Das Website-Sicherheit ist einer der wichtigsten Aspekte, die a Webmaster bedenken muss.
Der Webserver, den wir für unsere Website unter WordPress verwenden, kann ebenfalls Schwachstellen aufweisen, daher müssen wir sicherstellen, dass keine Sicherheitsprobleme vorliegen, oder Maßnahmen zur Verbesserung der Sicherheit ergreifen. In anderen Tutorials wurden Aktionen und Tools spezifiziert, um die Sicherheit zu erhöhen, beispielsweise durch Anwendung von:
1. Sicherheitsmaßnahmen für VPS-Server
2. So erkennen und kontrollieren Sie Dienste auf Linux-Servern
Ein sehr wichtiger Aspekt, den es zu berücksichtigen gilt, ist Vermeiden Sie die Verwendung eines gemeinsam genutzten Servers, sind die Server, die andere Websites hosten, zusätzlich zu unserer Website und einer Website auf demselben Server, die anfällig ist, können alle anderen Websites kompromittiert werden, da sich die Dateien im selben Raum befinden und so einen Angriff oder eine Infektion durch Viren verbreiten.
Das Websites, die unter Wordpress entwickelt wurden, sind sensibel für die meisten Angriffe, da 30% der Websites unter dieser Plattform entwickelt werden.
Daher ist es wichtig, Maßnahmen zu ergreifen, um unsere Website und unsere Daten vor möglichen Angreifern zu schützen und das Risiko zu minimieren, das wir haben Schwachstellen.
Strategien, die wir umsetzen können
Ändern Sie den Pfad zum Ordner wp-content
Ändern Sie den Standardpfad zum WordPress-wp-content-Ordner, das ist der Ordner, in dem sich die meisten Dateien und Plugins und Themen befinden, aus denen sich unsere Website zusammensetzt. Die Exploits und Malware suchen nach diesem Ordner, um Schwachstellen zu scannen und zu finden. Wenn wir die Route ändern, erschweren wir die Verfolgung.
Um die Route zu ändern, müssen wir Bearbeiten Sie die Datei wp-config.php und ändere die Konstante wp_content_dir:
define ('WP_CONTENT_DIR', dirname (__ FILE__). '/Pfad /wp-Inhalt');Damit wäre er verändert.
Nur sichere Plugins installieren
Die Plugins können aus dem offiziellen WordPress.org-Repository entfernt werden, wenn sie nicht häufig aktualisiert werden, um der Community zu versichern, dass die Plugins eine gewisse Sicherheit haben und uns auch zeigt, welche Plugins von den Benutzern mehr akzeptiert werden. Die Tatsache, dass sie nicht bösartig sind, bedeutet nicht, dass sie korrekt funktionieren oder keine Schwachstellen aufweisen.
Wir müssen aufpassen, wenn ein Plugin jahrelang nicht aktualisiert wurde, es wird gemeldet, dass es Fehler enthält. Die Benutzergemeinschaft hat festgestellt, dass sie eine Sicherheitslücke enthält.
Benutzen WPHärten um sichere Installationen zu automatisieren
WPHärten ist ein Tool zur Automatisierung und Durchführung verschiedener Sicherheitsprüfungen damit unsere WordPress-Website sicher konfiguriert ist.
Dieses Projekt wird unter Python erstellt und ermöglicht es, verschiedene Aspekte einer Entwickler-Website unter Wordpress zu überprüfen, um nach Schwachstellen zu suchen.
Einer der Hauptvorteile dieses Tools ist die Automatisierung von Aufgaben und Sicherheitseinstellungen sind wichtig, um zu vermeiden, dass Informationen an potenzielle Angreifer weitergegeben werden. Es gibt viele Tools, die speziell entwickelt wurden, um alle Arten von Informationen zu erhalten und zu sammeln, die mit einer WordPress-Installation verbunden sind. Viele von Angriffe auf WordPress-Systeme beginnen in der Regel mit Vorabinformationen basierend auf Scans und Informationsbeschaffung.
WpHärten Es kann von der offiziellen Seite oder vom Terminal mit dem Befehl mit dem Befehl auf unseren Server oder lokalen Computer heruntergeladen werden:
git-Klon https://github.com/elcodigok/wphardening.gitWir können es auch von der Projektseite auf GitHub herunterladen:
Sobald die Datei installiert oder entpackt ist, können wir auf den Ordner wphardening zugreifen.
Um dieses Tool zu verwenden, müssen wir die Route zum Web kennen, das wir untersuchen möchten, und dieses Web, da es mit Wordpress entwickelt wurde.
Als nächstes müssen wir wphardening aktualisieren, um sicherzustellen, dass wir die neuesten Repositorys und die neuesten Verbesserungen haben, die integriert wurden. Für sie führen wir in einem Terminalfenster den folgenden Befehl aus:
python wphardening.py --updateDann können wir mit wphardening beginnen und die Sicherheit einer unter WordPress entwickelten Website mit dem folgenden Befehl überprüfen:
python wphardening.py -d / home / myuser / myweb -vDenken Sie daran, dass es nur lokal verwendet wird, d. h. auf einem lokalen oder entfernten Server von der Befehlszeile und zu in WordPress entwickelte Websites.
Zum Beispiel werde ich für dieses Tutorial eine Demo-Website verwenden, die in Wordpress auf einem lokalen Server mit Xampp erstellt wurde:
Oft haben wir Probleme mit Datei- und Ordnerberechtigungen, die unsere Website Angriffen oder Eindringlingen aussetzen. Um dieses Problem zu lösen, verwenden wir den folgenden Befehl:
python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -chmod -vDadurch werden die empfohlenen Berechtigungen für zusätzliche Sicherheit automatisch festgelegt.
Eine weitere sehr interessante Option dieses Tools ist die Möglichkeit, Plugin und Sicherheitstools automatisiert herunterladen und installieren empfohlen und getestet.
python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -plugins
Wenn wir den Befehl ausführen, werden wir um Erlaubnis zur Installation jedes Sicherheits-Plugins gebeten, einschließlich eines Antiviren-, Exploit-Scanners, Datenbankmanagers, Sicherheits- und Schwachstellen-Scanners, am Ende können wir die installierten Plugins im Plugin-Ordner unserer WordPress-Website. Diese Plugins verwenden proprietäre Online-Tools und Datenbanken, um die Dateien und Datenbanken auf unserer WordPress-Website nach Rastos zu durchsuchen, oder sie können darauf hinweisen, dass Sie Opfer böswilliger Hacker geworden sind.
[Anhang = 12158: panta06.jpg.webp]Dann von der WordPress Admin-Panel Wir können Sicherheits-Plugins installieren und aktivieren.
Eine weitere interessante Option ist die automatische Erstellung der robots.txt-Datei Dadurch wird automatisch der Zugriff auf die wichtigsten Verzeichnisse der Website verweigert. Wir fügen auch die hinzu -o Option die es uns ermöglicht, eine Protokolldatei mit dem Ergebnis der ausgeführten Aufgabe zu erstellen.
python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -robots -o securitywp.log
Wenn wir den Befehl ausführen, werden wir nach dem Pfad der Website gefragt und dann kann die Datei robots.txt erstellt werden.
Das Löschen der nicht verwendeten Dateien ist wichtig, da sie Speicherplatz beanspruchen und angreifbar sein können, da sie normalerweise nicht gewartet oder aktualisiert werden. Auch auf einer Website mit vielen Dateien können sie Verwirrung stiften Entfernen Sie automatisch alle Dateien, die von unserer Website nicht verwendet werden.
python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -remove -o securitywp.log
Am Ende sehen wir das erstellte Protokoll mit einer Liste aller gelöschten Dateien.
Das Angriffe auf Websites und Server werden durch Sicherheitsprobleme aufgrund von Schwachstellen verursacht in Ihrer Software entweder aufgrund von Programmierfehlern oder falsch konfigurierter Software.
Diese Schwachstellen ermöglichen es Angreifern, eine Vielzahl von Techniken einzusetzenB. die Verwendung eines URL-Parameters zum Ausführen einer SQL-Injection, das Hinzufügen von Code zu Ihrer Datenbank über Formulare, wodurch Daten geändert oder wichtige Daten gelöscht werden können, z. B. das Löschen aller Beiträge und Seiten oder das Deaktivieren des Webs.
Die unter Wordpress erstellten Websites, die Angriffe erhalten haben, sind im Allgemeinen auf Schwachstellen eines WordPress-Plugins zurückzuführen. Hacker fügen häufig Base-64-codierte Malware ein, die es ihnen ermöglicht, eine PHP-Funktion auf unserer Website auszuführen. Sie können auch irgendwo auf Ihrer Website eine Hintertür hinterlassen. Dies ist eine Technik, die sie verwenden, um in Zukunft auf Ihre Website zuzugreifen, selbst diese Art von Angriff infiziert normalerweise alle Dateien im Web.
Denken Sie daran, dass nicht alle von uns verwendeten Tools die Sicherheit unserer Website zusätzlich garantieren wir müssen Sicherheitsrichtlinien implementieren Was Führen Sie wöchentlich oder täglich inkrementelle Backups der Datenbank und aller Dateien durch.
Hat dir dieses Tutorial gefallen und geholfen?Sie können den Autor belohnen, indem Sie diesen Knopf drücken, um ihm einen positiven Punkt zu geben