\n WordPress \u2013 mugav platvorm artiklite avaldamiseks ja haldamiseks, mis p\u00f5hineb tohutul hulgal erinevatel saitidel. Oma levimuse t\u00f5ttu on see CMS h\u00e4kkeritele pikka aega olnud maitsev suupiste.\n<\/p>\n
\n Kahjuks ei taga p\u00f5hiseaded piisavat kaitsetaset, mist\u00f5ttu on palju auke katmata krediidiriski t\u00f5ttu. Selles artiklis k\u00e4sitleme t\u00fc\u00fcpilist WordPressi h\u00e4kkimissaiti ja n\u00e4itame, kuidas tuvastatud turvaauke parandada.\n<\/p>\n
\n T\u00e4nap\u00e4eval on k\u00f5ige populaarsem sisuhalduss\u00fcsteem WordPress. Selle osakaal on 60,4% CMS-mootoreid kasutavate saitide koguarvust. Neist statistika j\u00e4rgi 67,3% saitidest p\u00f5hinevad tarkvara uusimal versioonil. Vahepeal leiti veebimootori kaheteistk\u00fcmne aasta jooksul 242 erinevat t\u00fc\u00fcpi turvaauku (v\u00e4lja arvatud kolmandate osapoolte pistikprogrammides ja teemades leitud haavatavused). Kolmanda osapoole lisandmoodulite statistika on veelgi kurvem. Nii viis ettev\u00f5te l\u00e4bi anal\u00fc\u00fcsi 2350 Revisium Russified WordPressi mallis, mis v\u00f5eti erinevatest allikatest. Selle tulemusena leidsid nad, et enam kui pooled (54%) olid nakatunud Web Shelliga, tagauksed, blackhat seo (“r\u00e4mpspost”) lingid ja skriptid sisaldasid kriitilisi turvaauke. Nii et istuge maha, N\u00fc\u00fcd m\u00f5istame, kuidas WordPressi saidil auditit l\u00e4bi viia ja leitud puudused k\u00f5rvaldada. Kasutatakse versiooni 4.\n<\/p>\n
\n Iga testi esimene samm on tavaliselt sihtm\u00e4rgi kohta teabe kogumine. Ja siis v\u00e4ga sageli aitab see valesti seadistamine Indekseerimissait, mis v\u00f5imaldab volitamata kasutajatel vaadata saidi teatud jaotiste sisu ja saada n\u00e4iteks teavet installitud pistikprogrammide ja teemade kohta, samuti juurdep\u00e4\u00e4su konfidentsiaalsetele andmetele v\u00f5i andmebaaside varukoopiatele.. Kontrollimaks, millised kataloogid on v\u00e4ljastpoolt n\u00e4htavad, on lihtsaim viis Google'i eeliste kasutamiseks. Piisab, kui k\u00e4ivitada p\u00e4ring Google Dorks t\u00fc\u00fcpi site: example.com intitle: \u00abindex of\u00bb inurl: \/ wp-content \/. Operaatori inurl: saate m\u00e4\u00e4rata j\u00e4rgmised kataloogid:\n<\/p>\n
\n \n Kui saate vaadata faili \/ wp-content \/ plugins \/, on j\u00e4rgmine samm installitud pistikprogrammide ja nende versioonide kohta teabe kogumine oluliselt lihtsustatud. Loomulikult saate indekseerimist takistada faili robots.txt abil. Nii et vaikimisi pole see WordPressi installipaketti kaasatud, on vaja luua ja visata end saidi juurkataloogi. Faili robots.txt loomise ja sellega t\u00f6\u00f6tamise juhendeid on \u00fcsna palju, nii et j\u00e4tke see teema enda teada. Et anda vaid \u00fcks v\u00f5imalikest valikutest:\n<\/p>\n \n Kui \u00fcleslaaditavatesse kaustadesse salvestatud failid on konfidentsiaalne teave, lisage sellele loendi reale: Disallow: \/ wp-content \/ uploads \/. Teisest k\u00fcljest ei soovitata faili robots.txt paigutada linke kataloogidele, mis on loodud spetsiaalselt tundliku teabe salvestamiseks. Vastasel juhul h\u00f5lbustate sellega r\u00fcndaja \u00fclesannet, sest see on esimene koht, kus tavaliselt k\u00f5ik otsivad “jammy”.\n<\/p>\n \n Tundlikule teabele juurdep\u00e4\u00e4su piiramiseks on parem kasutada faili .htaccess \u2013 see on konfiguratsioonifail, mida kasutab Apache veebiserver. Kaaluge faili v\u00f5imalust ohutuse seisukohast. Sellega saate: keelata juurdep\u00e4\u00e4su kataloogidele ja failidele, lukustada mitmesuguseid SQL-i s\u00fcstimisi ja pahatahtlikke skripte. Selle CMS WordPress 4.1 standardse .htaccess-faili jaoks peate veidi laiendama. Failide ja kaustade loendi sulgemiseks lisage:\n<\/p>\n \n Blokeeri viited, mis sisaldavad kodeeringut Base64. Vabanege silti sisaldavatest linkidest :\n<\/p>\n \n Skriptide vastu v\u00f5itlemiseks, mis \u00fcritavad m\u00e4\u00e4rata globaalseid muutujaid v\u00f5i muuta \n Teatud v\u00f5tmes\u00f5nu sisaldava URL-i SQL-i sisestamise blokeerimise p\u00e4ringute vastu v\u00f5itlemiseks:\n<\/p>\n \n Levinud h\u00e4kkimist\u00f6\u00f6riistade elu rikkumiseks filtreerib teatud kasutajaagendid:\n<\/p>\n \n Oleks tore piirata ja juurdep\u00e4\u00e4su kriitilistele failidele, mis salvestavad konfiguratsiooni v\u00f5i v\u00f5ivad lihtsalt anda r\u00fcndajale teavet. Saate valida j\u00e4rgmised kandidaadid:\n<\/p>\n \n Seda tehakse j\u00e4rgmiselt.\n<\/p>\n \n Neid ridu sisaldav fail .htaccess peaks asuma samas kataloogis, kus fail on kaitstud. Seej\u00e4rel \u00e4rge lubage kasutajate loendit (pidage meeles, natuke k\u00f5rgemal, me r\u00e4\u00e4kisime sellest, kui lihtne on kasutajate loendit hankida?):\n<\/p>\n \n Niisiis, mida veel? Sissep\u00e4\u00e4su saab lubada ainult m\u00e4\u00e4ratud IP-aadressidelt. Selleks looge oma wp-adminis .htaccess-fail j\u00e4rgmiste reeglitega:\n<\/p>\n \n Meetod ei ole eriti paindlik ja on rakendatav ainult siis, kui t\u00f6\u00f6tate piiratud arvu fikseeritud IP-aadressidega. Vastasel juhul on soovitatav hostimise kaudu m\u00e4\u00e4rata kausta wp-admin paneeli parool (kui see funktsioon on olemas).\n<\/p>\n \n Perishable Pressi 5G musta nimekirja ja 6G musta nimekirja beeta reeglistik, mis v\u00f5imaldab teil toime tulla WordPressi levinud pahatahtlike URL-i p\u00e4ringutega.\n<\/p>\n \n Lisaks \u00fclaltoodule v\u00f5ib lisada j\u00e4rgmised soovitused. Esiteks kasutage ainult WordPressi ja selle komponentide uusimaid versioone \u2013 see k\u00f5rvaldab teadaolevad haavatavused. Teiseks eemaldage pistikprogrammid ja teemad, mida saab ka proekspluatirovat. Kolmandaks laadige WordPressi teemad ja pistikprogrammid alla usaldusv\u00e4\u00e4rsetest allikatest, n\u00e4iteks arendajate saitidelt ja WordPressi ametlikult saidilt. Lisaks koduarvutile peate perioodiliselt kontrollima oma veebiressurssi Web Antivirus, n\u00e4iteks AI-Bolit. Kui teil on juurdep\u00e4\u00e4s veebiserverile, on failide ja kataloogide juurdep\u00e4\u00e4su\u00f5igused. Tavaliselt m\u00e4\u00e4rab WordPress t\u00e4ielikud \u00f5igused installifaasis, kuid vajadusel saab selle k\u00e4sitsi seadistada chmod. Kataloogi jaoks \u2013 chmod 755 failide jaoks \u2013 chmod 644. Veenduge, et 777 \u00f5igused m\u00e4\u00e4ratakse ainult neile rajatistele, mis seda vajavad (m\u00f5nikord on see vajalik m\u00f5ne pistikprogrammi normaalseks t\u00f6\u00f6ks). Kui WordPress lakkas normaalselt t\u00f6\u00f6tamast, katsetage juurdep\u00e4\u00e4su\u00f5igustega: esmalt proovige 755, seej\u00e4rel 766 ja l\u00f5puks 777. Et kogu htaccess-fail paljastaks chmod 444 (ainult lugemiseks). Kui sait enam ei t\u00f6\u00f6ta, proovige katsetada v\u00e4\u00e4rtustega 400, 440, 444, 600, 640, 644.\n<\/p>\n \n Teisaldage fail wp-config.php. See fail sisaldab teavet s\u00e4tete, MySQL-i, tabeli prefiksi, salajaste v\u00f5tmete ja muu kohta. Seet\u00f5ttu on vaja \u00fcle kanda faili ei olnud Internetist saadaval. Kui sait ei asu kaustas public_html, siis lohistage fail wp-config.php \u00fclaloleval kaustatasemel ja WordPress leiab selle automaatselt juurkataloogist (kehtib, kui sellel CMS-il on ainult \u00fcks hostimissait).\n<\/p>\n \n \u00dclekandmise kesta keerulisemaks muutmiseks keelake WordPressi konsooli l\u00f5imede redigeerimise v\u00f5imalus. Selleks sisestage faili wp-config.php j\u00e4rgmine rida:\n<\/p>\n \n Teine n\u00f5rk koht \u2013 fail install.php (kaustas wp-admin). Seet\u00f5ttu on parem eemaldada, blokeerida v\u00f5i muuta. Tehke \u00fcks j\u00e4rgmistest:\n<\/p>\n <\/p>\n\/wp-content\/<\/code>
\n \/wp-content\/languages\/plugins<\/code>
\n \/wp-content\/languages\/themes<\/code>
\n \/wp-content\/plugins\/<\/code>
\n \/wp-content\/themes\/<\/code>
\n \/wp-content\/uploads\/<\/code>\n<\/p>\nUser-Agent: *\nDisallow: \/cgi-bin\nDisallow: \/wp-login.php\nDisallow: \/wp-admin\/\nDisallow: \/wp-includes\/\nDisallow: \/wp-content\/\nDisallow: \/wp-content\/plugins\/\nDisallow: \/wp-content\/themes\/\nDisallow: \/?author=*\nAllow: \/<\/code><\/pre>\n\n WordPressi turbepluginad
\n<\/h5>\n\n
\n \u00dchendage .htaccess
\n<\/h5>\nOptions +FollowSymLinks -Indexes\n \nRewriteCond %{QUERY_STRING} base64_encode[^(]*([^)]*) [OR]<\/code><\/pre>\nRewriteCond %{QUERY_STRING} (|%3E) [NC,OR]<\/code><\/pre>\n_REQUEST<\/code>muutujat URL-i kaudu:\n<\/p>\nRewriteCond %{QUERY_STRING} GLOBALS (=|[|%[0-9A-Z]{0,2}) [OR]\nRewriteCond %{QUERY_STRING} _REQUEST (=|[|%[0-9A-Z]{0,2})<\/code><\/pre>\nRewriteCond %{query_string} concat.*( [NC,OR]\nRewriteCond %{query_string} union.*select.*( [NC,OR]\nRewriteCond %{query_string} union.*all.*select [NC]\nRewriteRule ^(.*)$ index.php [F,L]<\/code><\/pre>\nSetEnvIf user-agent \u00abIndy Library\u00bb stayout=1\nSetEnvIf user-agent \u00ablibwww-perl\u00bb stayout=1\nSetEnvIf user-agent \u00abWget\u00bb stayout=1\ndeny from env=stayout<\/code><\/pre>\n\n Kaitseb faile
\n<\/h5>\n\n
\nOrder Allow,Deny\nDeny from all\n<\/code><\/pre>\nRewriteCond %{QUERY_STRING} author=d\nRewriteRule ^ \/? [L,R=301]<\/code><\/pre>\nAuthUserFile \/dev\/null\nAuthGroupFile \/dev\/null\nAuthName \"Access Control\"\nAuthType Basic\norder deny,allow\ndeny from all\nallow from 178.178.178.178 # IP Home computer\nallow from 248.248.248.248 # IP Work computer<\/code><\/pre>\n\n WWW
\n<\/h5>\n\n Lisameetmed
\n<\/h5>\ndefine ('DISALLOW_FILE_EDIT', true) ;<\/code><\/pre>\n\n
<?php header(\"HTTP\/1.1 503 Service Temporarily Unavailable\"); ?>\n<?php header(\"Status 503 Service Temporarily Unavailable\"); ?>\n<?php header(\"Retry-After 3600\"); \/\/ 60 minutes ?>\n<?php mail(\"your@email.com\", \"Database Error\", \"There is a problem with teh database!\"); ?>\n\n\n\n<\/code><\/pre>\n\n<\/pre>\n