De website beveiliging is een van de belangrijkste aspecten die Webmaster moet overwegen.
De webserver die we gebruiken voor onze website onder WordPress, kan ook kwetsbaarheden hebben, daarom moeten we ervoor zorgen dat deze geen beveiligingsproblemen heeft of acties ondernemen om de beveiliging te verbeteren. In andere tutorials zijn acties en tools gespecificeerd om de beveiliging te versterken, bijvoorbeeld door het toepassen van:
1. Beveiligingsmaatregelen voor VPS-servers
2. Services op Linux-servers detecteren en beheren?
Een heel belangrijk aspect om rekening mee te houden is: vermijd het gebruik van een gedeelde server, zijn die servers die andere websites hosten, naast onze website en een website op dezelfde server die kwetsbaar is, kan het alle andere websites compromitteren omdat de bestanden zich in dezelfde ruimte bevinden en zo een aanval of een infectie door een virus verspreiden.
De websites ontwikkeld onder WordPress zijn gevoelig tegen de meeste aanvallen omdat 30% van de websites onder dit platform is ontwikkeld.
Daarom is het belangrijk om maatregelen te nemen om onze website en onze gegevens te beschermen tegen mogelijke aanvallers en het risico dat we hebben te minimaliseren kwetsbaarheden.
Strategieën die we kunnen implementeren
Wijzig het pad naar de map wp-content
Wijzig het standaardpad naar de map WordPress wp-content, de map waar de meeste bestanden en plug-ins, thema's die deel uitmaken van onze website zich bevinden. De exploits en malware zullen naar deze map zoeken om kwetsbaarheden te scannen en te vinden. Als we de route wijzigen, maken we het volgen moeilijker.
Om de route te wijzigen moeten we: bewerk het wp-config.php bestand en wijzig de constante wp_content_dir:
definiëren ('WP_CONTENT_DIR', dirname (__ FILE__). '/ pad / wp-content');Daarmee zou hij veranderd zijn.
Installeer alleen veilige plug-ins
De plug-ins kunnen worden verwijderd uit de officiële WordPress.org-repository, als ze niet regelmatig worden bijgewerkt, waardoor de gemeenschap kan worden verzekerd dat de plug-ins een bepaalde beveiliging hebben en ons ook laat zien welke plug-ins meer worden geaccepteerd door gebruikers. Het feit dat ze niet kwaadaardig zijn, betekent niet dat ze correct werken of geen kwetsbaarheden hebben.
We moeten opletten wanneer een plug-in al jaren niet is bijgewerkt, er wordt gemeld dat deze bugs bevat. De gebruikersgemeenschap heeft ontdekt dat het een beveiligingsprobleem bevat.
Gebruik maken van WPHardening om beveiligde installaties te automatiseren
WPHardening is een tool om verschillende veiligheidscontroles te automatiseren en uit te voeren zodat onze Wordpress website veilig is geconfigureerd.
Dit project is gemaakt onder Python en maakt het mogelijk om verschillende aspecten van een ontwikkelaarswebsite onder Wordpress te controleren op kwetsbaarheden.
Een van de belangrijkste voordelen van deze tool is de automatisering van taken en beveiligingsinstellingen zijn belangrijk om te voorkomen dat informatie wordt blootgesteld aan potentiële aanvallers. Er zijn veel tools die speciaal zijn gemaakt voor het verkrijgen en verzamelen van allerlei informatie die verband houdt met een WordPress-installatie. Veel van Aanvallen op WordPress-systemen beginnen meestal met informatie vooraf op basis van scans en het verzamelen van informatie.
WpVerharding Het kan worden gedownload naar onze server of lokale computer vanaf de officiële pagina of vanaf de terminal met de opdracht met behulp van de opdracht:
git clone https://github.com/elcodigok/wphardening.gitWe kunnen het ook downloaden van de projectpagina op GitHub:
Nadat het bestand is geïnstalleerd of uitgepakt, hebben we toegang tot de map wphardening.
Om deze tool te gebruiken, moeten we de route kennen naar het web dat we willen inspecteren en dit web sinds het is ontwikkeld met Wordpress.
Vervolgens moeten we wphardening bijwerken om er zeker van te zijn dat we de nieuwste repositories en de meest recente verbeteringen hebben die zijn opgenomen, voor hen voeren we vanuit een terminalvenster de volgende opdracht uit:
python wphardening.py --updateDan kunnen we wphardening gaan gebruiken en de veiligheid van een onder wordpress ontwikkelde website controleren met het volgende commando:
python wphardening.py -d / home / mijngebruiker / mijnweb -vOnthoud dat het alleen lokaal wordt gebruikt, dat wil zeggen op een lokale of externe server vanaf de opdrachtregel en om websites ontwikkeld in wordpress.
Ik zal voor deze tutorial bijvoorbeeld een demo-website gebruiken die is gemaakt in Wordpress op een lokale server met Xampp:
Vaak hebben we problemen met bestands- en maprechten die onze website blootstellen aan aanvallen of indringers, om dit probleem op te lossen gebruiken we de volgende opdracht:
python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -chmod -vHiermee worden automatisch de aanbevolen machtigingen voor extra beveiliging ingesteld.
Een andere zeer interessante optie van deze tool is de mogelijkheid om: download en installeer plug-ins en beveiligingstools op een geautomatiseerde manier aanbevolen en getest.
python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -plugins
Wanneer we de opdracht uitvoeren, zal het ons om toestemming vragen om elke beveiligingsplug-in te installeren, inclusief een antivirus, exploitscanner, databasemanager, beveiligings- en kwetsbaarheidsscanner, aan het einde zullen we de plug-ins kunnen zien die zijn geïnstalleerd in de plugin-map van onze Wordpress-website. Deze plug-ins gebruiken eigen online tools en databases om de bestanden en databases op onze WordPress-website te doorzoeken op rasto's of ze kunnen erop wijzen dat u het slachtoffer bent geworden van kwaadwillende hackers.
[bijlage = 12158: panta06.jpg.webp]dan van de WordPress-beheerderspaneel we kunnen beveiligingsplug-ins installeren en inschakelen.
Een andere interessante optie is de automatisch aanmaken van robots.txt-bestand die automatisch de toegang tot de belangrijkste mappen van de website ontzegt. We voegen ook de -o optie waarmee we een logbestand kunnen maken met het resultaat van de uitgevoerde taak.
python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -robots -o securitywp.log
Wanneer we het commando uitvoeren, zal het ons vragen om het pad van de website en dan kan het robots.txt-bestand worden aangemaakt.
Het verwijderen van de bestanden die niet worden gebruikt, is belangrijk omdat ze ruimte innemen en kwetsbaar kunnen zijn omdat ze meestal niet worden onderhouden of bijgewerkt, ook op een website met veel bestanden kunnen ze verwarring veroorzaken, daarom zullen we het parametercommando remove gebruiken om verwijder automatisch alle bestanden die niet door onze website worden gebruikt.
python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -remove -o securitywp.log
Aan het einde kunnen we het logboek zien dat we hebben gemaakt met een lijst met alle bestanden die zijn verwijderd.
De aanvallen op websites en servers worden veroorzaakt door beveiligingsproblemen als gevolg van kwetsbaarheden in uw software, hetzij als gevolg van programmeerfouten of verkeerd geconfigureerde software.
Door deze kwetsbaarheden kunnen aanvallers een groot aantal technieken gebruikenzoals het gebruik van een URL-parameter om een SQL-injectie uit te voeren, het toevoegen van code aan uw database via formulieren, waarmee gegevens kunnen worden gewijzigd of belangrijke gegevens kunnen worden verwijderd, zoals het verwijderen van alle berichten en pagina's of het uitschakelen van het web.
De websites die onder Wordpress zijn gemaakt en die aanvallen hebben ontvangen, zijn meestal te wijten aan kwetsbaarheden van een WordPress-plug-in. Hackers voegen vaak base-64-gecodeerde malware toe waarmee ze een PHP-functie op onze website kunnen uitvoeren. Ze kunnen ook ergens op uw website een achterdeur achterlaten. Dit is een techniek die ze gebruiken om in de toekomst toegang te krijgen tot uw website, zelfs dit type aanval infecteert meestal alle bestanden op internet.
Onthoud dat alle tools die we gebruiken bovendien niet de veiligheid van onze website garanderen we moeten beveiligingsbeleid implementeren Wat maak wekelijks of dagelijks incrementele back-ups van de database en alle bestanden.
Vond je deze Tutorial leuk en heb je eraan geholpen?Je kunt de auteur belonen door op deze knop te drukken om hem een positief punt te geven