Πώς να προστατεύσετε το υψηλό προφίλ σας WordPress Website από επιθέσεις
Η ανάγκη για την ασφάλεια του WordPress αυξάνεται με ρυθμό επιτάχυνσης. Οι αναφορές αναφέρουν ότι οι ιστότοποι του WordPress αντιμετωπίζουν 90.978 επιθέσεις ανά λεπτό. Από την κυκλοφορία του, το WordPress έχει διορθώσει περισσότερες από 2.450 ευπάθειες. Εκτός από αυτά τα βασικά μέτρα ασφάλειας που ήδη λαμβάνετε για την προστασία του ιστότοπού σας, ακολουθούν ορισμένα προηγμένα μέτρα ασφαλείας για το WordPress, συμπεριλαμβανομένου του τρόπου με τον οποίο μπορείτε να αποτρέψετε τον WordPress DDoS (Distributed Denial of Service) στον ιστότοπό σας.
1. Απενεργοποιήστε τη λειτουργικότητα παρακολούθησης HTTP
Επιθέσεις όπως το Cross Site Scripting (XSS) και η Cross Site Tracking (XST) είναι προσανατολισμένες σε συστήματα με ενεργοποιημένη τη δυνατότητα HTTP Trace. Οι περισσότεροι διακομιστές ιστού ορίζονται από προεπιλογή για λειτουργία με το HTTP Trace, το οποίο χρησιμοποιεί για δραστηριότητες όπως εντοπισμός σφαλμάτων. Χρησιμοποιώντας αιτήσεις κεφαλίδας, οι χάκερ θα κλέψουν ευαίσθητες πληροφορίες, όπως τα cookies, εκτελώντας μια επίθεση διασταυρώσεων στο Cross Site. Το OWASP Top Ten Project προσφέρει ολοκληρωμένες λίστες ευπάθειας και επιθέσεις σε ιστοσελίδες του WordPress.
Από όλους τους τύπους ευπάθειας, το Cross Site Scripting κατατάσσεται στον αριθμό ένα. Στην πραγματικότητα, το 46, 9% όλων των ιστότοπων είναι ευάλωτοι σε αυτό το είδος επίθεσης. Για να απενεργοποιήσετε τη λειτουργία HTTP Trace, προσθέστε τον ακόλουθο κώδικα στο αρχείο .htaccess.
RewriteEngine Στο RewriteCond% {REQUEST_METHOD} ^ TRACE RewriteRule. * - [F]
2. Καταργήστε τις εξόδους κεφαλίδας εγκατάστασης του WordPress
Οι υπηρεσίες που αφορούν συγκεκριμένα μέρη του ιστότοπού σας στο WordPress απαιτούν την προσθήκη πολλών αποτελεσμάτων στην κεφαλίδα. Μπορείτε να αφαιρέσετε αυτές τις εξόδους προσθέτοντας τον παρακάτω κώδικα στο αρχείο "functions.php" του θέματος.
remove_action ('wp_head', 'index_rel_link'). remove_action ('wp_head', 'feed_links', 2). remove_action ('wp_head', 'feed_links_extra', 3). remove_action ('wp_head', 'rsd_link'); remove_action ('wp_head', 'wlwmanifest_link'). remove_action ('wp_head', 'parent_post_rel_link', 10, 0). remove_action ('wp_head', 'start_post_rel_link', 10, 0). remove_action ('wp_head', 'adjacent_posts_rel_link_wp_head', 10, 0). remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wp_shortlink_wp_head', 10, 0). remove_action ('wp_head', 'noindex', 1).
3. Αλλάξτε το προεπιλεγμένο πρόθεμα βάσης δεδομένων για το WordPress
Η προεπιλεγμένη τιμή προθέματος για τους πίνακες βάσης δεδομένων WordPress είναι "wp_". Οι χάκερ και τα βλαβερά bots μπορούν να χρησιμοποιήσουν αυτήν την τιμή πρόθεμα για να μαντέψουν με επιτυχία τα ονόματα των τραπεζών σας. Εφόσον το αρχείο wp-config.php είναι το σημείο όπου έχει οριστεί η τιμή του προθέματος βάσης δεδομένων WordPress, είναι ευκολότερο να αλλάξετε αυτήν την τιμή του προθέματος κατά την εγκατάσταση του WordPress. Μπορείτε να χρησιμοποιήσετε το πρόσθετο "Πρόβλημα αλλαγής πίνακα" ή, αν προτιμάτε να το κάνετε με το χέρι, ακολουθήστε τα παρακάτω βήματα:
1. Δημιουργήστε μια πλήρη αντίγραφο ασφαλείας της βάσης δεδομένων σας και φροντίστε να αποθηκεύσετε το αντίγραφο ασφαλείας κάπου ασφαλές. Ακολουθούν μερικά από τα εφεδρικά πρόσθετα που μπορείτε να χρησιμοποιήσετε.
2. Χρησιμοποιήστε το "phpmyadmin" στον πίνακα ελέγχου του κεντρικού υπολογιστή σας για να αφαιρέσετε πλήρως τη βάση δεδομένων του WordPress σε ένα αρχείο κειμένου. Δημιουργήστε αντίγραφα ασφαλείας και αυτού του αρχείου κειμένου.
3. Στη συνέχεια, χρησιμοποιήστε έναν επεξεργαστή κώδικα για να αντικαταστήσετε όλες τις τιμές προθέματος "wp_" με το δικό σας πρόθεμα.
4. Απενεργοποιήστε όλα τα πρόσθετα στον πίνακα διαχείρισης.
5. Τώρα, χρησιμοποιώντας το αρχείο που έχετε επεξεργαστεί στο τρίτο βήμα παραπάνω, εισαγάγετε τη νέα βάση δεδομένων μετά την κατάργηση του παλιού μέσω του phpMyAdmin.
6. Χρησιμοποιώντας τη νέα τιμή του προθέματος βάσης δεδομένων, επεξεργαστείτε το αρχείο "wp-config.php".
7. Τώρα, επανενεργοποιήστε τα plugins σας WordPress.
8. Για να αποθηκεύσετε τις ρυθμίσεις permalink, μεταβείτε στις Ρυθμίσεις και, στη συνέχεια, στο Permalinks; αυτό ανανεώνει τη δομή της διάρκειάς σας. Σημειώστε ότι η αλλαγή του προθέματος βάσης δεδομένων δεν πρέπει να αλλάξει το όνομα τομέα σας, τις ρυθμίσεις URL και permalink.
4. Αποκλεισμός συμβολοσειρών ερωτήματος που είναι δυνητικά επικίνδυνες
Για να αποτρέψετε τις επιθέσεις XSS (Cross Site Scripting), προσθέστε τον ακόλουθο κώδικα στο αρχείο .htaccess. Πρώτα, πριν προσθέσετε τον κώδικα, προσδιορίστε τις σειρές ερωτημάτων που είναι δυνητικά επικίνδυνες. Τα αιτήματα διεύθυνσης URL αφαιρούνται από πολλές κακόβουλες ενέσεις από αυτό το σύνολο κανόνων. Υπάρχουν δύο σημαντικά πράγματα που πρέπει να σημειώσουμε εδώ:
- Ορισμένα πρόσθετα ή θέματα διακόπτουν τις λειτουργίες, αν δεν αποκλείσετε συμβολοσειρές που χρησιμοποιούν ήδη.
- Αν και οι παρακάτω συμβολοσειρές είναι οι πιο συνηθισμένες, μπορείτε να επιλέξετε να προσθέσετε περισσότερες συμβολοσειρές.
RewriteCond% {REQUEST_METHOD} ^ (HEAD | TRACE | DELETE | TRACK) [NC] RewriteCond% {QUERY_STRING} ../ [NC, OR] RewriteCond% {QUERY_STRING} = NC ή OR RewriteCond% {QUERY_STRING} ftp: [NC, OR] RewriteCond% {QUERY_STRING} http: [NC, OR] RewriteCond% {QUERY_STRING} https: [NC], OR] RewriteCond% {QUERY_STRING} ^. * ([|] | (|) || '| "|; | | *). * [NC, OR] RewriteCond% {QUERY_STRING} ^. % 27C% 3C% 3C% 7B% 7C). [NC, OR] RewriteCond% {QUERY_STRING} ^. (% 0 |% A |% B |% C |% D | E |% F | 127.0). [NC, OR] RewriteCond% {QUERY_STRING} ^. * (Globals | encode | config | localhost | loopback). | [NC] RewriteRule ^ (. *) $ - [F, L]
5. Χρησιμοποιήστε το Deflect για να αποτρέψετε την επίθεση DDoS
Οι νεοσύστατες ιστοσελίδες, οι ανεξάρτητες ομάδες μέσων μαζικής ενημέρωσης και οι περιοχές των περισσότερων ακτιβιστών / ομάδων για τα ανθρώπινα δικαιώματα συνήθως δεν διαθέτουν τους τεχνικούς και οικονομικούς πόρους για να αντέξουν σε επίθεση διανομής DDoS. Εκεί βρίσκεται η περιοχή της Deflect. Απομακρύνετε τις ίδιες τις θέσεις ως μια λύση που είναι καλύτερη από τις εμπορικές επιλογές DDoS για την άμβλυνση της ρύπανσης.
Οι εμπορικές επιλογές για την άμβλυνση του DDoS κοστίζουν πολλά χρήματα και θα μπορούσαν να αλλάξουν τους όρους υπηρεσίας τους εάν μια ιστοσελίδα υπό την προστασία τους προσελκύει τακτικά επιθέσεις DDoS. Η εκτροπή προληπτικά σταματά τις επιθέσεις DDoS διατηρώντας τις ιστοσελίδες υπό συνεχή προστασία.
Ένα πλεονέκτημα της χρήσης του Deflect στον ιστότοπό σας είναι ότι σας εξοικονομεί χρήματα, μειώνοντας το στέλεχος του διακομιστή του πελάτη σας και των πόρων του sysadmin. Η εκτροπή θέτει όλους τους πηγαίους κώδικες και την τεκμηρίωση στον δημόσιο τομέα με άδεια Creative Commons. αυτό επιτρέπει σε οποιονδήποτε να μετριάσει τις επιθέσεις DDoS δημιουργώντας το δικό του δίκτυο Deflect. Μπορείτε να εγγραφείτε στην ιστοσελίδα τους ΔΩΡΕΑΝ και να αρχίσετε να χρησιμοποιείτε την υπηρεσία αμέσως.
6. Χρησιμοποιήστε το Secure Sockets Layer (SSL) και την προστασία του Firewall
Υπηρεσίες ασφαλείας όπως η Sucuri παρέχουν επιλογές ασφαλείας όπως εγκατάσταση πιστοποιητικού SSL (Secure Sockets Layer) και προστασίας από τείχη προστασίας (PCI). Πρόκειται για μια εύκολα προσιτή επιλογή για όλους, συμπεριλαμβανομένων των μη τεχνικών ατόμων.
Μπορείτε εύκολα να ρυθμίσετε λύσεις ασφαλείας όπως αυτή και να την αφήσετε να λειτουργήσει στο παρασκήνιο και, σε ορισμένες περιπτώσεις, να ενημερωθεί όπως είναι απαραίτητο (όπως το Sucuri). Πρόκειται για μια εξαιρετικά αποτελεσματική επιλογή ασφάλειας χαμηλής συντήρησης.
Ορισμένα πρόσθετα WordPress μπορούν να χρησιμοποιηθούν για την προσθήκη πιστοποιητικών στρώματος ασφαλών υποδοχών (SSL) στον ιστότοπό σας. Μερικά από τα πιο συνιστώμενα plug-ins του WordPress SSL είναι τα CM HTTPS Pro, το Really Simple SSL, το SSP SSL, το SSL Insecure Content Fixer και το Easy HTTPS Redirection.
Για να τελειώσει
Θα σημειώσατε σημαντικές βελτιώσεις ασφαλείας ιστότοπου χρησιμοποιώντας τα σημεία που περιγράφονται παραπάνω. Είναι χρήσιμο να σημειωθεί ότι η ασφάλεια του WordPress εξελίσσεται συνεχώς. Ο στόχος είναι να αμβλυνθούν οι κίνδυνοι και να μην εξαλειφθούν, καθώς αυτό είναι σχεδόν αδύνατο. Η ασφάλεια του WordPress είναι δυναμική και λειτουργεί σε στρώματα, επομένως δεν υπάρχει ένα plugin-fits-all ή ένα-tactic-fits-all.
Πιστοποίηση εικόνας: DDOS Attack Roadsign