Необходимостта от сигурност на WordPress нараства с ускоряващ темп. Докладите сочат, че сайтовете на WordPress имат 90, 978 атаки в минута. От освобождаването си, WordPress е подготвила повече от 2 450 уязвимости. В допълнение към тези основни мерки за сигурност, които вече предприемате, за да защитите сайта си, ето някои разширени мерки за сигурност на WordPress, включително как да се предотврати WordPress DDoS (Distributed Denial of Service) на вашия уеб сайт.

1. Изключете функцията HTTP Trace

Атаките като Cross Site Scripting (XSS) и Cross Site Tracing (XST) са насочени към системи с активирана HTTP Trace функционалност. Повечето уеб сървъри са зададени по подразбиране, за да работят с HTTP Trace, която използва за дейности като отстраняване на грешки. Използвайки заявки за хедъра, хакерите биха откраднали чувствителна информация като "бисквитки", като са извършили нападение срещу Cross Site Tracing. Проектът OWASP Top Ten предлага изчерпателни списъци с уязвимости и атаки срещу уеб сайтове на WordPress.

От всички типове уязвимости Cross Site Scripting е номер едно. Всъщност 46, 9% от всички сайтове са уязвими на този тип атаки. За да деактивирате функцията HTTP Trace, добавете следния код към вашия .htaccess файл.

 RewriteEngine На RewriteCond% {REQUEST_METHOD} ^ TRACE RewriteRule. * - [F] 

2. Извадете заглавните изходи на инсталацията на WordPress

Услуги, специфични за различни части на уебсайта Ви в WordPress, изискват добавяне на много резултати в заглавката. Можете да премахнете тези изходи, като добавите кода по-долу към файла "functions.php" на вашата тема.

 remove_action ('wp_head', 'index_rel_link'); remove_action ('wp_head', 'feed_links', 2); remove_action ('wp_head', 'feed_links_extra', 3); remove_action ('wp_head', 'rsd_link'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'parent_post_rel_link', 10, 0); remove_action ('wp_head', 'start_post_rel_link', 10, 0); remove_action ('wp_head', 'adjacent_posts_rel_link_wp_head', 10, 0); remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wp_shortlink_wp_head', 10, 0); remove_action ('wp_head', 'noindex', 1); 

3. Променете стандартния префикс на базата данни за WordPress

Стойността по подразбиране за префикса за таблиците на базата данни на WordPress е "wp_". Хакерите и вредните ботове могат да използват тази стойност на префикса, за да отгатнат успешно имената на таблиците в базата данни. Тъй като wp-config.php файла е мястото, където е зададена стойността на вашия префикс на база данни WordPress, е по-лесно да промените тази стойност на префикса при инсталирането на WordPress. Можете да използвате приставката за префикс на таблицата за промяна или ако предпочитате да я направите ръчно, следвайте стъпките по-долу:

1. Изцяло направете резервно копие на базата данни и се уверете, че сте запазили архива някъде безопасно. Ето някои от резервните плъгини, които можете да използвате.

2. Използвайте "phpmyadmin" в контролния панел на уеб хоста си, за да изтриете напълно вашата WordPress база данни в текстов файл. Архивирайте и този текстов файл.

3. След това използвайте редактор на кодове, за да замените всички стойности на "prefix" "wp_" със своя собствена префикс.

4. Деактивирайте всички плъгини в административния панел.

5. Сега, като използвате файла, който сте редактирали в третата стъпка по-горе, импортирайте новата база данни, след като сте премахнали старата чрез phpMyAdmin.

6. Като използвате новата стойност на префикс на база данни, редактирайте файла "wp-config.php".

7. Сега активирайте отново вашите WordPress плъгини.

8. За да запазите настройките за постоянен адрес, отидете на Settings и след това на Permalinks; това опреснява структурата на вашия уеб сайт. Имайте предвид, че промяната на префикса на базата данни не трябва да променя настройките на вашето домейн, URL и permalink.

4. Блокирайте низовете за заявки, които са потенциално опасни

За да предотвратите атаки на кръстосани скриптове (XSS), добавете следния код към файла .htaccess. Първо, преди да добавите кода, идентифицирайте низовете за заявки, които са потенциално опасни. Исканията за URL адреси са премахнати от много злонамерени инжекции чрез този набор от правила. Тук има две важни неща:

  • Някои приставки или теми нарушават функционалностите, ако не изключите низове, които вече използват.
  • Въпреки че низовете по-долу са най-често срещаните, можете да изберете да добавите още низове.
 RewriteCond% {REQUEST_METHOD} ^ (HEAD | TRACE | DELETE | TRACK) [NC] RewriteCond% {QUERY_STRING} ../ [NC, OR] RewriteCond% {QUERY_STRING} = [NC, OR] RewriteCond% {QUERY_STRING} ftp: [NC, OR] RewriteCond% {QUERY_STRING} http: [NC, OR] RewriteCond% {QUERY_STRING} https: [NC], OR] RewriteCond% {QUERY_STRING} ^. * ([|] | (|) || '| | | | | | *). * [NC, OR] RewriteCond% {QUERY_STRING} ^. % 27C% 3C% 3C% 5C% 7B% 7C) * [NC, OR] RewriteCond% {QUERY_STRING} ^. E |% F | 127.0). * [NC или OR] RewriteCond% {QUERY_STRING} ^. * (Глобализация | кодиране | конфиг | местенхост | | [NC] RewriteRule ^ (. *) $ - [F, L] 

5. Използвайте Deflect, за да предотвратите DDoS атака

Независимите уебсайтове, независимите медийни групи и сайтовете на повечето активисти / групи по правата на човека обикновено нямат технически и финансови ресурси, за да издържат на атака на разпространение на отказ от услуга (DDoS). Това е мястото, където Deflect идва. Отклонява позициите си като решение, което е по-добро от комерсиалните опции за смекчаване на DDoS.

Търговските опции за смекчаване на DDoS струват много пари и биха могли да променят условията на услугата, ако уебсайт, който е под тяхна защита, редовно привлича DDoS атаки. Deflect активно спира DDoS атаките, като поддържа уеб страниците под постоянна защита.

Странична полза от използването на отблъскването на уебсайта Ви е, че ви спестяват пари, като намалите напрежението на сървъра на клиента и ресурсите на sysadmin. Deflect поставя всичките си изходни кодове и документация в публичното пространство под лиценз Creative Commons; това позволява на никого да смекчи DDoS атаките, като създаде собствена мрежа Deflect. Можете да се регистрирате на уебсайта си безплатно и да започнете да използвате услугата веднага.

6. Използвайте Secure Sockets Layer (SSL) и защита от защитна стена

Услугите за сигурност като Sucuri предлагат опции за сигурност като инсталиране на сертификат за SSL (Secure Sockets Layer) и защитна стена, която е съвместима с PCI. Това е лесно достъпна опция за всички, включително нетехнически хора.

Можете лесно да настроите такива решения за сигурност и да ги оставите да работят във фонов режим, а в някои случаи да се актуализират, ако е необходимо (като например Сукури). Това е изключително ефективна опция за сигурност с ниска поддръжка.

Редица WordPress плъгини могат да се използват за добавяне на сертификати за SSL (secure sockets layer) към вашия сайт. Някои от най-препоръчителните приставки за WordPress SSL включват CM HTTPS Pro, Really Simple SSL, WP Force SSL, SSL несигурен Content Fixer и Easy HTTPS Redirection.

Завършете

Ще забележите значителни подобрения в сигурността на сайтове, като използвате посочените по-горе точки. Важно е да се отбележи, че сигурността на WordPress винаги се развива. Целта е да се намалят рисковете, а не да се елиминират, тъй като това е почти невъзможно. Защитата на WordPress е динамична и работи на слоеве, така че няма едно-плъгин-пас-всичко или едно-тактическо-всичко.

Кредит на изображението: DDOS Attack Roadsign