După ce site-ul sau blog-ul este creat și lansat, fiecare se confruntă cu sarcina de a proteja resursele de programele malware și hacking hacks. De regulă, majoritatea proprietarilor de popular sistem de management al conținutului (CMS) Wordpress instalat grad ridicat de protecție și sugerează că mai multe plugin-uri instalate asigura un nivel ridicat de protecție. În același timp, există o credință că „site-ul meu sau blog-ul este puțin probabil să fie interesat de hackeri“, dar este pe astfel de resurse, hackerii sunt orientate în primul rând. După hacking pe blog-ul dvs. absolut inofensiv „orice“ care credeți că nu ar trebui să atragă intruși, sunteți de acord să devină unul dintre mulți distribuitori de malware pentru scopul său final. În acest articol, vom examina cum să protejăm motorul Wordpress.
Până în prezent, Wordpress este unul dintre cele mai populare CMS din lume. Blogurile, mini-site-urile, precum și portalurile întregi - sunt construite, luând ca bază Wordpress. Ușurința dezvoltării ascunde în continuare problemele legate de securitatea site-ului. Utilizarea pe scară largă a CMS reprezintă atenția sporită a intrușilor.
Programatorii întotdeauna încearcă să se asigure că solicitările GET și POST sunt protejate, dar acest lucru nu este suficient. De asemenea, este necesar să protejăm blogul de tot felul de injecții XSS, uneori din încercările de a modifica variabilele GLOBALS și _REQUEST.
Principalele metode de protejare a CMS Wordpress
1. Protejați Wordpress de injecțiile XSS.
1.1. Dacă găzduiți un centru de date virtuale Grupate ce UNITATE-IS sau pe server virtual (VPS), în cazul utilizării ca serverul Web Apache, inserați codul în fișierul .htaccess localizat în rădăcina site-ului (nu uitați să faceți o copie de rezervă a acestui fișier înainte făcând orice schimbare).
RewriteRule ^ (. *) $ Index.php [F, L]
Acest cod vă permite să verificați toate cererile posibile. Dar, în cazul în care cererea conține o etichetă sau poate încerca să modifice valoarea variabilelor și GLOBALS _REQUEST, atunci pur și simplu blochează-l și dă utilizatorului o eroare de 403.
1.2. În cazul VPS și a stabilit Nginx ca un server web separat (+ php-fpm), cele mai recente versiuni ale dezvoltatorului introdus de protecție full-time NAXSI (Nginx ANTI XSS SQL INJECTION).
Firewall-ul pentru aplicații web (WAF) pentru NGINX, care ajută la protejarea împotriva XSS, SQL injection, CSRF și local Includerea fișierelor la distanță.
Ubuntu, Debian, Netbsd, Freebsd: posibil ca pachet.
De exemplu, în serverul Ubuntu 12.04 este suficient să faceți
apt-get instalează nginx-naxsi
De asemenea, alte sisteme Linux:
Dacă pachetele nu au apărut încă, atunci compilam nginx + naxsi din sursele finite:
tar xvzf nginx-x.x.xx.tar.gz
tar xvzf naxsi-x.xx.tar.gz
(în loc de x.x.x.x - este necesar să se furnizeze versiunile curente disponibile)
și după aceea reporniți configurația (service nginx reload).
Dacă încercați să intrați în panoul de administrare al CMS Wordpress, veți greși să introduceți un nume de utilizator sau o parolă, motorul vă va notifica imediat despre acest lucru. De ce ar ști un hacker că parolele pe care le selectează sunt neadevărate?
2. Îndepărtați afișarea informațiilor inutile
Ar trebui să deschideți funcțiile.php, care se află în dosarul cu tema activă
blog (wp-content / themes / title-your-topic /) și, direct,
adăugați următorul cod:
add_filter ('login_errors', create_function ('$ a', 'return null;'));
salvați fișierul. Acum nu există mesaje.
3. Utilizarea forțată a SSL
Dacă doriți ca informațiile pe care le transmiteți să fie protejate, atunci trebuie să utilizați un protocol SSL care asigură integritatea și confidențialitatea schimbului de date. În unele cazuri, acest lucru poate face dificil pentru roboți să găsească parole. În WordPress este foarte simplu.
În primul rând, aflăm dacă există o oportunitate pentru planul tău tarifar
utilizați SSL. Dacă da, deschideți fișierul wp-config.php (la root
site) și adăugați următoarele:
4. Utilizați .htaccess pentru a proteja fișierul wp-config
wp-config.php conține absolut toate datele necesare pentru
conectarea la serverul nostru MySQL, precum și la baza de date. proteja
Accesul este una dintre cele mai importante și complexe sarcini.
Mai întâi, trebuie să găsiți fișierul .htaccess în rădăcina site-ului nostru, apoi adăugați următoarele rânduri:
5. Ascunderea versiunii Wordpress
Motorul introduce automat numărul versiunii curente a CMS în sursă
cod pentru fiecare pagină. Nu aveți întotdeauna timpul sau posibilitatea de a vă actualiza
motorului. Și aceasta înseamnă că o persoană știe ce versiune de Wordpress este în valoare,
știe ce slăbiciuni de pe site-ul dvs. sunt încă prezente. Ce urmează
pentru a face? Este necesar să eliminați adăugarea la codul sursă al versiunii CMS
Deschideți funcțiile.php și adăugați:
De asemenea, este de dorit să ștergeți fișierul readme.html din dosarul rădăcină al site-ului. Acesta conține, de asemenea, informații despre versiunea curentă a Wordpress.
6. Ucideți administratorul! Nu există niciun utilizator implicit "admin".
Atacatorii sunt mult mai ușor să acceseze site-ul dvs. atunci când
ajuta brute, mai ales dacă datele de conectare sunt deja cunoscute. Cea mai ușoară cale de hack
site-uri, dacă există un login standard "admin" pentru administrarea site-ului.
În versiunea 3.0 CMS WorsPress și mai sus, există o oportunitate de schimbare
autentificarea standard pentru administrator. Pentru toate celelalte versiuni (devreme)
trebuie să executați o interogare SQL (de exemplu, prin phpMyAdmin):
UPDATE wp_users SET user_login = 'Noua ta autentificare' WHERE user_login = 'Admin';
7. Pre-autentificare pe fișierul wp-login.php
De regulă, fișierul unei intrări în administrare
panoul wp-login.php. Cea mai simplă metodă de protecție este să ascundeți acest fișier
(redenumiți sau puneți-o la dispoziție într-un port arbitrar). Dar uneori
astfel de metode aduc o mulțime de inconveniente, de exemplu pentru bloguri cu un blog mare
folosind PHP, configurațiile serverului web nu vor fi atinse, ceea ce va da
metoda celei mai mari universalități.
Creați un fișier numit preauth.php cu următorul cod:
antet ("WWW-Authenticate: Regiunea de bază =" Spațiul de administrare ");
antetul ("HTTP / 1.1 401 neautorizat");
dacă ($ _SESSION ['pre']! = 1) echo 'Este necesară autentificarea prealabilă!';
if (! isset ($ _ SERVER [ 'PHP_AUTH_USER']) sau! isset ($ _ SERVER [ 'PHP_AUTH_PW']))
> Else if ($ _ SERVER [ 'PHP_AUTH_USER'] == $ u și md5 ($ _ SERVER [ 'PHP_AUTH_PW']) == $ p)
Unde $ p este hash-ul de md5 pre-generat al parolei, $ u este login-ul (nu
setați același nume de utilizator și aceeași parolă pe care o utilizați pentru a vă conecta
Modificați fișierul wp-login.php, scrieți codul la începutul fișierului, după "
se solicită login și parola din fișierul preauth.php, în cazul unei corecte
dublează selecția de parolă a unui atacator, dar oferă, de asemenea
bots neașteptate care nu așteaptă cu greu un astfel de răspuns din partea standardului
forma de intrare a motorului. Merită să considerăm că fișierul wp-login.php va fi suprascris
atunci când actualizați CMS, trebuie să înregistrați o linie
Secvență de acțiuni pentru eliminarea consecințelor
Dacă ați fost deja hacked, atunci cel mai fără probleme "tratament" al consecințelor
hacking și modificarea site-ului sau a blogului dvs., precum și o bază de date - aceasta
de rezervă. Dacă nu ați făcut copii de rezervă, contactează-te
Dar recuperarea din copia de rezervă nu este de ajuns, odată ce ați spart site-ul, puteți reveni din nou.
Cel mai simplu mod de a vedea acest lucru este până la data la care fișierul a fost modificat;
- Încercați să determinați imediat ce fișiere au fost înlocuite,
poate fi ca index.php și fișiere de șabloane, imagini etc.
timp pentru a modifica fișierele și a le compara cu înregistrările din
concluzie
Securitatea site-ului sau blog-ul dvs. nu este doar o sarcină a dezvoltatorului,
dar și centrul nostru de date UNIT-IS, sunt obligați să furnizeze maximum
securitatea serverelor noastre, dar și proprietarul site-ului. Ordonarea Gazduire pentru WordPress
în centrul de date UNIT-IS, sunteți încrezători în calitatea și fiabilitatea ridicată
servere! Administratorii de sistem sunt întotdeauna gata să vă ajute în caz de nevoie
apar întrebări.
În cele din urmă, iată câteva sfaturi triviale pentru webmasteri:
- Nu stocați acreditările de acces oriunde;
- folosiți parole lungi complexe și logare non-standard, efectuați periodic schimburile lor;
- actualizați în timp util nucleul Worpress și plug-in-urile cu lansarea actualizărilor;
- Atunci când alegeți un plug-in, verificați fiabilitatea sursei, precum și prezența vulnerabilităților nedefinite;
- Urmăriți drepturile de scriere a fișierelor și, în special, a fișierelor de configurare critice;
- periodic, inclusiv serviciile externe, verificați disponibilitatea anumitor secțiuni ale site-ului dvs.;
- să stocați copii locale ale copiilor de siguranță ale site-ului și ale bazei de date.