Mainos

suojata WordPressBottiverkot ympäri maailmaa ovat kääntäneet huomionsa roskapostien lähettämisestä järjestelmällisen hakkeroinnin WordPress-asennuksiin; se on tuottoisaa yritystä, kun otetaan huomioon, että WordPressillä on 40% kaikista blogeista. Erityisesti ottaen huomioon, että vaikka jouduimmekin tämän uhreiksi, on aika tehdä kattava viesti siitä, kuinka suojata itse isännöimääsi WordPress-asennusta.

Huomaa: tämä neuvo koskee vain itse isännöidyt WordPress-asennukset. Jos käytät WordPress.com-sivustoa, sinun ei yleensä tarvitse huolehtia turvallisuudesta, koska he hoitavat kaiken puolestasi.Mitä eroa on WordPress.com: n ja WordPress.org: n välillä? Mitä eroa on blogin pitämisessä Wordpress.com- ja Wordpress.org-sovelluksissa?Kun Wordpress toimii nyt yhdellä jokaisesta kuudesta verkkosivustosta, heidän on tehtävä jotain oikein. Wordpress tarjoaa sinulle jotain sekä kokeneille kehittäjille että koko aloittelijalle. Mutta aivan kuin aloitat ... Lue lisää

Asenna Googlen kaksivaiheinen todennus

Jos sinulla on jo kaksivaiheinen todennus käytössä Gmail-tililläsi tai muilla palveluilla, voit käyttää samaa todennussovellusta kanssa

tämä laajennus WordPressille.

Onneksi voit rajoittaa kaksivaiheisen todennuksen käytettäväksi vain ylemmän tason tileillä, joten sinun ei tarvitse häiritä kaikkia käyttäjiäsi.

suojata WordPress

Sisäänkirjautumisen lukitus

Vanha laajennus, mutta toimii edelleen suunnitellulla tavalla; Sisäänkirjautumisen lukitus tarkistaa sisäänkirjautumisyritysten IP: n ja estää IP-alueen tunti, jos se epäonnistuu 3 kertaa 5 minuutin kuluessa. Yksinkertainen, tehokas.

Ota säännöllisiä varmuuskopioita

Hakkerit eivät vain vaihda yhtä tiedostoa, vaan sijoittavat oman ohjauspaneelin piiloon jonnekin ja muuhun piilotetut takaovet - niin että vaikka korjaatkin alkuperäisen iskun, he tulevat takaisin sisään ja tekevät kaiken uudelleen. Ota päivittäin tai viikoittain varmuuskopioita, jotta voit palauttaa helposti takaisin kohtaan, jossa hakkereista ei ollut jäljellä - ja muista korjata kaikki, mitä he tekivät päästäkseen sisään. Henkilökohtaisesti olen vain sijoittanut 150 dollariin Varakaveri kehittäjälisenssi - se on helpoin ja kattavin varmuuskopioratkaisu, jonka olen vielä löytänyt.

suojata WordPress-sivusto

Estä kansioiden indeksointi

Tarkista WordPress-asennuksen juuri .htaccess-tiedostosta (huomioi ajanjakso alussa - joudut ehkä näyttämään näkymättömiä tiedostoja nähdäksesi tämän) ja varmista, että siinä on seuraava rivi. Jos ei, lisää se - mutta tee ensin varmuuskopio, koska tämä tiedosto on melko tärkeä.

Asetukset Kaikki -Indexit

Pysy ajan tasalla

Älä tee samaa virhettä kuin me: päivitä WordPress aina heti, kun päivitys on saatavilla. Joskus päivitykset sisältävät pieniä virhekorjauksia eivätkä tietoturvakorjauksia, mutta päästävät tapaan, eikä sinulla ole ongelmia. Jos sinulla on useita WordPress-asennuksia etkä pysty seuraamaan niitä kaikkia, tarkista ManageWp.com, premium-hallintapaneeli kaikille blogeillesi, joka sisältää suojaustarkistuksen.

Ei vain WordPress-ydintiedostojen, mutta myös laajennusten lisäksi: yksi aiemmin suurimmista WordPress-hakkereista aiheutti haavoittuvuuden yhteisessä pikkukuvien luonnissa, nimeltään timthumb.php, ja siellä on edelleen teemoja, jotka käyttävät vanhaa versiota. Vaikka laajennukset päivitettiin nopeasti, teemojen pitäminen ajan tasalla on tietysti vaikeampaa - WordPress ei kerro sinä, jos teema on haavoittuvainen, ja kyseessä on jonkinlainen tietoturvan tarkistuslaajennus - vieritä alas kohtaan Suojauslaajennukset alla olevassa osassa joitain ehdotuksia.

Älä koskaan lataa satunnaisia ​​teemoja

Ellet tiedä mitä teet PHP-koodilla, on erittäin helppo joutua ansaan lataamalla ihana satunnainen teema jostain vain sen löytämiseksi, että siellä on turmeltunut koodi - yleisimmät linkit, joita et voi poistaa, mutta pahempaa voi olla löydetty. Pidä kiinni premium-tunnetuista ja tunnetuista suunnittelijoista (kuten Smashing Magazine tai WPShower), tai käyttää ilmaisia ​​teemoja vain WordPress-teemahakemistossa.

Poista käyttämättömät laajennukset ja teemat

Mitä vähemmän suoritettavaa koodia palvelimellasi on, sitä parempi - poista mahdollisuus vanhasta, haavoittuvasta koodista poistamalla teemoja ja laajennuksia, joita et enää käytä. Niiden poistaminen käytöstä lopettaa yksinkertaisesti niiden toimintojen lataamisen WordPressillä, mutta hakkeri voi edelleen suorittaa koodin.

Poista merkkivalon meta otsikosta

Oletuksena WordPress lähetti versionsa maailmalle otsikkotiedostosi koodilla - helppo tapa hakkereille tunnistaa vanhemmat asennukset. Lisää seuraavat rivit teemaasi functions.php tiedosto poistaa WordPress-version, Windows Live Writer -tiedot ja rivin, joka auttaa etäasiakkaita löytämään XML-RPC-tiedostosi.

poista toiminta ('wp_head', 'wp_generator'); poista toiminta ('wp_head', 'wlwmanifest_link'); poista toiminta ('wp_head', 'rsd_link');

Poista “admin” -tili

Useimpiin WordPressiin kohdistuviin raa'isiin hyökkäyksiin liittyy toistuva kokeilu admin tili - oletus kaikille WordPress-asennuksille - ja yleisten salasanojen sanakirja. Jos kirjaudut joko sisään järjestelmänvalvojan kanssa tai jos järjestelmänvalvojan tili on lueteltu käyttäjätaulukossa, olet alttiina tälle.

Kaksi tapaa korjata se: käytä joko wp-optimoi laajennus - loistava laajennus, jonka avulla voit muun muassa poistaa käytöstä jälkitarkistukset ja suorittaa tietokannan optimoinnin - nimetä järjestelmänvalvojan tili uudelleen. Tai luo vain uusi tili järjestelmänvalvojan oikeuksilla, kirjaudu sisään uudeksi käyttäjäksi ja poista “järjestelmänvalvojan tili” ja määritä kaikki viestit uudelle käyttäjällesi.

suojata WordPress-sivusto

Suojatut salasanat

Vaikka olet poistanut järjestelmänvalvojan tilin käytöstä, voi olla mahdollista tunnistaa järjestelmänvalvojan tilisi käyttäjänimi - missä vaiheessa olet alttiina jälleen raa'alle voimalle. Ota käyttöön vähintään 16 satunnaisen merkin vahva salasanakäytäntö, joka koostuu isoista ja pienistä kirjaimista, välimerkeistä ja numeroista.

Tai käytä vain reallyLongSentenceThatsEasyToRememberMethod.

Poista tiedostojen muokkaaminen käytöstä WordPressissä

Niille, jotka eivät halua kirjautua sisään FTP: n kautta, WordPress sisältää järjestelmänvalvojan kojelaudassa helpon teema- ja plugin-PHP-tiedostojen muokkausohjelman - mutta joka tekee asennuksesta haavoittuvan, jos joku käyttää sitä. Itse asiassa tällä tavalla joku onnistui injektoimaan haittaohjelmien uudelleenohjauksen otsikkoomme. Lisää seuraava rivi kansiosi alaosaan wp-config.php (juurihakemistossa) poistaaksesi kaikki tiedostojen muokkaustoiminnot käytöstä - ja käytä SFTP Mikä SSH on ja miten se eroaa FTP: stä [Technology Explained] Lue lisää kirjautuaksesi palvelimellesi sen sijaan.

define ('DISALLOW_FILE_EDIT', tosi);

Piilota kirjautumisvirheet

Väärä salasana tai väärä käyttäjänimi voidaan tunnistaa sisäänkirjautumisen yhteydessä annettujen virheiden avulla, joita voidaan käyttää tunnistamaan tilit raa'alle pakottamiselle. Tämä ei tietenkään ole hyvä, joten tappaa virheet tämän lisäyksen kanssa teemaasi functions.php tiedosto

toiminto no_errors_please () {paluu 'Ei'; } add_filter ('login_errors', 'no_errors_please');

Aktivoi Cloudflare

CloudFlare nopeuttaa sivustosi lisäksi myös monia tunnettuja bottiverkkoja ja skanneria edes pääsemästä blogiisi ensisijaisesti. Lukea kaikki käyttäjästä CloudFlare Suojaa ja nopeuta verkkosivustosi ilmaiseksi CloudFlaren avullaCloudFlare on kiehtova aloitusprojekti Honey Pot -yrityksen tekijöiltä, ​​jotka väittävät suojelevansa verkkosivustollesi roskapostittajilta, robottiyrityksiltä ja muilta pahoilta web-hirviöiltä - ja myös nopeuttaa sivustoasi jokseenkin... Lue lisää tässä. Asennus on yhdellä napsautuksella, jos sinut isännöi MediaTemple, muuten tarvitset pääsyn verkkotunnuksen ohjauspaneeliin nimipalvelimien vaihtamiseksi.

suojata WordPress-sivusto

Suojauslaajennukset

  • Parempi WP-suojaus ottaa käyttöön monia näistä korjauksista puolestasi ja on kaikkein kattavin ilmainen ratkaisu.suojata WordPress
  • WordFence on premium-paketti, joka etsii tiedostoista aktiivisesti haittaohjelmalinkkejä, uudelleenohjauksia, tunnettuja haavoittuvuuksia jne. - ja korjaa ne. Hinta alkaa 18 dollaria / vuosi yhdestä sivustosta.
  • Sisäänkirjautumisen suojausratkaisu molemmat rajoittavat kirjautumisyrityksiä ja valvovat turvallisia salasanoja.
  • BulletProof-tietoturva on kattava, mutta monimutkainen laajennus, joka käsittelee joitain teknisempiä näkökohtia, kuten XSS-injektio ja .htaccess -ongelmat. Saatavana on myös laajennuksen oikea versio, joka automatisoi suuren osan prosessista.

Luulen, että olet samaa mieltä siitä, että tämä on melko kattava luettelo vaiheista WordPressin kovettumiseksi, mutta en ehdota sinun toteuttavan kaikki heistä. Jos minun täytyisi tehdä kaikki nämä jokaiselle sivustolle, jonka olen koskaan asettanut, määrittäisin ne edelleen. Minkä tahansa järjestelmän käyttäminen aiheuttaa riskin, ja viime kädessä sinun on löytää tasapaino järjestelmän välillä haluamasi turvataso ja haluamasi työ varmistaa sen turvaamiseksi - mikään ei koskaan mene 100%: iin turvallinen. Matalat roikkuvat hedelmät ovat täällä:

  • Pidä WordPress ajan tasalla
  • Järjestelmänvalvojan tilin poistaminen käytöstä
  • Kaksivaiheisen todennuksen lisääminen
  • Suojauslaajennuksen asentaminen

Jos teet yksin, sinun pitäisi saada yli 99% kaikista muista blogeista siellä, mikä riittää potentiaalisten hakkereiden siirtymiseen helpompiin kohteisiin.

Luuletko kaivanneen mitään? Kerro minulle kommentteissa.

Jamesilla on teknisen älykunnan kandidaatin tutkinto ja hän on CompTIA A + ja Network + -sertifioitu. Hän on MakeUseOfin johtava kehittäjä ja viettää vapaa-aikansa pelaamalla VR-paintballia ja lautapelejä. Hän on rakennettu tietokoneita lapsuudestaan ​​asti.