WordPress ən yaxşı məzmun idarəetmə sistemlərindən biridir. İstifadəsi çox sadədir, minlərlə mövzu və plagin mövcuddur və onunla istənilən veb sayt yarada bilərsiniz. Heç bir təəccüblü deyil ki, WordPress-in səlahiyyətləri Bütün veb saytların 35,1% -i internetdə.


Lakin, populyarlığı bir dəyəri ilə gəlir. WordPress tez-tez hakerlər tərəfindən hədəfə alınır. Görə Sucuri, 2018-ci ildə bütün veb-sayt təmizlənməsi sorğularının 90% -i WordPress-ə aid idi, bu, 2017-ci ilə nisbətən 7% çoxdur.

Veb səhifə Hack Trend Report 2018 - Sucuri

Belə ki, şəxsi portfeliniz, biznes saytınız və ya onlayn mağazanız olub-olmadığını təmin etmək üçün WordPress veb saytınızı təmin etmək siyahınızın başında olmalıdır..

WordPress təhlükəsizliyinə gəldikdə, istifadəçilər ümumiyyətlə iki düşərgəyə düşürlər: təhlükəsizliyi ciddi qəbul edən və ehtiyat tədbirləri görənlər və inanan və ya ümid edənlər bunların heç vaxt olmayacağına inanırlar, çünki saytları kifayət qədər vacib deyildir..

Veb saytlarla əlaqəli təhlükəsizlik məsələlərinin şiddətini daha yaxşı başa düşmək üçün ziyarət etməyinizə əmin olun İnternet Canlı Statistikaları səhifəsi bəzən. Orada, hər gün sındırılan veb saytların dəqiq sayını görə bilərsiniz və hətta real vaxt rejimində artan sayını izləyə bilərsiniz.

Veb sayt real vaxtda haker hücumuna məruz qalıb

Contents

WordPress Veb saytınızı təmin etmək üçün 22 addım

Saytınızın İnternet Live Statistikalarından biri kimi bitməməsi üçün aşağıdakı ipuçlarını izləyin və WordPress veb saytınıza etibarlı olun.

1. Təhlükəsizlik xüsusiyyətləri olan bir Hosting şirkəti üçün seçim edin

WordPress veb saytınızı təmin etmək üçün ilk addım düzgün təhlükəsizlik xüsusiyyətlərini həyata keçirən bir hosting şirkətinə investisiya qoymaqdır. Buraya PHP, MySQL və Apache-nin son versiyasına dəstək, həmçinin firewall və 24/7 təhlükəsizlik monitorinqi daxildir..

Mümkünsə, gündəlik yedekləmə və müntəzəm zərərli proqramları araşdıran bir hosting şirkəti seçin. Hətta müxtəlif DDOS profilaktik tədbirləri tətbiq edən hosting şirkətlərini tapa bilərsiniz.

Hosting şirkəti adətən ilk divar hakerlər saytınıza daxil olmaq üçün keçmək məcburiyyətindədirlər, buna görə daha qabaqcadan investisiya qoymaq və daha bahalı hosting planı almaq mütləq ödəyəcəkdir. Tövsiyə edirik idarə olunan bir WordPress hosting provayderini seçmək.

2. Güclü şifrələrdən istifadə edin

WordPress veb saytınızdakı parolların, həm də hosting hesab sahənizin hər ikisinin etibarlı olduğundan əmin olun. Güclü bir şifrə ilə tanış olmaq üçün böyük və kiçik hərflərdən, nömrələrdən və simvollardan istifadə edin. Sizə etibarlı parol yaratmaq və saxlamaq üçün LastPass kimi bir parol menecerindən də istifadə edə bilərsiniz.

3. Admin istifadəçi adını qazın

Defolt istifadəçi adını admin olaraq təyin etmək üçün istifadə olunan WordPress və əksər istifadəçilər onu dəyişdirmək üçün heç vaxt narahat olmur. Nəticədə, admin adətən hakerlər vəhşicəsinə hücum başlatdıqda sınayacaqları ilk addır.

Bu şəkildə, WordPress veb saytınız üçün heç vaxt admin istifadəçi adından istifadə etməməlisiniz. Bu yaxınlarda WordPress veb saytınızı quraşdırmış olsanız, öz istifadəçi adınızı təyin etməli olursunuz. Ancaq uzun müddətdir işləyən WordPress istifadəçisisinizsə, yenə də admin istifadəçi adından istifadə edə bilərsiniz.

Əgər belədirsə, gedərək saytınız üçün yeni bir admin istifadəçi adı yaradın İstifadəçilər> Yenisini əlavə edin və güclü bir istifadəçi adı və şifrə seçirsiniz. Rolu Administratora qoyun və sonra vurun Yeni istifadəçi əlavə edin düyməsini basın.

İdarəçi hesabı yaratmaq

Daha sonra bu yeni etimadnamə ilə daxil olacaq və köhnə idarəçi istifadəçinizi silirsiniz. Köhnəsini silmədən əvvəl bütün məzmununuzu yeni idarəçi istifadəçinizə həvalə etməyi unutmayın.

4. Saytınıza yazmaq üçün bir töhfəçi və ya redaktor hesabından istifadə edin

Yuxarıda göstərilən tövsiyəni bir addım daha atmaq istəyirsinizsə, saytınıza yeni yazı və məqalələr əlavə etmək üçün bir töhfəçi və ya redaktor hesabı yaratmağı düşünün. Bunu etmək hakerlərin saytınıza ziyan vurmasını çətinləşdirəcək, çünki töhfə verənlər və redaktorlar ümumiyyətlə idarəetmə imtiyazlarına sahib deyillər..

Redaktor hesabı yaratmaq

5. Backup Plugin istifadə edin

Hələ veb saytınızı yedekləmirsinizsə, dərhal başlamalısınız. Ən pis bir şey baş verərsə və saytınız hack edilməyəcəyi təqdirdə bir yedek sistemi saytınızı bərpa etməyə kömək edəcəkdir.

Veb saytınız üçün müntəzəm bir ehtiyat cədvəli yaratmaq üçün UpdraftPlus kimi bir plagindən istifadə edin və bu faylların da yoluxmamasını təmin etmək üçün ehtiyat nüsxələrini kənarda saxlamağı unutmayın..

6. İdarəetmə sahəsini sərtləşdirin

İdarəetmə sahəsini sərtləşdirməyə gəldikdə, istifadəçi saytınızı bağlamamışdan əvvəl standart URL adresini dəyişdirməlisiniz və daxilolmayan cəhdlərin sayını məhdudlaşdırmalısınız..

Varsayılan olaraq veb saytınız üçün admin URL bu cür görünəcək: yourdomain.com/wp-admin. Hakerlər bunu bilirlər və saytınıza daxil olmaq üçün birbaşa bu URL-ə daxil olmağa çalışacaqlar.

Bu URL-i bənzər bir plugin ilə dəyişə bilərsiniz WPS Giriş Gizlət.

WPS Giriş Gizlət

Uğursuz giriş cəhdlərinin sayını məhdudlaşdırmaq üçün istifadə edə bilərsiniz Giriş Lockdown plagin.

Giriş LockDown

7. Faylları bu günə qədər saxlayın

Daha əvvəl də qeyd etdiyimiz kimi, köhnəlmiş sənədlər saytınızı digər istismarlara qarşı həssas buraxdıqları üçün təhlükəsizlik təhlükəsi yaradır. Buna görə yeniləmələri yayımlandıqdan sonra quraşdırmalısınız.

İşdə olduğunuz zaman quraşdırılmış plaginlərinizdən mütəmadi olaraq keçdiyinizdən və istifadə etmədiyiniz plaginləri deaktiv edib silməyinizdən əmin olun.

8. Kompüterinizi qoruyun

Kompüterinizin veb saytınızla nə əlaqəsi olduğuna dair sualınız ola bilər. Kompüteriniz bir virusa yoluxmuşdursa və saytınıza daxil olsanız və ya ona fayl yükləsəniz, həmin yoluxmuş fayllar veb saytınıza da yoluxa bilər. Bir sözlə, əmin olmaq istəyirsən:

  • Saytınıza daxil olmaq üçün ictimai Wi-Fi şəbəkələrindən istifadə etməyin
  • Antivirus proqramı quraşdırın və yeniləndiyinə əmin olun

9. Verilənlər bazası prefiksini dəyişdirin

WordPress hakerləri tərəfindən yaxşı bilinən başqa bir fakt, verilənlər bazanın prefiksinin wp olaraq qurulmasıdır. Bu həqiqət, cədvəl prefiksini tapmağı və saytınıza daxil olmaq üçün avtomatlaşdırılmış SQL enjeksiyonlarını istifadə etməyi asanlaşdırır.

Verilənlər bazası prefiksinin dəyişdirilməsi, redaktə etmənizi özündə ehtiva edən bir əl prosesidir wp-config.php fayl və cədvəl adlarını phpMyAdmin istifadə edərək dəyişdirmək. Dəyişiklik etmədən əvvəl, profilaktik tədbir olaraq saytınızın ehtiyat nüsxəsini yaratdığınızdan əmin olun.

Wp-config düzəliş

Hosting hesabınıza daxil olmalı və cPanel-ə və ya ev sahibi istifadə etdiyiniz idarəetmə panelinə daxil olmalısınız. Sonra Fayl menecerinə daxil olun və yerinizi tapın wp-config.php WordPress qovluğunda fayl.

Bu kimi görünən cədvəl prefiksi xəttini tapın: $ masa_refix ardınca a = işarəsi və cədvəl prefiksi özünü göstərir. Standart simli nömrələr, alt alt və hərflərin birləşməsindən istifadə edərək öz prefiksinizlə əvəz edin:

$ table_prefix = ‘hgwp_3456_’;

Düzəliş etdikdən sonra wp-config.php fayl, Fayl menecerindən çıxın və bütün cədvəl adlarını dəyişdirə bilmək üçün phpMyAdmin-ə daxil olun. Bunu əl ilə etmək çox yorucu ola bilər, çünki düzəltmək üçün cəmi 11 masa var. Bunun əvəzinə SQL sekmesine keçərək SQL sorğusunu daxil edə bilərsiniz

bir SQL sorğusu çalışır

Sonra daxil edin:

RENAME cədvəl 'wp_commentmeta' TO 'hgwp_3456_commentmeta';

RENAME cədvəli `wg_comments 'TO' hgwp_3456_comments ';

RENAME cədvəli "wp_links" TO 'hgwp_3456_links';

RENAME cədvəli 'wp_options' TO 'hgwp_3456_options';

RENAME cədvəl `wp_postmeta 'TO' hgwp_3456_postmeta ';

RENAME cədvəl 'wp_posts' TO 'hgwp_3456_posts';

RENAME cədvəli 'wp_terms' TO 'hgwp_3456_terms';

RENAME cədvəl `wp_termmeta 'TO` wp_a123456_termmeta';

RENAME cədvəlində "wp_term_relationship" TO 'hgwp_3456_term_relationship';

RENAME cədvəli "wp_term_taxonomy" TO 'hgwp_3456_term_taxonomy';

RENAME cədvəl `wp_usermeta 'TO' hgwp_3456_usermeta ';

RENAME cədvəli "wp_users" TO 'hgwp_3456_users';

Yuxarıdakı sorğu verilənlər bazası prefiksini hər yerdə dəyişdirməli olsa da, köhnə verilənlər bazası prefiksindən istifadə edən digər sənədlərin yenilənməsini təmin etmək üçün başqa bir sorğu işə salmaq yaxşı bir fikirdir.

'Hgwp_3456_options' HARADA 'seçim_ adı' LIKE '% wp_%' İSTƏDİR

Ayrıca teusermetanı axtarmalı və geridə qalan köhnə prefiksini yenisi ilə əvəz etmək istərdiniz:

Seçin * 'hgwp_3456_usermeta' ÜÇÜN 'meta_key' BİLMƏZ '% wp_%'

10. .htaccess və wp-config.php fayllarınızı sərtləşdirin

.htaccess və wp-config.php WordPress quraşdırma ən vacib fayllardır. Belə olduqda, onların etibarlı və qorunmuş olduğundan əmin olmalısınız.

Dəyişikliklərin hər yeni yeniləmə ilə yazılmadığını təmin etmək üçün # BEGIN WordPress və # END WordPress etiketlərindən kənarda aşağıdakı kodları .htaccess faylınıza əlavə edin..



sifariş vermək, inkar etmək

hamısından imtina





sifariş vermək, inkar etmək

hamısından imtina





sifariş inkar et, icazə ver

Hamısından imtina edin

# mənim IP ünvanımdan girişə icazə verin

icazə 192.168.1.1

Yuxarıdakı parçalar wp-config və .htaccess’inizi qoruyacaq, həmçinin girişi məhdudlaşdıracaq wp-giriş.php ekran.

Nəhayət, PHP faylının icrasına mane olmaq üçün aşağıdakı parçanı əlavə edin:



hamısından imtina

11. Fayl icazələrini yoxlayın və dəyişdirin

Etibarınızı tamamladıqda .htaccesswp-config.php fayl, cPanelinizdə bir az daha qalın və WordPress veb saytınızdakı fayllar və qovluqlar üçün sənəd icazələrini yoxlayın.

Fayl icazələri

Görə WordPress kodeks, icazələr aşağıdakı kimi qurulmalıdır:

  • Bütün qovluqlar 755 və ya 750 olmalıdır
  • Bütün fayllar 644 və ya 640 olmalıdır
  • wp-config.php 600 olmalıdır

Parametrləriniz fərqlidirsə, hakerlər asanlıqla məzmunu oxuya bilər, sonra saytın hacklənməsinə və eyni serverdəki digər saytların hack edilməsinə səbəb ola biləcək sənəd və qovluqların məzmununu dəyişdirə bilər..

12. İki faktorlu Doğrulama istifadə edin

Kimi bir plagin istifadə etməyi düşünün Google Authenticator saytınız üçün iki faktorlu identifikasiya qurmaq. Bu o deməkdir ki, şifrənizi daxil etməklə yanaşı saytınıza daxil olmaq üçün mobil tətbiqetmənin yaratdığı kodu da daxil etməlisiniz. Bu, qəddar qüvvələrin hücumlarını dayandıra bilər, buna görə onu indi qurmaq yaxşı bir fikirdir.

Google Authenticator

13. XML-RPC-i deaktiv edin

XML-RPC saytınıza WordPress mobil tətbiqetmələri və Jetpack kimi eklentlər ilə əlaqə yaratmağa imkan verir. Təəssüf ki, eyni zamanda bir neçə əmri yerinə yetirmək və saytınıza daxil olmaq üçün bu protokoldan sui-istifadə edə bildikləri üçün WordPress hakerlərinin də sevimlisidir. Kimi bir plagin istifadə edin XML-RPC plaginini deaktiv edin bu xüsusiyyəti aradan qaldırmaq üçün.

XML-RPC-i deaktiv edin

14. HTTPS və SSL istifadə edin

İnternet artıq bir müddətdir HTTPS protokolunun əhəmiyyəti barədə blog yazıları və məqalələri ilə səs-küy salır və SSL təhlükəsizlik sertifikatlarını saytınıza əlavə edir..

HTTPS, Hypertext Transfer Protocol Secure tərəfdarıdır, SSL isə etibarlı Socket Layers üçün. Bir sözlə, HTTPS, ziyarətçi brauzerinə hosting serverinizlə (və buna görə də saytınızla) etibarlı bir əlaqə yaratmağa imkan verir. HTTPS protokolu SSL vasitəsilə təmin edilir. Birlikdə, HTTPS və SSL, ziyarətçi brauzeri ilə saytınız arasındakı bütün məlumatların şifrələnməsini təmin edir.

Saytınızda hər ikisini istifadə etmək yalnız saytınızın təhlükəsizliyini artırmayacaq, həm də axtarış motorunuzun rütbəsini qazanacaq, ziyarətçilərinizə etibar yaradacaq və dönüşüm nisbətinizi yaxşılaşdırın.

Ev sahibi provayderinizlə danışın və SSL sertifikatı əldə etməyin mümkünlüyü barədə soruşun və ya birini satın ala biləcəyiniz nüfuzlu bir şirkət istiqamətinə yönəldin..

15. WordPress tablosuna Tema və Plugin redaktəsini deaktiv edin

Tez bir kod xətti əlavə etməyiniz lazım olduqda tema və plagin sənədlərinizi birbaşa WordPress tablosuna düzəltmək seçiminizə ehtiyacınız var. Ancaq bu da saytınıza girən hər kəsin həmin sənədlərə daxil ola biləcəyi mənasını verir.

Aşağıdakı kodu özünüzə əlavə edərək bu xüsusiyyəti deaktiv edin wp-config.php fayl:

// Fayl redaktəsini qadağan edin

define ('DISALLOW_FILE_EDIT', doğru);

16. Wp-config.php Faylını WWW olmayan bir qovluğa köçürün

Daha əvvəl qeyd edildiyi kimi wp-config.php faylı WordPress quraşdırmağınızdakı ən vacib sənədlərdən biridir. Kök qovluğundan www daxilolmayan bir qovluğa köçürərək girişi çətinləşdirin.

  1. Başlanğıclar üçün, məzmununuzu kopyalayın wp-config.php faylı yeni bir fayla daxil edin və onu wp-config.php olaraq qeyd edin.
  1. Köhnə qayıt wp-config.php fayl və aşağıdakı kodu satır əlavə edin:
  1. Yenisini yükləyin və qeyd edin wp-config.php faylı başqa bir qovluğa göndərin.

17. WordPress Təhlükəsizlik Açarlarınızı dəyişdirin

WordPress təhlükəsizlik düymələri istifadəçinin çərəzlərində saxlanan məlumatları şifrələməyə cavabdehdir. Onlar yerləşir wp-config.php fayl və bu kimi baxmaq:

define ('AUTH_KEY', 'özünəməxsus ifadənizi buraya qoyun');

define ('SECURE_AUTH_KEY', 'unikal ifadənizi buraya qoyun');

define ('LOGGED_IN_KEY', 'özünəməxsus ifadənizi buraya qoyun');

define ('NONCE_KEY', 'özünəməxsus ifadənizi buraya qoyun');

define ('AUTH_SALT', 'özünəməxsus ifadənizi buraya qoyun');

define ('SECURE_AUTH_SALT', 'unikal ifadənizi buraya qoyun');

define ('LOGGED_IN_SALT', 'özünəməxsus ifadənizi buraya qoyun');

define ('NONCE_SALT', 'özünəməxsus ifadənizi buraya qoyun');

İstifadə edin WordPress Duzlar Açar İstehsalçı onları dəyişdirmək və saytınızı daha etibarlı etmək.

18. Səhv hesabatını deaktiv edin

Səhv barədə məlumat vermək, WordPress veb saytınızda hansı xüsusi plugin və ya mövzunun səhv yaratdığını müəyyənləşdirmək üçün faydalıdır. Ancaq sistem bir səhv bildirdikdən sonra server yolunuzu da göstərəcəkdir. Deməyə ehtiyac yoxdur, bu hakerlər üçün saytınızdakı zəifliklərdən necə və harada yararlana biləcəklərini tapmaq üçün mükəmməl bir fürsətdir.

Aşağıdakı kodu özünüzə əlavə etməklə bunu deaktiv edə bilərsiniz wp-config.php fayl:

səhv_reporting (0);

@ini_set ('display_errors', 0);

19. WordPress versiya nömrəsini çıxarın

Veb saytınızın kod kodu ilə tanış olan hər kəs WordPress-in hansı versiyasından istifadə etdiyinizi söyləyə bilər. Hər bir WordPress versiyasında səhvlərin və təhlükəsizlik yamalarının siyahısını açıqlayan ictimai dəyişikliklər olduğundan, hansı təhlükəsizlik dəliklərindən istifadə edə biləcəklərini asanlıqla müəyyənləşdirə bilərlər..

WordPress versiyası

Xoşbəxtlikdən, asan bir həll var. Mövzunun funksiyaları.php faylını düzəltmək və aşağıdakıları əlavə etməklə WordPress versiya nömrəsini silə bilərsiniz.

remove_action ('wp_head', 'wp_generator');

20. Təhlükəsizlik başlıqlarından istifadə edin

WordPress veb saytınızı təmin etməyin başqa bir yolu təhlükəsizlik başlıqlarını tətbiq etməkdir. Tipik olaraq, hack hücumlarının qarşısını almaq və təhlükəsizlik həssaslığının sayını azaltmaq üçün server səviyyəsində qurulur. Mövzunuzu dəyişdirərək onları özünüz əlavə edə bilərsiniz funksiyaları.php fayl.

Təhlükəsizlik başlıqları

Çarpaz yazı hücumları

Aşağıdakı kodu icazə verilən məzmuna, skriptə, üsluba və digər məzmun mənbələrinə əlavə edin:

başlıq ('Məzmun-Təhlükəsizlik-Siyasət: default-src https:');

Bu, brauzerin zərərli faylları yükləməsinə mane olur.

Iframe klik oyunu

Brauzerə bir səhifəni bir çərçivədə göstərməməyi tapşırmaq üçün aşağıdakı sətri əlavə edin: başlıq ('X-Çerçeve Seçimləri: SAMEORIGIN');

X-XSS-qoruma və X-məzmun tipi seçimlər

XSS hücumlarının qarşısını almaq üçün aşağıdakı sətirləri əlavə edin və Internet Explorer-ə mime növlərini incitməyin

başlıq ('X-XSS-Qoruma: 1; rejim = blok');

başlıq ('X-Content-Type-Options: nosniff');

HTTPS tətbiq edin

Brauzerə yalnız HTTPS istifadə etməyi tapşırmaq üçün aşağıdakı kodu əlavə edin:

başlıq ('Strict-Transport-Security: max-age = 31536000; daxildirSubdomains; əvvəlcədən yükləmə');

HTTPOnly ilə cookie və WordPress-də təhlükəsiz bayraq 

Brauzerə yalnız server tərəfindən təyin edilmiş çerezlərə etibar etdiyinizi və aşağıdakıları əlavə edərək çerezin SSL kanallarında mövcud olduğunu söyləyin:

@ini_set ('session.cookie_httponly', doğru);

@ini_set ('session.cookie_secure', doğru);

@ini_set ('session.use_only_cookies', doğru);

Bu başlıqları əl ilə əlavə etmək istəmirsinizsə, bir plagin kimi istifadə etməyi düşünün Təhlükəsizlik başlıqları. Təhlükəsizlik başlıqlarını tətbiq etmək üçün hansı üsulu seçməyinizdən asılı olmayaraq, onlardan istifadə etməyinizə əmin olun https://securityheaders.io veb saytına daxil olun və saytınızın URL-sini daxil edin.

21. Qaynar əlaqənin qarşısını al

İstiqamət bağlamaq heç bir təhlükəsizlik pozuntusu deyil, ancaq birbaşa bir görüntüyə və ya başqa bir media sənədinə işarələmək üçün saytınızın URL istifadə edərək başqa bir veb sayta aid olduğunu nəzərə alsaq, oğurluq hesab olunur. Buna görə, əlaqələndirmə gözlənilməz xərclərə səbəb ola bilər, çünki yalnız qanuni pozuntularla qarşılaşmalı olacaqsınız, həm də görüntünüzü oğurlayan sayt çox trafik əldə edərsə hosting qanun layihəsi damdan keçə bilər..

Apache serverindən istifadə edirsinizsə, aşağıdakı kodu .htaccess faylınıza əlavə edin və həqiqi domeninizi həqiqi domen adınızla əvəz edin:

RewriteEngine aktivdir

RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Domain.com [NC]

RewriteRule \. (Jpg | jpeg | png | gif) $ - [NC, F, L]

Alternativ olaraq, NGINX serverlərindən istifadə edirsinizsə, konfiqurasiya sənədinizi aşağıdakılarla dəyişdirmək istərdiniz:

yer ~. (gif | png | jpe? g) $ {

valid_referers heç biri maneə törətməyib ~. google. ~ .barmaq. ~ .yahoo yourdomain.com * .yourdomain.com;

əgər ($ invalid_referer) {

qayıt 403;

}

}

22. Boş istifadəçilərdən çıxın

Saytınızın təhlükəsizliyini artırmaq üçün bu təlimatda göstərilən son göstəriş, fəaliyyətsiz bir müddətdən sonra boş istifadəçilərdən çıxmaqdır. Kimi bir plagin istifadə edə bilərsiniz Qeyri-aktiv çıxış aktiv olmayan seansları avtomatik olaraq ləğv etmək.

Qeyri-aktiv çıxış

Bunun üçün zəruridir, çünki yeni bir blog yazmaq üçün veb saytınıza daxil olsanız və başqa bir vəzifə ilə diqqəti yayındırsanız, iclasınız qaçırıla bilər və hakerlər saytınızı yoluxdurmaq üçün vəziyyətdən sui-istifadə edə bilərlər. Saytınızda çox sayda istifadəçi varsa, aktiv olmayan seansları dayandırmaq daha vacibdir.

Bir hackdən necə qurtarmaq olar

Yuxarıdakı təhlükəsizlik tədbirləri saytınızı təmin etmək üçün əla bir yoldur. Bəs saytınız onsuz da pozulursa nə olacaq? Veb saytınızın hack edildiyi təqdirdə bir neçə addım.

1. Hack'i təsdiqləyin və Şifrənizi dəyişdirin

Saytınız hack edilmişsə, əvvəlcə qorxma. Bu sizə kömək etmir və əməl görülür, buna görə tez bir zamanda hərəkət etməyiniz vacibdir. Saytınızı yoxlamaqdan başlayın və tablosuna daxil ola biləcəyinizə baxın. Saytınızın başqa bir sayta yönləndirildiyini və ya şübhəli və qəribə bir bağlantı və ya reklam görsəniz yoxlayın.

Şifrənizi dərhal dəyişdirin və sonra növbəti mərhələyə keçin.

2. Hosting şirkəti ilə əlaqə qurun

Ev sahibi ilə əlaqə saxlayın və saytınızın pozulduğunu bildirin. Hack mənbəyini müəyyənləşdirməyə kömək edə bilərlər. Bəzi hostlar da saytınızı təmizləyəcək və zərərli kodu və faylları silib.

Saytınızı bərpa etmək üçün Yedəkləmə istifadə edin

Saytınızın ehtiyat nüsxəsini çıxartmaq üçün səy göstərmisinizsə, hack əvvəlindən bir nüsxə tapın və saytınızı bərpa etmək üçün istifadə edin. Məzmunun bir hissəsini itirə bilsəniz, saytınızı hücum başlamazdan əvvəl olduğu kimi inkişaf etdirə bilərsiniz.

3. Zərərli proqram üçün saytınızı tarayın

Sucuri'nin pulsuz skanerindən istifadə edərək saytınızı zərərli proqram üçün skan edin və pozulmuş faylları müəyyənləşdirin. Zərərli proqramı özünüz necə çıxartmağı bilmirsinizsə, saytların təmizlənməsi xidmətinə qoşula bilərsiniz.

4. Sayt İstifadəçilərinizi yoxlayın

WordPress veb saytınıza daxil olun və İstifadəçilər> Bütün İstifadəçilər daxil olun. Orada olmamalı istifadəçilər olmadığından əmin olun və lazım olduqda onları silmək lazımdır.

5. Gizli açarlarınızı dəyişdirin

Yeni təhlükəsizlik açarları yaratmaq və onları wp-config.php faylınıza əlavə etmək üçün yuxarıda göstərilən WordPress Duzları Açar Yaradan istifadə edin. Bu düymələr şifrənizi şifrələdiyindən, xakerlər çərəzləri etibarsız sayılana qədər daxil olurlar. Yeni təhlükəsizlik açarları yalnız bunu edəcək və haker saytınızı tərk edəcəkdir.

6. Peşəkar işə götürün

Nəhayət, hack təmizləmək və zərərli proqramı saytınızdan çıxarmaq üçün bir mütəxəssis işə götürün. Yadda saxlayın ki, hakerlər zərərli kodu bir neçə faylda gizlədə bilər, buna görə zərərli proqramın çıxarılması ilə qarşılaşmırsınızsa, yoluxmuş faylı əldən vermək asandır. Bu, hakerlərin saytınızı yenidən hack etməsini asanlaşdırır, buna görə peşəkar işə götürmək çox tövsiyə olunur.

WordPress zəifliklərinin ən çox yayılmış 7 növləri

Bu məqalə ilə daha əvvəl söhbət etməyinizdən əvvəl otaqdakı filə müraciət edək: WordPress təhlükəsizdirmi? Bu sualın cavabı bəli. WordPress proqramının nüvəsi etibarlıdır və WordPress-in arxasında duran şirkət təhlükəsizliyə ciddi yanaşır.

Onların təhlükəsizlik komandası Quruluşda WordPress-in etibarlı olmasını təmin etmək üçün pərdə arxasında çalışan aparıcı inkişaf etdiricilər və təhlükəsizlik tədqiqatçılarından ibarət 50 mütəxəssis var.

Əslində, təhlükəsizlik hadisələri və risklərin əksəriyyəti, insan təhlükəsizlik səhvinin olması ilə əlaqəli səhvlərin nəticəsidir.

Xəbərdar olmağınız lazım olan WordPress zəifliklərinin yeddi növü vardır:

  • Köhnəlmiş WordPress faylları
  • Arxa açıq istismar
  • Pharma hacks
  • Zəif parollar
  • Zərərli yönləndirmələr
  • Hosting platformasında zəiflik
  • Xidmət hücumlarının rədd edilməsi

Gəlin onların üzərindən keçək və nə olduğunu izah edək.

1. Köhnəlmiş WordPress Faylları

Köhnəlmiş WordPress faylları, WordPress versiyasına, mövzu və plugin fayllarına aiddir. Sitenizi arxa planlı istismar və pharma hackləri kimi digər zəifliklərə məruz qaldıqları üçün təhlükəsizlik təhlükəsi yaradırlar.

Bu səbəbdən, WordPress qurğunun mövzusuna və plaginlərinə uyğun olduğundan əmin olmalısan. Yeniləmələri sərbəst buraxdıqları üçün aktiv olaraq tətbiq etməlisiniz, çünki bunlar yalnız yeni xüsusiyyətlərlə deyil, həm də müxtəlif təhlükəsizlik və hata düzəlişləri də daxil edir..

2. Arxa yerdən istifadə

Backdoor istismarına gəldikdə, hakerlər saytınıza daxil olmaq üçün köhnəlmiş WordPress fayllarından faydalanacaqlar. Köhnəlmiş sənədlərdən başqa SFTP, FTP və bənzər vasitələr ilə saytınıza daxil ola bilərsiniz.

Saytınıza daxil olduqdan sonra saytınızı yoluxduracaq və saytınızla eyni serverdə olan digər saytları da yoluxdura bilər. Arka plan yerdəki enjeksiyonlar təcrübəsiz istifadəçiyə adi WordPress fayllarına bənzəyir. Amma pərdə arxasında, köhnəlmiş sənədlərdəki səhvlərdən faydalanaraq verilənlər bazanıza daxil olmaq və saytınızdakı minlərlə veb sayt kimi tələf olmaq..

3. Pharma Hacks

Pharma hackləri köhnəlmiş WordPress fayllarında zəifliklərin istismarına aiddir, burada bir haker həmin fayllara kodu daxil edir. Kod daxil edildikdən sonra, axtarış motorları veb saytınızın əvəzinə əczaçılıq məhsulları üçün reklam nümayiş etdirir. Bu veb saytınızı spam olaraq qeyd edən axtarış motorları ilə nəticələnə bilər.

4. Zəif parollar

Zəif şifrələri xatırlamaq asan ola bilər, lakin hakerlərin vəhşicəsinə hücum yolu ilə saytınıza girməsini asanlaşdırır. Bir hacker, işləyən birləşmə tapana qədər müxtəlif istifadəçi adı və şifrə birləşmələrini sınamaq üçün arxa planda işləyən avtomatlaşdırılmış skriptlərdən istifadə edərkən şiddətli bir hücum baş verir..

5. Zərərli yönləndirmələr

Eynilə köhnəlmiş sənədlərdən və FTP və ya SFTP protokolundan istifadə edərək, bir pharma hack və ya bir arxa plan istismarı ilə nəticələnən kodu yeritmək üçün, hakerlər ziyarətçilərinizi zərərli veb sayta yönləndirmək üçün WordPress quraşdırılmağınızdakı .htaccess faylından istifadə edəcəklər..

Ziyarətçiləriniz bir virusla sona yetə bilər və ya фишингə meyl edə bilərlər.

6. Hosting Platformasındakı zəifliklər

Bəzən firewall və ya fayl monitorinqi kimi təhlükəsizlik xüsusiyyətləri olmayan bir hosting şirkətindən istifadə etdiyiniz üçün veb saytınızın təhlükəsizliyi pozula bilər. Bu, adətən daha ucuz hosting provayderləri ilə əlaqədardır ki, bu da daha ucuz bir ev sahibinin seçilməsi, saytınızın haker hücumuna məruz qaldığı təqdirdə daha baha başa gələcək..

Unutmayın ki, daha ucuz hostinq platformaları daha yüksək təhlükəsizlik riski yaradır, çünki saytınız eyni serverdə yerləşdirilmiş başqa bir veb saytdakı hakerlərin həssaslıqları nəticəsində istifadə oluna bilər..

7. Xidmət hücumlarının rədd edilməsi

Xidmət hücumlarını və ya DDOS hücumlarını rədd etmək hər hansı bir veb sayt sahibi üçün ən təhlükəli təhlükələrdən biridir. Bir DDOS hücumunda bir haker saytınızın əməliyyat sisteminin yaddaşının pozulmasına səbəb olan səhv və səhv səhvlərindən istifadə edəcəkdir. DDOS hücumları ümumiyyətlə WordPress kimi müəyyən bir platformadan istifadə edən çox sayda saytı məhv edəcəkdir.

İndi WordPress ilə əlaqəli ümumi zəifliklərin nə olduğunu bildiyiniz üçün, WordPress saytınızı qorumağa kömək edəcək məsləhətlərə, ən yaxşı təcrübələrə və təhlükəsizlik tövsiyələrinə keçək..

Qucaqlamaq

WordPress hər kəs üçün bir veb sayt yaratmağı asanlaşdıran güclü və populyar bir CMS-dir. Lakin bu qədər populyar olduğu üçün hackerlər üçün də ən sevimli hədəfdir. Xoşbəxtlikdən, WordPress saytınızı qorumaq üçün bir sıra addımlar ata bilərsiniz və bu məqalədəki məsləhətlərə əməl etsəniz, etibarlı WordPress veb saytına sahib olmağınız üçün yaxşı olacaqsınız..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me