18 Wtyczki bezpieczeństwa Wordpress i porady dotyczące bezpieczeństwa Twojego bloga

Reklama

WordPress to bez wątpienia najlepszy blog CMS, jaki można uzyskać. Będąc popularnym i otwartym oprogramowaniem, oznacza to również, że hakerzy mają pełny dostęp do kod, który mogą analizować, aby znaleźć wszelkie exploity, których mogą użyć do włamania się do dowolnego obsługującego WordPress teren.

Z drugiej strony jedną z najlepszych rzeczy w WordPress jest system wtyczek, który pozwala każdemu zainstaluj dowolne wtyczki lub utwórz własne wtyczki, aby rozszerzyć jego funkcjonalność, w tym ulepszyć bezpieczeństwo.

Tutaj wymieniłem niektóre wtyczki bezpieczeństwa wordpress (i kilka sztuczek), których możesz użyć do zabezpieczenia bloga WordPress.

Wszystkie wymienione poniżej wtyczki i triki są przeznaczone dla WP 2.7 i nowszych. Jeśli nadal używasz starszej wersji WordPress, czas zaktualizować swojego bloga.

Ochrona twojego loginu

Ta wtyczka używa FACET protokół do szyfrowania hasła. Hasło jest najpierw solone z losową liczbą (nonce) generowaną przez sesję, a następnie algorytm transformacji md5. Ten wynik jest następnie wysyłany do serwera, na którym jest dekrpytowany i uwierzytelniany. Jest to wtyczka o konfiguracji zerowej, co oznacza, że ​​możesz jej użyć natychmiast po jej aktywacji.

2. Ukryte logowanie

Ukryte logowanie zaciemnia twoją stronę logowania, umożliwiając zdefiniowanie niestandardowej strony logowania zamiast domyślnego wp-login.php. W przypadku wycieku hasła, haker będzie miał trudności ze znalezieniem poprawnego adresu URL logowania. Dobrym zastosowaniem tego jest uniemożliwienie szkodliwym botom dostępu do pliku wp-login.php i próby włamania.

Blokada logowania jest przydatna w zapobieganiu atakowi brutalnej siły. Funkcja LockDown logowania rejestruje adres IP i znacznik czasu każdej nieudanej próby logowania. Jeśli w krótkim czasie zostanie wykryta więcej niż pewna liczba prób z tego samego zakresu adresów IP, spowoduje to zablokowanie funkcji logowania i uniemożliwi zalogowanie się osobom z tego zakresu adresów IP.

Ta wtyczka dodaje dodatkowe uwierzytelnianie HTTP, aby zapewnić drugą warstwę obrony dla Twojego bloga. Możesz skonfigurować ochronę hasłem dla swojego bloga za pomocą podstawowego uwierzytelniania HTTP lub możesz użyć bezpieczniejszego uwierzytelniania HTTP Digest.

Pamiętaj, że ta wtyczka może / może nie działać w zależności od możliwości twojego serwera. Jeśli Twoja witryna nie przejdzie testów konfiguracyjnych AskApache (testy uruchamiane przez wtyczkę w celu wykrycia możliwości serwera), skontaktuj się z usługodawcą internetowym i sprawdź, czy mogą wprowadzić zmiany na serwerze bok.

Ta wtyczka zapewnia „częściowo bezpieczne” środowisko logowania, szyfrując hasło za pomocą Kryptografia RSA

Ochrona Twojej bazy danych

Być może dla niektórych z was tworzenie kopii zapasowej bazy danych może oznaczać kłopotliwy obowiązek techniczny. W przypadku WP-DB-Backup wystarczy go skonfigurować raz i uruchomić automatycznie w regularnych odstępach czasu.

Wtyczka ta służy do automatyzacji tworzenia kopii zapasowych bazy danych i wysyłania jej do skrzynki odbiorczej. Oprócz domyślnej tabeli utworzonej przez WordPress, możesz także tworzyć kopie zapasowe tabel niestandardowych tworzonych przez wtyczki. W przypadku awarii konta możesz łatwo zaimportować i przywrócić bazę danych z kopią zapasową.

Wp-DBManager jest jak phpmyadmin na twoim pulpicie. Możesz łatwo zarządzać bazą danych bezpośrednio w panelu. Dostępne są przydatne funkcje, takie jak optymalizacja / naprawa / tworzenie kopii zapasowej / przywracanie bazy danych, a jeśli jesteś wystarczająco techniczny, możesz nawet uruchomić własne zapytanie SQL ze strony opcji.

Z drugiej strony, jeśli hakerom uda się zalogować do Twojej witryny, ta wtyczka będzie dla nich bramą do spustoszenia w Twojej bazie danych.

8. Zmień prefiks tabeli bazy danych

Domyślny prefiks używany przez WordPress to „wp”. Możesz łatwo zmienić prefiks na inne warunki, które trudno odgadnąć za pomocą WP-Security-Scan. Więcej szczegółów na temat tej wtyczki poniżej.

9. Chroń swój plik wp-config.php

Plik wp-config.php zawiera wszystkie dane logowania do bazy danych i powinien być ukryty przed widokiem publicznym w każdych okolicznościach. W pliku htaccess umieść w tym wierszu:

pozwolenie na zamówienie, odmowa. Odmowa od wszystkich. 

aby uniemożliwić komukolwiek przeglądanie pliku wp-config.php.

Ochrona Twojej strony administracyjnej

Ta wtyczka wymusza SSL na wszystkich stronach, na których można wprowadzić hasła, aby wszystkie przesyłane informacje były szyfrowane.

Jedną rzeczą jest posiadanie certyfikatu SSL, zanim będzie to możliwe. Jeśli nie chcesz wydać dodatkowych pieniędzy na zakup prywatnego certyfikatu SSL, możesz zapytać swojego hosta o udostępniony SSL. Większość hostów internetowych udostępnia Shared SSL wszystkim swoim klientom i jest łatwa w konfiguracji.

11. Zmień nazwę użytkownika logowania

Użycie „admin” jako nazwy użytkownika do logowania jest ostatnią rzeczą, którą chcesz zrobić. Po pierwszej instalacji WordPress należy natychmiast utworzyć kolejne konto administratora z własną nazwą użytkownika i hasłem oraz usunąć konto „admin”.

Uniemożliwiaj innym przeglądanie wewnętrznej struktury plików

12. Ukrywanie wersji WP

W większości motywów WordPress pod

W sekcji zawsze znajduje się wiersz kodu pokazujący używaną wersję WordPress. Podanie numeru wersji WordPress oznacza poinformowanie hakera, jakiego exploita użyć do włamania się na twoją stronę.

Od wersji WP2.6.5 WordPress jeszcze bardziej utrudnia usunięcie wersji wp, ponieważ osadza te informacje w wp_header etykietka. Wtyczka, której możesz użyć do usunięcia tych informacji, to WP-Security-Scan.

13. Ukrywanie zawartości WP

Folder zawartości WP zawiera wszystkie wtyczki i pliki motywów. Jest to miejsce, w którym chcesz uniemożliwić innym ludziom zaglądanie. Możesz albo przesłać puste miejsce index.html plik do folderu wp-content lub utwórz plik .htaccess w folderze wp-content i dodaj ten wiersz:

Opcje Wszystkie -Indeksy
14. Zablokuj indeksowanie folderu wp przez wyszukiwarki
Chociaż chcesz, aby wyszukiwarki indeksowały Twojego bloga i generowały duży ruch, ostatnią rzeczą, którą chcesz zobaczyć, jest umożliwienie wyszukiwarkom publicznego ujawnienia wewnętrznej struktury plików. Możesz zablokować indeksowanie całego folderu wp przez wyszukiwarkę, dodając następujące wpisy do pliku robot.txt:
Disallow: / wp- * 
Konserwacja
Wspominałem o tej wtyczce kilka razy, więc nadszedł czas, abym wyjaśnił, co robi. WP-Security-Scan sprawdza WordPress pod kątem luk w zabezpieczeniach i sugeruje / zapewnia działania naprawcze. Działania naprawcze obejmują zmianę prefiksu bazy danych, ukrywanie numeru wersji WordPressa w nagłówku i pozwala przetestować siłę hasła.
Od czasu do czasu dobrym pomysłem jest uruchomienie wbudowanego skanera bezpieczeństwa i sprawdzenie blogu pod kątem ewentualnych zagrożeń bezpieczeństwa.
16. Regularnie zmieniaj hasło
Nie tylko powinieneś regularnie zmieniać swoje hasło, ale także upewnić się, że jest ono silne. Jeśli masz trudności z jego utworzeniem, znajdź taki, jak możesz utwórz silne hasła, które możesz łatwo zapamiętać Jak tworzyć silne hasła, które łatwo zapamiętać Czytaj więcej .
17. Zaktualizuj WordPress i wszystkie wtyczki do najnowszej wersji
Nie trzeba dodawać, że aktualizacja do najnowszej wersji WordPress i wtyczek jest najlepszym sposobem na ochronę siebie.
Ochrona twojego połączenia
18. SFTP
Przenoszenie plików na konto internetowe jest powszechną czynnością. Jednak zamiast korzystać z niezabezpieczonego FTP, powinieneś użyć SFTP (Bezpieczny FTP). Spowoduje to utworzenie połączenia SSH i wysłanie wszystkich plików zaszyfrowanych na serwer. Jeśli potrzebujesz pomocy w tworzeniu połączenia SFTP, oto przewodnik.
Powyższe informacje powinny wystarczyć do utworzenia bezpiecznego bloga WordPress. Jeśli nie wdrożyłeś żadnego z nich, zachęcam do zrobienia tego teraz.
Jakie inne metody zabezpieczasz swojego bloga WordPress?