Reklama

chronić wordpressBotnety na całym świecie zwróciły swoją uwagę od wysyłania spamu do systematycznego hakowania instalacji WordPress; to lukratywna firma, biorąc pod uwagę, że WordPress obsługuje 40% wszystkich blogów. Zwłaszcza biorąc pod uwagę, że nawet my padliśmy tego ofiarą, najwyższy czas napisać obszerny post na temat tego, jak dokładnie chronić Twoją własną instalację WordPress.

Uwaga: ta rada dotyczy tylko samoobsługowe instalacje WordPress. Jeśli korzystasz z WordPress.com, na ogół nie musisz dbać o bezpieczeństwo, ponieważ obsługują to wszystko za Ciebie.Jaka jest różnica między WordPress.com a WordPress.org? Jaka jest różnica między prowadzeniem bloga na Wordpress.com i Wordpress.org?Ponieważ Wordpress obsługuje teraz 1 na 6 witryn, muszą robić coś dobrze. Zarówno dla doświadczonych programistów, jak i nowicjuszy Wordpress ma coś do zaoferowania. Ale jak tylko zaczniesz ... Czytaj więcej

Zainstaluj Google dwuetapowy moduł uwierzytelniający

Jeśli masz już włączone uwierzytelnianie dwuetapowe dla swojego konta Gmail lub innych usług, możesz użyć tej samej aplikacji uwierzytelniającej z

instagram viewer
ta wtyczka dla WordPress.

Na szczęście możesz ograniczyć uwierzytelnianie dwuetapowe do używania tylko na kontach wyższego poziomu, aby nie drażnić wszystkich użytkowników.

chronić wordpress

Blokada logowania

Stara wtyczka, ale nadal działa zgodnie z przeznaczeniem; Blokada logowania sprawdza adres IP prób logowania i blokuje zakres adresów IP na godzinę, jeśli nie powiedzie się 3 razy w ciągu 5 minut. Prosty, skuteczny.

Rób regularne kopie zapasowe

Hakerzy nie zmienią tylko jednego pliku, ale umieszczą własny panel sterowania w innym miejscu ukryte tylne drzwi - aby nawet jeśli naprawisz oryginalny hack, wrócą i zrobią to wszystko jeszcze raz. Rób codzienne lub cotygodniowe kopie zapasowe, aby łatwo przywrócić je do punktu, w którym haker nie miał śladu - i upewnij się, że załatał wszystko, co zrobili, aby się dostać. Osobiście właśnie zainwestowałem w 150 USD Backup Buddy licencja programisty - jest to najłatwiejsze i najbardziej wszechstronne rozwiązanie do tworzenia kopii, jakie do tej pory znalazłem.

chroń stronę wordpress

Zapobiegaj indeksowaniu folderów

Sprawdź katalog główny instalacji WordPressa dla pliku .htaccess (zwróć uwagę na początek okresu - może być konieczne pokazanie niewidzialnych plików, aby go wyświetlić) i upewnij się, że ma on następujący wiersz. Jeśli nie, dodaj go - ale najpierw wykonaj kopię zapasową, ponieważ ten plik jest bardzo ważny.

Opcje Wszystkie -Indeksy

Bądź na bieżąco

Nie popełniaj tego samego błędu, co my: zawsze aktualizuj WordPress, gdy tylko aktualizacja będzie dostępna. Czasami aktualizacje zawierają drobne poprawki błędów, a nie poprawki bezpieczeństwa, ale przyzwyczaić się i nie będziesz mieć problemu. Jeśli masz więcej niż jedną instalację WordPress i nie możesz ich śledzić, sprawdź ManageWp.com, premium pulpit nawigacyjny dla wszystkich Twoich blogów, który obejmuje skanowanie bezpieczeństwa.

Nie tylko podstawowe pliki WordPress, ale także wtyczki: jeden z największych włamań do WordPress w przeszłości zawierał lukę we wspólnym skrypcie generatora miniatur o nazwie timthumb.php, i nadal istnieją motywy, które używają starej wersji. Chociaż wtyczki zostały szybko zaktualizowane, aktualizowanie motywów jest trudniejsze, oczywiście - WordPress nie powie jeśli Twój motyw jest podatny na ataki, a do tego będziesz mieć jakąś wtyczkę do skanowania bezpieczeństwa - przewiń w dół do Wtyczki bezpieczeństwa sekcja poniżej dla niektórych sugestii.

Nigdy nie pobieraj losowych motywów

Jeśli nie wiesz, co robisz z kodem PHP, bardzo łatwo wpaść w pułapkę pobrania uroczego, losowego motywu z gdzieś, tylko po to, by znaleźć jakiś nieprzyjemny kod - najczęściej linki zwrotne, których nie można usunąć, ale gorzej może być znaleziony. Trzymaj się najlepszych i znanych projektantów motywów (Jak na przykład Smashing Magazine lub WPShower)lub w przypadku darmowych motywów użyj tylko katalogu motywów WordPress.

Usuń nieużywane wtyczki i motywy

Im mniej kodu wykonywalnego masz na serwerze, tym lepiej - usuń szansę na posiadanie starego, podatnego kodu, usuwając motywy i wtyczki, których już nie używasz. Wyłączenie ich po prostu zatrzyma ładowanie ich funkcji za pomocą WordPress, ale sam kod może być nadal wykonywalny przez hakera.

Usuń Tell-tale Meta z nagłówka

Domyślnie WordPress rozpowszechnia swoją wersję na całym świecie w kodzie pliku nagłówkowego - hakerzy mogą łatwo zidentyfikować starsze instalacje. Dodaj następujące wiersze do motywu functions.php plik, aby usunąć wersję WordPress, informacje Windows Live Writer i wiersz, który pomaga zdalnym klientom znaleźć plik XML-RPC.

remove Działalności („wp_head”, „wp_generator”); remove działań („wp_head”, „wlwmanifest_link”); remove Działalności („wp_head”, „rsd_link”);

Usuń konto „admin”

Większość ataków siłowych na WordPress polega na wielokrotnym próbowaniu Administrator konto - domyślne dla wszystkich instalacji WordPress - oraz słownik popularnych haseł. Jeśli zalogujesz się za pomocą administratora lub masz konto administratora wymienione w tabeli użytkowników, jesteś narażony na to.

Dwa sposoby, aby to naprawić: albo użyj wt-optimize plugin - świetna wtyczka, która między innymi pozwala wyłączyć korekty postów i przeprowadzić optymalizację bazy danych - zmienić nazwę konta administratora. Lub po prostu utwórz kolejne konto z uprawnieniami administratora, zaloguj się jako nowy użytkownik, a następnie usuń konto „admin” i przypisz wszystkie posty do nowego użytkownika.

chroń stronę wordpress

Bezpieczne hasła

Nawet jeśli wyłączyłeś konto administratora, może być możliwe zidentyfikowanie nazwy użytkownika konta administratora - w tym momencie jesteś ponownie narażony na atak brutalnej siły. Egzekwuj silną politykę haseł składającą się z co najmniej 16 losowych znaków składających się z wielkich i małych liter, interpunkcji i cyfr.

Lub po prostu użyj reallyLongSentenceThatsEasyToRememberMethod.

Wyłącz edytowanie plików w WordPress

Dla tych, którzy nie lubią logować się przez FTP, WordPress zawiera łatwy edytor w panelu administracyjnym dla plików PHP motywów i wtyczek - ale to naraża twoją instalację na niebezpieczeństwo, jeśli ktoś uzyska dostęp. W ten sposób ktoś zdołał wstrzyknąć przekierowanie złośliwego oprogramowania do naszego nagłówka. Dodaj następujący wiersz na dole swojego wp-config.php (w folderze głównym), aby wyłączyć wszystkie funkcje edycji plików - i użyć SFTP Co to jest SSH i czym różni się od FTP [technologia wyjaśniona] Czytaj więcej aby zamiast tego zalogować się na serwerze.

zdefiniować („DISALLOW_FILE_EDIT”, prawda);

Ukryj błędy logowania

Nieprawidłowe hasło lub błędna nazwa użytkownika mogą zostać zidentyfikowane na podstawie błędów podanych podczas logowania, które mogą być użyte do identyfikacji kont do brutalnego wymuszania. To oczywiście nie jest dobre, więc zabij błędy za pomocą tego dodatku do motywu functions.php plik

funkcja no_errors_please () {return 'Nope'; } add_filter („login_errors”, „no_errors_please”);

Aktywuj Cloudflare

Oprócz przyspieszenia Twojej witryny, CloudFlare ogranicza wiele znanych botnetów i skanerów nawet przed dotarciem do Twojego bloga. Czytać wszystko o CloudFlare Chroń i przyspiesz swoją stronę za darmo dzięki CloudFlareCloudFlare to intrygujący start-up od twórców Project Honey Pot, który twierdzi, że chroni twoją stronę od spamerów, botów i innych złych potworów internetowych - a także przyspieszyć twoją stronę nieco... Czytaj więcej tutaj. Instalacja to jedno kliknięcie, jeśli prowadzisz hosting MediaTemple, w przeciwnym razie będziesz potrzebować dostępu do panelu sterowania domeny, aby zmienić serwery nazw.

chroń stronę wordpress

Wtyczki bezpieczeństwa

  • Lepsze bezpieczeństwo WP wdraża wiele z tych poprawek i jest najbardziej kompleksowym darmowym rozwiązaniem, jakie istnieje.chronić wordpress
  • WordFence to pakiet premium, który aktywnie skanuje pliki w poszukiwaniu linków złośliwego oprogramowania, przekierowań, znanych luk itp. - i je naprawia. Cena zaczyna się od 18 USD rocznie za 1 witrynę.
  • Rozwiązanie bezpieczeństwa logowania zarówno ogranicza próby logowania, jak i wymusza bezpieczne hasła.
  • Bezpieczeństwo BulletProof to kompleksowa, ale złożona wtyczka, która zajmuje się niektórymi bardziej technicznymi aspektami, takimi jak wstrzykiwanie XSS i problemy z .htaccess. Dostępna jest również wersja Pro wtyczki, która automatyzuje większość procesu.

Myślę, że zgodzisz się, że jest to dość obszerna lista kroków do ulepszenia WordPressa, ale nie sugeruję, abyś wdrożył wszystko z nich. Gdybym musiał to zrobić w każdej witrynie, którą kiedykolwiek konfigurowałem, nadal konfigurowałbym je teraz. Uruchamianie dowolnego systemu stwarza ryzyko i ostatecznie to od Ciebie zależy znalezienie równowagi między żądany poziom bezpieczeństwa i wysiłek, który chcesz włożyć w jego zabezpieczenie - nigdy nie osiągniesz 100% bezpieczne. Nisko wiszące owoce to:

  • Aktualizowanie WordPressa
  • Wyłączanie konta administratora
  • Dodanie uwierzytelniania dwuetapowego
  • Instalowanie wtyczki bezpieczeństwa

Wykonanie tych czynności powinno dać ci ponad 99% wszystkich innych blogów, co wystarcza, aby potencjalni hakerzy mogli przejść do łatwiejszych celów.

Myślisz, że coś przegapiłem? Powiedz mi w komentarzach.

James ma licencjat z zakresu sztucznej inteligencji i jest certyfikowany przez CompTIA A + i Network +. Jest głównym programistą MakeUseOf i spędza wolny czas grając w paintball VR i gry planszowe. Buduje komputery od dziecka.