Hogyan védi a weboldal vagy blog fut cms wordpress betörés gyakorlati tanácsokat
Ha egy weboldal vagy blog létre és működik, előtte minden a megvédeniük a forrás a rosszindulatú programok és hacker betörés. Általános szabály, hogy a többségi tulajdonosok a népszerű tartalomkezelő rendszer (CMS) Wordpress telepíteni magas fokú védelmet és arra utalnak, hogy számos telepített beépülő biztosít magas szintű védelmet. Ugyanakkor van egy olyan hiedelem, hogy „a website vagy blog nem valószínű, hogy érdekelt hackerek”, de ez egy ilyen erőforrások hackerek orientált az első helyen. Miután betörjenek a blog teljesen ártalmatlan „semmit”, hogy úgy gondolja, nem kell vonzani a behatolók, akkor elfogadja, hogy legyen egy a sok forgalmazói malware annak végső célja. Ebben a cikkben tartjuk a Wordpress motor védelmi módszerek.
A mai napig, Wordpress az egyik legnépszerűbb CMS a világon. Blogok, mini-oldalak, valamint a teljes portálok - épül alapján Wordpress. A könnyebb fejlesztés továbbra is megoldásra váró kérdések, amelyek kapcsolatban vannak a webhely biztonságát. Széles körű CMS - egyre nagyobb figyelmet a támadóktól.
A programozók mindig megpróbál kap- és utáni kérelmek védettek voltak, de nem elég. Arra is szükség van, hogy megvédje a blog mindenféle XSS-befecskendezés, néha próbálja módosítani a változók és GLOBALS _REQUEST.
A fő védelmi módszereket CMS Wordpress
1. védelme WordPress XSS-injekciót.
1.1. Ha a fogadó egy virtuális fürtözött hosting adatközpont UNIT-IS, vagy a virtuális szerver (VPS) esetében alkalmazása az Apache webszerver, írja be a kódot a .htaccess fájlban található a gyökér a helyén (ne felejtsük el, hogy egy biztonsági másolatot a fájl előtt bármilyen változást).
RewriteRule ^ (. *) $ Index.php [F, L]
Ezek kód segítségével ellenőrizheti az összes lehetséges lekérdezések. De, ha a megkeresés tartalmazza a tag vagy próbálja módosítani a változó értékeknek és GLOBALS _REQUEST, akkor egyszerűen blokkolja, és ad a felhasználónak 403 hiba.
1.2. Abban az esetben, VPS és állítsa nginx külön webszerver (+ php-FPM), a legújabb verzió a fejlesztő bevezették a teljes idejű védelem NAXSI (nginx ANTI XSS SQL injection).
Web Application Firewall (WAF) az nginx, amely segít megvédeni a XSS, SQL-injection, CSRF és Helyi Távoli fájl zárványok.
Ubuntu, Debian, NetBSD, FreeBSD: talán egy csomagban.
Például Ubuntu 12.04 szerver elég ahhoz, hogy
apt-get install nginx-naxsi
Emellett más Linux-rendszer:
Ha a csomagot még nem jelentek meg, akkor gyűjtünk nginx + naxsi üzemkész forrás:
tar xvzf nginx-x.x.xx.tar.gz
tar xvzf naxsi-X.XX.tar.gz
(Ehelyett x.x.x.x - meg kell tenni a jelenlegi verzió)
és az újraindítás után konfiguráció (szolgáltatás nginx reload).
Ha megpróbálja, hogy megy az admin felületen CMS WordPress baj belépő és jelszavát, a motor azonnal értesíti róla. Miért lenne egy hacker tudni, hogy a jelszavakat, amit felvesz - Nevers?
2. Vegye ki a kijelző extra információt
Meg kell nyitni a functions.php, ami a mappában az aktív téma
blog (wp-content / themes / név-your-téma /), és közvetlenül,
hozzá a következő kódot:
add_filter (login_errors ', create_function ( '$ a', a "return null;"));
menteni a fájlt. Most az üzeneteket.
3. erőltetése SSL
Ha szeretné, hogy az Ön által benyújtott információ védett, akkor meg kell használni az SSL-protokoll, amely biztosítja a integritását és bizalmas adatok cseréje. Bizonyos esetekben előfordulhat, hogy akadályozza a munkát a jelszó találgatás robotok folyamatot. A Wordpress'e ezt nagyon egyszerűen.
Először is tanulni, hogy van-e a lehetőséget a díjcsomag
SSL használatára. Ha igen, akkor nyissa meg a wp-config.php fájlt (a gyökér
hely) és hozzá a következő:
4. A .htaccess, hogy megvédje a wp-config fájlt
wp-config.php tartalmaz minden adatot, amely szükséges
kapcsolódni a MySQL szerver és az adatbázis. véd
hozzáférés - az egyik legfontosabb és legnehezebb feladat.
Az első lépés az nahoditi .htaccess fájlt a gyökér, a honlapon, majd adjuk hozzá a következő sorokat:
5. elrejtése változata Wordpress
A motor automatikusan beilleszti a számát a jelenlegi változat a forrás CMS
kódot minden oldalon. Ez nem mindig van idő, vagy a képesség, hogy frissítse
motort. Ez azt jelenti, hogy az ember tudja, hogy melyik verzió Wordpress'a érdemes
Ő tudja, mi a hiányosságokat webhely mindig jelen van. mit kellene
kell csinálni? Meg kell távolítani a mellett, hogy a forráskód verzióját CMS
Nyissa meg a functions.php, és adjunk hozzá:
Az is kívánatos, hogy távolítsa el a readme.html fájlt a gyökér mappában az oldalon. Ebben is tartalmaz információt a jelenlegi változat a Wordpress.
6. Kill the admin! Nem credit default yuzerneym «admin».
A támadók sokkal könnyebb hozzáférést biztosít a helyszínen
Brutus támogatás, különösen, ha a felhasználónév már ismert. A legegyszerűbb módja annak, hogy csapkod
oldalak, ha van egy hagyományos felhasználónév «admin» az administirovaniya oldalon.
A 3.0-s verzió CMS WorsPress felett, akkor lehet változtatni
Normál bejelentkezés az adminisztrátor számára. Minden más (korábbi) változat
El kell végeznie egy SQL-lekérdezés (például a phpMyAdmin):
UPDATE wp_users SET user_login = 'Az új login' WHERE user_login = 'Admin';
7. Az elő-hitelesítés a WP-login.php fájl
Általános szabály, hogy az első alá a csapást bemeneti fájl a közigazgatási
WP-login.php panel. A legegyszerűbb módszer védelem elrejteni a fájlt
(Átnevezése vagy elérhetővé teszi tetszőleges port). de néha
ilyen módszereket, hogy a sok kellemetlenséget, például a blogok nagy
azt jelenti, PHP, web szerver konfigurációk nem nyúl, hogy megadja
A módszer igen sokoldalúan.
Preauth.php létre egy fájlt a következő kóddal:
header ( 'WWW-Authenticate: Basic realm = "Administration terület"');
header ( 'HTTP / 1.1 401 Jogosulatlan');
if ($ _SESSION [ 'előre'] = 1!) echo 'előhitelesítés szükséges!';
if (! isset ($ _ SERVER [ 'PHP_AUTH_USER']) vagy! isset ($ _ SERVER [ 'PHP_AUTH_PW']))
> Else if ($ _ SERVER [ 'PHP_AUTH_USER'] == $ u és md5 ($ _ SERVER [ 'PHP_AUTH_PW']) == $ p)
Ahol a $ p - előre generált md5-kivonatot a jelszó, $ u - felhasználónév (nem
állítsa be ugyanazt a felhasználónevet és jelszót, amit használ a belépéshez keresztül
Mi módosítsa a wp-login.php fájlt, hogy ezt a kódot a fájl elején, miután "
által kért bejelentkezési név és jelszó a preauth.php fájlt, ha megfelelő
kétszeresen nehezebb jelszó találgatás a támadó, hanem biztosítja
meglepetés botoktól, amelyek nem valószínű, hogy várnak választ a szabványos
motor lapon. Érdemes megjegyezni, hogy a wp-login.php fájl felülíródik
amikor frissíti a CMS, ezért szükséges, hogy regisztráljon egy vonal
A műveletsort hatásainak kezelésére
Ha már repedt, a legnagyobb gond nélküli „kezelés” hatása
hackelés és módosítása a weboldal vagy blog, valamint adatbázisokat - ez
mentés. Ha te magad nem teszed hát, vegye fel a kapcsolatot
De helyreállítása a backup nem elég, ha feltört a helyén, akkor megy vissza többet.
A legegyszerűbb módja, hogy a fájl dátuma változásokat;
- Próbálja azonnal meghatározza, hogy mely fájlokat cserélni,
ez lehet mind az index.php és template fájlok, képek, stb
időnyilvántartásában a napló fájl változások és össze lehessen hasonlítani
következtetés
Biztosítása a weboldal vagy blog - nem csak a fejlesztő,
de a miénk adatközpont UNIT-IS, mint amennyi a maximális
A szerver biztonságát, hanem a tulajdonos a helyszínen. Rendelési tárhely a WordPress
A UNIT-IS adatközpont, akkor biztos a minőség és a megbízhatóság
szerverek! A rendszergazdák mindig készen áll, hogy segítsen abban az esetben
bármilyen kérdése van.
Végül adunk néhány tanácsot triviális webmaster:
- hová tárolja a felhasználói hozzáférést az adatokhoz;
- Használjunk hosszú jelszavakat összetett és nem szabványos bejelentkezések, rendszeresen elvégezzük a műszak;
- Tartsa Worpress mag és plug-inek a kiadás a frissítés;
- kiválasztásánál dugó ellenőrzést a forrás megbízhatóságát, és a jelenléte lezáratlan réseket;
- vigyázz a jogot, hogy a script fájlok és a konfigurációs fájlok különösen kritikus;
- időszakosan, beleértve a külső szolgáltatásokat, ellenőrizze a rendelkezésre álló konkrét részeit a helyszínen;
- Helyi másolatot tart a mentés és helyszíni tárol.