Представете си с мен за момент, че сте хакер, който търси начини да хакне уебсайтове с добра репутация, за да ги използва за канализиране на легитимен трафик към измама " Фишинг "Вреден.
Как се насочвате към уебсайтове за максимално въздействие? Една от възможностите е да намерите и насочите към една уязвимост, която засяга стотици или хиляди сайтове. Ако подобно нещо може да бъде намерено и експлоатирано, можете да създадете много краткотрайна цифрова касапница.
Започвате ли да разбирате защо е важно да подобрите уебсайта си?
Като най-популярната система за управление на съдържанието в мрежата, WordPress е основна цел за хакерите. Но има нещо, което можете да направите за това.
Защо се случват лоши "хакове" на добри уебсайтове?
За щастие основната версия на WordPress е доста безопасна. Рядко са възможни хакове, когато става въпрос за прекъсване на вратичка в основната версия на WordPress. Когато се идентифицират експлоатации в ядрото, те бързо се коригират.
Вместо да атакуват ядрото (което е трудно да се пробие), хакерите обикновено се насочват към неща като неудобно избрани пароли, лошо кодирани приставки, разхлабени разрешения на файлове и сайтове, които не се налагат. актуална с много уязвимости.
Тъй като пиратите са склонни да атакуват "узрели плодове", не е толкова сложно да се върнат вашия блог по-здрав, за да го запази в безопасност. В този урок ще ви представим 5 метода, които можете да приложите вашия блог за да стане по-здрав.
Първа стъпка: Актуализирайте всичко
Всеки път след известно време се пуска актуализация на WordPress и се придружава от мрачно предупреждение: " Това е критична версия за сигурност Въпреки че подобно предупреждение го прави много ясно, важно е да инсталирате всяка актуализация на WordPress възможно най-бързо (дори тези, които не хвалят значението им).
Това не се отнася само за ядрото. Бързото инсталиране на актуализациите на приставки и теми е също толкова важно, колкото и инсталирането на основните актуализации възможно най-бързо.
Много актуализации на темите, плъгините и ядрото на WordPress се предлагат за справяне със значителни уязвимости в сигурността. Така че първото нещо, което трябва да направите, за да запазите WordPress блог в защитено е да актуализирате всичко.
Стъпка 2: Използвайте уникално потребителско име и защитена парола
Какво е по-лошо от използването на потребителско име " администратор "? Е, определено е да се използва парола " парола ".
Страницата за вход в WordPress е обща цел за груби атаки. Тези роботи ще направят няколко опита за влизане, тествайки множество потребителски имена и пароли.
Решението е да използвате защитено потребителско име и парола. Не винаги трябва да използвате парола, която няма смисъл, но това ще направи още по-трудно отгатването. Това важи и за вашето потребителско име.
Като се има предвид, че WordPress има вграден генератор на защитени пароли, наистина няма оправдание за тези, които използват слаба парола. Така че, ако паролата ви не е защитена, отидете в профила си и я променете.
Стъпка 3: Деактивирайте проследяването и Pingbacks
Ако не използвате обратни и пингбакове на вашия WordPress сайт, деактивирайте ги. Отидете на таблото си за управление и след това в настройките за чат и премахнете отметката от квадратчето Опитайте се да уведомите свързаните сайтове от съдържанието на статията », И« Разрешаване на връзки за известяване от други блогове... ”.
Промяната на тези настройки пак ще позволи тези функции да бъдат активирани за отделни публикации и страници. Така че най-добрият вариант е да използвате плъгин, който напълно ще блокира pingbacks и trackback веднъж завинаги.
Има най-малко две добри причини, поради които трябва да помислите за деактивиране на проследяването и пингбака: те могат да задействат законна спам и могат да се използват при координирана DDoS или груба атака. Ако ги използвате, отделете време, за да защитите сайта си срещу нежелани проследявания и груби атаки.
Прочетете нашия урок Как да деактивираме Trackbacks и пинг на WordPress.
Стъпка 4: Скриване на PHP грешки
PHP има вградени възможности за отстраняване на грешки и можете да показвате съобщения за грешки, генерирани от PHP, във фронта на вашия сайт, като добавите " дефинирайте ('WP_DEBUG', вярно); На вашия wp-config.php файл. Това е много полезен инструмент за разработчици на теми и плъгини. Въпреки това, никога не трябва да показвате PHP грешки на производствен сайт.
В някои случаи преглеждането на PHP грешки може да предостави информация, която един сложен хакер може да използва, за да компрометира вашия сайт. Простото решение е да деактивирате режима за отстраняване на грешки, като зададете " фалшив " за " WP_DEBUG ". Можете да добавите този код към файла " WP-config.php От вашия сайт.
Препоръчителен урок: Какви промени да WP-config.php за осигуряване на вашия WordPress блог
Стъпка 5: Използвайте един префикс на таблица
Ако нападателят идентифицира уязвимост в сигурността, която им позволява да получат достъп до вашата база данни, последната информация, от която се нуждаят, е да извлече префикса на таблицата. По подразбиране WordPress използва "wp_" като префикс за всички таблици в базата данни. Така че, за да им е още по-трудно, трябва да изберете префикс, който не е трудно да се отгатне.
Въпреки че можете да промените ръчно префикса на вашата база данни, това е малко сложно и ако грешите, ще имате много работа за възстановяване. Вместо това, просто променете префикса на вашата база данни с плъгин за секунди.
Това е всичко за този урок. Надявам се, че ще ви позволи да направите своя WordPress блог още по-здрав. Чувствайте се свободни да споделите този урок с приятелите си в любимите си социални мрежи.
