scottb
  • 0
Гуру

Должен ли WordPress добавить параметры для повышения безопасности или оставить это на усмотрение разработчиков плагинов? Закрыто

  • 0
Закрыто. Этот вопрос должен быть более
целенаправленным. В настоящее время ответы не принимаются.

Share
  1. Я понизил голос из-за названия вопроса. Я думаю, что WordPress серьезно относится к безопасности.

    • 0
    • На этот вопрос сложно ответить, потому что он предполагает возможные будущие действия WordPress. Было бы лучше перефразировать это как «что я могу сделать, чтобы улучшить безопасность моей установки WordPress?», но я полагаю, что у нас уже есть такой вопрос.

      • 0
    • @Jan: хорошее предложение. Как насчет «Что WordPress может сделать для повышения безопасности установок?»

      • 0
    • Проголосовали против из-за серьезной небезопасности, правильного ответа нет. Какие некоторые из вещей, предложенных в вопросе, просто раздражают пользователя, а также почти не используются. Дополнительная безопасность, такая как те, должна быть вещью для плагинов и конфигураций httpd.

      • 0
    • Есть ли какой-нибудь фреймворк, который просто говорит: «Аааа, к чёрту безопасность — наше сообщество, вероятно, позаботится об этом?» Я чувствую, что безопасность является основным арендатором КАЖДОГО достойного внимания фреймворка. Если разработчики WordPress Core определяют, что нужно сделать для улучшения безопасности, они делают это. Я думаю, что название было бы лучше сформулировать как «Должны ли быть добавлены необязательные меры безопасности к ядру?»

      • 0
    • @t3los: на большинстве сайтов WordPress есть один администратор. Логин администратора — это то, к чему я предлагаю добавить параметры защиты. Я предлагаю это только как вариант, как изменение постоянных ссылок. Спасибо за предложения.

      • 0
    • @Scott B — Что бы вы посоветовали сделать для дополнительной защиты учетных записей администраторов?

      • 0
    • @ t3los: я думаю, что трех вещей, которые я перечислил в вопросе, было бы достаточно для начала. И это были бы вещи, которые я мог бы просто «посоветовать» клиентам включить. Ничего обязательного. И когда я говорю, что на большинстве сайтов есть один пользователь-администратор, по моему опыту, обычно это ЕДИНСТВЕННЫЙ пользователь, который имеет доступ к панели инструментов WP.

      • 0
    • @ t3los: Просто чтобы уточнить о пользователях-администраторах. У меня ~1 тыс. клиентов, которые используют WP (и более 10 тыс. установок WP среди этих клиентов). Более 95% из них имеют ровно 1 пользователя в таблице «Пользователи», и почти в 100% этих случаев это пользователь-администратор.

      • 0
    • Да, но, как я уже говорил ранее, некоторые меры могут оказать негативное влияние на опыт законного пользователя (и небольшие неудобства для сообразительного хакера). Тем не менее, всегда стоит переименовывать основную учетную запись, как описано в документации по усилению защиты WordPress: codex.wordpress.org/Hardening_WordPress, которая является хорошим источником информации о защите сервера (ну, по крайней мере, это хорошее место для начала).

      • 0
    • В большинстве случаев это небольшие сайты с одним администратором. Варианты, которые я предлагаю, не являются обязательными и могут быть определены пользователем как дополнительный уровень безопасности. В случае с моим клиентом любой из трех предложенных вариантов, скорее всего, предотвратил бы простое нарушение пароля администратора. Я не могу сказать, что хакер «просто пошел дальше», однако это было слишком просто.

      • 0
    • @Scott B, чем включение необязательных опций отличается от установки плагина, который делает то же самое? Я понимаю вашу точку зрения, что это может быть включено в ядро. Но я также понимаю, что это не то, что WordPress должен делать, и это не то, что уже нельзя сделать.

      • 0
    • это идет к уровню изощренности пользователя. Конечно, они должны знать эти вещи, но большинство считает само собой разумеющимся, что WP уже защищает их сайты от простого взлома паролей. Поэтому, если бы они знали, как легко взломать пароль администратора при установке WP по умолчанию, возможно, они поступили бы так, как вы предлагаете, и нашли бы плагин и установили его. Большинство никогда не узнает, пока не станет слишком поздно.

      • 0
    • спасибо за предложение для «Блокировка входа». Я рассмотрю возможность рекомендовать его своим пользователям. Хотя я думаю, что это должно быть встроено в ядро ​​как «Опция», настройка.

      • 0
    • +1 за полезное предложение (забыл сделать это в своем первоначальном комментарии).

      • 0
  2. RE: Имя пользователя — admin

    Начиная с версии 3.0 установщик просит пользователя указать имя пользователя для основной учетной записи, очевидно, вы не получите эту опцию, если обновитесь с более старой версии (поскольку это не новая установка).

    Вы можете увидеть это изображение здесь:
    http://codex.wordpress.org/Installing_WordPress#Step_5:_Run_the_Install_Script

    RE: Блокировка злоумышленников

    Не существует действительно эффективного способа сделать это, потому что любая информация, которую вы можете получить и хранить о пользователе, может быть подделана и изменена в считанные секунды, вы рискуете заблокировать законных пользователей.

    RE: Неудачные попытки входа

    Это может быть полезно, но всегда есть вероятность, что злоумышленник заблокирует администратора (или другого пользователя) из своей собственной установки, просто преднамеренно пытаясь войти в учетную запись этого пользователя с неверными учетными данными для входа. Регулирование времени между попытками входа в систему может помочь, но, честно говоря, любой умный хакер в любом случае автоматизирует процедуру, и это становится в некоторой степени спорным вопросом (но да, конечно, это остановит некоторых).

    Это просто мое мнение по этим конкретным вопросам, понимайте как хотите.. 🙂

    • 0
  3. Я предполагаю, что вы никогда не имели дело со значительно большой пользовательской базой чего-либо в условиях жесткой безопасности входа в систему? Некрасиво… 🙂

    Предлагаемые вами изменения входа будут:

    1. Немного позаботьтесь о безопасности, потому что большинство взломов связано с устаревшими версиями и плохой безопасностью сервера, а не с грубым логином.

    2. Получите больше негативных отзывов от пользователей, чем проблемы безопасности когда-либо делали и когда-либо будут.

    Дело в том, что WordPress работает только как часть стека веб-сервера. Он мало что может сделать для безопасности, а общие меры в большинстве случаев принесут больше вреда, чем пользы.

    WordPress позаботится обо всем, что может, и управляется плагинами для добавления и настройки того, что вам конкретно нужно. Выше этого прыгнуть сложно.

    • 0
  4. Если у вашего клиента было взломано 12 сайтов, то должно произойти одно из двух: либо ему нужно найти лучший хостинг, либо ему нужно перестать создавать дыры в безопасности на своих сайтах.

    WordPress не нужно делать ничего из того, что вы предложили, потому что они либо уже есть (вы можете выбрать свое собственное имя администратора при установке), либо вариант использования не диктует этого. Как указал t31os, хотя эти вещи могут быть полезны, хакеры также могут использовать их в качестве оружия против администраторов.

    Не так много людей нуждаются или хотят, чтобы эти меры безопасности даже оправдывали их как вариант в ядре.

    Технически они являются опцией в ядре:

    Перейдите в «Плагины» -> «Добавить новый», найдите «Блокировка входа» и установите.

    • 0
  5. WordPress — самая популярная и широко используемая платформа для ведения блогов. Он поддерживает все виды веб-сайтов, от простого блога до полнофункционального бизнес-сайта. Двадцать шесть процентов всех веб-сайтов по всему миру используют WordPress. В результате этой популярности хакеры и спамеры проявляют большой интерес к взлому безопасности сайтов, управляемых WordPress.

    Только за январь 2017 года WordFence сообщила о 26 миллионах атак методом перебора на веб-сайты WordPress в день. В том же отчете они зафиксировали более сложные целевые атаки, в среднем 4,7 миллиона атак в день за тот же период времени. Это очень много людей и ботов, которые замышляют что-то нехорошее. Безопасность вашего веб-сайта WordPress имеет большое значение, и хорошее место для начала ее защиты — это экран входа в систему. Итак, давайте начнем с того, чтобы сделать страницу входа вашего сайта WordPress немного более безопасной.

    1. Не используйте admin в качестве имени пользователя. Возможно, это самый простой базовый шаг для обеспечения безопасности WordPress, который вы можете предпринять как пользователь WordPress. Это ничего не стоит вам, а установка упрощает работу. Большинство современных атак нацелены на ваши точки доступа wp-admin / wp-login с использованием комбинации admin и некоторого пароля в так называемых атаках грубой силы. Здравый смысл подсказывает, что если вы удалите администратора, вы также сразу уничтожите атаку.

    Просто создайте нового пользователя в WordPress в разделе «Пользователи» > «Новый пользователь» и сделайте его пользователем с правами администратора. После этого удалите пользователя admin. Не беспокойтесь о публикации или страницах, которые пользователь-администратор уже создал. WordPress любезно спросит вас: «Что делать с контентом, принадлежащим этому пользователю?», и даст вам возможность удалить весь контент или назначить его новому пользователю, такому как тот, которого вы только что создали.

    2. Используйте надежный пароль

    Перебор страниц входа в систему — одна из распространенных форм веб-атак, с которыми может столкнуться ваш сайт. Если у вас есть легко угадываемый пароль или имя пользователя, ваш веб-сайт почти наверняка станет не только целью, но и жертвой.

    Поэкспериментируйте с паролями веб-сайтов и регулярно меняйте их. Улучшите их силу, добавив прописные и строчные буквы, цифры и специальные символы. применять надежные пароли для всех ваших пользователей

    3. Ограничьте количество попыток входа в систему. Это один из невероятно простых методов, позволяющих остановить атаки грубой силы на вашу страницу входа прямо в их следы. Атака грубой силы работает, пытаясь правильно подобрать имя пользователя и пароль, многократно пробуя несколько комбинаций.

    Если конкретный IP-адрес, который совершает атаку, отслеживается, вы можете заблокировать повторяющиеся попытки грубой силы и обеспечить безопасность своего сайта. установить ограничение на количество попыток входа для предотвращения атаки грубой силы.

    4. Будьте в курсе событий Очень большой процент взломов веб-сайтов произошел из-за устаревших, уязвимых версий плагинов.

    Каждый хороший программный продукт поддерживается его разработчиками и время от времени обновляется, но WordPress обновляется очень часто. Эти обновления предназначены для исправления ошибок и иногда содержат важные исправления безопасности.

    Поэтому регулярно обновляйте свой WordPress, плагин, Темзу.

    5. Регулярно создавайте резервные копии вашего сайта Независимо от того, насколько безопасен ваш сайт, всегда есть возможности для его улучшения. Но, в конце концов, хранение резервной копии вне офиса, возможно, является лучшим противоядием, что бы ни случилось.

    Если у вас есть резервная копия, вы всегда можете восстановить свой сайт WordPress до рабочего состояния в любое время. Есть несколько плагинов, которые могут помочь вам в этом отношении.

    Плагин WP All Backup позволяет легко создавать резервные копии и восстанавливать резервные копии одним щелчком мыши. Ручное или автоматическое резервное копирование, а также хранить резервные копии в безопасном месте — Dropbox, FTP.

    Создает резервную копию всего вашего веб-сайта: это ваша база данных, текущее ядро ​​​​WP, все ваши темы, плагины и загрузки.

    WP ALL Backup дает администраторам WordPress возможность переносить, копировать или клонировать сайт из одного места в другое. Если вам нужно переместить WordPress или сделать резервную копию WordPress, этот плагин поможет упростить процесс.

    6. Установите надежные пароли для вашей базы данных. Надежный пароль для основного пользователя базы данных является обязательным — тот, который WordPress использует для доступа к базе данных.

    Как всегда, используйте для пароля прописные и строчные буквы, цифры и специальные символы.

    7. Настройте блокировку веб-сайта и бан пользователей. Функция блокировки для неудачных попыток входа может решить огромную проблему, то есть больше не будет попыток непрерывного перебора. Всякий раз, когда происходит попытка взлома с повторяющимися неправильными паролями, сайт блокируется, и вы получаете уведомление об этой несанкционированной активности.

    Плагин WP User WordPress имеет механизм для замедления атаки грубой силы, ограничения попыток входа в систему, уведомления о блокировке, регулярного выражения пароля, Google reCAPTCHA, журнала входа в систему, одобрения / отказа пользователя, автоматического / электронного одобрения пользователя.

    • 0

Оставить ответ

You must login to add an answer.