Skelbimas

apsaugoti WordPressViso pasaulio robotai atkreipė dėmesį nuo šlamšto laiškų siuntimo iki sistemingo įsilaužimo į „WordPress“ diegimus; tai yra pelningas verslas, atsižvelgiant į tai, kad „WordPress“ valdo 40% visų tinklaraščių. Ypač turint mintyje tai, kad net tapome šio auka, atėjo laikas padaryti išsamų pranešimą apie tai, kaip apsaugoti jūsų paties priglobtą „WordPress“ diegimą.

Pastaba: šis patarimas galioja tik: savarankiškai priglobti „WordPress“ diegimai. Jei naudojate WordPress.com, jums paprastai nereikia rūpintis saugumu, nes jie visa tai tvarko už jus.Kuo skiriasi WordPress.com ir WordPress.org? Kuo skiriasi tinklaraščio tvarkymas „Wordpress.com“ ir „Wordpress.org“?Dabar, kai „Wordpress“ maitina 1 iš 6 svetainių, jos turi daryti ką nors teisingo. Tiek patyrusiems kūrėjams, tiek visam naujokui „Wordpress“ turi ką pasiūlyti. Bet kaip tik jūs pradedate ... Skaityti daugiau

Įdiekite „Google“ dviejų etapų autentifikavimo priemonę

Jei „Gmail“ paskyroje ar kitose paslaugose jau įgalinote dviejų pakopų autentifikavimą, galite naudoti tą pačią autentifikavimo programą su

instagram viewer
šį papildinį skirtas „WordPress“.

Laimei, jūs galite apriboti dviejų etapų autentifikavimą, kad būtų naudojamas tik aukštesnio lygio paskyrose, kad nereikėtų erzinti visų savo vartotojų.

apsaugoti WordPress

Prisijungimo užraktas

Senas papildinys, tačiau vis dar veikia kaip numatyta; Prisijungimo užraktas patikrina bandymų prisijungti IP ir valandai blokuoja IP diapazoną, jei jis nepavyksta 3 kartus per 5 minutes. Paprasta, efektyvu.

Reguliariai darykite atsargines kopijas

Piratai ne tik pakeis vieną failą, bet ir įdės savo valdymo pultą paslėptą, o kitą paslėptos užpakalinės durys - kad net taisydami originalų įsilaužimą jie vėl grįžta atgal ir daro viską vėl. Padarykite kasdienines ar savaitines atsargines kopijas, kad galėtumėte lengvai atkurti vietą, kurioje nebuvo jokių įsilaužėlių pėdsakų - ir būtinai pataisykite, kad jie patektų. Asmeniškai aš tiesiog investavau į 150 USD Atsarginis bičiulis kūrėjo licencija - tai lengviausias ir išsamiausias atsarginis sprendimas, kurį aš dar radau.

apsaugoti WordPress svetainę

Neleisti indeksuoti aplankų

Patikrinkite, ar „WordPress“ diegimo šaknyje nėra .htaccess failo (atkreipkite dėmesį į laikotarpį pradžioje - jums gali reikėti parodyti nematomus failus, kad galėtumėte tai peržiūrėti) ir įsitikinkite, kad jame yra ši eilutė. Jei ne, pridėkite jį - bet pirmiausia pasidarykite atsarginę kopiją, nes šis failas yra gana svarbus.

Parinktys Visos -Indexes

Būkite atnaujinti

Nedarykite tos pačios klaidos, kaip ir mes: visada atnaujinkite „WordPress“, kai tik bus atnaujinimas. Kartais naujiniuose yra nedideli klaidų pataisymai, o ne saugos pataisymai, tačiau jie įgauna įprotį ir jums nekils problemų. Jei įdiegėte daugiau nei vieną „WordPress“ ir negalite sekti jų visų, patikrinkite „ManageWp.com“, visų jūsų tinklaraščių aukščiausios kokybės informacijos suvestinė, apimanti saugos nuskaitymą.

Ne tik pagrindiniai „WordPress“ failai, bet ir papildiniai: vienas didžiausių praeities „WordPress“ nulaužimų apėmė bendro miniatiūrų generatoriaus scenarijaus, vadinamo, pažeidžiamumą. timthumb.php, ir vis dar yra temų, kurios naudoja senąją versiją. Nors papildiniai buvo greitai atnaujinti, be abejo, sunkiau nuolat atnaujinti temas - „WordPress“ to nepasakys jums, jei jūsų tema yra pažeidžiama, ir tam jūs turėsite kažkokį saugos nuskaitymo papildinį - slinkite žemyn iki Saugumo papildiniai žemiau pateiktą skyrių, kuriame pateikiami keli pasiūlymai.

Niekada neatsisiųskite atsitiktinių temų

Jei nežinote, ką darote su PHP kodu, labai lengva atsidurti spąstais atsisiųsti gražią atsitiktinę temą iš kai kur, tik tam, kad surastumėte, jame yra koks nors bjaurus kodas - dažniausiai atvirkštinės nuorodos, kurių jūs negalite pašalinti, bet blogiau gali būti rasta. Laikykitės aukščiausios klasės ir gerai žinomų temų dizainerių (toks kaip Smashing Magazine arba „WPShower“)arba nemokamoms temoms naudokite tik „WordPress“ temų katalogą.

Ištrinkite nenaudojamus papildinius ir temas

Kuo mažiau vykdomojo kodo turite savo serveryje, tuo geriau - pašalinkite seną, pažeidžiamą kodą, ištrindami temas ir papildinius, kurių nebenaudojate. Jų išjungimas tiesiog sustabdys jų funkcijų įkėlimą naudojant „WordPress“, tačiau patį kodą vis tiek gali įvykdyti įsilaužėlis.

Pašalinkite signalinės lemputės meta iš antraštės

Pagal numatytuosius nustatymus „WordPress“ transliavo savo versiją visam pasauliui pagal jūsų antraštės failo kodą - paprastas būdas įsilaužėliams nustatyti senesnius diegimus. Pridėkite šias eilutes prie savo temos funkcijos.php failą norėdami pašalinti „WordPress“ versiją, „Windows Live Writer“ informaciją ir eilutę, kuri padeda nuotoliniams klientams rasti jūsų XML-RPC failą.

pašalinti_veikimą ('wp_head', 'wp_generator'); pašalinti_veikimą ('wp_head', 'wlwmanifest_link'); pašalinti_veikimą ('wp_head', 'rsd_link');

Pašalinkite „admin“ sąskaitą

Dauguma žiaurių jėgų išpuolių prieš „WordPress“ yra pakartotinai bandomi administratorius paskyra - numatytoji visų „WordPress“ diegimų - ir bendrųjų slaptažodžių žodynas. Jei prisijungiate naudodami administratorių arba turite administratoriaus paskyrą, nurodytą jūsų vartotojų lentelėje, esate pažeidžiami.

Du būdai tai ištaisyti: arba naudoti wp-optimizuoti įskiepį - puikus įskiepis, kuris, be kita ko, leidžia išjungti skelbimų taisymą ir optimizuoti duomenų bazę - pervadinti admin sąskaitą. Arba tiesiog sukurkite kitą abonementą su administratoriaus teisėmis, prisijunkite kaip naujas vartotojas, tada ištrinkite „admin“ paskyrą, priskirdami visas žinutes naujajam vartotojui.

apsaugoti WordPress svetainę

Saugūs slaptažodžiai

Net jei išjungėte administratoriaus paskyrą, gali būti įmanoma nustatyti administratoriaus paskyros naudotojo vardą - tada vėl esate pažeidžiamas žiaurios jėgos išpuolio. Vykdykite griežtą 16 ar daugiau atsitiktinių simbolių slaptažodžio politiką, susidedančią iš didžiosios ir mažosios raidės, skyrybos ženklų ir skaičių.

Arba tiesiog naudokite reallyLongSentenceThatsEasyToRememMethod.

Išjunkite failų redagavimą „WordPress“

Tiems, kurie nemėgsta prisijungti per FTP, „WordPress“ yra lengvas temų ir įskiepių PHP failų redaktorius administratoriaus prietaisų skydelyje - tačiau tai padaro jūsų įdiegimą pažeidžiamą, jei kas nors įgyja prieigą. Tiesą sakant, šitaip kažkas sugebėjo įterpti kenkėjiškų programų peradresavimą į mūsų antraštę. Pridėkite šią eilutę prie savo apačios wp-config.php (šakniniame aplanke), kad būtų išjungtos visos failų redagavimo funkcijos - ir naudokite SFTP Kuo SSH skiriasi ir kuo jis skiriasi nuo FTP [Technology Explained] Skaityti daugiau vietoj to, kad prisijungtumėte prie savo serverio.

apibrėžti ('DISALLOW_FILE_EDIT', tiesa);

Slėpti prisijungimo klaidas

Neteisingas slaptažodis arba neteisingas vartotojo vardas gali būti identifikuojami pagal klaidas, pateiktas prisijungiant, kurios gali būti naudojamos norint identifikuoti prievartos reikalaujančias paskyras. Akivaizdu, kad tai nėra gerai, todėl nužudykite klaidas pateikdami šį jūsų temos papildymą funkcijos.php byla

funkcija no_errors_please () {grąžinti 'Ne'; } add_filter ('login_errors', 'no_errors_please');

Suaktyvinkite „Cloudflare“

„CloudFlare“ ne tik pagreitina jūsų svetainę, bet ir sumažina daugelį žinomų robotinių tinklų ir skaitytuvų, kad jie net nepatektų į jūsų tinklaraštį. Skaitykite viskas apie „CloudFlare“ Apsaugokite ir paspartinkite savo svetainę nemokamai naudodami „CloudFlare“„CloudFlare“ yra intriguojantis projekto „Medaus puodo“ kūrėjų startas, kuris teigia saugantis savo svetainę nuo nepageidaujamų adresų platintojų, „robotų“ ir kitų piktų interneto monstrų - taip pat paspartinkite savo svetainę šiek tiek... Skaityti daugiau čia. Diegimas atliekamas vienu paspaudimu, jei esate priglobti „MediaTemple“, priešingu atveju jums reikės prieigos prie domeno valdymo skydelio, kad pakeistumėte vardų serverius.

apsaugoti WordPress svetainę

Saugumo papildiniai

  • Geresnis WP saugumas įgyvendina daugelį šių taisymų jums ir yra pats išsamiausias nemokamas sprendimas.apsaugoti WordPress
  • „WordFence“ yra „premium“ paketas, kuris aktyviai nuskaito jūsų failus, norėdamas rasti kenkėjiškų programų nuorodų, peradresavimų, žinomų pažeidžiamumų ir pan., ir juos taiso. Vienos svetainės kaina prasideda nuo 18 USD per metus.
  • Prisijungimo saugumo sprendimas abu apriboja prisijungimo bandymus ir vykdo saugius slaptažodžius.
  • „BulletProof“ saugumas yra išsamus, bet sudėtingas papildinys, nagrinėjantis kai kuriuos labiau techninius aspektus, tokius kaip XSS įpurškimas ir .htaccess problemos. Taip pat galimas papildinio patvirtinimas, kuris automatizuoja didžiąją proceso dalį.

Manau, sutiksite, kad tai yra gana išsamus „WordPress“ sukietėjimo veiksmų sąrašas, tačiau aš nesiūlau jums įgyvendinti visi jų. Jei turėčiau visa tai daryti su kiekviena svetaine, kurią kada nors sukūriau, vis tiek nustatyčiau ją dabar. Bet kokio tipo sistemos valdymas kelia riziką, o jūs turite surasti pusiausvyrą tarp norimo saugumo lygio ir pastangų, kurias norite įdėti, kad užtikrintumėte tai - niekada niekas nepadės šimtui procentų saugus. Žemai kabantys vaisiai yra šie:

  • „WordPress“ atnaujinimas
  • Išjungiama administratoriaus paskyra
  • Dviejų žingsnių autentifikavimo pridėjimas
  • Saugos papildinio diegimas

Tai darydami vien tik jūs turėtumėte sudaryti daugiau nei 99% visų kitų tinklaraščių, o to pakanka, kad potencialūs įsilaužėliai galėtų pereiti prie lengvesnių taikinių.

Ar manote, kad aš kažko praleidau? Papasakok man komentaruose.

Jamesas yra dirbtinio intelekto bakalauras ir yra CompTIA A + bei Network + sertifikuotas. Jis yra pagrindinis „MakeUseOf“ kūrėjas ir laisvalaikį praleidžia žaisdamas VR dažasvydį ir stalo žaidimus. Nuo mažens jis statė kompiuterius.