-1

私は、重要なプロジェクトの CMS として WordPress を使用することを主張しました。

IT 部門は、ローカル (WAMP) が提供するイントラネットと一緒にこのベース WP インストールを構築し、できる限りロックダウンするように私に要求しました。その後、企業レベルの侵入テスト ソフトウェアを使用してインストールを攻撃します。

私は最小限の詳細にしか関与していませんが、私が反対しているいくつかのセキュリティ ツールが言及されており、エンタープライズ レベルのソフトウェアと組み合わせて使用​​されます。

  1. Kali.org
  2. darknet.org.uk のツール
  3. ワタボウ

私がやったこと: 管理者のユーザー名などのすべての基本的な WP のすぐに使えるデータを消去し、ログイン ページの URL を変更し、ajax 呼び出しを削除し、iThemes Securityプラグイン内のすべてのオプションを活用しました (これは非常に印象的です)。自分の。

私の質問は、 2015 テーマを実行している WordPress とその PHP フレームワークおよびデータベースを保護するための高度なアドバイスです。適切な htaccess 構成と考えられる落とし穴。侵入テストに失敗する可能性が高い Web サイトを保護するための高度な方法に関するアドバイス。

4

1 に答える 1

1

特にWordpressを選択した場合、Webサイトを完全に無敵にするのは簡単ではありません.

WordPress Web サイトは常に更新する必要があります。これは、すべての更新に従ってすぐにインストールする必要があることを意味します。すべてが正常に機能していて、データベースが小さくない場合は、簡単に実行できないことがあります。Wordpress は世界で最も人気のあるオープン ソース CMS であり、多くの人がそれをクラックしたり、オンラインで脆弱性を検索するクローラーを作成したりしたいと考えています。

Web サイトのセキュリティを強化するための簡単な手順:

  1. ポートを使用しない場合、またはファイアウォールや tcpwrapped などをインストールする場合は、ポートを閉じます。
  2. FTP は絶対に使用しないでください。代わりに SSH を使用してください。
  3. フォルダ全体で権限を 777 にしないでください。555 にして、画像などをアップロードする必要がある場合は、権限を 777 または 755 に変更します (ssh で行う場合)。仕事を終えた後、権限を 555 に戻します。書き込みが許可されていない場合、ペイロードやその他の悪意のあるコードをフロントエンドから Web サイトにアップロードすることはできませんでした。
  4. Web サイトで SQL インジェクションの脆弱性を確認してください。
  5. 単純なパスワードは使用しないでください。毎月パスワードを変更することもできます。
  6. パスワードを複製しないでください。
  7. ソフトウェアを定期的に更新してください。
  8. バックエンドのセキュリティには、Snort - https://www.snort.org/などの IDS を使用できますが、適切に構成するのは簡単ではありません。さらに、ネットワークの仕組み、tcp/ip、攻撃の種類などを理解する必要があります。
  9. 情報セキュリティをよく理解していない場合は、サーバーのオペレーティング システムとして OpenBSD を使用してください。セキュリティの強化に重点を置いて作成されました。
  10. ネットワーク スキャナー (nmap など) を使用して、サーバーの脆弱性をテストします。

最後に:信頼できるセキュリティのためにWordpressを使用することはお勧めしません:)さらに言うと、Webサイトを確認する必要があります.

于 2015-07-09T17:19:45.793 に答える