Một kế hoạch SEO an toàn cho WordPress và nhà phát triển

WordPress cung cấp một phần ba đáng kinh ngạc của tất cả các trang web những ngày này. Nó đã là nền tảng CMS được lựa chọn cho cộng đồng của chúng tôi kể từ giữa năm khi nhiều tính năng SEO của WordPress được triển khai. Do đó, nó bị tấn công không ngừng , phần lớn là vì lý do spam SEO, nhưng các cuộc tấn công có thể leo thang đến mức tồi tệ hơn nhiều.

Dưới đây là một số nguyên tắc cơ bản về WordPress và cách đảm bảo trang web WordPress của bạn được an toàn.

WordPress có an toàn không?

Phiên bản mới nhất của WordPress rất an toàn. Việc bỏ qua để cập nhật nó, tuy nhiên, trong số những thứ khác, có thể làm cho nó không an toàn. Đây là lý do tại sao nhiều chuyên gia bảo mật và nhà phát triển không phải là người hâm mộ WordPress. WordPress cũng giống như mã spaghetti PHP vốn không an toàn, trong đó chính WordPress cảnh báo rằng các lỗ hổng bảo mật xuất phát từ các phần có thể mở rộng của nền tảng, cụ thể là các plugin và chủ đề .

Cập nhật WordPress

Không có thứ gọi là hệ thống an toàn 100 phần trăm. WordPress cần cập nhật bảo mật để hoạt động an toàn và những cập nhật đó không ảnh hưởng tiêu cực đến bạn. Bật cập nhật bảo mật tự động. Tuy nhiên, việc cập nhật lõi WordPress yêu cầu bạn đảm bảo mọi thứ đều tương thích. Cập nhật plugin và chủ đề ngay khi có phiên bản tương thích.

Mã nguồn mở

WordPress là mã nguồn mở, đòi hỏi rủi ro cũng như lợi ích. Dự án được hưởng lợi từ một cộng đồng nhà phát triển đóng góp mã cho lõi, nhóm cốt lõi vá các lỗ hổng bảo mật được tìm thấy bởi cộng đồng, trong khi côn đồ phát hiện ra các cách để mở những thứ mở ra. Các lỗ hổng được ghi vào các bản quét bằng cách khai thác các ứng dụng có thể phát hiện phiên bản nào của mọi thứ đang chạy để khớp với các lỗi đã biết với các phiên bản của bạn.

Bảo vệ bản thân trước

Có những điều bạn có thể làm để bảo vệ chính mình ngay cả khi bạn không có vai trò quản trị viên. Đảm bảo bạn đang làm việc trên một mạng an toàn với máy trạm được quét thường xuyên. Chặn quảng cáo để ngăn chặn các cuộc tấn công tinh vi giả trang thành hình ảnh . Sử dụng VPN để mã hóa đầu cuối bất cứ khi nào bạn làm việc tại các điểm truy cập WiFi công cộng để ngăn chặn các phiên tấn công và tấn công MITM .

Mật khẩu an toàn

Quản lý mật khẩu an toàn là rất quan trọng cho dù bạn có vai trò gì. Hãy chắc chắn rằng mật khẩu của bạn là duy nhất và đủ dài. Sự kết hợp của số và chữ không đủ an toàn, ngay cả khi có dấu chấm câu, khi mật khẩu không đủ dài. Bạn cần mật khẩu dài. Sử dụng các cụm từ bốn hoặc năm từ được xâu lại với nhau nếu bạn cần ghi nhớ nhưng tốt hơn là sử dụng trình quản lý mật khẩu tạo mật khẩu cho bạn.

Độ dài mật khẩu

Tại sao chiều dài rất quan trọng? Nói theo cách này, tám mật khẩu ký tự bị bẻ khóa trong vòng chưa đầy 2,5 giờ bằng cách sử dụng tiện ích nguồn mở và miễn phí có tên HashCat. Không quan trọng là mật khẩu của bạn khó hiểu đến mức nào, chỉ mất vài giờ để bẻ khóa mật khẩu ngắn. Bắt đầu từ 13+ ký tự, việc bẻ khóa bắt đầu trở nên không thể vượt qua, ít nhất là cho đến bây giờ.

Quản trị viên

Nếu bạn có vai trò người dùng quản trị viên, hãy tạo một người dùng mới cho chính bạn, giới hạn ở vai trò biên tập viên. Bắt đầu sử dụng hồ sơ mới thay vì quản trị viên. Bằng cách đó, các cuộc tấn công mạng diện rộng sẽ tập trung vào tấn công thông tin xác thực vai trò biên tập viên của bạn và nếu phiên của bạn bị tấn công, bạn có khả năng quản trị viên để thay đổi mật khẩu và kiểm soát vật lộn khỏi những kẻ xâm nhập. Buộc mọi người, có lẽ thông qua việc sử dụng plugin, để tuân theo chính sách mật khẩu mạnh.

Chính sách bảo mật

Nếu bạn có kinh nghiệm bảo mật, hãy thực hiện kiểm tra mã các plugin và chủ đề của bạn (rõ ràng). Thiết lập nguyên tắc đặc quyền tối thiểu cho tất cả người dùng. Sau đó, bạn đang buộc tin tặc thực hiện các thủ thuật popping shell và leo thang đặc quyền liên quan đến các mục tiêu tấn công khác ngoài thông tin đăng nhập WordPress.

Thay đổi quyền tập tin

Nếu bạn kiểm soát máy chủ, hãy cung cấp cho mình tài khoản SFTP thông qua việc sử dụng Bảng điều khiển nếu bạn có hoặc thử giao diện người dùng quản trị viên mà bạn có quyền truy cập. Nó có thể có tác dụng phụ là cấu hình thông tin đăng nhập để mở cửa sổ thiết bị đầu cuối shell an toàn (SSH). Bằng cách đó bạn có thể thực hiện các biện pháp bảo mật bổ sung bằng cách sử dụng các tiện ích hệ thống và hơn thế nữa.

Khóa các tập tin quan trọng

Có một vài tệp không bao giờ được truy cập ngoại trừ quá trình PHP chạy WordPress. Bạn có thể thay đổi quyền của tệp và chỉnh sửa tệp .htaccess để tiếp tục khóa các tệp này. Để thay đổi quyền truy cập tệp, hãy sử dụng máy khách SFTP của bạn (nếu có tùy chọn) hoặc mở cửa sổ vỏ thiết bị đầu cuối và chạy lệnh tiện ích chmod.

$ chmod 400 .wp-config
$ ls -la

Điều này có nghĩa là chỉ có quá trình PHP chạy WordPress mới có thể đọc tệp và không có gì khác. Tập tin không bao giờ nên có bộ cài đặt bit thực hiện các bit, như với chmod 700. Bạn phải luôn có số không ở vị trí thứ hai và thứ ba - đó là những gì thực sự khóa nó. Xác minh các thay đổi của bạn khi chạy tiện ích ls với các tùy chọn -la và xem xét.

Có các cài đặt cấp phép tệp nghiêm ngặt có nghĩa là không có gì có thể được ghi vào tệp, ngay cả bởi WordPress. Bạn sẽ muốn cấp lại quyền ghi $ chmod 600 .wp-configkhi có một bản cập nhật WordPress lớn trong đó tệp cấu hình có sửa đổi. Điều đó sẽ xảy ra cực kỳ hiếm khi, nếu có bao giờ.

Tệp đăng nhập WordPress

Tôi muốn khóa tệp wp-login.php bằng cách sử dụng quy tắc .htaccess. Giới hạn truy cập chỉ vào các địa chỉ IP của tôi là điều tuyệt vời khi tôi làm việc từ một IP được gán tĩnh hoặc một số ít địa chỉ cho chính tôi và một số người dùng. Không khó để thay đổi cài đặt nếu bạn đăng nhập từ một vị trí khác miễn là bạn có thể lấy được vỏ trên máy chủ. Chỉ cần nhận xét chỉ thị từ chối, đăng nhập bằng trình duyệt của bạn và bỏ ghi chú sau đó.

XSS và SQL tiêm

Cho đến nay, các cuộc tấn công đáng sợ nhất mà bạn sẽ gặp sẽ là kịch bản chéo trang (XSS) và SQL SQL. Có các quy tắc viết lại chuỗi truy vấn .htaccess mà bạn có thể sử dụng để dừng một số quy tắc này và tốt nhất bạn nên sử dụng một plugin sẽ quản lý điều này cho bạn. Một số plugin bảo mật sẽ quét cài đặt của bạn để tìm dấu hiệu thỏa hiệp. Nếu bạn biết cách sử dụng viết lại, chuyển hướng hoặc chặn chữ ký chuỗi truy vấn cho các cuộc tấn công bạn đọc hoặc xem trong nhật ký của bạn.

Plugin bảo mật

Một số plugin bảo mật sẽ quét cài đặt của bạn để tìm dấu hiệu thỏa hiệp. Wordfense là một plugin bảo mật phổ biến và được cập nhật thường xuyên. Sucuri Scanner có một tùy chọn trả phí sẽ quét cài đặt của bạn. Ninja Firewall sẽ cố gắng và hạn chế các cuộc tấn công dựa trên yêu cầu, chặn chúng trước khi chúng tiếp cận lõi WordPress. Bạn cũng có thể viết một ứng dụng sử dụng API Rủi ro Web mới của Google để quét các trang của trang web của bạn.