Sådan beskytter du din High Profile WordPress Website fra angreb
Behovet for WordPress-sikkerhed vokser i en accelerationsrate. Rapporter siger, at WordPress-websteder oplever 90.978 angreb pr. Minut. Siden udgivelsen har WordPress patched mere end 2.450 sårbarheder. Ud over de grundlæggende sikkerhedsforanstaltninger, du allerede tager for at beskytte dit websted, er der nogle avancerede WordPress-sikkerhedsforanstaltninger, herunder hvordan du forhindrer WordPress DDoS (Distributed Denial of Service) på din hjemmeside.
1. Sluk HTTP Trace-funktionaliteten
Angreb som Cross Site Scripting (XSS) og Cross Site Tracing (XST) er rettet mod systemer med aktiveret HTTP Trace-funktionalitet. De fleste webservers er som standard indstillet til at fungere med HTTP Trace, som det bruger til aktiviteter som debugging. Ved hjælp af headerforespørgsler ville hackere stjæle følsomme oplysninger såsom cookies ved at udføre et Cross Site Tracing-angreb. OWASP Top Ten Project tilbyder omfattende lister over sårbarheder og angreb på WordPress-websteder.
Af alle sårbarhedstyper er Cross Site Scripting nummer én. Faktisk er 46, 9% af alle hjemmesider sårbare over for denne type angreb. Hvis du vil deaktivere HTTP Trace-funktionaliteten, skal du føje følgende kode til din .htaccess-fil.
OmskrivningEngine På RewriteCond% {REQUEST_METHOD} ^ TRACE RewriteRule. * - [F]
2. Fjern WordPress-installationshovedudgange
Tjenester, der er specifikke for forskellige dele af din WordPress-hjemmeside, kræver, at du tilføjer masser af output i overskriften. Du kan fjerne disse output ved at tilføje koden nedenfor til "functions.php" -filen i dit tema.
remove_action ('wp_head', 'index_rel_link'); remove_action ('wp_head', 'feed_links', 2); remove_action ('wp_head', 'feed_links_extra', 3); remove_action ('wp_head', 'rsd_link'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'parent_post_rel_link', 10, 0); remove_action ('wp_head', 'start_post_rel_link', 10, 0); remove_action ('wp_head', 'adjacent_posts_rel_link_wp_head', 10, 0); remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wp_shortlink_wp_head', 10, 0); remove_action ('wp_head', 'noindex', 1);
3. Rediger standarddatabasenes præfiks for WordPress
Standard præfiksværdien for WordPress database tabeller er "wp_". Hackere og skadelige bots kan bruge denne præfiks værdi til at gætte din database tabel navne. Da wp-config.php-filen er, hvor din WordPress database præfiks værdi er indstillet, er det nemmere at ændre denne præfiks værdi ved installation af WordPress. Du kan bruge plugin'et Change Table Prefix, eller hvis du foretrækker at gøre det manuelt, skal du følge nedenstående trin:
1. Sikkerhedskopier din database fuldstændigt og sørg for at gemme sikkerhedskopien et sikkert sted. Her er nogle af de backup plugins, du kan bruge.
2. Brug "phpmyadmin" i dit webhost-kontrolpanel til helt at dump din WordPress-database til en tekstfil. Sikkerhedskopier også denne tekstfil.
3. Brug derefter en kode editor til at erstatte alle "wp_" præfiks værdier med dit eget præfiks.
4. Deaktiver alle plugins i dit admin panel.
5. Brug nu den fil, du har redigeret i det tredje trin ovenfor, til at importere den nye database, efter at du har fjernet den gamle via phpMyAdmin.
6. Rediger filen "wp-config.php" med den nye database præfiks værdi.
7. Genaktiver nu dine WordPress-plugins.
8. For at gemme permalinkindstillingerne skal du gå til Indstillinger og derefter til Permalinks; Dette opdaterer din websteds permalinkstruktur. Bemærk, at ændring af database præfiks ikke ændrer dit domænenavn, URL og permalink indstillinger.
4. Bloker forespørgselsstrengene, der er potentielt farlige
For at forhindre cross-site scripting (XSS) -angreb, tilføj følgende kode til din .htaccess-fil. Først, før du tilføjer koden, skal du identificere spørgeskemaer, der er potentielt farlige. URL-anmodninger fjernes fra mange ondsindede injektioner med dette regelsæt. Der er to vigtige ting at bemærke her:
- Visse plugins eller temaer bryder funktionaliteter, hvis du ikke udelukker strenge, som de allerede bruger.
- Selvom strengene nedenfor er de mest almindelige, kan du vælge at tilføje flere strenge.
Tag til RewriteCond% {REQUEST_METHOD} ^ (HEAD | TRACE | DELETE | TRACK) [NC] RewriteCond% {QUERY_STRING} ../ [NC, OR] RewriteCond% {QUERY_STRING} boot.ini [NC, OR] RewriteCond% {QUERY_STRING} = [NC, OR] RewriteCond% {QUERY_STRING} ftp: [NC, OR] RewriteCond% {QUERY_STRING} http: [NC, OR] RewriteCond% {QUERY_STRING} https: [NC, ELLER] RewriteCond% {QUERY_STRING} mosConfig [NC, OR] RewriteCond% {QUERY_STRING} ^. * ([|] | (|) || '| | |; | |)) * * [NC, OR] RewriteCond% {QUERY_STRING} ^. * (% 22 | % 27 |% 3C |% 3E |% 5C |% 7B |% 7C). * [NC, OR] RewriteCond% {QUERY_STRING} ^. * (% 0 |% A |% B |% C |% D |% E |% F | 127, 0). * [NC, OR] RewriteCond% {QUERY_STRING} ^. * (Globals | encode | config | localhost | loopback). * [NC, ELLER] RewriteCond% {QUERY_STRING} ^. * | vælg | indsæt | union | erklære | drop). * [NC] RewriteRule ^ (. *) $ - [F, L]
5. Brug Afbøjning for at forhindre DDoS-angreb
Fledgling websites, uafhængige mediegrupper og de fleste menneskerettighedsaktivister / grupper har normalt ikke de tekniske og finansielle ressourcer til at modstå et DDOS-angreb. Det er her, hvor Deflect kommer ind. Afbøj positionerne sig selv som en løsning, der er BEDRE end de kommercielle DDoS-begrænsningsmuligheder.
Kommercielle DDoS-afbødningsmuligheder koster mange penge og kan ændre deres servicevilkår, hvis et websted under deres beskyttelse tiltrækker DDoS-angreb regelmæssigt. Afbøjning proaktivt stopper DDoS-angreb ved at holde websteder under konstant beskyttelse.
En fordel ved at bruge Deflect på din hjemmeside er, at det sparer dig penge ved at sænke belastningen på din klients server- og sysadmin-ressourcer. Deflect sætter alle deres kildekoder og dokumentation i det offentlige område under en Creative Commons License; Dette gør det muligt for alle at afbøde DDoS-angreb ved at oprette deres eget Deflect-netværk. Du kan tilmelde dig GRATIS på deres hjemmeside og begynde at bruge tjenesten med det samme.
6. Brug Secure Sockets Layer (SSL) og Firewall Protection
Sikkerhedstjenester som Sucuri tilbyder sikkerhedsmuligheder som at installere et SSL-certifikat og firewall-beskyttelse, der er kompatibel med PCI. Dette er en let tilgængelig mulighed for alle, herunder ikke-tekniske personer.
Du kan nemt oprette sikkerhedsløsninger som denne og lade det fungere i baggrunden, og i nogle tilfælde opdatere sig selv efter behov (som Sucuri). Dette er en meget effektiv sikkerhedsfunktion med lav vedligeholdelse.
En række WordPress-plugins kan bruges til at tilføje SSL-certifikater til SSL-certifikater til dit websted. Nogle af de mest anbefalede WordPress SSL-plugins omfatter CM HTTPS Pro, Really Simple SSL, WP Force SSL, SSL Usikker Content Fixer og Easy HTTPS Omdirigering.
At pakke op
Du ville opleve markante forbedringer af webstedssikkerheden ved at bruge de punkter, der er beskrevet ovenfor. Det er nyttigt at bemærke, at WordPress-sikkerhed altid udvikler sig. Målet er at mindske risici, ikke fjerne dem, da det er næsten umuligt at gøre det. WordPress-sikkerhed er dynamisk og fungerer i lag, så der findes ingen plugin-fits-all eller one-tactic-fits-all.
Billedkredit: DDOS Attack Roadsign