Διαφήμιση

προστασία του WordPressΤα botnets σε όλο τον κόσμο έχουν στρέψει την προσοχή τους από την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου ανεπιθύμητης αλληλογραφίας σε συστηματική πειρατεία σε εγκαταστάσεις του WordPress. είναι μια προσοδοφόρα επιχείρηση δεδομένου ότι WordPress εξουσία 40% όλων των blogs. Λαμβάνοντας ιδιαίτερα υπόψη ότι ακόμα και εμείς πέσαμε θύμα σε αυτό, είναι καιρός να κάνουμε μια ολοκληρωμένη ανάρτηση για το πώς ακριβώς να προστατεύσουμε την αυτο-φιλοξενή σας εγκατάσταση WordPress.

Σημείωση: αυτή η συμβουλή ισχύει μόνο για οι αυτοματοποιημένες εγκαταστάσεις WordPress. Εάν χρησιμοποιείτε WordPress.com, γενικά δεν χρειάζεται να ενδιαφέρεται για την ασφάλεια, επειδή το χειρίζονται όλα για σας.Ποια είναι η διαφορά μεταξύ του WordPress.com και του WordPress.org; Ποια είναι η διαφορά μεταξύ της εκτέλεσης του ιστολογίου σας στο Wordpress.com & Wordpress.org;Με το Wordpress να τροφοδοτεί τώρα 1 στους 6 ιστότοπους, πρέπει να κάνουν κάτι σωστό. Για τους έμπειρους προγραμματιστές και τον πλήρη αρχάριο, το Wordpress έχει κάτι να σας προσφέρει. Αλλά όπως ξεκινάτε ... Διαβάστε περισσότερα

instagram viewer

Εγκαταστήστε τον έλεγχο ταυτότητας Google σε δύο βήματα

Αν έχετε ήδη ενεργοποιήσει τον έλεγχο ταυτότητας σε δύο βήματα για το λογαριασμό σας στο Gmail ή άλλες υπηρεσίες, μπορείτε να χρησιμοποιήσετε την ίδια εφαρμογή πιστοποίησης ταυτότητας αυτό το πρόσθετο για το WordPress.

Ευτυχώς, μπορείτε να περιορίσετε τον έλεγχο ταυτότητας σε δύο βήματα ώστε να χρησιμοποιείται μόνο σε λογαριασμούς ανώτερου επιπέδου, οπότε δεν χρειάζεται να ενοχλήσετε όλους τους χρήστες σας.

προστασία του WordPress

Σύνδεση κλειδώματος σύνδεσης

Ένα παλιό πρόσθετο, αλλά εξακολουθεί να λειτουργεί όπως έχει προβλεφθεί. Σύνδεση κλειδώματος σύνδεσης ελέγχει την IP των προσπαθειών σύνδεσης και αποκλείει ένα εύρος IP για μια ώρα αν αποτύχει 3 φορές μέσα σε 5 λεπτά. Απλή, αποτελεσματική.

Πάρτε τακτικά αντίγραφα ασφαλείας

Οι χάκερ δεν θα αλλάξουν μόνο ένα αρχείο, αλλά θα τοποθετήσουν το δικό τους πίνακα ελέγχου κρυφό κάπου και άλλο κρυμμένα backdoors - έτσι ώστε ακόμη και αν καθορίσετε την αρχική hack, έρχονται πίσω και κάνουν όλα πάλι. Κάντε καθημερινά ή εβδομαδιαία αντίγραφα ασφαλείας, ώστε να μπορείτε εύκολα να αποκαταστήσετε πίσω σε σημείο όπου δεν υπήρχε ίχνος του χάκερ - και βεβαιωθείτε ότι έχετε κολλήσει ό, τι έκανε για να εισέλθουν. Προσωπικά, επένδυσα μόλις 150 δολάρια Backup Buddy άδεια ανάπτυξης προγραμματιστών - είναι η πιο εύκολη και πιο ολοκληρωμένη λύση δημιουργίας αντιγράφων που έχω βρει ακόμα.

προστατεύστε τον ιστότοπο wordpress

Αποτρέψτε την ευρετηρίαση των φακέλων

Ελέγξτε τη ρίζα της εγκατάστασης του WordPress για το αρχείο .htaccess (σημειώστε την περίοδο στην αρχή - ίσως χρειαστεί να εμφανίσετε αόρατα αρχεία για να το δείτε αυτό) και βεβαιωθείτε ότι έχει την ακόλουθη γραμμή. Αν όχι, προσθέστε το - αλλά κάντε ένα αντίγραφο ασφαλείας πρώτα δεδομένου ότι αυτό το αρχείο είναι πολύ σημαντικό.

ΕπιλογέςΌλες οι -Indexes

Μείνετε ενημερωμένοι

Μην κάνετε το ίδιο λάθος όπως κάναμε: αναβαθμίστε πάντα το WordPress μόλις υπάρξει μια ενημέρωση. Μερικές φορές οι ενημερώσεις περιέχουν δευτερεύουσες διορθώσεις σφαλμάτων και όχι διορθώσεις ασφαλείας, αλλά εισάγετε τη συνήθεια και δεν θα έχετε πρόβλημα. Εάν έχετε περισσότερες από μία εγκαταστάσεις του WordPress και δεν μπορείτε να παρακολουθήσετε όλα αυτά, ελέγξτε έξω ManageWp.com, ένα πίνακα ελέγχου premium για όλα τα ιστολόγια σας που περιλαμβάνει σάρωση ασφαλείας.

Όχι μόνο τα βασικά αρχεία του WordPress, αλλά και τα plugins: μια από τις μεγαλύτερες αδράνειες του WordPress του παρελθόντος, αφορούσε μια ευπάθεια σε ένα κοινό σενάριο δημιουργίας μικρογραφιών που ονομάζεται timthumb.php, και υπάρχουν ακόμα θέματα εκεί έξω που χρησιμοποιούν την παλιά έκδοση. Αν και τα plugins ενημερώθηκαν γρήγορα, η διατήρηση των ενημερωμένων θεμάτων είναι πιο δύσκολη, φυσικά - το WordPress δεν θα πει αν το θέμα σας είναι ευάλωτο και γι 'αυτό θα έχετε κάποιο είδος πρόσθετης ασφάλειας σάρωσης ασφαλείας - μετακινηθείτε προς τα κάτω ο Προσθήκες ασφαλείας παρακάτω για μερικές προτάσεις.

Ποτέ μην κατεβάζετε τυχαία θέματα

Αν δεν ξέρετε τι κάνετε με τον κώδικα PHP, είναι πολύ εύκολο να πέσετε στην παγίδα της λήψης ενός υπέροχου τυχαίου θέματος από κάπου, μόνο για να βρούμε ότι έχει κάποιο δυσάρεστο κώδικα εκεί - συνήθως τα backlinks που δεν μπορείτε να τα αφαιρέσετε, αλλά χειρότερα μπορεί να είναι βρέθηκαν. Προσέξτε στους κορυφαίους και γνωστούς σχεδιαστές θεμάτων (όπως Smashing Magazine ή WPShower), ή για δωρεάν θέματα χρησιμοποιούν μόνο τον κατάλογο θεμάτων WordPress.

Διαγραφή αχρησιμοποίητων προσθηκών και θεμάτων

Ο λιγότερο εκτελέσιμος κώδικας που έχετε στον server σας, τόσο το καλύτερο - αφαιρέστε την πιθανότητα να έχετε παλιό, ευάλωτο κώδικα διαγράφοντας θέματα και plugins που δεν χρησιμοποιείτε πια. Η απενεργοποίηση τους απλά θα σταματήσει τη φόρτωση των λειτουργιών τους με το WordPress, αλλά ο ίδιος ο κώδικας μπορεί να είναι εκτελέσιμος από έναν χάκερ.

Καταργήστε την εντολή Meta στην κεφαλίδα σας

Από προεπιλογή, το WordPress μεταδίδει την έκδοσή του στον κόσμο στον κώδικα του αρχείου κεφαλίδας - ένας εύκολος τρόπος για τους hackers να αναγνωρίζουν παλαιότερες εγκαταστάσεις. Προσθέστε τις παρακάτω γραμμές στο θέμα σας functions.php αρχείο για να καταργήσετε την έκδοση WordPress, τις πληροφορίες του Windows Live Writer και μια γραμμή που βοηθά τους απομακρυσμένους υπολογιστές-πελάτες να βρουν το αρχείο XML-RPC.

remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'rsd_link');

Κατάργηση Ο λογαριασμός "admin"

Οι περισσότερες προσβολές βίαιης δύναμης στο WordPress περιλαμβάνουν επανειλημμένα την προσπάθεια διαχειριστής λογαριασμός - η προεπιλογή για όλες τις εγκαθιστώσες WordPress - και ένα λεξικό κοινών κωδικών πρόσβασης. Αν συνδέεστε είτε με το admin είτε έχετε καταχωρίσει τον λογαριασμό admin στο πίνακα χρηστών σας, είστε ευάλωτοι σε αυτό.

Δύο τρόποι για να το διορθώσετε: είτε χρησιμοποιήστε wp-optimize plugin - ένα μεγάλο plugin που, μεταξύ άλλων, σας επιτρέπει να απενεργοποιείτε τις αναθεωρήσεις μετά και να κάνετε βελτιστοποίηση της βάσης δεδομένων - για να μετονομάσετε το λογαριασμό διαχειριστή. Ή απλά δημιουργήστε έναν άλλο λογαριασμό με δικαιώματα διαχειριστή, συνδεθείτε ως νέο χρήστη και, στη συνέχεια, διαγράψτε το λογαριασμό "admin", ορίστε όλες τις δημοσιεύσεις στον νέο σας χρήστη.

προστατεύστε τον ιστότοπο wordpress

Ασφαλείς κωδικοί πρόσβασης

Ακόμα κι αν έχετε απενεργοποιήσει το λογαριασμό διαχειριστή, ίσως είναι δυνατό να αναγνωρίσετε το όνομα χρήστη του λογαριασμού διαχειριστή σας - σε ποιο σημείο είστε ευάλωτοι σε μια επίθεση βίαιης δύναμης ξανά. Εφαρμόστε μια πολιτική ισχυρών κωδικών πρόσβασης με 16 ή περισσότερους τυχαίους χαρακτήρες που αποτελούνται από κεφαλαία και πεζά, σημεία στίξης και αριθμούς.

Ή απλώς χρησιμοποιήστε το πραγματικάLongSentenceThatsEasyToRememberMethod.

Απενεργοποιήστε την επεξεργασία αρχείων μέσα στο WordPress

Για όσους δεν επιθυμούν να συνδεθούν μέσω του FTP, το WordPress περιλαμβάνει έναν εύκολο επεξεργαστή στο διοικητικό ταμπλό για αρχεία PHP και θεματικά αρχεία - αλλά αυτό καθιστά την εγκατάσταση σας ευάλωτη εάν κάποιος αποκτήσει πρόσβαση. Στην πραγματικότητα, αυτός είναι ο τρόπος με τον οποίο κάποιος κατάφερε να εισφέρει μια ανακατεύθυνση κακόβουλου λογισμικού στην κεφαλίδα μας. Προσθέστε την παρακάτω γραμμή στο κάτω μέρος της σελίδας σας wp-config.php (στο ριζικό φάκελο) για να απενεργοποιήσετε όλες τις λειτουργίες επεξεργασίας αρχείων - και να τις χρησιμοποιήσετε SFTP Τι είναι το SSH και πώς είναι διαφορετικό από το FTP [Τεχνολογία που εξηγείται] Διαβάστε περισσότερα για να συνδεθείτε στον server σας.

define ('DISALLOW_FILE_EDIT', true);

Απόκρυψη σφαλμάτων σύνδεσης

Ένας εσφαλμένος κωδικός πρόσβασης ή λάθος όνομα χρήστη μπορεί να αναγνωριστεί από τα σφάλματα που δίνονται κατά την είσοδο, τα οποία θα μπορούσαν να χρησιμοποιηθούν για τον εντοπισμό των λογαριασμών για βίαιη εξαναγκασμό. Αυτό δεν είναι καλό, προφανώς, έτσι σκοτώστε τα λάθη με αυτήν την προσθήκη στο θέμα σας functions.php αρχείο

λειτουργία no_errors_please () {επιστροφή 'Nope'; } add_filter ('login_errors', 'no_errors_please');

Ενεργοποιήστε το Cloudflare

Εκτός από την επιτάχυνση του ιστότοπού σας, το CloudFlare μετριάζει πολλά γνωστά botnets και σαρωτές ακόμη και από το blog σας. Ανάγνωση όλα σχετικά με το CloudFlare Προστατέψτε & Επιταχύνετε την ιστοσελίδα σας δωρεάν με το CloudFlareΤο CloudFlare είναι μια ενδιαφέρουσα εκκίνηση από τους δημιουργούς του Project Honey Pot που ισχυρίζεται ότι προστατεύει την ιστοσελίδα σας από spammers, bots και άλλα κακά τέρατα στο διαδίκτυο - καθώς και να επιταχύνετε τον ιστότοπό σας κάπως... Διαβάστε περισσότερα εδώ. Η εγκατάσταση είναι ένα κλικ αν είστε φιλοξενούμενος στο MediaTemple, διαφορετικά θα χρειαστείτε πρόσβαση στον πίνακα ελέγχου τομέα για να αλλάξετε τους διακομιστές ονομάτων.

προστατεύστε τον ιστότοπο wordpress

Προσθήκες ασφαλείας

  • Καλύτερη ασφάλεια WP υλοποιεί πολλές από αυτές τις ενημερώσεις κώδικα για εσάς και είναι η πιο ολοκληρωμένη δωρεάν λύση που υπάρχει.προστασία του WordPress
  • WordFence είναι ένα πακέτο πριμοδότησης που σαρώνει ενεργά τα αρχεία σας για συνδέσμους κακόβουλου λογισμικού, ανακατευθύνσεις, γνωστά ευπάθειες κ.λπ. - και τα διορθώνει. Η τιμή ξεκινάει από $ 18 / έτος για 1 ιστότοπο.
  • Είσοδος ασφαλείας λύση σύνδεσης και οι δύο περιορίζουν τις προσπάθειες σύνδεσης και επιβάλλουν ασφαλή κωδικούς πρόσβασης.
  • BulletProof ασφάλεια είναι ένα πλήρες αλλά πολύπλοκο plugin που ασχολείται με μερικές από τις πιο τεχνικές πτυχές όπως το XSS injection και τα προβλήματα .htaccess. Μια έκδοση Pro του plugin είναι επίσης διαθέσιμη που αυτοματοποιεί μεγάλο μέρος της διαδικασίας.

Νομίζω ότι θα συμφωνήσετε ότι πρόκειται για μια πλήρη λίστα με τα βήματα για να σκληρύνει το WordPress, αλλά δεν σας προτείνω να εφαρμόσετε όλα από αυτούς. Αν έπρεπε να κάνω όλα αυτά σε κάθε τοποθεσία που έχω εγκαταστήσει ποτέ, θα ήθελα ακόμα να τα συστήσω τώρα. Η λειτουργία οποιουδήποτε συστήματος εισάγει έναν κίνδυνο και τελικά εξαρτάται από εσάς να βρείτε την ισορροπία μεταξύ του το επίπεδο ασφάλειας που θέλετε και την προσπάθεια που θέλετε να θέσετε για την εξασφάλισή του - τίποτα δεν πηγαίνει ποτέ στο 100% ασφαλής. Τα χαμηλά κρέμονται εδώ είναι:

  • Κρατήστε το WordPress ενημερωμένο
  • Απενεργοποίηση του λογαριασμού διαχειριστή
  • Προσθήκη αυθεντικοποίησης σε δύο βήματα
  • Εγκατάσταση πρόσθετου ασφαλείας

Κάνοντας αυτές μόνο θα πρέπει να σας βάλει πάνω από το 99% όλων των άλλων blogs έξω εκεί, που είναι αρκετό για να κάνουν οι δυνητικοί χάκερ να προχωρήσουν σε ευκολότερους στόχους.

Νομίζεις ότι μου έλειπε τίποτα; Πες μου στα σχόλια.

Ο James έχει πτυχίο στην Τεχνητή Νοημοσύνη και είναι πιστοποιημένος με CompTIA A + και Network +. Είναι ο κύριος προγραμματιστής της MakeUseOf, και ξοδεύει τον ελεύθερο χρόνο του παίζοντας VR paintball και boardgames. Κατασκευάζει υπολογιστές από τότε που ήταν παιδί.