Διαφήμιση

προστατεύστε το wordpressΤα botnets σε όλο τον κόσμο έχουν στρέψει την προσοχή τους από την αποστολή ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου έως τη συστηματική εισβολή σε εγκαταστάσεις WordPress. Είναι μια προσοδοφόρα επιχείρηση δεδομένου ότι το WordPress τροφοδοτεί το 40% όλων των ιστολογίων. Ιδιαίτερα λαμβάνοντας υπόψη ότι ακόμα κι εμείς έχουμε πέσει θύμα σε αυτό, είναι καιρός να κάνουμε μια περιεκτική ανάρτηση σχετικά με το πώς να προστατέψουμε την προσωπική σας εγκατάσταση WordPress.

Σημείωση: αυτή η συμβουλή ισχύει μόνο για εγκαταστάσεις φιλοξενίας WordPress. Εάν χρησιμοποιείτε το WordPress.com, γενικά δεν χρειάζεται να ενδιαφέρεστε για την ασφάλεια, επειδή το χειρίζονται όλα για εσάς.Ποια είναι η διαφορά μεταξύ WordPress.com και WordPress.org; Ποια είναι η διαφορά μεταξύ της εκτέλεσης του ιστολογίου σας στο Wordpress.com & το Wordpress.org;Με το Wordpress να τροφοδοτεί τώρα 1 σε κάθε 6 ιστότοπους, πρέπει να κάνουν κάτι σωστό. Και για τους έμπειρους προγραμματιστές και για τον αρχάριο, το Wordpress έχει κάτι να σας προσφέρει. Αλλά μόλις ξεκινήσετε ... Διαβάστε περισσότερα

instagram viewer

Εγκαταστήστε τον έλεγχο ταυτότητας δύο βημάτων Google

Εάν έχετε ήδη ενεργοποιήσει τον έλεγχο ταυτότητας δύο βημάτων για τον λογαριασμό σας Gmail ή άλλες υπηρεσίες, μπορείτε να χρησιμοποιήσετε την ίδια εφαρμογή ελέγχου ταυτότητας με αυτό το πρόσθετο για WordPress.

Ευτυχώς, μπορείτε να περιορίσετε τον έλεγχο ταυτότητας δύο βημάτων για χρήση μόνο σε λογαριασμούς ανώτερου επιπέδου, επομένως δεν χρειάζεται να ενοχλείτε όλους τους χρήστες σας.

προστατεύστε το wordpress

Κλείδωμα σύνδεσης

Ένα παλιό plugin, αλλά εξακολουθεί να λειτουργεί όπως προβλεπόταν. Κλείδωμα σύνδεσης ελέγχει το IP των προσπαθειών σύνδεσης και αποκλείει ένα εύρος IP για μία ώρα εάν αποτύχει 3 φορές μέσα σε 5 λεπτά. Απλό, αποτελεσματικό.

Λάβετε τακτικά αντίγραφα ασφαλείας

Οι χάκερ δεν θα αλλάξουν μόνο ένα αρχείο, αλλά θα τοποθετήσουν τον δικό τους πίνακα ελέγχου κρυμμένο κάπου και άλλο κρυμμένα backdoors - έτσι ώστε ακόμη και αν διορθώσετε το αρχικό hack, επιστρέφουν αμέσως και κάνουν τα πάντα πάλι. Λάβετε καθημερινά ή εβδομαδιαία αντίγραφα ασφαλείας, ώστε να μπορείτε να επαναφέρετε εύκολα σε ένα σημείο όπου δεν υπήρχε ίχνος του χάκερ - και φροντίστε να διορθώσετε ό, τι ήταν για να μπείτε. Προσωπικά, μόλις επένδυσα σε 150 $ Εφεδρικός φίλος άδεια προγραμματιστή - είναι η ευκολότερη και πιο ολοκληρωμένη λύση δημιουργίας αντιγράφων ασφαλείας που έχω βρει ακόμα.

προστασία του ιστότοπου wordpress

Αποτροπή δημιουργίας ευρετηρίου φακέλων

Ελέγξτε τη ρίζα της εγκατάστασης του WordPress για το αρχείο .htaccess (παρατηρήστε την περίοδο στην αρχή - ίσως χρειαστεί να εμφανίσετε αόρατα αρχεία για να το δείτε) και βεβαιωθείτε ότι έχει την ακόλουθη γραμμή. Εάν όχι, προσθέστε το - αλλά δημιουργήστε ένα αντίγραφο ασφαλείας πρώτα, καθώς αυτό το αρχείο είναι πολύ σημαντικό.

Επιλογές Όλα -Indexes

Μείνετε ενημερωμένοι

Μην κάνετε το ίδιο λάθος όπως κάναμε: αναβαθμίστε πάντα το WordPress μόλις είναι διαθέσιμη μια ενημέρωση. Μερικές φορές οι ενημερώσεις περιέχουν μικρές διορθώσεις σφαλμάτων και όχι διορθώσεις ασφαλείας, αλλά συνηθίστε και δεν θα έχετε πρόβλημα. Εάν έχετε περισσότερες από μία εγκαταστάσεις WordPress και δεν μπορείτε να τις παρακολουθείτε όλες, ρίξτε μια ματιά ΔιαχείρισηWp.com, έναν premium πίνακα ελέγχου για όλα τα ιστολόγιά σας που περιλαμβάνει σάρωση ασφαλείας.

Όχι μόνο τα βασικά αρχεία WordPress, αλλά και τα πρόσθετα: ένα από τα μεγαλύτερα hacks του WordPress στο παρελθόν περιελάμβανε μια ευπάθεια σε ένα κοινό σενάριο δημιουργίας μικρογραφιών που ονομάζεται timthumb.phpκαι εξακολουθούν να υπάρχουν θέματα που χρησιμοποιούν την παλιά έκδοση. Παρόλο που οι προσθήκες ενημερώθηκαν γρήγορα, η ενημέρωση των θεμάτων είναι πιο δύσκολη, φυσικά - το WordPress δεν θα το πει εάν το θέμα σας είναι ευάλωτο και για αυτό θα έχετε κάποιο είδος προσθήκης σάρωσης ασφαλείας - κάντε κύλιση προς τα κάτω ο Πρόσθετα ασφαλείας παρακάτω ενότητα για μερικές προτάσεις.

Ποτέ μην κατεβάζετε τυχαία θέματα

Εάν δεν γνωρίζετε τι κάνετε με τον κώδικα PHP, είναι πολύ εύκολο να πέσετε στην παγίδα λήψης ενός υπέροχου τυχαίου θέματος από κάπου, μόνο για να βρει ότι έχει κάποιο άσχημο κώδικα εκεί - πιο συχνά backlinks που δεν μπορείτε να αφαιρέσετε, αλλά το χειρότερο μπορεί να είναι βρέθηκαν. Παραμείνετε σε premium και γνωστούς σχεδιαστές θεμάτων (όπως Περιοδικό Smashing ή WPShower)ή για δωρεάν θέματα χρησιμοποιήστε μόνο τον κατάλογο θεμάτων του WordPress.

Διαγραφή αχρησιμοποίητων προσθηκών και θεμάτων

Όσο λιγότερο εκτελέσιμος κώδικας έχετε στον διακομιστή σας, τόσο το καλύτερο - καταργήστε την πιθανότητα να έχετε παλιό, ευάλωτο κώδικα διαγράφοντας θέματα και προσθήκες που δεν χρησιμοποιείτε πια. Η απενεργοποίησή τους θα σταματήσει απλώς τη φόρτωση της λειτουργικότητάς τους με το WordPress, αλλά ο ίδιος ο κώδικας ενδέχεται να εξακολουθεί να εκτελείται από έναν χάκερ.

Καταργήστε το Meta Tell-tale In Your Header

Από προεπιλογή, το WordPress μεταδίδει την έκδοσή του στον κόσμο με τον κώδικα του αρχείου κεφαλίδας σας - έναν εύκολο τρόπο για τους εισβολείς να εντοπίζουν παλαιότερες εγκαταστάσεις. Προσθέστε τις ακόλουθες γραμμές στο θέμα σας functions.php αρχείο για να καταργήσετε την έκδοση του WordPress, τις πληροφορίες του Windows Live Writer και μια γραμμή που βοηθά τους απομακρυσμένους πελάτες να βρουν το αρχείο XML-RPC.

remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'rsd_link');

Κατάργηση του λογαριασμού "διαχειριστής"

Οι περισσότερες βίαιες επιθέσεις στο WordPress περιλαμβάνουν επανειλημμένα τη δοκιμή του διαχειριστής λογαριασμός - η προεπιλογή για όλες τις εγκαταστάσεις του WordPress - και ένα λεξικό κοινών κωδικών πρόσβασης. Εάν είτε συνδεθείτε με τον διαχειριστή είτε έχετε ο λογαριασμός διαχειριστή στον πίνακα χρηστών σας, είστε ευάλωτοι σε αυτό.

Δύο τρόποι για να το διορθώσετε: είτε χρησιμοποιήστε wp-βελτιστοποίηση plugin - ένα εξαιρετικό πρόσθετο που, μεταξύ άλλων, σας επιτρέπει να απενεργοποιήσετε τις αναθεωρήσεις δημοσιεύσεων και να πραγματοποιήσετε βελτιστοποίηση βάσης δεδομένων - για να μετονομάσετε λογαριασμό διαχειριστή. Ή απλώς δημιουργήστε έναν άλλο λογαριασμό με δικαιώματα διαχειριστή, συνδεθείτε ως νέος χρήστης και μετά διαγράψτε τον λογαριασμό "διαχειριστής" εκχωρήστε όλες τις αναρτήσεις στον νέο σας χρήστη.

προστασία του ιστότοπου wordpress

Ασφαλείς κωδικοί πρόσβασης

Ακόμα κι αν έχετε απενεργοποιήσει το λογαριασμό διαχειριστή, ενδέχεται να είναι δυνατό να προσδιορίσετε το όνομα χρήστη του λογαριασμού διαχειριστή σας - σε ποιο σημείο είστε ευάλωτοι σε μια βίαια επίθεση ξανά. Εφαρμόστε μια ισχυρή πολιτική κωδικού πρόσβασης για 16 ή περισσότερους τυχαίους χαρακτήρες που αποτελούνται από κεφαλαία και πεζά γράμματα, σημεία στίξης και αριθμούς.

Ή απλώς χρησιμοποιήστε το πραγματικάLongSentenceThatsEasyToRememberM Method.

Απενεργοποίηση επεξεργασίας αρχείων εντός του WordPress

Για όσους δεν επιθυμούν να συνδεθούν μέσω FTP, το WordPress περιλαμβάνει έναν εύκολο επεξεργαστή στον πίνακα ελέγχου διαχειριστή για θέματα PHP και plugin - αλλά αυτό καθιστά την εγκατάσταση σας ευάλωτη εάν κάποιος αποκτήσει πρόσβαση. Στην πραγματικότητα, με αυτόν τον τρόπο κάποιος κατάφερε να εισάγει μια ανακατεύθυνση κακόβουλου λογισμικού στην κεφαλίδα μας. Προσθέστε την ακόλουθη γραμμή στο κάτω μέρος του wp-config.php (στον ριζικό φάκελο) για να απενεργοποιήσετε όλες τις δυνατότητες επεξεργασίας αρχείων - και να χρησιμοποιήσετε SFTP Τι είναι το SSH και πώς διαφέρει από το FTP [Επεξήγηση τεχνολογίας] Διαβάστε περισσότερα για να συνδεθείτε στον διακομιστή σας.

καθορισμός ('DISALLOW_FILE_EDIT', true);

Απόκρυψη σφαλμάτων σύνδεσης

Ένας λανθασμένος κωδικός πρόσβασης ή λανθασμένο όνομα χρήστη μπορεί να εντοπιστεί από τα σφάλματα που δίνονται κατά τη σύνδεση, τα οποία θα μπορούσαν να χρησιμοποιηθούν για τον εντοπισμό λογαριασμών για βίαιη βία. Αυτό δεν είναι καλό, προφανώς, οπότε σκοτώστε τα λάθη με αυτήν την προσθήκη στο θέμα σας functions.php αρχείο

συνάρτηση no_errors_please () {return 'Nope'; } add_filter ('login_errors', 'no_errors_please');

Ενεργοποιήστε το Cloudflare

Εκτός από την επιτάχυνση του ιστότοπού σας, το CloudFlare μετριάζει πολλά γνωστά botnets και σαρωτές, ακόμη και από το να φτάσετε πρώτα στο ιστολόγιό σας. Ανάγνωση τα πάντα για το CloudFlare Προστατέψτε και επιταχύνετε τον ιστότοπό σας δωρεάν με το CloudFlareΤο CloudFlare είναι μια ενδιαφέρουσα εκκίνηση από τους δημιουργούς του Project Honey Pot που ισχυρίζεται ότι προστατεύει τον ιστότοπό σας από spammers, bots και άλλα κακά τέρατα Ιστού - καθώς και να επιταχύνετε τον ιστότοπό σας κάπως... Διαβάστε περισσότερα εδώ. Η εγκατάσταση είναι ένα κλικ αν σας φιλοξενείται MediaTemple, διαφορετικά θα χρειαστείτε πρόσβαση στον πίνακα ελέγχου τομέα για να αλλάξετε τους διακομιστές ονομάτων.

προστασία του ιστότοπου wordpress

Πρόσθετα ασφαλείας

  • Καλύτερη ασφάλεια WP εφαρμόζει πολλές από αυτές τις διορθώσεις για εσάς και είναι η πιο ολοκληρωμένη δωρεάν λύση που υπάρχει.προστατεύστε το wordpress
  • WordFence είναι ένα πακέτο premium που σαρώνει ενεργά τα αρχεία σας για συνδέσμους κακόβουλου λογισμικού, ανακατευθύνσεις, γνωστά τρωτά σημεία κ.λπ. - και τα διορθώνει. Η τιμή ξεκινά από $ 18 / έτος για 1 ιστότοπο.
  • Λύση ασφάλειας σύνδεσης Και οι δύο περιορίζουν τις προσπάθειες σύνδεσης και επιβάλλουν ασφαλείς κωδικούς πρόσβασης.
  • Ασφάλεια BulletProof είναι μια περιεκτική αλλά πολύπλοκη προσθήκη που ασχολείται με μερικές από τις πιο τεχνικές πτυχές όπως τα XSS injection και .htaccess προβλήματα. Υπάρχει επίσης μια επαγγελματική έκδοση της προσθήκης που αυτοματοποιεί μεγάλο μέρος της διαδικασίας.

Νομίζω ότι θα συμφωνήσετε ότι πρόκειται για μια ολοκληρωμένη λίστα βημάτων για να σκληρύνει το WordPress, αλλά δεν προτείνω να το εφαρμόσετε όλα από αυτούς. Αν έπρεπε να τα κάνω όλα αυτά σε κάθε ιστότοπο που έχω δημιουργήσει, θα τα έκανα ακόμα. Η εκτέλεση οποιουδήποτε είδους συστήματος δημιουργεί κίνδυνο, και τελικά εξαρτάται από εσάς να βρείτε την ισορροπία μεταξύ του συστήματος επίπεδο ασφάλειας που θέλετε και την προσπάθεια που θέλετε να διασφαλίσετε - τίποτα δεν φτάνει ποτέ στο 100% ασφαλής. Τα χαμηλά κρεμαστά φρούτα εδώ είναι:

  • Διατηρώντας ενημερωμένο το WordPress
  • Απενεργοποίηση του λογαριασμού διαχειριστή
  • Προσθήκη ελέγχου ταυτότητας δύο βημάτων
  • Εγκατάσταση προσθήκης ασφαλείας

Κάνοντας μόνοι σας, θα πρέπει να έχετε πάνω από το 99% όλων των άλλων ιστολογίων εκεί έξω, κάτι που είναι αρκετό για να κάνει τους πιθανούς χάκερ να προχωρήσουν σε ευκολότερους στόχους.

Πιστεύεις ότι μου έλειπε τίποτα; Πες μου στα σχόλια.

Ο James έχει πτυχίο Τεχνητής Νοημοσύνης και είναι πιστοποιημένο με CompTIA A + και Network +. Είναι ο κύριος προγραμματιστής του MakeUseOf και περνά τον ελεύθερο χρόνο του παίζοντας VR paintball και boardgames. Δημιουργεί υπολογιστές από τότε που ήταν παιδί.