18 Bezpečnostné doplnky Wordpress a tipy na zabezpečenie blogu

Reklama

Bezpochyby je pre blog s vlastným hosťom WordPress najlepším blogovým redakčným systémom, ktorý môžete získať. Keďže je to populárny a otvorený softvér, znamená to tiež, že hackeri majú plný prístup k internetu kód, ktorý môžu kontrolovať, aby našli akékoľvek výhody, ktoré môžu použiť na preniknutie do ľubovoľného WordPressu site.

Pozitívne je, že jednou z najlepších vecí v systéme WordPress je jeho zásuvný systém, ktorý umožňuje komukoľvek nainštalujte si akékoľvek doplnky alebo si vytvorte vlastné pluginy, aby ste rozšírili jeho funkčnosť vrátane vylepšenia bezpečnosť.

Tu je uvedený zoznam niektorých doplnkov zabezpečenia Wordpress (a pár trikov), ktoré môžete použiť na zabezpečenie blogu WordPress.

Všetky doplnky a triky uvedené nižšie sú určené pre WP 2.7 a vyššie. Ak stále používate staršiu verziu programu WordPress, je čas upgradovať blog.

Chráňte svoje prihlasovacie údaje

Tento doplnok používa CHAP protokol na zašifrovanie hesla. Heslo je najprv nasolené náhodným číslom (nonce) vygenerovaným reláciou, nasledovaným transformačným algoritmom md5. Tento výsledok sa potom odošle na server, na ktorom je dekódovaný a overený. Jedná sa o doplnok s nulovou konfiguráciou, čo znamená, že ho môžete použiť okamžite po jeho aktivácii.

2. Stealth Prihlásenie

Stealth Login zahmlieva vašu prihlasovaciu stránku tým, že vám umožní definovať vlastnú prihlasovaciu stránku namiesto predvoleného súboru wp-login.php. V prípade úniku hesla bude mať hacker tiež ťažké nájsť správnu prihlasovaciu adresu URL. Dobrým spôsobom je zabrániť škodlivým programom v prístupe k súboru wp-login.php ak pokusom o prienik.

Uzamknutie prihlásenia je užitočné pri prevencii útoku hrubou silou. LockDown, čo robí, je zaznamenať IP adresu a časovú pečiatku každého neúspešného pokusu o prihlásenie. Ak sa v krátkom časovom období zistí viac ako určitý počet pokusov z toho istého rozsahu IP, zablokuje sa funkcia prihlásenia a zabráni sa prihlásiť ľuďom z tohto rozsahu IP.

Tento doplnok pridáva ďalšiu autentifikáciu HTTP, aby vášmu blogu poskytol druhú úroveň ochrany. Môžete nastaviť ochranu heslom pre svoj blog pomocou HTTP Basic Authentication, alebo môžete zvoliť použitie bezpečnejšieho overenia HTTP Digest.

Upozorňujeme, že tento doplnok môže / nemusí fungovať v závislosti od schopnosti vášho servera. Ak vaše stránky neprechádzajú konfiguračnými testami AskApache (testy sa zisťujú pomocou testov spustených doplnkom) možnosti servera), kontaktujte svojho hostiteľa a zistite, či na serveri môže vykonať zmeny side.

Tento doplnok poskytuje prihlasovacie prostredie „semisecure“ šifrovaním hesla pomocou Kryptografia RSA

Ochrana vašej databázy

Možno pre niektorých z vás, zálohovanie databázy môže znamenať nepríjemné technické fušky. S funkciou WP-DB-Backup je potrebné ju nakonfigurovať iba raz a v pravidelných intervaloch ju automaticky spustiť.

Tento doplnok slúži na automatizáciu zálohovania databázy a jej odoslanie do vašej e-mailovej schránky. Okrem predvolenej tabuľky vytvorenej programom WordPress môžete zálohovať aj vlastné tabuľky vytvorené pomocou doplnkov. V prípade zlyhania účtu môžete databázu ľahko importovať a obnoviť pomocou zálohy.

Wp-DBManager je ako phpmyadmin na vašom prístrojovom paneli. Svoju databázu môžete ľahko spravovať priamo na hlavnom paneli. Existujú užitočné funkcie, ako napríklad optimalizácia / oprava / zálohovanie / obnova databázy a ak ste dostatočne technický, môžete na stránke s možnosťami dokonca spustiť svoj vlastný dotaz SQL.

Na druhej strane, ak sa niektorým hackerom podarí prihlásiť sa na vaše stránky, tento doplnok bude pre nich bránou, aby vo vašej databáze spôsobili zmätok.

8. Zmeniť predponu tabuľky databázy

Predvolená predpona, ktorú používa WordPress, je „wp“. Môžete ľahko zmeniť predponu na iné podmienky, ktoré je ťažké uhádnuť pomocou WP-Security-Scan. Viac podrobností o tomto doplnku nižšie.

9. Chráňte svoj súbor wp-config.php

Váš súbor wp-config.php obsahuje všetky vaše prihlasovacie údaje do databázy a za všetkých okolností by mal byť pred verejnosťou skrytý. Do súboru htaccess vložte tento riadok:

zakázať, zakázať. popierať zo všetkých. 

na zabránenie kohokoľvek v prezeraní súboru wp-config.php.

Ochrana stránky správcu

Tento doplnok vynúti SSL na všetkých stránkach, na ktorých je možné zadávať heslá, takže všetky prenášané informácie sú šifrované.

Jedna vec však musí byť vlastníctvom certifikátu SSL, aby ste to mohli urobiť. Ak nie ste ochotní vyplatiť peniaze navyše na kúpu súkromného certifikátu SSL, môžete požiadať svojho webového hostiteľa o zdieľaný SSL. Väčšina webových hostiteľov poskytuje zdieľaný SSL pre všetkých svojich klientov a dá sa ľahko nakonfigurovať.

11. Zmeniť prihlasovacie meno

Posledným krokom, ktorý chcete urobiť, je použitie prihlasovacieho mena „admin“. Pri prvej inštalácii programu WordPress by ste mali okamžite vytvoriť ďalší účet správcu s vlastným používateľským menom a heslom a odstrániť účet „admin“.

Zabráňte ostatným v prezeraní vnútornej štruktúry súborov

12. Skrytie verzie WP

Vo väčšine tém WordPress v rámci

V sekcii vždy nájdete riadok kódu zobrazujúci verziu WordPress, ktorú používate. Poskytnutie čísla verzie WordPress znamená povedať hackerovi, čo môže zneužiť na prienik na vaše stránky.

Od verzie WP2.6.5 je WordPress ešte ťažšie odstrániť verziu wp, pretože vkladá tieto informácie do wp_header tag. Doplnok, ktorý môžete použiť na odstránenie týchto informácií, je WP-Security-Scan.

13. Skrytie obsahu WP

V priečinku s obsahom WP ste uložili všetky svoje doplnky a súbory tém. To je miesto, na ktoré chcete zabrániť tomu, aby sa ostatní pozerali. Môžete nahrať prázdne miesto index.html súbor do priečinka wp-content alebo vytvorte súbor .htaccess v priečinku wp-content a pridajte tento riadok:

Možnosti Všetky - Indexy
14. Blokujte priečinok wp z indexovania pomocou vyhľadávacích nástrojov
Aj keď chcete, aby vyhľadávacie nástroje indexovali váš blog a priniesli veľa návštevnosti, poslednou vecou, ​​ktorú chcete vidieť, je nechať vyhľadávacie nástroje vystaviť svoju internú štruktúru súborov verejnosti. Môžete zablokovať indexovanie všetkých vašich priečinkov wp pomocou vyhľadávacieho nástroja pridaním nasledujúcich položiek do súboru rob.txt:
Disallow: / wp- * 
údržba
Tento doplnok som už spomínal niekoľkokrát, takže je čas vysvetliť, čo robí. Program WP-Security-Scan skontroluje bezpečnostné chyby vo vašom WordPress a navrhuje / poskytuje nápravné opatrenia. Nápravné opatrenia zahŕňajú zmenu predpony databázy, skrytie čísla verzie WordPress pred hlavičkou a umožňuje vyskúšať silu hesla.
Raz za čas je vhodné spustiť zabudovaný bezpečnostný skener a skontrolovať, či v blogu nie sú zabudnuté bezpečnostné chyby.
16. Heslo pravidelne meniť
Nielen, že by ste mali pravidelne meniť svoje heslo, musíte sa tiež uistiť, že je silné. Ak máte problém s jeho vytvorením, nájdite jeden, ako môžete vytvárať silné heslá, ktoré si ľahko zapamätáte Ako vytvoriť silné heslá, ktoré si ľahko zapamätáte Čítaj viac .
17. Aktualizujte program WordPress a všetky doplnky na najnovšiu verziu
Netreba dodávať, že inovácia na najnovšiu verziu WordPress a doplnkov je najlepším spôsobom, ako sa chrániť.
Ochrana pripojenia
18. SFTP
Prenos súborov do vášho online účtu je bežná vec. Namiesto použitia nezabezpečeného FTP by ste však mali použiť SFTP (Zabezpečené FTP). Tým sa vytvorí spojenie SSH a všetky vaše súbory sa zašlú zašifrované na server. Ak potrebujete pomoc s vytvorením pripojenia SFTP, tu je sprievodca.
Vyššie uvedené informácie by vám mali stačiť na vytvorenie zabezpečeného blogu WordPress. Ak ste nič z toho nevykonali, vyzval by som vás, aby ste to teraz urobili.
Aké ďalšie metódy používate na zabezpečenie svojho blogu WordPress?