WordPress Güvenlik En İyi Uygulama Kılavuzu 2021
Bu konu korkutucu olsa da, çoğumuz bilinmemektedir, WordPress güvenliğini artırmak ve koruma seviyesini mümkün olduğunca artırmak için geliştirebileceğiniz birçok yön vardır. 2020’de WordPress güvenliğinizin en iyi uygulamasını incelemek için bir rehber yaptık. Artık dünyanın dört bir yanındaki web sitelerine yapılan saldırıların sayısı hakkında istatistiklerden bahsetmesinin bir anlamı yok. Otomatik sistem, “zayıf av” bulmak için her gün ağı tarar.
Ancak, bu makaleyi okuyorsanız ve dikkat çeken konuları ele alıyorsanız.Göreceğimiz sadece mekanik olarak yüklenen eklentilerin bir listesi değil, çünkü saldırıya uğramama olasılığını artırmak için tartışılacak (ve anlaşılacak) konular farklıdır. WordPress sitenizi korumak için size hazır bir çözüm sunacağız. Ancak tüm içeriği dikkatli bir şekilde takip edin, çünkü bu yeni ve temel konu hakkındaki bilginizi artıracaksınız. Bu derste karşılaştığımız noktalar
Saldırıya uğramanızın nedeni ve karşılaştığımız sonuçlar.
Güvenlik hakkında konuşurken, sadece WordPress’i değil, aynı zamanda onu çevreleyen tüm ortamı da düşünün.
Sitenizi daha güvenli hale getirmek için yapılması gereken 4 etkinliği analiz edeceğiz.
WordPress sitenizin ayrıntılarını, kullanılacak yapılandırmaya, eklentilere ve hizmetlere bakarak göreceğiz.
Siteniz sıkıştırılırsa yapılması gereken faaliyetleri kapatacağız.
Site neden saldırıya uğradı? Tüm web sitelerinin saldırıya uğrama riski altında olmasının çeşitli nedenlerini anlayarak başlayalım.
Sebebi bilmek sizi daha yüksek bir bilinç seviyesine götürecektir. Çevrimiçi projeniz daha yeni başlamışsa, risk almamak size gelebilir, çünkü sizi rahatsız eden rakipleriniz veya düşmanlarınız yoktur, sadece okyanusta küçük bir balıksınız. Ancak dikkatli olun, çünkü saldırı türünün farklı hedefleri vardır. Belli bir hedef olarak seçilmek çok zordur, çünkü faaliyetlerimize zarar vermek isteyen biri olmalıdır. Bu, ağda ortaya çıkan saldırıların sadece% 1’i. Birinin bir etkinliğe zarar vermek istemesini sağlayan motivasyon ekonomik, kişisel, politik olabilir … ama hedeflenen saldırıları tehlikeye atıyorsanız, sadece siz bilebilirsiniz (veya hayal edebilirsiniz). Çıkarlar ve zayıflıklar nedeniyle özel hedeflere sahip değilsiniz Ağın sunucuyu devralması veya sitemizi cezai faaliyetler yürütmek için kullanması. Evet, kısacası, kullanmak. E -posta yoluyla spam yapmak istiyorsanız, ne yapacaksınız? Sitenizi, sunucunuzu kullanın veya başka birinin sunucusunu kullanarak bir e -posta gönderecek mi? Burada, sadece fikir yapmak için. Bu tür bir faaliyete iten en kapsamlı motivasyon, ekonomiyi hedefleyen, sitemize spam eklenerek veya kötü amaçlı yazılımların (virüs veya benzeri türler) yayılmasıyla kovalananlardır.
Spam eklenmesi, sayfalarımıza göz atarken bazen görünmeyen, ancak kodda olan metin ve geri bağlantılar ekleyebilmeleridir. Aksine, sitemizi kötü amaçlı yazılımlarla enfekte etmeyi başardılarsa, ziyaretçi bilgisayarlarımız da dahil olmak üzere mümkün olduğunca çok bilgisayarı bulaşmaya alışacağız. Amaç, çevrimiçi bankacılık veya benzerleri gibi hassas bilgiler elde etmektir. O zaman, belirli hedef saldırılara kıyasla, bu tür bir faaliyet mümkün olduğunca çok kurbana saldırma eğilimindedir, “yığın içine çekin” dedikleri gibi, kolay avı bulmak için ağı araştıran otomatik bir sistem kullanarak. Örneğin, Güvenlik hatası bir eklenti için bulunur, daha sonra ağın belirli eklentileri yükleyen siteler bulması için taranacaktır. Sitenin bir site sızdığında sızan sonuçları, sonuçlar verilen hasar türüne bağlı olarak farklı olabilir. Bulabileceğiniz ekonomik kayıplar olasılığından bahsetmenize gerek yok. Sitemizin e -ticaret olsun, bağlantı veya reklam yoluyla para kazanma değil, birkaç gün boyunca bile site kullanılmıyor, bu dönemin cirosunu kaybetmek anlamına geliyor. Kullanıcının gözünde, sızan siteyi görmek, elde etmeyi başardığımız değerlendirme ve güven seviyesini kesinlikle azaltır.
Ama belki de en önemli şey, en büyük hasar Google, SEO ve SERP’deki sayfalarımızda konumlandırmanın nasıl olduğudur. Aslında Google, ağ güvenlik sorunlarını tespit etmek için çalışmaya devam eden bir algoritmaya sahiptir. Google, olayı doğrudan sahibine iletmenin yanı sıra enfekte bir site bulduğunda, Google hemen diğer kullanıcıları ve genel olarak Web’i savunmak için harekete geçti. Bu makalenin başlığına veya “WordPress Security” ni hemen dikkate almak ve önceki adıma daha büyük olan güvenlik eylemleri alanı. Öyleyse WordPress ve sahada sadece bir oyuncunun bulunduğu tüm yapıların “güvenliği” hakkında konuşalım.
Bu konu söz konusu olduğunda, sadece teknoloji ve programlama hakkında değil, tüm bu bölümlerle etkileşime giren insanlar ve süreçler hakkında konuşuyoruz. Analiz edilecek birkaç grubumuz var:
Çevre İnsanlar
Başvuru
Altyapı
Demek istediğimiz çevre ortamı, WordPress sitenizle başa çıkmanıza izin veren çeşitli parçalardır. Farklı bilgisayarları veya cihazları düşünün. Kötü amaçlı yazılım, Truva atları veya diğerleriyle bağlantı kurduğunuz ve çalıştığınız PC, çevrimiçi dünyanıza ücretsiz erişim sağlamak mümkündür, çünkü bu, FTP şifresi, hesap, sosyal veriler, e -posta ve diğer veriler gibi bilgileri kurtarmak için tasarlanmıştır. Hepsi risktir.
Bu nedenle, iş bilgisayarınızın bakımına dikkat edin ve diğer insanlar çocuklar, kız arkadaşlar, eşler, kocalar vb. Kullanıyorsanız …- uygun önlemleri alın. Aslında, çok dikkatli olmanız gerekiyorsa, diğer insanların aynı olduğunu varsaymayın. Şimdi, bağlı olduğunuz yeri düşünün. Sonunda her yerden bağlandık! Publardan, kuaförlerden, havaalanlarına, pratikte WiFi ağlarının bulunduğu pratik, bağlanmaya hazırız. Piyasada en sofistike ve güvenli WordPress sitesine ve sunucusuna sahip olabileceğinizi unutmayın, ancak ilgilenmeniz gereken tek şey bu değildir. Bu yüzden bir sisteme nüfuz etmeye çalışanlar için bu yüzden de budur ve Dikkatimizin başarısız olduğu bir anahtar erişim bulmak daha kolay. İnsanlar, bilgisayar korsanlarının dünyasının siyah terminalde ışık hızında yazılmış bilgisayar kodlarından oluştuğunu düşünüyorsanız, o zaman yanılıyorsunuz. İnsan yönü temel ve aynı zamanda en zayıf olanıdır. Deneyimlerime gelince, çoğu zaman kendimizi infiltred sitenin önünde bulduk, nedenini tam olarak insan hataları nedeniyle, her şeyden önce zayıf şifrelerin üstünde bulduk. Ayrıca, insanlardan gelen bilgileri ve hacker dünyasının bir parçası olan aktiviteleri tahmin etmelisiniz. Buna sosyal hack denir.
Bu nedenle, özellikle önemli bir erişim veya kişisel veriler istenirse ve her zaman tam olarak kim olduğunuzu bilmeye çalışırsanız, kimseye inanmayın. “Uygulama” katmanımızdaki uygulamalarda WordPress ve temalar ve eklentiler gibi tüm bileşenler vardır. Çoğu dünya sitesinin WordPress ile yapıldığını unutmayın. Çok geniş olmak, favori hedeflerden biri olmalı. Bir ürünün ne kadar çok kullanıcısı olursa, güvenlik açığı bulmak, motoru kontrol etmek veya çok sayıda kullanıcı için tehlikeli bir komut dosyası kurmak o kadar kolay olur. Bununla birlikte, WordPress topluluğunun muazzam olduğunu, özellikle güvenlik sorunları, tespit edilirse müdahale etmeye hazır olan birçok işçinin muazzam olduğunu unutmayın. Yani, iyi bir uygulama, WordPress, temalar ve eklentilerin her zaman güncellenmesidir. Son grup altyapısı, sunucu da dahil olmak üzere sitenizi gönderen altyapı ile ilgilidir. Doğru barındırmayı seçmezseniz, burada fazla bir şey yapamazsınız. Artık hareket etmemiz gereken çevreye baktığımıza göre, kendimizi elimizden geldiğince savunmak için ele almanız gereken faaliyetlere geçebiliriz. Kendilerini savunmak için gerekli 4 faaliyet
WordPress’in deposunda “Güvenlik” anahtar kelimesi ile arama yaparsak, eklentilerin yaklaşık 300 sayfa olasılığı döndürürüz.Seçimden şımarık olduğumuzu söyleyeceğim.Ancak dikkatli olun, çünkü hangisine güveneceğinize karar vermeden önce, neye ihtiyacınız olduğunu anlamalısınız, çünkü tüm eklentiler aynı şeyi yapmaz.Çünkü?Sadece “kendini savunma” bir aktiviteden oluşmaz.Çok düşünülmesi gereken ve esas olarak sahip olduğunuz site türüne, hangi işlevlere, hangi özelliklere yüklenen, kullanıcılar vb. OF: Önleme
Tespit etme
Kontrol
Cevaplar / Eylemler WordPress sitenizi WordPress sitenizi daha güvenli hale getirmek için nasıl daha güvenli erişim sağlayabilirsiniz, nasıl bakalım. Demek istediğimiz erişim hakkında konuşmak, site yönetimi departmanı için farklı erişim noktalarıdır. Yalnızca WordPress yönetici panelleri için kullanıcılar ve şifreler değil, aynı zamanda FTP kullanıcıları, hizmet panelleri barındırma ve cpanel. Tavsiye, her biri için farklı kullanıcılara ve şifrelere sahip olmaktır. Bunun nedeni, birisinin bu mülkiyetten birine girdiği olumsuz bir olayda, ona hemen tüm yapımız üzerinde kontrol vermekten kaçınacağız. Parola seçimi çok önemlidir. Neredeyse tüm kimlik doğrulama sistemlerini fark ettiğiniz gibi, kayıt sırasında, hızlı bir şifre sunarlar ve değerlendirme “kolay, orta veya güvenli” olup olmadığına bağlıdır. İpuçlarını takip edin ve mümkün olduğunca güvenli hale getirin. Farklı karakterler, sayılar, noktalama öğeleri, özel ve uzun karakterler, en az 12 karakter, kaba kuvvet saldırıları için mümkün olduğunca zorlaştırmak için. Kaçınılması gereken unsurlar mutlaktır: etkinliğin kendisi için herhangi bir referans-siteye fionirossi.it deniyorsa, çiçek, kırmızı veya diğer referanslar kullanmayın. Biliyorum, belki de bu anlaşılan bir öneridir, ancak daha fazla benzer vakalar bulduktan sonra belirlemek daha iyidir.
İnsanların, Şehir veya Hayvanların İsimleri – Akrabalar, arkadaşlar veya tutkular hakkında bilgi için sosyal profiller aramak çok basittir, bu nedenle şifrenizi bu öğelerden birine bağlamayın.
Tarih ve Numara – Doğum tarihini, yıldönümünü, yıldönümünü vb. Kullanmayın.
Anlayacağınız gibi, rastgele öğelerin varlığı en iyisidir. Bir şifre ile aynı hızda, yönetici kullanıcı adınızın da olduğunu unutmuyoruz. Asla “yönetici” kullanmayın ve bir kez daha “fantezi” adını kullanmak çok yararlıdır. Daha az referans ve daha iyi. Yalnızca bu güvenlik seviyesini gerektiren işlemleri gerçekleştirdiğinizde kullanılan bir yönetici hesabınız olmalıdır. Bu kullanıcıyı içerik yazma, makaleler, yorumlara yanıt verme gibi normal site yönetimi için kullanmayın. Bunun nedeni, çoğu temada yönetici kullanıcı adlarının hemen siteye maruz kalmasıdır. Dolayısıyla normal yazma ve içerik yönetimi için bir veya daha fazla kullanıcı yapın ve bunları yayıncı (hatta küçük roller) olarak belirleyin. Daha rahat hissedeceksiniz, çünkü bu hesabı kullanarak rahatsız edici bir hata yapmak için daha az fırsatınız olacağını biliyorsunuz. Erişime gelince, siteniz müşteri toplarsa, kullanıcınızın alabileceği izni ve işlemlerin emin olun. Siteye erişebilmek ve kullanıcınız olarak kullanabilmek ve kullanıcılarınızı değiştirebilmek için bir eklenti. Yükledikten sonra, müşteri profilinizi girerseniz, “Değiştir” bağlantısını bulacaksınız
. Eğer bastığınızda, bu kullanıcıyı başarıyla beğeneceksiniz. Yöneticiye geri dönmek için “… geri dön” bağlantısının altında bulun. Daha az riskli ve her zaman güncel olan bir WordPress sitesine sahip olan ilk kural güncellemesi. Sonunda, kavramsal olarak, WordPress işletim sisteminizden farklı değildir. Mac kullanıyorsanız kaç kez OSX yerine pencereleri güncellemeniz istendi? Siteye nüfuz etmenin yeni bir yolu bulunduğunda, kurban arayan ağı tarayan robotların gevşediğini unutmayın. Aynı kavram ve çekirdek WordPress için eklentiler ve temalar için geçerlidir. WordPressada Güvenlik Eklentisi Güvenlik ile ilgili birçok güvenlik eklentisi. Özellikleri kısmen ücretsizdir ve diğerleri ödenir. Her şeyi yapan ve özgür olan birini bulmak imkansızdır. Ve size iki farklı yol göstereceğimiz için. Özellikle siteniz değer, ekonomi veya duygusal temsil ediyorsa önerilen birincisiyle başlayalım. Bütçenize yatırım yapacaksanız, soru yoktur. “Anahtar teslim” i korumak için bulabileceğiniz en iyi hizmet
Siteniz ve Sucuri tarafından verilir. Bu sadece kişisel veya küçük sitelere güvenmez. Hizmetleri de ev sahipliği yapan şirketler tarafından kullanılmaktadır. Teknisyenleri gördüğümüz tüm faaliyetlerle ilgilenecek ve iyi uyuyacaksınız. WordPress sitenize hiçbir şey yüklemenize gerek yoktur, çünkü iş doğrudan platformlarında yapılacaktır. Bu mantıklı bir avantajdır çünkü sunucunuz ve siteniz daha fazla çalışma ile yüklenmez, yine de performans gösterir ve hızlı olacaktır. Onları dünyada ünlü kılan ürünler olan güvenlik duvarları bile sitenin dışındadır. Bu, her türlü saldırıyı koruyacak ve tehlikeli talep potansiyelini reddederek sadece orijinal sunucunuza ulaşacaktır. Bu aynı zamanda, güvenlik duvarları bir önbellek sistemi ile donatılmış olduğu için sitenizin hızını daha da artıracaktır. Günde 24 saat size yardımcı olmaya hazır, soruları cevaplamaya veya herhangi bir sorunu çözmeye hazır bir teknisyen olacak. Ayrıca, Sucuri’ye giderseniz, bir şey olursa, hiçbir şeyle ilgilenmenize gerek yoktur: sitenizi geliştireceklerdir. Bir bilgisayar güvenlik uzmanından saat başına tek saat, size bakmak istedikleri ve yıl boyunca danışmanları ve anlaşma yapmayı düşündüklerini düşünmek. Bu yüzden Webipedia’da da hizmetleri aracılığıyla “emin olmaya” ve sitemizi korumaya karar verdik. DIY’yi tercih ederseniz, WordFence’ı yükleyebilirsiniz, en çok kullanılan eklentilerden (parçalar) biri WordPress kullanıcıları tarafından kullanılır. Bu makale çok uzun olduğu için “operasyonel” bölümü bölmeye karar verdik.
İki farklı makaleye eklentiler. Sitenizi Sucuri aracılığıyla nasıl güvence altına alabilirsiniz, burada satın alma, platformlar, araçlar vb. FAI tarihini WordFence aracılığıyla seçtiyseniz, yukarıda bulduğunuz makalede açıklanan süreci yaptıktan sonra, bu makalenin sonuna kadar devam edin. WordPress sitenizin güvenliğini Sucuri’ye emanet etmeyi seçtiniz, hiçbir şey yapmanıza gerek yok, çünkü siteyi tehlikeye atan saldırılar varsa, teknisyenleri müdahale edecek. WordPress siteniz hacklenmişse ne yapmalı? Siteniz bir gelir kaynağı ise ve durumun ciddi olabileceğini ve sizi bu alanda uzmanlaşmış profesyonellere emanet etmek için size verebileceğimiz en iyi tavsiye. Her zaman Sucuri’ye veya tanıdığınız diğer endüstriyel profesyonellere güvenebilirsiniz. Kim yapılacak ilk şeyi söyledi ve kesinlikle “sakin kal”. Gördüğümüz gibi sorunlar farklı olabilir: girmediğiniz bir sayfaya bir bağlantınız var mı?
Siteniz Google tarafından enfekte olmuştur ve artık göremiyor musunuz?
Tarama sistemi anomaliler vb. Olasılığını tespit etti …?
Google sizi kötü amaçlı yazılım veya spam algılama konusunda uyarırsa, sorun kesinlikle ve hemen çalışmanız gerekir.Tahminen dosyalar Tersine eklenti taramasından bir uyarı verilirse, daha sonra gerçek saldırıları düşünmeden önce, yanlış pozitif değilse daha iyi anlamaya çalışın: Hangi dosya size bildirildi?
Onu tanıyor musun?
Onu tanımıyor musun?
Bir metin düzenleyicisiyle açmaya çalışırsanız, bazı garip kodlar görüyor musunuz?
Tarayıcı bu dosya hakkında ne diyor?
Bu saldırıların birçoğu bilindiği için, her zaman yararlı olan farklı anahtar kelimeler (dosya adları, eklentiler, konum veya başka bir şey) deneyerek internette araştırma yaptığını unutmayın. Ayrıca, dosya bir eklenti veya temadaysa, her zaman geliştiriciye destek isteği gönderebilirsiniz. Ürünlerinin saldırı kurbanı olmayacağını uman ilk kişilerdi. Son olarak enfekte olmuş dosyaları manuel olarak silmeyi deneyebilirsiniz. Dosya etkinleştirilmeyen tema veya eklentideyse (eklentinin sitelerinde devre dışı bırakılmasına izin vermeyenler), o zaman dosyayı içeren klasörün fiziksel olarak kaldırılmasına devam edin. Ne kadar az yararlı olmayan dosya, enfekte kodu girmek için daha az yer. Dosya WordPress, eklenti veya temanın orijinali ise, WordPress deposundan veya satın alma işlemi yaptığınız siteden indirilen yeni bir dosya ile değiştirebilirsiniz. Sonuçların yeni taraması ve değerlendirilmesine devam edin. Google’ın sizi uyardığı veya kullanıcının kırmızı bir nokta alarak siteyi keşfedemediği bir durumdaysanız, sızan siteye erişim, hemen yönetim panelini açın ve girebileceğinizi doğrulayın. Evet ise, faaliyetleriniz için yönetici şifresini ve diğer erişim noktalarını değiştirin, ardından FTP, CPanel vb … ve yapılacak ilk şey, çünkü bu şekilde daha fazla hasar olasılığını sağlamadan erişimi hemen engellemeye çalışıyoruz. Ayrıca barındırma şirketi desteğinizle iletişime geçin. Bu tür olaylar meydana geldiğinde, ani bir çözünürlük isterler. Yedekleme kullanmayı düşünün
Modern vektör illüstrasyon konsepti düz tasarım tarzı düz iş akışı programcısı veya kodlama web siteleri ve html programlama web uygulamaları için kod üreticisi.Şık bir arka planda izole edilmiş.Sorun devam ederse ve kendinizi uyarılardan kurtaramazsanız, bir sonraki adım siteyi bir yedekleme yoluyla geri yüklemektir.Ancak, hacker’ın olasılığı olduğunda ilk yaptığı şey, sunucuda arka kapı yüklemek olduğunu bilmelisiniz.Arka kapıdan, makineye bir dahaki sefere girmek zorunda kaldıklarında, normal kimlik doğrulama sisteminden geçmediler, ancak bu “arka kapı” aracılığıyla bilinmeden erişim olasılığı vardı.Ne anlama geliyor?Bu, enfekte olmuş sitenin bir kopyasını kullanarak yedekleme ile geri yüklerseniz, projenizin iyileşmeyeceği anlamına gelir.Yani, sitenizin gerçekten “temiz” olduğu tarihi düşünüyorsanız
