Lista de verificare a securității PHP definitivă a celor mai bune practici WordPress

Publicat: 2017-11-03

mirsad / stock.adobe.com

Procesul de securitate al site-ului dvs. web abordează probabil cum să vă securizați site-ul WordPress la nivel de server, precum și să vă protejați site-ul la nivel de fișier. Dar trebuie să vă protejați limbajul de programare? Există cele mai bune practici de securitate PHP pe care trebuie să le urmați? PHP trebuie securizat?

Da, da și da.

Dacă rulați un site web WordPress, dar nu vă concentrați pe păstrarea codului PHP în siguranță, puteți fi susceptibil la un incident major.

Oh No Omg GIF de la prieteni

Există o mulțime de beneficii în utilizarea PHP pentru a vă dezvolta site-ul WordPress:

  • Este destul de ușor de utilizat ca novice și suficient de flexibil pentru profesioniștii în programare.
  • Funcționează excelent pe toate platformele (de exemplu, Linux, Windows etc.).
  • De asemenea, este foarte prietenos cu WordPress.
  • Poate îmbunătăți viteza site-ului.

Acestea fiind spuse, PHP nu este lipsit de defect. Aplicațiile programate cu PHP pot fi expuse riscului pentru:

  • Injectii SQL
  • Scripturi între site-uri
  • Acreditările de conectare expuse
  • Deturnarea sesiunii
  • Forme falsificate
  • Și alte riscuri urâte de securitate

Înrudit: Cum să verificați versiunea PHP a site-ului dvs. WordPress (și compatibilitatea upgrade-ului)

Evident, acest lucru nu este menit să vă descurajeze dorința de a folosi PHP pentru a vă programa site-ul WordPress. Este un limbaj extrem de fiabil și flexibil și, atunci când este securizat corespunzător, poate fi un instrument incredibil de puternic, care vă ajută, de asemenea, să vă simplificați procesul.

Următoarea listă de verificare a securității PHP vă va învăța toate cele mai bune practici de securitate PHP pe care trebuie să le cunoașteți pentru a vă menține în siguranță limbajul de programare și aplicațiile construite de PHP.

Echipa noastră de la WP Buffs ajută proprietarii de site-uri web, partenerii agențiilor și partenerii liber profesioniști să urmeze cele mai bune practici de securitate PHP. Fie că aveți nevoie de noi pentru a gestiona un site web sau pentru a sprijini 1000 de site-uri clienți, noi vă sprijinim.

Lista de verificare a securității PHP supremă pentru WordPress

Vrei să te asiguri că site-ul tău WordPress rămâne ferit de hackeri? Apoi depinde de dvs. să vă asigurați că toate instrumentele pe care le utilizați pentru a-l crea (inclusiv limbajul de programare) respectă cele mai bune practici de securitate. În special atunci când este vorba de PHP, va trebui să acordați o atenție deosebită următoarelor:

  • Cele mai bune practici de codare PHP
  • Restricții de acces pe backend-ul site-ului dvs
  • Gestionarea și monitorizarea contului utilizatorului
  • Validarea, igienizarea și evacuarea datelor
  • Datele trimise de utilizator și monitorizarea încărcării
  • Fiabilitatea gazdei web

Dacă doriți mai multe informații despre punctele de control de securitate PHP de mai sus și despre cum să le utilizați în dezvoltarea WordPress, atunci continuați să citiți pentru lista de verificare a securității PHP supremă

Cele mai bune practici PHP

  • Utilizați PHP7 : utilizați întotdeauna cea mai recentă versiune de PHP. Același lucru este valabil și pentru orice biblioteci și aplicații terțe pe care le utilizați împreună cu acesta.
  • Ascunde versiunea : versiunea actuală de PHP pe care o utilizați poate informa hackerii la ce fel de vulnerabilități ați lăsat site-ul deschis, așa că dezactivați această setare din antet folosind expose_php.
  • Redenumiți phpinfo : și informațiile suplimentare despre instalarea dvs. trebuie ascunse, așa că asigurați-vă că schimbați numele fișierului phpinfo.php.
  • Modificați codul de eroare : modificați mesajul de eroare implicit care se afișează utilizatorilor atunci când o conexiune la site-ul dvs. eșuează. Acest lucru îi va împiedica să vadă informații despre IP-ul dvs. sau calea fișierului. În schimb, înregistrați-vă acele erori.
  • Limitați comenzile sistemului : Consensul general este că nu ar trebui să utilizați funcții shell în PHP. Dacă trebuie, totuși, nu includeți datele utilizatorului.

Protejați backend-ul

  • Utilizați SFTP : când transferați fișiere pe backend, utilizați întotdeauna SFTP.
  • Restricționați accesul la director : schimbați numele implicit al directorului pentru aplicația dvs. PHP.
  • Configurați calea sesiunii : dacă utilizați găzduire partajată pentru site-ul dvs., este posibil ca alți utilizatori de pe server să vă vadă datele sesiunii. Puteți opri acest lucru stocând noi căi de sesiune sub directorul rădăcină.
  • Creați administratori separați : dacă rulați mai mult de un site web bazat pe PHP pe un singur server, asigurați-vă că utilizați un administrator separat cu acreditări de conectare complet diferite pentru fiecare. Acest lucru va preveni infecțiile încrucișate.
  • Faceți directorul doar pentru citire : protejați-vă directorul accesibil pe web, setându-l doar pentru citire.
  • Stocarea fișierelor sensibile în afara directorului : fișierele de aplicații sensibile (cum ar fi fișierele de configurare) trebuie plasate într-un director care nu este accesibil pe web. Apoi le puteți ruta folosind un script PHP.

Informații sigure despre utilizator

  • Criptați toate parolele : aceasta este evidentă, dar asigurați-vă că o aplicați peste tot, atât pentru parolele dvs., cât și pentru toți utilizatorii conectați.
  • Sesiuni securizate : Preveniți deturnarea sesiunilor prin crearea unui ID de sesiune complex. De asemenea, puteți adăuga un simbol special la fiecare adresă URL.
  • Distrugeți sesiunile vechi : când cineva sa deconectat sau dacă drepturile de acces s-au schimbat, ștergeți întotdeauna cookie-urile din sesiune și forțați un nou ID de sesiune.
  • Verificați utilizatori noi : verificați întotdeauna identitatea utilizatorilor noi și acordați-le privilegii de acces în consecință. Acest lucru este important mai ales dacă încearcă să acceseze o pagină restricționată.
  • Folosiți un Throttle : Prea multe conectări eșuate ar trebui blocate cu o parolă de accelerație.

Validați intrarea și ieșirea de la utilizatori

  • Validați și dezinfectați intrarea : orice date, fișiere, adrese URL, conținut încorporat, CSS sau HTML trimise prin site-ul dvs. de către un utilizator – cunoscut sau necunoscut – trebuie să fie revizuite și dezinfectate. Aceasta înseamnă că ar trebui permise numai datele pe care te așteptai să le primești (de exemplu, numele de utilizator pentru numele de utilizator, adresa de e-mail pentru adresa de e-mail etc.) ar trebui să fie permise. Păstrează cuvintele „rele” precum „DIN” sau „UNDE” sau semnele de punctuație ca un singur ghilimele pe radar , deoarece pot fi un semn că cineva încearcă să introducă cod rău intenționat în site-ul dvs. .
  • Ieșire de evadare : înainte de a publica orice date sau fișiere de utilizator pe site-ul dvs., asigurați-vă că au fost, de asemenea, eliminate pentru a împiedica accesul caracterelor și codului potențial periculoase (cum ar fi ghilimelele sau <scriptul>).
  • Limitați datele POST : Dacă hackerii doresc să vă atace site-ul cu o cantitate copleșitoare de date, puteți ține acest lucru la distanță prin stabilirea unor limite la numărul de date POST care pot fi trimise. De asemenea, puteți limita timpul de intrare.
  • Dezactivați Register_Globals : Nu ar trebui să existe niciodată o marjă de libertate în ceea ce privește tipul de informații care pot fi trimise în formularele site-ului dvs. Register_globals, din păcate, deschide această oportunitate hackerilor.
  • Dezactivați Magic_Quotes : Magic_quotes în sine nu va dăuna site-ului dvs., dar persoanele care îl folosesc pentru a scăpa de datele afișate ar putea introduce în mod neintenționat o vulnerabilitate.

Monitorizați încărcările

  • Dezactivați încărcările fișierelor : acest lucru s-ar putea să nu fie întotdeauna posibil. Dar dacă nu aveți nevoie să primiți fișiere sau date de la utilizatori, scăpați de această funcționalitate.
  • Verificați fișierele încărcate : dacă trebuie să permiteți utilizatorilor să încarce fișiere pe site-ul dvs., va trebui să analizați conținutul fișierului pentru injecții dăunătoare. Ca o comandă rapidă, puteți salva fișierul într-un alt format. Dacă este încă valabil, atunci este mai puțin probabil să existe o problemă.
  • Utilizați un scaner de viruși : dacă site-ul dvs. acceptă o mulțime de fișiere încărcate, veți dori să instalați un scaner de viruși.

Utilizați găzduire web securizată

  • Utilizați o gazdă de încredere: indiferent cât de mult ați depus pentru a vă securiza site-ul web, fișierele, zona de conectare sau limbajul de programare, securitatea trebuie să înceapă de la nivelul de găzduire. De aceea, trebuie să vă asociați cu o gazdă web de încredere, care acordă prioritate securității și oferă suport special pentru PHP7.
  • Obțineți un CDN: o altă modalitate de a reduce amenințările de securitate la nivel de server este să obțineți o rețea de livrare de conținut (CDN). În timp ce acestea sunt adesea asociate cu îmbunătățirea performanței site-urilor web care circulă pe glob, CDN-urile oferă, de asemenea, un nivel suplimentar de protecție.
  • Obțineți un certificat SSL: aceasta este cea mai bună practică, indiferent dacă programați cu PHP sau nu. Certificatele SSL adaugă un strat criptat suplimentar între serverul tău și browserele vizitatorilor tăi.

Deși fiecare dintre punctele de mai sus este într-adevăr valid, acest punct special merită subliniat, deoarece calitatea găzduirii web pe care vă bazați poate, în cele din urmă, face sau distruge strategia de securitate a site-ului dvs.

Deoarece este adesea dificil să adulmeci ce este bun din rău – mai ales când cauți ceva atât de specific precum suportul PHP7 – vă sugerăm să începeți cu gazde web precum WP Engine și Kinsta.

Înrudit: Găzduire WordPress complet gestionată prin WP Engine și Kinsta

WP Engine este un furnizor de găzduire WordPress gestionat care include suport PHP7 în fiecare dintre planurile sale de găzduire. În plus, WP Engine tratează în mod regulat subiectul PHP7 pe blogul său, cu strigări speciale pentru pluginul său PHP Compatibility Checker. A spune că această companie este dedicată suportului pentru utilizatori PHP7 ar fi un eufemism.

O altă companie de găzduire WordPress gestionată, Kinsta găzduiește toate site-urile clienților săi cu PHP7. Acest lucru este pentru a asigura performanță și viteză înaltă pe toate planurile. Kinsta oferă, de asemenea, utilizatorilor săi posibilitatea de a-și actualiza Motorul PHP la cea mai recentă versiune PHP.

Și, desigur, există și găzduirea WordPress complet gestionată de WP Buffs de luat în considerare. WP Buffs rămâne mereu în fruntea curbei, menținându-și serverele și versiunile PHP la zi cu cele mai recente și mai bune, astfel încât nu va trebui să vă faceți niciodată griji cu privire la gestionarea acestor upgrade-uri singur (ceea ce face parte din bucuria de a externaliza gestionarea WordPress). altcuiva, nu?)

Încheierea

Când construiți un site web WordPress, securitatea este întotdeauna o preocupare principală. De aceea, utilizați pluginuri și teme de încredere și vă mențineți întotdeauna nucleul actualizat, printre alte bune practici de securitate. PHP nu este diferit. Gestionați-l așa cum faceți cu celelalte instrumente WordPress: păstrați-l la zi și respectați întotdeauna cele mai bune practici de securitate, iar dvs. (și site-ul dvs.) puteți dormi mult mai bine noaptea.

Vrei să dai feedback-ul tău sau să te alături conversației?Adaugă comentariile tale pe Twitter.

Salvați Salvați