В този текст ще намерите темите, които обсъждаме в това видео, като си позволявам и да оставя няколко много полезни линка от блога на SH. Препоръчвам ви да следите блоговете на вашия хостинг провайдър, защото обикновено добрите такива публикуват полезни материали, които да ви помогнат. Не забравяйте да ползвате и промо кода ми, ако сте или ще станете клиент на SuperHosting – OLEG10
1. Как да разберем дали #WordPress сайта ни е защитен и какви мерки да предприемем.
o Еднократни проверки:
Защита на администрацията (сила на парола, потребителско име, защита по IP), видимост на версията на WordPress, защита на директорията с медийните файлове, защита на функциите на XML-RPC. Тези проверки могат да се извършат през инструментyt WordPress Manager – “Проверки за сигурност”.: ЛИНК ако ползвате услугите на SuperHosting.
o Проверките могат да бъдат регулярни: Проверки за налични нови версии на плъгините, темата и ядрото: ЛИНК
o Използване на антивирусна програма на компютрите и регулярно сканиране.
2. Как ни защитава хостинг провайдъра? o Какво е WAF? – Защита на ниво уеб сървър, предпазваща от най-масовите уязвимости в системите. o Как добрия хостинг провайдър трябва да се грижи за клиентите си?
– Трябва да разполага със солиден WAF! В WAF са заложени критерии за: неутрализиране на BruteForce атаки, уязвимости в плъгини, сканиране на POST и FTP upload заявки в реално време.
o DDOS защита, която засича 96% от познатите типове DDoS атаки (повече информация тук).
o Системата за сигурност: Пример за защитите, които SH предлагат: Наличие на пропуск в кода на плъгина: Защита от Bruteforce –
o Не на последно място извършване на сканиране за злонамерен код
3. Трябва ли да ползваме SSL ако нямам електронен магазин и чувствителни данни и информация? – SSL сертификатът е важно и задължително условие за всеки сайт. Той обаче не предпазва акаунта от пропуски в кода на системите, прихващане на пароли, bruteforce атаки и т.н.
4. Как се осъществява злонамерения пробив в сайтове: • Прихванати/налучкани пароли на cPanel, FTP, администрацията и имейл акаунтите. Често се използват лесни за налучване пароли или една и съща парола за достъп до различни акаунти и сайтове.
o Експлойти – Открита уязвимост в кода на системата, плъгините и темите. Например посоченият в точка 2 пропуск в сигурността на плъгина ThemeGrill Demo Importer дава възможност на нелогнати потребители да изтрият цялата информация в базата данни
o Nulled теми и плъгини – Нулната (nulled) тема/плъгин означава, че тя е пиратско копие на оригиналния софтуер, който се предлага с платен лиценз. Във файловете на темата(или плъгина) се прикрива злонамерен код, който може да се изпълни при инсталацията или да бъде използван в последствие за компрометиране на съдържанието.
5. Да ползвам ли Security плъгин и кой? – Тук мога да посочя най-често ползваните плъгини за сигурност от нашите потребители (iThemes Security, Wordfence, All In One WP Security & Firewall, Limit Login Attempts ). Въпреки това смятам, че по-важно е да се избере надежден хостинг, който да те защити на сървърно ниво. Също така по приоритетно е да бъдат взети мерки спрямо 1-ва точка.
6. Какъв е ефектът на хакването? –
o Изпращане на спам
o Компрометиране на съдържанието
o Добавяне на нежелани реклами или директно пренасочване към трети сайтове
o Deface-нат сайт или изцяло занулен
o Фишинг
o Финансови измами
7. Хакнат съм, ами сега?
o Какво трябва да се предприеме:
o Изчистване на злонамерения код от сайта след хакването. В повечето случаи, добрите хостинг компании се грижат за това SH в моя случай не са изключение.
o Премахване на плъгини и теми, които не се ползват и обновяване на тези които използват неактуални версии. Колко важно е ъпдейтването на тема, ядро и плъгини – Използването на актуални версии на темите и плъгините е необходимо особено при наличие на Security update. Важно е обаче обновяването да се направи, но трябва да се проследи и за несъвместимости.
