Genel WordPress güvenlik sorunları & amp;Sitenizi nasıl güvence altına alabilirsiniz
Dün gece Boulder WordPress toplantısında konuşmaya davet edildim. Arkadaşım Angela birçok insanı çekti ve WordPress güvenlik açığı ve WordPress sitenizi korumak için neler yapabileceğinizi çok uzun süre konuştuğumu dinlediler. Konuşma, bu makale gibi, WordPress kullanıcılarını ve site sahiplerini kamu güvenlik sorunlarından korumaya odaklanmıştır. WordPress geliştiricilerinin WordPress güvenliğini korumak için ne yapması gerektiği konusunda başka derslerim var. Bu makale, güvenlik hikayelerini sadece WordPress site sahibi perspektifinden belirleyen karmaşık teknik ayrıntıları kasıtlı olarak basitleştirecektir. WordPress güvenlik konuşmaları için çok fazla karmaşık kısaltma vardır, bu nedenle çoğu gelişmeyen tarafından kolayca anlaşılamaz.
Ancak daha fazla uzatmadan, buradaki yapımız ilk önce genel WordPress güvenlik sorununu açıklıyor ve daha sonra WordPress güvenliği açısından size en büyük faydaları sağlayan en önemli ve kolay adımları sunuyor. Güvenli WordPress Güvenliği uzun süredir araştırıldığında, yapabileceğiniz daha zor ve daha az değerli olan birçok şey vardır. Ancak çoğu insan için, tanımladığımız dört WordPress güvenlik sorunu ve tartıştığımız beş WordPress güvenlik ipucu ihtiyacınız olandan daha fazla olacaktır. Haydi Yapalım şunu! Kapsamlı Sorunlar: Sitenizi terk etmek botnet saldırıları için kolaydır
Favori Bot WordPress Güvenlik Açığı: Süresi Dolmuş Kod
WordPress siteniz güncel değil mi? Şimdiye kadar en yaygın nedenler ve WordPress sitesi infiltrasyonu olasılığı süresi dolmuş koddur. Gelişen tüm yazılımlar gibi, WordPress güvenliğinin (ve eklenti ve temadaki) güvenlik açığı somut ve tutarlı bir ekosistemin parçası olarak ele alınmalıdır. İnsanlar yazılım yazar, insanlar hata yapar, bu nedenle tüm yazılımlar zaman zaman hatalar (güvenlik) içerecektir. Bu gerçekle mücadele kendinizi teşvik etmenin iyi bir yoludur, ancak yaşamak için iyi bir yol değildir. Bunun yerine, en yaygın WordPress güvenlik sorunlarının, WordPress, eklentilerin veya güvenlik açığı içerdiğiniz temaların bazı eski sürümlerinin olduğunu kabul etmelisiniz ve anlamalısınız. WordPress güvenlik ekibinin başkanı Aaron Campbell, WordPress güvenliği için onunla yaptığım bir röportajda sürecin nasıl çalıştığını açıkladı. Ancak WordPress’i güncellemiyorsanız, bu yamanın avantajlarından yararlanamazsınız. Tersine, WordPress’ten açık kaynaklı bir yazılım olarak gerçek bir kayıpla karşılaşıyorsunuz: Güvenlik sorunlarının iyileştirilmesi hemen onarıldıktan hemen sonra WordPress sitenize saldırmak isteyen kötü aktör tarafından görülüyor. Dolayısıyla, güvenlik boşluklarını kullanabilirlerse, eski versiyonda nasıl çalıştığı konusunda bir planları olacak.
WP Güvenlik Sorunları #2: Kötü WordPress Giriş Güvenliği
Bir sonraki en yaygın yol, WordPress sitesinin sızması mı? Kötü bir şifre kullandığınızı. “Kötü şifre” nin özel olarak ölçülmesi zordur. Ancak, WordPress sitesinin güvenliğini tehdit eden en yaygın ve kolay saldırılardan biri, “kaba kuvvet” veya “Guess şifre” saldırısı olarak adlandırılan şeydir. Bu, bilgisayarın şifrenizi bulmak için şifreyi tahmin ederek WordPress sitenizi girmeye çalışmak için düzenlenmiştir. Bu tür saldırıları yavaşlatmanın birkaç yolu vardır, ancak genel olarak bu, şifrenizin “ililbeer” veya “yavru kedi” olsun, sitenizi tehlikeye atacaktır. Başka bir şifre kelimesi çok yaygın bir uzlaşma nedenidir. Kötü bir şifrenin çok ciddi bir WordPress güvenlik sorunu olduğunu anlamak ve önemli bir ilk adımdır. Güvenlik Sorunları #3: Çevresel Giriş Bu barındırma, birkaç farklı WordPress güvenlik sorununun bir kombinasyonudur. Ama onlar ilişkiler. İhmal veya ihmal nedeniyle WordPress barındırma ortamınızın güvenliğini tehlikeye atabilirsiniz. En iyi WordPress barındırma bile: Hatalar yaparsanız kesinlikle hiçbir şey yapamaz:
Aynı barındırma hesabında diğer güvensiz araçları (veya WordPress kurulumu [güncel olmayan]) çalıştırırsınız. Eski WordPress sürümü, WordPress sitenizden her şeyi tehlikeye atmak için kullanılabilecek bir alt klasör veya alt alandır. Benzer şekilde, Interconnect It Search gibi araçlar, geliştiriciler için çok yararlı olan ancak yalnız bırakılırsa suçu kolayca sona erdirmek için kullanılabilir. sızmıştır. Özellikle WordPress, Güvenlik Yaması olmadan PHP sürümünü desteklemeye devam ettiğinden (bugün PHP 5.2’ye geri dönme yolunda), bu bir uzlaşma kaynağı olabilir. Bunlar en büyük iki sorun. Ayrıca, ana bilgisayarınızın güvensiz şeyleri yapılandırdığı ve hesap uzlaşmanızın sizinle birlikte web sunucusundaki diğer kişilerden gelebileceği (ancak nadiren ve çoğu uzak bir hafızadır) ortaya çıkabilir. Bu birkaç yıl boyunca büyük bir ev sahibine gelmedi. Ancak “Joe Back sayfasını barındıran ucuz web” kullanırsanız, bu olasılık konusunda biraz endişelenebilirim.
Güvenlik Sorunları #4: WordPress sitenizin diğer yolları, WordPress sitenize girmenin bu listede özel olarak listelenmemiş birçok farklı ve ilginç yolu vardır. Bu uzlaşma yöntemi (birleştirdiğim tembel) şunları içerir:
Eklentilerin, temaların veya yama olmayan WordPress’in güvenlik açığı sitenizi silebilir.
Siteniz sızdırılır, çünkü barındırma hesabınız kötü bir FTP şifresi veya WP barındırma kontrol panelinizle uzlaşma ile silinir.
WordPress güvenliğiniz, sizin için veya sizinle birlikte çalışan ve sitenizi serbest bırakmak isteyen biri tarafından tehlikeye atılır. Daha önce yeni bir yönetici tarafından kasıtlı olarak tehlikeye atılan WordPress eklentisi. (Hala nadir olan ancak gerçek tehditler olan “tedarik zinciri” saldırıları.)
Her biri gerçek bir tehdidi temsil eder, ancak bir uzlaşma nedeni olarak yukarıda listelenenlerden çok daha azdır.
WordPress Güvenlik İpuçları: WordPress sitenizi nasıl güvence altına alırsınız WP, Adım #1. Güncelleme, Güncelleme, Güncelleme WordPress #1 Güvenlik Sorunları ile Aynı Her Zaman Her Şeyi Güncellemiyoruz, WordPress web sitenizi bir site sahibi olarak güvende tutmak için yapılacak en iyi şey her zaman her şeyi güncellemektir. WordPress ekosisteminde, “Güvenlik Geliştirme” ve “Yeni Özellikler” in yayınlanması arasında her zaman açık bir sınır vardır. Eğer varsa, “her zaman en son güvenlik sürümünü al” olarak değiştirebilirim. WordPress’in “Çekirdek” güvenlik açığı bu şekilde çalışır, bu nedenle WordPress 4.9.x, yeni özellikler eklemeyen en son güvenlik iyileştirmesidir. WordPress’teki daha nadiren eklentiler ve temalar bu tür güvenlik geçmişini destekler, bu nedenle “her şeyi her zaman güncellemeyi” daha kolay bulacaksınız.
Bunu yapmanın birçok yolu var. Çekirdek WordPress en az birkaç yıldır güncellendi. Özelliğin etkin olmasına izin vermenizi şiddetle tavsiye ederim. Ve onunla rahat hissediyorsanız, eklentinin otomatik olarak güncellenmesine izin vermeyi de seviyorum. Aşağıda, nasıl yaptığım konusunda hızlı bir kılavuz: WPSPress’te WordPress’te otomatik bir eklenti güncellemesini etkinleştirin WP Adım #2: İyi Giriş Güvenliği Bir kez daha, WordPress #2 Güvenlik Sorunları WordPress #2 Güvenlik İpuçlarımızı üretiyoruz: İyi giriş güvenlik sistemi. Teknik olarak, WordPress giriş güvenliğinizi çeşitli şekillerde güçlendirebilirsiniz. Çıkarlar sırasındaki en önemli şey: WordPress hesabınız için iyi bir giriş şifresine sahip olun. İdeal olarak WordPress sitesi şifreniz: uzunluk, benzersiz ve rastgele. Twitter, Instagram, Candlestore ve CoolPictures4Free’de de kullanmıyorsanız, “Kittehs ile L0V3’teyim !!!!! 1” i oldukça iyi bir şifre. Şifre yöneticisi burada çok yararlı.
2 faktörlü kimlik doğrulamayı düşünün. 2FA iyi bir şifre kullanımını ortadan kaldırmaz. Ancak cep telefonunuzdaki zaman kodunu veya e -posta yoluyla gönderilen kodu kullanmak WordPress oturum açmanızı çok daha güvenli hale getirebilir. 2FA ile çok rahatsanız, WordPress sitenizi bu şekilde eriştiğiniz şeylere eklemek açıkça bir zaferdir.
Diğer giriş güvenlik zorluklarını düşünün. Bu, giriş formunuza eklediğiniz captcha gibi bir şey mi yoksa yöneticinizi yalnızca belirli bir IP’den (çok zahmetli IMHO, ancak büyük güvenlik kazançları) çalışmak için kilitlemek için başka birçok şey var mı? Bence her şeyin yararlı olduğunu düşünüyorum, ancak iyi bir şifre ve olasılık 2FA’dan daha az önemli. WP Adım #3: En Küçük Erişim İlkesi #2 ile ilgilidir, ancak WordPress giriş kimlik bilgilerinizi herkesle paylaşmayın. WordPress’e Sarah veya kendi kullanıcı adlarını ve şifrelerini verdiğinizden daha iyi bir konuk gönderisi yapmak, eklentiler geliştirmek mi yoksa herhangi bir şey mi yapmak istiyorlar? Dahası, onlara hesabı verirseniz, hesaplarının yalnızca WordPress için gerekli erişime sahip olduğundan emin olun. WordPress güvenlik açığı, sandaletleri sızan bir “yönetici” hesabınız olduğunda, hesap “müşteri” olduğundan çok daha fazladır. John sadece sizin için konuk gönderileri yazarsa, hesabını “katkıda bulunan” yapın. Tabii ki, Sarah sizin için eklentiler geliştirecekse, bir “yönetici” hesabına ihtiyacı olabilir, ancak yine de John’a doğru vermemelisiniz. Güvenli WP Adım #4: “Zaman Güvenliği” için Gadangkan
Rezervin “WordPress Security” ile kesişen bir konu olduğunu düşünürdüm.
Büyük ölçekte yazılmıştır.Ve gerçekten de, Botnet veya diğer saldırganların WordPress sitesi güvenlik açığından yararlanmasını önleyecek bir yedekleme yoktur.Ama sizin için yedek (veya 300) ne size zaman güvenliği dediğim şeyi vermektir.Bununla demek istediğim, Cumartesi günü sızıyorsanız ve Salı günü gerçekleştirirseniz, bir hafta önceki yedeklemeniz sitenizi geliştirmek için kullanılabilir.Yedeklemeden, anlamayacağınız karmaşık ve zor bir istila olabileceğini temizlemeye çalışıyorsunuz.Öyleyse bir yedek kaydet!
