WordPressi (WP) turvalisus/lisaturve

(Updated: 30.11.2014 – Kristjan)

Viimasel ajal on paljud kasutajad pöördunud meie poole murega, kuidas oma WP baasil ehitatud kodulehte turvalisemaks muuta. Siinkohal üritan anda müned lihtsad soovitused:

WordPress Codexis on selle kohta eraldi artiklid, mis on leitavad SIIT

Olen soovitanud kasutada järgmisi plugineid:
– Akismet (Spämmi blokeerija kommenteerimisvormidele)
– Limit login attempts (Limiteerib valesti sisselogimist)
– Easy Captcha (Lisab Google re-Captcha võimaluse avatud veebivormidele – takistab automaatset spämmimist)
NB! Tõenäoliselt võiks sobida ükskõik milline re-Captcha plugin, mis kasutab Google poolt genereeritud turvapilte
Infot Google re-Captcha kohta leiab SIIT
– Succuri Security WP plugin

Samuti lisainfona võib mainida põhilisi turvalisusreegleid WP puhul:
1. Korrektsed failiõigused (Pikemalt kirjeldatud WP Codexis)
2. WP andmebaasi tabelite prefix (eelliide) ei tohi olla “wp_” – selle saab peale installi ka ümber vahetada!
3. WP peakasutaja ei tohi olla mitte mingil juhul admin! (kui selline kasutaja juhtub olema, soovitan kõigepealt teha uue administraatori õigustega kasutaja ja seejärel ära kustutada/blokeerida kasutaja nimega admin – NB! Ainult admin kasutaja kasutajanime vahetusest ei piisa)
4. Registreerimine/parooli reset peab kindlasti käima läbi audentimise mailiga
5. Paroolid ei tohi olla lihtsalt äraarvatavad/kerged
6. Konto peakasutajatunnuseid ei tohiks panna ühtegi config faili ega FTP’le – kui teil on WP jaoks neid vaja, tehke palun eraldi tunnused
7. Kõik themed ja pluginad, mida te ei kasuta – deaktiveerige ja kustutage
8. WP ning kõik selle osad (themed, pluginad jne.) peaksid olema alati UUSIMAL versioonil
9. WP sisene failide/themede muutmine peaks olema keelatud (rohkem infot ülal olevas WP Codexis)
10. WP pluginad themed jms ei tohiks olla haavatavad!
WP haavatavused on leitavad lehelt: https://wpvulndb.com/ ja CVEDetails.com

Comments are currently closed.