WordPress- ի անվտանգության խորհուրդներ շերտի համար. Ապահովեք ձեր WordPress- ի մուտքը և անվտանգության այլ պրակտիկա

Քանի որ այն առաջին անգամ ներդրվել է ավելի քան երկու տասնամյակ առաջ, WordPress- ը աճել է (և աճել) այժմ ապահով կերպով կոչվել է աշխարհում ամենատարածված բովանդակության կառավարման համակարգ: Այսօր գոյություն ունեցող կայքերի ավելի քան քառորդ մասը գործում է WordPress- ում.


Այդ ժամանակվանից ի վեր, որքան շատ ավելի հայտնի է մարդը, այնքան ավելի շատ մարդիկ են ուզում դրա վրա ազդել անպիտան միջոցներով: Պարզապես նայեք Microsoft Windows- ին և չարամիտ վիրուսների, վիրուսների և այլ շահագործումների զանգվածային թվին, որոնք նախատեսված են հենց այս մեկ հատուկ գործավար համակարգի վրա.

WordPress- ի 10 տարբերակները առավելագույն խոցելիություններով (աղբյուր): 2017 թվականին կատարված հետազոտությունները հայտնաբերել են WordPress- ի 74 տարբեր տարբերակներ Alexa Top 1 միլիոն կայքերում; Այս վարկածներից 11-ը անվավեր է. Օրինակ ՝ 6.6.6 տարբերակը (աղբյուր).

Ինչու է ձեր WordPress բլոգը արժեքավոր թիրախ?

Եթե ​​դուք մտածում եք, թե ինչու երկրի վրա հակեր ցանկանա ղեկավարել ձեր WordPress բլոգը, կան մի քանի պատճառներ, ներառյալ.

  • Օգտագործելով այն ՝ գաղտնի էլեկտրոնային փոստեր ուղարկելու համար
  • Գողացեք ձեր տվյալները, ինչպիսիք են փոստային ցուցակի կամ վարկային քարտի տեղեկությունները
  • Ձեր կայքը ավելացնելով botnet- ում, որը նրանք կարող են օգտագործել ավելի ուշ

Բարեբախտաբար, WordPress- ը մի հարթակ է, որն առաջարկում է ձեզ պաշտպանվելու բազմաթիվ հնարավորություններ: Ինքս օգնել եմ մի քանի կայքեր և բլոգեր տեղադրելու և ղեկավարելու հարցում, ես կցանկանայի ձեզ հետ կիսել մի քանի հիմնական տարրեր, որոնք կարող եք անել ՝ ձեր WordPress կայքի անվտանգությունն ապահովելու համար.

Ահա 10 գործուն անվտանգության խորհուրդներ, որոնցից կարող եք օգտվել.

Ապահովեք ձեր WordPress- ի մուտքի էջը

Ձեր մուտքի էջի պաշտպանությունը հնարավոր չէ իրականացնել որևէ մեկ հատուկ տեխնիկայով, բայց, անշուշտ, կան քայլեր և անվտանգության անվճար հավելվածներ, որոնք կարող եք ձեռնարկել ՝ ցանկացած հարձակում կատարելու համար, որը շատ ավելի քիչ հավանական է, որ հաջողվի:.

Ձեր կայքի մուտքի էջը, անշուշտ, ձեր կայքի առավել խոցելի էջերից մեկն է, այնպես որ եկեք սկսենք ձեր WordPress կայքի մուտքի էջը մի փոքր ավելի անվտանգ դարձնել:.

1. Ընտրեք լավ ադմինիստրատորի անուն

Օգտագործեք անսովոր անուններ: Նախկինում WordPress- ի հետ դուք ստիպված եղաք սկսել սկզբնական ադմինիստրատորի անունից, բայց դա այլևս այդպես չէ: Դեռևս, նոր վեբ-կառավարիչների մեծամասնությունը օգտագործում է լռելյայն օգտանունը և պետք է փոխեն իրենց անունը: Դուք կարող եք օգտագործել Admin Renamer Extended- ը `ձեր admin օգտագործողի անունը փոխելու համար.

Կտրուկ ստիպողաբար մուտքի էջերը վեբ հարձակումների սովորական ձևերից մեկն է, որին, ամենայն հավանականությամբ, կկանգնի ձեր կայքը: Եթե ​​ունեք հեշտ կռահելու գաղտնաբառ կամ օգտանուն, ձեր կայքը, անշուշտ, կլինի ոչ միայն թիրախ, այլ ի վերջո զոհ: Փորձից կայքէջի հաքերի փորձերից շատերը փորձում են մուտք գործել օգտանունների երեք հիմնական տարբերակ: Առաջին երկուսը միշտ «ադմինիստրատոր» կամ «ադմինիստրատոր» են, մինչդեռ երրորդը սովորաբար հիմնվում է ձեր տիրույթի անվան վրա.

Օրինակ, եթե ձեր կայքը crazymonkey33.com է, ապա հակերը կարող է փորձել մուտք գործել «crazymonkey33»:.

Լավ գաղափար չէ.

2. Համոզվեք, որ օգտագործեք ուժեղ գաղտնաբառ

Մինչ այժմ կարծում եք, որ մարդիկ կիմանային ուժեղ և բարդ գաղտնաբառեր օգտագործել իրենց հաշիվը պաշտպանելու համար, բայց դեռ շատ կան, ովքեր կարծում են, որ «գաղտնաբառ» -ը հիանալի է.

Splash Data- ը կազմել է 2018 թ.-ին հաճախակի օգտագործվող գաղտնաբառերի ցուցակը: Գաղտնաբառ ՝ ըստ օգտագործման աստիճանի.

  1. 123456
  2. գաղտնաբառ
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. արևի արև
  9. qwerty
  10. Ես քեզ սիրում եմ

Եթե ​​օգտագործում եք այդ գաղտնաբառերից մեկը, և ձեր վեբ կայքն ընդհանրապես ստանում է ցանկացած տրաֆիկ, ձեր կայքը համարյա թե շուտ հանվում է վաղ թե ուշ:.

Ուժեղ գաղտնաբառն իր մեջ ներառում է.

  • Վերին և ստորին կապիտալիզացված նիշեր
  • Եղեք այբբենական (A-Z և a-z)
  • Ներառեք հատուկ նիշ (!, @, #, $ Եւ այլն)
  • Առնվազն 8 նիշ

Որքան պատահական է ձեր գաղտնաբառը, այնքան ավելի անվտանգ կլինի: Փորձեք գաղտնաբառի այս պատահական գեներատորին, եթե որևէ մեկի հետ խնդիր ունենալու խնդիր ունեք: https://passwordsgenerator.net/

3. Իրականացնել reCaptcha

Պատի բոտերը դուրս են գալիս ձեր WP բլոգից.

reCaptcha- ն նախատեսված էր ավտոմատացված գործիքների վրա կայքում աշխատելու դադարեցման համար: Իհարկե, հաշվի առնելով հակերության գործիքների բարդությունը, այսօր դրանք կարող են հեշտությամբ շրջանցվել, բայց գոնե այնտեղ կա անվտանգության այդ ավելացված շերտը.

Կան մի շարք reCaptcha plugins, որոնք կարող եք օգտագործել ձեր տեղադրմամբ, որոնք բավականին լավ կաշխատեն տուփից.

4. Օգտագործեք երկկողմանի վավերացում (2FA)

2FA- ը նույնականացման մեթոդ է, որը պահանջում է ստուգում ձեր մուտքի վրա: Օրինակ ՝ ձեր օգտվողի անունով և գաղտնաբառով մուտք գործելուց հետո համակարգը կարող է SMS ուղարկել ձեր բջջային հեռախոսին կամ էլ.փոստով ուղարկել ձեզ այն գաղտնաբառով, որը դուք պետք է մուտքագրեք ձեր ինքնությունը հաստատելու համար:.

Նույնականացման այս եղանակը առաջարկում է լավ պաշտպանություն և այսօր օգտագործվում է բազմաթիվ բանկերի և ֆինանսական հաստատությունների կողմից: Կրկին, այս կարիքը հեշտությամբ կարող է բավարարվել 2FA հավելվածով.

Տեսեք, թե ինչպես է miniOrange (2FA հավելվածը) աշխատում WordPress- ի մուտքի հետ հետևյալ տեսանյութում.

Տ

5. Վերանվանեք ձեր մուտքի URL- ը

Հակերների մեծ մասը կփորձեն մուտք գործել լռելյայն WordPress մուտքի էջում, որը սովորաբար նման է

sample.com/wp-admin.

Պաշտպանության ևս մեկ շերտ ավելացնելու համար մուտքի էջի URL- ն արագ և հեշտությամբ փոխեք WPS- ի թաքցնել մուտքը.

6. Սահմանափակել մուտքի փորձերի քանակը

Սա անհավատալիորեն պարզ տեխնիկա է `ձեր մուտքի էջում դաժան ուժային գրոհները դադարեցնելու համար: Դաժան ուժային գրոհը գործում է ՝ փորձելով ձեր անունն ու գաղտնաբառը ճիշտ ստանալ ՝ փորձելով բազմակի համադրություններ կրկին ու կրկին.

Եթե ​​դիտարկվում է հարձակումը կատարող հատուկ IP- ն, ապա կարող եք արգելափակել կրկնվող դաժանորեն հարկադրելու փորձերը և պահպանել ձեր կայքը անվտանգ: Սա է նաև պատճառը, որ գլոբալ DDOS գրոհները տեղի են ունենում հարձակման տարբեր ծագմամբ բազմակի IP հասցեներով ՝ նետելու հոստինգի ծառայություններ և կայքի անվտանգություն:.

Մուտք LockDown- ը և Log Security- ի լուծումը երկուսն էլ առաջարկում են հիանալի լուծումներ `ձեր կայքի մուտքի էջերը պաշտպանելու համար: Նրանք հետևում են IP հասցեներ և սահմանափակում են մուտք գործելու փորձերի քանակը ՝ ձեր կայքը պաշտպանելու համար.

Հարդեն կայքի անվտանգության պատ

Քննարկել ենք ձեր WordPress մուտքի էջի ապահովման տարբեր մարտավարություններ. Վերը նշված քայլերը այն հիմունքներն են, որոնք կարող եք անել: Դուք նաև պետք է տեղյակ լինեք, որ որոշ վեբ-հաղորդավարներ իրենց անվտանգության ապահովման այս պրակտիկայից որոշներին հանձնարարում են իրենց օգտագործողներին: Կան մի շարք այլ անվտանգության պրակտիկա, որոնք կարող եք իրականացնել ձեր կայքերում.

7. Պաշտպանեք ձեր wp-admin գրացուցակը

Ձեր հոստի գրացուցակում ավելացրեք անվտանգության լրացուցիչ շերտ.

Wp-admin գրացուցակը ձեր WordPress տեղադրման սիրտն է: Որպես լրացուցիչ երաշխիք, գաղտնաբառը պաշտպանում է այս գրացուցակը.

Դա անելու համար հարկավոր է մուտք գործել ձեր հոստինգ հաշվի կառավարման վահանակ: Անկախ նրանից, թե դուք օգտագործում եք cPanel- ը կամ Plesk- ը, ձեր նախընտրած տարբերակն է ՝ «գաղտնաբառով պաշտպանվող տեղեկագրքեր».

Այլընտրանքով ՝ դուք կարող եք գաղտնաբառով պաշտպանել գրացուցակը ՝ կսմթելով ձեր .htaccess և .htpasswds ֆայլերը: Դեպի քայլ առ քայլ ուղեցույցը և կոդերի գեներատորը հասանելի են անվճար Dynamic Drive- ում.

Ուշադրություն դարձրեք, որ ձեր wp-admin թղթապանակը պաշտպանող գաղտնաբառը կկոտրի հանրային AJAX- ը WordPress- ի համար. Ձեզ հարկավոր է թույլատրել թույլտվություններ վարել ajax- ի միջոցով .htaccess- ով `կայքի սխալներից խուսափելու համար:.

8. Տվյալները գաղտնագրելու համար օգտագործեք SSL

HTTP vs HTTPS միացում (Աղբյուր ՝ Sucuri)

Կայքից բացի, դուք նաև կցանկանաք պաշտպանել կապը ձեր և սերվերի միջև, և սա այն դեպքում, երբ SSL- ն է մտնում ձեր հաղորդակցությունները գաղտնագրելու համար: Գաղտնագրված կապ ունենալով ՝ հակերները չեն կարողանա ներխուժել տվյալներ (օրինակ ՝ ձեր գաղտնաբառ), երբ շփվում եք ձեր սերվերի հետ.

Բացի դրանից, այժմ լավ է նաև SSL- ի ներդրումը, քանի որ որոնիչները ավելի ու ավելի են պատժում այն ​​կայքերին, որոնք իրենց համարում են «ոչ անվտանգ».

Անհատական ​​բլոգերների և փոքր բիզնեսի համար անվճար, ընդհանուր SSL- ը, որը սովորաբար կարող եք ձեռք բերել ձեր հոստինգի մատակարարից ՝ «Եկեք կոդավորենք» կամ «CloudFlare» – ը, սովորաբար ավելին է, քան բավարար: Հաճախորդների վճարումը վերամշակող բիզնեսի համար ամենալավն է, որ դուք ձեռք բերեք SSL նվիրված վկայագիր ձեր վեբ հոստի կամ սերտիֆիկատի մարմնից (CA).

Իմացեք ավելին SSL- ի մասին SSL- ի մեր A-Z ուղեցույցում.

9. Օգտագործեք բովանդակության բաշխման ցանց (CDN)

Չնայած դա կարող է ձեր կայքը չփրկել հակերությունից, այն կօգնի մեղմել դրա դեմ չարամիտ հարձակումները: Որոշ հակերներ նպատակ ունեն իջեցնել վեբ կայքեր ՝ դրանք հասանելի դարձնելով հանրությանը: CDN- ն կօգնի բաշխել ձեր կայքի վրա Ծառայությունների բաշխված ժխտման հարձակման հարվածը.

Դրանից բացի, այն նաև օգնում է ձեր կայքի մի փոքր արագացմանը `ինչ-որ բովանդակություն պահելով: Այս տարբերակը ուսումնասիրելու համար, օրինակ, նայեք CloudFlare- ին: CloudFlare- ն առաջարկում է CDN ծառայություններ բազմաշերտ գնագոյացման մակարդակներով, այնպես որ կարող եք նույնիսկ օգտագործել հիմնական հնարավորությունները անվճար: https://www.cloudflare.com

10. Համոզվեք, որ ձեր բոլոր ծրագրաշարը թարմացված է

Անկախ նրանից, թե որքան լավ կամ թանկ է ծրագրակազմը, դրանց մեջ միշտ կգտնվեն նոր թույլ կողմեր, որոնք կարող են դրանք բաց թողնել շահագործման համար: WordPress- ը բացառություն չէ, և թիմը անընդհատ թողարկում է նոր տարբերակները շտկումներ և թարմացումներով.

Հաքերները գրեթե միշտ ձգտում են օգտվել թուլությունից, իսկ չօգտագործված մնացած շահագործումը պարզապես անհանգստություն է խնդրում: Սա կրկնակի ավելին է գնում այն ​​plugin- ների համար, որոնք հաճախ ստեղծվում են շատ ավելի փոքր ընկերությունների կողմից, որոնք ունեն ավելի քիչ ռեսուրսներ.

Եթե ​​օգտագործում եք plugins, համոզվեք, որ թարմացումները պարբերաբար թողարկվում են, կամ մտածեք, որ նմանատիպ ֆունկցիոնալությամբ հանրաճանաչ հավելվածներ գտնելը, որը թարմացվում է.

Այս մասին ասելով, ես ՉԿԱ խորհուրդ եմ տալիս օգտագործել WordPress- ի և Plugin- ի ավտոմատ թարմացումներ, մանավանդ որ դուք ապրում եք կայք: Որոշ թարմացումներ կարող են խնդիրներ առաջացնել ՝ ներքին կամ ներքին կոնֆլիկտի միջոցով այլ plugin- ի և կարգավորումների հետ.

Իդեալում, ստեղծեք թեստային միջավայր, որը հայելային ձեր կենդանի կայքն է և փորձարկեք այնտեղ թարմացումները: Եթե ​​համոզվեք, որ ամեն ինչ լավ է աշխատում, ապա կարող եք թարմացումը կիրառել կենդանի կայքում.

Plesk- ի նման կառավարման վահանակները հնարավորություն են տալիս այս նպատակով կայքի կլոն ստեղծել.

11. Կրկնօրինակեք, կրկնօրնկ և կրկնօրինակում!

Անկախ նրանից, թե ինչ անվտանգության միջոցառումներ են կամ որքան զգուշավոր եք, դժբախտ պատահարներ են պատահում: Փրկեք ինքներդ ձեզ ջախջախիչ սրտից և հարյուր ժամվա աշխատանքից `պարզապես համոզվելով, որ ունեք համապատասխան պահուստային ծառայություններ:.

Սովորաբար, ձեր վեբ հաղորդավարը գոնե մի քանի հիմնական պահուստային առանձնահատկություն կունենար, բայց եթե ինձ պանոիդ եք, միշտ համոզվեք, որ իրականացնում եք ձեր սեփական անկախ պահուստները: Կրկնօրինակումը ոչ այնքան պարզ է, որքան պարզապես որոշ ֆայլեր պատճենելը, այլ նաև հաշվի առնելով ձեր տվյալների բազայում առկա տեղեկությունները.

Փնտրեք պահեստային լուծում, որը փորձված է և ապացուցված: Անգամ փոքր ներդրումը արժե այն փրկել արտակարգ իրավիճակների դեպքում արցունքների վրա: BackupBuddy- ի նման մի բան կարող է օգնել ձեզ միանգամից պահպանել ամեն ինչ, ներառյալ ձեր տվյալների բազան.

12. Ձեր վեբ հոստը հաշվում է!

Չնայած ավանդաբար, վեբ հոստինգի ընկերությունները պարզապես մեզ համար տեղ էին առաջարկում մեր կայքերը հյուրընկալելու համար, ժամանակները փոխվել են: Վեբ հոստինգի պրովայդերները, գիտակցելով անվտանգության բարձրացման անհապաղ անհրաժեշտությունը, մեծացել են, շատերն առաջարկում են հավելյալ արժեքի ծառայություններ `իրենց վեբ հոստինգը լրացնելու համար:.

Օրինակ վերցրեք HostGator- ը ՝ խաղի ավելի հաստատված անուններից մեկը: Բացի Cloudflare- ի հիմնական առանձնահատկություններից, HostGator- ը ($ 10 + / ամսվա գնով) նաև գալիս է Spam Free Protection- ի, ավտոմատ չարամիտ հեռացման, ավտոմատացված կրկնօրինակումների, տիրույթի գաղտնիության և այլնի հետ:.

Կառավարվող WordPress հոստինգի մատակարար, Kinsta, կառուցել ապարատային պատուհաններ և ակտիվորեն վերահսկել դրանց սերվերները չարամիտ և DDoS հարձակումների համար `իր պատվերով կառուցված համակարգով.

Եթե ​​դա ձեզ համար դեռևս պատահած մի բան չէ, ես խստորեն խրախուսում եմ ձեզ դիտարկել, թե ձեր հյուրընկալողը ինչպիսի անվտանգության առանձնահատկություններ է ապահովում և համեմատում այն ​​ներկայիս մատչելիության հետ.

Համապարփակ ցուցակի համար կարող եք ստուգել WHSR- ի հավաքածուն լավագույն վեբ հոստերների այստեղ.

Հիմա ինչ?

Նախքան վայրենի վարվելը և սկսեք խորտակել համացանցը խուճապի մեջ ՝ փնտրելով միլիոն և մեկ անվտանգության լուծումներ. Խորը շունչ քաշեք: Ինչպես մնացած ամեն ինչ, ինչ-որ մեկը կօգնի ձեզ արդեն խուճապի մատնել և լուծում է փնտրել.

Նույնիսկ եթե հնարավորինս շատ անվտանգության լուծումներ եք իրականացնում, վստահ եք, որ ապահով եք?

Ահա, որտեղ է մտնում Security Ninja- ի նման մի բան, որն օգնում է զննել ձեր կայքը թույլ կողմերի համար.

Արագ ցուցադրում. Ինչպե՞ս է աշխատում Ninja Security- ը.

Անվտանգության Ninja նման մի բան օգտագործելու մի քանի հիմնավոր պատճառներ կան, բայց թույլ տվեք ասել, որ դա գործիք է, որը ես խորհուրդ կտայի օգտագործել ձեր ճանապարհորդության մի քանի փուլերում `ձեր կայքը ապահովելու համար.

Նախ, որևէ փոփոխություն կատարելուց առաջ այն գործարկեք ձեր կայքում, ինչպես կա: Թող որ plugin- ը շոշափի և արդյունքի տա քո կայքը ՝ նախքան արդյունքները տալը.

Այնուհետև այդ արդյունքների հիման վրա աշխատեք ձեր կայքի ապահովման ուղղությամբ: Security Ninja- ն իրականացնում է ավելի քան 50 թեստ `ձեր պաշտպանական միջոցները հետազոտելու համար: Նույնիսկ ձեր փոփոխությունները կատարելուց հետո այն կրկին գործարկեք (և ամեն անգամ կայքի փոփոխություններ կամ plugin- ի թարմացումներ կլինեն) պարզապես ձեր կայքը ստուգելու համար.

Եթե ​​սա ձեզ համար մի փոքր չափազանց մեծ աշխատանք է թվում, Security Ninja- ն ունի նաև մի շարք լրացուցիչ մոդուլներ (Pro տարբերակ, մեկ կայք $ 29), որոնք կարող են օգնել ձեզ շտկել գտնած խնդիրները:.

Այս մոդուլների մի քանի այլ հիմնական առանձնահատկություններ ներառում են.

  • Սկանացրեք WP հիմնական ֆայլերը ՝ խնդրահարույց ֆայլերը հայտնաբերելու համար
  • Վերականգնեք փոփոխված ֆայլերը մեկ կտտոցով
  • Fixնջեք կոտրված WP ավտոմատ թարմացումները
  • Արգելեք 600 միլիոն վատ IP- ներ հավաքված միլիոնավոր հարձակման վայրերից
  • Թվարկեք ավտոմատ թարմացումները, որևէ տեխնիկական սպասարկման կամ ձեռքով աշխատանքների անհրաժեշտություն չկա
  • Պաշտպանեք մուտքի ձևը կոպիտ ուժային հարձակումներից

Վերջնական մտքեր

Չնայած այս ամենը WordPress- ի միջին օգտագործողի համար մի փոքր ավելորդ կարող է թվալ, ես ձեզ հավաստիացնում եմ, որ այդ բոլորը (և ավելին) անհրաժեշտ են: Անտեսելով համաշխարհային հաքերային վիճակագրությունը և ինչ-որ ժամանակ չթողնել, թույլ տվեք ձեզ հետ կիսել որոշ անձնական տվյալներ ամենահիասքանչ կայքերից մեկի վերաբերյալ, որի միջոցով ես օգնում եմ կառավարել.

Սկզբնապես սկսվելով որպես պարզ կենսագրության կայք ՝ ստեղծեցի www.timothyshim.com: Ակնհայտ է, որ այն պարզապես մի բան էր, որը ես սարքել եմ, և ժամանակի մեծ մասը թողնում եմ միայնակ, պարզապես որպես հղման կետ: Յուրաքանչյուր ամիս տևող ժամանակահատվածում այս կայքը, որն ըստ էության ոչինչ չի ձեռնարկում և տվյալներ չի հավաքում, բախվում է ավելի քան 30 հարձակման. Կոպիտ ուժի և բարդությունների համադրություն.

Անհրաժեշտ է նրանցից մեկին հաջողության հասնել, և ես շատ վատ օր կլինեմ.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map