10 moduri cheie de a asigura o instalare tipică WordPress
Publicat: 2016-02-20În peste un deceniu, WordPress a evoluat de la un sistem incipient de gestionare a conținutului la cea mai folosită soluție online. Această notorietate, în general, este bună pentru întreaga comunitate și a condus la cel mai mare grup de dezvoltatori pentru orice sistem de management al conținutului disponibil în prezent. CMS se schimbă, evoluează și devine mai avansat, în mare parte datorită dimensiunii, domeniului și influenței sale în publicarea online.
Dar tocmai acele lucruri fac ca WordPress să fie ținta obișnuită a tentativelor de hacking rău intenționat și a invaziilor de confidențialitate. Hackerii au luat notă de proliferarea CMS-ului în rândul site-urilor web independente și al principalelor instituții media deopotrivă și exploatează o serie de vulnerabilități care le oferă acces la Dashboard și chiar la baza de date WordPress în sine.
Din fericire, utilizatorii WordPress nu sunt doar „rățe așezate” într-un mediu online din ce în ce mai rău intenționat. Există o serie de lucruri care pot fi făcute pentru a îmbunătăți în mod dramatic securitatea unei instalări WordPress și a contracara tentativele hackerilor de a prelua conținutul, baza de date și fiabilitatea generală a unui site web.
1. Schimbați prefixul bazei de date WordPress
În mod implicit, fiecare instalare WordPress își plasează tabelele într-o bază de date MySQL cu prefixul „wp_”. În general, acest lucru se face pentru a-l face mai intuitiv, deoarece WordPress este adesea abreviat ca „WP” și pur și simplu nu există nicio confuzie cu privire la care CMS aparțin acele tabele.
Cu toate acestea, utilizatorii mai nefericiți ai internetului știu că WordPress își va plasa conținutul în tabele cu acest prefix în mod implicit și aceasta este una dintre primele modalități prin care se sparg într-o instalare sau provoacă probleme cu baza de date a software-ului din exterior.
Prefixul în sine este setat în fișierul wp-config.php înainte ca procesul de instalare să aibă loc. În acel moment, proprietarii site-ului WordPress ar trebui să parcurgă fișierul de configurare și să caute următoarea linie:
$table_prefix = 'wp_';
Această linie ar trebui schimbată practic în orice, în afară de prefixul implicit. Alegerea a ceva precum titlul site-ului web sau numele administratorului principal ar putea fi un prim pas grozav pentru a securiza instalarea și a ține departe hackerii rău intenționați de pe Internet.
2. Ascundeți de public numărul versiunii instalării WordPress
Fiecare șablon WordPress vine cu o variabilă care afișează informații de bază despre WordPress și permite modificarea continuă a antetului prin pluginuri. Această variabilă este <?php wp_head() ?> și este plasată invariabil între etichetele <HEAD> de deschidere și de închidere ale fișierului header.php . Unul dintre principalele lucruri efectuate de această variabilă este acela de a afișa publicului numărul versiunii actuale a instalării WordPress.
Acesta este de fapt folosit de echipa de dezvoltare Automattic în scopuri de analiză, deoarece le permite să vadă ce numere de versiune sunt utilizate cel mai mult și dacă există un număr mare de utilizatori neactuali.
De asemenea, permite hackerilor să vadă numărul versiunii instalării WordPress și să își planifice atacul în consecință. Deoarece vulnerabilitățile de securitate cu WordPress sunt în general specifice versiunii și sunt remediate în orice versiuni ulterioare, iar instalarea învechită care arată numărul versiunii este pregătită pentru atacul celor care doresc să obțină acces neautorizat la tabloul de bord sau la baza de date.
Aceste informații pot și ar trebui să fie eliminate din variabila „wp_head”; se poate face prin adăugarea următoarei linii de cod la fișierul functions.php al temei curente:
remove_action('wp_header', 'wp_generator');Salvați acel fișier și încărcați-l pe server și nimeni nu va ști vreodată dacă instalarea WordPress este actuală, depășită sau chiar în versiune beta. Nimic nu va fi anunțat public.
3. Plasați o limită pentru numărul de încercări eșuate de conectare
De obicei, utilizatorii de Internet rău intenționați vor obține acces la Tabloul de bord WordPress printr-un atac de „forță brută” care introduce rapid zeci de mii de parole. Acest atac urmărește să folosească cuvinte din dicționar și numere comune, pentru a afla acreditările de securitate ale utilizatorului. Fără o blocare adecvată a acestor încercări repetate, nu există cu adevărat nimic care să le oprească.
Aici intervine pluginul Login LockDown. Folosind pluginul, utilizatorii WordPress pot seta o limită a numărului de încercări eșuate de conectare care pot fi făcute înainte de a fi blocați în mod esențial din tabloul de bord timp de o oră. Acele încercări eșuate sunt legate de adrese IP, făcând acest plugin și mai eficient.
4. Administratorii nu ar trebui să se numească „Administrator”
Când instalați WordPress din programul de instalare încorporat, utilizatorul administrator este, în general, numit „ admin ” în mod implicit. Utilizatorii de internet rău intenționați știu acest lucru și acesta este primul nume pe care vor încerca să-l ghicească atunci când obțin acces în forță brută la tabloul de bord WordPress.
Când instalați WordPress pentru prima dată, asigurați-vă că numiți utilizatorul administrator ceva greu de ghicit (poate o poreclă sau altceva). Un atac cu parolă de forță brută este eficient numai dacă numele de utilizator al administratorului este cunoscut. Dacă nu, va fi de două ori imposibil să obțineți acces.
5. Țineți WordPress actualizat în orice moment și fiți prompt în legătură cu acesta
O nouă versiune de WordPress este de obicei lansată la fiecare câteva săptămâni, cu actualizări minore și corecții de securitate care servesc pentru a ține utilizatorii în siguranță de hackeri care vizează din ce în ce mai mult tablourile de bord și bazele de date de pe Internet.
Eșecul de a menține WordPress actualizat este în esență ca și cum le-ați oferi hackerilor o invitație deschisă de a intra, de a șterge unele postări și de a compromite securitatea site-ului web. Este un lucru foarte rău să rămâneți în urmă cu aceste actualizări, mai ales că o temă nemodificată va afișa chiar și numărul versiunii pentru ca mințile întrebătoare să-l vadă.
Începând cu versiunea 3.0, WordPress a permis actualizarea automată a tabloului de bord cu un singur clic. De fapt, tabloul de bord notifică automat utilizatorii cu privire la actualizări și îi va îndemna să facă upgrade într-un text destul de îndrăzneț, remarcabil. Acest lucru ar trebui făcut de îndată ce este disponibil un upgrade; nu va duce la pierderea niciunui fișier, plugin, teme sau setări.
În schimb, actualizarea WordPress va servi doar pentru a activa orice caracteristici noi și a corecta vulnerabilitățile de securitate care au fost descoperite de când ultima versiune a fost trimisă celor 60 de milioane de utilizatori ai software-ului. Rămâneți mereu la curent în încercarea de a evita hackeri.
6. Ascundeți fișierul WP-Config.PHP de la aproape toți utilizatorii de internet
Utilizatorii WordPress nu ar trebui să uite niciodată puterea fișierului .htaccess atunci când caută să ascundă fișiere și să protejeze integritatea tabloului de bord și a bazei de date WordPress. De fapt, acest fișier este esențial pentru a asigura securitatea pe termen lung a WordPress în mai multe moduri. Folosind câteva linii simple de cod, fișierul „.htaccess” poate de fapt ascunde complet fișierele de la utilizatorii de internet public, chiar dacă permisiunile corespunzătoare pentru fișiere nu sunt setate pe acel fișier.
Aceasta este soluția pentru afișarea publică a fișierului „wp-config.php”, care conține lucruri precum cheile API și prefixul bazei de date necesare pentru a compromite o instalare.
Pentru a securiza acest fișier de utilizatorii de Internet rău intenționați, pur și simplu adăugați următoarele linii de cod la fișierul „.htaccess” aflat în folderul rădăcină al instalării WordPress. Dacă nu există un astfel de fișier, creați unul:
<Fișiere wp-config.php> comanda permite, refuza nega de la toti </Fișiere>
Cu această linie de cod plasată în fișier, salvați-o și încărcați-o pe server printr-un client FTP. Fișierul de configurare pentru instalarea WordPress relevantă va dispărea acum în mod esențial din vederea publicului, iar asta nu poate însemna decât lucruri bune pentru securitate și liniște sufletească.
7. Și, vorbind despre permisiunile de fișiere, verificați-le pentru a asigura securitatea
WordPress nu necesită reguli foarte permisive pentru accesul și modificarea fișierelor pentru a funcționa corect. Într-adevăr, toate setările site-ului și informațiile de conținut sunt scrise în baza de date, mai degrabă decât stocate în fișiere PHP de pe partea serverului. Din acest motiv, nu există absolut nicio justificare pentru utilizarea unei valori 777 CHMOD pe orice fișier WordPress. Aceasta este, în schimb, doar o modalitate de a vă asigura că hackerii au acces ușor la setările de configurare sau la alte fișiere care ar putea compromite instalarea.
Pentru a verifica permisiunile și, eventual, a le remedia pentru o instalare mai sigură, deschideți un client FTP și navigați la directorul rădăcină WordPress. Faceți clic dreapta pe orice fișier PHP și căutați o opțiune de meniu referitoare la permisiuni. În fereastra rezultată, căutați un număr care indică disponibilitatea fișierului. Cu siguranță nu ar trebui să fie 777 . În multe cazuri, se recomandă utilizarea unei valori 744 CHMOD care restricționează accesul și modificarea fișierelor doar la utilizatorul FTP rădăcină al serverului. Schimbați această setare dacă este necesar și apoi salvați-o. Serverul se va actualiza în consecință.
8. Utilizați fișierul .htaccess pentru a ascunde fișierul .htaccess
Majoritatea oamenilor nu consideră acest lucru o posibilitate, dar fișierul .htaccess poate fi folosit pentru a se ascunde de public. Acesta realizează deja în mare măsură acest lucru prin folosirea unui nume de fișier care începe cu un punct, dar care nu va funcționa pe computerele bazate pe Windows. Aceste mașini trebuie să găsească fișierul inaccesibil folosind instrucțiunile conținute în „.htaccess” însuși. Permisiunile arată de fapt destul de asemănător cu metoda folosită pentru a ascunde fișierul de configurare PHP al WordPress, așa cum se vede aici:
<Fișiere .htaccess> comanda permite, refuza nega de la toti </Fișiere>
Din nou, odată ce acea linie este plasată în fișier, poate fi salvată și încărcată pe server. Acum va fi invizibil pentru aproape toți cei care vizitează site-ul, cu excepția utilizatorului administrator root.
9. Înțelegeți și utilizați puterea unui document HTML gol
Toți cei care doresc să obțină acces la o instalare WordPress compromisă știu că software-ul își plasează pluginurile și temele într-un anumit director. Ei vor verifica aceste directoare pentru a căuta o lipsă de pluginuri de securitate sau o serie de vulnerabilități bazate pe XHTML și CSS, apoi vor exploata acele lucruri pentru a obține acces. Acest lucru este de fapt destul de ușor de prevenit.
Pentru a vă asigura că listele de fișiere din aceste directoare nu apar pentru niciun utilizator de internet, pur și simplu creați un document HTML gol și plasați-l în folder. Documentul ar trebui să fie ceva destul de simplu, cu etichete head și un titlu care spune ceva de genul „ Acces restricționat ”. Acest titlu ar putea dezvălui că administratorul site-ului știe ceva sau două despre securitate și va trimite utilizatori rău intenționați către alte site-uri web.
10. Aveți întotdeauna o copie de rezervă recentă disponibilă
Modul corect de abordare a securității unei instalări WordPress este că este o parte pregătire și o parte prevenire.
Aspectul de „pregătire” al acestui proces vine sub forma unei copii de rezervă. Atât fișierele WordPress reale, cât și baza de date utilizată pentru stocarea informațiilor ar trebui să fie copiate în mod regulat; acest lucru se poate face în mai multe moduri, inclusiv mai multe plugin-uri WordPress pentru tabloul de bord.
Dacă este necesară o metodă mai avansată de copiere de rezervă a fișierelor, utilizatorii pot folosi instrumente de backup în zonele de administrare backend cPanel sau Plesk Panel. În plus, administratorii pot automatiza procesul și pot crea joburi Cron, astfel încât o copie de rezervă recentă să fie întotdeauna disponibilă.
Lucrul important despre securitatea WordPress este să fii mereu pregătit pentru cel mai rău caz. Când vine vorba de asigurarea timpului de funcționare și a fiabilității, chiar și atunci când este atacat de un hacker rău intenționat, o copie de rezervă a site-ului este cea mai ușoară modalitate de a reveni online după ce gaura de securitate a fost închisă.
Vigilența și utilizarea inteligentă sunt cheile pentru o instalare WordPress sigură
În general, WordPress a devenit exponențial mai sigur în ultimii ani. Pentru o scurtă perioadă, părea că există o nouă vulnerabilitate de securitate la două săptămâni. Acest model a fost deosebit de îngrijorător pentru utilizatorii mai mari și mai corporativi, iar echipa de la Automattic a început rapid să lucreze la o repornire completă.
Acea repornire a fost în mare parte versiunea 3.0, cu o arhitectură mult mai sigură și instrumente de actualizare automată, care au luat munca grea de a rămâne la curent cu cele mai recente corecții și corecții de securitate.
Când vine vorba de menținerea securității, aceste versiuni ar trebui să fie absolut actualizate, iar utilizatorii ar trebui să folosească permisiuni, restricții și trucuri de securitate stricte, pentru a rămâne protejați de utilizatorii de internet rău intenționați.