WPHardening: Przejrzyj luki w zabezpieczeniach i kontrole bezpieczeństwa w sieci Wordpress

ten bezpieczeństwo witryny jest jednym z najważniejszych aspektów, które a Webmaster musi rozważyć.

Serwer sieciowy, z którego korzystamy dla naszej witryny pod WordPress, może również mieć luki, dlatego musimy upewnić się, że nie ma problemów z bezpieczeństwem lub podjąć działania w celu poprawy bezpieczeństwa. W innych samouczkach określono działania i narzędzia mające na celu wzmocnienie bezpieczeństwa, na przykład poprzez zastosowanie:

1. Środki bezpieczeństwa dla serwerów VPS
2. Jak wykrywać i kontrolować usługi na serwerach Linux

Bardzo ważnym aspektem, który należy wziąć pod uwagę, jest: unikaj korzystania z serwera współdzielonego, to te serwery, które obsługują inne witryny, oprócz naszej witryny i witryny na tym samym serwerze, która jest podatna na ataki, mogą one zagrozić wszystkim innym witrynom, ponieważ pliki znajdują się w tej samej przestrzeni, a tym samym rozprzestrzeniają atak lub infekcję wirusem.
ten strony internetowe tworzone pod Wordpress są wrażliwe większości ataków, ponieważ 30% stron internetowych jest tworzonych na tej platformie.

Dlatego ważne jest podjęcie środków w celu ochrony naszej strony internetowej i naszych danych przed potencjalnymi atakami i zminimalizowania ryzyka, które mamy luki.

Strategie, które możemy wdrożyć

Zmień ścieżkę do folderu wp-content


Zmień domyślną ścieżkę do folderu wp-content WordPress, czyli folder, w którym znajduje się większość plików i wtyczek, motywów składających się na naszą stronę. Exploity i złośliwe oprogramowanie będą szukać tego folderu w celu przeskanowania i znalezienia luk w zabezpieczeniach, jeśli zmienimy trasę, utrudnimy śledzenie.

Aby dokonać zmiany trasy musimy edytuj plik wp-config.php i zmodyfikuj stałą wp_content_dir:

 define ('WP_CONTENT_DIR', nazwa katalogu (__ FILE__). '/ ścieżka / zawartość wp');
Dzięki temu zostałby zmieniony.

Instaluj tylko bezpieczne wtyczki


Wtyczki można usunąć z oficjalnego repozytorium WordPress.org, jeśli nie są często aktualizowane, dzięki czemu możemy zapewnić społeczność, że wtyczki zapewniają pewne bezpieczeństwo, a także pokazują nam, które wtyczki są bardziej akceptowane przez użytkowników. Fakt, że nie są złośliwe, nie oznacza, że ​​działają poprawnie lub nie mają żadnych luk w zabezpieczeniach.

Musimy zwrócić uwagę, gdy wtyczka nie była aktualizowana od lat, zgłaszane są błędy. Społeczność użytkowników odkryła, że ​​zawiera lukę w zabezpieczeniach.

Posługiwać się WPHhartowanie automatyzować bezpieczne instalacje


WPHhartowanie jest narzędzie do automatyzacji i wykonywania różnych kontroli bezpieczeństwa aby nasza strona Wordpress była bezpiecznie skonfigurowana.

Ten projekt jest wykonany w Pythonie i pozwala sprawdzać różne aspekty witryny deweloperskiej pod Wordpressem w poszukiwaniu luk.

Jedną z głównych zalet tego narzędzia jest automatyzacja zadań, a ustawienia zabezpieczeń są ważne, aby uniknąć ujawnienia informacji potencjalnym napastnikom. Istnieje wiele narzędzi, które zostały stworzone specjalnie do pozyskiwania i gromadzenia wszelkiego rodzaju informacji związanych z instalacją WordPressa. Wiele Ataki na systemy WordPress zwykle zaczynają się od wcześniejszych informacji opartych na skanach i zbieraniu informacji.

WpHarting Można go pobrać na nasz serwer lub komputer lokalny z jego oficjalnej strony lub z terminala za pomocą polecenia za pomocą polecenia:

 klon git https://github.com/elcodigok/wphardening.git
Możemy go również pobrać ze strony projektu na GitHubie:

Po zainstalowaniu lub rozpakowaniu pliku możemy uzyskać dostęp do folderu wphardening.

Aby korzystać z tego narzędzia, musimy znać drogę do sieci, którą chcemy sprawdzić, i tę sieć, ponieważ została opracowana w Wordpress.

Następnie musimy zaktualizować wphardening, aby upewnić się, że mamy najnowsze repozytoria i najnowsze ulepszenia, które zostały włączone, dla nich z okna terminala wykonujemy następujące polecenie:

 python wphardening.py --update
Następnie możemy zacząć korzystać z wphardeningu i sprawdzić bezpieczeństwo strony stworzonej pod wordpress za pomocą polecenia:
 python wphardening.py -d / home / myuser / myweb -v 
Pamiętaj, że jest używany tylko lokalnie, to znaczy na lokalnym lub zdalnym serwerze z wiersza poleceń i do strony internetowe stworzone w wordpressie.

Na przykład wykorzystam do tego samouczka stronę demonstracyjną wykonaną w Wordpress na lokalnym serwerze z Xampp:

Wielokrotnie mamy problemy z uprawnieniami do plików i folderów, które narażają naszą witrynę na ataki lub intruzów, aby rozwiązać ten problem, używamy następującego polecenia:

 python wphardening.py -d / opt / lampp / htdocs / projekty / cabanias -chmod -v 
Powoduje to automatyczne ustawienie zalecanych uprawnień dla dodatkowych zabezpieczeń.

Kolejną bardzo ciekawą opcją tego narzędzia jest możliwość: pobierz i zainstaluj wtyczki i narzędzia bezpieczeństwa w sposób zautomatyzowany zalecane i przetestowane.

 python wphardening.py -d / opt / lampp / htdocs / projekty / cabanias -plugins

Gdy wykonamy polecenie, poprosi nas o zgodę na zainstalowanie każdej wtyczki bezpieczeństwa, w tym między innymi antywirusa, skanera exploitów, menedżera bazy danych, skanera bezpieczeństwa i podatności, na końcu będziemy mogli zobaczyć wtyczki zainstalowane w folder wtyczek naszej witryny Wordpress. Wtyczki te wykorzystują zastrzeżone narzędzia i bazy danych online do przeszukiwania plików i baz danych w naszej witrynie WordPress pod kątem rastos lub mogą wskazywać, że padłeś ofiarą złośliwych hakerów.

 [załącznik = 12158: panta06.jpg.webp]
Następnie z Panel administracyjny WordPress możemy zainstalować i włączyć wtyczki bezpieczeństwa.

Inną ciekawą opcją jest automatyczne tworzenie pliku robots.txt które automatycznie odmówią dostępu do najważniejszych katalogów serwisu. Dodajemy również -o opcja który pozwala nam stworzyć plik dziennika z wynikiem wykonanego zadania.

 python wphardening.py -d / opt / lampp / htdocs / projekty / cabanias -robots -o securitywp.log

Gdy wykonamy polecenie, zapyta nas o ścieżkę do strony internetowej, a następnie można utworzyć plik robots.txt.

Usuwanie plików, które nie są używane jest ważne, ponieważ zajmują miejsce i mogą być podatne na ataki, ponieważ zwykle nie są utrzymywane ani aktualizowane, również w witrynie z wieloma plikami mogą powodować zamieszanie, z ich powodu użyjemy parametru polecenie usuń, aby automatycznie usuwa wszystkie pliki, które nie są używane przez naszą witrynę.

 python wphardening.py -d / opt / lampp / htdocs / projekty / cabanias -remove -o securitywp.log 

Na końcu widzimy utworzony przez nas dziennik z listą wszystkich plików, które zostały usunięte.

ten ataki na strony internetowe i serwery są spowodowane problemami bezpieczeństwa z powodu podatności w twoim oprogramowaniu z powodu błędów programistycznych lub źle skonfigurowanego oprogramowania.

Te luki w zabezpieczeniach umożliwiają atakującym korzystanie z dużej liczby techniktakie jak używanie parametru adresu URL do uruchamiania wstrzykiwania SQL, dodawanie kodu do bazy danych za pomocą formularzy, co umożliwia zmianę lub usuwanie ważnych danych, takich jak usuwanie wszystkich postów i stron lub pozostawienie wyłączonej sieci.

Strony internetowe stworzone pod Wordpress, które zostały zaatakowane, generalnie jest to spowodowane lukami we wtyczce WordPress. Hakerzy często umieszczają w naszej witrynie złośliwe oprogramowanie zakodowane w base-64, które umożliwia im wykonanie funkcji PHP. Mogą również zostawić tylne drzwi gdzieś w Twojej witrynie. Jest to technika, której używają do uzyskiwania dostępu do Twojej witryny w przyszłości, nawet tego typu atak zwykle infekuje wszystkie pliki w sieci.

Pamiętaj, że wszystkie używane przez nas narzędzia nie gwarantują dodatkowo bezpieczeństwa naszej strony internetowej musimy wdrożyć polityki bezpieczeństwa Co wykonywać przyrostowe kopie zapasowe bazy danych i wszystkich plików co tydzień lub codziennie.

Podobał Ci się i pomógł ten samouczek?Możesz nagrodzić autora, naciskając ten przycisk, aby dać mu pozytywny punkt
wave wave wave wave wave