WPHardening: esamina le vulnerabilità e i controlli di sicurezza in Wordpress web

Il sicurezza del sito web è uno degli aspetti più importanti che a Webmaster deve considerare.

Anche il server Web che utilizziamo per il nostro sito Web in WordPress può presentare vulnerabilità, pertanto dobbiamo assicurarci di verificare che non presenti problemi di sicurezza o intraprendere azioni per migliorare la sicurezza. In altri tutorial sono state specificate azioni e strumenti per rafforzare la sicurezza, ad esempio applicando:

1. Misure di sicurezza per i server VPS
2. Come rilevare e controllare i servizi sui server Linux

Un aspetto molto importante da tenere in considerazione è evitare di utilizzare un server condiviso, sono quei server che ospitano altri siti Web, oltre al nostro sito Web e un sito Web sullo stesso server che è vulnerabile, può compromettere tutti gli altri siti Web poiché i file si trovano nello stesso spazio e quindi diffondere un attacco o un'infezione da virus.
Il i siti web sviluppati con Wordpress sono sensibili alla maggior parte degli attacchi perché il 30% dei siti web è sviluppato sotto questa piattaforma.

Pertanto, è importante adottare misure per proteggere il nostro sito Web e i nostri dati da possibili aggressori e ridurre al minimo il rischio che abbiamo vulnerabilità.

Strategie che possiamo implementare

Cambia il percorso della cartella wp-content


Cambia il percorso predefinito nella cartella wp-content di WordPress, che è la cartella dove si trovano la maggior parte dei file e plugin, temi che compongono il nostro sito web. Gli exploit e il malware cercheranno questa cartella per scansionare e trovare vulnerabilità, se cambiamo il percorso renderemo più difficile il tracciamento.

Per fare il cambio di rotta dobbiamo modifica il file wp-config.php e modificare la costante wp_content_dir:

 define ('WP_CONTENT_DIR', nome dir (__ FILE__). '/ percorso / wp-content');
Con quello sarebbe cambiato.

Installa solo plugin sicuri


I plugin possono essere rimossi dal repository ufficiale di WordPress.org, se non vengono aggiornati frequentemente, potendo così assicurare alla community che i plugin una certa sicurezza e ci mostra anche quali plugin sono più accettati dagli utenti. Il fatto che non siano dannosi non implica che funzionino correttamente o che non abbiano vulnerabilità.

Dobbiamo prestare attenzione quando un plugin non viene aggiornato da anni, viene segnalato che ha dei bug. La comunità degli utenti ha scoperto che contiene una vulnerabilità di sicurezza.

Utilizzo WPHardening per automatizzare installazioni sicure


WPHardening è un strumento per automatizzare ed eseguire vari controlli di sicurezza in modo che il nostro sito Web Wordpress sia configurato in modo sicuro.

Questo progetto è realizzato in Python e consente di controllare diversi aspetti di un sito Web di sviluppatori in Wordpress per cercare vulnerabilità.

Uno dei principali vantaggi di questo strumento è l'automazione delle attività e le impostazioni di sicurezza sono importanti per evitare di esporre le informazioni a potenziali aggressori. Esistono molti strumenti creati appositamente per ottenere e raccogliere tutti i tipi di informazioni associate a un'installazione di WordPress. Molti di Gli attacchi contro i sistemi WordPress di solito iniziano con informazioni anticipate basate su scansioni e raccolta di informazioni.

WpHardening Può essere scaricato sul nostro server o computer locale dalla sua pagina ufficiale o dal terminale con il comando utilizzando il comando:

 git clone https://github.com/elcodigok/wphardening.git
Possiamo anche scaricarlo dalla pagina del progetto su GitHub:

Una volta installato o decompresso il file, possiamo accedere alla cartella wphardening.

Per utilizzare questo strumento dobbiamo conoscere il percorso verso il Web che vogliamo ispezionare e questo Web poiché è stato sviluppato con Wordpress.

Quindi dobbiamo aggiornare wphardening per assicurarci di avere gli ultimi repository e i miglioramenti più recenti che sono stati incorporati, per loro da una finestra di terminale eseguiamo il seguente comando:

 python wphardening.py --update
Quindi possiamo iniziare a utilizzare wphardening e verificare la sicurezza di un sito Web sviluppato con wordpress utilizzando il seguente comando:
 python wphardening.py -d / home / mioutente / mioweb -v 
Ricorda che è usato solo localmente, cioè su un server locale o remoto dalla riga di comando e per siti web sviluppati in wordpress.

Ad esempio utilizzerò per questo tutorial un sito demo realizzato in Wordpress su un server locale con Xampp:

Molte volte abbiamo problemi con i permessi di file e cartelle che lasciano il nostro sito Web esposto ad attacchi o intrusi, per risolvere questo problema utilizziamo il seguente comando:

 python wphardening.py -d / opt / lampp / htdocs / project / cabanias -chmod -v 
Questo imposta automaticamente le autorizzazioni consigliate per una maggiore sicurezza.

Un'altra opzione molto interessante di questo strumento è la possibilità di scarica e installa plugin e strumenti di sicurezza in modo automatizzato consigliato e testato.

 python wphardening.py -d / opt / lampp / htdocs / project / cabanias -plugins

Quando eseguiamo il comando, ci chiederà il permesso di installare ogni plugin di sicurezza, incluso un antivirus, exploit scanner, database manager, security e vulnerability scanner, tra gli altri, alla fine potremo vedere i plugin installati nel cartella dei plugin del nostro sito Web Wordpress. Questi plug-in utilizzano strumenti e database online proprietari per cercare rasto nei file e nei database sul nostro sito Web WordPress o potrebbero indicare che sei stato vittima di hacker dannosi.

 [allegato = 12158: panta06.jpg.webp]
Poi dal Pannello di amministrazione di WordPress possiamo installare e abilitare plugin di sicurezza.

Un'altra opzione interessante è il creazione automatica del file robots.txt che negherà automaticamente l'accesso alle directory più importanti del sito. Aggiungiamo anche il -o opzione che ci permette di creare un file di log con il risultato dell'attività svolta.

 python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -robots -o securitywp.log

Quando eseguiamo il comando, ci chiederà il percorso del sito Web e quindi sarà possibile creare il file robots.txt.

L'eliminazione dei file che non vengono utilizzati è importante poiché occupano spazio e possono essere vulnerabili poiché di solito non vengono mantenuti o aggiornati, inoltre in un sito Web con molti file possono generare confusione, per questo utilizzeremo il comando parametro remove to rimuovere automaticamente tutti i file che non vengono utilizzati dal nostro sito web.

 python wphardening.py -d / opt / lampp / htdocs / projects / cabanias -remove -o securitywp.log 

Alla fine possiamo vedere il registro che abbiamo creato con un elenco di tutti i file che sono stati eliminati.

Il gli attacchi a siti Web e server sono causati da problemi di sicurezza dovuti a vulnerabilità nel software a causa di errori di programmazione o software mal configurato.

Queste vulnerabilità consentono agli aggressori di utilizzare un gran numero di tecnichecome l'utilizzo di un parametro URL per eseguire un'iniezione SQL, l'aggiunta di codice al database tramite moduli, che può consentire ai dati di modificare o eliminare dati importanti come l'eliminazione di tutti i post e le pagine o l'abbandono del Web.

I siti Web realizzati con Wordpress che hanno ricevuto attacchi, generalmente sono dovuti a vulnerabilità di un plug-in di WordPress. Gli hacker spesso inseriscono malware con codifica base 64 che consente loro di eseguire una funzione PHP sul nostro sito web. Possono anche lasciare una porta sul retro da qualche parte sul tuo sito web. Questa è una tecnica che usano per accedere al tuo sito web in futuro, anche questo tipo di attacco di solito infetta tutti i file sul web.

Ricorda che tutti gli strumenti che utilizziamo non garantiscono la sicurezza del nostro sito web, inoltre dobbiamo attuare politiche di sicurezza Che cosa eseguire backup incrementali del database e di tutti i file settimanalmente o giornalmente.

Ti è piaciuto e hai aiutato questo Tutorial?Puoi premiare l'autore premendo questo pulsante per dargli un punto positivo
wave wave wave wave wave