1. Начало
  2. WordPress
  3. Администриране и грижа за WordPress сайта
  4. Проверки за сигурност през WordPress Manager by SH

Проверки за сигурност през WordPress Manager by SH

WordPress е една от най-използваните системи в уеб, за създаване на уеб сайт. Това я прави и една от системите, към която има голям интерес от страна на злонамерени лица, за опити за пробив и компрометиране.

Въпреки че системата WordPress притежава добро ниво на сигурност, което се поддържа постоянно от разработчиците ѝ, има няколко защитни техники и практики, които всеки потребител може да приложи допълнително.

През WordPress Manager by SuperHosting можете да направите проверка и да активирате няколко основни и препоръчителни защити за WordPress.

✅ Потребителски имена на администратори

Потребителското име admin е често използвано -

Едно от най-често ползваните потребителски имена е admin. Това го знаят и злонамерените лица, и е едно от първите имена, което ще пробват при опит да проникнат в администрацията на даден сайт.

променете го на нещо друго, по-сложно...

При първа възможност променете потребителското име за достъп до административния панел на сайта. Ако има повече от един, променете потребителското име за всеки един администратор.

При нова инсталация на WordPress можете да зададете потребителското име на администратора.

✅ Сигурност на администраторски пароли

Проверка за слаби и несигурни пароли на администраторите

Пароли, които са твърде лесни за разпознаване могат да доведат до неприятни последици. Трети лица могат, налучквайки паролата, да достъпят администрацията и да компрометират съдържанието на сайта.

Използвайте автоматичния генератор, за генериране на силни пароли

Няколко съвета за избора на парола:
1. Не използвайте поредни цифри или букви. Пример: 123456, abcdef и други подобни.
2. Не използвайте личното си име, фамилия, телефонен номер, ЕГН, прякор и други лични данни.
3. Не използвайте често срещани комбинации. Пример: 13579, asdasd, 1q2w3e4r, qwertyuiop, admin, password, administrator и т.н.Препоръчваме да използвате автоматичния генератор, който ще генерира сигурна парола с произволни символи.

✅ Сигурност на конфигурационния файл wp-config.php

В този конфигурационен файл за системата се пази информация, която не бива да е достъпна в Уеб. В него са описани основните настройки за работата на WordPress, връзката към базата данни и други. Данните в този файл са необходими единствено на WordPress.

При активирана защита се блокират опитите за неоторизиран достъп и опити за промени по конфигурационния файл.

✅ Показване на съдържанието на директории на сайта

При зареждане на даден домейн, по подразбиране, се зарежда начален (индексен) файл, най-често с име index.html, index.php или подобно.

Показване на съдържанието в системната директория wp-content

Когато няма наличен индексен файл, вместо това се показва съдържанието на дадената директория – листват се в списък директориите и файловете.

Файловата структура на сайта не бива да е достъпна свободно в Уеб. Това би направило извличането на информация за сайта (използвани теми, плъгини и други) лесно достъпно за неоторизирани лица.

Когато в директорията няма индексен файл, и забраната за показване е активирана

Стандартно във всяка една директория на WordPress ще откриете индексния файл index.php, в който има само два-три реда с код. Този файл ще се зареди при опит за достъп до дадената директория и в браузъра ще се визуализира бяла, празна страница.

Въпреки наличието на тези индексни файлове по директориите на сайта, активирането на забраната за показване на съдържанието е препоръчително.

За директориите, които не са към дадения WordPress сайт, можете да деактивирате показването на съдържанието през cPanel » Index Мениджър.

✅ Сигурност на ключове

Ключове за криптиране на информация с ниско ниво на сложност

Когато потребител посети сайта през уеб браузър, информацията за него се събира в бисквитки (cookies).

За да осигури по-добро криптиране на информацията, събирана в тези бисквитки, WordPress използва различни ключове за защита.

Генерирайте с един клик нови, по-сигурни ключове.

Проверката удостоверява дали тези ключове са достатъчно дълги, дали съдържат смесени символи (цифри и букви) и дали са с достатъчно високо ниво на сложност.

Когато са налични ключове за криптиране на информация с ниско ниво на сложност, генерирайте нови с бутона „Генериране на нови ключове„.

✅ Публична видимост на версията на WordPress

Скрийте версията на WordPress и повишете нивото на сигурност на сайта

Тази проверка удостоверява дали версията на WordPress е налична в кода на сайта и дали е публично видима.

Опитите за злонамерен достъп от неоторизирани лица са по-лесни, ако те знаят коя версия на WordPress използва сайта.

✅ Защита на директорията с медийните файлове (wp-content/uploads)

По подразбиране през WordPress могат да се качват медийни файлове – например изображения, аудио и видео файлове и други. При качване на файлове през WordPress, те се разполагат в директория wp-content/uploads. В тази директория не се качват изпълними PHP файлове.

Ако в следствие на други причини в тази директория са налични изпълними PHP файлове, то защитата не позволява тяхното изпълнение. По този начин сайтът е защитен и са предотвратени опитите за изпълнение на злонамерени файлове от тази директория.

✅ Защита на системна директория wp-includes

В структурата на WordPress има директория с име wp-includes. Тя съдържа системния код на сайта. В тази директория не трябва да има други скриптове освен кода на WordPress. Защитата забранява директното извикване и изпълнението на скриптове, без да пречи на работата на сайта.

Така се предотвратяват възможни опити за злонамерени действия.

✅ Допълнителна защита на администрацията на сайта

Потребителско име и парола, които ще са необходими за достъп до администрацията

Препоръчително е да добавите допълнителна защита до администрацията на WordPress.

Допълнителната защита добавя още едно потребителско име и парола при достъп до административния панел.

След активиране на защитата, при достъп до администрацията ще се показва изскачащ прозорец. В него е необходимо да попълните данните за достъп.

Бележка: Тази защита не е препоръчителна, ако в сайта е активна опцията за регистрация на потребители.

Ако искате да поставите защита за достъп до друга директория, която не е към избраната WordPress инсталация, използвайте менюто в cPanel » (Файлове) Директории защитени с парола.

✅ Наличие на архиви, достъпни през уеб

Защитата проверява за наличието на архиви в хостинг акаунта, които са достъпни през уеб.

Препоръчително е вашите архиви да са разположени в директории, които не са публично достъпни. Така се предотвратяват възможни злонамерени действия и изтичане на информация.

✅ Защита на директорията с файловете за темата и плъгините

Директорията, в която се съдържат файловете на темите и плъгините в WordPress, е /wp-content.

При избор на Високо ниво е възможно да възникне несъвместимост с допълнително инсталирана тема или плъгин, който използвате за сайта.

Важно: След активирането на този вид защита, моля проверете внимателно дали всички функционалности в сайта работят коректно. При възникнал проблем, моля променете настройките на Средно ниво на защита.

✅ Функции на XML-RPC

XML-RPC е протокол, чрез който може да се управлява WordPress. В системата се ползва чрез файл xmlrpc.php.

Недобронамерени лица ползват функциите на този файл, за да изпълняват Brute Force атаки за налучкването на потребителски имена и пароли за администрацията на сайта.

Защитата забранява достъпа до този файл, а оттам и намалява значително вероятността за Brute Force атака към сайта.

✅ Редакция на файлове през администрацията

Администрацията на WordPress по подразбиране позволява да се редактират PHP файлове, които са част от плъгини или теми. Ако до администрацията на сайта бъде осъществен неоторизиран достъп и опцията за редакция на файлове е включена ще може лесно във файловете да се инжектира зловреден код. Ако този код се изпълни в последствие, може да бъде осъществен неоторизиран достъп до целия хостинг акаунт.

Изключването на възможността за редакция на файлове през администрацията в голяма степен ще повиши сигурността на хостинг акаунта.

✅ Защита на администрацията по IP

Чрез тази опция може да се ограничи уеб достъпа до администрацията на сайта и да се разреши само за един или няколко IP адреса.

За да активирате защитата, използвайте бутон Активиране.

При активиране на защита вашият IP адрес, който използвате в момента, се разрешава автоматично за достъп до администрацията на избрания сайт.

За да добавите още IP адреси, в списъка с разрешени за достъп IP адреси, кликнете на Whitelist.

Статията се отнася за: хостинг услуги с контролен панел cPanel и WordPress Manager by SuperHosting

Обновена: 06.04.2022

Беше ли Ви полезна тази статия?

Вижте още