База знаний

Проверка безопасности веб-сайта

Чтобы убедиться, что все параметры безопасности работают и веб-сайт скрыт от детекторов тем, вам необходимо периодически запускать проверку безопасности.

Проверка безопасности от 2HP поможет вам:

  • Выявите потенциальные нарушения безопасности на вашем сайте.
  • Выявите проблемы с безопасностью или доступом на своем веб-сайте до того, как они станут проблемой.
  • Определите, есть ли в ваших плагинах или темах уязвимости безопасности.
  • Убедитесь в целостности вашего сайта за вас.
  • Примите превентивные меры против нападений.
  • Обучает устранению этих потенциальных нарушений.


Провести проверку безопасности веб-сайта

Чтобы запустить проверку безопасности, перейдите в 2HP > Проверка безопасности и нажмите кнопку Начать сканирование.

2H Protection выполнит более 35 задач безопасности, чтобы обнаружить все потенциальные нарушения. Как только процесс будет готов, вы получите полный список со всеми уязвимостями и способами их устранения.

Еженедельное уведомление
Если последняя проверка безопасности длилась больше недели, вы получите push-уведомление рядом с вкладкой Проверка безопасности.

Если вы больше не хотите получать push-уведомления, вы можете отключить 2HP > Расширенные > Уведомление о проверке безопасности.

Все задачи безопасности

Версия PHP

Убедитесь, что на вашем сайте установлена ​​последняя версия PHP.

Использование старой версии PHP замедляет работу вашего сайта и делает его уязвимым для хакерских атак из-за известных уязвимостей, которые существуют в более не поддерживаемых версиях PHP.

Более 40% пользователей WordPress используют PHP 5.6 (или меньше), что может быть одним из факторов внедрения SQL-кода в WordPress.

Для вашего сайта необходим PHP 7.0 или выше.

Версия MySQL

SQL-инъекция описывает класс этих атак, при которых хакеры встраивают команды в URL-адрес, которые запускают действия из базы данных. (SQL – это командный язык, используемый базой данных MySQL.)

Эти атаки могут раскрыть конфиденциальную информацию о базе данных, потенциально давая доступ хакерам для изменения фактического содержимого вашего сайта.

Использование старой версии MySQL делает ваш сайт медленным и подверженным хакерским атакам из-за известных уязвимостей, которые существуют в более не поддерживаемых версиях MySQL.

Вам нужен Mysql 5.4 или выше.

Версия WordPress

Вы всегда должны обновлять WordPress до последних версий. Обычно это исправления безопасности, которые никак не меняют WP и должны применяться, как только WP их выпускает.

Согласно официальной статистике WordPress, только 42,3% сайтов WordPress используют последнюю версию (4.9.x). Все предыдущие версии могут быть уязвимы и могут быть взломаны.

Когда будет доступна новая версия WordPress, вы получите сообщение об обновлении на экранах администратора WordPress. Чтобы обновить WordPress, щелкните ссылку в этом сообщении.

Бэкэнд под SSL

SSL – это аббревиатура, используемая для Secure Sockets Layers, которые представляют собой протоколы шифрования, используемые в Интернете для безопасного обмена информацией и предоставления информации о сертификатах.

Эти сертификаты гарантируют пользователю идентичность веб-сайта, с которым он общается. SSL также может называться TLS или протоколом безопасности транспортного уровня.

Важно иметь безопасное соединение для панели управления администратора в WordPress.

Режим отладки WP

Каждый хороший разработчик должен включить отладку перед тем, как приступить к работе над новым плагином или темой. Фактически, Кодекс WordPress «настоятельно рекомендует» разработчикам использовать WP_DEBUG.

К сожалению, многие разработчики забывают режим отладки, даже когда сайт работает. Отображение журналов отладки во внешнем интерфейсе позволит хакерам многое узнать о вашем веб-сайте WordPress.

Режим отладки БД

Включать отладку базы данных небезопасно. Убедитесь, что вы не используете отладку базы данных на действующих веб-сайтах.

Режим отладки скрипта

Каждый хороший разработчик должен включить отладку перед тем, как приступить к работе над новым плагином или темой. Фактически, Кодекс WordPress «настоятельно рекомендует» разработчикам использовать SCRIPT_DEBUG.

К сожалению, многие разработчики забывают режим отладки, даже когда сайт работает. Отображение журналов отладки во внешнем интерфейсе позволит хакерам многое узнать о вашем веб-сайте WordPress.

Директива Display_errors PHP

Отображение любой отладочной информации во внешнем интерфейсе – это очень плохо.

Если на вашем сайте происходят какие-либо ошибки PHP, их следует зарегистрировать в безопасном месте и не показывать посетителям или потенциальным злоумышленникам.

Пользователь “admin” в качестве администратора

Раньше именем администратора WordPress по умолчанию было «admin». Поскольку имена пользователей составляют половину учетных данных для входа в систему, это облегчило хакерам выполнение атак методом перебора.

К счастью, WordPress с тех пор изменил это и теперь требует от вас выбора собственного имени пользователя во время установки WordPress.

Спамеры могут легко зарегистрироваться

Если у вас нет веб-сайта электронной коммерции, членства или гостевого сайта, не позволяйте пользователям подписываться на ваш блог. В итоге вы получите спамерские регистрации, и ваш веб-сайт будет заполнен спамерским контентом и комментариями.

Устаревшие плагины

WordPress, его плагины и темы похожи на любое другое программное обеспечение, установленное на вашем компьютере, и как любое другое приложение на ваших устройствах. Периодически разработчики выпускают

обновления, которые предоставляют новые функции или исправляют известные ошибки.

Эти новые функции не обязательно могут быть тем, что вам нужно. Фактически, вы можете быть полностью удовлетворены имеющейся у вас функциональностью. Тем не менее, вы все равно можете быть обеспокоены ошибками.

Программные ошибки могут быть разных форм и размеров. Ошибка может быть очень серьезной, например, запретить пользователям использовать плагин, или может быть незначительной и затрагивать, например, только определенную часть темы. В некоторых случаях ошибки могут вызвать серьезные бреши в безопасности.

Своевременное обновление плагинов – один из самых важных и простых способов обеспечить безопасность вашего сайта.

Не обновленные плагины

Плагины, которые не обновлялись в течение последних 12 месяцев, могут иметь серьезные проблемы с безопасностью. Убедитесь, что вы используете обновленные плагины из каталога WordPress.

Несовместимые с версиями плагины

Плагины, несовместимые с вашей версией WordPress, могут иметь серьезные проблемы с безопасностью. Убедитесь, что вы используете проверенные плагины из каталога WordPress.

Устаревшие темы

WordPress, его плагины и темы похожи на любое другое программное обеспечение, установленное на вашем компьютере, и как любое другое приложение на ваших устройствах. Периодически разработчики выпускают обновления, которые предоставляют новые функции или исправляют известные ошибки.

Новые функции могут быть вам не обязательно. Фактически, вы можете быть полностью удовлетворены имеющейся у вас функциональностью. Тем не менее, вы все равно можете беспокоиться об ошибках.

Программные ошибки могут быть разных форм и размеров. Ошибка может быть очень серьезной, например, запретить пользователям использовать плагин, или это может быть небольшая ошибка, которая влияет, например, только на определенную часть темы. В некоторых случаях ошибки могут даже вызвать серьезные бреши в безопасности.

Обновление тем – один из самых важных и простых способов обеспечить безопасность вашего сайта.

Префикс базы данных

База данных WordPress похожа на мозг для всего вашего сайта WordPress, потому что каждый бит информации о вашем сайте хранится там, что делает его излюбленной целью хакеров.

Спамеры и хакеры запускают автоматический код для SQL-инъекций.
К сожалению, многие люди забывают изменить префикс базы данных при установке WordPress.
Это упрощает хакерам планирование массовой атаки с использованием префикса по умолчанию wp_.

Версии в исходном коде

WordPress, плагины и темы добавляют информацию о своей версии в исходный код, чтобы любой мог ее увидеть.

Хакеры могут легко найти веб-сайт с уязвимыми версиями плагинов или тем и нацелить их с помощью эксплойтов нулевого дня.

Соли и ключи безопасности действительны

Ключи безопасности используются для обеспечения лучшего шифрования информации, хранящейся в файлах cookie пользователя и хешированных паролях.

Это затрудняет взлом, доступ и взлом вашего сайта за счет добавления случайных элементов к паролю. Вам не нужно запоминать эти ключи. Фактически, как только вы их установите, вы больше никогда их не увидите. Поэтому нет оправдания неправильной их настройке.

Пароль базы данных WordPress

Не существует такого понятия, как «неважный пароль»! То же самое и с паролем вашей базы данных WordPress.

Хотя большинство серверов настроено так, что к базе данных нельзя получить доступ с других хостов (или из-за пределов локальной сети), это не означает, что пароль вашей базы данных должен быть «12345» или вообще не иметь пароля.

/wp-content путь доступен

Важно скрыть общие пути WordPress, чтобы предотвратить атаки на уязвимые плагины и темы.

Кроме того, важно скрыть названия плагинов и тем, чтобы боты не могли их обнаружить.

/wp-login входа доступен

Если ваш сайт позволяет пользователям входить в систему, вам нужно, чтобы вашу страницу входа было легко найти для ваших пользователей. Вам также необходимо предпринять другие действия для защиты от злонамеренных попыток входа в систему.

Однако скрытность является допустимым уровнем безопасности, когда используется как часть комплексной стратегии безопасности и если вы хотите сократить количество злонамеренных попыток входа в систему. Один из способов сделать это – затруднить поиск страницы входа в систему.

Файл /wp_config.php доступен для записи

Один из самых важных файлов в вашей установке WordPress – это файл wp-config.php.
Этот файл находится в корневом каталоге вашей установки WordPress и содержит данные базовой конфигурации вашего веб-сайта, такие как информация о подключении к базе данных.

Доступ к XML-RPC включен

WordPress XML-RPC – это спецификация, направленная на стандартизацию обмена данными между различными системами. Он использует HTTP в качестве транспортного механизма и XML в качестве механизма кодирования, что позволяет передавать широкий спектр данных.

Двумя важнейшими достоинствами API являются его расширяемость и безопасность. XML-RPC выполняет аутентификацию с использованием базовой аутентификации. Он отправляет имя пользователя и пароль с каждым запросом, что является большим запретом в кругах безопасности.

Файлы install.php и upgrade.php доступны

WordPress известен своей простотой установки.
Важно скрыть файлы wp-admin / install.php и wp-admin / upgrade.php, поскольку в отношении этих файлов уже возникла пара проблем с безопасностью.

MySql Grant Все Разрешения

Если злоумышленник получит доступ к вашему файлу wp-config.php и получит имя пользователя и пароль MySQL, он сможет войти в эту базу данных и делать все, что позволяет эта учетная запись.

Вот почему так важно свести привилегии аккаунта к минимуму.

Например, если вы не устанавливаете какие-либо новые плагины или не обновляете WP, для этой учетной записи не требуются привилегии CREATE или DROP table.

Для регулярного повседневного использования рекомендуются следующие привилегии: SELECT, INSERT, UPDATE и DELETE.

URL автора по идентификатору доступа

Имена пользователей (в отличие от паролей) не являются секретными. Зная чье-то имя пользователя, вы не можете войти в его учетную запись. Вам также понадобится пароль.

Однако, зная имя пользователя, вы на один шаг ближе к тому, чтобы войти в систему, используя имя пользователя, чтобы подобрать пароль или получить доступ аналогичным образом.

Вот почему желательно, чтобы список имен пользователей оставался конфиденциальным, по крайней мере, до некоторой степени. По умолчанию, зайдя на siteurl.com/?author={id} и перебрав идентификаторы с 1, вы можете получить список имен пользователей, потому что WP перенаправит вас на siteurl.com/author/user/, если идентификатор существует в системе.

Статьи по Теме