Насколько безопасен Wordpress?

Question

Кто-нибудь знает, насколько безопасен Wordpress? Я понятия не имею, как определить «насколько безопасно». Но по сравнению с другими системами CMS, насколько это безопасно?

Обновление:

Чтобы немного рассказать о моем проекте. Я собираюсь зарегистрировать много пользователей. После входа они получат доступ к плагинам, которые я разрабатываю. Примерно через 6 месяцев я также буду предлагать платные услуги - я думаю, PayPal. Все конфиденциальные данные будут обрабатываться в PayPals https.

Update2:
(15.07.2013)
Я нашел эту статью в MOZ: Полное руководство по безопасности WordPress

Answer 1

Я не знаю, как определить, насколько это безопасно, но я могу рассказать вам несколько вещей об этом, которые должны помочь вам принять решение.

По умолчанию Wordpress делает не безопасный вход в систему, поэтому имена пользователей и пароли передаются в виде открытого текста. И большинство людей используют Wordpress таким образом.

Тем не менее, начиная с версии 2.6, вы можете принудительно войти в систему под SSL, добавив это в ваш wp-config.php:

define('FORCE_SSL_LOGIN', true);

Вы также можете выбрать принудительное использование SSL для всех административных задач, используя:

define('FORCE_SSL_ADMIN', true);

Это должно сделать это довольно хорошо. И независимо от используемой версии вы всегда можете принудительно установить SSL для администратора с помощью mod_rewrite:

RewriteRule ^/wp-admin/(.*) https://myblog.com/wp-admin/$1 [C]

И, если вам нужна другая папка для части SSL:

RewriteRule !^/wp-admin/(.*) - [C]
RewriteRule ^/(.*) http://myblog.com/$1 [QSA,L]

Это заставит все под wp-admin работать по SSL, а все остальное будет вынуждено использовать "обычный" HTTP.

Другие вещи, которые следует учитывать, - это MySQL. Если ваш блог общается с MySQL через Интернет, вам нужно беспокоиться еще об одном. Большинство установок имеют MySQL внутри защищенной сети. Еще лучше, если MySQL работает на той же машине, что и веб-сервер, поэтому вы можете общаться, не полагаясь на TCP / IP.

Answer 2

Проверьте свой сайт на sucuri.net , чтобы получить больше информации о вредоносных программах, спаме и т. Д. ...

1. Используйте плагин безопасности

Я рекомендую использовать Wordfence. Который обладает множеством функций и способен выполнять

• Сканирует более 44 тыс. Определений вредоносных программ
• Обнаруживает попытки фишинга
• Удаляет Sh3lls
• Backdoors
• трояны
• Мониторы
• Безопасность DNS и многое другое ...

Лучшая безопасность WP (он же iThemes Security) также является хорошим плагином для защиты вашего WP. Который также имеет отличные функции.

(оба плагина работают вместе - без сомнения)

Сравнение Лучшая безопасность WP и WordFence

2. Защитите свой .htaccess

secure wp-config.php

<Files wp-config.php>
    order allow,deny
    deny from all
    </Files>

Отключить просмотр каталогов

# directory browsing
Options All -Indexes

Защищать сам .htaccess

<files .htaccess="">
order allow,deny
deny from all
</files>

Отключить горячую связь

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?YourDomain [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [NC,F,L]

(много других можно найти в интернете)

3. Защити себя

• Используйте надежные пароли, никогда ни с кем не делитесь
• Спасите себя от социальной инженерии
• Советы от Кодекса (Упрочнение Wordpress)

4. Будьте в курсе.

• Использовать обновленную версию WordPress, плагинов, тем.

Answer 3

Установите эти четыре подключаемых модуля безопасности:

Ограничение попыток входа в систему: Ограничение количества попыток входа в систему, в том числе посредством файлов cookie, для каждого IP-адреса.

Lockdown-wp-admin: Защита интерфейса администрирования WordPress путем скрытия панели администрирования и изменения URL-адреса страницы входа.

Wp-math-captcha: Math Captcha - это 100% эффективная CAPTCHA для WordPress, которая интегрируется в логин, регистрацию, комментарии, контактную форму 7 и bbPress.

Лучшая wp-безопасность: Снимите догадки с безопасности WordPress. iThemes Security предлагает более 30 способов блокировки WordPress в простом в использовании плагине безопасности WordPress.

Answer 4

Wordpress, как он сидит, не так безопасен. Я лично знаю, что управляю более чем 10 сайтами, и они постоянно подвергаются атакам мошеннических серверов со всего мира. (как этот прекрасный человек из Кореи http://www.ip -adress.com / ip_tracer / 1.234.83.77 )

Я НАСТОЯТЕЛЬНО рекомендую http://wordpress.org/plugins/better-wp-security/. Вам не нужно проверять свою собственную безопасность, использовать то, что они предоставляют, и, эй, если вам это нравится, переходите в профессионалы! Я совсем не связан с компанией, но у меня ОЧЕНЬ много успеха с их плагинами.

Выполните все шаги, заблокируйте все, установите права доступа к файлам и скрестите пальцы. Если кто-то хочет войти, он найдет способ. Вы можете только попытаться уменьшить весь риск.

Кроме того, если вы используете собственный виртуальный хост Linux (rackspace / amazon / etc), я бы порекомендовал linux ufw.

sudo aptitude install ufw
sudo ufw разрешить 80
sudo ufw allow 22 * ​​1016 * sudo ufw allow 443
sudo ufw enable
статус sudo ufw

Последнее предложение fail2ban - отличный ресурс не для WordPress Direct, а для любых входов на ваш сервер. Он заблокирует людей, похожих на Better WP Security.

Удачи, дайте нам знать, что вы решите!

Answer 5

Это частично зависит от вашей модели угрозы. Если вы хотите вести свой собственный блог - это нормально, просто следите за обновлениями. Если вы защищаете данные пациента, нет, это не безопасно. Многие его ругают, но, насколько мне известно, в WP не было каких-либо серьезных пробелов в безопасности. Это плагины и неправильные конфигурации.

Вы станете мишенью для людей, делающих хакерские атаки, используя один эксплойт на тысячах сайтов, пытающихся спамить спам. Вот почему важно быть в курсе обновлений. Но в целом, это хорошо для личного или даже корпоративного использования. Я бы порекомендовал это, пытаясь свернуть свой собственный, наверняка.

Есть способы повысить его безопасность:

• блокирует ненужные / неиспользуемые части, такие как xml-rpc
• оставаться в курсе обновлений
• не используйте плагины

Answer 6

1. Вы должны использовать плагины безопасности для защиты своего сайта WP. Есть много доступных плагинов. Я упомянул лучшие 5 бесплатных плагинов в моей статье здесь -

   http://www.technolizers.com/5-best-wordpress-security-plugins/

2. Сначала злоумышленники проверяют URL-адрес wp-login.php. Вы должны скрыть обычный URL-адрес входа в систему для чего-то другого. Для этого вы можете использовать плагин wps hide login .

3. Никогда не используйте имя пользователя, например admin, demo, admin123, demo123, abc . Это наиболее часто используемые имена пользователей.

4. Используйте надежный пароль. Вы можете создать надежный пароль на этом сайте абсолютно бесплатно. https://passwordsgenerator.net/

5. Никогда не используйте бесплатные темы или. Бесплатные темы содержат уязвимые скрипты для входа в WP admin без вашего ведома.

6. Всегда обновляйте все плагины и темы, так как они постоянно обновляют исправления безопасности.

Answer 7

У меня есть список рекомендаций и плагинов на secure-wordpress . Краткий список рекомендуемых плагинов при минимальной послеустановке:

ithemes security - установите /wp-login.php на другой верстанный путь и заблокируйте векторы атаки xml-rpc
WordFence Security - автоматический запрет поддельных сканеров, пингеров, злоумышленников - не забудьте внести в белый список свой IP-адрес
math captcha - добавить на страницу входа
wp slimstat - отслеживание посетителей
хранилище мультимедиа - блокировка вложений всех типов
менеджер загрузок - отслеживание загрузок
отключить комментарии - полностью отключить комментарии
WP Plugins & Themes Автоматическое обновление - автоматически обновляйте все до 10 * *