Comments 11
Ребята, оригинал статьи - банальщина, которая из каждого утюга по Wordpress звучит. Особый фейспалм от последнего совета про SSL сертификат - спасибо, капитан Очевидность.
Нет информации о релокейте wp-config.php , нет инфы о харденинге БД и PHP бека (использовании Snuffleupagus и просто редактировании конфигов, ибо создатели PHP не думают о секьюрности по умолчанию), о релокейте панели логина с /wp-login на что-то другое, о ханейпотах (логин-панель перекидываем на другой URL, но оставляем живой пустой URL /wp-login. Любого клиента, кто будет стучаться на /wp-login , можно банить на Х дней тем же Fail2Ban, потому что он точно бот), об интеграции с Crowdsec , который отлично дополняет WAF.
Таких примочек в Wordpress много и статья была бы огонь, если бы была про такие штуки, а не банальщину.
Буду очень благодарен если накидаете ссылок на статьи по безопасности ВП для нуба. А если соорудите статью по полной, нуу - в монитор поцелую такую статью)).
Да я сам продакт, просто в своё время заколебался с этим всем))
Если по пунктам (пример Ubuntu и стека LEMP), то нужно каждое решение в стеке LEMP + Wordpress захарденить, а именно:
L:
1. Нужно захарденить саму ОС (тут помогут CIS Benchmarks и моя любимая утилита Lynis). Конечно же настраиваем Firewall и харденим SSH . Для SSH можно ещё заобфускейтить хендшейк - тыц - как приятное последствие - злоумышленникам придётся ещё и догадаться до magic word, которое может быть вполне рандомным паролем 64 символа (удачи им)
2. Устанавливаем и настраиваем Crowdsec и баунсерами к nginx и файерволу.
3. Можно скриптами захарденить систему. Например тык и тык
E:
1. Применяем systemd service hardening для Nginx (вот статья, чтобы по максимуму засендбоксить - Nginx вообще сможет работать без рут.)
2. Решаем, будем ли использовать WAF на веб-сервере типа modsecurity, либо плагины в самом Wordpress (последнее предпочтительнее). Особенно отпетые параноики установят VPS и вставят туда Snort в режиме IPS с проксированием трафика на VPS c веб-сервером, а на веб-сервер зафигачат туда NAXSI
3. Можно ещё использовать вот такую сборочку Nginx в контейнере
4. Использовать какой-нибудь генератор конфиг файлов типа DO
5. Настроить баунсер Crowdsec для nginx
M:
1. При установке использовать sudo mysql_secure_installation
2. Прошерстить гайды типа такого
P:
1. Чёртов PHP - используй Snuffleupagus и усиленно кури его гайды, ибо можно накосячить
2. Спросить у более опытных людей, что ещё можно сделать с PHP
Wordpress:
Дежурное правило - чем меньше плагинов, тем секьюрнее; чем меньше тем установлено, тем лучше. Но, блин, устанавливать всё равно нужно плагины для секьюрити.
Тут я уже устал писать, но нужно:
1. Используй WP Security Ninja и устрани все траблы. Я его потом сносил, ибо дежурное правило.
2. Установи WAF плагин
3. Безопасно храни пароли с помощью Argon2id - можно с помощью плагина , но дежурное правило
4. На куки нужно установить Cookie Flags and Prefixes
5. Взять сканеры Mozilla Observatory и Hardenize и добиться там высоких оценок
6. Вбить в гугл wordpress online security scanner и проверить всеми найденными сканерами. Вообще, самое эффективное решение - взять Burp Security suite , но это дорого и профессионально
7. Куча всего другого, .что я уже не помню
Вздрогнул и полез проверять, когда прочитал "По состоянию на 6 мая 2022 года самой последней и рекомендуемой версией WordPress является 8.0."
Можно выдохнуть, свежая версия на текущий момент 5.9.3
Почему в статье речь только про .htaccess?
А если сервер не apache, а nginx? Что тогда крутить?
"Как повысить безопасность вашего сайта на Wordpress" -- не использовать Wordpress.
Как повысить безопасность вашего сайта на Wordpress