10 vähe tuntud, Super Tõhus näpunäiteid, et kaitsta oma WordPress Blog
Blogi häkkimise ja aastate blogimise aasta jooksul kaotamine on kurb reaalsus, mida inimesed tegelikult läbisid. Tegelikult näitavad uuringud, et 37 000 veebisaiti hakatakse igapäevaselt häkkima ja WordPressiga umbes 25,4% kõigist veebisaitidest on kindel, et palju WordPressi blogisid iga päev häkitakse.
WordPressi turvalisus on täiesti erinev pall; kui teil on WordPressi blogi, ei ole nõuanded nagu kasutajanimi, mida on raske ära arvata ja parool, mis on sama raske kui kivi. A üks bugiline teema, vale plugin või valesti kaitstud fail see võib põhjustada teie blogi häkkimist üleöö.
Kas olete kogenud WordPressiga või olete kasutanud platvormi alates selle olemasolust, on see artikkel 10 praktilist ja õhtusööki tõhusad viisid oma WordPressi blogi kindlustamiseks et keegi saab seda rakendada. Enamik neid nõuandeid ei leia populaarsetest "kuidas oma blogi kaitsta" artikleid, kuid nad võiks blogi ühel päeval hästi salvestada!
1. Keela WordPress Theme & Plugin Editor
WordPressil on mugav funktsioon, mis annab saidi omanikele suurema paindlikkuse, võimaldades neil kohandada ja muuta oma teemasid ja pluginaid otse WordPressi juhtpaneelilt, kuid see funktsioon on enamiku blogide tühistamine.
Selle funktsiooniga a kerge viga võib teie saidi krahhi ja teie veebisaidilt välja lukustada. Häkkerid saavad oma teemale kergesti pahatahtliku koodi sisestada, et anda neile tagauks juurdepääs teie saidile või isegi üle võtta oma sait täielikult, saades kontrolli kontolt, millel on piisavalt õigusi teema ja plugina redaktori kasutamiseks.
Saate ennast kaitsta, kui keelate plugina ja teema redaktori, teemat ja pluginaid ei saa muuta ilma FTP-juurdepääsuta.
Tehke see, lisades failile wp-config.php järgmise koodi:
define ('DISALLOW_FILE_EDIT', tõsi);
2. Luba kahe teguri autentimine
Kahe faktoriga autentimine muutub kiiresti üheks kõige usaldusväärsemaks viisiks oma online-kontode kaitsmiseks ja kõige usaldusväärsemad veebisaidid nõuavad, et nende kasutajad võimaldaksid seda.
Kuigi WordPressil ei ole tingimata kaksfaktorilist autentimist, võite lubada oma blogis kahe faktoriga autentimist, installides järgmised pluginad:
- Google Authenticator
- Authy
- Clef
- Rublon
3. Piirata sisselogimisi ebaõnnestunud katsete arvu alusel
On mitmeid viise, kuidas häkkerid püüavad oma blogi juurde pääseda ning üks levinumaid meetodeid on bruteforce'i rünnak: häkker proovib kombineerida kasutajanimesid ja paroole ikka ja jälle, kuni ta suudab edukalt pääseda oma blogis.
Vaikimisi ei ole WordPress selle rünnaku eest kaitstud. Paigaldades pluginaid, mis piiravad sisselogimist pärast teatud arvu ebaõnnestunud katsete tegemist teatud IP-lt, saate häkkeritel palju raskem oma blogi juurde pääseda.
Jetpack Protect mooduli pistikprogramm võib kaitsta teid ka bruteforce'i rünnakute eest.
4. Skaneeri oma blogi regulaarselt
Teemafaile, pluginaid, linke ja muid näiliselt ohutuid elemente saab kasutada oma blogi juurde pääsemiseks. Enne meetmete võtmist ärge oodake, kuni teie veebisait on täielikult nakatunud. Selle asemel installige turvalisuse skaneerimise pluginad, et regulaarselt oma veebisaiti skannida ja teavitada teid, kui teie failid muutuvad.
Hea näide turvalisuse skaneerimise pluginast on Wordfence. Lisaks sellele, et annab teile võimaluse käsitsi / automaatselt skannida oma WordPressi blogi, teavitab see koheselt teid, kui teie blogis on kahtlane tegevus.
Samuti saadab see teavet võimalike pahatahtlike kommentaaride kohta võrdleb teie teema ja pluginafaile WordPressi hoidlasse teatage, kas teie plugina või teema versiooni on muudetud ja võib potentsiaalselt olla häkkerite tagauks teie saidile.
Muud turvalisuse pluginad, mis aitavad teil oma blogi pahavara ja ärakasutamise jaoks skannida, on järgmised:
- Sucuri turvaskanner
- Acunetix WP Security
- iThemes Security (varem tuntud kui "Parem WP Security")
5. Muutke oma hostit
Kuigi see kõlab nagu lihtsam nõuanne, on sellel tegelikult palju kaalu. Uuringud näitavad, et 41% häkkinud WordPressi veebisaitidest olid hacked kaudu turvalisuse haavatavust oma hosting platvormi. See on palju rohkem kui muudest allikatest, sealhulgas nõrga parooliga.
Teie võõrustaja võib mängida olulist rolli selles, kas teid häkitakse või mitte; veenduge, et olete ainult minna usaldusväärsetele veebihostidele, mis on aja katsel olnud ja see järgima tööstuse parimaid tavasid.
6. Peida oma WordPressi versiooninumber
Vaikimisi kuvab WordPress teie WordPressi versiooni numbri; See võimaldab WordPressil jälgida, kui palju WordPressi blogisid kogu maailmas aktiivsed. Kuid see võib olla ka suur probleemide allikas; häkkerid ja robotid skaneerige veebi blogide jaoks kasutades WordPressi versiooninumber, millel on teadaolev haavatavus, sind lihtne sihtmärk.
Selle probleemi saab hõlpsasti lahendada WordPressi versiooni numbri peitmine. WordPressi versiooni numbri peitmiseks lisage lihtsalt järgmine kood oma funktsioonidele.php:
add_filter ('the_generator', '__return_null');
7. Keelake PHP veateateid
Kui plugin või teema ei tööta teie WordPressi blogis hästi, võivad PHP veaaruanded näidata teile teate, mis näitab vea põhjust. Kuid see eelis seisneb puuduses: kui teatatakse PHP veast sisaldab vea täielikku serveri rada, paljastades informatsiooni et häkkerid saavad teie vastu kasutada.
Saate ennast kaitsta PHP vea aruandluse keelamine. Lisage lihtsalt järgmine kood oma wp-config.php failile:
error_reporting (0); @ini_set ('display_errors', 0);
8. Töö oma WordPressi faililubadega
Kui tegemist on teie WordPressi saidi turvaelementide vältimisega, on see oluline veenduge, et teil on õiged failiload. See raskendab häkkeril oma veebisaidi ülevõtmiseks teie serveri pluginaid, teemasid või faile.
Veenduge, et WordPress kausta õigused on 755 või 750; faili õigused on määratud 640 või 644; ja et wp-config.php luba on seatud 600-le.
9. Tagage regulaarne varundamine
Isegi suured veebisaidid, millel on turvaekspertide ja konsultantide meeskond, saavad häkkida ja kuigi parimate tavade järgimine võib muuta teie veebisaidi tugevamaks kui 99,9% veebisaitidest, võivad asjad veel puruneda.
Parim turvalisus, mis teil on WordPressi rünnakute vastu, on hea varukoopia; veenduge, et teete oma saidilt regulaarselt varukoopiaid - kui võimalik, iga päev. Sel moel, kui teie veebisait on häkkinud, on teie failid paigas ja suudab asjad viivitamatult taastada.
Siin on mõned parimad WordPressi varukoopiad:
- BackUpWordPress
- Valmis! Varundus
- VaultPress
- BackupBuddy
10. Piirake juurdepääsu oma sisselogimislehele
Kui tõukamine tuleb, peate lihtsalt võtma mõningaid drastilisi meetmeid. Väga usaldusväärne viis oma blogi kaitsmiseks häkkerite eest on täielikult blokeerib juurdepääsu oma wp-admin ja wp-login.php lehele.
See on soovitatav ainult siis, kui olete kasutage ühte IP-aadressi, mis ei muutu (te ei soovi ennast oma blogist välja lukustada!). Seda valikut saate siiski kasutada, kui kasutate rohkem kui ühte IP-aadressi, kuid jälgite neid aadresse.
Oma sisselogimislehele juurdepääsu piiramiseks lisage oma .htaccess-failile järgmine kood:
RewriteEngine on RewriteCond% REQUEST_URI ^ (. *)? Wp-login .php (. *) $ [OR] RewriteCond% REQUEST_URI ^ (. *)? Wp-admin $ RewriteCond% REMOTE_ADDR! IP-aadress 1 $ RewriteCond% REMOTE_ADDR! ^ Teie IP-aadress 2 $ RewriteCond% REMOTE_ADDR! ^ Teie IP-aadress 3 $ RewriteCond% REMOTE_ADDR! ^ Teie IP-aadress 4 $ RewriteCond% REMOTE_ADDR! 5 $ RewriteRule ^ (. *) $ - [R = 403, L]
Muuda kindlasti Teie IP-aadress 1 kuni Teie IP-aadress 5 erinevate IP-aadressidega, millele soovite juurdepääsu anda; saate lihtsalt lisada või eemaldada rida, et lubada või takistada rohkem IP-sid teie saidile juurdepääsuks.
Järeldus
Loomulikult ei tohiks te ignoreerida põhilisi turvanõuandeid, näiteks mitte kasutada prognoositavat kasutajanime, millel on tugev parool, värskendades regulaarselt oma WordPressi installi jne. Kuid ülaltoodud on mõned vähetuntud, sageli ignoreeritud turvanõuanded, mis võivad teie WordPress blogi lihtsalt natuke turvalisem.
Toimetaja märkus: See külaliste postitus on kirjutatud aadressile Hongkiat.com John Stevens. John on WordPress ja hosting ekspert. Ta on asutaja ja tegevjuht HostingFacts.com, portaal, kus ta vaatab ja hindab veebihostide jõudlust.