Immagina con me per un momento che sei un hacker alla ricerca di modi per hackerare siti Web con una buona reputazione al fine di usarli per indirizzare il traffico legittimo verso una truffa " phishing "Nocivo.
Come indirizzare i siti Web per il massimo impatto? Un'opzione sarebbe quella di individuare e indirizzare una singola vulnerabilità che interessa centinaia o migliaia di siti. Se una cosa del genere potesse essere trovata e sfruttata, puoi creare una carneficina digitale di breve durata.
Inizi a capire perché rafforzare il tuo sito web importa?
Essendo il sistema di gestione dei contenuti più popolare sul Web, WordPress è un obiettivo primario per gli hacker. Ma c'è qualcosa che puoi fare al riguardo.
Perché i cattivi "hack" accadono ai buoni siti web?
Fortunatamente, la versione base di WordPress è abbastanza sicura. Gli hack sono raramente possibili quando si tratta di rompere una scappatoia sulla versione base di WordPress. Quando vengono identificati exploit nel kernel, questi vengono corretti rapidamente.
Invece di attaccare il kernel (che è un osso duro da decifrare) gli hacker in genere prendono di mira cose come password scelte in modo scomodo, plug-in mal codificati, permessi di file permissivi e siti che non vengono applicati. aggiornato con molte vulnerabilità.
Poiché i pirati tendono ad attaccare i "frutti maturi", non è così complicato tornare il tuo blog più robusto per mantenerlo al sicuro. In questo tutorial ti presenteremo 5 metodi a cui puoi applicare il tuo blog per renderlo più robusto.
Fase uno: aggiorna tutto
Ogni volta dopo un po 'viene rilasciato un aggiornamento di WordPress accompagnato da un cupo avviso: " Questa è una versione di sicurezza fondamentale Sebbene tale esclusione di responsabilità renda molto chiaro, è importante installare ogni aggiornamento di WordPress il più rapidamente possibile (anche quelli che non lodano la loro importanza).
Questo non si applica solo al core. Installare rapidamente gli aggiornamenti di plugin e temi è importante quanto installare gli aggiornamenti di base il più rapidamente possibile.
Molti aggiornamenti a temi, plug-in e core di WordPress vengono offerti per affrontare vulnerabilità di sicurezza significative. Quindi la prima cosa che devi fare per mantenere blog WordPress in secure è aggiornare tutto.
Passaggio 2: utilizza un nome utente univoco e una password sicura
Cosa c'è di peggio che usare un nome utente " Admin "? Beh, è sicuramente da usare una password " mot de passe '.
La pagina di accesso di WordPress è un obiettivo comune per gli attacchi di forza bruta. Questi robot effettueranno diversi tentativi di accesso, testando più nomi utente e password.
La soluzione è utilizzare un nome utente e una password sicuri. Non è sempre necessario utilizzare una password che non ha senso, ma così facendo sarà ancora più difficile indovinare. Questo è anche il caso del tuo nome utente.
Considerando che WordPress ha un generatore di password sicuro integrato, non ci sono davvero scuse per coloro che utilizzano una password debole. Quindi, se la tua password non è sicura, vai al tuo profilo e cambiala.
Passaggio 3: disabilitare trackback e pingback
Se non si utilizzano trackback e pingback sul proprio sito WordPress, disabilitarli. Vai alla dashboard e quindi alle impostazioni della chat e deseleziona la casella Prova a notificare i siti collegati dal contenuto degli articoli », E« Consenti collegamenti di notifica da altri blog... ".
La modifica di queste impostazioni consentirà comunque di abilitare queste funzionalità per i singoli post e pagine. Quindi l'opzione migliore è usare un plugin che bloccherà completamente pingback e trackback una volta per tutte.
Ci sono almeno due buoni motivi per cui dovresti prendere in considerazione la disabilitazione di trackback e pingback: possono guidare spam legittimi e possono essere utilizzati in un DDoS coordinato o in un attacco di forza bruta. Se li usi, prenditi il tempo necessario per proteggere il tuo sito da trackback indesiderati e attacchi di forza bruta.
Leggi il nostro tutorial su Come disattivare Trackback e Ping su WordPress.
Passaggio 4: nascondere gli errori PHP
PHP ha funzionalità di debug integrate e puoi visualizzare i messaggi di errore generati da PHP sul frontend del tuo sito aggiungendo " define ('WP_DEBUG', true); Sul tuo file wp-config.php. È uno strumento molto utile per sviluppatori di temi e plugin. Tuttavia, non dovresti mai visualizzare errori PHP in un sito di produzione.
In alcuni casi, la visualizzazione degli errori PHP può fornire informazioni che un hacker sofisticato può utilizzare per compromettere il tuo sito. La soluzione semplice è disabilitare la modalità di debug impostando " falso "per" WP_DEBUG ". Puoi aggiungere questo codice al file " wp-config.php Del tuo sito.
Tutorial consigliato: Quali cambiamenti a wp-config.php per garantire la sua blog WordPress
Passaggio 5: utilizzare un prefisso a tabella singola
Se un utente malintenzionato identifica una vulnerabilità di sicurezza che gli consente di accedere al database, l'ultima informazione di cui ha bisogno è recuperare il prefisso della tabella. Per impostazione predefinita, WordPress utilizza "wp_" come prefisso per tutte le tabelle nel database. Quindi, per rendere le cose ancora più difficili per loro, devi scegliere un prefisso che non sia difficile da indovinare.
Mentre puoi modificare manualmente il prefisso del tuo database, è un po 'complesso e, se sbagli, avrai molto lavoro da ripristinare. Invece, cambia semplicemente il prefisso del tuo database con un plugin in pochi secondi.
Questo è tutto per questo tutorial. Spero che ti permetterà di fare il tuo blog WordPress ancora più robusto. Sentiti libero di condividere questo tutorial con i tuoi amici sui tuoi social network preferiti.
