etkileyen eklentiler ve güvenlik açığı temaları, özellikle eklentiler ve temalardan, genişletilmiş platform bölümünden gelir. Bu, WordPress sitesini hacklemek ve kötüye kullanmak için siber suçlular tarafından kullanılan 1 numaralı saldırı vektörüdür. Codex – WordPress’in güçlendirilmesi Sitenizin güvenliğini korumak için uzantınızı denetleme çok önemlidir. Uzantınızı, hem üreticinin hem de indirdiğiniz güvenilir bir kaynak tarafından sağlanan uzantı ile sınırlamaya çalışın. Ücretsiz eklentiler ve temalar için, varsa wordpress.org adresinden aldığınızdan emin olun. Premium uzantılar için yalnızca doğrudan satıcıdan indirin. Ücretsiz premium uzantılardan kaçının veya “geçersiz”
Çünkü bu, “sokak satıcılarının” sitenize kolayca tam olarak erişmesini sağlamak için backdoors yüklenecek şekilde değiştirilebilir. Ebeveynlerinizin size her zaman yabancılardan asla şeker almamasını nasıl söylediğini hatırlıyor musunuz? Bu şeker. Normal olarak yüklenmesi için eklenti bağımlılıklarına ihtiyaç duyanlar yerine, eklentileri temadaki eklentileri birleştiren temalara dikkat edin. Bunun nedeni, bir temada paketlenmiş eklentinin normal otomatik güncelleme işlemi boyunca güncellenememesidir, böylece bağımlılıklar için bir güncelleme yayınlama temasına dayanır. Kullanmadığınız eklentileri veya temaları kaydetmeyin. Etkin eklentiler bile bir güvenlik açığı olabilir, çünkü hala kod tabanınızın bir parçasıdır ve web tarafından erişilebilir. Düzenli güncellenmiş uzantıları tercih edin ve bir kez daha uzantınızı düzenli olarak güncelleyin. En küçük ayrıcalık prensibini kullanın En küçük ayrıcalık ilkesi, temel olarak sistemin her bir bölümünün yalnızca görevlerini yerine getirmek için gereken kaynaklara erişim ve izin alabileceğini ve daha fazlasını yapmadığını söyleyen bilgi güvenliği dünyasının terimidir. Güç vermeyin veya gerektiğinden daha fazla erişim vermeyin. WordPress terimleriyle, yapabileceğiniz en kolay şey, gereksiz sitenizde kimseyi yönetici olarak yapmak değildir. Güvenlik Eklentileri ve Hizmetleri İncelemesi WordPress için mevcut tüm güvenlik eklentileri ayrı bir dizi olabilir, ancak WordPress’teki güvenlik hakkında hangi makale en azından bahsetmeden tamamlanacaktır?
Bu yazma zamanında, wordpress.org eklenti deposundaki ilk 3 güvenlik eklentisi (en aktif kurulumdan en aza kadar sıralanır): 1. WordFence Güvenliği 2. Ithemes Güvenliği (daha önce WP güvenliği daha iyi) 3. Sucuri’nin güvenliği – Denetim, tarayıcı kötü amaçlı yazılım ve eklentinin güvenliğinin sertleştirilmesi, yukarıda açıklanan sorun ve uygulamaların üstesinden gelmek için birçok özellik sunar. Bu yazı herhangi bir üçüncü taraf tarafından desteklenmez, ancak düşünürseniz, hangi eklentinin sizin için doğru olduğu konusunda daha uygun bir karar vermenize yardımcı olacaktır. Bahsetmeye değer diğer bazı ürünler, kendileri tarafından gönderilen yönetim ve sonsuz şeydir. Bu, WordPress kurulumlarını uzaktan yönetmenize ve serbest seviyelerde bile güvenlik açığı ve rezervlerin taranması gibi birkaç harika güvenlik işlevi sunmanıza olanak tanıyan üçüncü bir taraf hizmetidir. ManagerWP size serbest seviyede daha fazlasını verir, ancak InfiniteWP kendinize ev sahipliği yaptığınız ve premium özellikler için eklentiyi kullandığınız bir şeydir. Sincapları kuş yemek yerinizden uzak tutmaya çalışmak gibi web sitenizi güvence altına almak; Her zaman sincaplar olacak, besleyicilerinize sadece diğerlerinden daha zor olmanız gerekir. Bu makale boyunca, sitenizi riske atan ve bunların üstesinden nasıl geleceğinizi gösteren birçok farklı yol öğrendik. Elbette güvenlik, neredeyse bir gönderide kapsamlı bir şekilde tartışılamayan bir konudur, ancak umarım, daha önce bilmediğiniz bir veya iki şeyi öğrenirsiniz. Temel bilgileri tartıştıktan sonra, WordPress için penetrasyon testini yapmak isteyebilirsiniz.
