Oglas
Bez sumnje, za blog koji je domaćin, WordPress je najbolji CMS blog koji možete dobiti. No, što je popularan i open source softver, to znači i da hakeri imaju puni pristup kôda koji mogu pregledati kako bi pronašli bilo koji podvig koji mogu koristiti za hakiranje u bilo koju WordPress omogućenu stranica.
S dobre strane, jedna od najboljih stvari o WordPressu je njegov dodatak koji omogućuje bilo kome instalirajte bilo koje dodatke ili stvorite vlastite dodatke kako biste proširili njegovu funkcionalnost, uključujući poboljšavanje sigurnost.
Ovdje sam nabrojao neke Wordpress sigurnosne dodatke (i nekoliko trikova) koje možete koristiti za osiguranje WordPress bloga.
Svi dolje navedeni dodaci i trikovi namijenjeni su za WP 2.7 i novije verzije. Ako i dalje koristite stariju verziju WordPressa, vrijeme je da nadogradite svoj blog.
Zaštita prijave
Ovaj dodatak koristi MOMAK protokol za šifriranje zaporke. Zaporka se prvo slanje sa slučajnim brojem (ne), generiranim sesijom, nakon čega slijedi algoritam transformacije md5. Zatim se taj rezultat šalje poslužitelju gdje se dešifrira i provjerava. Ovo je dodatak nulte konfiguracije, što znači da ga možete koristiti odmah nakon aktiviranja.
2. Stealth prijava
Stealth prijava obrukira vašu stranicu za prijavu omogućavajući vam definiranje prilagođene stranice za prijavu, a ne zadane wp-login.php. U slučaju da vam lozinka procuri, haker će također teško pronaći točan URL za prijavu. Dobra uporaba ovoga je da spriječite bilo kakve zlonamjerne botove da pristupe vašoj wp-login.php datoteci i pokušaju provale.
Zaključavanje prijave korisno je u sprječavanju brutalnog napada. LockDown za prijavu je zabilježiti IP adresu i vremensku oznaku svakog neuspjelog pokušaja prijave. Ako se u kratkom vremenu od istog raspona IP-a otkrije više od određenog broja pokušaja, blokirat će funkciju prijave i spriječiti ljude iz tog IP raspona da se prijave.
Ovaj dodatak dodaje dodatnu HTTP provjeru autentičnosti za pružanje drugog sloja obrane za vaš blog. Zaštitu lozinke za svoj blog možete postaviti pomoću HTTP Basic Authentication ili možete koristiti sigurniju provjeru identiteta HTTP Digest.
Imajte na umu da ovaj dodatak možda / neće raditi ovisno o mogućnosti vašeg poslužitelja. Ako vaša web-lokacija ne prođe testove konfiguracije AskApache (testovi koje pokreće dodatak za otkrivanje mogućnosti vašeg poslužitelja), obratite se svom web domaćinu i provjerite mogu li napraviti promjene na poslužitelju strana.
Ovaj dodatak osigurava okruženje za prijavu "semisecure" šifriranjem vaše lozinke s RSA kriptografija
Zaštita vaše baze podataka
Možda će za neke od vas izrada sigurnosne kopije baze podataka značiti problematičnu tehničku sitnicu. S WP-DB-Backup-om, samo ga morate konfigurirati jednom i natjerati da se automatski pokreće u redovitim intervalima.
Ono što ovaj dodatak čini jest automatizirati izradu sigurnosne kopije vaše baze podataka i poslati je u vaš pretinac za poštu. Osim zadane tablice koju je stvorio WordPress, možete i sigurnosno kopirati prilagođene tablice stvorene dodacima. U slučaju da se vaš račun sruši, bazu podataka možete lako uvesti i obnoviti pomoću sigurnosne kopije.
Wp-DBManager je baš kao phpmyadmin unutar vaše nadzorne ploče. Bazom podataka možete jednostavno upravljati izravno unutar nadzorne ploče. Postoje korisne značajke kao što su optimizacija / popravak / izrada sigurnosne kopije / obnavljanje baze podataka, a ako ste dovoljno tehnički, možete pokrenuti i vlastiti SQL upit s stranice s mogućnostima.
S loše strane, ako se bilo koji haker uspije prijaviti na vašu web lokaciju, ovaj će dodatak za njih biti gateway za stvaranje haosa u vašoj bazi podataka.
8. Promjena prefiksa tablice baze podataka
Zadani prefiks koji koristi WordPress je "wp". Prefiks lako možete promijeniti u druge izraze koje je teško pogoditi pomoću WP-Security Scan. Više detalja o ovom dodatku nalazi se u nastavku.
9. Zaštitite svoju wp-config.php datoteku
Vaša datoteka wp-config.php sadrži sve vjerodajnice za prijavu u vašu bazu podataka i ona bi trebala biti skrivena od javnog pregleda u svim okolnostima. U svoju htaccess datoteku stavite ovu liniju:
narediti dopustiti, zanijekati. zanijekati od svih.
kako biste spriječili da itko pogleda datoteku wp-config.php.
Zaštita vaše stranice administratora
Ovaj dodatak forsira SSL na sve stranice na kojima se mogu unijeti lozinke tako da se svi preneseni podaci kriptiraju.
Ali jedna stvar, morate posjedovati SSL certifikat prije nego što to možete učiniti. Ako niste spremni izdvojiti dodatni novac za kupnju privatnog SSL certifikata, možete pitati svog web domaćina o zajedničkom SSL-u. Većina mrežnih domaćina nudi zajednički SSL za sve svoje klijente i lako je to konfigurirati.
11. Promijenite korisničko ime za prijavu
Posljednja stvar koju želite učiniti pomoću "admin" kao korisničkog imena za prijavu. Kada prvi put instalirate WordPress, trebali biste odmah stvoriti drugi administratorski račun s vlastitim korisničkim imenom i zaporkom i izbrisati "administrator" račun.
Spriječite drugima da pregledavaju vašu unutrašnju strukturu datoteka
12. Sakrivanje verzije WP-a
U većini WordPress tema pod
odjeljku, uvijek postoji redak koda koji prikazuje verziju WordPressa koju koristite. Davanje vašeg broja verzije WordPressa znači hakeru što iskoristiti za hakiranje na vašu web lokaciju.
Od WP2.6.5, WordPress je još teže uklonio wp verziju jer ugrađuje te podatke u wp_header označiti. Dodatak koji možete koristiti za uklanjanje tih podataka je WP-Security Scan.
13. Sakrivanje WP sadržaja
U mapu sa sadržajem WP možete pohraniti sve svoje dodatke i datoteke tema. Ovo je mjesto na koje želite spriječiti da drugi ljudi gledaju. Možete dodati bilo koji prazan index.html datoteku u mapu wp-content ili stvorite .htaccess datoteku u mapi wp-content i dodajte ovaj redak:
Opcije Sve -Indexes14. Blokirajte wp-mapu od indeksiranja po tražilicama
Iako želite da tražilice indeksiraju vaš blog i dovedu puno prometa, posljednje što želite vidjeti je da omoguće tražilicama da izlože vašu unutarnju datotečnu strukturu javnosti. Ono što možete učiniti je blokirati sve svoje wp-mape od indeksiranja po pretraživačima dodavanjem sljedećih unosa u robot.txt:
Onemogući: / wp- *Održavanje
Nekoliko sam puta spominjao ovaj dodatak, pa je vrijeme da objasnim što čini. WP-Security-Scan provjerava vaš WordPress na sigurnosne ranjivosti i predlaže / pruža korektivne radnje. Korektivne radnje uključuju promjenu prefiksa baze podataka, skrivanje broja verzije WordPress-a iz zaglavlja i omogućava vam da provjerite snagu svoje lozinke.
Povremeno je dobra ideja pokrenuti ugrađeni sigurnosni skener i provjeriti na blogu ima li sigurnosnih propusta.
16. Redovito mijenjajte lozinku
Ne samo da trebate redovito mijenjati zaporku, već se morate pobrinuti i za jaku lozinku. Ako imate poteškoće u stvaranju, pronađite jedan kako to možete stvorite snažne lozinke kojih se lako možete sjetiti Kako stvoriti jake lozinke kojih se lako možete sjetiti Čitaj više .
17. Ažurirajte WordPress i sve dodatke na najnoviju verziju
Ne treba reći da je nadogradnja na najnoviju verziju WordPress-a i dodataka najbolji način da se zaštitite.
Zaštita vaše veze
18. SFTP
Prijenos datoteka na vaš mrežni račun uobičajena je stvar. Međutim, umjesto da koristite neosigurani FTP, trebali biste koristiti SFTP (Siguran FTP). To će stvoriti SSH vezu i sve vaše datoteke šifrirane poslati na poslužitelj. Ako vam je potrebna pomoć u stvaranju SFTP veze, evo vam vodič.
Gore navedene informacije trebale bi vam biti dovoljne za stvaranje sigurnog bloga za WordPress. Ako niste implementirali nijedno od ovih, molio bih vas da to učinite sada.
Koje druge metode koristite za osiguranje svog WordPress bloga?
Damien Oh je sveobuhvatni geek koji voli ugađati i hakirati razne operativne sustave kako bi olakšao život. Pogledajte njegov blog na MakeTechEasier.com gdje dijeli sve savjete, trikove i udžbenike.
