WPHardening: Gennemgå sårbarheder og sikkerhedstjek i Wordpress web

Det hjemmesides sikkerhed er et af de vigtigste aspekter, at a Webmaster skal overveje.

Den webserver, vi bruger til vores websted under WordPress, kan også have sårbarheder, derfor skal vi sørge for at kontrollere, at den ikke har sikkerhedsproblemer eller tage handlinger for at forbedre sikkerheden. I andre selvstudier blev handlinger og værktøjer specificeret til at forstærke sikkerheden, f.eks. Ved at anvende:

1. Sikkerhedsforanstaltninger for VPS -servere
2. Sådan registreres og kontrolleres tjenester på Linux -servere

Et meget vigtigt aspekt at tage højde for er undgå at bruge en delt server, er de servere, der er vært for andre websteder, ud over vores websted og et websted på den samme server, der er sårbart, kan det kompromittere alle andre websteder, da filerne er i det samme rum og dermed sprede et angreb eller en infektion med virus.
Det websteder udviklet under Wordpress er følsomme til de fleste angreb, fordi 30% af webstederne er udviklet under denne platform.

Derfor er det vigtigt at vedtage foranstaltninger for at beskytte vores websted og vores data mod mulige angribere og minimere den risiko, vi har sårbarheder.

Strategier, vi kan implementere

Skift stien til mappen wp-indhold


Skift standardsti til WordPress wp-indholdsmappe, som er den mappe, hvor de fleste filer og plugins, temaer, der udgør vores websted, er placeret. Bedrifterne og malware vil lede efter denne mappe for at scanne og finde sårbarheder, hvis vi ændrer ruten, vil vi gøre sporing vanskeligere.

For at foretage ændringen af ​​ruten må vi rediger wp-config.php-filen og ændre konstanten wp_content_dir:

 definere ('WP_CONTENT_DIR', dirname (__ FILE__). ' / path / wp-content');
Med det ville han blive ændret.

Installer kun sikre plugins


Plugins kan fjernes fra det officielle WordPress.org -arkiv, hvis de ikke opdateres ofte, og dermed være i stand til at forsikre fællesskabet om, at plugins visse sikkerhed og også viser os, hvilke plugins der er mere accepterede af brugerne. Det faktum, at de ikke er ondsindede, betyder ikke, at de fungerer korrekt eller ikke har nogen sårbarheder.

Vi skal være opmærksomme, når et plugin ikke er blevet opdateret i årevis, det rapporteres at have fejl. Brugerfællesskabet har opdaget, at det indeholder en sikkerhedsrisiko.

Brug WPHardening at automatisere sikre installationer


WPHardening er en værktøj til at automatisere og udføre forskellige sikkerhedskontroller så vores Wordpress -websted konfigureres sikkert.

Dette projekt er lavet under Python og giver mulighed for at kontrollere forskellige aspekter af et udviklerwebsted under Wordpress for at lede efter sårbarheder.

En af de største fordele ved dette værktøj er automatisering af opgaver og sikkerhedsindstillinger er vigtige for at undgå at udsætte oplysninger for potentielle angribere. Der er mange værktøjer, der er specielt skabt til at indsamle og indsamle alle former for information i forbindelse med en WordPress -installation. Mange af Angreb mod WordPress -systemer starter normalt med forhåndsinformation baseret på scanninger og informationsindsamling.

WpHardening Det kan downloades til vores server eller lokale computer fra dens officielle side eller fra terminalen med kommandoen ved hjælp af kommandoen:

 git -klon https://github.com/elcodigok/wphardening.git
Vi kan også downloade det fra projektsiden på GitHub:

Når filen er installeret eller udpakket, kan vi få adgang til wphardening -mappen.

For at bruge dette værktøj skal vi kende ruten til internettet, som vi vil inspicere, og dette websted, siden det blev udviklet med Wordpress.

Dernæst skal vi opdatere wphardening for at sikre, at vi har de nyeste lagre og de seneste forbedringer, der er blevet indarbejdet, for dem udfører vi fra et terminalvindue følgende kommando:

 python wphardening.py -opdatering
Derefter kan vi begynde at bruge wphardening og kontrollere sikkerheden på et websted udviklet under wordpress ved hjælp af følgende kommando:
 python wphardening.py -d / home / myuser / myweb -v 
Husk, at den kun bruges lokalt, det vil sige på en lokal eller fjern server fra kommandolinjen og til websteder udviklet i wordpress.

For eksempel vil jeg bruge til denne vejledning et demo -websted lavet i Wordpress på en lokal server med Xampp:

Mange gange har vi problemer med fil- og mappetilladelser, der efterlader vores websted udsat for angreb eller ubudne gæster, for at løse dette problem bruger vi følgende kommando:

 python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -chmod -v 
Dette indstiller automatisk de anbefalede tilladelser til tilføjet sikkerhed.

En anden meget interessant mulighed for dette værktøj er muligheden for download og installer plugin og sikkerhedsværktøjer på en automatiseret måde anbefalet og testet.

 python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -plugins

Når vi udfører kommandoen, vil den bede os om tilladelse til at installere hvert sikkerhedsplugin, herunder et antivirus, exploit scanner, database manager, sikkerhed og sårbarhed scanner, blandt andre, i slutningen vil vi kunne se plugins installeret i plugin -mappe på vores Wordpress -websted. Disse plugins bruger proprietære online -værktøjer og databaser til at søge i filer og databaser på vores WordPress -websted efter rastos, eller de kan indikere, at du har været offer for ondsindede hackere.

 [vedhæftet fil = 12158: panta06.jpg.webp]
Derefter fra WordPress admin panel vi kan installere og aktivere sikkerhedsplugins.

En anden interessant mulighed er automatisk oprettelse af robots.txt -fil der automatisk nægter adgang til de vigtigste biblioteker på webstedet. Vi tilføjer også -o mulighed der giver os mulighed for at oprette en logfil med resultatet af den udførte opgave.

 python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -robots -o securitywp.log

Når vi udfører kommandoen, vil den bede os om webstedets sti, og derefter kan robots.txt -filen oprettes.

Sletning af de filer, der ikke bruges, er vigtig, da de fylder og kan være sårbare, da de normalt ikke vedligeholdes eller opdateres, også på et websted med mange filer kan de skabe forvirring, på grund af dem vil vi bruge parameterkommandoen remove til automatisk fjerne alle filer, der ikke bruges af vores websted.

 python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -fjerne -o securitywp.log 

I slutningen kan vi se den log, vi har oprettet med en liste over alle de filer, der er blevet slettet.

Det angreb på websteder og servere er forårsaget af sikkerhedsproblemer på grund af sårbarheder i din software enten på grund af programmeringsfejl eller forkert konfigureret software.

Disse sårbarheder giver angribere mulighed for at bruge et stort antal teknikkerf.eks. ved at bruge en URL -parameter til at køre en SQL -indsprøjtning, tilføje kode til din database via formularer, som kan tillade data at ændre eller slette vigtige data, f.eks. sletning af alle indlæg og sider eller forlader internettet deaktiveret.

De websteder, der er lavet under Wordpress, der modtog angreb, generelt skyldes det sårbarheder i et WordPress -plugin. Hackere indsætter ofte base-64-kodet malware, der giver dem mulighed for at udføre en PHP-funktion på vores websted. De kan også efterlade en bagdør et sted på dit websted. Dette er en teknik, de bruger til at få adgang til dit websted i fremtiden, selv denne type angreb inficerer normalt alle filer på nettet.

Husk, at alle de værktøjer, vi bruger, ikke garanterer sikkerheden på vores websted, derudover vi skal gennemføre sikkerhedspolitikker Hvad udføre trinvis sikkerhedskopiering af databasen og alle filer ugentligt eller dagligt.

Kan du lide og hjælpe denne vejledning?Du kan belønne forfatteren ved at trykke på denne knap for at give ham et positivt punkt
wave wave wave wave wave