WordPress Güvenlik Uzmanı ve Amp;Üyelerimizden 40 yeni güvenlik ipucu!

Jesse: Zamanımı çoğunlukla WordPress bazlı sitelerin geliştirilmesi, bakımı ve barındırma arasında böldüm. Çoğunlukla küçük ve orta müşteri sitelerinde çalışıyorum. Yaklaşık bir düzine başarılı e -ticaret sitem ve yaklaşık bir düzine multisitus ayarım var. Yaklaşık 150 WordPress sitesi için sürdürülebilir bakım ve güvenlik sağlayarak 7 sunucuda 200’den fazla site yayınladım ve 60’tan fazla şirket için 180+ e -posta hesapları yayınladığım ayrı bir e -posta sunucum var. Cliff: Gooatcloud tarafından, özellikle küçük işletmeler ve solo uygulayıcılar için yönetilen siteler. Bu nedenle, oldukça büyük orta ölçekli ve kar amacı gütmeyen işletmeler için bir dizi siteyi de yönetiyoruz. Logolar: Olağanüstü web siteleri, çeşitli farklı endüstriyel web sitelerini içeren diğer küçük işletmelerle çalışmak konusunda uzmanlaşıyor. Bunlar arasında E-Niaga, Multisitus, kar amacı gütmeyen, restoranlar, topluluklar, oteller, etkinlikler, inşaat, otomotiv, sağlık ve fitness, fitness, gayrimenkul, diğer ajanslar ve daha fazlası bulunmaktadır. 2. Müşterinin WordPress sitesinde karşılaştığınız en yaygın güvenlik sorunları nelerdir? Richard: En yaygın güvenlik sorunu geç bakım. Artık en son sürümün 9+ yıl önce piyasaya sürüldüğü geliştiricilerden artık güncelleme almayan eklentiler. Bununla ilgili olarak, geçerli lisanslar olmadan genellikle eklentiler ve premium temalar, mevcut güncellemeleri raporlamamaya neden olur. Son kullanıcı daha sonra WordPress kullanılabilir güncellemeleri görüntülemediğinden en son kullanıcı olduğuna inanır.
Çok sık karşılaştığım bir başka kamu güvenlik sorunu, aynı web barındırma paketindeki bazı sitelerdir, burada birbirleriyle iyi izole edilmezler, bu da çapraz yer çapraz kontaminasyonuna neden olur. Jesse: Brute Force’un WordPress girişine yapılan saldırısı bugün benim için en yaygın sorun. Ama savunmacı benim için ilgilendi. Bir sonraki en yaygın vektörün eklentiler ve zayıf veya modası geçmiş temalar yoluyla olduğunu söyleyeceğim. Her hafta tüm çekirdekleri, temalarımı ve eklentilerimi güncelleyerek üstesinden geliyorum. Her şeyi güncel tutun Bu soruna karşı en iyi savunma. Geçen yıllarda Sitemi e-posta ve barındırma hizmetleri sağlayan bir sunucuda tutuyordum ve bu gerçekten birçok soruna neden oldu, her iki site etkinliği e-posta teslimatını veya virüsleri etkileyecek E -posta saldırganlar için bir Truva atı olabilir, ancak son yıllarda e -postaları farklı sunuculardaki sitelerden ayırdım ve daha mutlu olamam, geçiş sorunu çok daha güvenlidir. Cliff: Genellikle bir siteyi miras aldığımda, bir hesap hazırlarken site sahibi veya site geliştiricisinin ne kadar zayıf olduğunu buldum. Yazılım genellikle süresi dolmuş ve şifre yeterli değil veya kullanıcı adının tahmin edilmesi veya her ikisi de kolaydır. Ayrıca, miras sitelerinin sitede yazılımı veya siteyi korumayı amaçlayan ana bilgisayarlara sahip olmadığı da olur.
Logan: Müşteri WordPress siteleri için en yaygın güvenlik sorunu DOS saldırılarıdır. Bu terimde yeni olanlar için, DOS saldırıları, bazı talepler müşterinin web sitesine aynı anda gönderildiğinde, sunucuyu yükleyen ve bir çarpışma sitesi oluşturur. Bilgisayar korsanları, müşterinin sitesinde, site içeriğini ekleyebilen, silebilen ve hatta çalabilen veri sorgularını kullanabilir. Başka bir genel güvenlik sorunu, bilgisayar korsanlarının müşterinin sitesine girmesidir, burada yeni kullanıcılar, rastgele içerik (genellikle kukla kodlar veya içerik) ve yönetici ayarlarını değiştirirler. 3. Müşteriye çözmeniz gereken en kötü güvenlik sorunu nedir? Richard: Şimdiye kadar gördüğüm en kötü güvenlik sorunu sekiz web sitesine sahip bir barındırma hesabı. Sadece 1 web sitesi kullanılır ve her türlü problemi vardır, yedekleme ile bir şeyler denediler, ancak bu yardımcı olmaz. Bize yardım istemek için gelmeden önce, sorunu çözmesi gereken başka ‘WordPress geliştiricileri’ de vardı. Onlara “saldırıya uğramış” yeni bir web sitesi satıyor
Yine bir veya iki gün içinde. Bu sorun üzerinde çalışmaya başladığımda, nedenin artık kullanılmayan ve sürdürülmemiş ancak hala çevrimiçi olan barındırma paketinde diğer bazı web sitelerinde olduğu anlaşıldı. Hepsi sadece alan adları için. Eski siteler, 12 yıl önce çok uzun olan Mambo, Drupal ve WordPress’in çeşitli versiyonlarına sahiptir. Ana web sitesi kendi barındırma paketini aldıktan sonra, bu sadece kısa sürede temizlik ve hackleme meselesidir. Müşteriler gelecekte diğer 7 web sitesini silmeye karar verdiler, çünkü düzeltmek için parayla orantılı değiller. Jesse: Kodlanabilir bir uzman olarak, müşterilere her zaman temizleme konusunda yardımcı olurum. Bu, sunucuma asılan insanlar değil, gerçekten ihtiyacı var. Kötü yazılmış eski bir eklenti aracılığıyla ihlal edilen müşterilerim var. Saldırganlar sitede kullanıcıları yapabilir, kullanıcıları SQL enjeksiyonu yoluyla yöneticilere tanıtabilir ve daha sonra yönetici olarak her site sayfasında spam içeren içerik enjekte edebilirler. Bu görünür bir içerik değildir, sayfada gizlenir (yani beyaz arka plana sahip beyaz yazı tipi) ve SEO’larına yasaklanmış ürünleri için yardımcı olması amaçlanmaktadır. Bu içerik sitelerini Google aramasında kara listeye sokar, tarayıcı büyük bir kırmızı uyarı sayfası olmadan bir sayfa yüklemez ve Google’ın arama sonuçları “uyarılar, bu sayfa saldırıya uğradı” diyor.
Saldırgan ayrıca, sitedeki her eklenti ve temaya kodu enjekte etmek için erişim kullanır, bu nedenle yönetici kullanıcısını silmeye ve içeriği temizlemeye çalışırsanız, saldırıya girip tekrarlamasına izin vermek için tüm sitelerde bir at truva atı vardır. Bu çalışma, kullanıcıyı silmeyi, sitedeki her eklenti ve çekirdek WP dosyasını değiştirmeyi, enjekte edilen tüm içeriğin silinmesini sağlamak için temadaki her dosya ile tarama yapmayı ve daha sonra sayfanın veritabanını sayfa ile analiz etmeyi gerektirir. Tüm içeriği spam’in sildiğinden emin olun. Daha sonra bu siteyi kilitlemek ve bunun tekrar olmasını önlemek için güvediğim eklentilerin bir kombinasyonunu yükledim. Son olarak, siyah listeyi silmek ve sitenin artık saldırıya uğramadığına ikna etmek için arama konsolları aracılığıyla Google’a bir istekte bulunmak zorunda kaldım. Tüm bunlardan bu yana bir yıldan fazla bir süredir ve başka bir olay yoktu. Cliff: En kötüsü, bu işletmeye katılımımdan önce saldırıya uğramış site. Gelecekte hackleme ve siteleri korumak için istihdam edildim. Neyse ki, bir kötü aktör üçüncü taraf ve benzerlerinin sitesine bir bağlantı ile sadece web sitesinde yabancı verilerin zorlanması. Karmaşık sorun, çoklu bir kurulum olmasıdır. Her şeyi temizlemek için WordPress tablolarında çalışmak saatler sürüyor!
Logan: Folyolanması gereken çok akıllı kimlik avı sahtekarımız var.Bir gün bir müşterinin Panic adlı bir müşteriyi hatırlıyorum çünkü o sırada CFO’ları olduğunu düşündükleri banka kimlik bilgilerini verdiklerini fark etti.Bakın, daha sonra bulduğumuz bir hacker, onlar için para kazanabilecek bilgiler almanın yollarını bulmadan önce her türlü müşteri sistemine sızdığını söyledi.Bu sorun nihayet kontrolden çıkmadan önce çözüldü, ancak bu bir uyarıdı çünkü yüksek güvenliğin iş dünyasında önemi ile ilgiliydi.4. WordPress sitesini güvence altına almak için kullandığınız süreç hakkında biraz paylaşabilir misiniz ve müşteri sitesindeki güvenlik ihlalleriyle nasıl başa çıkıyorsunuz?Richard: Sürecimin ilk noktalarından biri, web sitesinin kendi barındırma paketine sahip olup olmadığını veya bazılarının olup olmadığını kontrol etmektir ve
Daha uzun site. Ardından, gereksiz klasörlerde kamuya açık erişim ve .php dosya yürütme işleminin dosya izni ve kısıtlanması. Ayrıca, kullanıcıları ve rollerini kontrol etmek, güncellemeleri/temaları ve son kullanma eklentilerini geciktirir. Ayrıca, mevcut ancak aktif olarak kullanılmayan tüm eklentileri ve temaları denetlemek. Genel olarak, şu anda kullandığım kapsamlı bir kontrol listem var ve her iyi bir ek bulduğumda yeni noktalarla güncellemeye devam ediyor. Bir ihlal olduğunda biraz ihlal türüne bağlıdır. Genel olarak, yaptığım ilk şeylerden biri .htaccess’teki herkesten reddetme eklemek ve daha sonra ihlallerin nasıl ve ne olduğunu belirlemek için günlük dosyasını izlemektir. Müşterinin sitesindeki ihlallerin çoğu, felakete neden olmaya çalışan çalışanların kovulduğu ve görevden alındığı için meydana geldi. Bu durumda, erişimi iptal etmek, şifreyi değiştirmek ve son aylarda yaptıkları değişiklikleri denetlemektir. Birçok şirketin (daha küçük), her türlü sistem ve araç türüne çalışanlarının giriş bilgileri vererek çok kolay olduğunu fark ettim, ancak erişimi ve sonuçları nasıl iptal edeceğini düşünmüyor. Jesse:
Bu cevaplanması kolay bir soru değil. Sunucu ve site bazlı çözümlerin bir kombinasyonunu kullanıyorum. Sunucuda, her gece her şeyi kilitlemek için sunucuda otomatik olarak çalışan birkaç bash komut dosyası var. Bir komut dosyası, içerik veya dosyaların enjeksiyonunu aramak ve silmek için her gece RKHunter, LMD Scan ve ClamScan’ı çalıştırır. Ayrıca, kamuya açık olan her dosyayı ve klasörü kontrol eden ve doğru izni kullanmalarını sağlayan bir komut dosyası var (dosya için 644 ve dizin için 755). Komut dosyası bir şey bulursa, komut dosyası hızlı bir şekilde değiştirilir. Ayrıca tüm sitelerimi ve veritabanlarımı her gün site dışındaki okyanus dijital alanına ayıran bir senaryo var. Sitede, tüm normal saldırı noktalarını kilitlemek için Defender’ı kullanıyorum ve sitem için bir web uygulaması güvenlik duvarı oluşturmak için ninjafirewall adlı bir program kullanıyorum. Bu bir eklentidir, ancak aslında bir PHP hattı okunmadan veya bir MySQL sorgusu çalıştırılmadan önce yüklenen bir güvenlik duvarı yapar. Bu, uygulayabileceğiniz en önemli site tabanlı çözümdür. Ninjafirelewall’u seçtim çünkü ücretsiz, WAF WordFence pahalı ve WAF Ninjafirelewall WAF WordFence kadar iyi, gerçekte, bence daha iyi, çünkü sadece WAF ve çok iyi yapıyor. İhlallerle ilgili olarak, her sorunun farklı bir çözümü vardır, ancak genellikle nasıl girdiklerini bulmaya çalışıyorum ve sonra oradan tekrar çalışıyorum. Cliff: İlk olarak, tüm yazılımları güncelleyin:
Inti WordPress, eklentiler, temalar ve barındırma ortamı (örneğin PHP). Tahmin edilemez bir kullanıcı adı kullanıyorum. Güvenli bir şifre kullanıyorum (uzun ve öngörülemeyen; şifre yöneticisi çok kullanışlıdır). Temel güvenlik yazılımı web sitesine ve spam karşıtı en çok yüklüyorum. Recaptcha isteyerek giriş yapmayı sık sık koruyacağım ve bazı durumlarda giriş yapmak için iki faktör gerektirir. Birçok site için, onu Cloudflare ağına da yerleştireceğim. Cloudflare’nin kendisi güvenlikte iyileştirme sunuyor ve ayrıca kötü aktörleri siteden tutmayı amaçlayan Cloudflare hakkında güvenlik duvarı kuralları yapıyorum. Kendinizi siber uzay saldırılarından ve tehditlerinden. Diğer web sitesi ajansları gibi, siber güvenlik de müşterilerimiz ve kendimiz için en önemli önceliktir. Ek güvenlik koruması sunmak için yakın zamanda, müşteri için en önemli olanı korumaya yardımcı olmak için bir dijital güvenlik danışmanı olan Dragon tarafından Korumalı By Dragon ile yeni bir güvenlik ortaklığı tanıttık. Güvenlik ihlalleri ile ilgili olarak, müşterimizin sitesinde tehlike işaretleri olduğunda raporlar ve rutin bildirimler alıyoruz. Sunucumuz sadece kötü aktörleri ve düzensiz etkinlikleri algılamakla kalmaz, aynı zamanda gerekirse site erişimini de sınırlar. Böylece, güvenlik açığı ihlallerini derhal belirleyebilir, hasarı değerlendirebilir ve müşterilere güvenlik açığı tespit edildiğinde söyleyebiliriz. 5. Hangi WordPress güvenlik eklentisini kullanıyorsunuz veya tavsiye ediyorsunuz ve neden?
Richard: Dürüst olmak gerekirse, WPMU Dev. 2016 yılında, savunucu hala oldukça yeni olduğunda, kullandım, ancak bazen birkaç sağlayıcıda CPU ile ilgili sorunlara neden oldum. Onunla tekrar bazı testler yapmam gerekebilir, çünkü 5 yıl internet çok uzun bir zamandır, bu yüzden deneyim artık alakalı değil. Mevcut savunucuyu sunduğu öneriler ve sınavlar açısından görünce, savunmacı iyi görünüyor, günlükler ve tarama da iyi bir özelliktir. Ayrıca GOTML’lerin tarama sırasında genellikle sağlam sonuçlar veren iyi bir eklenti olduğunu düşünüyorum. Jesse: Yukarıdaki 4 numaralı bkz. Cliff: Özellikle bir girişten birkaç sitenin yönetimine izin veren WordFence Central Interface de dahil olmak üzere WordFence kullanıyorum. Savunmacıya aşina değilim. LOGAN: Geçmişte WPMU Defender’ı WordPress’teki Giriş Güvenliği eklentimiz olarak kullandık. Bu eklenti etkilidir, kullanımı kolaydır ve kullanıcıların müşteriler için haftalık raporlar hazırlamasına olanak tanır. Bu rapor, SEO’dan güvenlik güncellemelerine kadar her şeyi içerebilir. Savunmacı kullanmaktan zevk alırken, InfiniteWP olarak bilinen yeni bir güvenlik çözümüne geçiyoruz. Bu adım, müşterimizin sitesinde merkezi konumdaki sitesini yönetmenin yanı sıra otomatik haftalık güvenlik raporları göndermeyi kolaylaştıracaktır. [Not Editör: WPMU Dev’s The Hub, Defender kullanarak “Sınırsız” WP sitesinin güvenliğini yönetmenizi sağlar;
) 6. Sizce WordPress kullanıcıları tarafından web sitelerini güvence altına almak için ne göz ardı edilmemelidir?Richard: Özellikle yöneticilerin rolüyle aktif olmayan kullanıcıları silin.Güçlü bir şifre kullanın ve mümkünse herkesin kendi giriş bilgilerini kullanmasına izin verin.Hesapları birçok insanla paylaşmayın.Mümkünse 2FA kullanın.Jesse: Yenileme, yenileme, yenileme!Ve güçlü şifreler.Ve müşteriniz bunu halledecek kadar anlıyorsa, 2FA, başvurabileceğiniz WP girişinde kaba kuvvet saldırılarına karşı en iyi savunma olabilir.Cliff: Cevap 4’te bahsettiğim her şey 4!
Logan: Bir WordPress kullanıcısı olarak, sitenizi korumak için dijital güvenlik önlemlerini görmezden gelmemelisiniz. Evet ise, siber alan saldırılarına ve tehditlerine karşı daha savunmasız hale getirerek sitenizi tehlikeye atabilirsiniz. Sahip olduğunuz WordPress sitesinin türüne bağlı olarak, bu, bilgisayar korsanlarının sitenize kolayca girmesi, site içeriğinizi çalması ve sizi sitenizden uzak tutmak için yönetici ayarlarını değiştirmesi için kapıyı açabilir. Bu, sitenize yatırım yaptığınız her zaman, enerji ve paranın kaybına neden olacak ve bu da işi yok edecektir. Siber saldırıları önlemeyi kolaylaştıran birçok ücretsiz WordPress güvenlik eklentisi vardır, bu nedenle kullanıcıların siteleri için güvenlik eklentilerinin kullanımını göz ardı etmemeleri önerilir. Bazı tıklamalar ve bam kadar kolay, siteleri eskisinden daha güvenlidir. 7. Diğer WordPress web geliştiricileriyle paylaşmak istediğiniz favori bir güvenlik ipucunuz veya kaynağınız var mı? Richard: Bence birçok profesyonel WPSCAN.com’a (eski adıyla WPVULNDB) aşina. Posta listelerini tavsiye ederim. Çoğu şimdi ödeme duvarının arkasında ama bence hala orantılı. Bu, eklentiler bulmak için yararlıdır ve yeni güvenlik açığı için e -posta uyarıları çok değerlidir. Ayrıca, her zaman yeni kırılganlığın üzerinde görünen Sucuri, WordFence ve Nintechnet bloglarından bahsetmeden ayrılamam!
Jesse: İlk olarak, bunu duymak istemeyebileceğinizi biliyorum, ancak sitemin tüm bakımı için MainWP’yi kullanıyorum.İkincisi, iyi barındırma yapabileceğiniz en iyi yatırım olabilir.Benim gibi insanlara sitenize bakmak için ödeme yapamıyorsanız, ucuz barındırma kullanmayın.Sitenizi her hafta sizin için güvence altına alacak ve güncelleyecek hizmetler bulun (bu Godaddy veya Bluehost değil).Ödediğinizi alacaksınız … Üçüncü, sitenizi ve e -postayı aynı sunucuda yayınlamayın!Son olarak, asla, CPanel kullanan ana bilgisayarları kullanmayın.Bu yavaş, güncel değil ve sunucuda neredeyse hiç kullanılmayan ve/veya kullanılmaması gereken çok şey açar (web sitesi sunucusunda e -posta gibi).Sabun kutumun sert sözlerini bitirdiğimi sanıyordum!

Cliff: Evil Actor WordPress girişine basmayı ve zorlamaya çalışmayı sever. WordFence, çok fazla kötü çabayı engellemek için iyi bir iş çıkardı. Ancak, birçok istemcinin giriş, DOT’a erişmeye çalışan yabancı IP’leri engellemesi için CloudFlare’de güvenlik duvarı kurallarını da ayarladım. Açıkçası, site sahibinin Amerika Birleşik Devletleri dışına girebilmeleri için insanlara ihtiyaç duyulması gerekmiyorsa işe yaramaz. Ancak ABD merkezli birçok küçük işletmenin, özellikle giriş URL’sine, yabancı IP’lerden gelen web sitelerinin ziyaretlerine ihtiyaç duymadığı veya ilgilenmediği. Logan: Web sitesi güvenliğinden pişman olmaktan çok daha güvenli olmak daha iyidir. Siber uzayın güvenliği her gün daha gelişmiş hale gelir ve bilgisayar korsanları müşterinizin sitesini tehlikeye atmak için boşluklar bulur. En iyi güvenlik uygulamalarını sürekli olarak inceleyerek, müşterileriniz için en iyi güvenlik eklentilerini kullanarak ve müşterinin sitesini düzenli olarak izleyerek bilgilendirin. Çoğu güvenlik eklentisi, istemcinin siteleri hakkında önemli bilgiler aldığı otomatik bir haftalık rapor hazırlama seçeneği sunar. Bir güvenlik açığı varsa, bu güvenlik açığını aşmak ve geliştirmek için ideal bir fırsattır. Bu nedenle, müşterinizin sitesi daha güvenlidir ve bir sonraki hacker hedefine karşı savunmasız değildir. 8. WordPress Security ile ilgili eklemek istediğiniz başka bir şey var mı? Richard: Güvenlik eklentisi bir çözüm değil, bir araçtır. Jesse: Sanırım yukarıdaki her şeyi ele aldım. Cliff: Güvenlik ile ilgili haberleri yaymaya devam edin!
Logan: Daha önce de belirtildiği gibi, WordPress güvenliği büyümeye ve artmaya devam edecek. Bu iyi bir haber çünkü siber suçlular da gelişiyor. Tam bir test kullanıyorsanız ve bugün siber uzayın saldırısının ve tehdidinin farkında kalırsanız, bu, müşterinizin sitesini güvende ve korumalı tutmak için gereken eklentileri ve teknolojiyi uygulamanıza yardımcı olabilir. Ek WordPress Güvenlik İpuçları Üyelerden ek olarak, röportaj yaptığımız uzmanlar tarafından verilen birçok iyi noktaya ek olarak, WordPress güvenliği hakkında bir forum tartışması düzenledik, burada üyelerimize aşağıdakileri sorduk: Hatta saldırı? Eğer öyleyse, bize ne olduğunu ve nasıl düzeltileceğini söyleyin!
Onsuz hangi güvenlik araçlarını yaşayamazsınız?
WordPress güvenliğinizin en son ne zaman kapsamlı bir incelemesi yaptınız? Daha fazla zaman ayırmanız gereken bir şey olduğunu düşünüyor musunuz?
İşte bazı cevapları: 1. Siteniz çevrimiçi saldırıya uğradı mı? Ne olur ve nasıl düzeltirsiniz? Çok sık gördüğüm ihmal edilen bir web sitesi. Yıllar boyunca bir güncelleme veya nedeni olan lisans olmadan tema/premium eklenti yoktur. Ayrıca, birisinin bana en sık kullanılan ilk 10 güvenli olmayan şifrede var olan bir WordPress şifresi gönderdiği kötü amaçlı yazılım temizliği yaptım. – Richard neyse ki değil. Savunmacı, güçlü bir şifre ve 2A’ya teşekkür ederiz. – PS Evet, birisi bir barındırma hesabına erişir ve siteyi ve tüm yedeklemeleri siler. Müşterinin şifresini tahmin eden davetsiz misafir (şirketlerinin adı ve 1 numarasıdır). Yeni kullanıcıları önyükleme, şifreleri değiştirme, 2FA etkinleştirme ve siteleri çevrimdışı yedeklemelerden geri yükleme. – Kris’in profesyonel savunmacı ile geliştirebileceğim son müşterisi ve her şey temizlenir ve Google’a geri gönderilir ve müşteri çok minnettar! Süper kahraman gibi görünmemi sağlıyor! Hepiniz için teşekkürler!
– Victoria Özellikle müşterilerin beni aradığını hatırlıyorum çünkü web siteleri (yapmadığım) saldırıya uğradı. Zor çünkü bir web sitesi oluşturmuyorum, eklentiler arasında hangi bağımlılığı bilmiyorum. Tüm güvenlik ihlallerini doldurmak için bazı indirmeler/tarama/temizleme/yeniden yükleme gerektirir ve son olarak tüm çalışanlardan bir güvenlik katmanı eklemek için e -posta şifrelerini ve tüm şifrelerini değiştirmelerini istiyorum. – Guigro Hacklenmiş iki siteyi devraldım. Her ikisi için sorun, modası geçmiş olan çekirdek ve eklentilerdir. Neyse ki her ikisi de bana saldırıya uğrayan siteyi silme ve yeni bir siteyi yapmak için bir istekle geldi, bu yüzden bu, üretim sırasında hemen sayfa ile yeni bir kurulum yürütme sorunu. – Keith Ya, birkaç yıl önce senaryo enjeksiyonunun kurbanı olan ve manuel olarak ovalanan birçok dosyayı içeren bir dizi eski eklenti ile barındıran bir siteye sahipti. İşte o zaman şifrenin dışında bir güvenlik ihtiyacı olduğunu öğrendim. Son zamanlarda benim tarafımdan kilitlenen kaba kuvvet girişi yapmaya çalışıyor, ancak sonra yönetici giriş URL’sini değiştirdim ve
O zamandan beri her şey sessiz. – Danny evet, web sitem bir kereden fazla hacklendi. Wabarx’ım var ve hala hackleniyor. Temizlemek için Eli tarafından kötü amaçlı yazılım karşıtı güvenliği ve kuvvet için kaba güvenlik duvarı kullanıyorum. Programları yükleyin ve çalıştırın ve tüm kötü amaçlı yazılımları temizleyin. – Shala, WordPress’te 15 yıl ve web geliştirmede 20 yıl sonra, saldırıya uğrayan birçok siteyi ele aldım. DDO’lar ve kaba kuvvetten eski eşe kadar, tüm kocasının blog yazısı görüntülerini daha az gurur verici olan kocasının fotoğraflarıyla giren ve değiştiren eski eşe kadar her şey. Çoğu durumda, en hızlı ve en kolay yedeklemeyi geri yüklerken buldum. Varsa, bunu zor bir şekilde yapmalı ve tehlikeli içeriği ortadan kaldırmalı ve silinmeli veya bazen siteyi toplamda yeniden inşa etmeliyiz. – Wolf Piskoposum, sızan birkaç WP web sitesini temizlemek için çalıştı. Nedeni neredeyse her zaman kayıp eklentiler veya WP güncellemeleri. -Catalin Hesabımı girmeye çalışıyorum, WordPress, Defender Pro yardımcı. Ayrıca Stop Spamler adlı bir eklenti kullandığım için çok fazla spam aldım. Birçok bot ve bilgisayar korsanı, site bilgilerini ifşa etmek için eklenti dosya yolunu hedefler. – Jonatan 2. Hangi güvenlik araçları onsuz yaşayamıyor?
Size%100 güvenlik sağlayabilecek bir eklenti yoktur.Çoğu zaman şu ya da bu şekilde, kullanıcılar/site sahipleri suçludur veya hata yapar.WP sitenizin çoğunu herhangi bir araç veya eklenti olmadan sertleştirebilirsiniz.Kaçırmamanız gereken bir şey PC’nizdeki bir antivirüs programıdır.Sitenizin güvenliği ne kadar iyi olursa olsun, bilgisayarınızda bir keylogger varsa, çok şey yaptınız.-Richard Güvenlik Anti-Malware ve Koruma Güvenlik Duvarı Eli tarafından.Şimdi, tüm WPMudev eklentileri.- Diazo yedekleme, kesinlikle.- Alvaro savunucuları.Her WordPress kurulumunda ihtiyacım var.Ayrıca yorumlar bölümüyle her sitede Antispam-Bee’ye ihtiyacım var.- PS Defender Pro, seni bulmak için bir zamana ihtiyacım olduğuna inanmıyorum !!!!!- Victoria rezerv araçları, göç araçları, tarayıcılar ve
Güvenlik duvarı. – Djohn savunucuları. Eskiden bir Sitelock hesabım vardı ama sonunda sadece para harcadığını fark ettim. Sonra birkaç farklı WP eklentisi kullandım, ancak çoğu savunucularla değiştirildi. – Kahnfusion ciddiye alıyorum. Saldıran bir sitem yok. Özellikle WordFence ve Defender’ı kullandım. Ayrıca WPSCAN veritabanının güvenlik açığını denetler. Sık güncellemeler, rezervler. – Birkaç yıl boyunca çip, Defender Pro. Öğrenme eğrisine yaklaşmak oldukça kolaydır, ancak her ay hala öğrendiğime şaşırdım. Öneriler, nasıl doğru yönetileceği, spam’den nasıl kaçınılacağı ve bu tür şeyler hakkında. – Guigro Defender ve WPMudev Hosting. Kullanımı çok kolay ve güvenlik başlıkları + güvenlik açığı tarama + WAF için tüm seçenekler geliştiricilerin doğru şeyi düşündüklerini gösterir. – Phil Defender ile, 3 kez 60 dakika içinde giriş yapamadıktan sonra IP’yi engelledim, 5 dakikada 5 dakikada başarısız oldu. Ve bir saatten haftaya kadar herhangi bir yeri engelliyorum. Ayrıca bir giriş maskesi, engellenmiş bir kullanıcı adı ve Defender’da diğer özellikler kullanıyorum. – Tony Defender ve WPMU Dev Waf. – Müşteri güvenliği, normal rezervleri, güvenlik duvarları ve
2FA – Danny Waf büyük. Başlamadan önce onları durdurun. Ayrıca bir dizi kamu güvenliği önleminin tek bir yere çekilmesine yardımcı olan bir defans oyuncusu kullanıyorum. -Lee Anti-Malware ve For-Force için Brute Güvenlik Duvarı (GOTML’ler), bu iyi bir eklentidir ve en iyi kısmı, çok pahalı ve o kadar etkili olmayan diğerinin aksine uygun fiyatlıdır. Yalnızca kötü amaçlı yazılımları temizlemek için kullanılır, tespit etmek için kullanılır, bu nedenle maalesef bunun için başka bir eklenti gereklidir. – Shala savunucuları, WPSCAN, SQLMAP. – Wolf Piskoposu Güvenlik Araçları ve ŞİMDİ Defender Pro perspektifi için Malwarebytes diyeceğim. Ancak, pencerelerin güvenliği ile de ilgilenmektedir. – Shiv Patel 3. WordPress güvenliğinizin en son ne zaman kapsamlı bir incelemesi yaptınız? Eklentilerin ve temaların tüm güvenlik açığını yönettiğim ve izlediğim tüm sitelere bakmaya devam ediyorum. Şüpheli bir davranış görünmediğinde en azından her yıl kapsamlı bir inceleme gerçekleştirilir. Şimdiye kadar * Ahşap Blon *, sıfır gün güvenlik açığı nedeniyle hacklenen sorumluluğum olan 1 WP sitesine sahiptir. Ayrıca, web hosting sağlayıcım fidye yazılımı hackleme kurbanı oldu. Neyse ki, kendi saha dışı rezervlerim var, çünkü aynı zamanda yedek sunucu hasar görüyor. Farklı ana bilgisayarlarla birkaç saat içinde çevrimiçi döndüm. Diğer müşteriler 3 gün çevrimdışı. – Richard neredeyse her gün veya haftada en az bir kez kontrol ediyorum – Diaz en az haftada bir. – Kris Defender’ı ayarladıktan sonra, genellikle her hafta siteyi kontrol ediyorum. Savunmacı sayesinde eskisi gibi çok zaman geçirmem gerekmiyor!
– Victoria Geçtiğimiz zaman Güvenlik harcadığımda, birkaç hafta önce başka bir sitede savunmacı kurduğum zamandı. Her şeyi hazırladıktan sonra, güvenliğe çok fazla odaklanmadım. Çevrimdışı yedeklemeleri düzenli olarak sakladığım sürece, tekrar saldırıya uğramaktan çok endişelenmiyorum. -Kahnfusion Yönettiğim 20’li yılların web sitesini kontrol etmek için iki ayda bir yarım gün geçirmeye çalışıyorum. Defender Pro’nun özetini ara sıra okuduğumda ve gerçek bir şey olursa bir e -posta almayı sağlamak için iyi bir bildirim ayarı yaptığımda benim için yeterince adil görünüyor. – Guigro Belirli bir dalış yapmıyorum, çünkü sadece sürecime savunucular inşa ediyorum. – Phil Savunmacının raporunu kontrol ettim ve biraz şüpheli etkinlikler için IP’yi aktif olarak yasakladım. Genel olarak, güvenliğimi korumak için Defender ve WPMU Dev’e inanıyorum. – Keith, tüm müşterilerim için her ay tam bir tarama/inceleme yapmayı sağlıyorum. Benim için doğru miktara benziyor. – Lee her gün her sitede tarama yapıyoruz. Ayrıca, müşteri sitelerini test etmeyi içeren daha derin bir yarı sallanma güvenlik incelemesi yapıyoruz. – Wolf Bishop’um, ev sahipliği yaptığım her sitede bulunan tüm eklentileri yüklerken adım adım bir inceleme yapmayı amaçlıyor. Ancak WP güvenliği tüm sitelerin önemli bir yönüdür.
– Shiv Patel Çalışma Protokolü, yönettiğim/çalıştırdığım web sitesi/sunucu için düzenli haftalık güvenlik kontrolleri ve aylık güvenlik kontrolleri içerir.- Catalin Röportajımıza ve tartışmamıza katılan herkese teşekkür ederim. Hiç WordPress güvenlik sorunları yaşadınız mı?Yorumlarınızı ve ipuçlarınızı aşağıda paylaşın!