https://help.superhosting.bg/wp-manager-security.html
  • bg
  • en

Хостинг, Домейни, Cloud, Виртуални сървъри (VPS), Managed VPS, SSL сертификати

Проверки за сигурност - WordPress Manager by SuperHosting

WordPress
wordpress сигурност, wp сигурност, wp manager, wordpress manager, wordpress manager by superhosting

WordPress е една от най-използваните системи в Уеб, за създаване на уеб сайт. Това я прави и една от системите, към която има голям интерес от страна на злонамерени лица, за опити за пробив и компрометиране.

Въпреки че системата WordPress притежава добро ниво на сигурност, което се поддържа постоянно от разработчиците й, има няколко защитни техники и практики, които всеки потребител може да приложи допълнително.

През WordPress Manager by SuperHosting можете да направите проверка и да активирате няколко основни и препоръчителни защити за WordPress.

✅ Потребителски имена на администратори

Потребителското име admin е често използвано -

Едно от най-често ползваните потребителски имена е admin. Това го знаят и злонамерените лица, и е едно от първите имена, които ще пробват при опит да проникнат в администрацията на даден сайт.

променете го на нещо друго, по-сложно...

При първа възможност променете потребителското име за достъп до административния панел на сайта. Ако има повече от един, променете потребителското име за всеки един администратор.

При нова инсталация на WordPress можете да зададете потребителското име на администратора.

✅ Сигурност на администраторски пароли

Проверка за слаби и несигурни пароли на администраторитеПароли, които са твърде лесни за разпознаване могат да доведат до неприятни последици. Трети лица могат, налучквайки паролата, да достъпят администрацията и да компрометират съдържанието на сайта.

Използвайте автоматичния генератор, за генериране на силни паролиНяколко съвета за избора на парола:
1. Не използвайте поредни цифри или букви. Пример: 123456, abcdef и други подобни.
2. Не използвайте личното си име, фамилия, телефонен номер, ЕГН, прякор и други лични данни.
3. Не използвайте често срещани комбинации. Пример: 13579, asdasd, 1q2w3e4r, qwertyuiop, admin, password, administrator и т.н.

Препоръчваме да използвате автоматичния генератор, който ще генерира сигурна парола с произволни символи.

✅ Префикс на таблиците в базата данни

Префикс на таблиците в базата данниПри инсталация, по подразбиране, системата WordPress създава таблиците в базата данни с имена, започващи с префикс "wp_". Този префикс, подобно на потребителското име admin, се използва по подразбиране.

Задайте префикс, различен от "wp_"В случай че, в базата данни на WordPress, таблиците ползват префикса "wp_" можете лесно да го промените през WordPress мениджъра.

В името на новия префикс, в края му, не забравяйте да добавите долната черта "_".

✅ Сигурност на конфигурационния файл wp-config.php

В този конфигурационен файл за системата се пази информация, която не бива да е достъпна в Уеб. В него са описани основните настройки за работата на WordPress, връзката към базата данни и други. Данните в този файл са необходими единствено на WordPress.

При активирана защита се блокират опитите за неоторизиран достъп и опити за промени по конфигурационния файл.

✅ Показване на съдържанието на директории на сайта

При зареждане на даден домейн, по подразбиране, се зарежда начален (индексен) файл, най-често с име index.html, index.php или подобно.

Показване на съдържанието в системната директория wp-contentКогато няма наличен индексен файл, вместо това се показва съдържанието на дадената директория - листват се в списък директориите и файловете.

Файловата структура на сайта не бива да е достъпна свободно в Уеб. Това би направило извличането на информация за сайта (използвани теми, плъгини и други) лесно достъпно за неоторизирани лица.

Когато в директорията няма индексен файл, и забраната за показване е активиранаСтандартно във всяка една директория на WordPress ще откриете индексния файл index.php, в който има само два-три реда с код. Този файл ще се зареди при опит за достъп до дадената директория и в браузъра ще се визуализира бяла, празна страница.

Въпреки наличието на тези индексни файлове по директориите на сайта, активирането на забраната за показване на съдържанието е препоръчително.

info-iconЗа директориите, които не са към дадения WordPress сайт, можете да деактивирате показването на съдържанието през cPanel -> Index Мениджър.

✅ Сигурност на ключове

Ключове за криптиране на информация с ниско ниво на сложностКогато потребител посети сайта през уеб браузър, информацията за него се събира в бисквитки (cookies).

За да осигури по-добро криптиране на информацията, събирана в тези бисквитки, WordPress използва различни ключове за защита.

Генерирайте с един клик нови, по-сигурни ключове.Проверката удостоверява дали тези ключове са достатъчно дълги, дали съдържат смесени символи (цифри и букви) и дали са с достатъчно високо ниво на сложност.

Когато са налични ключове за криптиране на информация с ниско ниво на сложност, генерирайте нови с бутона "Генериране на нови ключове".

✅ Публична видимост на версията на WordPress

Скрийте версията на WordPress и повишете нивото на сигурност на сайтаТази проверка удостоверява дали версията на WordPress е налична в кода на сайта и дали е публично видима.

Опитите за злонамерен достъп от неоторизирани лица са по-лесни, ако те знаят коя версия на WordPress използва сайта.

✅ Защита на директорията с медийните файлове (wp-content/uploads)

По подразбиране през WordPress могат да се качват медийни файлове - например изображения, аудио и видео файлове и други. При качване на файлове през WordPress, те се разполагат в директория wp-content/uploads. В тази директория не се качват изпълними PHP файлове.

Ако в следствие на други причини в тази директория са налични изпълними PHP файлове, то защитата не позволява тяхното изпълнение. По този начин сайтът е защитен и са предотвратени опитите за изпълнение на злонамерени файлове от тази директория.

✅ Защита на системна директория wp-includes

В структурата на WordPress има директория с име wp-includes. Тя съдържа системния код на сайта. В тази директория не трябва да има други скриптове освен кода на WordPress. Защитата забранява директното извикване и изпълнението на скриптове, без да пречи на работата на сайта.

Така се предотвратяват възможни опити за злонамерени действия.

✅ Допълнителна защита на администрацията на сайта

Потребителско име и парола, които ще са необходими за достъп до администрациятаПрепоръчително е да добавите допълнителна защита до администрацията на WordPress.

Допълнителната защита добавя още едно потребителско име и парола при достъп до административния панел.

След активиране на защитата, при достъп до администрацията ще се показва изскачащ прозорец. В него е необходимо да попълните данните за достъп.

info-iconБележка: Тази защита не е препоръчителна, ако в сайта е активна опцията за регистрация на потребители.

info-iconАко искате да поставите защита за достъп до друга директория, която не е към избраната WordPress инсталация, използвайте менюто в cPanel -> (Файлове) Директории защитени с парола.

✅ Наличие на архиви, достъпни през уеб

Защитата проверява за наличието на архиви в хостинг акаунта, които са достъпни през уеб.

Препоръчително е вашите архиви да са разположени в директории, които не са публично достъпни. Така се предотвратяват възможни злонамерени действия и изтичане на информация.

✅ Защита на директорията с файловете за темата и плъгините

Директорията, в която се съдържат файловете на темите и плъгините в WordPress, е /wp-content.

При избор на Високо ниво е възможно да възникне несъвместимост с допълнително инсталирана тема или плъгин, който използвате за сайта.

info-iconВажно: След активирането на този вид защита, моля проверете внимателно дали всички функционалности в сайта работят коректно. При възникнал проблем, моля променете настройките на Средно ниво на защита.

✅ Функции на XML-RPC

XML-RPC е протокол, чрез който може да се управлява WordPress. В системата се ползва чрез файл xmlrpc.php.

Недобронамерени лица ползват функциите на този файл, за да изпълняват Brute Force атаки за налучкването на потребителски имена и пароли за администрацията на сайта.

Защитата забранява достъпа до този файл, а оттам и намалява значително вероятността за Brute Force атака към сайта.

✅ Редакция на файлове през администрацията

Администрацията на WordPress по подразбиране позволява да се редактират PHP файлове, които са част от плъгини или теми. Ако до администрацията на сайта бъде осъществен неоторизиран достъп и опцията за редакция на файлове е включена ще може лесно във файловете да се инжектира зловреден код. Ако този код се изпълни в последствие, може да бъде осъществен неоторизиран достъп до целия хостинг акаунт.

Изключването на възможността за редакция на файлове през администрацията в голяма степен ще повиши сигурността на хостинг акаунта.

Статията се отнася за: хостинг услуги с контролен панел cPanel и WordPress Manager by SuperHosting

500px270px
SuperHosting.BG

Коментари

Все още няма коментари

Уведоми ме при
avatar
wpDiscuz
Всички права запазени © 2005-2017 , www.superhosting.bg