Reklama

chrániť wordpressBotnety z celého sveta obrátili svoju pozornosť od odosielania spamových e-mailov k systematickému prenikaniu do inštalácií WordPress; je to lukratívne podnikanie, pretože WordPress má právomoci 40% všetkých blogov. Najmä vzhľadom na to, že sme sa toho stali obeťami, je načase, aby sme urobili komplexný príspevok o tom, ako presne chrániť vašu inštaláciu hostiteľa WordPress.

Poznámka: Táto rada sa vzťahuje iba na inštaluje WordPress samostatne. Ak používate WordPress.com, vo všeobecnosti sa nemusíte starať o bezpečnosť, pretože to všetko zvládnu za vás.Aký je rozdiel medzi WordPress.com a WordPress.org? Aký je rozdiel medzi spustením blogu na stránkach Wordpress.com a Wordpress.org?Keď Wordpress teraz napája 1 zo 6 webových stránok, musí robiť niečo v poriadku. Pre skúsených vývojárov aj pre úplného nováčika má Wordpress čo ponúknuť. Ale rovnako ako začínate ... Čítaj viac

Nainštalujte dvojstupňový autentifikátor Google

Ak už máte pre svoj účet Gmail alebo iné služby povolenú dvojstupňovú autentifikáciu, môžete použiť tú istú aplikáciu na autentifikáciu

instagram viewer
tento doplnok pre WordPress.

Našťastie môžete obmedziť dvojstupňové overenie na použitie iba na účtoch vyššej úrovne, takže nemusíte obťažovať všetkých svojich používateľov.

chrániť wordpress

Uzamknutie prihlásenia

Starý doplnok, ale stále pracuje podľa plánu; Uzamknutie prihlásenia skontroluje IP pokusov o prihlásenie a zablokuje rozsah IP po dobu jednej hodiny, ak zlyhá trikrát do 5 minút. Jednoduché, efektívne.

Vykonajte pravidelné zálohy

Hackeri nezmenia iba jeden súbor, ale umiestnia svoj vlastný ovládací panel niekde inde skryté zadné vrátka - takže aj keď opravíte pôvodný hack, vrátia sa a urobia všetko znova. Vezmite denné alebo týždenné zálohy, aby ste ich mohli ľahko obnoviť späť do bodu, v ktorom hacker nenašiel žiadne stopy. Osobne som práve investoval do 150 dolárov Zálohujte kamaráta licencia pre vývojárov - je to najjednoduchšie a najkomplexnejšie riešenie zálohy, aké som doteraz našiel.

chrániť stránky Wordpress

Zabrániť indexovaniu priečinkov

Skontrolujte, či je v koreňovom adresári inštalácie WordPress súbor .htaccess (všimnite si obdobie na začiatku - možno budete musieť zobraziť neviditeľné súbory, aby ste si ho mohli pozrieť), a uistite sa, že má nasledujúci riadok. Ak nie, pridajte ho - ale najprv si vytvorte zálohu, pretože tento súbor je veľmi dôležitý.

Možnosti Všetky - Indexy

Zostaňte aktualizovaní

Nerobte rovnakú chybu ako my. Vždy, keď je aktualizácia k dispozícii, vždy inovujte program WordPress. Aktualizácie niekedy obsahujú drobné opravy chýb a nie opravy zabezpečenia, ale dostanú sa do zvyku a nebudete mať problém. Ak máte nainštalovaných viac ako jednu verziu WordPress a nemôžete ich sledovať všetky, pozrite sa ManageWp.com, prémiový informačný panel pre všetky vaše blogy, ktorý obsahuje bezpečnostné skenovanie.

Nielen základné súbory WordPress, ale aj pluginy: jeden z najväčších hackov WordPress v minulosti spôsobil zraniteľnosť v bežnom skripte generátora miniatúr s názvom timthumb.php, a stále existujú témy, ktoré používajú starú verziu. Aj keď boli doplnky rýchlo aktualizované, udržiavanie aktuálnosti tém je samozrejme ťažšie - WordPress to však nepovedie vás, ak je vaša téma zraniteľná, a preto budete potrebovať nejaký doplnok bezpečnostného skenovania - prejdite nadol na Bezpečnostné doplnky časť nižšie obsahuje niekoľko návrhov.

Nikdy sťahovať náhodné témy

Pokiaľ neviete, čo robíte s PHP kódom, je veľmi ľahké spadnúť do pasce sťahovania krásnej náhodnej témy z niekde tu nájdete iba nejaký nepríjemný kód - najčastejšie spätné odkazy, ktoré nemôžete odstrániť, ale horšie môže byť nájdené. Držte sa špičkových a známych návrhárov tém (napríklad Smashing Magazine alebo WPShower), alebo pre bezplatné témy používajte iba adresár tém WordPress.

Odstrániť nepoužité doplnky a motívy

Čím menej spustiteľného kódu máte na serveri, tým lepšie - odstránením možnosti odstránenia tém a doplnkov, ktoré už nepoužívate, odstránite šancu na starý a zraniteľný kód. Ak ich zakážete, jednoducho sa zastaví načítavanie ich funkcií pomocou programu WordPress, ale samotný kód môže stále spustiť hacker.

Odstráňte kontrolku Meta z hlavičky

WordPress predvolene vysiela svoju verziu do sveta v kóde súboru hlavičky - pre hackerov je to jednoduchý spôsob, ako identifikovať staršie inštalácie. Pridajte k svojim motívom nasledujúce riadky functions.php súbor na odstránenie verzie WordPress, informácií programu Windows Live Writer a riadku, ktorý pomáha vzdialeným klientom nájsť váš súbor XML-RPC.

remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'rsd_link');

Odstráňte účet „admin“

Väčšina útokov hrubou silou na WordPress zahŕňa opakované vyskúšanie admin účet - predvolený pre všetky inštalácie WordPress - a slovník bežných hesiel. Ak sa prihlásite pomocou účtu admin alebo máte účet admin uvedený v tabuľke používateľov, ste na to zraniteľní.

Dva spôsoby, ako to napraviť: použite doplnok optimalizácie wp - skvelý doplnok, ktorý okrem iného umožňuje zakázať revízie po aktualizácii a vykonať optimalizáciu databázy - premenovať účet správcu. Alebo jednoducho vytvorte iný účet s oprávneniami správcu, prihláste sa ako nový používateľ a potom vymažte účet „správca“ a priraďte všetky príspevky novému používateľovi.

chrániť stránky Wordpress

Zabezpečené heslá

Aj keď ste deaktivovali účet správcu, je možné, že budete môcť identifikovať používateľské meno svojho účtu administrátora - v tomto okamihu ste opäť zraniteľní útokom hrubou silou. Presadzujte prísnu politiku hesla 16 alebo viacerých náhodných znakov pozostávajúcich z veľkých a malých písmen, interpunkcie a čísel.

Alebo stačí použiť reallyLongSentenceThatsEasyToRememberMethod.

Zakázať úpravy súborov v rámci WordPress

Pre tých, ktorí sa nechcú prihlásiť cez FTP, obsahuje WordPress ľahký editor na hlavnom paneli správcu pre súbory PHP s tematikou a pluginmi - vaša inštalácia je však zraniteľná, ak niekto získa prístup. V skutočnosti sa týmto spôsobom niekto podarilo vložiť do našej hlavičky presmerovanie škodlivého softvéru. Pridajte nasledujúci riadok na koniec svojho wp-config.php (v koreňovom priečinku) vypnúť všetky funkcie na úpravu súborov - a používať SFTP Čo je SSH a ako sa líši od FTP [vysvetlenie technológie] Čítaj viac namiesto toho sa prihláste na svoj server.

define ('DISALLOW_FILE_EDIT', true);

Skryť chyby prihlásenia

Nesprávne heslo alebo nesprávne používateľské meno je možné identifikovať podľa chýb pri prihlásení, ktoré by sa mohli použiť na identifikáciu účtov na účely vynútenia brutality. Samozrejme to nie je dobré, takže pomocou tohto doplnku k témam zabite chyby functions.php súbor

function no_errors_please () {návrat 'Nie'; } add_filter ('login_errors', 'no_errors_please');

Aktivujte Cloudflare

Okrem zrýchlenia vášho webu CloudFlare zmierňuje veľa známych botnetov a skenerov, aby sa vôbec nedostali na váš blog. Čítať všetko o CloudFlare Chráňte a zrýchlite svoj web zadarmo pomocou funkcie CloudFlareCloudFlare je zaujímavý úvod od tvorcov projektu Honey Pot, ktorý tvrdí, že ho chráni vaše webové stránky od spamerov, robotov a iných zlých webových monštier - a tiež zrýchlite svoje stránky trochu... Čítaj viac tu. Inštalácia je jedným kliknutím, ak ste hostiteľom Mediatemple, inak budete potrebovať prístup k ovládaciemu panelu domény, aby ste mohli zmeniť servery názvov.

chrániť stránky Wordpress

Bezpečnostné doplnky

  • Lepšia bezpečnosť WP implementuje veľa z týchto opráv pre vás a je najkomplexnejším bezplatným riešením, aké existuje.chrániť wordpress
  • WordFence je prémiový balík, ktorý aktívne kontroluje vaše súbory na odkazy na malware, presmerovania, známe zraniteľné miesta atď. a opravuje ich. Cena začína na 1 USD za rok.
  • Prihlasovacie riešenie zabezpečenia obmedzuje pokusy o prihlásenie a vynucuje zabezpečené heslá.
  • BulletProof security je komplexný, ale komplexný doplnok, ktorý sa zaoberá niektorými technickými aspektmi, ako sú vstrekovanie XSS a problémy s htaccessom. K dispozícii je aj verzia Pro pluginu, ktorá automatizuje väčšinu procesu.

Myslím, že budete súhlasiť s tým, že toto je docela komplexný zoznam krokov na spevnenie WordPress, ale nenavrhujem, aby ste implementovali všetko z nich. Keby som to musel urobiť na všetkých stránkach, ktoré som kedy vytvoril, stále by som ich nastavoval. Spustenie akéhokoľvek druhu systému predstavuje riziko a je len na vás, aby ste našli rovnováhu medzi úroveň zabezpečenia, ktorú chcete a úsilie, ktoré chcete vynaložiť na jeho zabezpečenie - nič sa nikdy nestane na 100% zabezpečiť. Plody s nízkym zavesením sú:

  • Aktualizácia WordPress
  • Zakázanie účtu správcu
  • Pridáva sa dvojstupňové overenie
  • Inštalácia bezpečnostného doplnku

Ak to urobíte sami, mali by ste sa dostať nad 99% všetkých ostatných blogov, čo je dosť na to, aby sa potenciálni hackeri presunuli k ľahším cieľom.

Myslíš si, že mi niečo chýba? Povedz mi to v komentároch.

James má bakalárske štúdium v ​​oblasti umelej inteligencie a je držiteľom certifikátu CompTIA A + a Network +. Je popredným vývojárom MakeUseOf a trávi svoj voľný čas hraním VR paintballu a spoločenských hier. Staval počítače od malička.