10 WordPressi turvahäkki, mis takistavad teid häkkimast
WordPress on tohutu edulugu mitte ainult globaalsete numbrite, vaid ka platvormi kasutavate suurte nimede poolest, mis võib mõnda üllatada.
Internetis, kui teil on nii suur installitud kasutajabaas kui ka kõrge profiiliga kasutajad, ei saa te lihtsalt häkkerite ja rämpspostitajate sihtmärgiks saada. Alates pillidega kaubitsemisest kuni moonutatud ideoloogiate propageerimiseni, andmete varastamise ja saitide murdmiseni lihtsalt sellepärast, et see on võimalik, võib häkkimine olla teie ettevõttele suureks peavaluks.
Selles artiklis käsitlen mõningaid näpunäiteid, nippe ja häkke, mida saate kasutada, et pakkuda endale rohkem kaitset veebi räpane kõhualuse eest.
Saate põhitõdedega hakkama
Ehkki võite arvata, et mõned neist elementidest peaksid olema enesestmõistetavad, mõelge lihtsalt sellele, kui palju kordi olete näinud mitte ainult kliente, vaid ka kaasarendajaid, disainereid ja agentuure, kes peaksid teadma, et mõnes neist süüdi on?
Alustuseks muutke oma paroolid raskesti äraarvatavaks. Kuidas teha see neile raskeks, aga enda jaoks lihtsaks? Võib-olla võite unustada segased täheasendused, nagu ‘h3ll0’, tähtede segamise ja kirjavahemärkide sisseviskamise ning kasutada selle asemel mnemoonikat. Aheldades kolm või neli sõna kokku, et luua lõbus pilt, on teie parool palju lihtsam meelde jätta kui “t3r%?9.Fq!G” ja suurusjärke raskem lahti murda. Lihtsalt ärge kasutage ‘CorrectHorseBatteryStaple’i. Selle põhimõtte täieliku ja naljaka selgituse saamiseks vaadake XKCD 936.
Samuti peaksite hoidma oma pistikprogrammid ja WordPressi tuuma ajakohasena. Seda on WordPressi hilisemate versioonidega nüüd lihtsam teha. WordPress 3.7-st saate konfigureerida nelja tüüpi automaatseid värskendusi: põhifailid, pistikprogrammid, teemad ja tõlkefailid. Ettevaatust – olenevalt seadistusest võiksite mõned neist keelata, et saaksite enne värskenduste juurutamist testida. Kuigi isegi kui jätate need aktiivseks ja kogete probleeme, on teil siiski igapäevaseid varukoopiaid, millele tugineda, eks?
Muutke mitme saidi, pistikprogrammide ja varukoopiate haldamine lihtsamaks millegi InfiniteWP abil. Põhifunktsioonid on tasuta!
Need ei ole sisselogimismandaadid, mida otsite
Lisaks suurepärasele paroolitugevusele peaksite kaaluma ka oma vaikeadministraatori URL-i teisaldamist ja kasutama oma kasutajanime jaoks midagi muud kui “admin”. Kui häkkeritel pole konkreetset sihtmärki, otsivad nad tavaliselt protsessi automatiseerimiseks roboteid. Need robotid otsivad WordPressi, proovivad vaikesätteid ja levinumaid paroole – nii et liigume vaikeseadetest eemale, et seda ülesannet raskendada.
Võib-olla on lihtsaim viis sisselogimise URL-i muutmiseks heita pilk pistikprogrammidele, nagu HC kohandatud WP-Admin URL. Muidugi – tehke esmalt varukoopia!
Administraatori kasutajanime muutmiseks on lihtsaim viis luua valitud kasutajanimega uus administraator ja kustutada vana. Kui te ei saa oma administraatorist juurdepääsu, kuna te ei mäleta oma kasutajanime, vajate veidi drastilisemat lahendust. Logige sisse phpMyAdmini ja laadige oma WordPressi andmebaas üles. Kerige vasakult alla ja otsige tabelit “ks29so_users”. Otsige üles kasutajanimi, mida soovite muuta, st “admin” ja muutke kasutaja_sisselogimise väärtust oma uueks nimeks.
Viimane sõna sisselogimisprotsessi kohta
Enne sisselogimisprotsessist lahkumist tuleb lahendada veel paar ülesannet. Kas mäletate neid roboteid, mis arvavad paroole? Teeme nende jaoks raskemaks, öeldes, et teatud aja jooksul saate teha ainult nii palju katseid ja et enne seda peate CAPTCHA õigesti transkribeerima. Captcha jaoks võite proovida selle pistikprogrammi installida ja saate minna. Kõrvalhüve – lisatasu versioon integreerub BuddyPressi ja kontaktvormiga 7, et kaitsta teie kontaktivorme rämpsposti saatmise eest.
Sisselogimiskatsete piiramiseks võite lisada pistikprogramme (nt Limit Login Attempts) või küsida oma hostiteenuse pakkujalt, kellel võib lahendus olla – näiteks Wpengine’il on see vaikimisi konfigureeritud.
WordPressi turvamine .htaccess-i muudatustega
Loodan, et olete valmis oma käsi pisut määrima, kui jätkame soovitustega, mis on pisut keerulisemad kui “plugina installimine”! Lisage need soovitused pärast rida #END WORDPRESS.
Esimene lisatav element aitab kaitsta faili wp-config.php. See fail oleks valedes kätes ohtlik, kuna see sisaldab teie saidi ja selle andmebaasi kohta olulist teavet.
orderallow,deny
deny from all
See on suurepärane algus, mida me veel teha saame? Noh, me saame takistada uudishimulikel inimestel teie failides ja kaustades ringi vaadata – ma arvan, et selle eelised on üsna iseenesestmõistetavad!
Järgmine on kombinesoon kataloogi sirvimise blokeerimiseks:
# directory browsing
Options All -Indexes
Kui soovite konkreetselt blokeerida ühe faili, kasutage järgmist.
Order allow,deny
Deny from all
Nüüd hakkame edusamme tegema – eemaldame juurdepääsu neilt, kes seda ei vaja. Selle loogilise järelduseni jõudmiseks vaatame, kuidas saaksime keelata kellelgi, kelle kohta teame, et ta on halb näitleja, et ta saaks teie serveris üldse midagi juurde pääseda.
Kui teate IP-aadressi, lisage lihtsalt need read, asendades 127.0.0.1 halva IP-ga:
Order Deny,Allow
Deny from 127.0.0.1
Selle värskendamiseks uute IP-aadressidega lisage lihtsalt uued “keelamise” read. Kui peate blokeerima terve vahemiku, jätke see lihtsalt välja. Teisisõnu, et blokeerida kõik alates 127.0.0.0 kuni 127.0.0.255, lisage:
Deny from 127.0.0.
Selle jaotise viimane nõuanne on kaitsta .htaccessi ennast. On üsna palju saite, mis levitavad meetodeid, mis on head, kuid mitte suurepärased. Järgmine meetod pärineb Jeff Starrilt Perishable Pressist ja on palju põhjalikum:
# STRONG HTACCESS PROTECTION
order allow,deny
deny from all
satisfy all
Andmebaasi täiustused
Veel üks WordPressi eelis häkkerite jaoks on see, et standardinstallatsioonis teavad nad, kuidas teie andmebaasi tabeleid nimetatakse. WordPress kasutab vaikimisi eesliidet “ks29so_”, seda muutes eemaldume jälle häkkerite eeldustest.
Kõigepealt ütleme failile wp-config.php, et muudame tabeli eesliidet. Avage see fail ja muutke järgmist:
$table_prefix = 'ks29so_’;
Lisage mõned numbrid või tähed:
$table_prefix = ‘ks29so_3drt5_’;
Seejärel peate oma andmebaasis kõik tabelinimed läbi vaatama ja muutma. Käivitage iga 11 tabeli jaoks käsk järgmisel kujul:
RENAME TABLE ‘ks29so_commentmeta‘ TO ‘ks29so_3drt5_commentmeta‘;
Tõenäoliselt on veel mõned viited vanale eesliitele, mida peate puhastama. Käivitage see päring, et loetleda kõik suvandite tabelist, kasutades vana eesliidet:
SELECT * FROM ` ks29so_3drt5_options` WHERE `option_name` LIKE'%ks29so_%'
Kahjuks peate need kõik läbi vaatama ja värskendama.
Seejärel peame vaatama UserMeta tabelit, sama protsessi nagu varem:
SELECT * FROM ` ks29so_3drt5_usermeta` WHERE `meta_key` LIKE'%ks29so_%'
Lõpuks saate piirata ka oma MySQL-i andmebaasi kasutajal ainult järgmisi lugemis- ja kirjutamisõigusi: SELECT, INSERT, UPDATE ja DELETE. Nii saate tühistada andmebaasi struktuuri ja administraatori õigused: DROP, ALTER ja GRANT. See võib aga muuta tuuma värskendamise ja uute pistikprogrammide lisamise keeruliseks, kuna need võivad tõesti andmebaasi struktuuri muuta. Kui lähete sellele teele, peate oma varukoopiate tegemise ja testimise osas olema põhjalik.
Palun uued võtmed
Teie salajased võtmed on salvestatud saidile wp-config.php. Siiski pole need nii salajased, kui jätate need vaikeväärtusteks! Parandage oma turvalisust neid muutes – soovitan siiski mitte loota oma juhuslikkuse ja keerukuse tunnetusele. Kasutage midagi selle teenuse sarnast – see mitte ainult ei määratle teie jaoks võtmeid, vaid teeb need kõik korraga õiges vormingus, et saaksite selle otse oma faili kleepida. Värskendusklahvi vajutamine näitab, et iga kord, kui laadite selle üles, saate uue klahvikomplekti.
Algne retsepti allikas
Pluginad on piisavalt suur ründevektor, kui ärakasutusi avastatakse ja häkkerite vahel levitatakse, seega peaksite vähemalt veenduma, et usaldate pistikprogrammi allikat. Vastasel juhul võite selle ärakasutamise oma saidile paigutada, lisades pahavara sisaldava veidra pistikprogrammi.
Kevadpuhastus
Kuna teemad ja pistikprogrammid kujutavad endast potentsiaalset haavatavust, värskendame neid võimaluse korral. Kui olete pistikprogrammi/teema kasutamise lõpetanud, kustutage see täielikult. Keelamisest ei piisa – lihtsalt vabanege sellest! Kui arendaja on pistikprogrammist loobunud, oleks samuti hea mõte leida midagi uut ja kustutada vana – kui leitakse turvaauke, seda ei parandata ja kohandatud paranduse tegemine läheb tõenäoliselt väga kalliks.
Samal viisil kustutage kõik sisselogimised, mida te enam ei vaja. Võib-olla usaldate oma endisi töötajaid ja see on hea, kuid see pole ainult usaldus. See puudutab ka saadaoleva rünnakuala vähendamist, kus saate, piirates inimeste juurdepääsu minimaalsele juurdepääsutasemele, mida nad vajavad. Tavaliselt ei vaja endine töötaja või autor juurdepääsu – olen kindel, et nad saavad sellest aru!
Kehtivad sissepääsureeglid – lubage ainult ATusaldatud administraatori IP-d
Eraldasin selle teistest .htaccessi näpunäidetest, kuna see on potentsiaalselt veidi tõsisem samm, mida kaaluda. Erinevalt varasemast teadaolevate halbade IP-de keelustamise etapist on see ainult teadaolevate heade IP-de lubamine. See parandab teie turvalisust, kuid see maksab teie mugavuse eest, kuna saate oma saidil töötamiseks sisse logida. Jätkake sellega, kui te ei liigu palju, kui olete olnud järjekindlate rünnakukatsete all või kui arvate, et see on seda täiendavat meelerahu väärt.
orderdeny,allow
allow from 127.0.0.1
deny from all
(jälle asendage 127.0.0.1 oma IP-ga).
SSL
Te ei tohiks avalikus WiFi-teenuses oma administraatorile juurde pääseda – kui teete, saadetakse mandaadid õhu kaudu lihttekstina. Paha häkker võiks istuda teie kõrval, rüübates lattet ja sooritada salaja rünnata meest, et saada teie paroolid ja muud tundlikud andmed.
Kui aga vaja, saate SSL-i lubamisega endale vähemalt natuke rohkem kaitset pakkuda. Esmalt veenduge, et teie server seda toetab, seejärel avage fail wp-config.php ja lisage järgmine rida:
define('FORCE_SSL_ADMIN', true);
Muud asjad, mida vaadata
See on minu peamiste näpunäidete kogumik, kuid on ka teisi aspekte, mida vaadata. Saate oma .htaccessi veelgi karmistada, näiteks peatades php-skriptide töötamise seal, kus need ei peaks olema. Samuti saate tagada, et teie failiõigused on õigesti seadistatud – mitte ainult teie WordPressi failides, vaid kogu serveris.
Minu viimane oluline näpunäide oleks siiski varundamine. Kogu see artikkel põhineb ideel, et ennetamine on parem kui ravi, kuid regulaarsed, kasutatavad ja testitud varukoopiad peaksid olema olemas juhuks, kui neid vajate. Rõhutan nii tavalist kui ka testitud – aasta tagune varukoopia ei ole sisuliselt varukoopia enamiku saitide jaoks, mis on selle ajaga kõvasti kasvanud. Kui varukoopiaid ei testita, pole teil varukoopiat. Tõsiselt ei taha te jõuda selleni, et varukoopiat on vaja ja peate lihtsalt pöialt hoidma ja lootma, et see töötab!
Mida olete oma WordPressi veebisaidi turvamiseks teinud? Kuhu tõmbate piiri turvalisuse ja ligipääsetavuse/kasutatavuse vahel? Andke mulle kommentaarides teada.