• LockedAway.pl - Centrum Kryzysowe WordPress
  • Kontakt z biurem: +48 570 701 701
Open

Zabezpieczenia WordPressa

Zabezpieczenia WordPressa

JEDEN Z WAŻNIEJSZYCH ETAPÓW

02. Etap - Wprowadzanie zabezpieczeń

Pomijając podstawowe modyfikacje Twojego silnika WP w tym etapie wprowadzimy aż 18 pkt. bezpieczeństwa całego zaplecza. Koniecznie zapoznaj się z listą zabezpieczeń, którą wprowadzimy u Ciebie w serwisie!!!

WordPress używa kluczy bezpieczeństwa (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, i NONCE_KEY), aby zapewnić lepsze szyfrowanie informacji przechowywanych w ciasteczkach użytkownika. Dobry klucz bezpieczeństwa powinien być długi (60 znaków lub więcej), odpowiednio przypadkowy i złożony. Sprawdzanie bezpieczeństwa powinno zweryfikować, czy klucze bezpieczeństwa są skonfigurowane i czy przynajmniej zawierają znaki numeryczne i litery alfabetu. Jeśli sprawdzanie bezpieczeństwa nie powiedzie się i podejmiesz decyzję o zabezpieczeniu instalacji WordPress, dobre kluzce bezpieczeństwa powinny być wygenerowane i dodane do twojej instalacji WordPress.

Jeśli uprawnienia do plików i katalogów nie spełniają wymogów polityki bezpieczeństwa, te pliki mogą być użyte do zhakowania twojego serwisu. Po instalacji WordPress pliki i katalogi mogą mieć różne uprawnienia. Sprawdzanie bezpieczeństwa powinno zweryfikować, czy uprawnienia dla pliku wp-config są ustawione na 600, dla innych plików na 644, a dla katalogów na 755. Jeśli sprawdzanie bezpieczeństwa nie powiedzie się i podejmiesz decyzję o zabezpieczeniu instalacji WordPress, uprawnienia dla plików i katalogów zostaną zmienione zgodnie z polityką bezpieczeństwa WordPress: uprawnienia dla pliku wp-config zostaną ustawione na 600, dla innych plików na 644, a dla katalogów na 755.

Jeśli przeszukiwanie katalogu jest włączone, hakerzy mogą zdobyć informacje o twoim serwisie (wykorzystywane wtyczki, itd.). Domyślnie przeszukiwanie katalogu jest wyłączone w serwerach blur.pl . Sprawdzanie bezpieczeństwa powinno zweryfikować, czy przeszukiwanie katalogu w instalacji WordPress jest wyłączone. Jeśli sprawdzanie bezpieczeństwa nie powiedzie się i podejmiesz decyzję o zabezpieczeniu instalacji WordPress, przeszukiwanie katalogu w instalacji WordPress będzie wyłączone w pliku konfiguracyjnym serwera (Apache, nginx for Linux lub web.config for Windows).

Katalog wp-includes może zawierać niezabezpieczone pliki PHP, które mogą być użyte do zniszczenia twojego serwisu. Sprawdzanie bezpieczeństwa powinno zweryfikować, czy wykonanie plików PHP w katalogu wp-includes jest zabronione. Jeśli sprawdzanie bezpieczeństwa nie powiedzie się i podejmiesz decyzję o zabezpieczeniu instalacji WordPress, wykonanie plików PHP w katalogu wp-includes będzie zabronione w pliku konfiguracyjnym serwera (Apache, nginx for Linux lub web.config for Windows). Pamiętaj, że spersonalizowane dyrektywy w plikach .htaccess lub web.config mogą to napisać.

Katalog wp-content/uploads może zawierać niezabezpieczone pliki PHP, których można użyć do uszkodzenia witryny. Kontrola bezpieczeństwa powinna sprawdzić, czy wykonywanie plików PHP w katalogu wp-content/uploads jest zabronione. Jeśli kontrola bezpieczeństwa zakończy się niepowodzeniem i zdecydujesz się zabezpieczyć instalację WordPress, wykonywanie plików PHP w katalogu wp-content/uploads będzie zabronione w pliku konfiguracyjnym serwera (Apache, nginx dla Linux lub web.config dla Windows). Pamiętaj, że spersonalizowane dyrektywy w plikach .htaccess lub web.config mogą to napisać.

Plik wp-config.php zawiera dane dostępowe do bazy danych, itd. Po instalacji WordPress plik wp-config.php file może być wykonany. Jeśli z jakiegoś powodu przetwarzanie plików PHP przez serwer WWW jest wyłączone, hakerzy mogą uzyskać dostęp do zawartości pliku wp-config.php. Sprawdzanie bezpieczeństwa powinno zweryfikować, czy nieuprawniony dostęp do pliku wp-config.php file jest zablokowany. Jeśli sprawdzanie bezpieczeństwa nie powiedzie się i podejmiesz decyzję o zabezpieczeniu instalacji WordPress, wykonanie plików wp-config.php będzie zabronione w pliku konfiguracyjnym serwera (Apache, nginx for Linux lub web.config for Windows). Pamiętaj, że spersonalizowane dyrektywy w plikach .htaccess lub web.config mogą to napisać.

Ten środek chroni twoją stronę przed nieużytecznymi, złośliwymi lub w inny sposób szkodliwymi botami. Blokuje boty, które skanują Twoją witrynę pod kątem luk w zabezpieczeniach i przeciążają Twoją witrynę niepożądanymi żądaniami, co powoduje nadużywanie zasobów. Zauważ, że możesz tymczasowo wyłączyć tę miarę, jeśli zamierzasz użyć usługi online do skanowania witryny pod kątem luk, ponieważ te usługi mogą również używać takich botów.

Ten środek bezpieczeństwa zapobiega publicznemu dostępowi do niektórych plików, które mogą zawierać poufne informacje, takie jak poświadczenia połączenia lub różne informacje, które można wykorzystać do określenia, które znane exploity mają zastosowanie do Twojej instancji WordPress.

Ten środek bezpieczeństwa uniemożliwia publiczny dostęp do niektórych plików (na przykład plików dziennika, skryptów powłoki i innych plików wykonywalnych), które mogą istnieć w Twojej instancji WordPress. Publiczny dostęp do tych plików może potencjalnie zagrozić bezpieczeństwu Twojej instancji WordPress.

Uzyskanie dostępu do plików .htaccess i .htpasswd umożliwia atakującym poddanie witryny różnym exploitom i naruszeniom bezpieczeństwa. Ten środek bezpieczeństwa gwarantuje, że pliki .htaccess i .htpasswd nie będą dostępne dla osób niepowołanych.

Skanowanie w poszukiwaniu autora jest formą wyłudzania identyfikatora użytkownika. Celem tych skanów jest znalezienie nazw użytkowników zarejestrowanych w witrynie (w szczególności administratora WordPressa) i zaatakowanie strony logowania za pomocą metody brute-force w celu uzyskania dostępu. Ten środek bezpieczeństwa uniemożliwia takim skanom poznanie nazw użytkowników. Zwróć uwagę, że w zależności od konfiguracji tzw. permalinków w Twojej witrynie, ta metoda może uniemożliwić odwiedzającym dostęp do stron zawierających listę wszystkich artykułów napisanych przez konkretnego autora.

Kiedy kopia WordPress zostanie zainstalowana, domyślnie istnieje użytkownik z przywilejami administracyjnymi i nazwą loginu ‚admin’. Skoro nazwa loginu użytkownika nie może być zmieniona w WordPress, wystarczy tylko odgadnąć hasło, aby uzyskać dostęp do systemu jako administrator. Sprawdzanie bezpieczeństwa powinno zweryfikować, że nie ma uzytkownika z przywilejami administracyjnymi z nazwą loginu ‚admin’. Jeśli sprawdzanie bezpieczeństwa nie powiedzie się i wybierzesz zabezpieczanie instalacji WordPress, zostanie utworzony nowy użytkownik z dowolną nazwą loginu i hasłem o tym samym profilu i właściwościach jak obecny administrator. Blogi administratora i linki zostaną na nowo przypisane do nowego użytkownika, a następnie konto administratora zostanie usunięte.

Ten proces bezpieczeństwa wyłącza łączenie skryptów uruchomionych w panelu administracyjnym WordPress, zapobiegając atakom DoS na Twoją witrynę. Wyłączenie łączenia skryptów może nieznacznie wpłynąć na wydajność panelu administracyjnego WordPress, ale nie powinno to wpłynąć na twoją witrynę WordPress z punktu widzenia odwiedzających.

Pingbacki pozwalają innym witrynom WordPressa automatycznie zostawiać komentarze pod Twoimi postami, gdy witryny te odsyłają do tych postów. Pingbacki mogą być używane do uruchamiania ataków DDoS ukierunkowanych na Twoją stronę internetową. Ten środek bezpieczeństwa wyłącza pingbacki XML-RPC dla całej witryny, a także wyłącza pingbacki dla wcześniej utworzonych postów z włączoną funkcją pingback.

Zabezpieczenie przed tzw. hotlinkowaniem zapobiega wyświetlaniu, łączeniu lub osadzaniu obrazów w innych witrynach. Ta praktyka może szybko obniżyć przepustowość Twojej maszyny i spowodować, że twoja strona stanie się niedostępna.

Jeśli skompromitowany plik PHP znajdzie się w jednym z katalogów pamięci podręcznej witryny, wykonanie go może doprowadzić do naruszenia bezpieczeństwa całej witryny. Ta miara bezpieczeństwa wyłącza wykonywanie plików PHP w katalogach pamięci podręcznej, uniemożliwiając takie exploity. Zauważ, że niektóre wtyczki lub motywy mogą ignorować zalecenia bezpieczeństwa z zespołu bezpieczeństwa WordPress i przechowywać poprawne pliki PHP w ich katalogu pamięci podręcznej. Może być konieczne wyłączenie tego środka bezpieczeństwa, jeśli chcesz, aby takie wtyczki lub motywy działały.

Wyłączenie edytowania plików w WordPress usuwa możliwość bezpośredniej edycji źródeł wtyczek i plików motywów w interfejsie WordPress. Ten środek dodaje dodatkową warstwę ochrony dla instancji WordPress w przypadku złamania jednego z kont administratora WordPress. W szczególności zapobiega to łatwemu dodawaniu złośliwego kodu wykonywalnego do wtyczek lub kompozycji.

Tabele bazy danych WordPress mają takie same nazwy we wszystkich instalacjach WordPress. Kiedy do nazw tabel bazy danych używany jest standardowy prefiks wp_, cała struktura bazy danych WordPress nie jest tajna i każdy może uzyskać z niej jakiekolwiek dane. Kontrola bezpieczeństwa powinna sprawdzić, czy przedrostek nazw tabel bazy danych jest inny niż wp_. Jeśli sprawdzanie bezpieczeństwa nie powiedzie się i podejmiesz decyzję o zabezpieczeniu instalacji WordPress, tryb naprawy jest włączony, wszystkie wtyczki są dezakytwowane, prefiks jest zmieniony w bazie danych, struktura odnośnika bezpośredniego jest odświeżona, a następnie tryb naprawy jest wyłączony.