Juhend algajatele oma WordPressi saidi kaitsmiseks
WordPress on üks populaarsemaid sisuhaldussüsteeme.
Tegelikult kasutab seda avaldamisplatvormi nüüd enam kui 27,5% 10 miljonist populaarseimast saidist. Teised platvormid, nagu Joomla ja Drupal, lihtsalt kahvatuvad selle ees. WordPressi teeb nii laialdaselt toetatuks selle kasutusmugavus, mis võimaldab lühikese aja jooksul luua täielikult toimiva saidi.
Kuid asjaolu, et WordPress on nii laialt levinud, muudab selle häkkerite sihtmärgiks.
Mis tahes turvanõrkused võivad muuta teie saidi vastuvõtlikuks pahatahtlikele rünnakutele ja isegi kahjustada selle käigus kasutajaandmeid. Selline rünnak võib olla iga ettevõtte jaoks täiesti laastav.
Ohustatud sait mitte ainult ei vähenda usaldust teie külastajate vastu, vaid võib ka lisada teie lehed Google’i musta nimekirja. Tegelikult on üks samm, mida Google juba turvalisema veebi suunas astub, hoiatuse kuvamine Chrome’i kasutajatele, kui nad üritavad külastada potentsiaalselt ohtlikku või petlikku saiti (nt andmepüügi või pahavara).
Igaüks, kes teie saiti külastab (kui seda on rünnatud), võib kogeda järgmist:
Veebisaidi turvalisuse tähtsust ei saa piisavalt rõhutada.
Piisab vaid ühest rünnakust, et müük täielikult peatada ja teie sait Google’i musta nimekirja lisada. Saidi eemaldamine on kindlasti võimalik, kuid peate taotlema käsitsi ülevaatamist, mille lahendamiseks võib olenevalt probleemist kuluda mitu päeva või isegi nädalat. Palju parem lahendus on siis astuda samme oma saidi kaitsmiseks.
Siin vaatleme põhjalikult, kuidas saate oma WordPressi saiti kaitsta ja turvalisena hoida.
Hoidke WordPressi ajakohasena
WordPressi värskendused on kriitilised.
Üle 11 000 nakatunud saidi hindamisel leiti, et 75% neist oli WordPressis. Üllatavam on aga asjaolu, et üle 50% nendest veebisaitidest olid aegunud. Värskendamine uusimale versioonile ei anna mitte ainult juurdepääsu uuematele funktsioonidele, vaid parandab ka teadaolevaid turvavigu, mida ründajad võivad ära kasutada.
Tegelikult saavad need turvanõrkused teatavaks siis, kui uued värskendused on saadaval. Siin on WordPressi värskendatud versiooni turvalogi näide:
See teave on avalikult saadaval uute värskenduste avaldamisel. Kui te aga kohe ei värskenda, jätate oma saidi rünnakutele avatuks. Värskendage alati uusimale versioonile, et hoida oma saiti uute avastatud haavatavuste eest kaitstuna. Kui värskendusi on saadaval, näete juhtpaneeli ülaosas teatist.
WordPressi uuemad versioonid võimaldavad teil lihtsalt ühe nupuvajutusega värskendada. Pidage meeles, et teie sait lülitatakse lühikeseks ajaks hooldusrežiimi, kuni värskendamine on lõppenud. Värskendamine võtab vaid mõne minuti, kuid kui see on lõppenud, ei pea te enam midagi tegema.
Kas te ei soovi oma saiti iga kord käsitsi värskendada?
Märguanded võivad olla üsna tüütud. Kuid WordPressi värskendamine on üks lihtsamaid viise saidi turvalisena hoidmiseks. Kui te ei soovi muretseda selle pärast, kas teie saidil on uusim versioon, saate automaatsed värskendused mõne lihtsa näpunäidetega konfigureerida.
Avage fail wp-config.php ja lisage sellele järgmine rida:
define('WP_AUTO_UPDATE_CORE', true);
Saate lubada ka automaatsed pistikprogrammide värskendused, lisades samale failile järgmise rea:
add_filter( 'auto_update_plugin', '__return_true' );
Ja teemade värskenduste lubamiseks lisage see rida:
add_filter( 'auto_update_theme', '__return_true' );
Nende ridade lisamine tagab, et teie sait on ajakohane, ilma et oleks vaja muid toiminguid. Kui olete keegi, kes lihtsalt ei viitsi värskenduste või märguannetega, peaksite kindlasti konfigureerima automaatsed värskendused, et teie sait oleks alati ajakohane.
Kaitske administraatoriala
Olenemata sellest, kui turvaline miski on, pääseb igaüks hõlpsasti juurde, kui tal on õiged tööriistad või omanikud on hooletud. WordPressi puhul on administraatoriala häkkerite peamine sihtmärk.
Selle lehe turvalisena hoidmiseks järgige neid samme.
Kasutage tugevat parooli
Kui kasutate nõrka parooli (nt “12345”, “parool” jne), seate oma saidi suuremasse ohtu, kuna ründajad saavad kasutada automaatseid skripte jõhkra jõuga sissepääsuks. See tähendab korduvalt parooli proovimist, kuni see lõpuks töötab. Kuid tugeva parooli kasutamine, mis sisaldab numbrite ja sümbolite kombinatsiooni, muudab isegi kõige keerukamate programmide murdmise peaaegu võimatuks.
Kasutage oma WordPressi saidi jaoks tugeva ja turvalise parooli loomiseks sellist tööriista nagu Strong Password Generator.
Sellise parooli jõhkra pealesunnimiseks kuluks arvutiprogrammil aastaid või isegi aastakümneid, et lahti murda. Negatiivne külg on aga see, et tugevat parooli on raske meeles pidada. Kuid kompromiss on kindlasti seda väärt, kui see tähendab, et takistada ründajatel teie saidile juurdepääsu saada. Õnneks on saadaval mitmeid paroolihaldureid, mida saate oma parooli salvestamiseks kasutada.
Muutke oma kasutajanime
WordPressi esmakordsel installimisel palutakse teil sisestada kasutajanimi.
Ründajad ei pääse teie juhtpaneelile juurde, kui neil pole nii teie kasutajanime kui ka parooli. Julma jõu katseid saate hõlpsalt blokeerida, kasutades lihtsalt unikaalsemat kasutajanime. Nii et ärge kasutage kasutajanime valimisel sõna “admin”.
Sisselogimiskatsete piiramine
Nagu varem mainitud, saavad ründajad kasutada programme, et teie saidile jõuda jõhkralt. Siiski on saadaval pistikprogrammid, näiteks Login LockDown, mis võimaldavad piirata sisselogimiskatseid konkreetselt IP-aadressilt. Kui mitu katset ebaõnnestub, lukustatakse see kasutaja.
Nimetage oma sisselogimisleht ümber
Lõpuks on veel üks viis administraatoriala kaitsmiseks sisselogimislehe täielik teisaldamine. Armatuurlauale pääseb tavaliselt juurde aadressilt www.yoursite.com/wp-admin
. Üks silmatorkav probleem on aga see, et häkkerid teavad, et lihtsalt ” /wp-admin
” lisamine WordPressi saidile annab neile juurdepääsu administraatorilehele.
Protect WP-Admin lahendab selle probleemi, lubades veebihalduritel administraatori paneeli URL-i kohandada:
Administraatoriala kaitsmine neid samme järgides võib teie saidile suunatud automatiseeritud rünnakuid oluliselt vähendada ja blokeerida.
Luba kahefaktoriline autentimine
Kahefaktoriline autentimine lisab täiendava turvakihi, muutes ründajatel teie kontole juurdepääsu veelgi keerulisemaks. Sisselogimine ei nõua mitte ainult kasutajanime ja parooli, vaid ka täiendavat autoriseerimiskoodi, mis tavaliselt saadetakse SMS-iga mobiilseadmesse.
Isegi kui ründaja arvab kuidagi ära teie kasutajanime ja parooli, ei saa ta ilma autoriseerimiskoodita teie kontole sisse logida. Laadige alla ja installige Google Authenticatori pistikprogramm, et hõlpsasti seadistada oma saidil kahefaktoriline autentimine.
Lisaks sellele, et pistikprogramm saab kinnitamiseks kasutada rakendust Google Authenticator, pakub see lisavõimalusi ka kahefaktoriliseks autentimiseks, nagu meili- ja telefonikõne kinnitamine. Kahefaktorilist autentimist saab kasutada ka siis, kui teie saidil on mitu kasutajat.
Kasutage .htaccessi, et piirata juurdepääsu olulistele failidele
Saate oma WordPressi saidi turvalisust veelgi tugevdada .htaccess-faili abil. Seda faili kasutatakse WordPressis enamasti veebisaitide optimeerimiseks, näiteks URL-ide ümberkirjutamiseks kasutaja- ja otsingumootorisõbralikumaks muutmiseks. Kuid seda saab kasutada ka teie saidi turvalisuse parandamiseks.
Htaccess-fail asub tavaliselt juurkaustas ja sellele pääseb juurde kas FTP-kliendi või cPaneli kaudu. Saadaval on ka mitu pistikprogrammi, sealhulgas Yoasti SEO, mis võimaldab otsest juurdepääsu armatuurlaualt.
Siin on mitu võimalust saidi kaitsmiseks .htaccess-faili abil.
Peida wp-config.php
Fail wp-config.php on standardne iga installi puhul, kuid see sisaldab ka tundlikku teavet, nagu turvavõtmed ja andmebaasi ühenduse üksikasjad teie saidiga. Need on detailid, mida te kindlasti ei soovi valedesse kätesse. Parim lahendus on see fail täielikult peita ja muuta see ligipääsmatuks.
Peida fail wp-config.php, lisades htaccess-failile järgmise koodi:
order allow,deny
deny from all
Kataloogide sirvimise keelamine
Tänu sellele, kuidas WordPress rakendab oma failistruktuuri, on külastajatel täiesti võimalik pääseda juurde teie saidi kaustadele ja failidele, navigeerides lihtsalt saidile yoursite.com/wp-content/uploads. Seetõttu peaksite kataloogi sirvimist takistama, kuna ründajad võivad seda teavet kasutada ebaausatel eesmärkidel.
Lisage oma .htaccess-faili järgmine rida:
Options All -Indexes
PHP-failide kaitsmine on äärmiselt oluline, kuna häkkerid saavad neid faile kasutada saidi nakatamiseks pahatahtliku koodi sisestamiseks. Lisage oma .htaccess-failile järgmine kood, et takistada juurdepääsu pistikprogrammi ja teema PHP-failidele:
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*.php)$ - [R=404,L]
Nende muudatuste lisamine oma .htaccess-faili parandab teie WordPressi saidi turvalisust ja muudab ründajatel teie saidile juurdepääsu veelgi raskemaks. Sellest hoolimata pole täiesti turvalist saiti olemas, kuna pidevalt avastatakse ja kasutatakse ära uusi turvaauke.
Seetõttu peab teil olema varuplaan juhuks, kui asjad halvemaks lähevad.
Varundage oma saiti regulaarselt. Varundage regulaarselt
Olenemata sellest, kui palju ohutusmeetmeid te võtate, võib teie sait endiselt haavatav olla.
Kuigi WordPress on olnud kasutusel juba üle kümne aasta, tuvastab ja parandab arendusmeeskond pidevalt turvaprobleeme. Rääkimata sellest, et mis tahes installitud uutel teemadel või pistikprogrammidel võib olla ka ärakasutusi, mida pole veel parandatud.
Seetõttu on hea mõte oma saiti regulaarselt varundada. Nii saate oma saidi kiiresti taastada ja minimeerida kaotusi, kui teie sait rünnaku eest ära võetakse.
Peaksite veenduma, et teie saiti varundatakse korrapärase ajakava järgi ja see salvestatakse ka pilve. Kui teie arvuti on ohus, pääsete sellele varukoopiale juurde ja taastate teisest seadmest. Soovitame kasutada automatiseeritud lahendust, näiteks BackupBuddy.
Enamik varulahendusi nõuab tasulist tellimust. Kui aga loodate oma ettevõtte jaoks oma veebisaidile, on maksmine juba ainuüksi meelerahu huvides seda väärt. Kui teie sait rünnaku tõttu maha võetakse, saate teha koostööd oma hostiteenuse pakkujaga ja taastada hõlpsalt oma saidi eelmisele versioonile varukoopia.
Järeldus
Kuigi WordPress ise on suhteliselt turvaline, suurendab teemade, pistikprogrammide ja kohandatud koodi lisamine turvaaukude tõenäosust, mida häkkerid saavad (ja kasutavad) ära kasutada. Kui te praegu teatud turvameetmeid ei võta, võib teie sait olla potentsiaalne sihtmärk.
Oluline on märkida, et ükski süsteem pole täiesti turvaline. Kuid võite võtta ettevaatusabinõusid, mis vähendavad oluliselt pahatahtliku rünnaku ohtu.
Järgige siin kirjeldatud samme, et tugevdada oma WordPressi saidi turvalisust.