18 „Wordpress“ saugos papildinių ir patarimų, kaip apsaugoti savo tinklaraštį

Skelbimas

Be jokios abejonės, savarankiškame tinklaraštyje „WordPress“ yra geriausias tinklaraščio CMS, kokį tik galite gauti. Tačiau, kadangi ji yra populiari ir atvira programinė įranga, tai taip pat reiškia, kad įsilaužėliai turi visišką prieigą prie kodą, kurį jie gali patikrinti norėdami rasti bet kokį išnaudojimą, kurį jie gali panaudoti įsilauždami į bet kurią „WordPress“ įgalintą funkciją svetainė.

Kalbant apie gerą pusę, vienas iš geriausių „WordPress“ dalykų yra įskiepių sistema, leidžianti bet kam įdiekite bet kuriuos papildinius arba sukurkite savo papildinius, kad išplėtotumėte jo funkcionalumą, įskaitant patobulinimą saugumas.

Čia išvardijau keletą „WordPress“ saugos papildinių (ir keletą gudrybių), kuriuos galite naudoti norėdami apsaugoti „WordPress“ tinklaraštį.

Visi toliau išvardyti įskiepiai ir gudrybės yra skirti WP 2.7 ir naujesnėms versijoms. Jei vis dar naudojate senesnę „WordPress“ versiją, laikas atnaujinti savo tinklaraštį.

Apsaugokite savo prisijungimą

Šis papildinys naudoja

ŠAPAS jūsų slaptažodžio užšifravimo protokolas. Slaptažodis pirmiausia sūdomas naudojant seanso sugeneruotą atsitiktinį skaičių (nonce), po kurio eina md5 transformacijos algoritmas. Šis rezultatas tada siunčiamas į serverį, kur jis yra iššifruotas ir patvirtintas. Tai yra nulinės konfigūracijos įskiepis, o tai reiškia, kad jį galėsite naudoti iškart suaktyvinę.

2. Slaptas prisijungimas

Slaptas prisijungimas pašalina jūsų prisijungimo puslapį leisdamas jums apibrėžti pasirinktinį prisijungimo puslapį, o ne numatytąjį wp-login.php. Jei jūsų slaptažodis nutekės, įsilaužėliui taip pat bus sunku rasti teisingą prisijungimo URL. Tai tinkama naudoti norint užkirsti kelią kenksmingiems robotams pasiekti jūsų wp-login.php failą ir bandyti įsilaužti.

Prisijungimo užraktas yra naudingas užkertant kelią žiaurios jėgos išpuoliui. Ką „Login LockDown“ daro, tai užregistruoti kiekvieno nepavykusio prisijungimo IP adresą ir laiko žymę. Jei per tą patį IP diapazoną per trumpą laiką aptinkama daugiau nei tam tikras bandymų skaičius, tai užblokuos prisijungimo funkciją ir neleis visiems prisijungti prie to IP diapazono priklausantiems žmonėms.

Šis įskiepis prideda papildomą HTTP autentifikavimą, kad būtų užtikrintas antrasis jūsų tinklaraščio gynybos sluoksnis. Galite nustatyti savo tinklaraščio slaptažodžių apsaugą naudodami „HTTP Basic Authentication“ arba galite pasirinkti saugesnę „HTTP Digest“ autentifikaciją.

Atminkite, kad šis papildinys gali / gali neveikti, atsižvelgiant į jūsų serverio galimybes. Jei jūsų svetainė neišlaiko „AskApache“ konfigūracijos testų (papildinio atlikti testai aptinkami serverio galimybes) susisiekite su savo žiniatinklio priegloba ir sužinokite, ar jie gali atlikti pakeitimus serveryje pusėje.

Šis papildinys sukuria „semisecure“ prisijungimo aplinką, užšifruodamas slaptažodį RSA kriptografija

Apsaugokite savo duomenų bazę

Galbūt kai kuriems iš jūsų duomenų bazės atsarginių kopijų kūrimas gali reikšti varginančią techninę užduotį. Naudodamiesi „WP-DB-Backup“, jums tereikia vieną kartą sukonfigūruoti ir leisti automatiškai paleisti reguliariais laiko tarpais.

Šis papildinys yra automatizuotas duomenų bazės atsarginių kopijų kūrimas ir nusiųstas į el. Pašto dėžutę. Išskyrus numatytąją lentelę, kurią sukūrė „WordPress“, taip pat galite kurti atsarginę papildinių sukurtų pasirinktų lentelių atsarginę kopiją. Tuo atveju, jei jūsų sąskaita stringa, galite lengvai importuoti ir atkurti duomenų bazę su atsargine kopija.

„Wp-DBManager“ yra tarsi „phpmyadmin“ jūsų prietaisų skydelyje. Galite lengvai valdyti duomenų bazę tiesiogiai prietaisų skydelyje. Yra naudingų funkcijų, tokių kaip duomenų bazės optimizavimas / taisymas / atsarginių kopijų kūrimas / atkūrimas. Jei esate pakankamai techninis, netgi galite paleisti savo SQL užklausą pasirinkčių puslapyje.

Blogai, jei bet kuriems įsilaužėliams pavyks prisijungti prie jūsų svetainės, šis įskiepis jiems taps varteliais, siekiant sukurti sumaištį jūsų duomenų bazėje.

8. Pakeisti duomenų bazės lentelės priešdėlį

Numatytasis priešdėlis, kurį naudoja „WordPress“, yra „wp“. Galite lengvai pakeisti priešdėlį į kitus terminus, kuriuos sunku atspėti naudojant „WP-Security-Scan“. Daugiau informacijos apie šį papildinį rasite žemiau.

9. Apsaugokite savo „wp-config.php“ failą

Jūsų „wp-config.php“ faile yra visi prisijungimo prie duomenų bazės kredencialai ir jis turėtų būti paslėptas nuo viešos peržiūros bet kokiomis aplinkybėmis. Savo „htaccess“ faile įrašykite šią eilutę:

įsakymas leisti, paneigti. neigti iš visų. 

kad niekas negalėtų peržiūrėti failo wp-config.php.

Apsaugokite savo administratoriaus puslapį

Šis papildinys verčia SSL visuose puslapiuose, kur galima įvesti slaptažodžius, kad visa perduodama informacija būtų užšifruota.

Tačiau vienas dalykas, kad galėtumėte tai padaryti, turite turėti SSL sertifikatą. Jei nenorite surinkti papildomų pinigų privačiam SSL sertifikatui įsigyti, galite paklausti savo žiniatinklio prieglobos apie bendrinamą SSL. Daugelis žiniatinklio prieglobos visiems klientams teikia bendrą SSL ir ją nesunku sukonfigūruoti.

11. Pakeisti prisijungimo vardą

Paskutinis dalykas, kurį norite padaryti, naudokite „admin“ kaip savo prisijungimo vardą. Kai pirmą kartą įdiegėte „WordPress“, turėtumėte nedelsdami sukurti kitą administratoriaus sąskaitą su savo vartotojo vardu ir slaptažodžiu ir ištrinti „admin“ paskyrą.

Neleiskite kitiems peržiūrėti vidinės failų struktūros

12. Paslėpta WP versija

Daugelyje „WordPress“ temų

skyriuje, visada yra kodo eilutė, rodanti jūsų naudojamą „WordPress“ versiją. Jei atiduosite savo „WordPress“ versijos numerį, tai turės pasakyti hakeriui, ką jis naudoja įsilaužimui į jūsų svetainę.

Nuo WP2.6.5 „WordPress“ tapo dar sunkiau pašalinti wp versiją, nes ji įtraukia šią informaciją į wp_header žyma. Papildinys, kuriuo galite pašalinti tą informaciją, yra „WP-Security-Scan“.

13. WP turinio slėpimas

WP-turinio aplankas yra tas, kuriame išsaugojote visus savo papildinius ir temų failus. Tai vieta, kur norite neleisti kitiems žmonėms žiūrėti. Galite įkelti tuščią rodyklė.html failą į „wp-content“ aplanką arba sukurkite .htaccess failą „wp-content“ aplanke ir pridėkite šią eilutę:

Parinktys Visos -Indexes
14. Blokuokite „wp-folder“ indeksavimą paieškos sistemose
Nors norite, kad paieškos varikliai indeksuotų jūsų tinklaraštį ir pritrauktų daug srauto, paskutinis dalykas, kurį norite pamatyti, yra leisti paieškos varikliams atskleisti savo vidinę failų struktūrą visuomenei. Ką galite padaryti, tai užblokuoti visą jūsų wp-aplanką nuo indeksavimo paieškos variklyje pridedant šiuos įrašus į robot.txt:
Neleisti: / wp- * 
Priežiūra
Aš jau keletą kartų minėjau šį papildinį, todėl laikas man paaiškinti, ką jis daro. „WP-Security-Scan“ patikrina, ar „WordPress“ nėra pažeidžiamumų ir siūlo / siūlo taisomuosius veiksmus. Taisomieji veiksmai apima duomenų bazės priešdėlio pakeitimą, „WordPress“ versijos numerio paslėpimą nuo antraštės ir leidžia išbandyti slaptažodžio stiprumą.
Kartkartėmis pravartu paleisti įmontuotą saugos skaitytuvą ir patikrinti, ar nėra jūsų tinklaraščio saugos pažeidžiamumų.
16. Reguliariai keiskite slaptažodį
Turėtumėte ne tik reguliariai keisti slaptažodį, bet ir įsitikinti, kad jis yra tvirtas. Jei jums sunku juos sukurti, raskite, kaip galite sukurkite stiprius slaptažodžius, kuriuos lengvai įsimenate Kaip sukurti tvirtus slaptažodžius, kuriuos lengvai įsimenate Skaityti daugiau .
17. Atnaujinkite „WordPress“ ir visus papildinius į naujausią versiją
Nereikia nė sakyti, kad geriausias būdas apsisaugoti yra naujovinimas į naujausią „WordPress“ ir papildinių versiją.
Apsaugokite savo ryšį
18. SFTP
Failų perkėlimas į internetinę sąskaitą yra įprastas dalykas. Tačiau užuot naudoję neužtikrintą FTP, turėtumėte naudoti SFTP (Saugus FTP). Tai sukurs SSH ryšį ir visus serverio failus užšifruotus. Jei jums reikia pagalbos kuriant SFTP ryšį, tai yra vadovas.
Pirmiau pateiktos informacijos turėtų pakakti, kad galėtumėte sukurti saugų „WordPress“ tinklaraštį. Jei neįgyvendinote nė vieno iš šių punktų, raginčiau tai padaryti dabar.
Kokius kitus metodus naudojate norėdami apsaugoti savo „WordPress“ tinklaraštį?