Genellikle soru duymak, "Ne eklentileri WordPress Güvenlik için kullanmalıyım?". Bu geçerli bir soru, ama ben size soruyoruz tek soru, ya da sen alıyorsun tek eylem ise bu en iyi yaklaşım olduğunu sanmıyorum.Yalnız bir 3. parti bir eklenti için blogunuzun güvenlik gidiyoruz, bunu yanlış yapıyoruz!
Risk azaltma oyunun adıdır. Eylemleri, araçları ve tüm sömürü düşük riskini yardımcı süreçlerinin bir toplu dizi.
Bu Herkesin Sorumluluğu var!
Bu sizinle başlar. Bu adımları izleyin ve (eklentileri bir çok kullanmadan!) Önemli ölçüde riskini kat daha düşük:
1. Yazılım güncel tutun
Bu hafta işaretlenmiş WordPress 3.5.1 sürümü bir bakım ve güvenlik sürümü oldu. Yamalar yayımlanan bir sebep yoktur. Harika yeni özellikler için, ama hataları ve güvenlik açıklarını gidermek için değil sadece.
Sitenizde yükseltme öldü? Eklenti yazar veya geliştirici site kıracak çünkü yükseltmek için söylemiştim mi? Bu bir tema veya sitede etkin bir eklenti ile geliştirilmiştir olmayabilir belirtileri olabilir WordPress Kodlama Standartları akılda. Bu itiraz ve WordPress yükseltilmiş sürümü ile uyumlu olmayan bir tema / eklenti olabilir. Durum ne olursa olsun, bu ideal değildir ve uygun bir yedek bulmak için zaman olabilir.Sadece araştırma ve inceleme sağlamak ve tema veya eklenti aktif yazar tarafından desteklenmektedir emin olun.
Ödevini yapmak. Resmi WordPress tema veya eklenti depoları gibi güvenilir kaynaklardan kullanın. Eğer ticari tema ve eklentileri kullanıyorsanız, araştırma sağlamak, ve hatta destek politikaları ve kodlama uygulamaları hakkında soran yazar başvurun.
2. Hiçbir Soup Kitchen Sunucular! (gibi Sayın tarafından icat Tony Perez )
Hiç test için bir kukla WordPress kopyasını yüklemek? Sonra orada bırakmak ve birkaç yıl için oturuyor?Ya, bunu yapma. Bu çapraz bulaşma riski sunucuda her web sitesi koyarak sonunda.
Saldırganlar bir zayıflık bulmak ve istismar devam edecek, daha sonra paylaşılan uzayda her şeyi enfekte olacaktır. Eğer bu güvenlik açığını temizlemezseniz parmak uçları düşmek kadar, sen temizleyebilirsiniz, yine enfekte olacaktır. Genellikle paylaşılan sunucular kendi hosting alanında birden çok web sitesi eklemek için aynı root sahibi için izin çünkü bu olur. Bir bulaştırmak, tüm enfekte! Bir site kullanımda değilse, çıkarın.En azından yukarıda bir adım geri bakın.
Bu geliştirme, evreleme ve üretim web siteleri söz konusu olduğunda tüm ciddiyetiyle, size, kendi izole uzaya tüm web siteleri segmentlere edilmelidir. Eğer tema / devre dışı eklentileri varsa Ayrıca,,, tamamen sunucuda onları gerek bunları kaldırın. Sadece ne gerek tutmak ve aktif kullanımda ne!
3. Erişim azaltın
Verin millet yeterince işlerini, başka bir şey yapmak için erişim, onlar bittiğinde çıkarın! Bu en az ayrıcalık uygulamadır ve bilgi sistemi her türlü arasında bu pratik olmalıdır. Bu WordPress, FTP, hatta veritabanları ve diğer giriş anlamına gelir. Bu doğru yönetimi ve kullanımı aşağı gelir rolleri ve yetenekleri . Kullanıcılar sorumluluk içeriği düzenlemek için ise, neden yönetici hakları gerekir? WordPress yükseltme, veya, bir tema veya widget ekleyerek / bir eklenti kaldırma gibi idari görevleri yerine sadece bir yönetici hesabı kullanın.
/ Wp-admin veya / wp-login.php - başka bir erişim kontrol riski web sitesi sahiplerinin yüzünü kendi WordPress giriş sayfasında kaba kuvvet saldırıları. Burada, bir WordPress yönetici iki faktörlü kimlik doğrulama dahil olacağını iki kolay kazanç vardır. Kontrol Google Şifrematik Plugin zaten değil varsa. Bu harika çalışıyor ve zaten Google Şifrematik kullanıyorsanız bunu mevcut araç ve gereçler çok üzerinde çalıştığını biliyorum.
Diğer kazanmak izin başarısız oturum açma denemelerinin miktarını sınırlamaktadır. Geçenlerde ona ne kadar önemsiz demo'd wp-admin saldırı varsayılan olarak, ve kötü şifreleri kullanıyorsanız, demo kesmek ne kadar hızlı görüntüler. Gibi bir şey kullanarak wp-admin 3-4 başarısız oturum açma denemeden sonra daha da girişimlerini devre dışı iseSınırı Oturum Açma Girişimleri , önemli ölçüde riskini azaltır.
4. Şifreler aşırı ifadeler geçmek
Bu kelime bulutu en sık kullanılan verilen büyük önem ile, en sık kullanılan şifreleri gösterir. InformationWeek BYTE 'Top 5 Şifre Yöneticileri' yayımlandı. Dazzlepod. Saydamlık Projesi, dazzlepod.com / açıklama /
Eğer "şifre" hala internet üzerinden en çok kullanılan ve aktif şifreleri biri olduğunu biliyor muydunuz? Kamu bilgi varsa, yok sen saldırganların bu biliyorum? Yaptıkları! Kaba kuvvet WordPress yönetici erişimi, hatta SSH kimlik bilgilerinizi isteyen saldırganların böyle bilinen şifreleri kullanarak numaralandırma. Ben Şifreyi tartışma götürmek istiyorum en önemli şey eşsiz olmaktır!
Bunun yerine kısa şifreleri, favori Notorious BIG şarkı sözleri gibi uzun geçmek-ifadeler kullanın. Pass-ifadeler farklı giriş genelinde farklı kullanın. Başka büyük bir yaklaşım hiç şifreleri bilmek ve gibi bir şifre yönetim aracı izin vermemektir LastPass ağır kaldırma yapmak. Bu güvenli bir şekilde saklar ve hatta hatta onları bilmeden sizin için bunları yapmak yardımcı olur.
5. Enstitüsü Yedekleme Programı
Eğer bir yerde aktif bir yedekleme programı ve çözüm yoksa, doğru değil! Sayısız bir site temiz yaklaştı ve biz hızla saldırganın belirlemek önemli veri bileşenleri, ya da tema dosyaları bir ton sildi edilmiştir zamanlardır. Biz bir yok veri veya dosyaların yedeğini isteyin ve ev sahibi bir yok zaman öğrenmek için geldim. Bu hiç olmamış gibi.
Bu senin sorumluluğunda ve şu anda başlamak için herhangi bir kadar iyi bir zamandır. Gibi piyasada çeşitli araçlar vardır BackupBuddy ve VaultPress , depodaki hatta bazı ücretsiz olanları. Sizin ev sahibi de bir çözüm olabilir. Hangisini seçerseniz seçin gayet iyi, sadece, bir plan yapmak sağlamak programı uygulamak ve (tercihen birden fazla yerde) sunucu kapalı yedekleme depolamak sağlamak.
Bunun ötesinde, hakkında, "admin" kullanıcı kaldırma sitesinden WordPress sürümü kaldırmadan, ya da veritabanı öneki değiştirme gibi duymak uygulamaların en son derece yararlı değildir. Onlar, zarar bir script kiddy engellemektedir sadece web sitenize veya sunucu belirli güvenlik açıklarını taraması, hatta zayıf şifreler saldırabilir modern otomatik saldırılara karşı aşırı bir yardım var düşünerek kendinizi aptal değil kesinlikle karanlık uygulamalardır. Ben tamamen bu uygulamaların indirim yok bu nedenle riskin azaltılması hakkında gerçekten de.
Plugin, ya da değil Plugin, bu soru!
Yapmak, ya da güneş altında her şeyi ama bu alanlarda basmayın demek güvenlik eklentileri çoğu endişe bana bahsedilen ve gerçekten bağlantı / trafik yem ötesinde değeri tartmak istiyorum. Durumlarda bir çok onlar vızıltı kelime ve OMG taktikleri ile yanlış bir güvenlik duygusu verir.
Zararlı adreslerinden gelen trafiği engelleme yararlı olabilir yerleşik bir web uygulama güvenlik duvarı bazı eklentileri vardır, Sucuri WordPress eklentisi hepimiz hizmet hesapları ile içerir birine sahiptir. Aktif bir anında, hain faaliyetleri gerçekleştirmek için sınıflandırılır IP adresleri kara listeye gibi Bu yaklaşım özellikle yararlıdır. Ayrıca 100'ün 1000 bilinen kötü amaçlı ve spam web siteleri / adresleri / bize eklenti tüm kurulumlarında dünya çapında bu şeyleri engellemek için sağlar hostname IP içinde bir ağ içine musluklar.
Orada diğer eklentileri Bazı denetim için daha fazla ve değer getirmek yaptığımız oluşmuş olabilir sorunları aşağı izleme, ama proaktif risk azaltmada çok yararlı olmayacaktır.
Sonunda o size kalmış. Eğer biraz araştırma yapmak için ne sormak. Durum tespiti yapmak ve yüklüyoruz ne geçerli bir güvenlik ihtiyacı ve hiçbir gerçek değeri ile bazı belirsiz pratik hizmet sağlamak. Eğer, güncelleme bakımı, erişim, güçlü kimlik bilgileri ve yedekleme sınırlayıcı sopa, bir uygun bir konumda kendinizi koyarak konum.
Hızlı Kapat
Bazen az daha, ve orada bugün eklentileri bir sürü, örtüşme önemli miktarda vardır. Ben örtüşme sadece güneşin altında deli yükleme her şey gitmez, iyi bir şey olabilir bu nedenle derinlemesine bir yaklaşım bir savunma alma gibi yapın. Bu daha eklemek olduğunu anlamak için değerli, daha fazla korumak zorunda, ve daha fazla potansiyel güvenlik açıkları ortaya çıkabilir. Basit tutun, risk azaltma gürültü öldürmek, ve düşünün!
İşte gördünüz. Bu benim soapbox, ve ben yapışmasını ediyorum. Ne eklemek ya da çıkarmakla olur?
Hiç yorum yok:
Yorum Gönder