Skelbimas
„WordPress“ pagrindu veikiančios svetainės paleidimas dažnai teikia malonumą, leidžiančią sutelkti dėmesį į turinį ir užmegzti ryšius su skaitytojais ir kitomis svetainėmis.
Tačiau ne visi internete yra tokie draugiški kaip jūs. Kažkur ten yra sąrašas su jūsų tinklaraščio pavadinimu, kur jis sėdimas ir laukia, kol jį pateiks įsilaužėliai. Susipažinę su jūsų tinklaraščiu, jie bandys įvairias taktikas, kad galėtų prie jo prisijungti, galbūt norėdami parduoti legalius narkotikus ar užkrėsti lankytojų kompiuterius kenkėjiška programine įranga.
Laimei, yra įvairių būdų, kaip apsaugoti „WordPress“ tinklaraštį nuo įsilaužėlių.
Reguliariai atnaujinkite „WordPress“
Vienas galingiausių, bet dažnai nepastebimų sprendimų, padedančių apsaugoti „WordPress“ nuo įsilaužėlių, yra įsitikinti, kad jis reguliariai atnaujinamas.
Akivaizdu, kad tam yra jūsų trūkumas geriausi „WordPress“ papildiniai Geriausi „WordPress“ papildiniai Skaityti daugiau gali nustoti veikti, jei „WordPress“ bus atnaujinta, tačiau tuo pat metu į tai turėtų būti žiūrima kaip į galimybę atnaujinkite papildinius, raskite pakaitų, kurie patys yra saugūs ir patikimi, ir iš esmės sugriežtinkite savo svetainę ar tinklaraštį. Laikymasis įskiepių, kurie randami „WordPress“ kataloge, taip pat yra geras būdas kontroliuoti dalykus.
Atnaujinti „WordPress“ galima naudojant informacijos suvestinę, tačiau prieš darydami visada pasidarykite atsarginę duomenų bazės atsarginę kopiją.
Reguliariai darykite atsargines kopijas
Svarbi procedūra visiems „WordPress“ tinklaraščių savininkams yra užtikrinti, kad atsarginės kopijos būtų daromos reguliariai ir kad blogiau atsitikus, jas būtų galima lengvai atkurti.
Sprendimų yra gausu, tačiau „Cloudsafe365“ yra vienas galingiausių, derinant atsargines kopijas iš debesies (galima naudoti „Dropbox“) su įvairios saugios apsaugos priemonės nuo metodų, tokių kaip scenarijų sukūrimas per svetainę, SQL įterpimas ir netgi stebi turinį vagystės.
„Cloudsafe365“, galima įsigyti iš „WordPress“ papildinių svetainė, yra trijų skonių. Nemokamas pasirinkimas apima aukščiau išvardintus dalykus, o mokamos parinktys siūlo kitas funkcijas, tokias kaip apsauga nuo kodo įšvirkštimo ir žiaurios jėgos išpuolių.
Įdiekite užšifruotą prisijungimo papildinį
Faktinį prisijungimą prie „WordPress“ pagrįstos svetainės veiksmą geriausia apsaugoti naudojant užšifruotą prisijungimo papildinį, nes svetainės programinėje įrangoje ši galimybė nėra numatyta. Tikriausiai geriausias sprendimas šiam tikslui - puikus apsaugoti jūsų internetinio dienoraščio prisijungimo duomenis nuo bevielių tinklų paketinių šnipinėjimų Chap Saugus prisijungimas, kuris naudoja SHA-256 algoritmą, kad apsaugotų jūsų vartotojo vardą ir slaptažodį.
Tuo tarpu Prisijungimo užraktas papildinys yra naudingas būdas blokuoti IP, kurie registruoja pakartotinius nesėkmingus bandymus patekti į jūsų svetainę.
Kiti prisijungimo apsaugos veiksmai, kuriuos galite atlikti, apima tvirto „CAPTCHA“ papildinio įdiegimą. „RetinaPost“ yra ypač įspūdingas papildinys, reikalaujantis, kad vartotojai įvestų išryškintus simbolius iš frazės, o ne bandytų ir iššifruotų įsuktus teksto vaizdus ar atliktų matematikos užduotis. Bet koks bandymas sutrikdyti jūsų tinklaraštį naudojant komentarų sistemą gali būti ženkliai sumažintas naudojant šį papildinį.
Slėpti „Powered by WordPress“
Piratai taiko skirtingą taktiką kiekvienai iš įvairių naudojamų svetainių programinės įrangos rūšių, tačiau galite padaryti juos sunkesnius, neskelbdami to, kad jūsų svetainė veikia „Powered by „WordPress“.
Pagal numatytuosius nustatymus šią informaciją galima rasti faile footer.php, pasiekiama įvedus tinklaraščio informacijos suvestinę, pasirinkus Išvaizda> Redaktorius redaguoti naršyklės lange. Skirtingoms temoms reikės skirtingų šio teksto pašalinimo metodų, todėl, norėdami rasti geriausią būdą, turėtumėte patikrinti internete (jei legenda rodoma paprastu tekstu, tada ištrinkite; jei naudojamas PHP kodas, elkitės atsargiai, nebent žinote, ką darote).
Keisti administratoriaus vartotojo vardą
Vienas iš būdų, kaip įsilaužėliai gali rasti kelią į jūsų svetainę, yra brutalios jėgos programinė įranga, kuri bandys daug prisijungimų, naudojant slaptus žodžius ir frazes kaip slaptažodžius, kartu su pasirinktais akivaizdžiais vartotojo vardai.
Administratoriaus vartotojo vardą „WordPress“ galima pasirinkti, kai programinė įranga yra sąranka, tačiau skubėdami viską padaryti daugelis vartotojų palieka jį pasirinkdami numatytąjį „admin“. Kadangi akivaizdūs vartotojo vardai, tai yra sąrašo viršuje, todėl svarbu jį pakeisti.
Yra du būdai, kaip pakeisti administratoriaus vartotojo vardą. Pirmiausia galite sukurti antrą administratoriaus sąskaitą, kurios vartotojo vardas nėra akivaizdus, ir tada ištrinti pirminį vartotoją. Tačiau atminkite, kad tai gali turėti įtakos visiems straipsniams, parašytiems naudojant administratoriaus abonementą (galbūt jie bus nepaskelbti, kol nebus nustatytas naujas vardas, arba pranešimo puslapyje bus rodoma klaida).
Tikriausiai efektyviausias būdas tai padaryti yra pasiekti savo svetainės „phpMyAdmin“, pasirinkti „WordPress“ duomenų bazėje raskite lentelę wp_users („wp_“ yra numatytasis priešdėlis, kuris gali būti pakeistas diegiant) ir naudoti Naršykite piktogramą norėdami rasti „admin“ vartotojo vardą.
Suradę suraskite stulpelį „user_login“, spustelėkite Redaguoti mygtuką atitinkamoje eilutėje ir tada pakeiskite „admin“ į norimą administratoriaus abonemento prisijungimo vardą, spustelėdami Eik kai baigsite.
Perkelkite „wp-config“ failą
Akivaizdi „WordPress“ problema yra ta, kad pagrindinė saugos informacija yra saugoma viename nešifruotame faile, į kurį galima įsilaužti ir kuris naudojamas valdyti jūsų tinklaraštį. Wp-config.php faile yra administratoriaus prisijungimo duomenys, taip pat MySQL duomenų bazės vartotojo vardas ir slaptažodis.
Todėl apsaugoti šį failą yra labai svarbu, jei norite apsaugoti svetainę nuo įsilaužėlių.
Vis dėlto vienas dalykas, kurio neturėtumėte daryti, yra ištrinti „wp-config“ - tai jūsų svetainę nenaudotų (o būtų tuščia). Taigi, kaip apsaugoti savo svetainę nuo šio keisto pažeidžiamumo?
Nuo „WordPress 2.8“ išleidimo tinklaraščių savininkai turėjo galimybę failą perkelti į pagrindinį serverio žiniatinklio katalogą. Pavyzdžiui, tai reiškia, kad jei jūsų svetainė yra įdiegta www.mysite.com/wordpress, failą wp-config.php galima perkelti į aukštesnį lygį, į „MySite“ katalogą.
Išvada
Nepaisant to, koks esate techninis ar netechninis, jei tvarkote „WordPress“ tinklaraštį, nėra jokio pasiteisinimo neįgyvendinti nė vieno ar visų šių įrankių, kad apsaugotumėte savo svetainę nuo įsilaužėlių.
Galų gale, kokia prasmė įdėti visą tą sunkų darbą tik tam, kad sužinotumėte, jog kažkas perėmė svetainę ir dabar jums moka nuolatiniai lankytojai, reklamuodami „Viagra“?
Šiuos veiksmus galima atlikti vos per kelias valandas - galbūt vieną savaitgalio rytą, jei esate paspaustas laiko - todėl neignoruokite ir elkitės dabar.
Christianas Cawley yra „Linux“, „pasidaryk pats“, programavimo ir techninių paaiškinimų saugumo, redaktoriaus pavaduotojas. Jis taip pat kuria „The Really Useful Podcast“ ir turi didelę patirtį palaikant darbalaukį ir programinę įrangą. Žurnalo „Linux Format“ bendradarbis Christianas yra „Raspberry Pi“ gamintojas, „Lego“ mėgėjas ir retro žaidimų gerbėjas.
