Jak zwiększyć bezpieczeństwo wordpressa? – czyli własny hardening cmsa

przez | |

Treściwa lista rzeczy, które można zrobić aby zwiększyć bezpieczeństwo strony postawionej na wordpresie:

  • przeniesienie/zmiana nazwy pliku wp-login.php, a tym samym domyślnej strony logowania;
  • usunięcie pliku readme.html, który udostępnia wersje wordpressa;
  • skorzystanie z wtyczki „Wordfence” która daje nam:
    •  ochronę w czasie rzeczywistym przed znanymi atakami. Działa to w ten sposób, że jeśli na jednej ze stron w sieci korzystających z Wordfence Security zostanie dokonany atak odparty przez Wtyczkę, to automatycznie wszystkie inne witryny na świecie korzystające z wtyczki blokują napastnika 
    • ochronę logowania polegająca na blokowaniu dostępu z danego IP jeśli nastąpi z niego X nieudanych prób logowania w określonym czasie 
    • skanowanie plików WordPress’a, wtyczek oraz motywów i porównywanie ich z oryginalnymi plikami dostępnymi w repozytorium WordPress.org. Pozwala to szybko wykryć zmiany w kodzie, które mogą być wynikiem włamania na stronę. 
    • skanowanie plików w poszukiwaniu wielu znanych backdoor’ów, które odpowiadają za luki w powłoce bezpieczeństwa oraz wielu innych znanych zagrożeń 
    • skanowanie adresów URL, np. w komentarzach pod kątem ich obecności na liście niebezpiecznych adresów zawierających malware czy stosujących phishing 
    • skaner wykorzystuje heurystykę próbując wykryć backdoory, trojany, podejrzany kod i inne czynniki mogące potencjalnie stanowić zagrożenie
  • korzystanie z wtyczki „Stop User Enumeration” , która blokuje możliwość enumerowania kont użytkowników w WordPressie;
  • korzystanie z wtyczki do zarządzanie cachowaniem strony np. „Hyper Cache”, która zwiększy szybkość wczytywania zasobów;
  • korzystanie z wtyczki „WP Mobile Edition”, która stworzy mobilną wersję naszego serwisu. Podniesie to szybkość wczytywania strony na urządzeniach mobilnych oraz ogólny experience użytkownika. Podniesie także scoring w google PageSpeed Insights.

Do powyższych wskazówek można dodać ogólniejsze zalecenia:

  • korzystanie z Cloudflare (load balancer, cachowanie, minifier);
  • zbadanie traffic impactu na naszą witrynę np. za pomocą usługi load impact w celu zoptymalizowania zasobów, a może także wyboru odpowiedniego hostingu;
  • jeżeli korzystamy z Apache przejście na Nginxa;
  • w miarę możliwości korzystanie z asynchronicznego javascriptu;

W badaniu dostępności mogę polecić:

  • Load impact – badanie wpływu realnego ruchu na naszą witrynę;
  • Slow http test – badanie witryny pod kątem ataku slowloris;
  • nmap – audyt tego czy niepotrzebne drzwi nie są otwarte;
  • dirb/dribuster – audyt czy nie udostępniamy w sieci więcej niż chcemy;
  • wpscan – audyt znanych podatności wordpressa;

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Otagowano , , , , , , , , , , , , , , , , , , , , .Dodaj do zakładek Link.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *