Oglas

zaštititi wordpressBoneti širom svijeta skrenuli su pažnju sa slanja neželjene e-pošte na sustavno hakiranje u instalacije WordPressa; ovo je unosan posao s obzirom na to da WordPress daje 40% svih blogova. Pogotovo uzevši u obzir da smo i mi postali žrtva ovoga, vrijeme je da opširno objavimo kako točno zaštititi instalaciju WordPress-a koju hostirate.

Napomena: ovaj se savjet odnosi samo na Instalira se WordPress koji je domaćin. Ako koristite WordPress.com, uglavnom ne trebate brinuti o sigurnosti, jer oni to sve rade za vas.Kakva je razlika između WordPress.com i WordPress.org? Koja je razlika između pokretanja vašeg bloga na Wordpress.com i Wordpress.org?Kad Wordpress sada pokreće 1 na svakih 6 web mjesta, moraju raditi nešto kako treba. Za iskusne programere i za novajlije, Wordpress vam može ponuditi nešto. Ali baš kad počnete ... Čitaj više

Instalirajte Google provjerivač u dva koraka

Ako već imate omogućeno provjeru autentičnosti u dva koraka za vaš Gmail račun ili druge usluge, možete koristiti istu aplikaciju za provjeru autentičnosti sa ovaj dodatak za WordPress.

Srećom, možete ograničiti dvostupanjsku provjeru autentičnosti da se koristi samo na računima gornje razine tako da ne trebate nervirati sve svoje korisnike.

zaštititi wordpress

Zaključavanje prijave

Stari dodatak, ali još uvijek radi kako je predviđeno; Zaključavanje prijave provjerava IP pokušaje prijave i blokira raspon IP-a na jedan sat ako ne uspije 3 puta u roku od 5 minuta. Jednostavno, učinkovito.

Pravite redovne sigurnosne kopije

Hakeri neće samo promijeniti jednu datoteku, nego će postaviti svoju upravljačku ploču skrivenu negdje i drugu skrivena straga - tako da čak i ako popravite izvorni hack, oni se odmah vraćaju i rade sve opet. Pravite dnevne ili tjedne sigurnosne kopije kako biste se lako vratili natrag na mjesto gdje hakeru nije bilo ni traga - i svakako zakrpite sve što su napravili za ulazak. Osobno sam samo uložio u 150 dolara Rezervni prijatelj licenca za programere - to je najjednostavnije i najcjelovitije sigurnosno rješenje koje sam još pronašao.

zaštititi wordpress mjesto

Sprječite indeksiranje mapa

Provjerite korijen svoje WordPress instalacije za .htaccess datoteku (primijetite razdoblje na početku - možda ćete trebati pokazati nevidljive datoteke da biste ih vidjeli) i uvjerite se da sadrži sljedeći redak. Ako ne, dodajte ga - ali prvo napravite sigurnosnu kopiju, jer je ova datoteka prilično ključna.

Opcije Sve -Indexes

Ostanite ažurirani

Ne pravite istu pogrešku kao mi: uvijek nadogradite WordPress čim bude dostupno ažuriranje. Ponekad ažuriranja sadrže manje ispravke programskih pogrešaka, a ne sigurnosne ispravke, ali uđite u naviku i nećete imati problema. Ako imate više instalacija za WordPress i ne možete ih sve pratiti, pogledajte ManageWp.com, vrhunska nadzorna ploča za sve vaše blogove, koja uključuje sigurnosno skeniranje.

Ne samo osnovne WordPress datoteke, već i dodaci: jedan od najvećih WordPress hakova iz prošlosti uključivao je ranjivost u uobičajenom skriptu generatora sličica pod nazivom timthumb.php, a još uvijek postoje teme koje upotrebljavaju staru verziju. Iako su dodaci brzo ažurirani, naravno, teži je ažuriranje tema, naravno - WordPress neće reći Ako je vaša tema ranjiva i za to ćete imati neku vrstu sigurnosnog dodatka za skeniranje - pomaknite se prema do Sigurnosni dodaci odjeljak ispod za neke prijedloge.

Nikada ne preuzimajte nasumične teme

Ako ne znate što radite s PHP kodom, lako je upasti u zamku za preuzimanje simpatične slučajne teme s negdje, samo da otkrijemo da ima unutra neki gadan kod - najčešće povratne veze koje ne možete ukloniti, ali još gore može biti pronađeno. Držite se vrhunskih i poznatih dizajnera tema (kao što su Smashing Magazine ili WPShower)ili za besplatne teme koristite samo direktorij WordPress tema.

Izbrišite neiskorištene dodatke i teme

Što je manje izvršnog koda na vašem poslužitelju, to je bolje - uklonite šansu da imate stari, ranjivi kôd brisanjem tema i dodataka koje više ne upotrebljavate. Onemogućivanjem njih će se jednostavno zaustaviti učitavanje funkcionalnosti WordPressom, ali sam kôd ipak može izvršiti haker.

Uklonite meta za kazivanje u zaglavlju

WordPress je, prema zadanim postavkama, svoju verziju svijetu objavio u kodu zaglavne datoteke - lakši način na koji će hakeri prepoznati starije instalacije. Dodajte sljedeće redove u temu svoje teme functions.php datoteku za uklanjanje verzije WordPressa, podatke o programu Windows Live Writer i liniju koja pomaže udaljenim klijentima da pronađu vašu XML-RPC datoteku.

ukloniti prijenos ('wp_head', 'wp_generator'); ukloniti prijenos ('wp_head', 'wlwmanifest_link'); ukloniti prijenos ('wp_head', 'rsd_link');

Uklonite "admin" račun

Većina napada brutalnosti na WordPress uključuje opetovano pokušavanje admin računa - zadani naziv za sve instalirane WordPress - i rječnik uobičajenih lozinki. Ako se prijavite kod administratora ili imate administrativni račun naveden u vašoj korisničkoj tablici, ranjivi ste zbog toga.

Dva načina da to popravite: ili korištenje wp-optimizirati dodatak - sjajan dodatak koji vam između ostalog omogućuje onemogućavanje revizija posta i provođenje optimizacije baze podataka - preimenovanje administrativnog računa. Ili jednostavno stvorite drugi račun s povlasticama administratora, prijavite se kao novi korisnik, a zatim izbrišite račun "administrator" dodijelite sve postove svom novom korisniku.

zaštititi wordpress mjesto

Sigurne lozinke

Čak i ako ste onemogućili administratorski račun, možda ćete moći identificirati korisničko ime vašeg administracijskog računa - u tom ćete trenutku ponovo biti podložni napadima brutalne sile. Provedite strogu politiku lozinke od 16 ili više slučajnih znakova koji se sastoje od malih i malih slova, interpunkcijskih brojeva i brojeva.

Ili samo koristite reallyLongSentenceThatsEasyToRememberMethod.

Onemogućite uređivanje datoteka unutar WordPressa

Za one koji se ne žele prijaviti putem FTP-a, WordPress uključuje jednostavni uređivač na administracijskoj ploči za teme i dodavanje PHP datoteka - ali to vašu instalaciju čini ranjivom ako netko dobije pristup. Zapravo, ovako je netko uspio ubaciti preusmjeravanje zlonamjernog softvera u naše zaglavlje. Na dnu vaše slike dodajte sljedeći redak wp-config.php (u korijenskoj mapi) da biste onemogućili sve značajke uređivanja datoteka - i upotrijebite SFTP Što je SSH i kako se razlikuje od FTP [objašnjena tehnologija] Čitaj više za prijavu na vaš poslužitelj.

define ('DISALLOW_FILE_EDIT', istina);

Sakrij pogreške u prijavi

Pogrešna lozinka ili pogrešno korisničko ime mogu se prepoznati po pogreškama pri prijavi, koje se mogu upotrijebiti za identificiranje računa za prisiljavanje. To nije dobro, očigledno, zato ubijte pogreške dodatkom teme svoje teme functions.php datoteka

funkcija no_errors_please () {return 'Nope'; } add_filter ('login_errors', 'no_errors_please');

Aktivirajte Cloudflare

Osim što ubrzava vašu web lokaciju, CloudFlare ublažava mnoge poznate robote i skenere od čak i dolaska na vaš blog. Čitati sve o CloudFlareu Zaštitite i ubrzajte svoju web lokaciju besplatno pomoću CloudFlare-aCloudFlare je intrigantan start-up autora kreatora Project Honey Pot koji tvrdi da štite vašu web lokaciju od neželjene pošte, botova i ostalih zlih čudovišta - kao i ubrzati web mjesto nešto... Čitaj više ovdje. Instalacija je jedan klik ako ste domaćin MediaTemple, u suprotnom će vam trebati pristup upravljačkoj ploči domene da biste promijenili poslužitelje imena.

zaštititi wordpress mjesto

Sigurnosni dodaci

  • Bolja WP sigurnost implementira mnoge od tih ispravka za vas i najopsežnije je besplatno rješenje koje postoji.zaštititi wordpress
  • WordFence je premium paket koji aktivno skenira vaše datoteke na veze od zlonamjernog softvera, preusmjeravanja, poznate ranjivosti itd. - i popravlja ih. Cijena počinje od 18 USD / godišnje za 1 mjesto.
  • Sigurnosno rješenje za prijavu oba ograničenja pokušaja prijave i nameće sigurne lozinke.
  • Sigurnost BulletProof-a je sveobuhvatan, ali složen dodatak koji se bavi nekim od tehničkih aspekata poput XSS ubrizgavanja i .htaccess problema. Dostupna je i pro verzija dodatka koja automatizira veći dio procesa.

Mislim da ćete se složiti da je ovo sveobuhvatan popis koraka za očvrsnuće WordPressa, ali ne predlažem vam da implementirate svi od njih. Da sam sve to morao učiniti na svim web lokacijama koje sam ikad postavio, sada bih ih postavljao. Pokretanje bilo koje vrste sustava uvodi rizik, a na vama je da konačno pronađete ravnotežu između razinu sigurnosti koju želite i trud koji želite uložiti u njezino osiguranje - nikada ništa ne ide na 100% siguran. Ovdje nisko viseće voće su:

  • Ažuriranje WordPress-a
  • Onemogućavanje administrativnog računa
  • Dodavanje autentičnosti u dva koraka
  • Instaliranje sigurnosnog dodatka

Ako ih sami radite, trebalo bi vas staviti na više od 99% svih ostalih blogova vani, što je dovoljno da potencijalni hakeri postanu lakši.

Mislite li da sam nešto propustila? Recite mi u komentarima.

James je diplomirao iz umjetne inteligencije i certificiran je CompTIA A + i Network +. Vodeći je programer MakeUseOf-a, a svoje slobodno vrijeme provodi igrajući VR paintball i boardgames. Gradio je računala još od djeteta.