Najlepsza lista kontrolna bezpieczeństwa PHP zawierająca najlepsze praktyki WordPress

Opublikowany: 2017-11-03

mirsad / stock.adobe.com

Proces bezpieczeństwa Twojej witryny prawdopodobnie dotyczy sposobu zabezpieczenia witryny WordPress na poziomie serwera, a także ochrony witryny na poziomie plików. Ale czy musisz chronić swój język programowania? Czy istnieją najlepsze praktyki dotyczące bezpieczeństwa PHP, których należy przestrzegać? Czy PHP wymaga zabezpieczenia?

Tak, tak i tak.

Jeśli prowadzisz witrynę WordPress, ale nie koncentrujesz się na zabezpieczeniu kodu PHP, możesz być narażony na poważny incydent.

O nie, Omg GIF autorstwa znajomych

Używanie PHP do tworzenia witryny WordPress ma mnóstwo korzyści:

  • Jest wystarczająco łatwy w obsłudze dla nowicjuszy i wystarczająco elastyczny dla profesjonalistów zajmujących się programowaniem.
  • Działa świetnie na wszystkich platformach (np. Linux, Windows itp.).
  • Jest również bardzo przyjazny dla WordPressa.
  • Może poprawić szybkość witryny.

To powiedziawszy, PHP nie jest pozbawione wad. Aplikacje zaprogramowane w języku PHP mogą być narażone na:

  • Zastrzyki SQL
  • Skrypty między witrynami
  • Ujawnione dane logowania
  • Przejmowanie sesji
  • Sfałszowane formularze
  • I inne paskudne zagrożenia bezpieczeństwa

Powiązane: Jak sprawdzić wersję PHP witryny WordPress (i zgodność aktualizacji)

Oczywiście nie ma to na celu zniechęcić Cię do używania PHP do programowania witryny WordPress. Jest to język wysoce niezawodny i elastyczny, a odpowiednio zabezpieczony może być niezwykle potężnym narzędziem, które pomaga również usprawnić proces.

Poniższa lista kontrolna bezpieczeństwa PHP nauczy Cię wszystkich najlepszych praktyk związanych z bezpieczeństwem PHP, o których musisz wiedzieć, aby zapewnić bezpieczeństwo swojego języka programowania i aplikacji zbudowanych w PHP.

Nasz zespół w WP Buffs pomaga właścicielom witryn, partnerom agencyjnym i freelancerom przestrzegać najlepszych praktyk bezpieczeństwa PHP. Niezależnie od tego, czy potrzebujesz, abyśmy zarządzali 1 witryną internetową, czy obsługiwali 1000 witryn klientów, jesteśmy do Twojej dyspozycji.

Najlepsza lista kontrolna bezpieczeństwa PHP dla WordPress

Chcesz mieć pewność, że Twoja witryna WordPress będzie bezpieczna przed hakerami? Następnie od Ciebie zależy, czy wszystkie narzędzia, których użyjesz do jego zbudowania (w tym język programowania) będą zgodne z najlepszymi praktykami bezpieczeństwa. W szczególności, jeśli chodzi o PHP, musisz zwrócić szczególną uwagę na następujące kwestie:

  • Najlepsze praktyki kodowania PHP
  • Ograniczenia dostępu do zaplecza Twojej witryny
  • Zarządzanie i monitorowanie kont użytkowników
  • Walidacja, oczyszczanie i ucieczka danych
  • Przesyłanie danych przez użytkowników i monitorowanie przesyłania
  • Niezawodność hosta internetowego

Jeśli chcesz uzyskać więcej informacji na temat powyższych punktów kontrolnych bezpieczeństwa PHP i tego, jak z nich korzystać w rozwoju WordPressa, czytaj dalej, aby uzyskać najlepszą listę kontrolną bezpieczeństwa PHP

Najlepsze praktyki PHP

  • Użyj PHP7 : Zawsze używaj najnowszej wersji PHP. To samo dotyczy wszelkich bibliotek i aplikacji innych firm, z których korzystasz.
  • Ukryj wersję : aktualna wersja PHP, której używasz, może poinformować hakerów o rodzaju luk, na które pozostawiłeś otwartą witrynę, więc wyłącz to ustawienie w nagłówku za pomocą funkcji Expose_php.
  • Zmień nazwę phpinfo : Dodatkowe informacje o Twojej instalacji również muszą być ukryte, więc pamiętaj o zmianie nazwy pliku phpinfo.php.
  • Zmień kod błędu : zmień domyślny komunikat o błędzie wyświetlany użytkownikom, gdy połączenie z Twoją witryną nie powiedzie się. Zapobiegnie to zobaczeniu informacji o Twoim adresie IP lub ścieżce pliku. Zamiast tego po prostu zarejestruj te błędy po swojej stronie.
  • Ogranicz polecenia systemowe : Ogólny konsensus jest taki, że nie powinieneś używać funkcji powłoki w PHP. Jeśli jednak musisz, nie podawaj danych użytkownika.

Chroń backend

  • Użyj SFTP : Podczas przesyłania plików na zapleczu zawsze używaj SFTP.
  • Ogranicz dostęp do katalogu : Zmień domyślną nazwę katalogu dla swojej aplikacji PHP.
  • Skonfiguruj ścieżkę sesji : jeśli w swojej witrynie korzystasz z hostingu współdzielonego, inni użytkownicy serwera mogą widzieć dane Twojej sesji. Możesz to zatrzymać, przechowując nowe ścieżki sesji poniżej katalogu głównego.
  • Utwórz oddzielnych administratorów : Jeśli prowadzisz więcej niż jedną witrynę internetową opartą na PHP na jednym serwerze, upewnij się, że używasz osobnego administratora z zupełnie innymi danymi logowania dla każdego. Zapobiegnie to infekcjom krzyżowym.
  • Ustaw katalog jako tylko do odczytu : chroń swój katalog dostępny w Internecie, ustawiając go jako tylko do odczytu.
  • Przechowuj wrażliwe pliki poza katalogiem : wrażliwe pliki aplikacji (takie jak pliki konfiguracyjne) należy umieścić w katalogu niedostępnym dla Internetu. Następnie możesz je przekierować za pomocą skryptu PHP.

Bezpieczne informacje o użytkowniku

  • Szyfruj wszystkie hasła : To jest oczywiste, ale pamiętaj, aby zastosować je we wszystkich przypadkach – zarówno w przypadku swoich haseł, jak i wszystkich zalogowanych użytkowników.
  • Bezpieczne sesje : zapobiegaj przejęciu sesji, tworząc złożony identyfikator sesji. Możesz także dodać specjalny token do każdego adresu URL.
  • Zniszcz stare sesje : Gdy ktoś się wyloguje lub jeśli zmieniły się jego prawa dostępu, zawsze usuń pliki cookie z tej sesji i wymuś nowy identyfikator sesji.
  • Zweryfikuj nowych użytkowników : Zawsze sprawdzaj tożsamość nowych użytkowników i przyznaj im odpowiednie uprawnienia dostępu. Jest to szczególnie ważne, jeśli próbują uzyskać dostęp do strony z ograniczeniami.
  • Użyj ograniczenia : zbyt wiele nieudanych logowań powinno zostać zablokowanych za pomocą ograniczenia hasła.

Sprawdź dane wejściowe i wyjściowe użytkowników

  • Zweryfikuj i oczyść dane wejściowe : wszelkie dane, pliki, adresy URL, treści osadzone, CSS lub HTML przesłane za pośrednictwem Twojej witryny przez użytkownika – znanego lub nieznanego – muszą zostać sprawdzone i oczyszczone. Oznacza to, że dozwolone powinny być tylko te dane, które oczekujesz (np. nazwa użytkownika zamiast nazwy użytkownika, adres e-mail w miejscu adresu e-mail itp.). Zachowaj „złe” słowa, takie jak „FROM” lub „WHERE” lub znaki interpunkcyjne w postaci pojedynczego cudzysłowu na Twoim radarze , ponieważ mogą być oznaką, że ktoś próbuje przemycić do Twojej witryny złośliwy kod .
  • Wyjście ucieczki : przed opublikowaniem jakichkolwiek danych użytkownika lub plików w swojej witrynie upewnij się, że zostały one również zmienione, aby zapobiec przedostaniu się przez nie potencjalnie niebezpiecznych znaków i kodu (takich jak pojedyncze cudzysłowy lub <skrypt>).
  • Ogranicz dane POST : jeśli hakerzy chcą zaatakować Twoją witrynę przy użyciu przytłaczającej ilości danych, możesz temu zapobiec, ustawiając limity ilości wysyłanych danych POST. Można także ograniczyć czas wprowadzania.
  • Wyłącz opcję Register_Globals : Nigdy nie należy pozostawiać swobody w zakresie rodzaju informacji, które można przesyłać w formularzach witryny. Register_globals niestety otwiera taką możliwość hakerom.
  • Wyłącz Magic_Quotes : Magic_quotes sam w sobie nie zaszkodzi Twojej witrynie, ale osoby, które użyją go do ucieczki przed wyświetlanymi danymi, mogą niechcący wprowadzić lukę w zabezpieczeniach.

Monitoruj przesyłanie

  • Wyłącz przesyłanie plików : nie zawsze jest to możliwe. Jeśli jednak nie musisz otrzymywać plików ani danych od użytkowników, pozbądź się tej funkcjonalności.
  • Zweryfikuj przesłane pliki : jeśli chcesz zezwolić użytkownikom na przesyłanie plików do Twojej witryny, musisz przeanalizować zawartość plików pod kątem szkodliwych zastrzyków. W skrócie możesz ponownie zapisać plik w innym formacie. Jeśli jest nadal ważny, prawdopodobieństwo wystąpienia problemu jest mniejsze.
  • Użyj skanera antywirusowego : jeśli Twoja witryna akceptuje wiele przesyłanych plików, warto zainstalować skaner antywirusowy.

Skorzystaj z bezpiecznego hostingu internetowego

  • Skorzystaj z niezawodnego hosta: niezależnie od tego, ile pracy włożysz w zabezpieczenie swojej witryny internetowej, plików, obszaru logowania czy języka programowania, bezpieczeństwo musi zaczynać się na poziomie hostingu. Dlatego musisz współpracować z niezawodnym usługodawcą hostingowym, dla którego bezpieczeństwo jest priorytetem i zapewnia wsparcie specjalnie dla PHP7.
  • Uzyskaj CDN: Innym sposobem ograniczenia zagrożeń bezpieczeństwa na poziomie serwera jest skorzystanie z sieci dostarczania treści (CDN). Chociaż często są one najczęściej kojarzone z poprawą wydajności witryn internetowych o globalnym zasięgu, sieci CDN zapewniają również dodatkową warstwę ochrony.
  • Zdobądź certyfikat SSL: jest to najlepsza praktyka niezależnie od tego, czy programujesz w PHP, czy nie. Certyfikaty SSL dodają dodatkową zaszyfrowaną warstwę pomiędzy Twoim serwerem a przeglądarkami osób odwiedzających.

Chociaż każdy z powyższych punktów jest rzeczywiście ważny, ten konkretny punkt jest wart podkreślenia, ponieważ jakość hostingu, na którym polegasz, może ostatecznie wpłynąć na strategię bezpieczeństwa Twojej witryny lub złamać ją.

Ponieważ często trudno jest odróżnić dobro od zła – szczególnie gdy szukasz czegoś tak specyficznego jak obsługa PHP7 – sugerujemy zacząć od hostów internetowych, takich jak WP Engine i Kinsta.

Powiązane: W pełni zarządzany hosting WordPress za pośrednictwem WP Engine i Kinsta

WP Engine to zarządzany dostawca hostingu WordPress, który obejmuje obsługę PHP7 w każdym ze swoich planów hostingowych. Ponadto WP Engine regularnie porusza temat PHP7 na swoim blogu ze specjalnymi podziękowaniami dla wtyczki PHP Compatibility Checker. Powiedzieć, że ta firma specjalizuje się w obsłudze użytkowników PHP7, byłoby niedopowiedzeniem.

Kinsta, kolejna zarządzana firma hostingowa WordPress, hostuje wszystkie witryny swoich klientów w PHP7. Ma to na celu zapewnienie wysokiej wydajności i szybkości we wszystkich obszarach. Kinsta oferuje również swoim użytkownikom możliwość aktualizacji silnika PHP do najnowszej wersji PHP.

I oczywiście należy wziąć pod uwagę w pełni zarządzany hosting WordPress WP Buffs. WP Buffs zawsze wyprzedza konkurencję, aktualizując swoje serwery i wersje PHP do najnowszych i najlepszych, więc nigdy nie będziesz musiał martwić się o samodzielne zarządzanie tymi aktualizacjami (co jest częścią radości z outsourcingu zarządzania WordPress komuś innemu, prawda?)

Podsumowanie

Podczas tworzenia witryny WordPress bezpieczeństwo jest zawsze główną kwestią. Dlatego korzystasz z godnych zaufania wtyczek i motywów i zawsze aktualizujesz swój rdzeń, a także inne najlepsze praktyki bezpieczeństwa. PHP nie jest inne. Postępuj z nim tak, jak z innymi narzędziami WordPress: aktualizuj je i zawsze przestrzegaj najlepszych praktyk w zakresie bezpieczeństwa, a Ty (i Twoja witryna) będziecie mogli spać spokojniej w nocy.

Chcesz podzielić się swoją opinią lub dołączyć do rozmowy?Dodaj swoje komentarze na Twitterze.

Zapisz Zapisz