WordPress Вебсайттын Коопсуздугу: Вебсайтыңыздын коопсуздугун камсыз кылуу үчүн, Semaltтан 15 кеңеш



Жакында, WordPress сайттарынын коопсуздугуна басым жасап, маалыматтык коопсуздук темасы бизди аябай кызыктыра баштады. Мунун жөнөкөй себеби, көптөгөн веб-сайттар киберкылмыштуулукка кабылышат жана өз сайттарын башкара албай калгыча, андан аябай кыйналышат.

Муну жакшы билгендиктен, өзүңүздүн сайтыңызга каршы ар кандай коркунучтардан коргонууга жардам бере турган бир топ пайдалуу жана керектүү маалыматтарды берүүнү чечтик.

Ошентип, мен сизди ушул макалада бөлүшүлө турган маалыматтарга өзгөчө көңүл бурууга чакырам.

Андан кийин, веб-сайтыңызды коргоо боюнча эң негизги кеңештерди табыңыз.

Вебсайтыңызды коргоо боюнча эң негизги кеңештер

Жогорудагы кеңешти баштоодон мурун төмөнкү негизги кеңештерге катышуу маанилүү:

1. WordPress версияңызды дайыма жаңыртып туруңуз

Ырас, бул нерсени кадимкидей кабыл алыш керек. Бирок дагы деле болсо, бир нече WordPress сайттарын (анын ичинде кардарлардын сайттарын жана мен ээ болбогон сайттарды) колдонууга мүмкүнчүлүгү бар адам катары, мен көптөгөн жаңылануулар жөнүндө эскертмелерди камтыган сайттарды кезиктирем, албетте, аларды үзгүлтүксүз сактап калуу эч кимдин камын ойлобойт.

WordPress дүйнөдөгү эң популярдуу CMS (Мазмунду башкаруу тутуму), демек, бул система хакерлер үчүн абдан популярдуу максат.

WordPress сайттарына зыян келтирүүнү каалагандар ар дайым коопсуздуктун аялуу жерлерин таба алышат. Бул тутумдун негизги кодунда, ар кандай плагиндерде, шаблондордо жана башкаларда болобу.

WordPress версиясынын жаңыланууларын салыштырмалуу тез-тезден баштоонун себептеринин бири - коопсуздук тешиктерин жабуу жана тутумду өркүндөтүү.

Маанилүү эскертүү: сайттагы плагиндер канчалык көп болсо, ал эми "салт" канчалык көп болсо - версиянын жаңыртуусу сайтты бузушу мүмкүн - анын иштөөсүн бузат. Сунуш - тутумду жаңыртуудан мурун ар дайым сайттын толук камдык көчүрмөсүн сактоо (файлдар + маалымат базасы).

2. Биз плагиндерди жана шаблондорду такай жаңыртып турдук

Түздөн-түз мурунку бөлүмдөн кийин, боштуктардын көпчүлүгү плагиндерден же эскирген шаблондордон жана/же ишенимсиз сайттардан жүктөлгөндөрдөн келип чыгат. Плагиндерди ар дайым расмий WordPress репозиторийинен жүктөп алышыңыз керек, сизге тааныш эмес сайттардан эмес, айрыкча, алар ишенимдүү булакка таандык болбосо.

Жада калса плагиндерди жана шаблондорду сатып алуу, коопсуздук жагынан эч кандай кемчиликтер болбойт деп 100% кепилдик бере албайт. Бирок жогоруда айтылгандарды ишенимдүү булактардан канчалык көп алган сайын, алардын боштугуна кабылышыңыз мүмкүн эмес.

Шаблонду же плагинди жаңыртуудан мурун сайттын камдык көчүрмөсүн сактоо боюнча сунуш ушул жерде да жарактуу. Ачык булак сонун нерсе.

Бирок бул жагынан алганда, анын бир топ кемчиликтери бар - анткени алардын ар кандай варианттарында тутумдун бардык компоненттеринин ортосунда толук шайкештик боло бербейт.

3. Сайттын камдык көчүрмөсүн сактап туруңуз

Камдык көчүрмөлөр жөнүндө сүйлөшпөй туруп, веб-сайттын коопсуздугу жөнүндө сүйлөшүү мүмкүн эмес. Сайтты жаңыртуудан мурун эле резервдик көчүрмөнү жасоо жетишсиз, сайт файлдарынын + маалымат базасынын толук автоматтык камдык топтому болушу керек. Бул көбүнчө сактоочу компания аркылуу ишке ашырылат, бирок сактоо компаниясына түздөн-түз көз каранды болбогон тышкы резервдик булак жөнүндө кам көрүү сунушталат.

WordPress сайттарына камдык көчүрмө

WordPress үчүн сунушталган айрым кошумчалар:
  • UpdraftPlus - Камдык көчүрмө үчүн эң популярдуу WordPress плагиндеринин бири. Dropbox, Google Drive, Amazon S3 жана башкалар сыяктуу популярдуу булут кызматтары менен иштейт.
  • BackupBuddy премиум акы төлөнүүчү плагин, көптөгөн өнүккөн функцияларды сунуш кылат. Көпчүлүк колдонуучулар, албетте, мен айткан мурунку плагинге орношо алышат.
  • Көчүрүүчү - Плагинин максаты - сайтты бир жерден экинчи жерге көчүрүү (мисалы, кампалар ортосунда өтүүдө), бирок ал бардык нерсенин резервдик плагининин милдетин аткарат.
Эгерде сиздин сайтка хакердик чабуул жасалып, анын эмнеден келип чыккандыгын жана эмне болгонун такыр билбей калсаңыз, жеткиликтүү камдык көчүрмө сайтты баштапкы абалына келтирүүгө мүмкүнчүлүк берет. Бул "курт" файлдардын мурунку версиясында жок болуп, атылып чыгууну гана күтүп отурат деп болжолдоп жатабыз - анткени бул ансыз деле татаал иш.

4. Колдонуучунун аты менен паролду туура колдонуу

Көпчүлүк жарчылар демейки "администратор" колдонуучусун колдонуп жатышкандыгы таң калыштуу деле эмес, аны болжолдоо өтө оңой. Башка колдонуучунун атын, оюңузга келген нерсени колдонуу сунушталат, болгону админди сактабаңыз.

Ушул негизги өзгөрүүнүн өзү эле алардын Brute Force кол салуусуна (сайттын колдонуучусунун атын жана паролун ар кандай айкалыштарда автоматтык түрдө жана ылдамдык менен табууга багытталган чабуул) кирүүгө аракет кылуу мүмкүнчүлүгүн бир нече ондогон пайызга төмөндөтүшү мүмкүн.

Эгер сизде "админ" деген колдонуучу бар болсо, анда төмөнкү кадамдарды аткарыңыз:
  • Ушул эле уруксат менен жаңы колдонуучу түзүңүз.
  • Мурунку колдонуучуну жок кылуу + жана анын мазмунун жаңы колдонуучу менен байланыштыруу (WordPress сизден мурунку колдонуучуну өчүрүүдө автоматтык түрдө муну талап кылат).
Татаал сыр сөздү колдонуңуз - колдонуучу атыңызды өзгөрткөн күндө дагы, сыр сөзүңүз "123456" же "abcde", ал тургай телефонуңуз/социалдык коопсуздук номериңиз болсо, ал такыр эле жардам бербейт. Ырас, бул эстен кеткис сырсөздөр жана башка нерселер бар, бирок бул түрдөгү чабуул үчүн сайтты супер жеңил максатка айландырыңыз. Сунуш кичинекей жана чоң тамгалардан, белгилерден жана сандардан турган сыр сөздү колдонуу, мындайча айтканда, эч ким божомолдой албайт жана көпчүлүк учурда жөнөкөй хакердин баш тартып, кийинки максатты издешине алып келет.

Сырткы дээрлик мүмкүн эмес сыр сөздүн мисалы:
  • nSJ @ $ #
  • J24f8sn!
  • NmSuWP
Brute Force кол салууларына каршы дагы бир жакшы жана эффективдүү ыкма - эки баскычтуу аутентификацияны колдонуу. Сайтка киргенден кийин, коопсуздук коду Смартфонуңузга жөнөтүлүп, сиз гана сайтка кире аласыз.

Бул максат үчүн WordPress 2 кадамдуу текшерүү плагинин колдоно аласыз.

5. Сайттагы башка колдонуучуларга тийиштүү уруксат бериңиз

Эгер сиз контент жазуучулар же мазмун берүүчүлөр менен иштесеңиз, анда алар аткарышы керек болгон аракеттер үчүн минималдуу уруксаты бар колдонуучу сеансын ачуу сунушталат.

Мисалы, мазмун менен гана алектенген колдонуучуга (жазуу + түзөтүү) администратордун уруксаты керек эмес. Албетте, "жазуучу" же "редактор" ыкмасы жетиштүү болот. Кимдир бирөө сиз менен конок постун жазган жана сиз жөн гана посттун аягында өзүнүн кол тамгасын кошууну кааласаңыз - "донордун" уруксаты менен гана эсептеше аласыз.

Төмөндө WordPress колдонуучуларынын уруксаттарынын түшүндүрмөсү келтирилген:
  • Жазылуу (Абонент) - Кимдир-бирөө сайтты профилден тышкары (эгер бар болсо) сайттын мазмунуна эч кандай түзөтүү киргизбестен каттады.
  • Көмөкчү (Көмөкчү) - Алар өзүлөрүнүн постторун жазып, башкара алышат, бирок жарыялабашат (режиссердун макулдугу керек болот). Классикалык мисал - серфер мазмунун алган макала сайттары/сайттары (автоматтык түрдө уруксатсыз).
  • Жазуу (Автор) - Алар өз билдирүүлөрүн гана жазып, жарыялай алышат.
  • Редактор (Редактор) - Алар өздөрүнүн билдирүүлөрүн, баракчаларын жана башкаларын жаза алышат жана жарыялай алышат, бирок шаблондор, файлдарды түзөтүү жана башка кошулмаларды башкаруу сыяктуу "сезимтал" сайттарды башкаруу чөйрөлөрүнө мамиле жок.
  • Администратор (Администратор) - келген башкаруучу тутумга вебмастерге уруксат.
Көп колдонуучуларга берилген уруксат канчалык жогору болсо, сайтка кирүү жолдору ошончолук көп болот. Бул кире бериштерди мүмкүн болушунча азайтыңыз.

6. Сайтка кирүү аракеттерин чектөө

Brute-Force кол салуулары менен күрөшүүгө жардам бере турган дагы бир кадам. Бул өтө жөнөкөй айла - эгер колдонуучу 2-3 жолу аракет кылгандан кийин сайтка туташа албай калса (адатта, аракеттердин саны белгилениши мүмкүн), ал белгилүү бир убакытка чейин бөгөттөлөт, аны да аныктоого болот.

Бул үчүн сунуш кылынган плагин (Softalicious орнотуу менен кошо келет): Loginizer.

7. Сапаттуу сактоочу компанияны тандоо

Хостинг компанияны тандоо сиздин сайтыңыздын иштешине бир топ аспектилерден турат: сайттын ылдамдыгы, анын жеткиликтүүлүгү, ошондой эле - коопсуздук. Ар дайым коопсуздуктун ар кандай маселелерин билген компанияда, WordPressтин аялуу жерлерине басым жасап, бул маселени биринчи орунга койгонуңуз оң. Сапаттуу сактагыч айына бир нече бакс үчүн "стандарттуу" сактагычтан кымбатыраак болушу мүмкүн, бирок бул боштук, жок эле дегенде, менин оюмча, жан дүйнөңүздүн тынчтыгына жана убактыңызга арзыйт.

8. Плагиндерди колдонууну мүмкүн болушунча минимумга чейин азайтыңыз

Мен бул жөнүндө 2-бөлүмдө бир аз сүйлөштүм, бирок ачык айтайын - плагиндер - WordPress сайттарындагы коопсуздук аялуу жайларынын эң көп кездешкен себептеринин бири.

Ачык булактуу тутумда каалаган адам плагин жазып, аны дүйнөгө көзөмөлсүз жайылта алат - бул ууруларды чакырган боштук.

Ошондой эле, зарыл эмес плагиндерди ашыкча колдонуу тутумду жүктөйт жана сайттын жүктөө ылдамдыгынын басаңдашына алып келиши мүмкүн.

Ошондуктан, плагиндерди колдонууну мүмкүн болушунча минимумга чейин азайтуу жана сайттын талаптагыдай иштеши үчүн керектүүлөрүн гана колдонуу сунушталат. Плагинди колдонбостон сайтта жүргүзүлө турган бардык өзгөрүүлөр (жана WordPressтин кийинки версиясында жокко чыгарыла турган баштапкы файлдын өзгөрүшү эмес деп эсептесек) - "таза" ыкма менен жасоо сунушталат.

9. Сайттагы файлдарды жана коопсуздук плагиндерин үзгүлтүксүз сканерлеп туруу

Компьютериңизде антивирус бар болгондой эле, сканерлөөнү үзгүлтүксүз жүргүзүп турасыз (үмүттөнөбүз), ошондой эле сервердин өзүндө вируска чалдыккан файлдарды күндөлүк текшерип туруу сунушталат.

Мунун бир нече жолу бар:

А- Серверде жайгашкан антивирусту колдонуу менен сканерлөө (мисалы, CPanelди колдонуу) - менин тажрыйбамда заманбап эмес жана ар кандай аялуу жерлерди байкабайт.

B- Ар кандай коопсуздук плагиндерин колдонуу менен сканерлөө. Мына бир нече популярдуу:

Wordfence - Эң популярдуу WordPress коопсуздук плагини. Бул плагин учурдагы макалада айтылган бир нече бурчтарды жабат, бирок баардыгы сыяктуу - 100% коргоону камсыз кылбайт, бирок хакерлердин ишин татаалдаштырат.

Sucuri Security - Sucuri коопсуздук компаниясынын дагы бир популярдуу коопсуздук плагини. Бул WordPressке караганда бир аз жеңилирээк, бирок сайтта зыяндуу программаларды издөө, брандмауэр, Brute Force чабуулдарынын алдын алуу жана башка көптөгөн функцияларды сунуш кылат.

iThemes Коопсуздук - сайттын коопсуздугун камсыз кылууга жардам берген көптөгөн функцияларды сунуш кылат, мисалы, эки фактордук аутентификация, вирус жуккан файлдарды, журналдарды сканерлөө жана колдонуучунун аракетин көзөмөлдөө, файлдарды вирус табуу үчүн салыштыруу жана башкалар.

10. Сайтты Google Издөө Консолуна туташтырыңыз

Сайтты Google'дун веб-мастер куралдарына туташтыруу Google менен түздөн-түз байланышып, SEO аспектилери боюнча кеңири маалымат берип гана тим болбостон, сайт жөнүндө коопсуздук эскертүүлөрүн да берет.

Өркүндөтүлгөн кеңештер

WordPress сайттарын коопсуздандыруу боюнча кеңейтилген кеңештер серверлер, FTP, маалымат базалары жана башкалар менен иштөөнү билген колдонуучуларга арналган. Жогоруда айтылгандардын биринде да мыкты адис болуунун кажети жок, бирок куру сөз болбош үчүн бир аз негизги тажрыйбага ээ.

11. Файлдын уруксаттарын өзгөртүү

WordPress бир нече файлдарды жана бир нече папкаларды камтыйт, алардын кээ бирлери кыйла купуя маалыматтарды камтыйт, кээ бирлери азыраак. Ар бир файлдын түрү жана папкасында демейки уруксаттар бар. Бирок, ошондой эле, сезимтал файлдарга (мисалы, wp-config) жана/же хакердик мүмкүнчүлүктөр менен орнотууга боло турган бир кыйла катаал уруксаттар бар.

12. .htaccess файлы аркылуу коопсуздук

Htaccess файлы Apache серверлеринде жана сайттын негизги папкасында жайгашкан. Бул маанилүү жана күчтүү файл, башкасы, X дарегинен Y дарегине 301 багыттама киргизүү, айрым файлдарга же папкаларга уруксат берүү, сервер деңгээлиндеги кэштөөгө, ар кандай Колдонуучу-агенттерге бөгөт коюу жана башкалар үчүн жооптуу. .

WordPress сайттарындагы коопсуздук деңгээлин күчөтүү жана жакшыртуу үчүн сансыз буйруктарды колдонсо болот. Мен бардыгын билгим келбейт, бирок биз бул жерде билүүгө арзый турган кээ бир маанилүү жана жөнөкөй нерселерди эскеребиз:

Маанилүү файлдарды коргоо:

Wp-config, php.ini жана каталар журналы файлы сыяктуу маанилүү файлдарга мүмкүнчүлүк бербеңиз.

<FilesMatch "^. * (Error_log | wp-config \ .php | php.ini | \. [HH] [tT] [aApP]. *) $">
Заказды четке кагуу, уруксат берүү
Баарынан баш тартуу
</FilesMatch>

Сайттагы папкаларга кирүүгө тыюу салуу:

Сайттагы папкаларга кирүүгө тыюу салуу колдонуучуларга браузер аркылуу сайттагы папкаларды көрө албайт. Бул зыяндуу файлды белгилүү бир папкага киргизүүнү, сайтка кайсы плагиндер/шаблондор орнотулгандыгын ж.б. көрүүнү каалаган адамга кыйынчылык жаратат.

Бардык индекстердин параметрлери.

Жүктөө папкасында зыяндуу коду бар PHP файлдарынын аткарылышын бөгөттөө.

Демейки шартта, жүктөөлөр папкасында негизинен сүрөттөр/PDF камтылышы керек. Эгер сизге PHP кеңейтилген файлдар берилген болсо, htaccess файлындагы төмөнкү код сизге бул файлдарды иштетүүдөн сактайт:

<Каталог "/ var/www/wp-content/uploads /">
<Files "* .php">
Тартипти четке кагуу, уруксат берүү
Баарынан баш тартуу
</Files>
</Directory>

13. Журналдарды жана сайттын ишин көзөмөлдөө

Сайтта колдонуучулардын активдүүлүгүн көзөмөлдөө - адамдын эң кичинекей деңгээлине чейин - сайтка кандай өзгөртүүлөр киргизилгенин билүүгө мүмкүнчүлүк берет, ошондой эле ар кандай колдонуучулардын ишмердүүлүгүн көзөмөлдөп, көйгөйлүү колдонууларды жаратууга мүмкүнчүлүк берет. сайтка зыян келтириши мүмкүн.

14. Компьютерди коргоо

Сайтка вирус тышкы булактан гана эмес, биздин компьютерден дагы келиши мүмкүн. Эгер компьютериңизге вирус, зыяндуу программа же башка нерсе жуккан болсо жана бул файлдар серверге өтүп кетсе, анда сайтка жугуунун кыска жолу жана бул көйгөйдүн форматы.

Менин сунушум - профессионалдык антивирустук программалар үчүн жылдык лицензияны үнөмдөбөңүз жана сатып албаңыз, ал ошондой эле сиз кирип жаткан папкаларды жана кирген сайттарды реалдуу убакытта текшерип турат, мүмкүн болгон зыян жөнүндө эскертет. Антивируска кошумча, сизде зыяндуу программалардын файлдарын сканерлеп жана аларды чече турган программалык камсыздоо болушу керек - жергиликтүү компьютерде.

Эгер компьютериңиз таза болсо, анда жок дегенде сайттагы көйгөйдүн башаты сиздин компьютерден эмес экендигин билесиз. Эгерде сайтта башка колдонуучулар (айрыкча, административдик артыкчылыктарга ээ) бар болсо, анда сиз аларга дагы ушул маселе жөнүндө маалымат беришиңиз керек.

15. Маалыматтар базасынын префиксин өзгөртүү

WordPress сайттарындагы эң популярдуу жана кадимки аялуу жерлердин бири "SQL Injection" деп аталат. Бул сайттын маалымат базасындагы алсыздыкты колдонуп, сайтка кирүү маалыматы, колдонуучунун маалыматы жана башкалар сыяктуу уруксаттарды тастыктаган ар кандай аракеттерди жасай турган зыяндуу кодду киргизүүгө багытталган.

WordPress маалымат базасынын демейки префикси wp_. Префиксти өзгөртүү, башка нерселер сыяктуу эле, SQL сайууларынан герметикалык коргоого кепилдик бербейт. Бирок бул чабуулчуну талыкпай иштеп, маалымат базасындагы таблицалардын түзүлүшүн таап, кийинки курмандыктын анча кыйын эмес чачтарына өтүшү керек болот.

Орнотуу баскычынан столдор үчүн башка префикс орнотуу сунушталат. Бирок муну кийинчерээк дагы жасоого болот - плагин колдонулабы же кол мененби.

Аягында

Сизге гид жакты деп үмүттөнөм. Бул колдонмодо өзүңүз байкагандай, сайттын коопсуздугу жөнөкөй эле нерсе эмес. Демек, эгерде сиздин сайтыңыздын коопсуздугун камсыз кылуу боюнча тиешелүү көндүмдөргө ээ болбосоңуз, анда сизге эксперттерди чакырууңузду сунуштайм. Бул сиздин инвестицияңызды жоготуп гана койбостон, өз сайтыңызды Интернет колдонуучулары үчүн ишенимдүү жайга айлантат.

Ошентип, көбүрөөк билгиңиз келсе, сураныч Биз менен байланыш жана бекер консультацияга жазылуу. Сизге жардам берүү биз үчүн жагымдуу!

Ошондой эле, Semalt а блог SEOдеги маанилүү темаларды такай камтыган темалар боюнча.



mass gmail