WordPress xavfsizlik qatlami
WordPress dunyodagi eng mashhur CMS bo'lgani uchun u eng ko'p hujumga uchraydi. Audit jarayonida birinchi navbatda yadro versiyasi tekshiriladi โ u eng so'nggi stabil versiya bo'lishi kerak. Keyin barcha pluginlar va mavzular yangilanganligi, ulardan foydalanilmaganlarini esa to'liq o'chirilganligi tekshiriladi. Faollashtirilmagan plugin ham xavf manbai hisoblanadi, chunki uning fayllari serverda qoladi va zaif kodi tarkibida bo'lishi mumkin.
Keyingi qadam โ foydalanuvchi hisoblari. Admin huquqi faqat zarur shaxslarda bo'lishi kerak, hammasiga emas. "admin" nomli foydalanuvchi nomi bo'lmasin โ bu eng birinchi taxmin qilinadigan nom. Barcha kuchli parollardan foydalanish, ikki faktorli autentifikatsiya yoqilganligi va wp-admin papkasi IP whitelisting bilan himoyalanganligi tekshiriladi.
Server qatlami
Server darajasidagi audit operatsion tizim yangilanishlaridan boshlanadi: apt update va apt upgrade orqali barcha paketlar so'nggi versiyaga keltiriladi. Keyin ishlayotgan xizmatlar tekshiriladi โ netstat -tlnp orqali qaysi portlar ochiq ekanini bilib olasiz. Faqat zarur xizmatlar ishlashi kerak, qolganlari to'xtatiladi yoki o'chiriladi.
SSH konfiguratsiyasi alohida e'tibor talab qiladi: parol bilan kirish o'chirilgan bo'lishi, root sifatida ulanish ta'qiqlanishi, standart 22 portidan boshqasiga ko'chirilgan bo'lishi va kalit autentifikatsiyasi yoqilganligi tekshiriladi. PHP konfiguratsiyasida display_errors o'chirilgan bo'lishi, expose_php = Off qo'yilganligi va xavfli funksiyalar (exec, shell_exec, system) disable_functions ro'yxatida bo'lishi shart.
SSL va shifrlash
SSL sertifikatining holati SSL Labs (ssllabs.com/ssltest) orqali tekshiriladi va kamida A reytingiga ega bo'lishi kerak. TLS 1.0 va 1.1 o'chirilgan, TLS 1.2 va 1.3 yoqilgan bo'lishi shart. Kuchsiz shifrlash algoritmlari (RC4, DES, 3DES) ro'yxatdan chiqarilishi, HSTS sarlavhasi sozlanganligi va sertifikat zanjiri to'liq ekanligi tekshiriladi.
Bundan tashqari, ma'lumotlar bazasi ulanishlari SSL orqali shifrlangan bo'lishi, parollar bcrypt yoki Argon2 algoritmi bilan xeshlangan bo'lishi va API kalitlari kod ichida emas, balki muhit o'zgaruvchilarida saqlanganligi tekshiriladi.
Backup va tiklash
Backup mavjudligi yetarli emas โ uning ishlashini test qilish ham shart. Audit davomida so'nggi backup faylini olib, alohida muhitda tiklash sinovi o'tkaziladi. Backup qancha eski ekanligi, qancha tez-tez yaratilishi va saqlash joyi xavfsizligi (parol bilan himoyalangan, shifrlangan, ofsayt nusxalari mavjud) tekshiriladi. 3-2-1 qoidasi: 3 nusxa, 2 turli muhitda, 1 ofsayt.
Foydalanuvchi ruxsatlari
Fayl tizimi ruxsatlari xavfsizlik uchun muhim: web fayllar 644, papkalar 755, konfiguratsiya fayllari 600 bo'lishi kerak. Egasi to'g'ri foydalanuvchi (odatda www-data yoki nginx) ekanligi tekshiriladi. Veb-server jarayoni shell huquqiga ega bo'lmasligi, ma'lumotlar bazasi foydalanuvchisi faqat zarur huquqlarga ega bo'lishi shart (GRANT ALL emas).
Sayt.uz amaliyot
Sayt.uz xosting mijozlari uchun yiliga bir marta bepul xavfsizlik auditi taqdim etiladi. Audit hisoboti barcha topilgan zaifliklar, ularning xavf darajasi va tuzatish bo'yicha aniq tavsiyalarni o'z ichiga oladi. Tijoriy auditni xohlasangiz, kabinet panelidan buyurtma berishingiz yoki texnik yordam jamoamiz bilan bog'lanishingiz mumkin.