10 tietoturvahakkerointia WordPressille, jotka estävät sinua joutumasta hakkerointiin
WordPress on valtava menestystarina, ei vain maailmanlaajuisesti mitattuna, vaan myös, mikä saattaa yllättää joitain, alustaa käyttävien suurten nimien kannalta.
Internetissä, kun sinulla on sekä suuri asennettu käyttäjäkunta että korkean profiilin käyttäjiä, et yksinkertaisesti voi välttää joutumasta hakkereiden ja roskapostittajien kohteeksi. Pillereiden kaupasta, vääristyneiden ideologioiden edistämiseen, tietojen varastamiseen ja sivustojen rikkomiseen vain siksi, että ne voivat, hakkerointi voi helposti aiheuttaa yrityksellesi suurta päänsärkyä.
Tässä artikkelissa käyn läpi joitain vinkkejä, temppuja ja hakkereita, joita voit käyttää tarjotaksesi itsellesi parempaa suojaa verkon myrkylliseltä pohjalta.
Tutustu perusasioihin
Vaikka saatat ajatella, että joidenkin näistä elementeistä pitäisi olla sanomattakin selvää, mieti vain, kuinka monta kertaa olet nähnyt asiakkaiden lisäksi myös muiden kehittäjien, suunnittelijoiden ja toimistojen syyllistyvän joihinkin näistä?
Aloita tekemällä salasanoistasi vaikea arvata. Kuinka voit tehdä siitä vaikeaa heille mutta helppoa sinulle? Ehkä voit unohtaa ovelat kirjainten vaihdot, kuten ’h3ll0’, kirjainten sekoittamisen ja välimerkkien lisäämisen ja käyttää sen sijaan muistomerkkiä. Kun ketjuttaa kolme tai neljä sanaa yhteen saadaksesi hauskan kuvan, salasanasi on paljon helpompi muistaa kuin ’t3r%?9.Fq!G’ ja suuruusluokkaa vaikeampi murtaa. Älä vain käytä ’CorrectHorseBatteryStaple’. Täydellinen ja hauska selitys tästä periaatteesta löytyy XKCD 936 :sta .
Sinun tulee myös pitää laajennukset ja WordPress-ydin ajan tasalla. Tämä on nyt helpompi tehdä WordPressin myöhemmillä versioilla. WordPress 3.7:stä voit määrittää neljän tyyppisiä automaattisia päivityksiä: ydintiedostoja, laajennuksia, teemoja ja käännöstiedostoja. Varoituksen sana – asetuksistasi riippuen saatat haluta poistaa jotkin niistä käytöstä, jotta voit testata ennen päivitysten käyttöönottoa. Vaikka jättäisitkin ne eloon ja kohtaat ongelmia, sinulla on silti päivittäisiä varmuuskopioita, joihin voit luottaa, eikö niin?
Helpota useiden sivustojen, laajennusten ja varmuuskopioiden hallintaa esimerkiksi InfiniteWP:n avulla. Perusominaisuudet ovat ilmaisia!
Nämä eivät ole etsimäsi kirjautumistiedot
Erinomaisen salasanan voimakkuuden lisäksi sinun kannattaa myös siirtää oletusjärjestelmänvalvojan URL-osoite ja käyttää jotain muuta kuin ”admin” käyttäjänimenä. Ellei hakkereilla ole tiettyä tavoitetta mielessään, he pyrkivät yleensä ajamaan botteja prosessin automatisoimiseksi. Nämä robotit etsivät WordPressiä, kokeilevat oletusasetuksia ja yleisimpiä salasanoja – joten siirrytään pois oletusasetuksista tehdäksemme tehtävästä vaikeamman.
Ehkä helpoin tapa muuttaa kirjautumis-URL-osoitetta on katsoa laajennuksia, kuten HC Custom WP-Admin URL. Tietysti – tee varmuuskopio ensin!
Yksinkertaisin tapa muuttaa järjestelmänvalvojan käyttäjänimeä on tehdä uusi admin-käyttäjä valitsemallasi käyttäjätunnuksella ja poistaa vanha. Jos et muista järjestelmänvalvojaasi, koska et muista käyttäjänimeäsi, tarvitset hieman radikaalimman ratkaisun. Kirjaudu sisään phpMyAdminiin ja lataa WordPress-tietokantasi. Vieritä alas vasenta reunaa ja etsi taulukko ’ks29so_users’. Etsi käyttäjätunnus, jonka haluat muuttaa, eli ’admin’ ja muokkaa user_login-arvoa uudeksi nimeksi.
Viimeinen sana kirjautumisprosessista
Ennen kuin siirrymme pois kirjautumisprosessista, on vielä muutama tehtävä. Muistatko ne robotit, jotka arvaavat salasanoja? Tehdään heille vaikeampaa sanomalla, että voit tehdä vain niin monta yritystä tietyn ajan sisällä ja että sinun on litteroitava CAPTCHA oikein ennen kuin teet sen. Captchaa varten voit yrittää asentaa tämän laajennuksen ja mennään. Sivuetu – premium-versio integroituu BuddyPressiin ja Contact Form 7:ään, mikä suojaa yhteydenottolomakkeesi roskapostilta.
Voit rajoittaa kirjautumisyrityksiä joko lisäämällä laajennuksia, kuten Limit Login Attempts, tai voit kysyä isännöintipalveluntarjoajaltasi, kenellä voi olla ratkaisu – esimerkiksi Wpengine on määrittänyt tämän oletusarvoisesti.
WordPressin suojaaminen .htaccess-muutoksilla
Toivon, että olet valmis likaamaan kätesi, kun siirrymme ehdotuksiin, jotka ovat hieman hankalampia kuin ”laajennuksen asentaminen”! Lisää nämä ehdotukset #END WORDPRESS -rivin jälkeen.
Ensimmäinen lisättävä elementti auttaa suojaamaan wp-config.php:tä. Tämä tiedosto olisi vaarallinen väärissä käsissä, koska se sisältää tärkeitä tietoja sivustostasi ja sen tietokannasta.
orderallow,deny
deny from all
Se on hyvä alku, mitä muuta voimme tehdä? Voimme estää uteliaita ihmisiä katselemasta tiedostojasi ja kansioitasi – mielestäni tämän hyödyt ovat melko itsestään selvät!
Seuraava on haalari, jolla estetään hakemistojen selaaminen:
# directory browsing
Options All -Indexes
Jos haluat estää tietyn tiedoston, käytä seuraavaa:
Order allow,deny
Deny from all
Nyt alamme edistyä – poistamme pääsyn niiltä, jotka eivät sitä vaadi. Tehdäksemme tämän loogiseen johtopäätökseen, katsotaanpa, kuinka voimme estää jotakuta, jonka tiedämme olevan huono toimija, käyttämästä mitään palvelimellasi.
Kun tiedät IP-osoitteen, lisää vain nämä rivit korvaamalla 127.0.0.1 huonolla IP-osoitteella:
Order Deny,Allow
Deny from 127.0.0.1
Päivittääksesi tämän uusilla IP-osoitteilla, lisää vain uudet ’kieltäydyt’ -rivit. Jos sinun on estettävä koko alue, jätä kyseinen alue pois. Toisin sanoen, jos haluat estää kaiken 127.0.0.0 – 127.0.0.255, lisäät:
Deny from 127.0.0.
Tämän osan viimeinen vinkki on suojata itse .htaccess. On olemassa melko monia sivustoja, jotka levittävät menetelmiä, jotka ovat hyviä, mutta eivät mahtavia. Seuraava menetelmä on perishable Pressin Jeff Starrin luvalla, ja se on paljon perusteellisempi:
# STRONG HTACCESS PROTECTION
order allow,deny
deny from all
satisfy all
Tietokannan parannukset
Toinen WordPressin etu hakkereille on, että tavallisessa asennuksessa he tietävät, mitä tietokantataulukoitasi kutsutaan. WordPress käyttää oletusarvoisesti etuliitettä ks29so_, jota muuttamalla siirrymme taas pois hakkereiden oletuksista.
Ensin kerromme wp-config.php:lle, että vaihdamme taulukon etuliitettä. Avaa tiedosto ja muokkaa seuraavaa:
$table_prefix = 'ks29so_';
Lisää numeroita tai kirjaimia:
$table_prefix = ‘ks29so_3drt5_’;
Sinun täytyy sitten käydä läpi ja muuttaa jokainen tietokannan taulukoiden nimi. Suorita jokaiselle 11 taulukollesi komento seuraavassa muodossa:
RENAME TABLE ‘ks29so_commentmeta‘ TO ‘ks29so_3drt5_commentmeta‘;
Luultavasti siellä on muutamia muita viittauksia vanhaan etuliitteeseen, jotka sinun on selvitettävä. Suorita tämä kysely listataksesi kaikki asetustaulukosta vanhalla etuliitteellä:
SELECT * FROM ` ks29so_3drt5_options` WHERE `option_name` LIKE'%ks29so_%'
Valitettavasti sinun täytyy käydä jokainen läpi ja päivittää.
Sitten meidän on katsottava UserMeta-taulukkoa, sama prosessi kuin ennen:
SELECT * FROM ` ks29so_3drt5_usermeta` WHERE `meta_key` LIKE'%ks29so_%'
Lopuksi voit myös rajoittaa MySQL-tietokannan käyttäjälläsi vain seuraavat luku- ja kirjoitusoikeudet: SELECT, INSERT, UPDATE ja DELETE. Näin voit peruuttaa tietokantarakenteen ja järjestelmänvalvojan oikeudet: DROP, ALTER ja GRANT. Tämä voi kuitenkin tehdä ytimen päivittämisestä ja uusien lisäosien lisäämisestä hankalaa, koska ne saattavat todellakin joutua muuttamaan tietokannan rakennetta. Jos lähdet tälle tielle, sinun on oltava perusteellinen varmuuskopioinnissa ja testauksessa.
Uudet avaimet kiitos
Salaiset avaimesi tallennetaan tiedostoon wp-config.php. Ne eivät kuitenkaan ole niin salaisia, jos jätät ne oletusarvoiksi! Paranna turvallisuuttasi muuttamalla näitä – suosittelen kuitenkin, että et luota omaan satunnaisuuden ja monimutkaisuuden tunteeseen. Käytä jotain tämän tyyppistä palvelua – tämä ei vain määritä avaimia sinulle, vaan se tekee ne kaikki kerralla oikeassa muodossa, jotta voit liittää sen suoraan tiedostoosi. Päivitä painikkeen painaminen osoittaa, että saat uuden näppäinsarjan joka kerta, kun lataat tämän.
Alkuperäinen reseptilähde
Laajennukset ovat riittävän suuri hyökkäysvektori, kun hakkerit havaitaan ja jaetaan hakkereiden kesken, joten sinun tulee ainakin varmistaa, että luotat laajennuksen lähteeseen. Muuten saatat olla se, joka sijoittaa hyväksikäytön omalle sivustollesi lisäämällä ovela laajennuksen, joka sisältää haittaohjelmia.
Kevätsiivous
Koska teemat ja laajennukset ovat mahdollinen haavoittuvuus, pidämme ne ajan tasalla aina kun mahdollista. Jos olet lopettanut laajennuksen/teeman käytön, poista se kokonaan. Käytöstä poistaminen ei ole tarpeeksi hyvä – eroon siitä! Jos sen kehittäjä on hylännyt laajennuksen, on myös hyvä idea löytää jotain uutta ja poistaa vanha – jos tietoturvahaavoittuvuus löytyy, sitä ei korjata ja mukautetun korjauksen tekeminen tulee todennäköisesti olemaan erittäin kallista.
Samalla tavalla poista kaikki tarpeettomat kirjautumistunnukset. Ehkä luotat entisiin työntekijöihisi, ja se on hyvä, mutta tässä ei ole kyse vain luottamuksesta. Kyse on myös käytettävissä olevan hyökkäysalueen vähentämisestä ja ihmisten rajoittamisesta heidän tarvitsemaansa vähimmäiskäyttötasoon. Tyypillisesti entinen työntekijä tai kirjailija ei tarvitse pääsyä – olen varma, että he ymmärtävät!
Sisäänpääsykäytäntöä sovelletaan – Salli vain ATrusted Admin IP
Olen erottanut tämän muista .htaccess-vinkeistä, koska tämä on mahdollisesti hieman vakavampi askel. Toisin kuin aikaisemmassa vaiheessa, jossa kielletään tunnetut huonot IP-osoitteet, tässä on kyse vain tunnettujen hyvien IP-osoitteiden sallimisesta. Se parantaa tietoturvaasi, mutta maksaa käyttömukavuutesi, koska voit vain kirjautua sisään työskennelläksesi sivustollasi. Mene eteenpäin, jos et liiku paljon, jos olet ollut jatkuvan hyökkäysyrityksen kohteena tai jos yksinkertaisesti uskot, että se on ylimääräisen mielenrauhan arvoista.
orderdeny,allow
allow from 127.0.0.1
deny from all
(korvaa jälleen 127.0.0.1 IP-osoitteellasi).
SSL
Sinun ei pitäisi käyttää järjestelmänvalvojaasi julkisessa Wi-Fi-palvelussa – jos teet niin, kirjautumistiedot lähetetään ilmateitse pelkkänä tekstinä. Paha hakkeri voitaisiin istua vieressäsi siemailemassa lattea ja tehdä salaa miehen keskellä saadakseen salasanasi ja muut arkaluontoiset tiedot.
Jos kuitenkin haluat, voit tarjota itsellesi ainakin hieman enemmän suojaa ottamalla käyttöön SSL:n. Varmista ensin, että palvelimesi tukee sitä, avaa sitten wp-config.php-tiedosto ja lisää seuraava rivi:
define('FORCE_SSL_ADMIN', true);
Muita katseltavia asioita
Siinä se päävinkkini, mutta muitakin näkökohtia on tarkasteltava. Voit koventaa .htaccess-tiedostoasi entisestään esimerkiksi pysäyttämällä php-skriptien suorittamisen siellä, missä niiden ei pitäisi olla. Voit myös varmistaa, että tiedostojen käyttöoikeudet on asetettu oikein – ei vain WordPress-tiedostoissasi vaan koko palvelimessa.
Viimeinen tärkeä vinkkini olisi kuitenkin varmuuskopiointi. Tämä koko artikkeli perustuu ajatukseen, että ennaltaehkäisy on parempi kuin hoito, mutta säännöllisiä, käyttökelpoisia ja testattuja varmuuskopioita pitäisi olla olemassa vain siltä varalta, että tarvitset niitä. Haluan korostaa sekä tavallista että testattua – vuoden takainen varmuuskopio ei käytännössä ole varmuuskopio useimmille sivustoille, jotka ovat kasvaneet huomattavasti tuona aikana. Jos varmuuskopioita ei testata, sinulla ei ole varmuuskopiota. Et todellakaan halua päästä pisteeseen, jossa varmuuskopiota tarvitaan, vaan sinun on vain pidettävä sormet ristissä ja toivottava, että se toimii!
Mitä olet tehnyt suojataksesi WordPress-verkkosivustosi? Mihin vedät rajan turvallisuuden ja saavutettavuuden/käytettävyyden välillä? Kerro minulle kommenteissa.