10 kevéssé ismert, szuper hatékony tippek a WordPress Blog biztonságossá tételéhez
Szomorú valóság az, hogy az emberek valóban átmentek a blogok hackelésével és az évek elvesztésével az éjszakai blogok után. Tény, hogy a kutatások azt mutatják, hogy minden nap 37.000 webhelyet szaggatnak, és a WordPress körülbelül 25,4% -a az összes webhelyről, biztos lehet benne, hogy minden nap nagy mennyiségű WordPress blogot kapnak.
A WordPress biztonság teljesen más golyójáték; Ha már van egy WordPress blogod, akkor már nem elegendő olyan tippek, mint a felhasználónevet, amely nehezen kitalálható, és olyan jelszó, amely olyan kemény, mint a rock. A egyetlen hibás téma, a rossz bővítmény vagy egy helytelenül védett fájl eredményezheti, hogy a blogodat egy éjszaka alatt szaggatják.
Akár tapasztalatlan a WordPress-szel, akár már a létezés óta használta a platformot, ez a cikk 10 praktikus és vacsora hatékony módja a WordPress blog biztosításának hogy bárki végrehajthassa. Ezeknek a tippeknek a legtöbbet nem találja népszerűvé a blog blogcikkek megőrzésére, de nagyon jól menthetik a blogját egy nap!
1. Tiltsa le a WordPress Theme & Plugin Editor programot
A WordPress rendelkezik egy praktikus funkcióval, amely nagyobb rugalmasságot biztosít a webhelytulajdonosok számára, hogy testreszabhatja és szerkesztheti témáit és bővítményeit közvetlenül a WordPress műszerfalán, de ez a funkció a legtöbb blog visszavonása volt.
Ezzel a funkcióval a enyhe hiba összeomlik a webhelyét és bezárhatja Önt a saját webhelyéről. A hackerek könnyen beilleszthetnek rosszindulatú kódot a témájába, hogy hátsóajtót kapjanak a webhelyéhez, vagy akár teljesen átveszi a webhelyét azáltal, hogy egy olyan fiókot kap, amely elegendő jogosultsággal rendelkezik a téma és a plugin-szerkesztő használatához.
Megvédheti magát a plugin és a téma szerkesztő letiltásával, lehetetlenné téve a témák és a bővítmények FTP-hozzáférés nélküli módosítását.
Tegye ezt a következő kód hozzáadásával a wp-config.php fájlhoz:
define ('DISALLOW_FILE_EDIT', igaz);
2. Kétfaktoros hitelesítés engedélyezése
A két faktorú hitelesítés gyorsan válik az online fiókok egyik legmegbízhatóbb módjává, és a legmegbízhatóbb webhelyek ragaszkodnak ahhoz, hogy a felhasználók engedélyezzék azt.
Míg a WordPress nem feltétlenül tartalmaz kétfaktoros hitelesítést, engedélyezheti a kétfaktoros hitelesítést a blogjában az alábbi bővítmények telepítésével:
- Google hitelesítő
- Authy
- Hangjegykulcs
- Rublon
3. Korlátozza a bejelentkezéseket a sikertelen kísérletek száma alapján
Számos módja van annak, hogy a hackerek megpróbáljanak hozzáférni a blogjához, és az egyik leggyakoribb módszer a bruteforce támadás: a hacker megpróbál kombinálni a felhasználóneveket és jelszavakat újra és újra, amíg sikerül elérni a blogod.
Alapértelmezés szerint a WordPress nem védett a támadás ellen. Ha egy adott IP-ről egy bizonyos számú sikertelen próbálkozás után a bejelentkezéseket korlátozó bővítményeket telepít, akkor a hackerek számára sokkal nehezebb hozzáférni a blogjához.
A Jetpack Protect modul modul is megvédheti Önt a bruteforce támadásoktól.
4. Rendszeresen vizsgálja meg a blogját
A témafájlok, a beépülő modulok, a linkek és egyéb látszólag ártalmatlan elemek felhasználhatók a bloghoz való hozzáféréshez. Ne várjon, amíg a webhelye teljesen fertőzött, mielőtt intézkedéseket hozna. Ehelyett telepítse a biztonsági lapolvasó bővítményeket, hogy rendszeresen ellenőrizze webhelyét, és értesítse Önt, ha változik a fájlok.
Egy jó példa a biztonsági lapolvasó bővítményre a Wordfence. A WordPress blog kézi vagy automatikus beolvasásának lehetősége mellett azonnal értesíti Önt arról is, ha a blogban gyanús tevékenység folyik.
Ezenkívül információt küld a potenciálisan rosszindulatú megjegyzésekről is összehasonlítja a téma és a plugin fájljait a WordPress adattárral tudassa, ha a bővítmény vagy a téma változata módosult és potenciálisan hátsó ajtóként szolgálhat a hackerek számára a webhelyére.
Azok a biztonsági bővítmények, amelyek segítenek a blogja szkennelésében a rosszindulatú programok és a kizsákmányolások szempontjából, a következők:
- Sucuri biztonsági szkenner
- Acunetix WP Security
- iThemes Security (korábban "Better WP Security" néven ismert)
5. Változtassa meg a gazdagépet
Bár ez úgy hangzik, mint egyszerű tanács, valójában rengeteg súlya van. A kutatások azt mutatják, hogy a hackelt WordPress weboldalak 41% -a volt a biztonsági résen hackeltek a tárhely platformján. Ez sokkal több, mint más forrásokból, beleértve a gyenge jelszót.
A fogadó nagy szerepet játszhat abban, hogy lesz-e csapkodva vagy nem; győződjön meg róla, hogy csak menjen a megbízható webtárhelyre, amelyek az idő próbáját tartották és az megfelelnek az ipari legjobb gyakorlatoknak.
6. A WordPress verziószámának elrejtése
Alapértelmezés szerint a WordPress megjeleníti a WordPress verziószámát; ez megkönnyíti a WordPress számára, hogy nyomon kövesse, hogy hány WordPress blog van jelen világszerte. Ez azonban nagy problémaforrás lehet; hackerek és botok is szkennelje a webet a blogokhoz használva egy ismert sebezhetőségű WordPress verziószám, könnyű célpont.
Ezt a problémát könnyen megoldhatja a WordPress verziószámának elrejtése. A WordPress verziószámának elrejtéséhez egyszerűen adja hozzá a következő kódot a func.php fájlhoz:
add_filter ('the_generator', '__return_null');
7. A PHP hibajelentések letiltása
Amikor a plugin vagy a téma nem működik jól a WordPress blogján, a PHP hibajelentések segíthetnek a hiba okának feltárásával egy üzenet megjelenítésében. Ebben az előnyben azonban egy hátránya van: ha a PHP-t jelentik, akkor azt magában foglalja a hiba teljes szerverútját, feltárva az információkat hogy a hackerek használhatják ellened.
Ön megvédheti magát a PHP hibajelentés letiltása. Egyszerűen adja hozzá a következő kódot a wp-config.php fájlhoz:
error_reporting (0); @ini_set ('display_errors', 0);
8. A WordPress fájljogosultságai
Amikor a WordPress webhelyet megakadályozza a biztonsági kihasználásoktól, elengedhetetlen győződjön meg arról, hogy a megfelelő fájljogosultságokkal rendelkezik. Ez megnehezíti, hogy egy hacker manipulálja a kiszolgálón lévő plugineket, témákat vagy fájlokat, hogy átveszi a webhelyét.
Győződjön meg róla, hogy a WordPress mappa engedélyek 755 vagy 750; fájl a jogosultságok értéke 640 vagy 644; és a wp-config.php engedély 600-ra van állítva.
9. Biztosítsa a rendszeres biztonsági mentéseket
A nagy szakértők és tanácsadók csapatával rendelkező nagy weboldalak is csapkodnak, és bár a legjobb gyakorlatok követése a webhelyének 99,9% -át meghaladó mértékben teheti meg, a dolgok még mindig megszakadhatnak.
A legjobb biztonság a WordPress hack támadások ellen egy jó mentés; győződjön meg róla, hogy rendszeresen készít biztonsági másolatot webhelyéről - ha lehetséges, naponta. Ily módon, ha a webhelye hackelt, akkor a fájljait helyben tartja és azonnal visszaállíthatja a dolgokat.
Íme néhány a legjobb WordPress biztonsági mentés bővítmények közül:
- BackUpWordPress
- Kész! biztonsági mentés
- VaultPress
- BackupBuddy
10. A belépési oldal korlátozásának korlátozása
Amikor a tolószárnyúszás elindul, akkor talán csak néhány drasztikus lépést kell tennie. Egy nagyon megbízható módja annak, hogy megvédje blogját a hack-próbálkozásoktól teljesen letiltja a wp-admin és a wp-login.php oldal hozzáférését.
Ez csak akkor ajánlott, ha Ön használjon egy nem változó IP-címet (nem akarod zárolni magát a blogodból!). Ezt az opciót továbbra is használhatja, ha egynél több IP-címet használ, de figyelemmel kíséri ezeket a címeket.
A bejelentkezési oldalhoz való hozzáférés korlátozásához adja hozzá a következő kódot a .htaccess fájljához:
RewriteEngine on RewriteCond% REQUEST_URI ^ (. *)? Wp-login .php (. *) $ [OR] RewriteCond% REQUEST_URI ^ (. *)? Wp-admin $ RewriteCond% REMOTE_ADDR! IP-cím 1 $ RewriteCond% REMOTE_ADDR! ^ IP-címe 2 $ RewriteCond% REMOTE_ADDR! ^ IP-címe 3 $ RewriteCond% REMOTE_ADDR! ^ IP-címe 4 $ RewriteCond% REMOTE_ADDR! 5 $ RewriteRule ^ (. *) $ - [R = 403, L]
Győződjön meg róla, hogy szerkeszti IP-címe 1 át IP-címe 5 a különböző IP-címekkel, amelyekhez hozzáférést szeretne adni; egyszerűen hozzáadhat vagy távolíthat el egy sort, hogy engedélyezze vagy megakadályozza, hogy több IP hozzáférjen a webhelyéhez.
Következtetés
Természetesen nem szabad figyelmen kívül hagynia az alapvető biztonsági tippeket, mint például nem egy előre jelezhető felhasználónevet, erős jelszót, rendszeresen frissítenie kell a WordPress telepítését, stb. Ugyanakkor a fentiek közül néhány kevéssé ismert, gyakran figyelmen kívül hagyott biztonsági tippek, amelyek WordPress blog csak egy kicsit biztonságosabb.
Szerkesztő megjegyzése: Ez a vendég hozzászólás a (z) Hongkiat.com címre íródott John Stevens. John WordPress és hosting szakértő. Ő az alapítója és vezérigazgatója HostingFacts.com, egy portál, ahol a teljesítmény alapján értékeli és értékeli a webtárhelyeket.