WPHardening: examinați vulnerabilitățile și verificările de securitate în Wordpress web

securitatea site-ului web este unul dintre cele mai importante aspecte pe care a Webmaster trebuie să ia în considerare.

Serverul web pe care îl folosim pentru site-ul nostru sub WordPress, poate avea și vulnerabilități, prin urmare, trebuie să ne asigurăm că verificăm dacă nu are probleme de securitate sau să luăm măsuri pentru a îmbunătăți securitatea. În alte tutoriale, au fost specificate acțiuni și instrumente pentru a consolida securitatea, de exemplu prin aplicarea:

1. Măsuri de securitate pentru serverele VPS
2. Cum să detectați și să controlați serviciile de pe serverele Linux

Un aspect foarte important de luat în calcul este evitați utilizarea unui server partajat, sunt acele servere care găzduiesc alte site-uri web, pe lângă site-ul nostru și un site web de pe același server care este vulnerabil, poate compromite toate celelalte site-uri web, deoarece fișierele se află în același spațiu și, astfel, răspândesc un atac sau o infecție de virus.
site-urile web dezvoltate sub Wordpress sunt sensibile la majoritatea atacurilor, deoarece 30% din site-urile web sunt dezvoltate sub această platformă.

Prin urmare, este important să adoptăm măsuri pentru a proteja site-ul nostru web și datele noastre de eventualii atacatori și pentru a reduce la minimum riscul pe care îl avem vulnerabilități.

Strategii pe care le putem implementa

Schimbați calea către folderul wp-content


Schimbați calea implicită în folderul WordPress wp-content, care este folderul în care se află majoritatea fișierelor și pluginurilor, teme care alcătuiesc site-ul nostru. Exploatările și programele malware vor căuta acest folder pentru a scana și găsi vulnerabilități, dacă schimbăm ruta, vom face urmărirea mai dificilă.

Pentru a face schimbarea traseului trebuie editați fișierul wp-config.php și modificați constanta wp_content_dir:

 define ('WP_CONTENT_DIR', dirname (__ FILE__). '/ path / wp-content');
Cu asta ar fi schimbat.

Instalați numai pluginuri sigure


Pluginurile pot fi eliminate din depozitul oficial WordPress.org, dacă nu sunt actualizate frecvent, astfel putând asigura comunității că pluginurile au o anumită securitate și ne arată și ce pluginuri sunt mai acceptate de utilizatori. Faptul că nu sunt dăunători nu implică faptul că funcționează corect sau nu au vulnerabilități.

Trebuie să fim atenți atunci când un plugin nu a fost actualizat de ani de zile, este raportat că are erori. Comunitatea utilizatorilor a descoperit că conține o vulnerabilitate de securitate.

Utilizare WPHardening pentru automatizarea instalațiilor sigure


WPHardening este un instrument pentru automatizarea și efectuarea diferitelor verificări de securitate astfel încât site-ul nostru web Wordpress să fie configurat în siguranță.

Acest proiect este realizat sub Python și permite verificarea diferitelor aspecte ale unui site web pentru dezvoltatori sub Wordpress pentru a căuta vulnerabilități.

Unul dintre principalele avantaje ale acestui instrument este automatizarea sarcinilor, iar setările de securitate sunt importante pentru a evita expunerea informațiilor potențialilor atacatori. Există multe instrumente special create pentru obținerea și colectarea tuturor tipurilor de informații asociate cu o instalare WordPress. Multe Atacurile împotriva sistemelor WordPress încep de obicei cu informații avansate bazate pe scanări și culegere de informații.

WpHardening Poate fi descărcat pe serverul sau computerul nostru local de pe pagina sa oficială sau de la terminal cu ajutorul comenzii folosind comanda:

 git clone https://github.com/elcodigok/wphardening.git
Îl putem descărca și de pe pagina proiectului de pe GitHub:

Odată ce fișierul este instalat sau dezarhivat, putem accesa folderul wphardening.

Pentru a utiliza acest instrument, trebuie să cunoaștem ruta către web pe care dorim să o inspectăm și acest web, deoarece a fost dezvoltat cu Wordpress.

În continuare trebuie să actualizăm wphardening pentru a ne asigura că avem cele mai recente depozite și cele mai recente îmbunătățiri care au fost încorporate, pentru acestea dintr-o fereastră de terminal executăm următoarea comandă:

 python wphardening.py --update
Apoi putem începe să folosim wphardening și să verificăm securitatea unui site web dezvoltat sub wordpress folosind următoarea comandă:
 python wphardening.py -d / home / myuser / myweb -v 
Amintiți-vă că este utilizat numai local, adică pe un server local sau la distanță de la linia de comandă și până la site-uri web dezvoltate în wordpress.

De exemplu, voi folosi pentru acest tutorial un site web demonstrativ realizat în Wordpress pe un server local cu Xampp:

De multe ori avem probleme cu permisiunile de fișiere și foldere care lasă site-ul nostru expus atacurilor sau intrușilor, pentru a rezolva această problemă folosim următoarea comandă:

 python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -chmod -v 
Aceasta setează automat permisiunile recomandate pentru securitate suplimentară.

O altă opțiune foarte interesantă a acestui instrument este posibilitatea de descărcați și instalați plugin-uri și instrumente de securitate într-un mod automat recomandat și testat.

 python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -plugins

Când executăm comanda, ne va cere permisiunea de a instala fiecare plugin de securitate, inclusiv un antivirus, scaner de exploatare, manager de baze de date, scaner de securitate și vulnerabilitate, printre altele, la final vom putea vedea pluginurile instalate în dosar plugin al site-ului nostru web Wordpress. Aceste pluginuri folosesc instrumente și baze de date online proprietare pentru a căuta fișiere și baze de date de pe site-ul nostru WordPress pentru rastos sau pot indica faptul că ați fost victima unor hackeri rău intenționați.

 [atașament = 12158: panta06.jpg.webp]
Apoi din Panoul de administrare WordPress putem instala și activa pluginuri de securitate.

O altă opțiune interesantă este crearea automată a fișierului robots.txt care va refuza automat accesul la cele mai importante directoare ale site-ului web. Adăugăm și -o opțiune care ne permite să creăm un fișier jurnal cu rezultatul sarcinii efectuate.

 python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -robots -o securitywp.log

Când executăm comanda, aceasta ne va cere calea site-ului web și apoi poate fi creat fișierul robots.txt.

Ștergerea fișierelor care nu sunt utilizate este importantă deoarece ocupă spațiu și pot fi vulnerabile, deoarece de obicei nu sunt întreținute sau actualizate, de asemenea, într-un site web cu multe fișiere pot genera confuzie, din cauza lor vom folosi comanda parametru remove to elimină automat toate fișierele care nu sunt utilizate de site-ul nostru.

 python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -remove -o securitywp.log 

La final putem vedea jurnalul pe care l-am creat cu o listă a tuturor fișierelor care au fost șterse.

atacurile asupra site-urilor și serverelor sunt cauzate de probleme de securitate din cauza vulnerabilităților în software-ul dvs., fie din cauza erorilor de programare, fie din software-ul configurat greșit.

Aceste vulnerabilități permit atacatorilor să utilizeze un număr mare de tehnicicum ar fi utilizarea unui parametru URL pentru a rula o injecție SQL, adăugarea de cod la baza de date prin intermediul formularelor, care poate permite datelor să schimbe sau să șteargă date importante, cum ar fi ștergerea tuturor postărilor și paginilor sau lăsarea internetului dezactivată.

Site-urile web realizate sub Wordpress care au primit atacuri, în general, se datorează vulnerabilităților unui plugin WordPress. Hackerii inserează adesea programe malware codate de bază 64 care le permit să execute o funcție PHP pe site-ul nostru web. De asemenea, pot lăsa o ușă din spate undeva pe site-ul dvs. web. Aceasta este o tehnică pe care o folosesc pentru a accesa site-ul dvs. web în viitor, chiar și acest tip de atac infectează de obicei toate fișierele de pe web.

Amintiți-vă că toate instrumentele pe care le folosim nu garantează în plus securitatea site-ului nostru trebuie să punem în aplicare politici de securitate Ce efectuați copii de rezervă incrementale ale bazei de date și ale tuturor fișierelor săptămânal sau zilnic.

V-a plăcut și ați ajutat acest tutorial?Puteți recompensa autorul apăsând acest buton pentru a-i oferi un punct pozitiv
wave wave wave wave wave