WPHardening: Pregledajte ranjivosti i sigurnosne provjere na Wordpress webu

The sigurnost web stranice jedan je od najvažnijih aspekata koji a Webmaster mora uzeti u obzir.

Web poslužitelj koji koristimo za naše web mjesto pod WordPressom također može imati ranjivosti, stoga moramo provjeriti nema li sigurnosnih problema ili poduzeti mjere za poboljšanje sigurnosti. U drugim vodičima navedene su radnje i alati za jačanje sigurnosti, na primjer primjenom:

1. Sigurnosne mjere za VPS poslužitelje
2. Kako otkriti i kontrolirati usluge na poslužiteljima Linux

Vrlo važan aspekt koji treba uzeti u obzir je izbjegavajte korištenje zajedničkog poslužitelja, su oni poslužitelji koji hostiraju druge web stranice, osim naše web stranice i web stranice na istom poslužitelju koji je ranjiv, može ugroziti sve ostale web stranice jer se datoteke nalaze na istom prostoru i na taj način širiti napad ili infekciju virusom.
The web stranice razvijene pod Wordpressom osjetljive su na većinu napada jer je 30% web stranica razvijeno na ovoj platformi.

Stoga je važno donijeti mjere za zaštitu naše web stranice i naših podataka od mogućih napadača i minimiziranje rizika koji imamo ranjivosti.

Strategije koje možemo implementirati

Promijenite putanju do mape wp-content


Promijenite zadani put u mapu wp-sadržaja WordPress, koja je mapa u kojoj se nalazi većina datoteka i dodataka, tema koje čine našu web stranicu. Eksploatacije i zlonamjerni softver tražit će ovu mapu za skeniranje i pronalaženje ranjivosti, ako promijenimo rutu, otežat ćemo praćenje.

Za promjenu rute moramo uredite datoteku wp-config.php i mijenjati konstantu wp_content_dir:

 define ('WP_CONTENT_DIR', dirname (__ FILE__). ' / path / wp-content');
Time bi se on promijenio.

Instalirajte samo sigurne dodatke


Dodaci se mogu ukloniti iz službenog spremišta WordPress.org, ako se ne ažuriraju često, čime se zajednica može uvjeriti da su dodaci određenu sigurnost, a također nam pokazuje i koje dodatke korisnici više prihvaćaju. Činjenica da nisu zlonamjerni ne znači da rade ispravno ili nemaju ranjivosti.

Moramo obratiti pozornost ako dodatak nije ažuriran godinama, prijavljeno je da ima greške. Korisnička zajednica otkrila je da sadrži sigurnosnu ranjivost.

Koristiti WPOjačavanje za automatizaciju sigurnih instalacija


WPOjačavanje je alat za automatizaciju i obavljanje različitih sigurnosnih provjera tako da je naše web mjesto Wordpress sigurno konfigurirano.

Ovaj projekt napravljen je pod Pythonom i omogućuje provjeru različitih aspekata web stranice razvojnih programera pod Wordpressom radi traženja ranjivosti.

Jedna od glavnih prednosti ovog alata je automatizacija zadataka, a sigurnosne postavke važne su kako bi se izbjeglo izlaganje informacija potencijalnim napadačima. Postoje mnogi alati koji su posebno stvoreni za prikupljanje i prikupljanje svih vrsta informacija povezanih s instalacijom WordPressa. Mnogi od Napadi na WordPress sustave obično započinju unaprijed danim informacijama na temelju skeniranja i prikupljanja informacija.

WpOtvrđivanje Može se preuzeti na naš poslužitelj ili lokalno računalo sa njegove službene stranice ili s terminala naredbom pomoću naredbe:

 git klon https://github.com/elcodigok/wphardening.git
Također ga možemo preuzeti sa stranice projekta na GitHubu:

Nakon što je datoteka instalirana ili raspakirana, možemo pristupiti mapi wphardening.

Da bismo koristili ovaj alat, moramo znati put do weba koji želimo pregledati i ovaj web jer je razvijen s Wordpressom.

Zatim moramo ažurirati wphardening kako bismo bili sigurni da imamo najnovija spremišta i najnovija poboljšanja koja su ugrađena, za njih iz prozora terminala izvršavamo sljedeću naredbu:

 python wphardening.py -ažuriranje
Tada možemo početi koristiti wphardening i provjeriti sigurnost web stranice razvijene pod wordpressom pomoću sljedeće naredbe:
 python wphardening.py -d / home / myuser / myweb -v 
Upamtite da se koristi samo lokalno, to jest na lokalnom ili udaljenom poslužitelju od naredbenog retka do web stranice razvijene u wordpressu.

Na primjer, za ovaj ću vodič koristiti demo web stranicu napravljenu u Wordpressu na lokalnom poslužitelju s Xamppom:

Mnogo puta imamo problema s dopuštenjima datoteka i mapa koje ostavljaju našu web stranicu izloženu napadima ili uljezima, za rješavanje ovog problema koristimo sljedeću naredbu:

 python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -chmod -v 
Time se automatski postavljaju preporučena dopuštenja za dodatnu sigurnost.

Još jedna vrlo zanimljiva opcija ovog alata je mogućnost preuzimajte i instalirajte dodatke i sigurnosne alate na automatiziran način preporučeno i testirano.

 python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -plugins

Kad izvršimo naredbu, od nas će se tražiti dopuštenje za instaliranje svakog sigurnosnog dodatka, uključujući antivirus, skener za iskorištavanje, upravitelj baze podataka, skener sigurnosti i ranjivosti, između ostalog, na kraju ćemo moći vidjeti dodatke instalirane u dodatak mape naše web stranice Wordpress. Ovi dodaci koriste vlasničke internetske alate i baze podataka za pretraživanje datoteka i baza podataka na našoj web stranici WordPress za traženjem rastosa ili mogu ukazivati ​​na to da ste bili žrtva zlonamjernih hakera.

 [prilog = 12158: panta06.jpg.webp]
Zatim iz WordPress administratorska ploča možemo instalirati i omogućiti sigurnosne dodatke.

Još jedna zanimljiva opcija je automatsko stvaranje datoteke robots.txt koji će automatski odbiti pristup najvažnijim direktorijima web stranice. Dodajemo i -o opcija što nam omogućuje stvaranje datoteke dnevnika s rezultatom obavljenog zadatka.

 python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -roboti -o securitywp.log

Kad izvršimo naredbu, od nas će se tražiti put do web stranice, a zatim se može stvoriti datoteka robots.txt.

Brisanje datoteka koje se ne koriste važno je jer zauzimaju prostor i mogu biti ranjive jer se obično ne održavaju ili ažuriraju, također na web stranici s mnogo datoteka mogu stvoriti zabunu, zbog njih ćemo upotrijebiti naredbu parametra remove automatski uklanja sve datoteke koje ne koriste naše web stranice.

 python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -remove -o securitywp.log 

Na kraju možemo vidjeti dnevnik koji smo stvorili s popisom svih izbrisanih datoteka.

The napadi na web stranice i poslužitelje uzrokovani su sigurnosnim problemima zbog ranjivosti u vašem softveru zbog programskih pogrešaka ili pogrešno konfiguriranog softvera.

Ove ranjivosti omogućuju napadačima korištenje velikog broja tehnikakao što je korištenje parametra URL -a za pokretanje SQL injekcije, dodavanje koda u vašu bazu podataka putem obrazaca, što može omogućiti promjenu ili brisanje važnih podataka, poput brisanja svih postova i stranica ili ostavljanja weba onemogućenim.

Web stranice napravljene pod Wordpressom koje su primale napade, općenito je to zbog ranjivosti dodatka za WordPress. Hakeri često ubacuju zlonamjerni softver kodiran bazom 64 koji im omogućuje izvršavanje PHP funkcije na našoj web stranici. Oni također mogu ostaviti stražnja vrata negdje na vašoj web stranici. Ovo je tehnika koju u budućnosti koriste za pristup vašoj web stranici, čak i ova vrsta napada obično zarazi sve datoteke na webu.

Upamtite da svi alati koje koristimo ne jamče sigurnost naše web stranice moramo provoditi sigurnosne politike Što izvoditi inkrementalne sigurnosne kopije baze podataka i svih datoteka tjedno ili svakodnevno.

Je li vam se svidio i pomogao ovaj vodič?Autor možete nagraditi pritiskom na ovaj gumb kako biste mu dali pozitivan bod
wave wave wave wave wave