Wyobraź sobie przez chwilę, że jesteś hakerem, który szuka sposobów na zhakowanie witryn o dobrej reputacji, aby wykorzystać je do przekierowania legalnego ruchu do oszustwa ” phishing „Szkodliwy.
Jak kierować reklamy na witryny, aby uzyskać maksymalny efekt? Jedną z opcji byłoby zlokalizowanie i wybranie pojedynczej luki, która dotyczy setek lub tysięcy witryn. Jeśli coś takiego można znaleźć i wykorzystać, możesz stworzyć bardzo krótkotrwałą cyfrową rzeź.
Zaczynasz dostrzegać, dlaczego wzmacniasz swoje strona internetowa czy to ma znaczenie?
Będąc najpopularniejszym systemem zarządzania treścią w Internecie, WordPress jest głównym celem hakerów. Ale można coś z tym zrobić.
Dlaczego złe „hacki” zdarzają się w dobrych witrynach internetowych?
Na szczęście podstawowa wersja WordPress jest dość bezpieczna. Hakowanie rzadko jest możliwe, jeśli chodzi o złamanie luki w podstawowej wersji WordPress. Po wykryciu exploitów w jądrze są one szybko korygowane.
Zamiast atakować jądro (co jest twardym orzechem do złamania), hakerzy zazwyczaj atakują takie rzeczy, jak niezręcznie wybrane hasła, źle zakodowane wtyczki, luźne uprawnienia do plików i strony, które nie są egzekwowane. na bieżąco z wieloma lukami w zabezpieczeniach.
Ponieważ piraci mają tendencję do atakowania „dojrzałych owoców”, powrót nie jest taki skomplikowany Twój blog bardziej wytrzymały, aby zapewnić bezpieczeństwo. W tym samouczku przedstawimy Ci 5 metod, które możesz zastosować Twój blog aby był bardziej wytrzymały.
Krok pierwszy: zaktualizuj wszystko
Za każdym razem po jakimś czasie pojawia się aktualizacja WordPress, której towarzyszy ponure ostrzeżenie: „ To jest krytyczne wydanie bezpieczeństwa Chociaż takie zastrzeżenie jest bardzo jasne, ważne jest, aby zainstalować każdą aktualizację WordPress tak szybko, jak to możliwe (nawet ci, którzy nie chwalą ich znaczenia).
Dotyczy to nie tylko rdzenia. Szybkie instalowanie aktualizacji wtyczek i motywów jest tak samo ważne, jak jak najszybsze instalowanie podstawowych aktualizacji.
Oferowanych jest wiele aktualizacji motywów WordPress, wtyczek i rdzenia w celu usunięcia istotnych luk w zabezpieczeniach. Więc pierwszą rzeczą, którą musisz zrobić, aby zachować blog WordPress w bezpiecznym miejscu jest aktualizowanie wszystkiego.
Krok 2: użyj unikalnej nazwy użytkownika i bezpiecznego hasła
Co jest gorsze niż używanie nazwy użytkownika „ Admin "? Cóż, na pewno należy użyć hasła ” hasło ".
Strona logowania do WordPress jest częstym celem ataków siłowych. Roboty te podejmą kilka prób logowania, testując wiele nazw użytkowników i haseł.
Rozwiązaniem jest użycie bezpiecznej nazwy użytkownika i hasła. Nie zawsze musisz używać hasła, które nie ma sensu, ale uczyni to jeszcze trudniejszym do odgadnięcia. Dotyczy to również Twojej nazwy użytkownika.
Biorąc pod uwagę, że WordPress ma wbudowany bezpieczny generator haseł, naprawdę nie ma wymówki dla tych, którzy używają słabego hasła. Jeśli więc Twoje hasło nie jest bezpieczne, przejdź do swojego profilu i zmień go.
Krok 3: Wyłącz Trackbacki i Pingbacki
Jeśli nie używasz trackbacków i pingbacków w swojej witrynie WordPress, wyłącz je. Przejdź do pulpitu nawigacyjnego, a następnie do ustawień czatu i odznacz pole Spróbuj powiadomić strony, do których prowadzą linki, na podstawie treści artykułów », I« Zezwalaj na linki powiadomień z innych blogów… ”.
Zmiana tych ustawień nadal umożliwi włączenie tych funkcji dla poszczególnych postów i stron. Dlatego najlepszą opcją jest użycie wtyczki, która raz na zawsze całkowicie zablokuje pingbacki i trackbacki.
Istnieją co najmniej dwa dobre powody, dla których warto rozważyć wyłączenie trackbacków i pingbacków: mogą one prowadzić legalny spam i mogą być używane w skoordynowanym DDoS lub ataku typu brute force. Jeśli ich używasz, poświęć trochę czasu na ochronę swojej witryny przed niechcianymi trackbackami i atakami siłowymi.
Przeczytaj nasz samouczek Jak wyłączyć Trackbacks i pingi na WordPress.
Krok 4: Ukryj błędy PHP
PHP ma wbudowane możliwości debugowania i możesz wyświetlać komunikaty o błędach generowane przez PHP na interfejsie użytkownika witryny, dodając „ define ('WP_DEBUG', prawda); W pliku wp-config.php. Jest to bardzo przydatne narzędzie dla twórców motywów i wtyczek. Jednak nigdy nie powinieneś wyświetlać błędów PHP na stronie produkcyjnej.
W niektórych przypadkach przeglądanie błędów PHP może dostarczyć informacji, które wyrafinowany haker może wykorzystać do włamania się na Twoją witrynę. Prostym rozwiązaniem jest wyłączenie trybu debugowania przez ustawienie „ fałszywy " dla " WP_DEBUG ”. Możesz dodać ten kod do pliku „ wp-config.php Twojej witryny.
Zalecany samouczek: Jakie zmiany w wp-config.php aby zabezpieczyć swój blog WordPress
Krok 5: użyj prefiksu pojedynczej tabeli
Jeśli osoba atakująca zidentyfikuje lukę w zabezpieczeniach, która umożliwia jej uzyskanie dostępu do bazy danych, ostatnią potrzebną mu informacją jest pobranie prefiksu tabeli. Domyślnie WordPress używa przedrostka „wp_” dla wszystkich tabel w bazie danych. Aby więc było im jeszcze trudniej, musisz wybrać przedrostek, który nie jest trudny do odgadnięcia.
Chociaż możesz ręcznie zmienić prefiks bazy danych, jest to nieco skomplikowane, a jeśli się mylisz, będziesz mieć dużo pracy do przywrócenia. Zamiast tego po prostu zmień prefiks bazy danych za pomocą wtyczki w kilka sekund.
To wszystko w tym samouczku. Mam nadzieję, że pozwoli Ci to zrobić blog WordPress jeszcze bardziej wytrzymały. Zachęcamy do udostępnienia tego samouczka znajomym w ulubionych sieciach społecznościowych.
