WPHardening: Granska sårbarheter och säkerhetskontroller i Wordpress -webben

De webbplatsens säkerhet är en av de viktigaste aspekterna som a Webbansvarig måste överväga.

Webbservern som vi använder för vår webbplats under WordPress kan också ha sårbarheter, därför måste vi se till att den inte har säkerhetsproblem eller vidta åtgärder för att förbättra säkerheten. I andra självstudier specificerades åtgärder och verktyg för att förstärka säkerheten, till exempel genom att tillämpa:

1. Säkerhetsåtgärder för VPS -servrar
2. Hur man upptäcker och styr tjänster på Linux -servrar

En mycket viktig aspekt att ta hänsyn till är undvik att använda en delad server, är de servrar som är värd för andra webbplatser, förutom vår webbplats och en webbplats på samma server som är sårbar, kan det äventyra alla andra webbplatser eftersom filerna finns i samma utrymme och därmed sprida en attack eller en infektion av virus.
De webbplatser som utvecklats under Wordpress är känsliga till de flesta attacker eftersom 30% av webbplatserna är utvecklade under denna plattform.

Därför är det viktigt att vidta åtgärder för att skydda vår webbplats och våra data från eventuella angripare och minimera risken som vi har sårbarheter.

Strategier vi kan genomföra

Ändra sökvägen till mappen wp-content


Ändra standardvägen till WordPress wp-innehållsmapp, som är mappen där de flesta filer och plugins, teman som utgör vår webbplats finns. Bedrifterna och skadlig programvara kommer att leta efter den här mappen för att skanna och hitta sårbarheter, om vi ändrar rutten kommer vi att göra spårningen svårare.

För att göra ruttbyten måste vi redigera filen wp-config.php och ändra konstanten wp_content_dir:

 definiera ('WP_CONTENT_DIR', dirname (__ FILE__). ' / path / wp-content');
Med det skulle han förändras.

Installera endast säkra plugins


Insticksprogrammen kan tas bort från det officiella WordPress.org -förvaret, om de inte uppdateras ofta, och på så sätt kunna försäkra communityn om att pluginsna har viss säkerhet och också visar vilka plugins som är mer accepterade av användare. Det faktum att de inte är skadliga innebär inte att de fungerar korrekt eller inte har några sårbarheter.

Vi måste vara uppmärksamma när ett plugin inte har uppdaterats på åratal, det rapporteras ha buggar. Användargemenskapen har upptäckt att den innehåller ett säkerhetsproblem.

Använda sig av WPHardening för att automatisera säkra installationer


WPHardening är en verktyg för att automatisera och utföra olika säkerhetskontroller så att vår Wordpress -webbplats konfigureras säkert.

Detta projekt är gjort under Python och gör det möjligt att kontrollera olika aspekter av en utvecklarwebbplats under Wordpress för att leta efter sårbarheter.

En av de viktigaste fördelarna med detta verktyg är automatisering av uppgif.webpter och säkerhetsinställningar är viktiga för att undvika att exponera information för potentiella angripare. Det finns många verktyg som har skapats speciellt för att erhålla och samla in all slags information i samband med en WordPress -installation. Många av Attacker mot WordPress -system börjar vanligtvis med förskottsinformation baserad på skanningar och insamling av information.

WpHardening Den kan laddas ner till vår server eller lokala dator från dess officiella sida eller från terminalen med kommandot med kommandot:

 git -klon https://github.com/elcodigok/wphardening.git
Vi kan också ladda ner det från projektsidan på GitHub:

När filen är installerad eller packad upp kan vi komma åt wphardening -mappen.

För att använda det här verktyget måste vi känna till vägen till webben som vi vill inspektera och den här webben sedan den utvecklades med Wordpress.

Därefter måste vi uppdatera wphardening för att se till att vi har de senaste lagren och de senaste förbättringarna som har införlivats, för dem från ett terminalfönster utför vi följande kommando:

 python wphardening.py --uppdatering
Sedan kan vi börja använda wphardening och kontrollera säkerheten för en webbplats som utvecklats under wordpress med följande kommando:
 python wphardening.py -d / home / myuser / myweb -v 
Kom ihåg att den endast används lokalt, det vill säga på en lokal eller fjärrserver från kommandoraden och till webbplatser utvecklade i wordpress.

Till exempel kommer jag att använda för denna handledning en demohemsida gjord i Wordpress på en lokal server med Xampp:

Många gånger har vi problem med fil- och mapptillstånd som lämnar vår webbplats utsatt för attacker eller inkräktare, för att lösa detta problem använder vi följande kommando:

 python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -chmod -v 
Detta anger automatiskt de rekommenderade behörigheterna för extra säkerhet.

Ett annat mycket intressant alternativ med detta verktyg är möjligheten att ladda ner och installera plugin och säkerhetsverktyg på ett automatiserat sätt rekommenderas och testas.

 python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -plugins

När vi utför kommandot kommer det att be oss om tillstånd att installera varje säkerhetsplugin, inklusive ett antivirusprogram, utnyttja skanner, databashanterare, säkerhets- och sårbarhetsskanner, bland annat, i slutet kommer vi att kunna se plugins installerade i plugin -mapp på vår Wordpress -webbplats. Dessa plugins använder proprietära onlineverktyg och databaser för att söka efter filer och databaser på vår WordPress -webbplats efter rastos eller så kan de indikera att du har utsatts för skadliga hackare.

 [bilaga = 12158: panta06.jpg.webp]
Sedan från WordPress admin panel vi kan installera och aktivera säkerhetsplugins.

Ett annat intressant alternativ är automatisk skapande av robots.txt -fil som automatiskt nekar åtkomst till de viktigaste katalogerna på webbplatsen. Vi lägger också till -o alternativ som gör att vi kan skapa en loggfil med resultatet av den uppgif.webpt som utförts.

 python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -robots -o securitywp.log

När vi utför kommandot kommer det att be oss om sökvägen till webbplatsen och sedan kan robots.txt -filen skapas.

Att radera filer som inte används är viktigt eftersom de tar upp plats och kan vara sårbara eftersom de vanligtvis inte underhålls eller uppdateras, även på en webbplats med många filer kan de skapa förvirring, på grund av dem kommer vi att använda parameterkommandot remove to ta bort alla filer som inte används av vår webbplats automatiskt.

 python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -remove -o securitywp.log 

I slutet kan vi se loggen som vi skapade med en lista över alla filer som har raderats.

De attacker på webbplatser och servrar orsakas av säkerhetsproblem på grund av sårbarheter i din programvara antingen på grund av programmeringsfel eller felkonfigurerad programvara.

Dessa sårbarheter gör att angripare kan använda ett stort antal teknikertill exempel att använda en URL -parameter för att köra en SQL -injektion, lägga till kod till din databas via formulär, vilket kan tillåta data att ändra eller ta bort viktiga data som att ta bort alla inlägg och sidor eller lämna webben inaktiverad.

Webbplatserna gjorda under Wordpress som mottog attacker, vanligtvis beror det på sårbarheter i ett WordPress -plugin. Hackare infogar ofta bas-64-kodad skadlig kod som gör att de kan köra en PHP-funktion på vår webbplats. De kan också lämna en bakdörr någonstans på din webbplats. Detta är en teknik som de använder för att komma åt din webbplats i framtiden, även denna typ av attack infekterar vanligtvis alla filer på webben.

Kom ihåg att alla verktyg vi använder inte garanterar säkerheten på vår webbplats, dessutom vi måste genomföra säkerhetspolicyer Vad utföra stegvisa säkerhetskopior av databasen och alla filer varje vecka eller dagligen.

Gillade du och hjälpte denna handledning?Du kan belöna författaren genom att trycka på den här knappen för att ge honom en positiv poäng
wave wave wave wave wave