WordPress-tietoturvavinkit maallikkomiehelle: Suojaa WordPress-kirjautuminen ja muut tietoturvakäytännöt

Siitä lähtien, kun WordPress esiteltiin ensimmäisen kerran yli kaksi vuosikymmentä sitten, se on kasvanut (ja kasvanut) nyt turvallisesti nimeltään maailman suosituimmaksi sisällönhallintajärjestelmäksi. Nykyään yli neljännes olemassa olevista verkkosivustoista toimii WordPressillä.


Vielä muistoaikojen ajan, sitä suositumpi on jotain, sitä enemmän ihmiset haluavat hyödyntää sitä pahalla keinolla. Katso vain Microsoft Windowsia ja suurta määrää haittaohjelmia, viruksia ja muita hyödynnettyjä kohteita, jotka on suunniteltu kohdistamaan vain tämä tietty käyttöjärjestelmä.

10 WordPress-versiota, joissa on eniten haavoittuvuuksia (lähde). Vuonna 2017 tehdyssä tutkimuksessa tunnistettiin 74 erilaista WordPress-versiota miljoonan miljoonan sivuston verkkosivustossa; Näistä versioista 11 ei kelpaa – esimerkiksi versio 6.6.6 (lähde).

Miksi WordPress-blogi on arvokas kohde?

Jos mietit, miksi hakkeri haluaisi hallita WordPress-blogiasi, siihen on useita syitä;

  • Sen avulla lähetetään salakuljetettuja roskapostia
  • Varasta tietosi, kuten postituslista tai luottokorttitiedot
  • Lisäämällä sivustosi bottiverkkoon, jota he voivat käyttää myöhemmin

Onneksi WordPress on alusta, joka tarjoaa sinulle monia mahdollisuuksia puolustaa itseäsi. Olen auttanut useiden verkkosivustojen ja blogien asentamisessa ja hallinnoinnissa itse. Haluaisin kertoa teille joitain perustoimenpiteitä, joita voit tehdä WordPress-sivustosi suojaamiseksi.

Tässä on 10 käytännöllistä tietoturvavinkkiä, joita voit hyödyntää.

Suojaa WordPress-kirjautumissivusi

Kirjautumissivusi suojaamista ei voida suorittaa yhdellä erityisellä tekniikalla, mutta ehdottomasti on olemassa vaiheita ja ilmaisia ​​tietoturvapäivityksiä, jotta hyökkäykset olisivat todennäköisesti onnistuneempia..

Sivustosi kirjautumissivut ovat varmasti yksi haavoittuvimmista sivuista, joten aloitamme tekemällä WordPress-sivuston kirjautumissivusi hieman turvallisemmaksi.

1. Valitse hyvä järjestelmänvalvojan käyttäjänimi

Käytä epätavallisia käyttäjänimiä. Aiemmin WordPressin kanssa jouduit aloittamaan oletusarvoisella järjestelmänvalvojan käyttäjänimellä, mutta se ei ole enää niin. Silti useimmat uudet web-järjestelmänvalvojat käyttävät oletus käyttäjänimeä ja joutuvat vaihtamaan käyttäjänimen. Voit muuttaa järjestelmänvalvojan käyttäjänimeä Admin Renamer Extended -ohjelmalla.

Sisäänkirjautumissivun raa’a pakottaminen on yksi yleisimmistä verkkosyökkäysmuodoista, joihin verkkosivustosi todennäköisesti kohtaa. Jos sinulla on helppo arvata salasana tai käyttäjänimi, verkkosivustosi ei varmasti ole vain kohde, vaan lopulta uhri. Kokemuksen perusteella useimmat sivuston hakkerit yrittävät kirjautua sisään kolmella päävalinnalla käyttäjänimien avulla. Kaksi ensimmäistä ovat aina “järjestelmänvalvoja” tai “järjestelmänvalvoja”, kun taas kolmas perustuu yleensä verkkotunnukseesi.

Jos sivustosi on esimerkiksi crazymonkey33.com, hakkeri saattaa yrittää kirjautua sisään ‘crazymonkey33’.

Ei hyvä idea.

2. Varmista, että käytät vahvaa salasanaa

Toistaiseksi luulet todennäköisesti, että ihmiset tietävät käyttävänsä vahvoja, monimutkaisia ​​salasanoja tilinsä suojaamiseen, mutta edelleen on monia, jotka ajattelevat, että ‘salasana’ on upea.

Splash Data koonnut luettelon usein käytetyistä salasanoista vuonna 2018. Salasana luokituksen mukaan käytön suhteen.

  1. 123456
  2. Salasana
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. auringonpaiste
  9. qwerty
  10. Rakastan sinua

Jos käytät yhtä näistä salasanoista ja verkkosivustosi vastaan ​​lainkaan liikennettä, verkkosivustosi poistetaan melko varmasti ennemmin tai myöhemmin.

Vahva salasana sisältää sekoituksen:

  • Ylä- ja ala-kirjaimet
  • Ole aakkosnumeerinen (A-Z ja a-z)
  • Sisällytä erikoismerkki (!, @, #, $ Jne.)
  • Ainakin 8 merkkiä pitkä

Mitä satunnaisempi salasanasi on, sitä turvallisempi se on. Kokeile tätä satunnaissalasanageneraattoria, jos sinulla on vaikeuksia sellaisen luomisessa. https://passwordsgenerator.net/

3. Asenna reCaptcha

Wall botit pois WP-blogistasi.

reCaptcha on suunniteltu estämään automatisoitujen työkalujen toimiminen sivustolla. Tietysti ottaen huomioon hakkerointityökalujen monimutkaisuus nykyään, ne voidaan melko helposti ohittaa, mutta ainakin on olemassa lisätty tietoturvakerros.

Asennuksessa voi käyttää useita reCaptcha-laajennuksia, jotka toimivat melko hyvin laatikosta.

4. Käytä kaksifaktorista todennusta (2FA)

2FA on todennusmenetelmä, joka vaatii todennuksen kirjautumisessa. Esimerkiksi, kun olet kirjautunut sisään käyttäjänimellä ja salasanalla, järjestelmä saattaa lähettää tekstiviestin matkapuhelimeesi tai lähettää sinulle sähköpostia koodilla, joka sinun on annettava henkilöllisyytesi vahvistamiseksi.

Tämä todennusmenetelmä tarjoaa hyvän suojan ja sitä käyttävät monet pankit ja rahoituslaitokset nykyään. Tämä tarve voidaan jälleen tyydyttää 2FA-laajennuksella.

Katso kuinka miniOrange (2FA-laajennus) toimii WordPress-kirjautumisen yhteydessä seuraavassa videossa.

T

5. Nimeä kirjautumis-URL-osoite uudelleen

Useimmat hakkerit yrittävät kirjautua sisään WordPress-oletuskirjautumissivun kautta, joka on yleensä jotain

sample.com/wp-admin.

Lisää uusi suojakerros muuttamalla kirjautumissivun URL-osoitetta nopeasti ja vaivattomasti työkalulla, kuten WPS Piilota kirjautuminen.

6. Rajoita kirjautumisyritysten lukumäärä

Tämä on uskomattoman yksinkertainen tekniikka, jolla lopetetaan kirjautumissivulle kohdistuvat raa’at voimahyökkäykset suoraan heidän kappaleilleen. Julma voimahyökkäys toimii yrittämällä saada käyttäjänimesi ja salasanasi oikein yrittämällä useita yhdistelmiä uudestaan ​​ja uudestaan.

Jos tiettyä IP: tä, joka suorittaa hyökkäystä, seurataan, voit estää toistuvat raa’at pakotusyritykset ja pitää sivustosi suojattuna. Siksi myös maailmanlaajuisia DDOS-hyökkäyksiä tapahtuu useilla IP-osoitteilla, joilla on erilainen hyökkäys, isäntäpalvelujen ja verkkosivustojen suojauksen heittämiseksi.

Login LockDown ja Login Security Solution tarjoavat molemmat upeita ratkaisuja verkkosivustosi kirjautumissivujen suojaamiseksi. He seuraavat IP-osoitteita ja rajoittavat sisäänkirjautumisyritysten määrää verkkosivustosi suojaamiseksi.

Harden Site -seinä

Olemme keskustelleet erilaisista taktiikoista WordPress-kirjautumissivusi suojaamisessa – yllä mainitut vaiheet ovat perusasiat, joita voit tehdä. Sinun tulisi myös olla tietoinen siitä, että jotkut verkko-isännät valtuuttavat joitain näistä turvallisuuskäytännöistä käyttäjilleen. On olemassa useita muita tietoturvakäytäntöjä, jotka voit ottaa käyttöön sivustoillasi.

7. Suojaa wp-admin-hakemistoa

Lisää ylimääräinen suojaustaso isäntähakemistoosi.

Wp-admin-hakemisto on WordPress-asennuksen ydin. Lisäsuojana suojaa tämä hakemisto salasanalla.

Sinun on kirjauduttava sisään isäntätilisi hallintapaneeliin. Käytätpä sitten cPanel- tai Plesk-ohjelmaa, etsimäsi vaihtoehto on ‘Salasanasuojat hakemistot’.

Voit vaihtoehtoisesti suojata hakemiston salasanalla säätämällä .htaccess- ja .htpasswds-tiedostoja. Yksityiskohtaiset vaihe vaiheelta -ohjeet ja koodigeneraattorit ovat saatavilla ilmaiseksi Dynamic Drive -sivustolla.

Huomaa, että wp-admin-kansion salasanasuojaus hajottaa julkisen AJAX for WordPress -sovelluksen – sinun on sallittava käyttöoikeuksien hallinnointi ajaksi .htaccess-sovelluksen kautta, jotta vältetään sivuston virheet..

8. Salaa tiedot SSL: llä

HTTP vs. HTTPS-yhteys (Lähde: Sucuri)

Itse sivuston lisäksi haluat myös suojata yhteyden palvelimen ja palvelimen välillä, ja tässä SSL tulee salaamaan viestintääsi. Salatulla yhteydellä hakkerit eivät pysty sieppaamaan tietoja (kuten salasanasi), kun olet yhteydessä palvelimeesi..

Tämän lisäksi on hyvä käytäntö toteuttaa SSL nyt, koska hakukoneet rankaisevat yhä enemmän sivustoja, joita ne pitävät “turvallisina”.

Yksittäisille bloggaajille ja pienyrityksille ilmainen jaettu SSL – jonka voit yleensä saada palveluntarjoajalta, Let’s Encrypt tai CloudFlare – on yleensä enemmän kuin tarpeeksi hyvä. Yrityksille, jotka käsittelevät asiakkaiden maksuja – on parasta, että ostat erillisen SSL-varmenteen verkkoisäntältäsi tai varmentajalta (CA).

Lisätietoja SSL: stä kattavassa A-Z-oppaassa SSL: ään.

9. Hyödyntä sisällönjakeluverkkoa (CDN)

Vaikka tämä ei välttämättä pelasta sivustoasi hakkeroinnilta, se auttaa lieventämään sitä vastaan ​​kohdistuvia haitallisia hyökkäyksiä. Jotkut hakkerit pyrkivät vähentämään verkkosivustoja tekemällä niistä pääsyn yleisölle. CDN auttaa hillitsemään jaetun palvelunestohyökkäyksen iskua sivustollesi.

Sen lisäksi, että se auttaa myös nopeuttamaan sivustoasi hieman välimuistissa välimuistia. Tutustuaksesi tähän vaihtoehtoon, katso esimerkiksi CloudFlare. CloudFlare tarjoaa CDN-palveluita monitasoisilla hinnatasoilla, joten voit käyttää jopa perusominaisuuksia ilmaiseksi. https://www.cloudflare.com

10. Varmista, että kaikki ohjelmistosi ovat ajan tasalla

Riippumatta siitä, kuinka hyvä tai kallis ohjelmisto on, niihin löytyy aina uusia heikkouksia, jotka saattavat antaa niiden avautua hyödynnettäväksi. WordPress ei ole poikkeus, ja tiimi julkaisee jatkuvasti uusia versioita korjausten ja päivitysten avulla.

Hakkerit yrittävät melkein aina hyödyntää heikkoutta, ja tunnettu hyödyntäminen, joka jätetään korjaamattomaksi, vaatii vain ongelmia. Tämä koskee kaksinkertaista lisäosaa laajennuksille, jotka ovat usein luoneet paljon pienemmät yritykset, joilla on vähemmän resursseja.

Jos käytät laajennuksia, varmista, että päivitykset julkaistaan ​​säännöllisesti, tai harkitse suosittujen laajennusten löytämistä, joiden toiminnot pysyvät päivitettyinä.

En kuitenkaan suosittele käyttämään automaattisia WordPress- ja Plugin-päivityksiä, varsinkin jos sinulla on suora verkkosivusto. Jotkin päivitykset voivat aiheuttaa ongelmia joko sisäisesti tai ristiriidassa muiden pluginien ja asetusten kanssa.

Ihannetapauksessa luoda testiympäristö, joka heijastaa aktiivista sivustoasi, ja testata siellä olevat päivitykset. Kun olet varma, että kaikki toimii hyvin, voit ottaa päivityksen käyttöön aktiivisella sivustolla.

Ohjauspaneelit, kuten Plesk, antavat sinulle mahdollisuuden luoda sivukloonin tätä tarkoitusta varten.

11. Varmuuskopiointi, varmuuskopiointi ja varmuuskopiointi!

Riippumatta siitä, mitkä turvatoimenpiteet tai kuinka varovainen olet, onnettomuuksia tapahtuu. Säästä itsesi puristuvasta sydänsammasta ja satojen tuntien työstä varmistamalla, että sinulla on riittävät varmuuskopiopalvelut.

Tavallisesti verkkoisäntälläsi on ainakin joitain perusvarmuuskopio-ominaisuuksia, mutta jos olet vainoharhainen kuten minä, varmista aina, että suoritat omat riippumattomat varmuuskopiot. Varmuuskopiointi ei ole niin yksinkertaista kuin vain joidenkin tiedostojen kopioiminen, mutta myös tietokannassa olevien tietojen huomioon ottaminen.

Etsi varmennettu ratkaisu, joka on kokeiltu. Jopa pieni sijoitus on sen arvoista säästääksesi kyyneliin hätätapauksissa. Jotakin BackupBuddy-tapainen voi auttaa sinua tallentamaan kaiken tietokannan mukaan lukien kerralla.

12. Web-isäntäsi laskee!

Vaikka perinteisesti web-hosting-yritykset tarjosivat vain tilaa meille verkkosivustojemme ylläpitämiselle, ajat ovat muuttuneet. Web-palveluntarjoajat ovat tunnustaneet kiireellisen tarpeen lisätä tietoturvaa ja lisääntyneet. Monet tarjoavat lisäarvoa tarjoavia palveluita täydentääkseen web-hosting-palveluaan..

Otetaan esimerkiksi HostGator, yksi pelin vakiintuneimmista nimistä. Perusteellisten Cloudflare-ominaisuuksien lisäksi HostGatoriin (hintaan 10 dollaria / kuukausi) sisältyy myös roskapostisuojaus, automaattinen haittaohjelmien poisto, automatisoidut varmuuskopiot, verkkotunnuksen yksityisyys ja muut.

Ylläpito WordPress-isännöintipalveluntarjoaja, Kinsta, rakentaa laitteistopalomuureja ja seuraa aktiivisesti palvelimiaan haittaohjelmien ja DDoS-hyökkäysten varalta räätälöityjen järjestelmien avulla.

Jos tätä ei ole tapahtunut sinulle vieläkään, kehotan sinua tarkastelemaan isäntäsi tarjoamia turvaominaisuuksia ja vertailemaan sitä nykyisillä.

Kattavan luettelon voit tarkistaa täältä WHSR: n kokoelma parhaita web-isäntiä.

Mitä nyt?

Ennen kuin juoksut ja aloitat hangata Internetiä paniikkia etsiessäsi miljoona ja yksi tietoturvaratkaisu – hengitä syvään. Kuten kaikessa muussakin, joku on auttanut sinua jo paniikkimaan ja etsinyt ratkaisua.

Vaikka olet ottanut käyttöön niin monta tietoturvaratkaisua kuin voit löytää, oletko varma, että olet turvassa?

Tässä on jotain Security Ninjan kaltaista, joka auttaa sinua tunnistamaan sivustosi heikkouksien varalta.

Pikaesittely: Kuinka Security Ninja toimii.

On olemassa muutamia pakottavia syitä käyttää jotain Security Ninjaa, mutta sanoisin, että se on työkalu, jota suosittelen käyttämään matkasi useissa vaiheissa sivustosi suojaamiseksi..

Suorita ensin se verkkosivustollasi sellaisenaan – ennen kuin teet muutoksia. Anna plugin pistää ja prod sivustosi ennen tulosten antamista.

Sitten näiden tulosten perusteella työskentele sivustosi suojaamiseksi. Turvallisuus Ninja suorittaa yli 50 testiä puolustaaksesi puolustustasi. Suorita muutokset myös sen jälkeen, kun olet tehnyt muutokset, suorita se uudelleen (ja aina, kun sivuston muutoksia tai laajennuksia päivitetään) vain testataksesi sivustosi..

Jos tämä kuulostaa hiukan liian paljon työstä sinulle, Security Ninjassa on myös joukko lisämoduuleja (pro-versio, yksittäinen sivusto 29 dollaria), jotka voivat auttaa korjaamaan löytämiäsi ongelmia..

Joitakin muita moduulien tärkeimpiä ominaisuuksia ovat:

  • Skannaa WP-ydintiedostot tunnistamaan ongelmalliset tiedostot
  • Palauta muokatut tiedostot yhdellä napsautuksella
  • Korjaa vialliset WP-automaattiset päivitykset
  • Kielletään 600 miljoonaa huonoa IP-osoitetta, jotka on kerätty miljoonilta hyökkäyssivustoilta
  • Lista automaattiset päivitykset, ilman mitään huoltoa tai käsityötä
  • Suojaa kirjautumislomake raa’alta hyökkäyksiltä

Lopulliset ajatukset

Vaikka kaikki tämä saattaa vaikuttaa hieman liialliselta tavalliselle WordPress-käyttäjälle, vakuutan teille, että kaikki se (ja enemmän) ovat välttämättömiä. Huomioimatta maailmanlaajuista hakkerointitilastoa ja mitä tahansa, sallin minun jakaa kanssasi henkilökohtaisia ​​tietoja yhdellä hämärimmistä sivustoista, joita autan hallitsemaan.

Alun perin aloitin yksinkertaisena elämäkerta-sivustona, loin www.timothyshim.com. Ilmeisesti se oli vain jotain, minkä olen asettanut ja jättäen suurimman osan ajasta yksin, yksinkertaisesti vertailukohtana. Jokaisen kuukauden ajanjakson aikana tällä sivustolla, joka periaatteessa ei tee mitään eikä kerää tietoja, on yli 30 hyökkäystä – yhdistelmä raa’aa voimaa ja monimutkaisia.

Tarvitsee vain yhden heille menestymiseen ja minulla olisi todella huono päivä.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map