WordPress yra saugi turinio valdymo sistema, bet, kadangi ji yra populiariausia turinio valdymo sistema (TVS) pasaulyje, ji sulaukia didesnio piktavalių dėmesio. Šiame straipsnyje aptarsime, kodėl reikia rūpintis svetainės saugumo, kokios dažniausios WordPress saugumo spragos, ir kaip sumažinti tikimybę, kad jūsų svetainė būtų pažeista.
Turinys
Kodėl svarbu rūpintis WordPress svetainės saugumu?
Svetainės saugumas yra svarbi dalis bet kurios svetainės sėkmės, nepriklausomai nuo verslo dydžio, ir vykdomos veiklos. Pateiksime kelias priežastis, kodėl svarbu rūpintis svetainės saugumu:
Google juodasis sąrašas
Google kasdien perspėja apie 10 000+ naujų svetainių, kurios gali turėti kenkėjišką programinę įrangą arba vagia informaciją. Be to, Google kas savaitę į juodajį sąrašą įtraukia apie 20 000 svetainių turinčių kenkėjiškos programinės įrangos ir apie 50 000 dėl apsimetimo kita svetaine (angl. phishing). Jei jūsų svetainė patektų į Google juodąjį sąrašą, tai reikštų, kad jūsų svetainės lankytojai matytų įspėjimus, kad jūsų svetainė yra nesaugi, ir tai sumažintų jūsų lankytojų srautą, pardavimus ir pasitikėjimą.
Duomenų praradimas ar vagystė
Jeigu į jūsų WordPress svetainė būtų įsilaužta, jūs rizikuotumėte prarasti savo svetainės turinį, dizainą, funkcionalumą ar net visą svetainę. Taip pat, jei jūsų svetainėje yra jautrių duomenų, pvz., vartotojų informacijos, klientų duomenų, mokėjimo informacijos ar konfidencialios verslo informacijos, tai ši informacija galėtų būti pavogta ir išplatinti įsilaužėlių. Tai galėtų sukelti teisinių pasėkmių, lemti baudas, klientų praradimą ir padaryti žalą jūsų ir jūsų verslo reputacijai.
Kenkėjiška programinė įranga ar nukreipimas
Jei jūsų WordPress svetainė būtų užkrėsta kenkėjiška programine įranga, tai galėtų pakenkti jūsų svetainės veikimui, greičiui ir stabilumui. Taip pat, kenkėjiška programinė įranga galėtų nukreipti jūsų svetainės lankytojus į kitas svetaines, kurios gali būti pavojingos ar netinkamos. Tai galėtų pakenkti jūsų svetainės patikimumui ir SEO.
Ar WordPress turinio valdymo sistema yra saugi?
Svetainės, kurios naudoja WordPress yra dažnas nusikaltėlių taikinys. 2019 94% visų sėkmingų atakų prieš svetaines, kurios naudoja turinio valdymo sistemą buvo nukreiptos į WordPress svetaines. Net žinant, kad WordPress naudojama 65.1% visų turinio valdymo sistemą naudojančių svetainių devynios iš dešimties atakų yra sąlyginai didelis skaičius.
Šie skaičiai gali kelti klausimą, ar saugu naudoti WordPress turinio valdymo sistemą? Trumpas atsakymas yra – taip. Bet kaip ir dauguma kitų klausimų, šis atsakymas nėra pilnas. WordPress turinio sistema yra atvirojo kodo, ir kurios išvaizda lengvai gali būti keičiama mokamų ir nemokamų temų pagalba, didelis mokamų ir nemokamė papildinių pasirinkimas leidžia lengvai praplėsti WordPress turinio valdymo sistemos funkcionaluma. Šios sąvybės yra tiek WordPress turinio valdymo sistemos populiarumo, tiek pažeidžiamumo priežastis. Šiuo metu https://wpscan.com duomenų bazėje yra beveik 47 tūkstančiai saugumo spragų, iš kurių tik 2% yra WordPress turinio valdymo sistemos. Pažeidžiamiausia svetainės dalis yra temos (4% žinomų saugumo spragų) ir papildiniai – 94% žinomų saugumo spragų.
Kokios būna dažniausios atakų rūšys?
Kas nutinka, jei ignoruoji statistiką, ir nesiimi veiksmų WordPress svetainės saugumo užtikrinimui? Šioje straipsnio dalyje pateiksime, kelias dažniausiai pasitaikančias kibernetinių atakų rūšis.
DDoS atakos
DDoS ataka yra kibernetinė ataka, kurios metu puolėjas užtvindo pasirinktą serverį, tarnybą ar tinklą interneto eismo srautu, siekdamas sutrikdyti normalų naudotojų prieigą prie susijusių internetinių paslaugų ir svetainių. DDoS atakos gali būti skirtingų tipų, priklausomai nuo to, kurios tinklo sluoksnio komponentai yra taikiniai. DDoS atakos reikalingos tam, kad sukeltų žalą ar nepatogumus savo aukoms, pvz., priversti jas prarasti pajamas, reputaciją ar klientus.
Backdor
„Backdoor“ yra kodas, kuris pridedamas prie svetainės, siekiant leisti piktavaliui gauti prieigą prie serverio, neatskleidžiant savo buvimo. „Backdoor“ gali būti naudojamas apeiti prisijungimo ekranus, kurti naujas administratoriaus paskyras, pasiekti, taisyti ir trinti informaciją ar net perimti visą svetainę.
„Backdoor“ gali patekti į WordPress svetainę įvairiais būdais, pvz., naudojant pažeidžiamus įskiepius ar temas, išnaudojant spragas WordPress branduolyje arba tiesiogiai įkeliant failus per FTP, ar naudojantis kita saugumo spraga, tokia, kaip nuotolinio kodo vykdymo spraga.
Norėdami apsaugoti savo WordPress svetainę nuo „backdoor“, turėtumėte reguliariai skenuoti savo svetainę naudodami saugumo įskiepį, atnaujinti savo WordPress, įskiepius ir temas, stiprinti savo prisijungimo duomenis ir naudoti patikimą svetainės talpinimo paslaugą.
Slaptažodžių spėjimas (bruteforce)
„Bruteforce“ atakos yra viena paprasčiausių kibernetinių atakų. Tai bandymai įsilaužti į svetainę, tinklą ar kompiuterinę sistemą, naudojant daugybę vartotojų vardų ir slaptažodžių kombinacijų. Jei pavyksta, įsilaužėliai gali perimti visą jūsų svetainės administravimo sritį, įdiegti kenkėjišką programinę įrangą, pavogti vartotojų informaciją ir ištrinti viską jūsų svetainėje.
WordPress svetainės yra dažnas „bruteforce“ atakų taikinys, nes WordPress yra labai populiarus ir daugelis vartotojų naudoja silpnus vartotojų vardus ir slaptažodžius. Tokios atakos gali sulėtinti ar net visiškai sutrikdyti jūsų svetainės veikimą, nes jos sukuria didelį apkrovimą jūsų serveriui.
Nuotolinio kodo vykdymo (remote code execution) atakos
Nuotolinio kodo vykdymo atakos yra kibernetinės atakos, kurios leidžia užpuolikui vykdyti savo kodą pažeidžiamoje sistemoje ar tinkle. Tai gali lemti duomenų vagystę, kenkėjiškų programų įdiegimą, tinklo sutrikimą ar kitus žalingus veiksmus.
WordPress svetainės gali būti pažeidžiamos nuotolinio kodo vykdymo atakoms, jei jos naudoja neatnaujintus arba nesaugius įskiepius, temas arba neatnaujintą WordPress versiją. Užpuolikai gali išnaudoti šias spragas, kad įterptų savo kodą į WordPress failus, duomenų bazes arba URL parametrus. Pavyzdžiui, 2023 m. buvo aptiktas kritinis nuotolinio kodo vykdymo pažeidžiamumas „Elementor Website Builder“ įskiepyje, kuris galėjo paveikti net 500 000 svetainių.
Įterptinių instrukcijų atakos (Cross-site scripting arba sutrumpintai XSS)
Cross-site scripting (XSS) yra viena iš dažniausių ir pavojingiausių saugumo grėsmių internete. XSS atakos vyksta tada, kai kibernetiniai nusikaltėliai įterpia kenksmingus JavaScript kodus į kitų tinklalapių turinį, kad galėtų pavogti ar manipuliuoti lankytojų duomenis, nukreipti juos į netikrus puslapius arba atlikti kitas žalingas operacijas12. XSS atakos gali paveikti bet kurią interneto svetainę, kuri naudoja vartotojų įvestį savo išvestyje, be to, jos yra labai paplitusios tarp WordPress svetainių.
SQL injekcijos atakos
SQL injekcijos atakos yra viena iš dažniausių ir pavojingiausių grėsmių interneto svetainėms, kurios naudoja duomenų bazes. SQL injekcijos atakos vyksta, kai puolėjas įterpia kenksmingas SQL komandas į svetainės formą ar adresą, siekdamas gauti prieigą prie duomenų bazės turinio ar jį pakeisti. SQL injekcijos atakos gali leisti puolėjui:
- Nuskaityti arba ištrinti privačius duomenis duomenis, pvz., vartotojų slaptažodžius, kreditinių kortelių numerius arba asmeninę informaciją.
- Pakeisti arba pridėti duomenis, pvz., įterpti reklamas, nuorodas arba kenksmingą kodą į svetainės puslapius.
- Sukelti svetainės veikimo sutrikimus.
- Panaudoti duomenų bazę kaip atsispyrimo tašką, kad galėtų pakenkti kitoms sistemoms ar tinklams.
WordPress yra populiariausia turinio valdymo sistema (TVS) pasaulyje, kuri naudoja MySQL duomenų bazę. WordPress svetainės yra ypač pažeidžiamos SQL injekcijos atakoms, nes:
- Daugelis WordPress svetainių naudoja standartinį duomenų bazės priedėlį “wp_”, kurį puolėjai lengvai atspėja.
- Daugelis WordPress svetainių naudoja neoficialius arba nepatikrintus temų arba įskiepių kūrėjus, kurie gali turėti saugumo spragų arba netgi būti specialiai sukurti piktavališkiems tikslams.
- Daugelis WordPress svetainių nėra reguliariai atnaujinamos arba patikrinamos dėl kenksmingų failų arba kodo.
SQL injekcijos atakos gali turėti rimtų pasekmių WordPress svetainėms ir jų savininkams, pvz.:
- Prarasti duomenis arba turinį, kurį reikėtų atkurti iš atsarginių kopijų arba naujo sukurti.
- Prarasti lankytojų arba klientų pasitikėjimą arba lojalumą, jei jų duomenys būtų pavogti.
- Prarasti pajamas arba reputaciją, jei svetainė būtų užkrėsta arba sutrikdytas jos veikimas.
- Patirti finansinę žalą, jei būtų pavogti jautrūs asmens duomenys.
WordPress saugumo gerosios praktikos
Dabar, kai baigėme kalbėti apie baisiąją dalį – kas gali nutikti, jei nesirūpinsime svetainės saugumu. Svetainių, įskaitant ir svetaines, kurios naudoja WordPress turinio valdymo sistemą saugumą galima pagerinti laikantis gerosios praktikos. Tai visiškai nepašalina tikimybės, kad svetainės saugumas bus pažeistas, bet žymiai sumažina tikimybę, kad tai atsitiks. Kai kurie iš šių patarimų pritaikomi daugumoje svetainių (pvz. stiprūs slaptažodžiai, dviejų faktorių prisijungimas, SSL ir ugnesienė), kiti yra specifiniai WordPress svetainėms (pvz. naudoti tik patikimas temas ir patikimus papildinius). Kad užtikrinti jūsų svetainės sauguma yra svarbu, kad laikytumėtes kiek įmanoma daugiau iš žemiau išvardintų patarimų.
Naudokite saugius slaptažodžius
Mes galvojome, kad ateityje turėsime skraidančius automobilius, bet net šiais metais tebėra žmonių, kurie tebenaudoja slaptažodžius tokius, kaip „123456″. Yra labai svarbu, kad visi vartotojai, turintys prieigą prie jūsų WordPress svetainės valdymo skydo naudotų saugius slaptažodžius. Net vienas silpnas slaptažodis gali pridaryti bėdų visiems vartotojams. Siūlome naudoti slaptažodžių valdymo programą, kuri generuoja saugius slaptažodžius ir padeda nepamiršti, kokį slaptažodį naudojote kurioje svetainėje.
Naudokite 2 faktorių prisijungimą
2 faktorių prisijungimas (2FA) reikalauja vartotojų patvirtinti prisijungimą naudojant kitą įrenginį. Tai vienas iš papraščiausių ir efektyviausių būdų apsaugoti savo paskyras.
Naudokite patikimą ir saugų svetainių talpinimo paslaugų teikėją
Pakalbėkime apie talpinimo paslaugų teikėją. Dauguma ieško pigiausio svetainių talpinimo plano, bet talpinimo teikėjas atlieka svarbų vaidmenį WordPress svetainės saugomo užtikrinime. Kai kitą kartą rinksitės talpinimo teikėją, atkreipkite dėmesį į talpinimo teikėjo siūlomas saugomo paslaugas tokias, kaip nemokamas „let’s encrypt“ SSL sertifikatas, saugumo spragų aptikimas, automatiniai atnaujinimai, prieigos kontrolė ir automatinių atsarginių kopijų kūrimas, ir atkūrimo iš jų paprastumas. Taip pat pasidomėkite, kokius žingsnius talpinimo teikėjas atlieka, kad apsaugoti jūsų duomenis, ir juos greitai atkurti atakos, ar kitos nelaimės atveju.
Naudokite SSL sertifikatą
SSL sertifikatas yra technologija, kuri užtikrina saugų duomenų perdavimą tarp lankytojo naršyklės ir svetainės serverio. SSL sertifikatas apsaugo svetainę ir jos lankytojus nuo trečiųjų šalių, kurios gali bandyti nuskaityti ar pavogti asmeninę ar finansinę informaciją. SSL sertifikatas taip pat gali padėti pagerinti svetainės SEO rezultatus, nes Google ir kiti paieškos varikliai teikia pirmenybę el. parduotuvėms turinčioms SSL sertifikatą.
Reguliariai atnaujinkite WordPress turinio valdymo sistemą, temas ir papildinius
Kaip ir didžiajai daliai programinės įrangos WordPress svetainėms reikalingi reguliarūs atnaujinimai, kurių metu ištaisomos klaidos, saugumo spragos, pagerinamas našumas, užtikrinamas suderinamumas su kita programine įranga ir kartais pridedama naujų funkcijų.
Apsaugokite savo wp-config.php failą
Failas wp-config.php yra svarbus WordPress diegimo failas, kuriame saugomi duomenų bazės prisijungimo duomenys, saugos raktai, lenteles prefiksas ir kiti nustatymai. Pradėti galėtumėte nustatant tinkamas teises, kurios užtikrintų, kad tik jūs (ir serveris) galėtų pasiekti failą (dažniausiai tai reiškia, kad reikia suteikti 400 arba 440 teises). Jei naudojate serverį, su .htaccess, jūs taip pat galite ten pridėti šį kodą (pačiame viršuje), kad uždrausti jo pasiekimą:
<files wp-config.php>
order allow,deny
deny from all
</files>
Apsaugokite savo .htaccess failą
.htaccess failas yra specialus failas, kuris leidžia koreguoti prieigą prie jūsų svetainės. Norėdami apsaugoti .htaccess failą nuo neteisėtos prieigos, galite pridėti šį kodą prie jo:
<Files .htaccess>
order allow,deny
deny from all
</Files>
Šis kodas uždraus bet kokį užklausimą .htaccess failui ir grąžins 403 Forbidden klaidą.
Apsaugokite savo wp-includes katalogą
wp-includes yra WordPress katalogas, kuriame saugomi pagrindiniai WordPress failai, tokių kaip funkcijos, klasės ir bibliotekos. Šis katalogas yra svarbus WordPress tinklalapio veikimui ir saugumui, todėl jį reikia apsaugoti nuo neleistinos prieigos ar modifikavimo. Kad apsaugotumėte wp-includes katalogą nuo neleistinos prieigos reikia pridėti šias eilutes į .htaccess failą, esantį jūsų tinklalapio šakniniame kataloge:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
Apsaugokite savo xmlrpc.php failą
xmlrpc.php yra WordPress failas, kuris leidžia duomenis siųsti ir gauti tarp WordPress ir kitų sistemų, naudojant HTTP kaip transporto mechanizmą ir XML kaip kodavimo mechanizmą. Šis protokolas buvo sukurtas, kad WordPress galėtų bendrauti su kitomis platformomis, tokiomis kaip mobiliosios programėlės, kitos tinklaraščių platformos ir Jetpack papildinys.
Tačiau xmlrpc.php taip pat gali sukelti saugumo problemas ir būti puolimo taikiniu. Pavyzdžiui, xmlrpc.php gali būti naudojamas bandant įsilaužti į jūsų WordPress svetainę, bandant atspėti slaptažodį. Be to, xmlrpc.php gali būti naudojamas siųsti nepageidaujamus pranešimus, vadinamus pingbackais, iš kitų svetainių.
Todėl rekomenduojama išjungti xmlrpc.php savo WordPress svetainėje, jei jums nereikia jo funkcijų. Tai galite padaryti pridėję šias kodo eilutes į savo .htaccess failą:
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Išjunkite failų redagavimą iš administravimo skydo
WordPress skydelis pagal nutylėjimą leidžia administratoriams redaguoti PHP failus, pvz., įskiepių ir temų failus. Tai dažnai yra pirmas įrankis, kurio puolikas naudos, jei galės prisijungti, nes tai leidžia vykdyti kodą. WordPress turi konstantą, kuri neleidžia redaguoti iš skydelio. Šios eilutės įdėjimas į wp-config.php yra lygus „edit_themes“, „edit_plugins“ ir „edit_files“ galimybių pašalinimui visiems vartotojams:
define('DISALLOW_FILE_EDIT', true);
Apsaugokite wp-admin katalogą
Pridedant serverio pusės slaptažodžio apsaugą (pvz., BasicAuth) į /wp-admin/ pridedamas antras apsaugos sluoksnis aplink jūsų tinklaraščio administravimo sritį, prisijungimo ekraną ir jūsų failus. Tai verčia puolančiąją ar botą atakuoti šį antrą apsaugos sluoksnį, o ne jūsų tikruosius administravimo failus. Daugelis WordPress atakų vykdomos automatiškai kenkėjiškų robotų.
Paprastai užtikrinant wp-admin/ katalogo saugumą gali nukentėti dalis WordPress funkcionalumo, pvz., AJAX tvarkyklė wp-admin/admin-ajax.php. Žemiau pateikiame instrukciją, kaip apsaugoti wp-admin katalogą slaptažodžiu:
1. Sukurkite .htaccess failą wp-admin kataloge.
2. Įterpkite šias kodo eilutes į naujai sukurtą failą
AuthName "Admins Only"
AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername
3. Pakeiskite „AuthUserFile“ parametrą į kelią iki .htpasswd failo.
4. Sukurkite .htpasswd failą wp-admin kataloge.
5. Susigeneruokite .htpasswd failo turinį naudodamiesi šia svetaine https://hostingcanada.org/htpasswd-generator/
6. Įklijuokite gautą rezultatą į .htpasswd failą.
Dažniausios atakos prieš WordPress tinklaraštį paprastai skirstomos į dvi kategorijas.
- Siunčiant specialiai sukurtus HTTP užklausas į jūsų serverį su konkrečiais išnaudojimo apkrovos duomenimis konkrečioms pažeidžiamybėms. Į tai įeina seni / pasenusi įskiepiai ir programinė įranga.
- Bandydami patekti į jūsų tinklaraštį naudodami „brute-force“ slaptažodžio spėjimą.
Svarbiausias šio „antro sluoksnio“ slaptažodžio apsaugos įgyvendinimas yra reikalauti HTTPS – SSL šifruoto ryšio administravimui, kad būtų užšifruota visa komunikacija ir jautūs duomenys.
Reguliariai kurkite savo svetainės atsargines kopijas
WordPress svetainės atsarginės kopijos yra svarbios, nes jos leidžia jums atkurti savo svetainę atveju, jei ji būtų pažeista, užkrėsta virusais, prarastų duomenis ar patirtų kitokių problemų. Atsarginės kopijos saugo jūsų svetainės failus ir duomenų bazę, kurioje laikomas visas jūsų turinys, nustatymai ir dizainas.
Yra keletas būdų, kaip kurti WordPress svetainės atsargines kopijas, ir aš pateiksiu jums tris populiariausius:
- Naudoti WordPress įskiepį. Yra daug nemokamų ir mokamų WordPress įskiepių, kurie leidžia jums kurti ir atkurti atsargines kopijas tiesiai iš jūsų WordPress valdymo skydo. Šis metodas yra lankstus ir universalus, bet jis reikalauja papildomo įdiegimo ir konfigūravimo. Kai kurie populiariausi WordPress įskiepiai atsarginėms kopijoms yra UpdraftPlus, BackupBuddy ir Duplicator.
- Naudoti FTP ir phpMyAdmin. Tai yra pačias žemiausio lygio ir sudėtingiausias būdas kurti WordPress svetainės atsargines kopijas, kuris reikalauja jums prisijungti prie savo serverio per FTP ir rankiniu būdu kopijuoti visus jūsų svetainės failus į savo kompiuterį. Taip pat jums reikia prisijungti prie savo duomenų bazės per phpMyAdmin ir eksportuoti visą jūsų duomenų bazės turinį į SQL failą. Šis metodas yra labai techniškas ir laiko reikalaujantis, bet jis suteikia jums pilną kontrolę ir lankstumą.
Ištrinkite nenaudojamus temas ir papildinius
Nenaudojamų wordpress temų ir papildinių ištrynimas yra svarbus dėl kelių priežasčių, tokių kaip:
- Saugumas: Nenaudojami arba seni papildiniai ir temos gali būti pažeidžiami arba turėti kenkėjiško kodo, kuris gali paveikti tavo svetainės veikimą arba saugumą.
- Našumas: Kiekvienas papildinys ar tema, kurią įdiegi, padidina serverio apkrovą ir puslapio dydį, todėl tavo svetainė gali veikti lėčiau.
- Tvarka: Ištrinant nenaudojamus papildinius ir temas, taip pat išvalai savo svetainės failų ir duomenų bazės tvarką, o tai padeda lengviau valdyti ir atsarginėms kopijoms.
Todėl rekomenduojama reguliariai tikrinti ir atnaujinti savo papildinius ir temas, o jei jų nenaudoji, pašalinti juos. Taip pat gali naudoti valdomą wordpress prieglobą, kuris automatiškai atnaujina tavo papildinius ir temas.
Naudokite tik patikimus WordPress papildinius ir temas
Piratinės WordPress temos ir papildiniai yra pavojingi jūsų tinklalapiui ir jūsų lankytojams. Piratinės versijos gali turėti kenksmingą kodą, kuris gali platinti virusus, vogti duomenis, rodyti nepageidaujamą reklamą ar nukreipti lankytojus į prastos reputacijos tinklalapius. Be to, piratinės versijos negauna oficialių atnaujinimų, kurie pašalina saugumo spragas ir prideda naujų funkcijų. Todėl, jei norite turėti saugų, patikimą ir profesionalų tinklalapį, rekomenduojama naudoti tik licencijuotas WordPress temas ir papildinius, kurios užtikrina kokybę, palaikymą ir atsakomybę.
Naudokite tinkamą failų ir katalogų leidimų lygį
Kai kurios WordPress funkcijos yra labai patogios, nes leidžia įvairiems failams būti rašomiems interneto serverio. Tačiau leisti rašyti prieigą prie savo failų yra potencialiai pavojinga, ypač bendro naudojimo aplinkoje.
Geriausia kiek įmanoma apriboti savo failų leidimus ir juos atlaisvinti tik tada, kai reikia leisti rašyti prieigą, arba sukurti tam tikrus aplankus su mažiau apribojimų tam, kad galėtumėte daryti tokius dalykus kaip failų įkėlimas.
Štai vienas galimas leidimų schema.
Visi failai turėtų priklausyti jūsų vartotojo paskyrai ir būti rašomi tik jums. Bet kuris failas, kuriam reikia rašyti prieigos iš WordPress, turėtų būti rašomas interneto serverio, jei jūsų prieglobos nustatymas to reikalauja, tai gali reikšti, kad tie failai turi būti grupės nuosavybės vartotojo paskyros, kurią naudoja interneto serverio procesas.
/
Pagrindinis WordPress katalogas: visi failai turėtų būti rašomi tik jūsų vartotojo paskyros, išskyrus .htaccess, jei norite, kad WordPress automatiškai sugeneruotų perskirstymo taisykles.
/wp-admin/
WordPress administravimo sritis: visi failai turėtų būti rašomi tik jūsų vartotojo paskyros.
/wp-includes/
Didžioji dalis WordPress programos logikos: visi failai turėtų būti rašomi tik jūsų vartotojo paskyros.
/wp-content/
Vartotojo pateiktas turinys: skirtas būti rašomas jūsų vartotojo paskyros ir interneto serverio proceso.
/wp-content/ viduje rasite:
/wp-content/themes/
Temos failai. Jei norite naudoti įtaisytą temos redaktorių, visi failai turi būti rašomi interneto serverio proceso. Jei nenorite naudoti įtaisytą temos redaktorių, visi failai gali būti rašomi tik jūsų vartotojo paskyros.
/wp-content/plugins/
Papildinių failai: visi failai turėtų būti rašomi tik jūsų vartotojo paskyros.
Kiti katalogai, kurie gali būti su /wp-content/, turėtų būti dokumentuoti pagal tai, kuris papildinys ar tema jų reikalauja. Leidimai gali skirtis.
Kaip pakeisti failų teises?
Jei turite konsolės prieigą prie serverio, failų teises rakursiškai galite pakeisti naudodami šias komandas:
Aplankams:
find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;
Failams:
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;
Naudokite tinkamą vartotojų ir rolių valdymą
WordPress yra populiari turinio valdymo sistema, kuri leidžia kurti ir tvarkyti svetaines. WordPress svetainėse galima priskirti skirtingus vartotojus ir roles, kurios nustato, ką jie gali ir negali daryti svetainėje. Šiame straipsnyje trumpai apžvelgsime, kaip tinkamai valdyti WordPress svetainės vartotojus ir roles.
WordPress turi šešias standartines roles: Super Admin, Administrator, Editor, Author, Contributor ir Subscriber. Kiekviena rolė turi tam tikrą rinkinį leidimų, vadinamų Capabilities. Leidimai apima tokias užduotis kaip rašyti ir redaguoti įrašus, kurti puslapius, kategorijas, moderuoti komentarus, valdyti papildinius, temas ir kitus vartotojus. Svetainės savininkas gali priskirti konkrečią rolę kiekvienam vartotojui, naudodamasis Administravimo ekranais > Nustatymai > Bendri. Taip pat galima pridėti ar pašalinti leidimus naudojant add_cap() ir remove_cap() funkcijas, arba sukurti ar ištrinti naujas roles naudojant add_role() ir remove_role() funkcijas1.
Super Admin rolė suteikia vartotojui visus galimus leidimus. Ši rolė yra skirta tik daugiapakopėms svetainėms, kuriose Super Admin gali valdyti tinklo administravimo funkcijas ir visas kitas funkcijas1. Administrator rolė suteikia vartotojui visus administravimo leidimus vienoje svetainėje. Editor rolė leidžia vartotojui publikuoti ir valdyti įrašus, įskaitant kitų vartotojų įrašus. Author rolė leidžia vartotojui publikuoti ir valdyti tik savo įrašus. Contributor rolė leidžia vartotojui rašyti ir valdyti tik savo įrašus, bet ne publikuoti juos. Subscriber rolė leidžia vartotojui tik tvarkyti savo profilį1.
Valdyti WordPress svetainės vartotojus ir roles yra svarbu, kad būtų užtikrintas saugumas, efektyvumas ir kokybė. Valdant vartotojus ir roles, reikėtų laikytis šių principų:
- Priskirti vartotojams tik tuos leidimus, kurių jiems reikia atlikti savo užduotis. Tai padės išvengti klaidų, konfliktų ir piktnaudžiavimo.
- Sukurti ir naudoti pritaikytas roles, jei standartinės roles neatitinka svetainės poreikių. Tai padės optimizuoti darbo procesus ir suteikti lankstumo.
- Reguliariai tikrinti ir atnaujinti vartotojų ir rolių sąrašus, kad būtų pašalinti neaktyvūs ar nereikalingi vartotojai. Tai padės išlaikyti tvarką ir saugumą.
Naudokite „Cloudflare“ CDN
Cloudflare yra turinio pristatymo tinklas (CDN) ir saugos kompanija, kuri gali padėti WordPress svetainėms pagerinti greitį, sumažinti apkrovą ir apsisaugoti nuo įsilaužimų, DDoS atakų ir kitų grėsmių. Cloudflare veikia kaip tarpininkas tarp jūsų svetainės ir jos lankytojų, filtruodamas netinkamą srautą ir teikdamas turinį iš artimiausių serverių.
Cloudflare gali padėti užtikrinant WordPress saugumą šiais būdais:
- Cloudflare naudoja savo tinklo intelektą ir bendruomenės duomenis, kad aptiktų ir blokuotų kenkėjiškus IP adresus, botus ir žalingas užklausas.
- Cloudflare taip pat siūlo papildomus saugumo funkcijas, tokias kaip „Web Application Firewall“ (WAF), kuris gali apsaugoti jūsų svetainę nuo įvairių pažeidžiamumų, tokių kaip SQL injekcijos, XSS atakos ir slaptažodžių spėjimo („brute force“) atakos.
- Cloudflare gali padėti jūsų svetainei išlikti veikiančiai net ir tada, kai jūsų pagrindinis serveris yra neveikiantis arba patiria didelę apkrovą, nes jis gali talpinti jūsų statinį turinį savo CDN ir rodyti „Always Online“ puslapį, jei jūsų svetainė yra nepasiekiama.
Turėkite testinę aplinką pakeitimų testavimui
Testinė aplinka yra būtina, jei nori išbandyti savo wordpress pakeitimus, prieš juos perkeldamas į realią svetainę. Taip galima išvengti klaidų, sutrikimų ir duomenų praradimo, kurie gali atsirasti dėl netinkamų ar nesuderinamų pakeitimų. Testinė aplinka taip pat leidžia lengviau eksperimentuoti ir mokytis wordpress funkcijų ir galimybių.
Yra keletas būdų, kaip susikurti testinę aplinką wordpress. Vienas iš jų yra naudoti specialią programą, kuri leidžia įdiegti wordpress savo kompiuteryje ir veikti kaip vietinis serveris. Tokios programos yra XAMPP, WAMP, MAMP ir kiti. Šis metodas reikalauja šiek tiek techninių žinių ir konfigūravimo, bet suteikia didelę laisvę ir kontrolę.
Kitas būdas yra naudoti internetines paslaugas, kurios siūlo nemokamus ar pigius testinius wordpress tinklalapius. Tokios paslaugos yra Qsandbox, WP Sandbox ir kiti. Šis metodas yra paprastesnis ir greitesnis, bet turi tam tikrų apribojimų ir trūkumų, pvz., laikino tinklalapio galiojimo termino, riboto duomenų kiekio ir funkcionalumo.
Naudokite tinkamą svetainės saugumo audito sprendimą
WordPress svetainės saugumo auditas yra procesas, kuriuo tikrinama, ar jūsų svetainė yra atspari įsilaužimams, virusams ir kitoms grėsmėms. Audito metu analizuojami saugumo politika, saugumo valdymas ir galimos rizikos, susijusios su jūsų svetainės kodu, duomenimis ir turiniu. Audito tikslas yra rasti ir pašalinti pažeidžiamas vietas, kurias gali išnaudoti piktavaliai, ir pasiūlyti patikimus sprendimus, kaip pagerinti svetainės apsaugą.
Yra daug įrankių, kurie gali padėti atlikti WordPress svetainės saugumo auditą. Kai kurie iš jų yra:
- Wordfence – tai populiariausias WordPress saugumo įskiepis, kuris apsaugo svetainę nuo įsilaužimų, kenkėjiškų programų, DDoS atakų ir kitų grėsmių. Wordfence taip pat suteikia svetainės saugumo skenavimą, pranešimus, užkardymą, dviejų veiksnių autentifikavimą ir daugiau.
- Sucuri – tai visapusiška WordPress saugumo platforma, kuri siūlo svetainės saugumo skenavimą, kenkėjiškų programų šalinimą, užkardymo sistemą, CDN ir SSL sertifikatą. Sucuri taip pat padeda greitinti svetainės veikimą ir pagerinti SEO.
- iThemes Security – tai dar vienas galingas WordPress saugumo įskiepis, kuris apima daugybę funkcijų, tokių kaip slaptažodžių stiprumo matuoklis, failų palyginimas, blogų naudotojų blokavimas, saugos kopijų kūrimas ir kt. iThemes Security taip pat leidžia nustatyti saugumo reitingą ir patarimus, kaip jį pagerinti.
Patikėkite svetainės priežiūrą profesionalams
Svetainės priežiūros paslauga, padeda jums užtikrinti savo WordPress svetainės saugumą ir stabilumą, padeda išspręsti iškilusias problemas. Ši paslauga gali apimti:
- Svetainės pažeidžiamumų analizę ir šalinimą
- Svetainės atsarginių kopijų kūrimą ir atkūrimą
- Svetainės atnaujinimų diegimą
- Svetainės apsaugos nuo kenkėjiškų programų ir įsilaužimų įdiegimą ir konfigūravimą
- Svetainės saugumo politikos ir rekomendacijų pateikimą
- Svetainės saugumo incidentų prevenciją ir reagavimą
- Svetainės talpinimą
Naudodami svetainės priežiūros paslaugą, jūs galite pagerinti savo WordPress svetainės patikimumą, greitį ir našumą, taip pat sumažinti riziką patirti duomenų praradimą, reputacijos žalą ar teisines problemas, sutaupo jūsų laiką suteikiant pagalbą ir sprendžiant iškilusias problemas.
