Mainos
WordPress-pohjaisen verkkosivuston ylläpito on usein nautintoa, jonka avulla voit keskittyä sisältöön ja luoda suhteita lukijoihin ja muihin verkkosivustoihin.
Kaikki verkossa eivät kuitenkaan ole yhtä ystävällisiä kuin sinä. Jossain maassa on luettelo blogisi nimelläsi, missä se istuu odottaen, että hakkerit voivat kohdistaa siihen. Kun he pääsevät blogiisi, he kokeilevat erilaisia taktiikoita saadakseen pääsyn blogiin, ehkä tarkoituksenaan myydä laillisia huumeita tai saastuttaa vierailijasi tietokoneet haittaohjelmilla.
Onneksi on olemassa useita tapoja, joilla voit suojata WordPress-blogin hakkereilta.
Päivitä WordPress säännöllisesti
Yksi tehokkaimmista, mutta usein unohdetuista ratkaisuista WordPressin suojaamiseksi hakkereilta on varmistaa, että sitä päivitetään säännöllisesti.
Tällä on tietysti haittapuoli - osa teistä parhaat WordPress-laajennukset Parhaat WordPress-laajennukset Lue lisää saattaa lakata toimimasta, jos WordPress päivitetään - mutta samalla sitä pitäisi tarkastella mahdollisuutena Päivitä laajennukset, etsi korvaavia materiaaleja, jotka ovat turvallisia ja luotettavia, ja tiukenna verkkosivustoasi tai blogi. Pysyminen WordPress-hakemistossa oleviin laajennuksiin on myös hyvä tapa pitää asiat hallinnassa.
WordPressin päivittäminen on mahdollista hallintapaneelista, mutta ota aina varmuuskopio tietokannastasi ennen kuin teet sen.
Pidä säännölliset varmuuskopiot
Tärkeä menetelmä kaikille WordPress-blogin omistajille on varmistaa, että varmuuskopiot tehdään säännöllisesti ja että ne voidaan helposti palauttaa, mikäli pahinta tapahtuu.
Ratkaisuja on runsaasti, mutta Cloudsafe365 on yksi tehokkaimmista, yhdistämällä pilvien varmuuskopiointi (Dropboxia voidaan käyttää) erilaisia suojattuja työkaluja tekniikoita vastaan, kuten sivustojen välinen skriptaus, SQL-injektio, ja jopa valvoo sisältöä varkaus.
Cloudsafe365, saatavana osoitteesta WordPress-laajennussivusto, on kolme makua. Maksuton vaihtoehto kattaa yllä luetellut asiat, kun taas maksetut vaihtoehdot tarjoavat lisäominaisuuksia, kuten suojan koodin injektiolta ja raa'an voiman hyökkäyksiltä.
Asenna salattu kirjautuminen -laajennus
WordPress-verkkosivustoon kirjautumisen tosiasiallinen suojaaminen tapahtuu parhaiten käyttämällä salattua sisäänkirjautumislaajennusta, koska verkkosivusto-ohjelmistolla ei ole tätä ominaisuutta oletuksena. Todennäköisesti paras ratkaisu tähän - täydellinen suojaamaan blogin kirjautumistietoja langattomissa verkoissa olevista paketinhakuista - on Napsauta turvallinen sisäänkirjautuminen, joka suojaa käyttäjänimeäsi ja salasanaasi SHA-256-algoritmilla.
Samaan aikaan Sisäänkirjautumisen lukitus plugin on hyödyllinen tapa estää IP-osoitteita, jotka tallentavat toistuvat epäonnistuneet yritykset päästä sivustoosi.
Muita mahdollisia kirjautumissuojausvaiheita ovat vahvan CAPTCHA-laajennuksen asentaminen. RetinaPost on erityisen vaikuttava laajennus, joka vaatii käyttäjien syöttämään korostettuja merkkejä lauseesta sen sijaan, että yrittäisit ja tulkitsisi ruuvia tekstikuvista tai tee matematiikan haasteita. Mahdollisia yrityksiä häiritä blogiasi kommenttijärjestelmän avulla voidaan vähentää huomattavasti tällä laajennuksella.
Piilota “Powered by WordPress”
Hakkereilla on erilainen taktiikka jokaiselle erityyppiselle verkkosivusto-ohjelmistolle, joka on käytössä, mutta voit tehdä asioista vaikeampia heille, kun et mainosta sitä, että verkkosivustosi on ”Powered by WordPress”.
Oletuksena nämä tiedot löytyvät footer.php-tiedostosta, joka saavutetaan antamalla blogin hallintapaneeli valitsemalla Ulkonäkö> Toimittaja muokata selainikkunassa. Eri teemat vaativat erilaisia menetelmiä tämän tekstin poistamiseen, joten sinun on tarkistettava verkosta paras lähestymistapa (jos selitteen näyttämiseen käytetään tekstiä, poista tämä; Jos käytetään PHP-koodia, kulje huolellisesti, ellet tiedä mitä teet).
Vaihda järjestelmänvalvojan käyttäjänimi
Yksi tapa, jolla hakkerit voivat löytää tien sivustoosi, on käyttämällä raa'an voiman ohjelmistoja, jotka yrittävät useita sisäänkirjautumisia, jotka käyttävät tavallisia sanoja ja ilmauksia salasanoina yhdistettynä valikoimaan ilmeisiä käyttäjätunnukset.
Järjestelmänvalvojan käyttäjänimi WordPressissä voidaan valita, kun ohjelmisto on asennettu, mutta kiireessä saada asiat päätökseen, monet käyttäjät jättävät sen oletusasetukseksi "admin". Koska ilmeisiä käyttäjätunnuksia menee, tämä tulee listan kärkeen, minkä vuoksi sen muuttaminen on tärkeää.
Järjestelmänvalvojan käyttäjänimen vaihtamiseen on olemassa kaksi tapaa. Ensinnäkin voit luoda toisen järjestelmänvalvojan tilin käyttäjänimellä, joka ei ole selvä, ja poistaa sitten alkuperäisen käyttäjän. Huomaa kuitenkin, että tällä voi olla vaikutusta kaikkiin järjestelmänvalvojan tilin alle kirjoitettuihin artikkeleihin (niiden julkaiseminen saatetaan ehkä julkaista, kunnes uusi nimi on asetettu, tai näyttää virhe virhesivulta).
Todennäköisesti tehokkain tapa tehdä tämä on käyttää sivustosi phpMyAdmin-sovellusta, valita WordPress tietokannasta, etsi wp_users-taulukko (“wp_” on oletusetuliite, jota on ehkä muutettu asennuksen yhteydessä) ja Käytä Selaa -kuvakkeen avulla löydät “järjestelmänvalvojan” käyttäjänimen.
Löytämisen jälkeen etsi user_login -sarake ja napsauta muokata -painiketta asianmukaisella rivillä ja vaihda sitten “järjestelmänvalvoja” haluamaasi järjestelmänvalvojan tilin kirjautumistunnukseen napsauttamalla Mennä kun olet valmis.
Siirrä wp-config-tiedosto
Silmiinpistävä WordPress-ongelma on, että tärkeimmät tietoturvatiedot tallennetaan yhdeksi salaamattomaksi tiedostoksi, joka voidaan hakkeroida ja jota voidaan käyttää blogin hallintaan. Wp-config.php-tiedosto sisältää järjestelmänvalvojan kirjautumistiedot sekä MySQL-tietokannan käyttäjänimen ja salasanan.
Siksi tämän tiedoston suojaaminen on ensiarvoisen tärkeää, jos haluat suojata sivustoa hakkereilta.
Yksi asia, jota sinun ei kuitenkaan pitäisi tehdä, on poistaa wp-config - tämä jättäisi sivustosi käyttökelvottomaksi (ja melko tyhjäksi). Joten miten suojaat sivustoasi tästä omituiselta haavoittuvuudelta?
WordPress 2.8: n julkaisun jälkeen blogin omistajilla on ollut mahdollisuus siirtää tiedosto palvelimen juurikansioon. Tämä tarkoittaa esimerkiksi sitä, että jos sivustosi on asennettu www.mysite.com/wordpress, wp-config.php-tiedosto voidaan siirtää korkeammalle tasolle mysite-hakemistoon.
johtopäätös
Riippumatta siitä, kuinka tekninen tai ei-tekninen olet, jos ylläpidät WordPress-blogia, ei ole mitään syytä olla ottamatta käyttöön mitään tai kaikkia näitä työkaluja verkkosivustosi suojaamiseksi hakkereilta.
Loppujen lopuksi, mitä hyötyä on viedä kaikki tämä kova työ vain sen havaitsemiseen, että joku on ottanut sivuston haltuun ja maksaa nyt säännöllisille kävijöillesi mainostamalla Viagraa?
Nämä vaiheet voidaan toteuttaa vain muutamassa tunnissa - ehkä yhden viikonloppunaamuna, jos aikaa painotetaan - joten älä ohita, toimi nyt.
Christian Cawley on varatoimittaja turvallisuuteen, Linuxiin, itsehoitoon, ohjelmointiin ja teknisiin selityksiin. Hän tuottaa myös The Really Useful Podcastin ja hänellä on laaja kokemus työpöydän ja ohjelmistojen tuesta. Linux Format -lehden avustaja Christian on Vadelma Pi-tinkerer, Lego-rakastaja ja retro-fani.
