Reklama
Prowadzenie strony internetowej opartej na WordPress często sprawia przyjemność, umożliwiając skupienie się na treści i budowanie relacji z czytelnikami i innymi stronami internetowymi.
Jednak nie wszyscy w Internecie są tak przyjaźni jak ty. Gdzieś tam znajduje się lista z nazwą Twojego bloga, na której znajduje się, czekając na hakerów. Gdy znajdą się na Twoim blogu, wypróbują różne taktyki, aby uzyskać do niego dostęp, być może w celu sprzedaży legalnych narkotyków lub zainfekowania komputerów użytkowników złośliwym oprogramowaniem.
Na szczęście istnieją różne sposoby ochrony blogu WordPress przed hakerami.
Regularnie aktualizuj WordPress
Jednym z najpotężniejszych, ale często pomijanych rozwiązań zapewniających ochronę WordPressa przed hakerami jest regularna aktualizacja.
Oczywiście ma to wadę - niektóre z was najlepsze wtyczki WordPress Najlepsze wtyczki WordPress Czytaj więcej może przestać działać, jeśli WordPress zostanie zaktualizowany - ale jednocześnie należy go traktować jako okazję odśwież swoje wtyczki, znajdź zamienniki, które same są bezpieczne i niezawodne, i po prostu zaostrz swoją stronę lub blog. Trzymanie się wtyczek znajdujących się w katalogu WordPress jest również dobrym sposobem na kontrolowanie wszystkiego.
Aktualizacja WordPress jest możliwa z poziomu pulpitu nawigacyjnego, ale zawsze wykonaj kopię zapasową bazy danych, zanim to zrobisz.
Przechowuj regularne kopie zapasowe
Ważną procedurą dla wszystkich właścicieli blogów WordPress jest zapewnienie regularnego tworzenia kopii zapasowych i łatwego przywracania w przypadku pogorszenia sytuacji.
Rozwiązania są obfite, ale Cloudsafe365 jest jednym z najmocniejszych, łączących tworzenie kopii zapasowych w chmurze (można używać Dropbox) z różne bezpieczne narzędzia ochrony przed takimi technikami, jak skrypty między witrynami, wstrzykiwanie SQL, a nawet monitorowanie zawartości kradzież.
Cloudsafe365, dostępny z Witryna z wtyczkami WordPresswystępuje w trzech smakach. Opcja bezpłatna obejmuje rzeczy wymienione powyżej, a opcje płatne oferują dodatkowe funkcje, takie jak ochrona przed wstrzyknięciem kodu i atakami siłowymi.
Zainstaluj zaszyfrowaną wtyczkę logowania
Najlepszym sposobem ochrony faktycznego zalogowania się do witryny opartej na WordPress jest użycie zaszyfrowanej wtyczki logowania, ponieważ oprogramowanie witryny nie ma domyślnie tej funkcji. Prawdopodobnie najlepszym rozwiązaniem tego problemu - idealnym do ochrony danych logowania do bloga przed snifferami pakietów w sieciach bezprzewodowych - jest Chap Bezpieczne logowanie, który wykorzystuje algorytm SHA-256 do ochrony nazwy użytkownika i hasła.
Tymczasem Blokada logowania wtyczka to przydatny sposób blokowania adresów IP, które rejestrują powtarzające się nieudane próby uzyskania dostępu do witryny.
Inne kroki ochrony logowania, które możesz podjąć, obejmują zainstalowanie silnej wtyczki CAPTCHA. RetinaPost jest szczególnie imponującą wtyczką, wymagającą od użytkowników wpisywania wyróżnionych znaków z wyrażenia, a nie próbowania rozszyfrowania zepsutych obrazów tekstowych lub wykonywania zadań matematycznych. Za pomocą tej wtyczki można znacznie ograniczyć wszelkie próby zakłócenia działania bloga za pomocą systemu komentarzy.
Ukryj „Powered by WordPress”
Hakerzy mają inną taktykę dla każdego z różnych rodzajów oprogramowania stron internetowych, które są używane, ale możesz sprawić, że będzie im trudniej, nie reklamując faktu, że twoja strona jest „napędzana przez” WordPress ”.
Domyślnie te informacje można znaleźć w pliku footer.php, do którego można uzyskać dostęp, wybierając Pulpit nawigacyjny bloga i wybierając Wygląd> Edytor do edycji w oknie przeglądarki. Różne motywy będą wymagały różnych metod usuwania tego tekstu, dlatego powinieneś sprawdzić online, aby znaleźć najlepsze podejście (jeśli do wyświetlenia legendy używany jest zwykły tekst, usuń go; jeśli używany jest kod PHP, postępuj ostrożnie, chyba że wiesz, co robisz).
Zmień nazwę użytkownika administratora
Jednym ze sposobów, w jaki hakerzy mogą znaleźć drogę do Twojej witryny, jest użycie oprogramowania Brute Force, które spróbuje wielokrotne logowanie przy użyciu zwykłych słów i fraz jako haseł, w połączeniu z wyborem oczywistych nazwy użytkowników.
Nazwę użytkownika administratora w WordPress można wybrać podczas instalacji oprogramowania, ale w pośpiechu, aby to zrobić, wielu użytkowników pozostawia domyślną opcję „admin”. Jak widać, nazwy użytkowników znajdują się na górze listy, dlatego ich zmiana jest ważna.
Istnieją dwa sposoby zmiany nazwy użytkownika admin. Najpierw możesz utworzyć drugie konto administratora z nazwą użytkownika, która nie jest oczywista, a następnie usunąć pierwotnego użytkownika. Pamiętaj jednak, że może to mieć wpływ na wszystkie artykuły napisane na koncie administratora (być może nie zostaną opublikowane, dopóki nie zostanie ustawiona nowa nazwa, lub wyświetli błąd na stronie posta).
Prawdopodobnie najskuteczniejszym sposobem na to jest dostęp do phpMyAdmin witryny, wybierz WordPress baza danych, znajdź tabelę wp_users („wp_” to domyślny prefiks, który mógł zostać zmieniony podczas instalacji) i Użyj Przeglądaj ikona, aby znaleźć nazwę użytkownika „admin”.
Po znalezieniu znajdź kolumnę user_login, kliknij edytować w odpowiednim wierszu, a następnie zmień „admin” na preferowaną nazwę logowania do konta administratora, klikając Udać się kiedy skończysz.
Przenieś plik wp-config
Rażącym problemem związanym z WordPress jest to, że kluczowe dane bezpieczeństwa są przechowywane w jednym, nieszyfrowanym pliku, który można zhakować i wykorzystać do przejęcia kontroli nad blogiem. Plik wp-config.php zawiera dane logowania administratora, a także nazwę użytkownika i hasło do bazy danych MySQL.
Dlatego zabezpieczenie tego pliku jest najważniejsze, jeśli chcesz chronić witrynę przed hakerami.
Jedną z rzeczy, których nie powinieneś robić, jest jednak usunięcie wp-config - sprawiłoby to, że twoja strona była bezużyteczna (a raczej pusta). Jak więc chronić swoją witrynę przed tą dziwną luką?
Od wydania WordPress 2.8 właściciele blogów mieli możliwość przeniesienia pliku do głównego katalogu internetowego na serwerze. Oznacza to na przykład, że jeśli masz zainstalowaną witrynę www.mysite.com/wordpress, plik wp-config.php można przenieść na wyższy poziom do katalogu mysite.
Wniosek
Niezależnie od tego, jak jesteś techniczny lub nietechniczny, jeśli prowadzisz blog WordPress, nie ma usprawiedliwienia, aby nie wdrożyć żadnego lub wszystkich tych narzędzi w celu ochrony witryny przed hakerami.
W końcu, po co wkładać całą tę ciężką pracę, aby odkryć, że ktoś przejął witrynę i teraz kosztuje was regularnych odwiedzających reklamując Viagrę?
Kroki te można wdrożyć w ciągu kilku godzin - być może w jeden weekend rano, jeśli masz ochotę na czas - więc nie ignoruj, działaj teraz.
Christian Cawley jest zastępcą redaktora ds. Bezpieczeństwa, Linux, DIY, programowania i technologii. Jest także producentem The Really Useful Podcast i ma duże doświadczenie w obsłudze komputerów stacjonarnych i oprogramowania. Współtwórca magazynu Linux Format, Christian majsterkowicz Raspberry Pi, miłośnik Lego i miłośnik gier retro.
