10 málo známy, super efektívne tipy na zabezpečenie svojho blogu WordPress
Získanie blogu hacknut a straty rokov po rokoch práce blogov cez noc je smutná realita, že ľudia skutočne prešli. V skutočnosti výskum ukazuje, že 37 000 webových stránok je napadnutých každý deň a WordPress napája približne 25,4% všetkých webových stránok, takže si môžete byť istí, že veľa blogov WordPress je napadnutých každý deň.
Zabezpečenie WordPress je úplne iná herná hra; akonáhle ste vlastníkom blogu WordPress, máte tipy ako mať používateľské meno, ktoré je ťažké uhádnuť a heslo, ktoré je rovnako ťažké ako rock, už nie je dostatočné. jedinú tému buggy, chybný doplnok alebo nesprávne chránený súbor môže mať za následok, že váš blog bude hacknutý cez noc.
Či už nemáte skúsenosť s programom WordPress, alebo používate platformu už od jej existencie, tento článok má 10 praktických a večerných efektívnych spôsobov, ako zabezpečiť váš blog WordPress ktoré môže každý realizovať. Väčšinu z týchto tipov nenájdete v populárnych článkoch "Ako zabezpečiť svoj blog", ale mohli by ste ich jeden deň veľmi dobre uložiť!
1. Zakážte aplikáciu WordPress Theme & Plugin Editor
WordPress má užitočnú funkciu, ktorá poskytuje majiteľom stránok väčšiu flexibilitu tým, že im umožňuje prispôsobiť a upraviť ich témy a doplnky priamo z panelu WordPress, ale táto funkcia bola zrušením väčšiny blogov.
Pomocou tejto funkcie a mierna chyba môže zničiť váš web a zablokovať vás z vašich vlastných webových stránok. Hackeri môžu do vašej témy ľahko vložiť škodlivý kód, aby im poskytli prístup k vašim stránkam na zadnej strane alebo dokonca prevzali vašu stránku úplne tým, že získajú kontrolu nad účtom, ktorý má dostatok privilégií na použitie editora motívov a pluginov.
Môžete sa chrániť vypnutím pluginu a editora tém, čo znemožňuje upraviť vaše témy a pluginy bez prístupu FTP.
Vykonajte to tak, že do súboru wp-config.php pridáte nasledujúci kód:
define ('DISALLOW_FILE_EDIT', true);
2. Povolenie overenia dvoch faktorov
Dvojfaktorové overenie sa rýchlo stáva jedným z najspoľahlivejších spôsobov ochrany vašich online účtov a najspoľahlivejšie webové stránky budú trvať na tom, aby ich používatelia umožnili.
Zatiaľ čo WordPress nemusia obsahovať dvojfaktorovú autentifikáciu, môžete na svojom blogu povoliť dvojfaktorové overenie pomocou inštalácie nasledujúcich doplnkov:
- Google Authenticator
- aUTH
- kľúč
- Rublon
3. Obmedziť prihlasovanie na základe počtu neúspešných pokusov
Existuje mnoho spôsobov, ako sa hackeri pokúšajú získať prístup k vášmu blogu a jednou z najbežnejších používaných techník je bruteforce útok: hacker sa pokúša kombinovať používateľské mená a heslá znova a znova, až kým nebude schopný úspešne pristupovať váš blog.
Štandardne nie je WordPress chránený pred týmto útokom. Inštaláciou zásuvných modulov, ktoré obmedzujú prihlásenie po určitom počte neúspešných pokusov z konkrétnej IP adresy, môžete pre hackerov oveľa ťažšie získať prístup k vášmu blogu.
Zásuvný modul modulu Jetpack Protect Module vás môže chrániť pred bruteforce útokmi.
4. Pravidelne skenujte svoj blog
Témy súbory, pluginy, odkazy a ďalšie zdanlivo neškodné prvky môžu byť použité na získanie prístupu k vášmu blogu. Nečakajte, kým vaše webové stránky nie sú úplne infikované, než budete robiť opatrenia. Namiesto toho nainštalujte bezpečnostné skenovacie doplnky, ktoré pravidelne skenujú vaše webové stránky a upozorní vás, ak sa vaše súbory zmenia.
Dobrým príkladom doplnku bezpečnostného skenovania je Wordfence. Okrem toho, že máte možnosť ručne / automaticky skenovať svoj blog WordPress, okamžite vás upozorní, keď sa na vašom blogu dostane podozrivá aktivita.
Posiela tiež informácie o potenciálne škodlivých komentároch porovná vašu tému a súbory doplnkov s úložiskom WordPress dajte nám vedieť, či bola zmenená vaša verzia doplnku alebo motívu a môže potenciálne slúžiť ako backdoor pre hackerov na vašom webe.
Ostatné bezpečnostné doplnky, ktoré vám môžu pomôcť skenovať váš blog kvôli škodlivému softvéru a zneužitiu, sú:
- Bezpečnostný skener Sucuri
- Acunetix WP Security
- Bezpečnosť iThemes (predtým známa ako "lepšia ochrana WP")
5. Zmeňte svoj hostiteľ
Aj keď to znie ako zjednodušujúce poradenstvo, má skutočne veľa váhy. Výskum poukazuje na to, že 41% napadnutých stránok WordPress bolo napadnutá bezpečnostnou zraniteľnosťou na ich hostiteľskej platforme. Je to oveľa viac ako z iných zdrojov, vrátane slabého hesla.
Váš hostiteľ môže hrať dôležitú úlohu v tom, či budete hackovaní, alebo nie; uistite sa, že ste len choďte na spoľahlivé webové hostitelia, ktoré stáli test času a to dodržiavať najlepšie postupy v priemysle.
6. Skryť číslo verzie WordPress
WordPress štandardne zobrazuje vaše číslo verzie WordPress; to umožňuje WordPressu ľahko sledovať, koľko WordPress blogov je aktívnych po celom svete. To však môže byť aj obrovským zdrojom problému; hackeri a roboty môžu skenovanie webu pre blogy použitím číslo verzie programu WordPress so známou zraniteľnosťou, čo je ľahký cieľ.
Tento problém môžete ľahko vyriešiť skrytie čísla verzie WordPress. Ak chcete skryť číslo verzie WordPress, jednoducho pridajte nasledujúci kód do súboru functions.php:
add_filter ('the_generator', '__return_null');
7. Vypnite hlásenia chýb PHP
Keď plugin alebo téma nefunguje správne na vašom blogu WordPress, hlásenia chýb PHP vám môžu pomôcť zobrazením správy, ktorá odhaľuje príčinu chyby. Avšak, v tejto výhode leží nevýhoda: keď je hlásená PHP chyba, to obsahuje úplnú cestu servera chyby, odhaľujúce informácie že hackeri môžu použiť proti vám.
Môžete sa chrániť vypnutie hlásenia chýb PHP. Stačí pridať nasledujúci kód do súboru wp-config.php:
error_reporting (0); @ini_set ('display_errors', 0);
8. Práca na oprávneniach vášho WordPress súboru
Pokiaľ ide o zabránenie vašej stránky WordPress pred zneužitím zabezpečenia, je nevyhnutné skontrolujte, či máte oprávnenie správneho súboru. To sťažuje hackerovi manipuláciu s pluginmi, motívmi alebo súbormi na vašom serveri, aby prevzali vaše webové stránky.
Uistite sa, že WordPress zložka povolenia sú nastavené na 755 alebo 750; súbor povolenia sú nastavené na 640 alebo 644; a že oprávnenie wp-config.php je nastavené na 600.
9. Zabezpečte pravidelné zálohy
Dokonca aj veľké webové stránky s tímom bezpečnostných expertov a konzultantov sú napadnuté a zatiaľ čo dodržiavanie osvedčených postupov môže vašu webovú stránku robiť silnejší ako 99,9% webových stránok, veci sa môžu pretrhnúť.
Najlepšia bezpečnosť, ktorú máte voči útokom WordPress hack, je dobrá záloha; uistite sa, že pravidelne vytvárate zálohy svojich stránok - ak je to možné, denne. Týmto spôsobom, ak je váš web napadnutý, máte svoje súbory na svojom mieste a môže okamžite obnoviť veci.
Tu sú niektoré z najlepších zálohovacích modulov WordPress:
- BackUpWordPress
- Pripravte sa! zálohovanie
- VaultPress
- BackupBuddy
10. Obmedziť prístup na vašu prihlasovaciu stránku
Keď sa stlačí tlač, môžete jednoducho urobiť nejaké drastické kroky. Veľmi spoľahlivý spôsob, ako chrániť váš blog pred pokusmi o hackovanie, je úplne zablokovanie prístupu na stránku wp-admin a wp-login.php.
Toto sa odporúča iba vtedy, ak ste vy použite jednu IP adresu, ktorá sa nemení (nechcete sa zablokovať z vášho blogu!). Túto možnosť môžete použiť aj vtedy, ak používate viac ako jednu IP adresu, ale tieto adresy budete sledovať.
Ak chcete obmedziť prístup k vašej prihlasovacej stránke, pridajte nasledujúci kód do súboru .htaccess:
RewriteEngine na RewriteCond% REQUEST_URI ^ (. *)? Wp-login \ .php (. *) $ [OR] RewriteCond% REQUEST_URI ^ (. *)? Wp-admin $ RewriteCond% REMOTE_ADDR! IP adresa 1 $ RewriteCond% REMOTE_ADDR! ^ Vaša IP adresa 2 $ RewriteCond% REMOTE_ADDR! ^ Vaša IP adresa 3 $ RewriteCond% REMOTE_ADDR! ^ Vaša IP adresa 4 $ RewriteCond% REMOTE_ADDR! ^ Vaša IP adresa $ $ RewriteRule ^ (. *) $ - [R = 403, L]
Nezabudnite upraviť Vaša IP adresa 1 až po Vaša IP adresa 5 s rôznymi IP adresami, ku ktorým chcete mať prístup; môžete jednoducho pridať alebo odstrániť riadok, ktorý umožní alebo zabráni prístupu viacerých adries IP na vaše stránky.
záver
Samozrejme, nemali by ste ignorovať základné bezpečnostné tipy, ako napríklad nepoužívať predvídateľné používateľské meno, mať silné heslo, pravidelne aktualizovať inštaláciu programu WordPress atď. Avšak vyššie uvedené sú niektoré málo známe, často ignorované tipy na bezpečnosť, ktoré môžu spôsobiť WordPress blog je trochu bezpečnejší.
Upozornenie redaktora: Tento hosť príspevok je napísaný pre Hongkiat.com od John Stevens. John je WordPress a hostingový expert. Je zakladateľom a výkonným riaditeľom spoločnosti HostingFacts.com, portál, kde kontroluje a hodnotí web hostiteľov na základe výkonnosti.