כיצד להגן על פרופיל גבוה שלך WordPress אתר אינטרנט מפני התקפות
הצורך אבטחה וורדפרס גדל בקצב מואץ. דיווחים אומרים כי אתרי וורדפרס ניסיון 90, 978 פיגועים לדקה. מאז השקתו, וורדפרס תוקנו יותר מ -2, 450 פגיעויות. בנוסף לאמצעי האבטחה הבסיסיים שאתה כבר נוקט כדי להגן על האתר שלך, הנה כמה אמצעי אבטחה מתקדמים וורדפרס, כולל כיצד למנוע וורדפרס DDoS (Distributed Denial of Service) באתר האינטרנט שלך.
1. כבה את פונקציונליות Trace Trace
התקפות כמו Scripting בין אתרים (XSS) ו- Cross Site Tracing (XST) מיועדות למערכות עם פונקציונליות Trace Trace מופעלת. רוב שרתי האינטרנט מוגדרים כברירת מחדל לתפקוד עם HTTP Trace שבו הוא משתמש עבור פעילויות כמו איתור באגים. באמצעות בקשות הכותרת, האקרים יגנוב מידע רגיש, כגון קובצי cookie, על ידי ביצוע התקפת מעקב בין אתרים. OWASP Top Ten Project מציע רשימות מקיפות של פגיעויות והתקפות על אתרי וורדפרס.
מבין כל סוגי הפגיעות, Cross Script Site מדורגת במקום הראשון. למעשה, 46.9% מכלל האתרים פגיעים לסוג זה של התקפה. כדי לבטל את הפונקציונליות Trace Trace, הוסף את הקוד הבא לקובץ htaccess.
RewriteEngine On RewriteCond% {REQUEST_METHOD} ^ TRACE RewriteRule. * - [F]
2. הסר את יציאות כותרת ההתקנה של WordPress
שירותים ספציפיים לחלקים שונים של האתר שלך WordPress מחייבים הוספת הרבה פלט בכותרת. ניתן להסיר את הפלט על ידי הוספת הקוד להלן לקובץ "functions.php" של ערכת הנושא.
remove_action ('wp_head', 'index_l_link'); remove_action ('wp_head', 'feed_links', 2); remove_action ('wp_head', 'feed_links_extra', 3); remove_action ('wp_head', 'rsd_link'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'parent_post_rel_link', 10, 0); remove_action ('wp_head', 'start_post_rel_link', 10, 0); remove_action ('wp_head', 'adjacent_posts_rel_link_wp_head', 10, 0); remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wp_shortlink_wp_head', 10, 0); remove_action ('wp_head', 'noindex', 1);
3. שנה את קידומת מסד הנתונים המשמשת כברירת מחדל עבור WordPress
ברירת המחדל של ערך הקידומת עבור טבלאות מסד הנתונים של WordPress היא "wp_". האקרים ורוטים מזיקים יכולים להשתמש בערך קידומת זה כדי לנחש בהצלחה את שמות טבלאות מסד הנתונים. מאחר שקובץ wp-config.php הוא המקום שבו נקבע ערך קידומת מסד הנתונים של WordPress, קל יותר לשנות את ערך הקידומת הזה בעת התקנת WordPress. באפשרותך להשתמש בפלאגין 'שינוי קידומת טבלה', או אם אתה מעדיף לעשות זאת באופן ידני, בצע את השלבים הבאים:
1. לחלוטין לגבות את מסד הנתונים ולוודא לשמור את הגיבוי במקום בטוח. הנה כמה תוספים גיבוי אתה יכול להשתמש.
2. השתמש "phpmyadmin" בלוח הבקרה האינטרנט המארח שלך לחלוטין לזרוק את מסד הנתונים WordPress שלך לתוך קובץ טקסט. גבה גם את קובץ הטקסט הזה.
3. לאחר מכן, השתמש בעורך קוד כדי להחליף את כל ערכי הקידומת "wp_" עם הקידומת שלך.
4. בטל את כל התוספים בלוח הניהול שלך.
5. עכשיו, באמצעות הקובץ שערכת בשלב השלישי לעיל, לייבא את מסד הנתונים החדש לאחר שהסרת את הישן באמצעות phpMyAdmin.
6. באמצעות ערך קידומת מסד הנתונים החדש, ערוך את הקובץ "wp-config.php".
7. עכשיו, הפעל מחדש את יישומי WordPress שלך.
.8 כדי לשמור את הגדרות הקישור, עבור אל Settings (הגדרות) ולאחר מכן אל Permalinks (קישורים קבועים). זה מרענן מבנה האתר שלך permalink. שים לב ששינוי קידומת מסד הנתונים לא צריך לשנות את שם התחום שלך, כתובת האתר והגדרות הקישוריות.
4. חסום מחרוזות שאילתה שעלולות להיות מסוכנות
כדי למנוע התקפות Scripting בין אתרים (XSS), הוסף את הקוד הבא לקובץ htaccess. ראשית, לפני הוספת הקוד, לזהות מחרוזות שאילתה שעלולות להיות מסוכנות. בקשות של כתובות אתרים מופרדות מזריקות זדוניות רבות לפי סט כללים זה. יש כאן שני דברים חשובים:
- יישומי פלאגין מסוימים או נושאים מסוימים פורצים פונקציות אם לא תכלול מחרוזות שבהן הם כבר משתמשים.
- למרות מחרוזות למטה הם הנפוצים ביותר, אתה יכול לבחור להוסיף מחרוזות יותר.
RewriteCond% {REQUEST_METHOD} ^ (HEAD | TRACE | DELETE TRACK) [NC] RewriteCond% {QUERY_STRING} .. / [NC, OR] RewriteCond% {QUERY_STRING} boot.ini [NC, OR] RewriteCond% {QUERY_STRING} תג [NC, OR] RewriteCond% {QUERY_STRING}: [NC, OR] RewriteCond% {QUERY_STRING} HTC: [NC, OR] RewriteCond% {QUERY_STRING} https: [NC, OR] RewriteCond% {QUERY_STRING} mosConfig [NC, OR] RewriteCond% {QUERY_STRING} ^. * (| | | | (|) | | '|' | | | | | *). [NC, OR] RewriteCond% {QUERY_STRING} ^. * (% 22 | (% 0% |%% |% 3 | |% 3E | 5C |% 7B |% C) * [NC, OR] RewriteCond% {QUERY_STRING} ^. * (% 0 |% A%% B% C |% D% E [| |% | |] | [NC, OR] RewriteCond% {QUERY_STRING} ^. * (Globals | encode | config | localhost | loopback). [NC, OR] RewriteCond% {QUERY_STRING} ^. * (בקשה (*, ) [= *] $ - [F, L]
.5 השתמש ב - Deflect כדי למנוע התקפת DDoS
אתרים חדשים, קבוצות מדיה עצמאיות, ואתרים של רוב פעילי זכויות האדם / קבוצות בדרך כלל אין את המשאבים הטכניים והפיננסיים לעמוד בהתקפה של מניעת שירות מבוזרת (DDoS). זה המקום שבו דפקט מגיע. דחה את המיקומים עצמם כפתרון כי הוא טוב יותר מאשר מסחרי DDoS אפשרויות הפחתת.
מסחרי DDoS אפשרויות הפחתת עלות הרבה כסף יכול לשנות את תנאי השירות שלהם אם האתר תחת ההגנה שלהם מושך התקפות DDoS בקביעות. להסיט באופן פרואקטיבי מפסיק התקפות DDoS על ידי שמירה על אתרי אינטרנט תחת הגנה מתמדת.
יתרון בצד של שימוש דופלקס באתר האינטרנט שלך היא כי זה חוסך לך כסף על ידי הפחתת הלחץ על השרת של הלקוח שלך ואת משאבי sysadmin. דפלט מעמיד את כל קודי המקור שלהם ותיעוד ברשות הציבור תחת רישיון Creative Commons; זה מאפשר לכל אחד כדי להקטין התקפות DDoS על ידי הגדרת הרשת שלהם להסיט. אתה יכול להירשם באתר האינטרנט שלהם בחינם ולהתחיל להשתמש בשירות באופן מיידי.
6. השתמש Secure Sockets Layer (SSL) ו- Firewall Protection
שירותי אבטחה כמו Sucuri מציעה אפשרויות אבטחה כגון התקנת אישור Secure Sockets Layer (SSL) והגנה על חומת אש תואמת PCI. זוהי אפשרות קלה עבור כולם, כולל אנשים שאינם טכניים.
אתה יכול בקלות להגדיר פתרונות אבטחה כמו זה ולתת לו לעבוד ברקע, ובמקרים מסוימים, לעדכן את עצמו לפי הצורך (כמו Sucuri). זוהי אפשרות יעילה מאוד, אבטחה תחזוקה נמוכה.
ניתן להשתמש במספר יישומי פלאגין של WordPress להוספת אישורי שכבות מאובטח (SSL) לאתרים שלך. כמה מומלצים ביותר WordPress SSL plugins כוללים CM HTTPS Pro, פשוט פשוט SSL, WP כוח SSL, SSL Insecure תוכן Fixer, ו HTTPS קל ניתוב מחדש.
לעטוף
תוכל לחוות שיפורים משמעותיים באבטחת האתר באמצעות הנקודות המפורטות למעלה. זה עוזר לציין כי האבטחה וורדפרס הוא תמיד מתפתח. המטרה היא לצמצם סיכונים, לא לחסל אותם, כי זה כמעט בלתי אפשרי לעשות זאת. אבטחת WordPress היא דינמית ועובדת בשכבות, כך שאין אף אחד-plugin-fits-all או אחד-טקטיקה- fits- כל.
אשראי תמונה: DDOS Attack Roadsign