๐Ÿ“‹
Xavfsizlik

Xavfsizlik audit checklist: WordPress, server, SSL va backup tekshiruvi

15.11.2034
โ† Barcha maqolalar

WordPress xavfsizlik qatlami

WordPress dunyodagi eng mashhur CMS bo'lgani uchun u eng ko'p hujumga uchraydi. Audit jarayonida birinchi navbatda yadro versiyasi tekshiriladi โ€” u eng so'nggi stabil versiya bo'lishi kerak. Keyin barcha pluginlar va mavzular yangilanganligi, ulardan foydalanilmaganlarini esa to'liq o'chirilganligi tekshiriladi. Faollashtirilmagan plugin ham xavf manbai hisoblanadi, chunki uning fayllari serverda qoladi va zaif kodi tarkibida bo'lishi mumkin.

Keyingi qadam โ€” foydalanuvchi hisoblari. Admin huquqi faqat zarur shaxslarda bo'lishi kerak, hammasiga emas. "admin" nomli foydalanuvchi nomi bo'lmasin โ€” bu eng birinchi taxmin qilinadigan nom. Barcha kuchli parollardan foydalanish, ikki faktorli autentifikatsiya yoqilganligi va wp-admin papkasi IP whitelisting bilan himoyalanganligi tekshiriladi.

Server qatlami

Server darajasidagi audit operatsion tizim yangilanishlaridan boshlanadi: apt update va apt upgrade orqali barcha paketlar so'nggi versiyaga keltiriladi. Keyin ishlayotgan xizmatlar tekshiriladi โ€” netstat -tlnp orqali qaysi portlar ochiq ekanini bilib olasiz. Faqat zarur xizmatlar ishlashi kerak, qolganlari to'xtatiladi yoki o'chiriladi.

SSH konfiguratsiyasi alohida e'tibor talab qiladi: parol bilan kirish o'chirilgan bo'lishi, root sifatida ulanish ta'qiqlanishi, standart 22 portidan boshqasiga ko'chirilgan bo'lishi va kalit autentifikatsiyasi yoqilganligi tekshiriladi. PHP konfiguratsiyasida display_errors o'chirilgan bo'lishi, expose_php = Off qo'yilganligi va xavfli funksiyalar (exec, shell_exec, system) disable_functions ro'yxatida bo'lishi shart.

SSL va shifrlash

SSL sertifikatining holati SSL Labs (ssllabs.com/ssltest) orqali tekshiriladi va kamida A reytingiga ega bo'lishi kerak. TLS 1.0 va 1.1 o'chirilgan, TLS 1.2 va 1.3 yoqilgan bo'lishi shart. Kuchsiz shifrlash algoritmlari (RC4, DES, 3DES) ro'yxatdan chiqarilishi, HSTS sarlavhasi sozlanganligi va sertifikat zanjiri to'liq ekanligi tekshiriladi.

Bundan tashqari, ma'lumotlar bazasi ulanishlari SSL orqali shifrlangan bo'lishi, parollar bcrypt yoki Argon2 algoritmi bilan xeshlangan bo'lishi va API kalitlari kod ichida emas, balki muhit o'zgaruvchilarida saqlanganligi tekshiriladi.

Backup va tiklash

Backup mavjudligi yetarli emas โ€” uning ishlashini test qilish ham shart. Audit davomida so'nggi backup faylini olib, alohida muhitda tiklash sinovi o'tkaziladi. Backup qancha eski ekanligi, qancha tez-tez yaratilishi va saqlash joyi xavfsizligi (parol bilan himoyalangan, shifrlangan, ofsayt nusxalari mavjud) tekshiriladi. 3-2-1 qoidasi: 3 nusxa, 2 turli muhitda, 1 ofsayt.

Foydalanuvchi ruxsatlari

Fayl tizimi ruxsatlari xavfsizlik uchun muhim: web fayllar 644, papkalar 755, konfiguratsiya fayllari 600 bo'lishi kerak. Egasi to'g'ri foydalanuvchi (odatda www-data yoki nginx) ekanligi tekshiriladi. Veb-server jarayoni shell huquqiga ega bo'lmasligi, ma'lumotlar bazasi foydalanuvchisi faqat zarur huquqlarga ega bo'lishi shart (GRANT ALL emas).

Sayt.uz amaliyot

Sayt.uz xosting mijozlari uchun yiliga bir marta bepul xavfsizlik auditi taqdim etiladi. Audit hisoboti barcha topilgan zaifliklar, ularning xavf darajasi va tuzatish bo'yicha aniq tavsiyalarni o'z ichiga oladi. Tijoriy auditni xohlasangiz, kabinet panelidan buyurtma berishingiz yoki texnik yordam jamoamiz bilan bog'lanishingiz mumkin.

O'xshash maqolalar

๐Ÿ” Parol menejerlar โ€” Bitwarden, 1Password, LastPass va KeePass tanlovi ๐Ÿฏ Honeypot โ€” formada yashirin maydon, botlarni ushlaydi va spamni to'xtatadi ๐Ÿ“„ /.well-known/security.txt โ€” xavfsizlik bo'yicha bog'lanish standart ๐Ÿ“‹ GDPR moslik โ€” Yevropa ma'lumotlarini himoya qilish majburiyatlari
๐ŸŒ Til
๐Ÿ‡บ๐Ÿ‡ฟ O'zbek โœ“ ๐Ÿ‡บ๐Ÿ‡ฟ ะŽะทะฑะตะบ ๐Ÿ‡ท๐Ÿ‡บ ะ ัƒััะบะธะน ๐Ÿ‡ฌ๐Ÿ‡ง English