WordPress Güvenliği için Komple Kılavuz
WordPress sitesi, internetteki saldırılar için en yaygın hedeflerden biridir. Diğer site türlerinden daha fazla hacklenirler. Siz, arkadaşlarınız veya tanıdığınız biri asla WordPress sitesi “hackleme” deneyimine sahip değilse, çok şanslı olabilirsiniz veya hayatınızda etrafınızda çok dikkatli olan insanlara sahip olabilirsiniz. Güvenlik önemlidir, çünkü WordPress sitesi çevrimiçi, yüz binlerce kod çalıştırır ve WordPress oldukça yaygın bir platformdur, böylece saldırganın hedefi olacak. Microsoft Windows, güvenlik sorunları hakkında düzenli başlıklara sahip nispeten yeni ve baskın bir platform olduğunda, bölümleri saldırı sayısının büyük bir neden olduğunu göstermektedir. Microsoft tarafından yapılan güvenlik hataları olmasına rağmen, genellikle Windows platformunda ilk kez kullanılmayan birçok güvenlik hatası da vardır.
Aynı şekilde WordPress ile. WordPress internetin yaklaşık% 27’sini destekler. Bu iyi, ama bu aynı zamanda birisi tüm WordPress sitelerinde ortak bir temel güvenlik zayıflığı veya hatta büyük bir yüzde bulursa, birkaç saat içinde binlerce sunucuyu kolayca toplayabileceği anlamına gelir. Bu yüzden WordPress büyük bir hedeftir ve WordPress’in güvenliğine neden dikkat etmemiz gerekir. Bu önemli.
WordPress güvenlik uzmanı olmak ister misiniz? Güvenle WordPress Güvenliği
WordPress Security, WordPress Security için kapsamlı kılavuzumuzdur.
Genel güvenlik ilkeleriyle başlayarak ve takip edilebilecek belirli adımlara devam ederek, net ve jargon içermeyen dilde anlamanız gereken tüm ayrıntıları açıklıyoruz. Bu, WordPress Security’deki önemli arkadaşınızdır. Mutlak bir uzman olun ve WordPress güvenliğini doğru bir şekilde yaptığınıza dair güven alın. Tekrar öğrenin
Bu kılavuz tamamen eksik; WordPress güvenliğinin en iyi uygulamalarının listesi yok, bu sayfanın başlığının oldukça görkemli olduğunu anlıyorum. “WordPress Güvenliği için Komple Kılavuz”. P! Bu gerçekten WordPress güvenliği için tam bir rehber değildir, çünkü güvenlik, net ve dar bir kurallar kümesi olmayan büyümeye devam eden bir uygulamadır. Bir eklenti yükleyemez, üç basit kural izleyemez veya zamanla çok sınırlı olan ve internette (WordPress siteniz gibi) bir şeyin tamamen güvenli olduğunu bilemezsiniz.
Çölün ortasındaki 400 feet yeraltındaki nesneler, kimsenin çok güvende olduğunu bilmiyor. Ama aynı zamanda çok işe yaramazlar. WordPress sitesi gibi internetteki şeyler, korunması gereken karmaşık ve sürekli bir risk ortamına sahiptir. Bu nedenle bu sayfayı zaman zaman güncellemeye devam edeceğiz ve bunun tüm temelleri ve daha fazlasını kapsadığını düşünüyoruz. Ama size “bütünlüğümüz” ve “son” dan şüphe ederken katıldım. WordPress Güvenliğinde Neden Bana Güvenmelisiniz?
Ben (sağ), WordPress Matt Mullenweg’in kurucularından biri (sol!) Merhaba, ben David. 2017’nin sonunda, WordPress Security hakkında bir kurs yapmaya karar verdim. Ben de dahil olmak üzere tanıdığım çok fazla insanı hissediyorum, WordPress’in güvenliği hakkındaki gerçeği kurgudan ayırt etmek için mücadele ediyor. Satıcı eklentileri, diğer platformlar satan kişiler ve diğerleri WordPress güvenliği hakkında birçok olumsuz şey söylüyor. Biz genellikle “korku, belirsizlik ve asılsız şüpheler” olarak anlaşılan “fud” diyoruz. Kendim ve diğer insanlar için yapmaya değer bir WordPress sitesini güvence altına alacakları ve aptalca ve güncel olmayan bir öneriler bitirmek istiyorum. Oradan WordPress güvenliği güvenle ortaya çıktı. Yüzlerce araştırma saatinin sonucu olan bir video saati var. Ayrıca, konu hakkındaki çeşitli görüşlerini duymak ve iyi tavsiyeleri kötüden ayırmaya yardımcı olmak için WordPress güvenlik arenasının en üst kısmıyla da konuştum. “Bunun güvenli olmadığını duyuyorum …” WordPress güvenli mi? İnsanların WordPress’in güvenliğini görmeye başlamalarının en yaygın nedenlerinden biri ve WordPress güvenliği için en iyi uygulama, WordPress’in güvenli olduğundan veya ısrar etmeyen birinden haber almalarıdır. Yukarıda bahsettiğim gibi, WordPress güvenliği hakkında birçok fud var. Size bir şey satan birçok kişi var – Squarespace, WordPress güvenliği veya barındırma paketleri, şifre yöneticileri, ne olursa olsun – cehaletinizi kullanmaya çalışan ve bitirmeyen. (Amacım cehaletinizi ortadan kaldırmak ya da en azından en aza indirmek.)
Bu soruyu cevaplamanın özü teriminizi tanımlamaktır. WordPress, çeşitli farklı uygulama alışkanlıkları ve konfigürasyonlarına sahip geniş bir ekosistemdir. Bugün gerçekten güvenli olmayan ve önümüzdeki 24 veya 48 saat içinde hacklenecek bir WordPress sitesi var. Ancak kastettiğimiz, wordpress.org adresinden indirdiğiniz Zip dosyasında yer alan yazılımın temel kısmı olarak “WordPress” ise, bence oldukça güvenli. Belirli günlerde, dünyada saldırıya uğrayan WordPress yazılımında yamalı olmayan sorunların% 0.00001’inin% 0.00001’lik bir olasılığı vardır. WordPress artık otomatik doğuştan gelen bir güncelleme ile birlikte gelir ve ev sahiplerinin çoğu. Site başarısız olursa yamalıdır. Bu önemlidir, çünkü WordPress 4.9.1, önümüzdeki birkaç ay veya yıl içinde biri tarafından bulunacak güvenlik sorunları olabilir. Ancak kuruluşun WordPress yeni keşfedilen sorunun üzerinde kalır ve bu tür sorunları çözen 4.9.2 veya 4.9.20 gibi puanların yayınlanmasını sağlar. WordPress, en son sürümü hala kullanıyorsanız bu araç güvenlidir. Ve sitenizin güvendiğinizden emin olduğundan emin olursanız, yüklü bir güvenilir eklenti güncellemesiyle, gerçekten güvenlidir. Ancak bu şeyler yapılmadığında, verilen WordPress kurulumunun güvenli olmaması çok mümkündür.
WordPress için gerçek bir tehdit: Botnet! WordPress sitesi genellikle riskli değildir, çünkü her yerde bir kişi bunlardan birine kötü şeyler yapmaya çalışıyor. Aksine. WordPress sitenize girmeye çalışan bir kişinin olması olasılığınız var, ancak son zamanlarda tekno-sihirbaz yeğeni öfkenizi yapmadığınız sürece, bunun için endişelenmenize gerek olmayabilir. WordPress sitesini düzenli olarak tehdit eden ve zarar veren gerçek şey, sitenizi devralmaya çalışan insanlar tarafından otomatik bir saldırıdır. İnsanlar bu saldırıyı kontrol ediyor, ancak bilgisayarlar tarafından çözülüyorlar. Kimse kendi WordPress sitenizi çeşitli kullanıcı adları ve şifrelerle girmeye çalışmaz. Değiştirme olarak, WordPress sitesi için interneti taramak ve buldukları tüm siteleri girmeye çalışırlar. Veya herkes tarafından bilinen eklentinin güvenlik açığından yararlanmayı deneyin. Tehdit modelinizin çoğunlukla insan olmayan aktörlerden gelen WordPress sitesinde otomatik saldırılardan oluştuğunu anladığınızda, bir dizi farklı güvenlik uygulaması önemli hale gelir. WordPress sitesi neden saldırıya uğruyor, bekar insanlar yerine botnet hakkında en çok endişelenmeliyiz. Botnet neden küçük WordPress sitenizi devralmaya çalışır? Ayrıca, sadece web siteniz …
Arkadaşlarla resim paylaşın
Evcil hayvan taşıyıcınızı çevrimiçi olarak satmak Eğlenmek için yaz
vb
Botnet sitenizin ne için gerçekten umursamıyor. Güvensiz bir WordPress siteniz varsa, devralacaklar. Güdüleri farklıdır, ancak en yaygın nedenlerin devralınan WordPress sitesinin şöyleler olduğu görülebilir:
Sitelerine trafiğe devam edin Sendimiring, Google Juice’i sayfalarına göndermek için SEO sıralamanızı devraldı
Gurur veya siyasi mesaj için zarar vermek
Drive-by Downloads Site ziyaretçilerinizi yazın, kötü amaçlı yazılımlar vb. İndirin
Sitenizin arka kapısının daha sonra kullanması için
Site verilerinize erişmek için – kullanıcıların listesi, satın alma geçmişi vb.
SPAM gönderin – WordPress siteniz bir e -posta gönderebilirse, gönderiyi e -postaları için de kullanabilirler
Sunucu kaynaklarınızı (çoğu CPU) yararlı hesaplamalar yapmak için kullanmak için, büyük olasılıkla Bitcoin gibi kripto paralarını çıkarabilir
Sadece birkaç düşünce ve araştırmadan düşünebileceğim şey bu. Akıllı bilgisayar korsanlarının listeye ekleyecekleri daha fazlasına sahip olmaları çok mümkündür. Umarım bu listenin açıklığa kavuşturulmasıdır. Sitenizin göreceli belirsizliğinin koruma olmamasıdır. Tabii ki çekici bir kullanıcı listeniz olmayabilir, ancak dogecoin oluşturmak veya spam göndermek için kullanılabilecek bir sunucunuz var. Her sunucunun bir CPU’ olduğu ve çoğu e -posta gönderebilir. WordPress Security, tüm yığınlara dayanır, WordPress sitesi hakkında gerçekleştirilmesi gereken başka bir şey değil, WordPress’in gerçekten çeşitli teknolojilerin üzerinde olması ve yığının diğer kısımlarının da güvenlik açığı olabileceğidir. Örneğin, WordPress PHP’de çalışır. Tıpkı WordPress gibi, bazen PHP sürümü güvenlik açığı içerir. Düzenli olarak güncellenirseniz, bu büyük bir sorun değildir. Değilse, PHP sorunu WordPress sitenizi tehlikeye atabilir. Güvenlik yığınında WordPress sitenizin altında yatan başka bir şeyin yanlış yapılandırılmış olma olasılığı da vardır. Bu zamandan farklıdır, ancak aynı etkiye sahiptir. Bir web sunucusunu yapılandırmak için yeniyseniz, derin olumsuz güvenlik sonuçlarına sahip olacağını fark etmeden bir şeyin işe yaraması için gerekli görünen değişiklikler yapabilirsiniz. Bu beklediğinizden daha yaygındır ve mümkün olduğunca profesyoneller kadar çok sayıda WordPress olmayan yapılandırma göndermek istediğim ana nedenlerden biridir.
Kendi fiziksel sunucunuzu ayarlayamayacağınızı veya ucuz bir VPS satın alamayacağınızı ve diğer insanların yapılandırma komut dosyalarıyla yönetemeyeceğinizi söylemiyorum. Ancak WordPress’te çalıştırdığınız yapılandırmaya güvenmek çok önemlidir. Çünkü WordPress’i doğru yaparsanız, ancak MySQL yapılandırması yanlışsa, yine de çok kötü şeyler olabilir. İzlemenizi istediğim önerilere girmeden önce gerekli olmayan (ama genel) WordPress güvenlik önerileri, genellikle önemli olmadığını düşündüğüm diğer yerlerde gördüğüm tavsiyelerle başlamak istiyorum. Bu önerilerin çoğu, yapılırsa neredeyse biraz yararlıdır. Ancak bunu tavsiye etmememin nedeni, faydaların (varsa) çok küçük olmasıdır. Ve daha değerli güvenlik uygulamalarını görmezden gelmenizi sağlamak için zaman harcama olasılığı büyüktür. Bunu yapmakta özgürsünüz, ancak bence yatırılan zamanla orantılı değiller çünkü verdikleri faydalar çok küçük. Zahmet etmeyin: WordPress sürümümüzü gizleyin En işe yaramaz genel güvenlik önerileriyle başlayın-WordPress sürüm numarasını gizlemeniz veya WordPress kullandığınız. İkincisi ciddi bir şekilde yapmak çok zordur ve birincisi temelde değersizdir. WordPress’i çalıştırdığınızı gizlemek zordur ve çoğu insan bunu sadece ‘ı değiştirerek veya ortadan kaldırarak yapmaya çalışır
sitelerinde.Buna güvenecek kadar akıllı bir botnet yoktur ve WordPress olmayan sitelerden birçok web yöneticisi, insanların sitelerini WordPress gibi kontrol ettiklerini gördüklerini bildirir.WordPress sürümünüzü gizlemek mantıksızdır.Fikir, bir kez daha Botnet, WordPress sitenizin savunmasız olduğu bilinen bir WordPress sürümü kullanıp kullanmadığını kontrol edecektir ve daha sonra sürüm numaranız listede değilse size saldırmaz.Birinin Botnet’in böyle davrandığına dair kanıtları olduğunu söylediğini hiç duymadım ve neden yaptıklarını bilmiyorum.Eminim bu sadece WordPress’in en son sürümünü kullanmaktan çok daha az değerlidir, bu yüzden sadece yapın.Zahmet etmeyin:
WordPress sitelerini sadece bir web arayüzü olarak kullanan kişiler için XML-RPC API ve JSON REST API’si devre dışı bırakın ve sadece XML-RPC API WordPress’i devre dışı bırakmanın hiçbir zararı yoktur. XML-RPC, WordPress sitenize bağlanmak için Marsedit, WordPress hücresel uygulamaları ve diğer benzer araçlar gibi şeyler tarafından kullanılır. Şimdi bu aletlerin yangının geri kalanına güvenmesi mümkündür, ancak çoğu bunun için güncellenmemiştir. JSON REST API, WordPress’e daha yeni bir ektir, ancak çok benzer kullanıma hizmet edebilir. Buna ek olarak, WordPress, daha zengin etkileşim sağlayan özellikler için JSON REST API’sını daha iyi kullanmak için dahili olarak çalışır. Bu yangınların her ikisi de saldırganın sitenizi takip etmek için yapabileceği bir yoldur. Ve vahşi doğada bu saldırıyı deneyen insanlar hakkında bilinen bir not var. Bunu önermediğim şeyler listesine koymamın nedeni, iki tür saldırının çok yaygın olmamasıydı. Ve bu yangınların her ikisi de çok kullanışlıdır ve bir gün WordPress sitenizde yapmaya çalıştığınız bir şeyin hasar göreceğini, çünkü bu ateşi tamamen engellediğiniz için görebilirsiniz. Daha iyi bir çözüm, bir web güvenlik duvarı almaktır. İdeal olarak, WordPress sunucunuz sizin için dahil etti. Değilse, Sucuri veya Cloudflare gibi insanlardan kendiniz satın alabilirsiniz. Bu, yangının sonuna kadar kötü trafik olasılığını durdurmalı, ancak iyi şeylerin geçmesine izin vermelidir. Bu garanti edilmez, ancak genellikle sadece kapatmaktan daha iyi bir çözümdür. Zahmet etmeyin:
WordPress veritabanı önekini değiştirin WordPress hazırlayan çoğu kişi, bir veritabanı öneki isteyen metnin metnini gördü ve içinde WP_ değerini gördü. WordPress, önekle başlayan tablodaki veritabanında verilerinizi – gönderme, yorumlar, ürünler vb. – saklar. Buradaki fikir, varsayılan değerin daha az güvenli olduğu ve büyük olasılıkla başka WordPress sitelerine ait olmayan JADFL_ gibi yapmanız gerektiğidir. Bu adım sizi düşük korumak için mümkündür. Bunu yaparken özellikle SQL enjeksiyon saldırısı olarak adlandırılan şeye karşı korunursunuz. Bazı WordPress siteleri bu şekilde tehlikeye atılır, ancak elbette site silinebilir. Ancak, bu SQL enjeksiyon saldırılarına karşı savunmasız olan WordPress sürümünü veya eklentileri çalıştırmanız gerekir. Dolayısıyla, eklentileriniz, temalarınız ve WordPress’leriniz en sonunsa, bundan çok fazla ek avantaj elde edemezsiniz. Dahası, sitenizde bir SQL enjeksiyon saldırısı varsa, saldırganların veritabanı tablolarınızın bir listesini oluşturmaları için çok kolaydır. Bu, yazının WP_POSTS etiketli tabloda olduğu varsayım kadar hızlı değildir, ancak bunu masanızın yerini değerlendirecek ve bunu doğrulamayacak olan saldırganların sayısı, taşıyacak kadar akıllı olanların küçük bir kısmı olabilir. ilk etapta saldırılar. Bence yeni bir site hazırlıyorsanız veya veritabanı önekinizi değiştirmenin kolay bir yolunu buluyorsanız, devam edin ve yapın. Bu çok ince bir zafer, ama bu bir zafer.
Ancak siteniz WP_ önekini kullanarak çalışıyorsa ve özellikle bir geliştirici değilseniz, bunu yapmaya çalışmak için zamanınızı boşa harcamayın. Rahatsız etmeyin: WordPress Oturum Açma URL adınızı değiştirin, Yapılması uygun olmadığını düşündüğüm son öneri, örneğin.com/wp-login.php’den örnek/bmy-selret-url gibi bir şeye taşımaktır. -pppy için -login. Bu, birkaç güvenlik eklentisi tarafından kolaylaştırılır ve bu açıkça zaman kaybı değildir. Saldırgan giriş sayfanızı bulamazsa, şifrenize kaba bir kuvvet saldırısı yapmaya bile çalışamayacakları fikrini reddedemem. (Bu konuda, daha sonra.) Bu öneri ile ilgili sorun, saldırganın siteniz için bir giriş sayfası bulmayı zor buluyorsa, siz (veya iş arkadaşları vb.) Belki de. Kullanımı kolay olduğunu düşündüğünüz sayfaları yer imlerine eklemenin güvenli ve güvenilir bir yoluna sahipseniz, elbette bunu yapın. Bazı basit güvenlik avantajları vardır. Ama yine de, başka şeyleri doğru yaparsanız faydalar çok büyük değildir. Sitenizdeki tüm hesapların iyi bir şifre varsa, şifreyi tahmin eden saldırının işe yaraması olası değildir. Dahası, hesapta kısa sürede yapılabilecek giriş çabalarının miktarını sınırlamak için birkaç yönteminiz varsa, başarılı giriş saldırıları olasılığını daha da azaltırsınız. Hem birlikte-iyi bir şifre ve bir arıza-FAR’ın arıza limiti, sitenize korunmadan girmek için belirsiz bir URL’den daha değerli.
WordPress’in güvende olmasını istiyorsanız yapmanız gereken bazı yaygın şeyler var. Bunu düşündüğümde bazı olasılıklar var, ama bunlar her zaman yapmanız gereken şeyler. Bu en uygun sırada değil, ama vermek istediğinizi düşündüğüm göreceli ilgi alanları ile ilgili. Ayrıca, sadece ilk birkaç şeyi yaparsanız, çevrimiçi WordPress web sitesinin% 50’sinin önünde olduğunuzu da ekleyeceğim. İlk beşi yaparsanız, WordPress sitenizde düzeltilemeyen güvenlik sorunları yaşamanız olası değildir ve her şeyi yaparsanız, sızan bir siteniz varsa çok şaşıracağım. Bu bir garanti değil, sadece böyle düşünüyorum. DO: WordPress için iyi bir şifre var İnternetteki her WordPress sitesinin temel yolu oldukça basit bir şekilde saldırıya uğrayabilir: Bot Hesap şifresini düzenli olarak, hemen hemen her çevrimiçi WordPress sitesinde tahmin edin. Kötü bir şifreniz var, büyük olasılıkla hesabınızı ve dolayısıyla sitenizi kaybedeceksiniz. Bazı net şifreler: şifre P455W0RD
[Site adı]
Charlieiscute
İyi bir şifre yapan şey hakkında birçok farklı düşünce akışı vardır. Ama neredeyse herkes bunun kötü olduğunu kabul ediyor. Tüm bunlar kötü çünkü bir şifre için bir şifre elde etmek oldukça kolay. “Parola” ve varyant – havalı, akıllı ve havalı karakterlerin değiştirilmesi bile – her zaman denemek için tahmin edilen şifre komut dosyaları listesinde en üstte. Sitenin adı da tahmin etmek iyidir. Ve “[site adı]” ile, ben ya da Fred’in burada wpshout’ta olduğu bir şifre olarak “wpshout” veya “wpshout” demek istiyorum. “Charlieiscute”, diğerlerine kıyasla birkaç önemli avantajı vardır. Örneğin bu sözlük kelimesi değildir. Bu da daha uzun. Ayrıca, çoğu insan Charlie’nin yakışıklı ve sevimli olmadığını düşünüyor. (Bu bir şaka. Charlie’yi tanımıyorum.) “Charlieiscute” ile ilgili eğlenceli şey uzunluk. Bu da biraz benzersiz. Ama tahmin etmek çok zor değil. Bu tamamen küçük harf kullanıyor. Büyük harf, sayı yok, özel karakter yok. Saldırganın bilmek mümkün olmasa da, diğer karakter sınıflarına girdiğinizde, rastgele tahmin sisteminin şifrenize daha hızlı vurması muhtemeldir. WordPress’teki şifre güvenliğinizi artırmak için bazı şeylerde WordPressAd parolalarının güvenliğini artırmak için adımlar. Ama bunlar büyük üç:
Tahmin edilmesi zor bir şifre var. İyi bir şifre okunması zor ve karmaşık görünüyor. “[E -posta Korumalı] & ltpwzm} rwhgp6#aty6hazjvxknz9zh” gibi bir şey. Bu şifre uzun, rastgele ve benzersizdir. Herhangi bir saldırı komut dosyasının düşük olduğunu tahmin etme olasılığı. Ve benzersiz olduğu için – bu aynı zamanda Facebook, Artworld, RandomInternetresseller veya her neyse benim şifrem değil – onlardan ödün vermeyecek. Şifreyi tahmin eden saldırıyı aydınlatacak. Varsayılan olarak, botlar WordPress sitenizde dakikada 1000 şifre (kabaca) tahmin edebilir. Bu çok fazla. İnsanların bir dizi başarısız çabadan sonra girmeye çalışmasını engellerseniz – 3, 5, 10, her neyse – saldırganı büyük ölçüde yavaşlatacaksınız. Bunu yapmanın en sevdiğim yolu “sınır giriş çabaları”. Aşağıda, giriş çabalarını daha ayrıntılı olarak sınırlamak için hızlı bir kılavuz bulunmaktadır.
WordPress’i, eklentileri ve her çevrimiçi WordPress sitesinin toplanan botnet tarafından saldırıya uğradığı neredeyse garanti edilen diğer yolların güncellenmesini güncelleyin. İster bir Revolution Slider, Timthumb veya saldırıya uğramış olan diğer ünlü WordPress eklentileri kullanmış olsanız da, BOT, sitenizdeki yazılımın eski sürümünde bilinen sorunu kullanmaya çalışacaktır. Büyük olasılıkla, sömürü artık oldukça eski olmasına rağmen, bot şimdi WordPress sitesine onlarla saldırmaya çalışıyor. Bu yüzden WordPress’i her zaman güncellemelisiniz. Ve sadece WordPress’in çekirdeği değil, aynı zamanda kullandığınız tüm eklentiler ve temalar. Şu anda daha yaygın eklentiler, WordPress’in çekirdeği veya teması yerine güvenlik güvenlik açığı vardır, ancak üçü de olabilir. Dış araştırmacılar veya geliştiriciler, cihazlarında çeşitli kodlarda güvenlik sorunlarının olduğunu fark ettiklerinde, en sorumlu eylemleri güvenlik açığı olmayan yeni bir sürüm oluşturmaktır. WordPress ekosistemindeki çoğu oyuncu bunu yapmakta iyidir. Bu yüzden rolünüzü yapmalısınız. Hata onarımı veya güvenlik yaması ile güncellemeler sunduklarında, zamanında yüklemelisiniz. WordPress’ten bu güncellemeyi sizin için yüklemesini, kendiniz yapmasını veya yönetim gibi uzun mesafeli bir WordPress yönetim eklentisini kullanmasını isteyebilirsiniz.
Ev sahibi WordPress “Yönetilen” sizin için bu tür şeyleri ele alacak (Site Alanı kullanıyoruz ve seviyoruz-daha fazla bilgi için site alan incelememize bakın).Rahatsız etmek istemiyorsanız, bunu yapacak birini de kiralayabilirsiniz.Ancak WordPress güvenliği konusunda ciddiyseniz bunu gerçekten yapmanız gerekir.DO: Otomatik ve normal WordPress ve normal rezervler yaptığınızdan emin olun ve sitenizin güvenliğini korumak için yapabileceğiniz en iyi şeylerden biri, kötü bir şey olduğunda veri güvenliğiniz olmasını sağlamaktır.Yani, sitenizden bir şey kötü olursa yeniden inşa etmek veya geri yüklemek için kullanılabilecek en az bir yeni yedeklemeniz olmalıdır.
Eminim, sitenizden en son yedeklemelerin olmasının tek yolu otomatik olarak yapmaktır.Çünkü biz insanız ve bu nedenle yanlış olabiliriz, büyük olasılıkla en son yedeklemelere sahip olmak için WordPress sitenize 1-10’a basmanızı istiyorsanız, bazen özlüyorsunuz.Bir yedekleme eklentisi kullanmaya çalışmanızın nedeni budur.İdeal olarak, dosyanızı (fotoğraf, PDF, vb.) Ve veritabanınızı da ayırmalıdır.Ve bu ideal olarak, gönderdiğiniz sunucudan verileri teşvik edecektir, çünkü en çok hacklemenin yedeklemenizi kolayca bırakamamasını sağlar.Bu, bir yedekleme değil WordPress güvenliği hakkında bir gönderi olduğundan, sizi tüm seçeneklerin ve değişimin tam bir listesini yapmayacağım.Ama bence Updraft Plus, Jetpack/VaultPress ve Buddy Backup aklımı geçenler.Yapmak:
WordPress sitenizi düzenli olarak kontrol edin Bu, sitenizde kötü şeylerin olmasını durdurabilecek bir şey değildir. Aslında, sitenizin gelişimini takip etmeye devam etmenin nedeni, çoğu, daha kötü şeyleri durdurmaktır. Sitenizde garip şeyler olduğunu gördüğünüzde, daha önce düzeltmek daha kolaydır. Ve etki çok kötü değil – Google, sitenin devralınmasından kaynaklanabilecek ziyaretçileri sizinle ilgili uyarıyor. Sitenizi güncellemek için düzenli olarak girmezseniz, en azından halka açık tarafın düzenli olarak iyi göründüğünden emin olmalısınız. Ve eğer yapamazsanız, en azından harici hizmetin (pingdom gibi) çevrimiçi göründüğünden emin olmalısınız. Bu şeyler için yapılacak şey, kötü veya garip bir şey olursa, yedeklemenizi doğrudan bir siteden yeni bir yinelemeye kurtarabileceğinizden emin olmaktır. Bu kötü bir şey olmadığı kadar iyi değil, ancak bu, sitenin uzun vadeli sağlığı için önemlidir. DO: Güvenilir veya korsan olmayan WordPress kodundan kaçının, korsan WordPress temaları hakkında talimatlar bulmak çok kolaydır. Bunu yapmak zorunda değilsin.
Bu çoğu insan için çok önemli değil. Çoğumuz yalnızca WordPress.org’dan veya onunla birlikte çalıştığımız/çalıştığımız geliştiricilerden veya diğer önde gelen satıcılardan yazılım kullanıyoruz. Tüm bunları yaparsanız, neredeyse bunun için endişelenmenize gerek yoktur. Bu çoğunlukla eklentileri, temaları vb. Kaçırarak para biriktirmeye çalışan insanlar içindir. Ya da “Eklenti Kulübü” nden veya iyi olmayan diğer kaynaklardan kod alarak para biriktirmeye çalışan kişiler. Bunu yaparsanız, birisi güvenlik kapısını yüklediğinden kod ücretsizdir. Bazen, ücretsiz WordPress.org eklentileri kötü aktör ve onlarla yapılan kötü şeyler tarafından devralınır. Neyse ki nadiren ve wordpress.org yöneticisi düzeltmek için oldukça iyidir. Ancak endişelenirseniz, en iyi adım, hangi eklentileri yükleyeceğinizi düşünürken biraz daha kapsamlıdır. DO: WordPress (HTTPS, 2FA) giren daha fazla güvenliği artırın En yaygın WordPress güvenlik önerilerinden biri SSL sertifikası almaktır. Ve bu açıkça iyi bir adımdır (ve site alanını sevmemiz gereken diğer nedenlerdir – kolaylaştırırlar). Ancak insanların çok az fark ettiği önemli şey, HTTPS/SSL’nin WordPress sitenizi gerçekten güvence altına almaması, ancak siteniz ve diğer kullanıcılar arasındaki iletişimdir (okuyun: alıcı). Yani çok değerli, ama hepsi değil. Özünde, HTTPS, siteniz ve web tarayıcısında gören herkes arasında güvenli bir tünel olarak kabul edilmelidir. HTTP bağlantıları, ziyaretçiler ve sunucular arasındaki çeşitli cihazlardan biri tarafından bakılabilir. HTTPS ile (neredeyse) bu insanların göz atması imkansızdır. Bu nedenle, HTTPS’nin en doğrudan yararı kimlik bilgilerinizdir (veya kredi kartı kimlik bilgilerinizdir, vb.) Daha güvenlidir. Örneğin, bir kahve dükkanı wifi’ye göz atan birinin şifrenizi görmesi olası değildir. Yani, bir HTTPS sertifikası almanız gerekir. Ancak gerçek WordPress kurulumunuzu sunucudaki hiçbir şekilde güvence altına almanın olduğunu düşünmeyin, çünkü aslında değil. Bir başka iyi adım ama biraz zahmetli bir adım, sitenizde iki faktör kimlik doğrulaması kullanmaktır. Bunu yaptığınızda, iki değil, girmek için üç şeye ihtiyacınız var. Genellikle siteye kullanıcı adı (veya e -posta adresi) ve şifre ile gireriz. 2FA ile, şu anda genellikle metin mesajları gönderebilen veya bir zaman serisi kodu üretebilen bir akıllı telefon anlamına gelen “sahip olduğunuz bir şeye” de ihtiyacınız var. Her iki durumda da, en güvenli sizsiniz çünkü şifre uzlaşmanız hesabınızı devralmak için yeterli değildir;
4 veya 6 basamaklı bir koda da ihtiyaç duyacaklar. WordPress’te bu özelliği sağlayan bir dizi değiştirme eklentisi var. Şu anda, Jetpack bunu sunuyor veya Mandiri eklentisini kullanabilirsiniz. DO: WordPress sitenize verdiğiniz kontrol erişimini kontrol edin. Çok yararlı olan bir başka güvenlik uygulaması, sitenize ne erişimi verdiğinizi gerçekten düşünmektir. Bu, tek bir adımdan daha farklı adımların bir kombinasyonudur. Ancak bu başlık ile uygun olduğunu düşündüğüm şeyler şöyle şeyler: Her ayarlanmış hesap kullanıcısını verin. Jamal ve Estrella’nın, yönetici veya wpShout gibi kullanıcı adına sahip bir hesapla sitenize gitmesine izin vermeyin. Onlara her hesabı verin ve hesaplarını yalnızca ihtiyaç duydukları erişim kurallarını sunar. WordPress kullanıcılarının rolünü ve yeteneğini kullanarak Jamal’a “Editör” hesabının yazarına verin, ancak Estrella geliştiriciniz tam erişim “yönetici”. Bu, en az erişim prensibi olarak adlandırılan şeye dayanır.
İnsanların zayıf bir şifresi olmasına izin vermeyin. Yukarıdaki tavsiyeye uyursanız, Jamal ve Estrella’nın NewYork veya Gogators gibi şifreler kullanmadığından da emin olmak istersiniz. Bunu, sosyal baskı yoluyla – bunu yapmamalarını isteyecek veya söylemek için yeterli – veya eklentiler gibi gerçek bir icra mekanizması yoluyla yapabilirsiniz.
Çok fazla erişim vermeyin. Demek istediğim daha belirsiz öneriler, çoğu güvenlik eklentileri ile daha kolay hale geliyor. (Ya da bir geliştiriciyseniz, bir dizi WordPress sabiti ayarlayın.) WordPress yönetim alanında dosya düzenlemesini yasaklamak ve Web barındırma veya buna ihtiyaç duymayan kişilere SFTP erişimi sağlamamanızı sağlamak gibi şeyler Bu genel şemsiye. Yap: Do: WordPress Güvenlik Eklentilerini Yükle Bir dizi iyi WordPress Güvenlik eklentisi var. Kullanmanız gereken özel, yazdığım gelecekteki makalelerin veya yaptığım kamu kaynaklarının konusudur. Ancak iyi bir güvenlik eklentisi, yukarıda bahsettiğimiz bir dizi genel güvenlik gereksiniminde size yardımcı olacaktır (ve bazıları bu makaleden ortadan kaldırdığım veya işe yaramaz sınıflara koyduğum şeylere yardımcı olacaktır). Hemen aklımı geçen isimler Sucuri, WordFence, Jetpack Protect ve Ithemes güvenlik idi. Diğerleri var ve liste son liste değil, araştırmanız için bir başlangıç listesi olarak tasarlandığından, lütfen anlamı siparişe okumayın. Eklenti sizin için birçok şey yapacak. Sizin için bir günlük erişimi yapacak, bilinen kötü aktörleri engelleyecek, giriş çabalarını sınırlandırabilecek ve sitenizdeki dosya izin problemleri gibi daha ezoterik olan şeyleri geliştirmenize yardımcı olabilirler. WordFence ve Sucuri (farklı şekillerde), “Web Uygulaması Güvenlik Duvarları” adlı botnet’ten kurtulmak için kötü trafik engelleme mekanizmaları sağlar.
Güvenlik zordur, umarım bu bu gönderiye yaklaşık 5000 kelime yardımcı olur. Bu çok fazla kelime. Ve eğer iyi okursanız veya (daha iyi) dikkatlice okursanız, umarım çok şey öğrendiğinizdir. Daha önce de belirttiğim gibi, bunun gerçekten WordPress güvenliği için tam bir rehber olduğunu hissetmedim. Kursumun başlığını verdim, WordPress Security güvenle. Ama bence WordPress site sahipleri için ana uygulamaların çoğunu tartıştık. Bir geliştiriciyseniz, WordPress güvenliği için öğrenmeniz gereken başka bir en iyi uygulama türü vardır. “Güvenli WordPress Kodu İlkeleri” makalemde ücretsiz olarak çok fazla ayrıntı alabilirsiniz ve WordPress güvenliği hakkında daha fazla ayrıntı alıyorum. Çekmemiz gereken en büyük 5 güvenlik adımının bir listesi ve yukarıdaki güvenliğimizi yerleştirmek için uygulayabileceğimiz 8 küçük güvenlik ince ayarlarının bir listesi için Cloud Living tarafından derlenen bu harika makaleye bakın. Umarım burada kalp için iyi tavsiye alırsınız. WordPress Security güncel olarak başlar ve güçlü bir şifre kullanır. Oradan, geri kalanların çoğu yararlı ama gereksizdir, çünkü WordPress’in kendisi oldukça güvenlidir. Ancak, sitenizi izlemek, kullanıcı denetimi hakkında proaktif olmak ve bir güvenlik eklentisine sahip olmak gibi gerçek güven için rezervlere ihtiyaç vardır. Ancak dünyada duyacağınız daha fazla tavsiye var ve işe yaramaz olsa da, ona odaklanmak için zaman harcamanızı gerçekten tavsiye etmiyorum. WordPress sitenizi tamamen ve sonsuza kadar güvenli hale getirmek bir süreçle mümkün değildir.
Genel güvenlik ilkeleriyle başlayarak ve takip edilebilecek belirli adımlara devam ederek, net ve jargon içermeyen dilde anlamanız gereken tüm ayrıntıları açıklıyoruz. Bu, WordPress Security’deki önemli arkadaşınızdır. Mutlak bir uzman olun ve WordPress güvenliğini doğru bir şekilde yaptığınıza dair güven alın. Tekrar öğrenin
Bu kılavuz tamamen eksik; WordPress güvenliğinin en iyi uygulamalarının listesi yok, bu sayfanın başlığının oldukça görkemli olduğunu anlıyorum. “WordPress Güvenliği için Komple Kılavuz”. P! Bu gerçekten WordPress güvenliği için tam bir rehber değildir, çünkü güvenlik, net ve dar bir kurallar kümesi olmayan büyümeye devam eden bir uygulamadır. Bir eklenti yükleyemez, üç basit kural izleyemez veya zamanla çok sınırlı olan ve internette (WordPress siteniz gibi) bir şeyin tamamen güvenli olduğunu bilemezsiniz.
Çölün ortasındaki 400 feet yeraltındaki nesneler, kimsenin çok güvende olduğunu bilmiyor. Ama aynı zamanda çok işe yaramazlar. WordPress sitesi gibi internetteki şeyler, korunması gereken karmaşık ve sürekli bir risk ortamına sahiptir. Bu nedenle bu sayfayı zaman zaman güncellemeye devam edeceğiz ve bunun tüm temelleri ve daha fazlasını kapsadığını düşünüyoruz. Ama size “bütünlüğümüz” ve “son” dan şüphe ederken katıldım. WordPress Güvenliğinde Neden Bana Güvenmelisiniz?
Ben (sağ), WordPress Matt Mullenweg’in kurucularından biri (sol!) Merhaba, ben David. 2017’nin sonunda, WordPress Security hakkında bir kurs yapmaya karar verdim. Ben de dahil olmak üzere tanıdığım çok fazla insanı hissediyorum, WordPress’in güvenliği hakkındaki gerçeği kurgudan ayırt etmek için mücadele ediyor. Satıcı eklentileri, diğer platformlar satan kişiler ve diğerleri WordPress güvenliği hakkında birçok olumsuz şey söylüyor. Biz genellikle “korku, belirsizlik ve asılsız şüpheler” olarak anlaşılan “fud” diyoruz. Kendim ve diğer insanlar için yapmaya değer bir WordPress sitesini güvence altına alacakları ve aptalca ve güncel olmayan bir öneriler bitirmek istiyorum. Oradan WordPress güvenliği güvenle ortaya çıktı. Yüzlerce araştırma saatinin sonucu olan bir video saati var. Ayrıca, konu hakkındaki çeşitli görüşlerini duymak ve iyi tavsiyeleri kötüden ayırmaya yardımcı olmak için WordPress güvenlik arenasının en üst kısmıyla da konuştum. “Bunun güvenli olmadığını duyuyorum …” WordPress güvenli mi? İnsanların WordPress’in güvenliğini görmeye başlamalarının en yaygın nedenlerinden biri ve WordPress güvenliği için en iyi uygulama, WordPress’in güvenli olduğundan veya ısrar etmeyen birinden haber almalarıdır. Yukarıda bahsettiğim gibi, WordPress güvenliği hakkında birçok fud var. Size bir şey satan birçok kişi var – Squarespace, WordPress güvenliği veya barındırma paketleri, şifre yöneticileri, ne olursa olsun – cehaletinizi kullanmaya çalışan ve bitirmeyen. (Amacım cehaletinizi ortadan kaldırmak ya da en azından en aza indirmek.)
Bu soruyu cevaplamanın özü teriminizi tanımlamaktır. WordPress, çeşitli farklı uygulama alışkanlıkları ve konfigürasyonlarına sahip geniş bir ekosistemdir. Bugün gerçekten güvenli olmayan ve önümüzdeki 24 veya 48 saat içinde hacklenecek bir WordPress sitesi var. Ancak kastettiğimiz, wordpress.org adresinden indirdiğiniz Zip dosyasında yer alan yazılımın temel kısmı olarak “WordPress” ise, bence oldukça güvenli. Belirli günlerde, dünyada saldırıya uğrayan WordPress yazılımında yamalı olmayan sorunların% 0.00001’inin% 0.00001’lik bir olasılığı vardır. WordPress artık otomatik doğuştan gelen bir güncelleme ile birlikte gelir ve ev sahiplerinin çoğu. Site başarısız olursa yamalıdır. Bu önemlidir, çünkü WordPress 4.9.1, önümüzdeki birkaç ay veya yıl içinde biri tarafından bulunacak güvenlik sorunları olabilir. Ancak kuruluşun WordPress yeni keşfedilen sorunun üzerinde kalır ve bu tür sorunları çözen 4.9.2 veya 4.9.20 gibi puanların yayınlanmasını sağlar. WordPress, en son sürümü hala kullanıyorsanız bu araç güvenlidir. Ve sitenizin güvendiğinizden emin olduğundan emin olursanız, yüklü bir güvenilir eklenti güncellemesiyle, gerçekten güvenlidir. Ancak bu şeyler yapılmadığında, verilen WordPress kurulumunun güvenli olmaması çok mümkündür.
WordPress için gerçek bir tehdit: Botnet! WordPress sitesi genellikle riskli değildir, çünkü her yerde bir kişi bunlardan birine kötü şeyler yapmaya çalışıyor. Aksine. WordPress sitenize girmeye çalışan bir kişinin olması olasılığınız var, ancak son zamanlarda tekno-sihirbaz yeğeni öfkenizi yapmadığınız sürece, bunun için endişelenmenize gerek olmayabilir. WordPress sitesini düzenli olarak tehdit eden ve zarar veren gerçek şey, sitenizi devralmaya çalışan insanlar tarafından otomatik bir saldırıdır. İnsanlar bu saldırıyı kontrol ediyor, ancak bilgisayarlar tarafından çözülüyorlar. Kimse kendi WordPress sitenizi çeşitli kullanıcı adları ve şifrelerle girmeye çalışmaz. Değiştirme olarak, WordPress sitesi için interneti taramak ve buldukları tüm siteleri girmeye çalışırlar. Veya herkes tarafından bilinen eklentinin güvenlik açığından yararlanmayı deneyin. Tehdit modelinizin çoğunlukla insan olmayan aktörlerden gelen WordPress sitesinde otomatik saldırılardan oluştuğunu anladığınızda, bir dizi farklı güvenlik uygulaması önemli hale gelir. WordPress sitesi neden saldırıya uğruyor, bekar insanlar yerine botnet hakkında en çok endişelenmeliyiz. Botnet neden küçük WordPress sitenizi devralmaya çalışır? Ayrıca, sadece web siteniz …
Arkadaşlarla resim paylaşın
Evcil hayvan taşıyıcınızı çevrimiçi olarak satmak Eğlenmek için yaz
vb
Botnet sitenizin ne için gerçekten umursamıyor. Güvensiz bir WordPress siteniz varsa, devralacaklar. Güdüleri farklıdır, ancak en yaygın nedenlerin devralınan WordPress sitesinin şöyleler olduğu görülebilir:
Sitelerine trafiğe devam edin Sendimiring, Google Juice’i sayfalarına göndermek için SEO sıralamanızı devraldı
Gurur veya siyasi mesaj için zarar vermek
Drive-by Downloads Site ziyaretçilerinizi yazın, kötü amaçlı yazılımlar vb. İndirin
Sitenizin arka kapısının daha sonra kullanması için
Site verilerinize erişmek için – kullanıcıların listesi, satın alma geçmişi vb.
SPAM gönderin – WordPress siteniz bir e -posta gönderebilirse, gönderiyi e -postaları için de kullanabilirler
Sunucu kaynaklarınızı (çoğu CPU) yararlı hesaplamalar yapmak için kullanmak için, büyük olasılıkla Bitcoin gibi kripto paralarını çıkarabilir
Sadece birkaç düşünce ve araştırmadan düşünebileceğim şey bu. Akıllı bilgisayar korsanlarının listeye ekleyecekleri daha fazlasına sahip olmaları çok mümkündür. Umarım bu listenin açıklığa kavuşturulmasıdır. Sitenizin göreceli belirsizliğinin koruma olmamasıdır. Tabii ki çekici bir kullanıcı listeniz olmayabilir, ancak dogecoin oluşturmak veya spam göndermek için kullanılabilecek bir sunucunuz var. Her sunucunun bir CPU’ olduğu ve çoğu e -posta gönderebilir. WordPress Security, tüm yığınlara dayanır, WordPress sitesi hakkında gerçekleştirilmesi gereken başka bir şey değil, WordPress’in gerçekten çeşitli teknolojilerin üzerinde olması ve yığının diğer kısımlarının da güvenlik açığı olabileceğidir. Örneğin, WordPress PHP’de çalışır. Tıpkı WordPress gibi, bazen PHP sürümü güvenlik açığı içerir. Düzenli olarak güncellenirseniz, bu büyük bir sorun değildir. Değilse, PHP sorunu WordPress sitenizi tehlikeye atabilir. Güvenlik yığınında WordPress sitenizin altında yatan başka bir şeyin yanlış yapılandırılmış olma olasılığı da vardır. Bu zamandan farklıdır, ancak aynı etkiye sahiptir. Bir web sunucusunu yapılandırmak için yeniyseniz, derin olumsuz güvenlik sonuçlarına sahip olacağını fark etmeden bir şeyin işe yaraması için gerekli görünen değişiklikler yapabilirsiniz. Bu beklediğinizden daha yaygındır ve mümkün olduğunca profesyoneller kadar çok sayıda WordPress olmayan yapılandırma göndermek istediğim ana nedenlerden biridir.
Kendi fiziksel sunucunuzu ayarlayamayacağınızı veya ucuz bir VPS satın alamayacağınızı ve diğer insanların yapılandırma komut dosyalarıyla yönetemeyeceğinizi söylemiyorum. Ancak WordPress’te çalıştırdığınız yapılandırmaya güvenmek çok önemlidir. Çünkü WordPress’i doğru yaparsanız, ancak MySQL yapılandırması yanlışsa, yine de çok kötü şeyler olabilir. İzlemenizi istediğim önerilere girmeden önce gerekli olmayan (ama genel) WordPress güvenlik önerileri, genellikle önemli olmadığını düşündüğüm diğer yerlerde gördüğüm tavsiyelerle başlamak istiyorum. Bu önerilerin çoğu, yapılırsa neredeyse biraz yararlıdır. Ancak bunu tavsiye etmememin nedeni, faydaların (varsa) çok küçük olmasıdır. Ve daha değerli güvenlik uygulamalarını görmezden gelmenizi sağlamak için zaman harcama olasılığı büyüktür. Bunu yapmakta özgürsünüz, ancak bence yatırılan zamanla orantılı değiller çünkü verdikleri faydalar çok küçük. Zahmet etmeyin: WordPress sürümümüzü gizleyin En işe yaramaz genel güvenlik önerileriyle başlayın-WordPress sürüm numarasını gizlemeniz veya WordPress kullandığınız. İkincisi ciddi bir şekilde yapmak çok zordur ve birincisi temelde değersizdir. WordPress’i çalıştırdığınızı gizlemek zordur ve çoğu insan bunu sadece ‘ı değiştirerek veya ortadan kaldırarak yapmaya çalışır
sitelerinde.Buna güvenecek kadar akıllı bir botnet yoktur ve WordPress olmayan sitelerden birçok web yöneticisi, insanların sitelerini WordPress gibi kontrol ettiklerini gördüklerini bildirir.WordPress sürümünüzü gizlemek mantıksızdır.Fikir, bir kez daha Botnet, WordPress sitenizin savunmasız olduğu bilinen bir WordPress sürümü kullanıp kullanmadığını kontrol edecektir ve daha sonra sürüm numaranız listede değilse size saldırmaz.Birinin Botnet’in böyle davrandığına dair kanıtları olduğunu söylediğini hiç duymadım ve neden yaptıklarını bilmiyorum.Eminim bu sadece WordPress’in en son sürümünü kullanmaktan çok daha az değerlidir, bu yüzden sadece yapın.Zahmet etmeyin:
WordPress sitelerini sadece bir web arayüzü olarak kullanan kişiler için XML-RPC API ve JSON REST API’si devre dışı bırakın ve sadece XML-RPC API WordPress’i devre dışı bırakmanın hiçbir zararı yoktur. XML-RPC, WordPress sitenize bağlanmak için Marsedit, WordPress hücresel uygulamaları ve diğer benzer araçlar gibi şeyler tarafından kullanılır. Şimdi bu aletlerin yangının geri kalanına güvenmesi mümkündür, ancak çoğu bunun için güncellenmemiştir. JSON REST API, WordPress’e daha yeni bir ektir, ancak çok benzer kullanıma hizmet edebilir. Buna ek olarak, WordPress, daha zengin etkileşim sağlayan özellikler için JSON REST API’sını daha iyi kullanmak için dahili olarak çalışır. Bu yangınların her ikisi de saldırganın sitenizi takip etmek için yapabileceği bir yoldur. Ve vahşi doğada bu saldırıyı deneyen insanlar hakkında bilinen bir not var. Bunu önermediğim şeyler listesine koymamın nedeni, iki tür saldırının çok yaygın olmamasıydı. Ve bu yangınların her ikisi de çok kullanışlıdır ve bir gün WordPress sitenizde yapmaya çalıştığınız bir şeyin hasar göreceğini, çünkü bu ateşi tamamen engellediğiniz için görebilirsiniz. Daha iyi bir çözüm, bir web güvenlik duvarı almaktır. İdeal olarak, WordPress sunucunuz sizin için dahil etti. Değilse, Sucuri veya Cloudflare gibi insanlardan kendiniz satın alabilirsiniz. Bu, yangının sonuna kadar kötü trafik olasılığını durdurmalı, ancak iyi şeylerin geçmesine izin vermelidir. Bu garanti edilmez, ancak genellikle sadece kapatmaktan daha iyi bir çözümdür. Zahmet etmeyin:
WordPress veritabanı önekini değiştirin WordPress hazırlayan çoğu kişi, bir veritabanı öneki isteyen metnin metnini gördü ve içinde WP_ değerini gördü. WordPress, önekle başlayan tablodaki veritabanında verilerinizi – gönderme, yorumlar, ürünler vb. – saklar. Buradaki fikir, varsayılan değerin daha az güvenli olduğu ve büyük olasılıkla başka WordPress sitelerine ait olmayan JADFL_ gibi yapmanız gerektiğidir. Bu adım sizi düşük korumak için mümkündür. Bunu yaparken özellikle SQL enjeksiyon saldırısı olarak adlandırılan şeye karşı korunursunuz. Bazı WordPress siteleri bu şekilde tehlikeye atılır, ancak elbette site silinebilir. Ancak, bu SQL enjeksiyon saldırılarına karşı savunmasız olan WordPress sürümünü veya eklentileri çalıştırmanız gerekir. Dolayısıyla, eklentileriniz, temalarınız ve WordPress’leriniz en sonunsa, bundan çok fazla ek avantaj elde edemezsiniz. Dahası, sitenizde bir SQL enjeksiyon saldırısı varsa, saldırganların veritabanı tablolarınızın bir listesini oluşturmaları için çok kolaydır. Bu, yazının WP_POSTS etiketli tabloda olduğu varsayım kadar hızlı değildir, ancak bunu masanızın yerini değerlendirecek ve bunu doğrulamayacak olan saldırganların sayısı, taşıyacak kadar akıllı olanların küçük bir kısmı olabilir. ilk etapta saldırılar. Bence yeni bir site hazırlıyorsanız veya veritabanı önekinizi değiştirmenin kolay bir yolunu buluyorsanız, devam edin ve yapın. Bu çok ince bir zafer, ama bu bir zafer.
Ancak siteniz WP_ önekini kullanarak çalışıyorsa ve özellikle bir geliştirici değilseniz, bunu yapmaya çalışmak için zamanınızı boşa harcamayın. Rahatsız etmeyin: WordPress Oturum Açma URL adınızı değiştirin, Yapılması uygun olmadığını düşündüğüm son öneri, örneğin.com/wp-login.php’den örnek/bmy-selret-url gibi bir şeye taşımaktır. -pppy için -login. Bu, birkaç güvenlik eklentisi tarafından kolaylaştırılır ve bu açıkça zaman kaybı değildir. Saldırgan giriş sayfanızı bulamazsa, şifrenize kaba bir kuvvet saldırısı yapmaya bile çalışamayacakları fikrini reddedemem. (Bu konuda, daha sonra.) Bu öneri ile ilgili sorun, saldırganın siteniz için bir giriş sayfası bulmayı zor buluyorsa, siz (veya iş arkadaşları vb.) Belki de. Kullanımı kolay olduğunu düşündüğünüz sayfaları yer imlerine eklemenin güvenli ve güvenilir bir yoluna sahipseniz, elbette bunu yapın. Bazı basit güvenlik avantajları vardır. Ama yine de, başka şeyleri doğru yaparsanız faydalar çok büyük değildir. Sitenizdeki tüm hesapların iyi bir şifre varsa, şifreyi tahmin eden saldırının işe yaraması olası değildir. Dahası, hesapta kısa sürede yapılabilecek giriş çabalarının miktarını sınırlamak için birkaç yönteminiz varsa, başarılı giriş saldırıları olasılığını daha da azaltırsınız. Hem birlikte-iyi bir şifre ve bir arıza-FAR’ın arıza limiti, sitenize korunmadan girmek için belirsiz bir URL’den daha değerli.
WordPress’in güvende olmasını istiyorsanız yapmanız gereken bazı yaygın şeyler var. Bunu düşündüğümde bazı olasılıklar var, ama bunlar her zaman yapmanız gereken şeyler. Bu en uygun sırada değil, ama vermek istediğinizi düşündüğüm göreceli ilgi alanları ile ilgili. Ayrıca, sadece ilk birkaç şeyi yaparsanız, çevrimiçi WordPress web sitesinin% 50’sinin önünde olduğunuzu da ekleyeceğim. İlk beşi yaparsanız, WordPress sitenizde düzeltilemeyen güvenlik sorunları yaşamanız olası değildir ve her şeyi yaparsanız, sızan bir siteniz varsa çok şaşıracağım. Bu bir garanti değil, sadece böyle düşünüyorum. DO: WordPress için iyi bir şifre var İnternetteki her WordPress sitesinin temel yolu oldukça basit bir şekilde saldırıya uğrayabilir: Bot Hesap şifresini düzenli olarak, hemen hemen her çevrimiçi WordPress sitesinde tahmin edin. Kötü bir şifreniz var, büyük olasılıkla hesabınızı ve dolayısıyla sitenizi kaybedeceksiniz. Bazı net şifreler: şifre P455W0RD
[Site adı]
Charlieiscute
İyi bir şifre yapan şey hakkında birçok farklı düşünce akışı vardır. Ama neredeyse herkes bunun kötü olduğunu kabul ediyor. Tüm bunlar kötü çünkü bir şifre için bir şifre elde etmek oldukça kolay. “Parola” ve varyant – havalı, akıllı ve havalı karakterlerin değiştirilmesi bile – her zaman denemek için tahmin edilen şifre komut dosyaları listesinde en üstte. Sitenin adı da tahmin etmek iyidir. Ve “[site adı]” ile, ben ya da Fred’in burada wpshout’ta olduğu bir şifre olarak “wpshout” veya “wpshout” demek istiyorum. “Charlieiscute”, diğerlerine kıyasla birkaç önemli avantajı vardır. Örneğin bu sözlük kelimesi değildir. Bu da daha uzun. Ayrıca, çoğu insan Charlie’nin yakışıklı ve sevimli olmadığını düşünüyor. (Bu bir şaka. Charlie’yi tanımıyorum.) “Charlieiscute” ile ilgili eğlenceli şey uzunluk. Bu da biraz benzersiz. Ama tahmin etmek çok zor değil. Bu tamamen küçük harf kullanıyor. Büyük harf, sayı yok, özel karakter yok. Saldırganın bilmek mümkün olmasa da, diğer karakter sınıflarına girdiğinizde, rastgele tahmin sisteminin şifrenize daha hızlı vurması muhtemeldir. WordPress’teki şifre güvenliğinizi artırmak için bazı şeylerde WordPressAd parolalarının güvenliğini artırmak için adımlar. Ama bunlar büyük üç:
Tahmin edilmesi zor bir şifre var. İyi bir şifre okunması zor ve karmaşık görünüyor. “[E -posta Korumalı] & ltpwzm} rwhgp6#aty6hazjvxknz9zh” gibi bir şey. Bu şifre uzun, rastgele ve benzersizdir. Herhangi bir saldırı komut dosyasının düşük olduğunu tahmin etme olasılığı. Ve benzersiz olduğu için – bu aynı zamanda Facebook, Artworld, RandomInternetresseller veya her neyse benim şifrem değil – onlardan ödün vermeyecek. Şifreyi tahmin eden saldırıyı aydınlatacak. Varsayılan olarak, botlar WordPress sitenizde dakikada 1000 şifre (kabaca) tahmin edebilir. Bu çok fazla. İnsanların bir dizi başarısız çabadan sonra girmeye çalışmasını engellerseniz – 3, 5, 10, her neyse – saldırganı büyük ölçüde yavaşlatacaksınız. Bunu yapmanın en sevdiğim yolu “sınır giriş çabaları”. Aşağıda, giriş çabalarını daha ayrıntılı olarak sınırlamak için hızlı bir kılavuz bulunmaktadır.
Parola yöneticileri kullanın. Yukarıdaki ilk şeyi yaptıysanız, şifreyi yazarken hızlı bir şekilde sıkılırsınız, yoksa unutacaksınız. Şifre yöneticisinin girdiği yer burasıdır. Hangisinin kullanılacağını ve nedenini söylemem için çok fazla şifre yöneticisi var. Şahsen kullanıyorum ve 1Password’u seviyorum, ancak kilometreniz farklı olabilir. Keepins ve LastPass diğer popüler yöneticilerdir.
Yapmak:WordPress’i, eklentileri ve her çevrimiçi WordPress sitesinin toplanan botnet tarafından saldırıya uğradığı neredeyse garanti edilen diğer yolların güncellenmesini güncelleyin. İster bir Revolution Slider, Timthumb veya saldırıya uğramış olan diğer ünlü WordPress eklentileri kullanmış olsanız da, BOT, sitenizdeki yazılımın eski sürümünde bilinen sorunu kullanmaya çalışacaktır. Büyük olasılıkla, sömürü artık oldukça eski olmasına rağmen, bot şimdi WordPress sitesine onlarla saldırmaya çalışıyor. Bu yüzden WordPress’i her zaman güncellemelisiniz. Ve sadece WordPress’in çekirdeği değil, aynı zamanda kullandığınız tüm eklentiler ve temalar. Şu anda daha yaygın eklentiler, WordPress’in çekirdeği veya teması yerine güvenlik güvenlik açığı vardır, ancak üçü de olabilir. Dış araştırmacılar veya geliştiriciler, cihazlarında çeşitli kodlarda güvenlik sorunlarının olduğunu fark ettiklerinde, en sorumlu eylemleri güvenlik açığı olmayan yeni bir sürüm oluşturmaktır. WordPress ekosistemindeki çoğu oyuncu bunu yapmakta iyidir. Bu yüzden rolünüzü yapmalısınız. Hata onarımı veya güvenlik yaması ile güncellemeler sunduklarında, zamanında yüklemelisiniz. WordPress’ten bu güncellemeyi sizin için yüklemesini, kendiniz yapmasını veya yönetim gibi uzun mesafeli bir WordPress yönetim eklentisini kullanmasını isteyebilirsiniz.
Ev sahibi WordPress “Yönetilen” sizin için bu tür şeyleri ele alacak (Site Alanı kullanıyoruz ve seviyoruz-daha fazla bilgi için site alan incelememize bakın).Rahatsız etmek istemiyorsanız, bunu yapacak birini de kiralayabilirsiniz.Ancak WordPress güvenliği konusunda ciddiyseniz bunu gerçekten yapmanız gerekir.DO: Otomatik ve normal WordPress ve normal rezervler yaptığınızdan emin olun ve sitenizin güvenliğini korumak için yapabileceğiniz en iyi şeylerden biri, kötü bir şey olduğunda veri güvenliğiniz olmasını sağlamaktır.Yani, sitenizden bir şey kötü olursa yeniden inşa etmek veya geri yüklemek için kullanılabilecek en az bir yeni yedeklemeniz olmalıdır.
Eminim, sitenizden en son yedeklemelerin olmasının tek yolu otomatik olarak yapmaktır.Çünkü biz insanız ve bu nedenle yanlış olabiliriz, büyük olasılıkla en son yedeklemelere sahip olmak için WordPress sitenize 1-10’a basmanızı istiyorsanız, bazen özlüyorsunuz.Bir yedekleme eklentisi kullanmaya çalışmanızın nedeni budur.İdeal olarak, dosyanızı (fotoğraf, PDF, vb.) Ve veritabanınızı da ayırmalıdır.Ve bu ideal olarak, gönderdiğiniz sunucudan verileri teşvik edecektir, çünkü en çok hacklemenin yedeklemenizi kolayca bırakamamasını sağlar.Bu, bir yedekleme değil WordPress güvenliği hakkında bir gönderi olduğundan, sizi tüm seçeneklerin ve değişimin tam bir listesini yapmayacağım.Ama bence Updraft Plus, Jetpack/VaultPress ve Buddy Backup aklımı geçenler.Yapmak:
WordPress sitenizi düzenli olarak kontrol edin Bu, sitenizde kötü şeylerin olmasını durdurabilecek bir şey değildir. Aslında, sitenizin gelişimini takip etmeye devam etmenin nedeni, çoğu, daha kötü şeyleri durdurmaktır. Sitenizde garip şeyler olduğunu gördüğünüzde, daha önce düzeltmek daha kolaydır. Ve etki çok kötü değil – Google, sitenin devralınmasından kaynaklanabilecek ziyaretçileri sizinle ilgili uyarıyor. Sitenizi güncellemek için düzenli olarak girmezseniz, en azından halka açık tarafın düzenli olarak iyi göründüğünden emin olmalısınız. Ve eğer yapamazsanız, en azından harici hizmetin (pingdom gibi) çevrimiçi göründüğünden emin olmalısınız. Bu şeyler için yapılacak şey, kötü veya garip bir şey olursa, yedeklemenizi doğrudan bir siteden yeni bir yinelemeye kurtarabileceğinizden emin olmaktır. Bu kötü bir şey olmadığı kadar iyi değil, ancak bu, sitenin uzun vadeli sağlığı için önemlidir. DO: Güvenilir veya korsan olmayan WordPress kodundan kaçının, korsan WordPress temaları hakkında talimatlar bulmak çok kolaydır. Bunu yapmak zorunda değilsin.
Bu çoğu insan için çok önemli değil. Çoğumuz yalnızca WordPress.org’dan veya onunla birlikte çalıştığımız/çalıştığımız geliştiricilerden veya diğer önde gelen satıcılardan yazılım kullanıyoruz. Tüm bunları yaparsanız, neredeyse bunun için endişelenmenize gerek yoktur. Bu çoğunlukla eklentileri, temaları vb. Kaçırarak para biriktirmeye çalışan insanlar içindir. Ya da “Eklenti Kulübü” nden veya iyi olmayan diğer kaynaklardan kod alarak para biriktirmeye çalışan kişiler. Bunu yaparsanız, birisi güvenlik kapısını yüklediğinden kod ücretsizdir. Bazen, ücretsiz WordPress.org eklentileri kötü aktör ve onlarla yapılan kötü şeyler tarafından devralınır. Neyse ki nadiren ve wordpress.org yöneticisi düzeltmek için oldukça iyidir. Ancak endişelenirseniz, en iyi adım, hangi eklentileri yükleyeceğinizi düşünürken biraz daha kapsamlıdır. DO: WordPress (HTTPS, 2FA) giren daha fazla güvenliği artırın En yaygın WordPress güvenlik önerilerinden biri SSL sertifikası almaktır. Ve bu açıkça iyi bir adımdır (ve site alanını sevmemiz gereken diğer nedenlerdir – kolaylaştırırlar). Ancak insanların çok az fark ettiği önemli şey, HTTPS/SSL’nin WordPress sitenizi gerçekten güvence altına almaması, ancak siteniz ve diğer kullanıcılar arasındaki iletişimdir (okuyun: alıcı). Yani çok değerli, ama hepsi değil. Özünde, HTTPS, siteniz ve web tarayıcısında gören herkes arasında güvenli bir tünel olarak kabul edilmelidir. HTTP bağlantıları, ziyaretçiler ve sunucular arasındaki çeşitli cihazlardan biri tarafından bakılabilir. HTTPS ile (neredeyse) bu insanların göz atması imkansızdır. Bu nedenle, HTTPS’nin en doğrudan yararı kimlik bilgilerinizdir (veya kredi kartı kimlik bilgilerinizdir, vb.) Daha güvenlidir. Örneğin, bir kahve dükkanı wifi’ye göz atan birinin şifrenizi görmesi olası değildir. Yani, bir HTTPS sertifikası almanız gerekir. Ancak gerçek WordPress kurulumunuzu sunucudaki hiçbir şekilde güvence altına almanın olduğunu düşünmeyin, çünkü aslında değil. Bir başka iyi adım ama biraz zahmetli bir adım, sitenizde iki faktör kimlik doğrulaması kullanmaktır. Bunu yaptığınızda, iki değil, girmek için üç şeye ihtiyacınız var. Genellikle siteye kullanıcı adı (veya e -posta adresi) ve şifre ile gireriz. 2FA ile, şu anda genellikle metin mesajları gönderebilen veya bir zaman serisi kodu üretebilen bir akıllı telefon anlamına gelen “sahip olduğunuz bir şeye” de ihtiyacınız var. Her iki durumda da, en güvenli sizsiniz çünkü şifre uzlaşmanız hesabınızı devralmak için yeterli değildir;
4 veya 6 basamaklı bir koda da ihtiyaç duyacaklar. WordPress’te bu özelliği sağlayan bir dizi değiştirme eklentisi var. Şu anda, Jetpack bunu sunuyor veya Mandiri eklentisini kullanabilirsiniz. DO: WordPress sitenize verdiğiniz kontrol erişimini kontrol edin. Çok yararlı olan bir başka güvenlik uygulaması, sitenize ne erişimi verdiğinizi gerçekten düşünmektir. Bu, tek bir adımdan daha farklı adımların bir kombinasyonudur. Ancak bu başlık ile uygun olduğunu düşündüğüm şeyler şöyle şeyler: Her ayarlanmış hesap kullanıcısını verin. Jamal ve Estrella’nın, yönetici veya wpShout gibi kullanıcı adına sahip bir hesapla sitenize gitmesine izin vermeyin. Onlara her hesabı verin ve hesaplarını yalnızca ihtiyaç duydukları erişim kurallarını sunar. WordPress kullanıcılarının rolünü ve yeteneğini kullanarak Jamal’a “Editör” hesabının yazarına verin, ancak Estrella geliştiriciniz tam erişim “yönetici”. Bu, en az erişim prensibi olarak adlandırılan şeye dayanır.
İnsanların zayıf bir şifresi olmasına izin vermeyin. Yukarıdaki tavsiyeye uyursanız, Jamal ve Estrella’nın NewYork veya Gogators gibi şifreler kullanmadığından da emin olmak istersiniz. Bunu, sosyal baskı yoluyla – bunu yapmamalarını isteyecek veya söylemek için yeterli – veya eklentiler gibi gerçek bir icra mekanizması yoluyla yapabilirsiniz.
Çok fazla erişim vermeyin. Demek istediğim daha belirsiz öneriler, çoğu güvenlik eklentileri ile daha kolay hale geliyor. (Ya da bir geliştiriciyseniz, bir dizi WordPress sabiti ayarlayın.) WordPress yönetim alanında dosya düzenlemesini yasaklamak ve Web barındırma veya buna ihtiyaç duymayan kişilere SFTP erişimi sağlamamanızı sağlamak gibi şeyler Bu genel şemsiye. Yap: Do: WordPress Güvenlik Eklentilerini Yükle Bir dizi iyi WordPress Güvenlik eklentisi var. Kullanmanız gereken özel, yazdığım gelecekteki makalelerin veya yaptığım kamu kaynaklarının konusudur. Ancak iyi bir güvenlik eklentisi, yukarıda bahsettiğimiz bir dizi genel güvenlik gereksiniminde size yardımcı olacaktır (ve bazıları bu makaleden ortadan kaldırdığım veya işe yaramaz sınıflara koyduğum şeylere yardımcı olacaktır). Hemen aklımı geçen isimler Sucuri, WordFence, Jetpack Protect ve Ithemes güvenlik idi. Diğerleri var ve liste son liste değil, araştırmanız için bir başlangıç listesi olarak tasarlandığından, lütfen anlamı siparişe okumayın. Eklenti sizin için birçok şey yapacak. Sizin için bir günlük erişimi yapacak, bilinen kötü aktörleri engelleyecek, giriş çabalarını sınırlandırabilecek ve sitenizdeki dosya izin problemleri gibi daha ezoterik olan şeyleri geliştirmenize yardımcı olabilirler. WordFence ve Sucuri (farklı şekillerde), “Web Uygulaması Güvenlik Duvarları” adlı botnet’ten kurtulmak için kötü trafik engelleme mekanizmaları sağlar.
Güvenlik zordur, umarım bu bu gönderiye yaklaşık 5000 kelime yardımcı olur. Bu çok fazla kelime. Ve eğer iyi okursanız veya (daha iyi) dikkatlice okursanız, umarım çok şey öğrendiğinizdir. Daha önce de belirttiğim gibi, bunun gerçekten WordPress güvenliği için tam bir rehber olduğunu hissetmedim. Kursumun başlığını verdim, WordPress Security güvenle. Ama bence WordPress site sahipleri için ana uygulamaların çoğunu tartıştık. Bir geliştiriciyseniz, WordPress güvenliği için öğrenmeniz gereken başka bir en iyi uygulama türü vardır. “Güvenli WordPress Kodu İlkeleri” makalemde ücretsiz olarak çok fazla ayrıntı alabilirsiniz ve WordPress güvenliği hakkında daha fazla ayrıntı alıyorum. Çekmemiz gereken en büyük 5 güvenlik adımının bir listesi ve yukarıdaki güvenliğimizi yerleştirmek için uygulayabileceğimiz 8 küçük güvenlik ince ayarlarının bir listesi için Cloud Living tarafından derlenen bu harika makaleye bakın. Umarım burada kalp için iyi tavsiye alırsınız. WordPress Security güncel olarak başlar ve güçlü bir şifre kullanır. Oradan, geri kalanların çoğu yararlı ama gereksizdir, çünkü WordPress’in kendisi oldukça güvenlidir. Ancak, sitenizi izlemek, kullanıcı denetimi hakkında proaktif olmak ve bir güvenlik eklentisine sahip olmak gibi gerçek güven için rezervlere ihtiyaç vardır. Ancak dünyada duyacağınız daha fazla tavsiye var ve işe yaramaz olsa da, ona odaklanmak için zaman harcamanızı gerçekten tavsiye etmiyorum. WordPress sitenizi tamamen ve sonsuza kadar güvenli hale getirmek bir süreçle mümkün değildir.
