Διαφήμιση
Χωρίς αμφιβολία, για ένα αυτο-φιλοξενούμενο blog, το WordPress είναι το καλύτερο CMS blog που μπορείτε να αποκτήσετε. Ωστόσο, ως δημοφιλές λογισμικό ανοιχτού κώδικα, σημαίνει επίσης ότι οι χάκερ έχουν πλήρη πρόσβαση στο κώδικα που μπορούν να ελέγξουν για να βρουν οποιαδήποτε αξιοποιήματα που μπορούν να χρησιμοποιήσουν για να χαράξουν οποιοδήποτε WordPress-ενεργοποιημένο ιστοσελίδα.
Στην καλή πλευρά, ένα από τα καλύτερα πράγματα για το WordPress είναι το σύστημα προσθηκών του που επιτρέπει σε οποιονδήποτε να το κάνει εγκαταστήστε τυχόν πρόσθετα ή δημιουργήστε τα δικά σας πρόσθετα για να επεκτείνετε τη λειτουργικότητά του, συμπεριλαμβανομένης της βελτίωσης ασφάλεια.
Εδώ, έχω αναφέρει μερικά πρόσθετα ασφαλείας wordpress (και μερικά κόλπα) που μπορείτε να χρησιμοποιήσετε για να ασφαλίσετε το blog WordPress.
Όλες οι προσθήκες και τα κόλπα που αναφέρονται παρακάτω προορίζονται για WP 2.7 και άνω. Εάν εξακολουθείτε να χρησιμοποιείτε παλαιότερη έκδοση του WordPress, ήρθε η ώρα να αναβαθμίσετε το ιστολόγιό σας.
Προστασία της σύνδεσής σας
Αυτό το πρόσθετο χρησιμοποιεί το ΣΚΑΣΙΜΟ πρωτόκολλο για την κρυπτογράφηση του κωδικού πρόσβασής σας. Ο κωδικός πρόσβασης αλατίζεται πρώτα με έναν τυχαίο αριθμό (nonce) που δημιουργείται από τη συνεδρία, ακολουθούμενος από τον αλγόριθμο μετατροπής md5. Αυτό το αποτέλεσμα αποστέλλεται στη συνέχεια στον διακομιστή όπου αποκρυπτογραφείται και πιστοποιείται. Πρόκειται για ένα πρόσθετο μηδενικής διαμόρφωσης, που σημαίνει ότι μπορείτε να το χρησιμοποιήσετε αμέσως μετά την ενεργοποίησή του.
2. Σύνδεση Stealth
Το Stealth Login αποκρύπτει τη σελίδα σύνδεσής σας επιτρέποντάς σας να ορίσετε μια προσαρμοσμένη σελίδα σύνδεσης και όχι την προεπιλεγμένη wp-login.php. Σε περίπτωση διαρροής του κωδικού πρόσβασής σας, ο εισβολέας θα δυσκολευτεί επίσης να βρει τη σωστή διεύθυνση URL σύνδεσης. Μια καλή χρήση αυτού είναι να αποτρέψετε τυχόν κακόβουλα bots να έχουν πρόσβαση στο αρχείο wp-login.php και να προσπαθείτε να εισέλθετε.
Το κλείδωμα σύνδεσης είναι χρήσιμο για την αποτροπή μιας βίαιης επίθεσης. Αυτό που κάνει το LockDown σύνδεσης είναι να καταγράφει τη διεύθυνση IP και τη χρονική σήμανση κάθε αποτυχημένης προσπάθειας σύνδεσης. Εάν εντοπιστούν περισσότερα από έναν ορισμένο αριθμό προσπαθειών σε σύντομο χρονικό διάστημα από το ίδιο εύρος IP, θα κλειδώσει τη λειτουργία σύνδεσης και θα αποτρέψει τη σύνδεση των ατόμων από αυτό το εύρος IP.
Αυτή η προσθήκη προσθέτει έναν επιπλέον έλεγχο ταυτότητας HTTP για να παρέχει ένα δεύτερο επίπεδο άμυνας για το ιστολόγιό σας. Μπορείτε να ρυθμίσετε την προστασία με κωδικό πρόσβασης για το ιστολόγιό σας χρησιμοποιώντας HTTP Basic Authentication ή μπορείτε να επιλέξετε να χρησιμοποιήσετε τον πιο ασφαλή έλεγχο HTTP Digest Authentication.
Λάβετε υπόψη ότι αυτή η προσθήκη ενδέχεται / ενδέχεται να μην λειτουργεί ανάλογα με την ικανότητα του διακομιστή σας. Εάν ο ιστότοπός σας δεν περάσει τις δοκιμές διαμόρφωσης AskApache (οι δοκιμές εκτελούνται από την προσθήκη για ανίχνευση τις δυνατότητες του διακομιστή σας), επικοινωνήστε με τον οικοδεσπότη Ιστού σας και δείτε εάν μπορούν να κάνουν αλλαγές στον διακομιστή πλευρά.
Αυτή η προσθήκη παρέχει ένα περιβάλλον ημι-ασφαλούς σύνδεσης κρυπτογραφώντας τον κωδικό πρόσβασής σας με το Κρυπτογραφία RSA
Προστασία της βάσης δεδομένων σας
Ίσως για μερικούς από εσάς, η δημιουργία αντιγράφων ασφαλείας μιας βάσης δεδομένων θα μπορούσε να σημαίνει μια ενοχλητική τεχνική δουλειά. Με το WP-DB-Backup, πρέπει απλώς να το διαμορφώσετε μία φορά και να το εκτελεί αυτόματα σε τακτά χρονικά διαστήματα.
Αυτό που κάνει αυτό το πρόσθετο είναι να αυτοματοποιήσει τη δημιουργία αντιγράφων ασφαλείας της βάσης δεδομένων σας και να το στείλει στα εισερχόμενά σας. Εκτός από τον προεπιλεγμένο πίνακα που δημιουργήθηκε από το WordPress, μπορείτε επίσης να δημιουργήσετε αντίγραφα ασφαλείας προσαρμοσμένων πινάκων που δημιουργήθηκαν από προσθήκες. Σε περίπτωση διακοπής του λογαριασμού σας, μπορείτε εύκολα να εισαγάγετε και να επαναφέρετε τη βάση δεδομένων με το αντίγραφο ασφαλείας.
Το Wp-DBManager είναι ακριβώς σαν phpmyadmin μέσα στον πίνακα ελέγχου σας. Μπορείτε εύκολα να διαχειριστείτε τη βάση δεδομένων σας απευθείας στον πίνακα ελέγχου σας. Υπάρχουν χρήσιμες λειτουργίες όπως βελτιστοποίηση / επιδιόρθωση / δημιουργία αντιγράφων ασφαλείας / επαναφορά της βάσης δεδομένων σας και εάν είστε αρκετά τεχνικοί, μπορείτε ακόμη και να εκτελέσετε το δικό σας ερώτημα SQL από τη σελίδα επιλογών.
Από την κακή πλευρά, εάν κάποιοι χάκερ καταφέρουν να συνδεθούν στον ιστότοπό σας, αυτό το πρόσθετο πρόκειται να αποτελέσει πύλη για να δημιουργήσουν χάος στη βάση δεδομένων σας.
8. Αλλαγή προθέματος πίνακα βάσης δεδομένων
Το προεπιλεγμένο πρόθεμα που χρησιμοποιείται από το WordPress είναι "wp". Μπορείτε εύκολα να αλλάξετε το πρόθεμα σε άλλους όρους που είναι δύσκολο να μαντέψετε χρησιμοποιώντας το WP-Security-Scan. Περισσότερες λεπτομέρειες για αυτό το πρόσθετο παρακάτω.
9. Προστατέψτε το αρχείο wp-config.php
Το αρχείο wp-config.php περιέχει όλα τα διαπιστευτήρια σύνδεσης της βάσης δεδομένων σας και θα πρέπει να αποκρύπτεται από δημόσια προβολή σε όλες τις περιπτώσεις. Στο αρχείο htaccess, τοποθετήστε αυτήν τη γραμμή:
παραγγελία επιτρέψτε, αρνηθείτε. αρνούνται από όλα.
για να αποτρέψει κανέναν από την προβολή του αρχείου wp-config.php.
Προστασία της σελίδας διαχειριστή σας
Αυτή η προσθήκη επιβάλλει το SSL σε όλες τις σελίδες όπου μπορούν να εισαχθούν κωδικοί πρόσβασης έτσι ώστε όλες οι μεταδιδόμενες πληροφορίες να είναι κρυπτογραφημένες.
Ένα πράγμα όμως, πρέπει να έχετε ένα πιστοποιητικό SSL για να μπορέσετε να το κάνετε. Εάν δεν είστε διατεθειμένοι να πληρώσετε τα επιπλέον χρήματα για να αγοράσετε ένα ιδιωτικό πιστοποιητικό SSL, μπορείτε να ρωτήσετε τον οικοδεσπότη Ιστού σας για το Κοινόχρηστο SSL. Οι περισσότεροι οικοδεσπότες Ιστού παρέχουν Κοινόχρηστο SSL για όλους τους πελάτες τους και είναι εύκολο να διαμορφωθεί.
11. Αλλαγή ονόματος χρήστη σύνδεσης
Η χρήση του "admin" ως όνομα χρήστη σύνδεσης είναι το τελευταίο πράγμα που θέλετε να κάνετε. Όταν εγκαταστήσατε για πρώτη φορά το WordPress, θα πρέπει να δημιουργήσετε αμέσως έναν άλλο λογαριασμό διαχειριστή με το δικό σας όνομα χρήστη και κωδικό πρόσβασης και να διαγράψετε τον λογαριασμό "διαχειριστής".
Αποτρέψτε τους άλλους από την προβολή της εσωτερικής σας δομής αρχείων
12. Απόκρυψη της έκδοσης WP
Στα περισσότερα θέματα WordPress κάτω από το
ενότητα, υπάρχει πάντα μια γραμμή κώδικα που δείχνει την έκδοση WordPress που χρησιμοποιείτε. Το να παραχωρήσετε τον αριθμό έκδοσης του WordPress σημαίνει να πείτε στον χάκερ τι εκμεταλλεύεται να χρησιμοποιήσει για να εισβάλει στον ιστότοπό σας.Από το WP2.6.5, το WordPress έκανε ακόμη πιο δύσκολο να αφαιρέσει την έκδοση wp καθώς ενσωματώνει αυτές τις πληροφορίες στο wp_header ετικέτα. Ένα πρόσθετο που μπορείτε να χρησιμοποιήσετε για να καταργήσετε αυτές τις πληροφορίες είναι WP-Security-Scan.
13. Απόκρυψη του περιεχομένου WP
Ο φάκελος περιεχομένου WP είναι όπου αποθηκεύσατε όλα τα πρόσθετα και τα αρχεία θεμάτων. Αυτό είναι το μέρος όπου θέλετε να αποτρέψετε την εξέταση άλλων ατόμων. Μπορείτε είτε να ανεβάσετε ένα κενό index.html αρχείο στο φάκελο wp-content ή δημιουργήστε ένα αρχείο .htaccess στο φάκελο wp-content και προσθέστε αυτήν τη γραμμή:
Επιλογές Όλα -Indexes14. Αποκλείστε το φάκελο wp από την ευρετηρίαση από μηχανές αναζήτησης
Ενώ θέλετε οι μηχανές αναζήτησης να ευρετηριάσουν το ιστολόγιό σας και να φέρουν πολλή κίνηση, το τελευταίο πράγμα που θέλετε να δείτε είναι να αφήσετε τις μηχανές αναζήτησης να εκθέσουν την εσωτερική δομή αρχείων σας στο κοινό. Αυτό που μπορείτε να κάνετε είναι να αποκλείσετε την ευρετηρίαση όλων των φακέλων wp από τη μηχανή αναζήτησης προσθέτοντας τις ακόλουθες καταχωρίσεις στο robot.txt:
Απαγόρευση: / wp- *Συντήρηση
Έχω αναφέρει αυτό το πρόσθετο αρκετές φορές, οπότε ήρθε η ώρα να εξηγήσω τι κάνει. Το WP-Security-Scan ελέγχει το WordPress για ευπάθειες ασφαλείας και προτείνει / παρέχει διορθωτικές ενέργειες. Οι διορθωτικές ενέργειες περιλαμβάνουν την αλλαγή του προθέματος της βάσης δεδομένων σας, την απόκρυψη του αριθμού έκδοσης του WordPress από την κεφαλίδα και σας επιτρέπει να δοκιμάσετε τη δύναμη του κωδικού πρόσβασης.
Μερικές φορές, είναι καλή ιδέα να εκτελέσετε τον ενσωματωμένο σαρωτή ασφαλείας και να ελέγξετε το ιστολόγιό σας για τυχόν αδυναμίες ασφαλείας.
16. Αλλάζετε τακτικά τον κωδικό πρόσβασης
Όχι μόνο πρέπει να αλλάζετε τον κωδικό πρόσβασής σας τακτικά, πρέπει επίσης να βεβαιωθείτε ότι είναι ισχυρός. Εάν έχετε δυσκολία στη δημιουργία ενός, βρείτε ένα πώς μπορείτε δημιουργήστε ισχυρούς κωδικούς πρόσβασης που μπορείτε να θυμάστε εύκολα Πώς να δημιουργήσετε ισχυρούς κωδικούς πρόσβασης που μπορείτε να θυμάστε εύκολα Διαβάστε περισσότερα .
17. Ενημερώστε το WordPress και όλες τις προσθήκες στην πιο πρόσφατη έκδοση
Περιττό να πούμε, η αναβάθμιση στην τελευταία έκδοση του WordPress και των προσθηκών είναι ο καλύτερος τρόπος για να προστατευτείτε.
Προστασία της σύνδεσής σας
18. SFTP
Η μεταφορά αρχείων στον online λογαριασμό σας είναι συνηθισμένη. Ωστόσο, αντί να χρησιμοποιήσετε το μη ασφαλές FTP, θα πρέπει να χρησιμοποιήσετε SFTP (Ασφαλές FTP). Αυτό θα δημιουργήσει μια σύνδεση SSH και θα στείλει όλα τα αρχεία σας κρυπτογραφημένα στον διακομιστή. Εάν χρειάζεστε βοήθεια για τη δημιουργία σύνδεσης SFTP, εδώ είναι το οδηγός.
Οι παραπάνω πληροφορίες θα πρέπει να είναι αρκετές για να δημιουργήσετε ένα ασφαλές ιστολόγιο WordPress. Εάν δεν έχετε εφαρμόσει κανένα από αυτά, σας παρακαλώ να το κάνετε τώρα.
Ποιες άλλες μεθόδους χρησιμοποιείτε για να ασφαλίσετε το blog σας στο WordPress;
Το Damien Oh είναι μια ολοκληρωμένη τεχνολογία geek που λατρεύει να τροποποιεί και να χαράρει διάφορα λειτουργικά συστήματα για να κάνει τη ζωή πιο εύκολη. Ρίξτε μια ματιά στο blog του στο MakeTechEasier.com όπου μοιράζεται όλες τις συμβουλές, τα κόλπα και τα σεμινάρια.