Hur skyddar du din High Profile WordPress webbplats från attacker
Behovet av WordPress-säkerhet växer i en accelererande takt. Rapporter säger att WordPress-webbplatser upplever 90 978 attacker per minut. Sedan dess släppt har WordPress patchat mer än 2.450 sårbarheter. Förutom de grundläggande säkerhetsåtgärder som du redan tar för att skydda din webbplats, här är några avancerade WordPress-säkerhetsåtgärder, inklusive hur du förhindrar WordPress DDoS (Distributed Denial of Service) på din webbplats.
1. Stäng av HTTP-spårningsfunktionen
Anfall som Cross Site Scripting (XSS) och Cross Site Tracing (XST) är inriktade på system med aktiverad HTTP Trace-funktionalitet. De flesta webbservrar är som standard inställda för att fungera med HTTP Trace som det använder för aktiviteter som felsökning. Med hjälp av rubrikförfrågningar skulle hackare stjäla känslig information som kakor genom att utföra en Cross Site Tracing-attack. OWASP Top Ten Project erbjuder omfattande listor över sårbarheter och attacker på WordPress-webbplatser.
Av alla sårbarhetstyper rankas Cross Site Scripting nummer ett. Faktum är att 46, 9% av alla webbplatser är sårbara för denna typ av attack. För att inaktivera HTTP-spårningsfunktionen lägger du till följande kod i din .htaccess-fil.
RewriteEngine On RewriteCond% {REQUEST_METHOD} ^ TRACE RewriteRule. * - [F]
2. Ta bort WordPress-installationshuvudutgångar
Tjänster som är specifika för olika delar av din WordPress-webbplats kräver att du lägger mycket av produktionen i rubriken. Du kan ta bort dessa utdata genom att lägga till koden nedan till filen "functions.php" i ditt tema.
remove_action ('wp_head', 'index_rel_link'); remove_action ('wp_head', 'feed_links', 2); remove_action ('wp_head', 'feed_links_extra', 3); remove_action ('wp_head', 'rsd_link'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'parent_post_rel_link', 10, 0); remove_action ('wp_head', 'start_post_rel_link', 10, 0); remove_action ('wp_head', 'neighbor_posts_rel_link_wp_head', 10, 0); remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wp_shortlink_wp_head', 10, 0); remove_action ('wp_head', 'noindex', 1);
3. Ändra standarddatabasprefixet för WordPress
Standardprefixvärdet för WordPress databas tabeller är "wp_". Hackare och skadliga bots kan använda detta prefixvärde för att gissa dina databas tabell namn. Eftersom wp-config.php-filen är där ditt WordPress-databasprefixvärde är inställt, är det lättare att ändra detta prefixvärde vid installation av WordPress. Du kan använda pluginet Ändra tabellprefix, eller om du föredrar att göra det manuellt, följ stegen nedan:
1. Säkerhetskopiera din databas fullständigt och var säker på att spara säkerhetskopia någonstans säkert. Här är några av de backup plugins du kan använda.
2. Använd "phpmyadmin" i din webbhotellskontrollpanel för att helt dumpa din WordPress-databas till en textfil. Säkerhetskopiera denna textfil också.
3. Använd sedan en kodredigerare för att ersätta alla "wp_" prefixvärden med ditt eget prefix.
4. Avaktivera alla plugins i din adminpanel.
5. Importera nu den nya databasen efter att du har tagit bort den gamla via phpMyAdmin genom att använda filen du har redigerat i det tredje steget ovan.
6. Ändra filen "wp-config.php" med hjälp av det nya databasprefixet.
7. Aktivera nu dina WordPress-plugins.
8. För att spara permalinkinställningarna, gå till Inställningar och sedan till Permalinks; Detta uppdaterar din webbplatss permalinkstruktur. Observera att ändring av databasprefixet inte ska ändra ditt domännamn, URL och permalinkinställningar.
4. Blockera frågesträngar som är potentiellt farliga
För att förhindra cross-site scripting (XSS) -attacker, lägg till följande kod i din .htaccess-fil. Först, innan du lägger till koden, identifiera frågesträngar som är potentiellt farliga. URL-förfrågningar avlägsnas av många skadliga injektioner med denna uppsättning regler. Det finns två viktiga saker att notera här:
- Vissa plugins eller teman bryter funktioner om du inte utesluter strängar som de redan använder.
- Även om strängarna nedan är de vanligaste kan du välja att lägga till fler strängar.
Taggar för RewriteCond% {REQUEST_METHOD} ^ (HEAD | TRACE | DELETE | TRACK) [NC] RewriteCond% {QUERY_STRING} ../ [NC, OR] RewriteCond% {QUERY_STRING} boot.ini [NC, ELLER] RewriteCond% {QUERY_STRING} = [NC, ELLER] RewriteCond% {QUERY_STRING} ftp: [NC, ELLER] RewriteCond% {QUERY_STRING} http: [NC, ELLER] RewriteCond% {QUERY_STRING} https: [NC, ELLER] RewriteCond% {QUERY_STRING} mosConfig [NC, Eller] RewriteCond% {QUERY_STRING} ^. * ([|] | (|) || '| | | | | | *). * [NC, OR] RewriteCond% {QUERY_STRING} ^. * (% 22 | % 27 |% 3C |% 3E |% 5C |% 7B |% 7C). * [NC, OR] RewriteCond% {QUERY_STRING} ^. * (% 0 |% A |% B |% C |% D |% E |% F | 127, 0). * [NC, OR] RewriteCond% {QUERY_STRING} ^. * (Globals | encode | config | localhost | loopback). * [NC, ELLER] RewriteCond% {QUERY_STRING} ^. * | välj | infoga | union | förklara | släpp). * [NC] RewriteRule ^ (. *) $ - [F, L]
5. Använd Deflect för att förhindra DDoS attack
Fledgling webbplatser, oberoende mediegrupper och webbplatser för de flesta människorättsaktivister / grupper har vanligtvis inte de tekniska och finansiella resurserna för att klara av en DDoS-attack (DDD). Det är där Deflect kommer in. Avböj positionerna själv som en lösning som är Bättre än kommersiella DDoS-reduktionsalternativ.
Kommersiella DDoS-avhjälpningsmöjligheter kostar mycket pengar och kan förändra deras användarvillkor om en webbplats under deras skydd lockar DDoS-attacker regelbundet. Deflect proaktivt stoppar DDoS-attacker genom att hålla webbplatser under konstant skydd.
En fördel med att använda Deflect på din webbplats är att det sparar pengar genom att sänka belastningen på dina klients server- och sysadminresurser. Deflect sätter alla sina källkoder och dokumentation i det offentliga området under en Creative Commons License; Detta gör det möjligt för alla att mildra DDoS-attacker genom att skapa sitt eget Deflect-nätverk. Du kan registrera dig gratis på deras hemsida och börja använda tjänsten direkt.
6. Använd Secure Sockets Layer (SSL) och Firewall Protection
Säkerhetstjänster som Sucuri erbjuder säkerhetsalternativ som att installera ett SSL-certifikat (Secure Sockets Layer) och brandväggsskydd som är kompatibelt med PCI. Detta är ett lättillgängligt alternativ för alla, inklusive icke-tekniska personer.
Du kan enkelt skapa säkerhetslösningar som detta och låt det fungera i bakgrunden, och i vissa fall uppdatera sig själv efter behov (som Sucuri). Detta är ett mycket effektivt säkerhetsalternativ med lågt underhåll.
Ett antal WordPress-plugins kan användas för att lägga till SSL-certifikat till din webbplats. Några av de mest rekommenderade WordPress SSL-pluginsna är CM HTTPS Pro, Really Simple SSL, WP Force SSL, SSL Osäker Innehållsfixerare och Enkel HTTPS-omdirigering.
Att avsluta
Du skulle uppleva förbättrade förbättringar av webbplatsen genom att använda punkterna som beskrivs ovan. Det är bra att notera att WordPress-säkerhet alltid utvecklas. Målet är att mildra risker, inte eliminera dem, eftersom det är nästan omöjligt att göra det. WordPress-säkerhet är dynamisk och fungerar i lager, så det finns ingen plugin-passar-allt eller one-tactic-passar-allt.
Bildkredit: DDOS Attack Roadsign