Hvordan beskytte din High Profile WordPress Website fra angrep
Behovet for WordPress-sikkerhet vokser i akselererende takt. Rapporter sier at WordPress-nettsteder opplever 90 978 angrep per minutt. Siden utgivelsen har WordPress lappet mer enn 2.450 sårbarheter. I tillegg til de grunnleggende sikkerhetstiltakene du allerede tar for å beskytte nettstedet ditt, er det noen avanserte WordPress-sikkerhetsforanstaltninger, inkludert hvordan du forhindrer WordPress DDoS (Distributed Denial of Service) på nettstedet ditt.
1. Slå av HTTP Trace-funksjonaliteten
Angrep som Cross Site Scripting (XSS) og Cross Site Tracing (XST) er rettet mot systemer med aktivert HTTP Trace-funksjonalitet. De fleste webservere er som standard angitt for å fungere med HTTP Trace som den bruker til aktiviteter som feilsøking. Ved å bruke headerforespørsler, ville hackere stjele sensitiv informasjon, for eksempel informasjonskapsler ved å utføre et cross-site tracing-angrep. OWASP Top Ten Project tilbyr omfattende lister over sårbarheter og angrep på WordPress-nettsteder.
Av alle typer sårbarhet er Cross Site Scripting rangert som nummer ett. Faktisk er 46, 9% av alle nettsteder sårbare for denne type angrep. Hvis du vil deaktivere HTTP Trace-funksjonaliteten, legger du til følgende kode i .htaccess-filen.
RewriteEngine On RewriteCond% {REQUEST_METHOD} ^ TRACE RewriteRule. * - [F]
2. Fjern WordPress-installasjonshodeutgangene
Tjenester som er spesifikke for ulike deler av WordPress-nettstedet ditt, krever at du legger mye utdata i overskriften. Du kan fjerne disse utgangene ved å legge til koden under til "functions.php" -filen til temaet ditt.
remove_action ('wp_head', 'index_rel_link'); remove_action ('wp_head', 'feed_links', 2); remove_action ('wp_head', 'feed_links_extra', 3); remove_action ('wp_head', 'rsd_link'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'parent_post_rel_link', 10, 0); remove_action ('wp_head', 'start_post_rel_link', 10, 0); remove_action ('wp_head', 'neighbor_posts_rel_link_wp_head', 10, 0); remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wp_shortlink_wp_head', 10, 0); remove_action ('wp_head', 'noindex', 1);
3. Endre standarddatabasenes prefiks for WordPress
Standard prefiksverdien for WordPress databasetabeller er "wp_". Hackere og skadelige bots kan bruke denne prefiksverdien til å gjette databasetabellnavnene dine. Siden wp-config.php-filen er der verdien for WordPress-databasen er satt, er det lettere å endre denne prefiksverdien ved installering av WordPress. Du kan bruke Plugin for Change Table Prefix, eller hvis du foretrekker å gjøre det manuelt, følger du trinnene nedenfor:
1. Ta sikkerhetskopi av databasen og sørg for å lagre sikkerhetskopien et sted trygt. Her er noen av de backup-pluginene du kan bruke.
2. Bruk "phpmyadmin" i webverts kontrollpanelet for å fullstendig dumpe WordPress-databasen til en tekstfil. Sikkerhetskopier også denne tekstfilen.
3. Bruk deretter en kodeditor til å erstatte alle "wp_" prefiksverdier med ditt eget prefiks.
4. Deaktiver alle programtillegg i administrasjonspanelet.
5. Nå, ved å bruke filen du har redigert i tredje trinnet ovenfor, importerer du den nye databasen etter at du har fjernet den gamle via phpMyAdmin.
6. Rediger "wp-config.php" -filen ved hjelp av den nye databasens prefiksverdi.
7. Gjenta nå WordPress-pluginene dine.
8. For å lagre permalinkinnstillingene, gå til Innstillinger og deretter til Permalinks; Dette oppdaterer nettstedets permalinkstruktur. Vær oppmerksom på at endring av database prefiks ikke bør endre domenenavn, URL og permalink innstillinger.
4. Blokker forespørselsstrenger som er potensielt farlige
For å forhindre cross-site scripting (XSS) angrep, legg til følgende kode i .htaccess-filen din. Først må du identifisere spørringsstrenger som er potensielt farlige før du legger til koden. URL-forespørsler er fjernet av mange ondsinnede injeksjoner med dette settet av regler. Det er to viktige ting å merke seg her:
- Enkelte plugins eller temaer bryter funksjonalitet hvis du ikke utelukker strenger som de allerede bruker.
- Selv om strengene nedenfor er de vanligste, kan du velge å legge til flere strenger.
RewriteCond% {REQUEST_METHOD} ^ (HEAD | TRACE | DELETE | TRACK) [NC] RewriteCond% {QUERY_STRING} ../ [NC, OR] RewriteCond% {QUERY_STRING} tagg for boot.ini [NC, OR] RewriteCond% {QUERY_STRING} = [NC, OR] RewriteCond% {QUERY_STRING} ftp: [NC, OR] RewriteCond% {QUERY_STRING} http: [NC, OR] RewriteCond% {QUERY_STRING} https: [NC, ELLER] RewriteCond% {QUERY_STRING} mosConfig [NC, OR] RewriteCond% {QUERY_STRING} ^. * ([|] | (|) || '| | |; | | *). * [NC, OR] RewriteCond% {QUERY_STRING} ^. * (% 22 | % 27 |% 3C |% 3E |% 5C |% 7B |% 7C). * [NC, OR] RewriteCond% {QUERY_STRING} ^. * (% 0 |% A |% B |% C |% D |% E |% F | 127, 0). * [NC, OR] RewriteCond% {QUERY_STRING} ^. * (Globals | encode | config | localhost | loopback). * [NC, OR] RewriteCond% {QUERY_STRING} ^. * | select | insert | union | deklar | drop). * [NC] RewriteRule ^ (. *) $ - [F, L]
5. Bruk Deflect for å forhindre DDoS-angrep
Fledgling nettsteder, uavhengige mediegrupper og nettsteder for de fleste menneskerettighetsaktivister / grupper har vanligvis ikke de tekniske og økonomiske ressursene for å motstå et DDOS-angrep. Det er der Deflect kommer inn. Deflekter posisjoner seg selv som en løsning som er BEDRE enn kommersielle DDoS-reduksjonsalternativer.
Kommersielle DDoS-reduksjonsalternativer koster mye penger og kan endre tjenestevilkår dersom et nettsted under deres beskyttelse tiltrekker DDoS-angrep regelmessig. Deflect proactively stopper DDoS-angrep ved å holde nettsteder under konstant beskyttelse.
En fordel ved å bruke Deflect på nettstedet ditt er at det sparer penger ved å senke belastningen på kundens server- og sysadminressurser. Deflect setter alle kildekoder og dokumentasjon i det offentlige området under en Creative Commons License; Dette gjør det mulig for alle å redusere DDoS-angrep ved å sette opp eget Deflect-nettverk. Du kan registrere deg på deres hjemmeside GRATIS og begynne å bruke tjenesten med en gang.
6. Bruk Secure Sockets Layer (SSL) og brannmurbeskyttelse
Sikkerhetstjenester som Sucuri tilbyr sikkerhetsalternativer som å installere et SSL-sertifikat og brannmurbeskyttelse som er kompatibelt med PCI. Dette er et lett tilgjengelig alternativ for alle, inkludert ikke-tekniske personer.
Du kan enkelt sette opp sikkerhetsløsninger som dette, og la det fungere i bakgrunnen, og i noen tilfeller oppdatere seg selv etter behov (som Sucuri). Dette er et svært effektivt, lavt vedlikeholdsalternativ.
En rekke WordPress-plugins kan brukes til å legge til SSL-sertifikater til nettstedet ditt. Noen av de mest anbefalte WordPress SSL-pluginene inkluderer CM HTTPS Pro, Svært enkel SSL, WP Force SSL, SSL Insecure Content Fixer og Easy HTTPS Omdirigering.
For å avslutte
Du vil oppleve merkede forbedringer på webområdet ved å bruke punktene som er beskrevet ovenfor. Det er nyttig å merke seg at WordPress-sikkerhet alltid utvikler seg. Målet er å redusere risikoen, ikke eliminere dem, da det er nesten umulig å gjøre det. WordPress-sikkerhet er dynamisk og fungerer i lag, så det finnes ingen plugin-fits-all eller one-tactic-fits-all.
Bilde kreditt: DDOS Attack Roadsign