WPHardening: обзор уязвимостей и проверок безопасности в сети Wordpress

Безопасность веб-сайта является одним из наиболее важных аспектов, которые веб-мастер должен учитывать.

Веб-сервер, который мы используем для нашего веб-сайта под управлением WordPress, также может иметь уязвимости, поэтому мы должны убедиться, что у нас нет проблем с безопасностью, или принять меры для повышения безопасности. В других руководствах были указаны действия и инструменты для усиления безопасности, например, путем применения:

1. Меры безопасности для VPS серверов
2. Как обнаруживать и контролировать сервисы на серверах Linux

Очень важный аспект, который следует иметь в виду, состоит в том, чтобы избегать использования общего сервера. Это те серверы, на которых размещаются другие веб-сайты, в дополнение к нашему веб-сайту и веб-сайту на том же сервере, который уязвим, вы можете поставить под угрозу все другие веб-сайты, поскольку Файлы находятся в одном и том же месте и таким образом распространяют атаку или вирусную инфекцию.
Сайты, разработанные под Wordpress, чувствительны к большинству атак, потому что 30% сайтов разрабатываются на этой платформе.

Поэтому важно принять меры для защиты нашего веб-сайта и наших данных от возможных злоумышленников и минимизации риска уязвимостей .

Стратегии, которые мы можем реализовать

Измените путь к папке wp-content

Измените маршрут по умолчанию на папку WordPress wp-content, которая является папкой, в которой находится большинство файлов и плагинов, тем, составляющих наш веб-сайт. Эксплойты и вредоносные программы будут искать эту папку для поиска и поиска уязвимостей. Если мы изменим маршрут, то усложним отслеживание.

Чтобы изменить маршрут, мы должны отредактировать файл wp-config.php и изменить константу wp_content_dir:

 define ('WP_CONTENT_DIR', dirname (__ FILE__). '/ path / wp-content'); 

С этим я бы изменился.

Установить только безопасный плагин

Плагины могут быть удалены из официального репозитория WordPress.org, если они не обновляются часто, что позволяет гарантировать сообществу, что определенные плагины безопасности, а также показывает нам, какие плагины более приемлемы для пользователей. Тот факт, что они являются вредоносными, не означает, что они работают правильно или не имеют уязвимостей.

Мы должны обратить внимание, когда сообщается, что плагин, который не обновлялся годами, имеет сбои. Сообщество пользователей обнаружило, что оно содержит некоторую уязвимость безопасности.

Используйте WPHardening для автоматизации безопасных установок

WPHardening - это инструмент для автоматизации и выполнения различных проверок безопасности, позволяющий безопасно настроить наш веб-сайт Wordpress.

Этот проект выполняется под Python и позволяет вам проверять различные аспекты веб-сайта разработчика под Wordpress, чтобы искать уязвимости.

Одним из основных преимуществ этого инструмента является автоматизация задач, и параметры безопасности важны, чтобы избежать раскрытия информации потенциальным злоумышленникам. Есть много инструментов, которые были созданы специально для получения и сбора всех видов информации, связанной с установкой WordPress. Многие атаки на системы WordPress обычно начинаются с предыдущей информации, основанной на сканировании и сборе информации .

WpHardening может быть загружен на наш сервер или локальный компьютер с его официального сайта или из терминала с помощью команды с помощью команды:

 git clone https://github.com/elcodigok/wphardening.git 

Мы также можем скачать его со страницы проекта на GitHub:

После того, как файл установлен или распакован, мы можем получить доступ к папке wphardening.

Чтобы использовать этот инструмент, мы должны знать маршрут к сети, которую мы хотим проверить, и эту сеть с момента ее разработки на Wordpress.

Затем мы должны обновить wphardening, чтобы у нас были самые последние репозитории и самые последние улучшения, которые были включены, для них из окна терминала мы выполняем следующую команду:

 python wphardening.py --update 

Затем мы можем начать использовать wphardening и проверить безопасность сайта, разработанного под WordPress, с помощью следующей команды:

 python wphardening.py -d / home / myuser / miweb -v 

Помните, что он используется только локально, то есть на локальном или удаленном сервере из командной строки и для веб-сайтов, разработанных в WordPress .

Например, я буду использовать для этого урока демонстрационный веб-сайт, созданный в Wordpress на локальном сервере с Xampp:

Во многих случаях у нас возникают проблемы с правами доступа к файлам и папкам, из-за которых наш сайт подвергается атакам или вторжениям. Для решения этой проблемы мы используем следующую команду:

 python wphardening.py -d / opt / lampp / htdocs / projects / cabanias –chmod -v 

Это устанавливает рекомендуемые разрешения для большей безопасности автоматически.

Еще одна очень интересная опция этого инструмента - возможность загружать и устанавливать автоматически рекомендуемые и протестированные плагины и инструменты безопасности .

 python wphardening.py -d / opt / lampp / htdocs / projects / cabanias –plugins 

$config[ads_text6] not found

Когда мы выполним команду, мы запросим разрешение на установку каждого подключаемого модуля безопасности, в том числе антивируса, сканера эксплойтов, менеджера баз данных, сканера безопасности и уязвимостей, в частности, в конце мы увидим плагины, установленные в папке подключаемых модулей. с нашего сайта Wordpress. Эти плагины используют свои собственные онлайн-инструменты и базы данных для поиска в архивах и базах данных нашего веб-сайта WordPress, а также могут указывать на то, что вы стали жертвой злоумышленников.

 [attachment = 12158: panta06.webp] 

Затем из панели администратора Wordpress мы можем установить и включить плагины безопасности.

$config[ads_text5] not found

Другой интересный вариант - автоматическое создание файла robots.txt, который автоматически запрещает доступ к более важным каталогам на сайте. Мы также добавили параметр -o, который позволяет нам создать файл журнала с результатом выполненной задачи.

 python wphardening.py -d / opt / lampp / htdocs / projects / cabanias –robots -o securitywp.log 

Когда мы выполним команду, нас попросят указать путь к веб-сайту, а затем можно будет создать файл robots.txt.

$config[ads_text6] not found

Удаление неиспользуемых файлов важно, поскольку они занимают место и могут быть уязвимы, поскольку они обычно не поддерживаются или не обновляются, а веб-сайт с большим количеством файлов может вызвать путаницу, поэтому мы будем использовать команду параметра удалить, чтобы автоматически удалить все файлы, не используемые на нашем сайте.

 python wphardening.py -d / opt / lampp / htdocs / projects / cabanias –remove -o Seguridadwp.log 

В конце мы видим созданный нами журнал со списком всех удаленных файлов.

Атаки на веб-сайты и серверы вызваны проблемами безопасности из-за уязвимостей в вашем программном обеспечении либо из-за ошибок программирования, либо из-за неправильно настроенного программного обеспечения.

Эти уязвимости позволяют злоумышленникам использовать большое количество методов, таких как использование параметра URL для выполнения инъекции SQL, добавления кода в базу данных через формы, которые могут позволить данным изменять или удалять важные данные. как удалить все записи и страницы или оставить сеть неиспользованной.

Сайты, созданные под Wordpress, которые получают атаки, обычно из-за уязвимостей плагина WordPress . Хакеры обычно вставляют 64-х вредоносное ПО, которое позволяет им выполнять функцию PHP на нашем веб-сайте. Вы также можете оставить черный ход где-то на вашем сайте. Это метод, который они используют для доступа к своему веб-сайту в будущем, даже этот тип атаки обычно заражает все файлы в Интернете.

Помните, что все инструменты, которые мы используем, не гарантируют безопасность нашего веб-сайта, мы также должны реализовать политики безопасности, такие как создание резервных копий базы данных и всех файлов еженедельно или ежедневно.

• 
• 0