10 malo znanih, super učinkovitih nasvetov za zaščito vašega WordPress bloga
Pridobivanje bloga in izgubljanje let po delu blogov čez noč je žalostna resničnost, skozi katero so ljudje dejansko šli. Dejstvo je, da raziskave kažejo, da je vsak dan vdrlo 37.000 spletnih mest in da WordPress napaja približno 25,4% vseh spletnih mest, zato ste lahko prepričani, da se vsak dan blokira WordPress..
WordPress varnost je povsem drugačna igra; ko ste lastnik spletnega dnevnika WordPress, nasveti, kot je imeti uporabniško ime, ki ga je težko uganiti, in geslo, ki je tako težko kot rock, ni več zadostno. A temo, napačen vtičnik ali nepravilno zaščiteno datoteko lahko povzroči, da se vaš spletni dnevnik prekine čez noč.
Ne glede na to, ali ste neuspešni pri WordPressu, ali ste platformo uporabljali od svojega obstoja, je ta članek 10 praktičnih in večernih učinkovitih načinov za zaščito vašega WordPress bloga ki jih lahko vsakdo izvede. Večina teh nasvetov ne boste našli v priljubljenih "kako zavarovati svoj blog" člankov, vendar bi lahko zelo dobro shranite vaš blog en dan!
1. Onemogočite WordPress Theme & Plugin Editor
WordPress ima priročno funkcijo, ki lastnikom mest omogoča večjo prilagodljivost, saj jim omogoča prilagajanje in urejanje tem in vtičnikov neposredno iz nadzorne plošče programa WordPress, vendar je bila ta funkcija razveljavitev večine spletnih dnevnikov.
S to funkcijo a rahla napaka lahko zruši vaše spletno mesto in vas zaklene iz vaše lastne spletne strani. Hekerji lahko zlahka vstavijo zlonamerno kodo v vašo temo, da jim omogočijo dostop do spletnega mesta ali celo povsem prevzamejo vaše spletno mesto, tako da pridobijo nadzor nad računom, ki ima dovolj pravic za uporabo urejevalnika tem in vtičnika..
Zaščitite se lahko tako, da onemogočite urejevalnik vtičnikov in tem, onemogočanje spreminjanja tem in vtičnikov brez dostopa do FTP-ja.
To naredite tako, da v datoteko wp-config.php dodate naslednjo kodo:
define ('DISALLOW_FILE_EDIT', true);
2. Omogočite preverjanje pristnosti z dvema faktorjema
Dvofaktorsko preverjanje pristnosti hitro postaja eden od najbolj zanesljivih načinov za zaščito vaših spletnih računov, najbolj zanesljiva spletna mesta pa bodo vztrajala, da jih uporabniki omogočijo.
Čeprav WordPress nima vgrajenega preverjanja pristnosti v dveh faktorjih, lahko omogočite preverjanje pristnosti z dvema faktorjema v spletnem dnevniku tako, da namestite naslednje vtičnike:
- Google Authenticator
- Authy
- Clef
- Rublon
3. Omeji prijave na podlagi števila neuspelih poskusov
Obstaja veliko načinov, kako hekerji poskušajo pridobiti dostop do vašega spletnega dnevnika, in ena izmed najpogostejših uporabljenih tehnik je bruteforce napad: heker poskuša kombinacijo uporabniških imen in gesel, znova in znova, dokler on / ona ne more uspešno dostopati blog.
Po privzetku WordPress ni zaščiten pred tem napadom. Če namestite vtičnike, ki omejujejo prijave po določenem številu neuspelih poskusov določenega IP-ja, lahko hekerjem otežite dostop do spletnega dnevnika..
Vtičnik Jetpack Protect Module vas lahko zaščiti tudi pred napadi bruteforce.
4. Redno skenirajte svoj blog
Datoteke, vtičniki, povezave in drugi na videz neškodljivi elementi se lahko uporabijo za dostop do vašega spletnega dnevnika. Ne čakajte, da bo vaša spletna stran popolnoma okužena, preden boste sprejeli ukrepe. Namesto tega namestite varnostne vtičnike za skeniranje, da redno pregledujete vaše spletno mesto in vas obvesti, če se vaše datoteke spremenijo.
Dober primer dodatka za varnostno skeniranje je Wordfence. Poleg tega, da imate možnost ročnega / samodejnega skeniranja vašega WordPress bloga, vas prav tako takoj obvesti, ko se na vašem blogu dogajajo sumljive dejavnosti..
Pošlje tudi informacije o potencialno zlonamernih komentarjih primerja datoteke s temo in vtičnikov z repozitorijem WordPressa vas obvestimo, ali je bila različica vtičnika ali teme spremenjena in lahko služi kot hrbet za hekerje na vašem spletnem mestu.
Drugi varnostni vtičniki, ki vam lahko pomagajo pregledati vaš spletni dnevnik za zlonamerno programsko opremo in izkoriščanja, so:
- Varnostni skener Sucuri
- Acunetix WP Varnost
- iThemes Security (prej znana kot "boljša varnost WP")
5. Spremenite gostitelja
Čeprav to zveni kot preprost nasvet, ima dejansko veliko težo. Raziskave kažejo, da je bilo 41% napadenih WordPress spletnih strani vdrl prek varnostne ranljivosti na njihovi platformi za gostovanje. To je veliko več kot iz drugih virov, vključno s šibkim geslom.
Vaš gostitelj lahko igra pomembno vlogo pri tem, ali boste vdrli ali ne; poskrbite samo za vas iti za zanesljive spletni gostitelji, ki so stali test časa in to v skladu z najboljšimi industrijskimi praksami.
6. Skrij številko različice WordPress
WordPress privzeto prikaže številko različice WordPress; to olajša WordPressu, da spremlja, koliko WordPress blogov je aktivnih po vsem svetu. Vendar pa je to lahko tudi velik vir težav; hekerji in pošto skeniranje spleta za spletne dnevnike uporabo številka različice WordPress z znano ranljivostjo, da si lahka tarča.
To težavo lahko enostavno rešite skriva številko različice WordPress. Če želite skriti številko različice WordPress, preprosto dodajte naslednjo kodo v datoteko functions.php:
add_filter ('the_generator', '__return_null');
7. Onemogočite poročila o napakah PHP
Če vtičnik ali tema ne deluje dobro v vašem blogu WordPress, lahko poročila o napakah PHP pomagajo tako, da vam prikaže sporočilo, ki razkrije vzrok napake. Vendar pa v tej prednosti leži slabost: ko se poroča o napaki PHP, je to vključuje celotno pot strežnika za napako, ki razkriva informacije ki jih hekerji lahko uporabijo proti vam.
Zaščitite se lahko onemogočanje poročanja o napakah PHP. Preprosto dodajte naslednjo kodo v datoteko wp-config.php:
error_reporting (0); @ini_set ('display_errors', 0);
8. Delo na vaših dovoljenjih za WordPress
Ko gre za preprečevanje vaše WordPress strani iz varnostnih izkoriščanja, je bistvenega pomena za zagotovite, da imate ustrezna dovoljenja za datoteke. To hekerjem otežuje manipuliranje pluginov, tem ali datotek na vašem strežniku, da prevzamejo vaše spletno mesto.
Prepričajte se, da WordPress mapo dovoljenja so nastavljena na 755 ali 750; mapa dovoljenja so nastavljena na 640 ali 644; in da je dovoljenje wp-config.php nastavljeno na 600.
9. Zagotovite redne varnostne kopije
Tudi velika spletna mesta z ekipo varnostnih strokovnjakov in svetovalcev se razjezijo, in čeprav lahko po najboljših praksah vaša spletna stran postane močnejša od 99,9% spletnih mest, se lahko stvari še vedno zlomijo.
Najboljša varnost, ki jo imate proti napadom WordPress hack, je dobra varnostna kopija; poskrbite, da redno izdelujete varnostne kopije spletnega mesta - če je mogoče, vsak dan. Na ta način, če je vaše spletno mesto hacked imate svoje datoteke na mestu in lahko takoj obnovite stvari.
Tukaj je nekaj najboljših WordPress backup pluginov:
- BackUpWordPress
- Pripravljen! Rezerva
- VaultPress
- BackupBuddy
10. Omeji dostop do svoje strani za prijavo
Ko se potisne potiskati, boste morda morali sprejeti nekaj drastičnih ukrepov. Zelo zanesljiv način za zaščito vašega bloga pred poskusi kramp je popolnoma blokira dostop do strani wp-admin in wp-login.php.
To priporočamo samo, če uporabite en naslov IP, ki se ne spremeni (ne želite se zakleniti iz spletnega dnevnika!). To možnost lahko še vedno uporabljate, če uporabljate več kot en naslov IP, vendar sledite tem naslovom.
Če želite omejiti dostop do svoje strani za prijavo, dodajte naslednjo kodo v datoteko .htaccess:
RewriteEngine na RewriteCond% REQUEST_URI ^ (. *)? Wp-login \ _php (. *) $ [OR] RewriteCond% REQUEST_URI ^ (. *)? Wp-admin $ RewriteCond% REMOTE_ADDR! Naslov IP 1 $ RewriteCond% REMOTE_ADDR! ^ Vaš IP naslov 2 $ RewriteCond% REMOTE_ADDR! ^ Vaš IP naslov 3 $ RewriteCond% REMOTE_ADDR! ^ Vaš IP naslov 4 $ RewriteCond% REMOTE_ADDR! ^ Vaš IP naslov 5 $ RewriteRule ^ (. *) $ - [R = 403, L]
Ne pozabite urediti Vaš IP naslov 1 do Vaš IP naslov 5 z različnimi naslovi IP, do katerih želite omogočiti dostop; lahko preprosto dodate ali odstranite vrstico, da dovolite ali preprečite dostop več IP-jev do vašega spletnega mesta.
Zaključek
Seveda ne smete prezreti osnovnih varnostnih nasvetov, kot je neuporaba predvidljivega uporabniškega imena, rednega gesla, redno posodabljanje namestitve WordPressa itd. Vendar pa so zgoraj navedeni nekateri malo znani, pogosto prezrti varnostni nasveti, ki lahko naredijo vaše WordPress blog je nekoliko bolj varen.
Uredniška opomba: Ta objava je napisana za Hongkiat.com John Stevens. John je strokovnjak za WordPress in gostovanje. Je ustanovitelj in izvršni direktor podjetja HostingFacts.com, portal, kjer pregleduje in ocenjuje gostitelje na podlagi uspešnosti.