10 mało znanych, bardzo skutecznych wskazówek, aby zabezpieczyć swój blog WordPress
Złamanie bloga i utrata pracy blogowej przez wiele lat to smutna rzeczywistość, przez którą ludzie naprawdę przeszli. Badania pokazują, że każdego dnia hakowanych jest 37 000 stron internetowych, a dzięki WordPressowi zasilającemu około 25,4% wszystkich stron internetowych, możesz być pewien, że wiele blogów WordPress jest hackowanych każdego dnia.
Ochrona WordPress to zupełnie inna gra; gdy już posiadasz blog WordPressa, porady takie jak posiadanie nazwy użytkownika, która jest trudna do odgadnięcia i hasło, które jest tak twarde jak skała, nie są już wystarczające. ZA motyw pojedynczego buggy, niewłaściwy plugin lub niepoprawnie chroniony plik może spowodować, że Twój blog zostanie zhakowany przez noc.
Bez względu na to, czy jesteś doświadczony w WordPressie, czy korzystasz z platformy od czasu jej istnienia, ten artykuł ma 10 praktycznych i skutecznych sposobów zabezpieczenia bloga WordPress każdy może wdrożyć. Większość z tych porad nie znajdziesz w popularnych artykułach „Jak zabezpieczyć swojego bloga”, ale pewnego dnia mogą one zapisać Twój blog!
1. Wyłącz edytor motywów i wtyczek WordPress
WordPress ma poręczną funkcję, która zapewnia właścicielom witryny większą elastyczność, umożliwiając im dostosowanie i edycję motywów i wtyczek bezpośrednio z pulpitu nawigacyjnego WordPress, ale ta funkcja jest cofnięciem większości blogów.
Dzięki tej funkcji a drobny błąd może spowodować awarię witryny i zablokować dostęp do własnej witryny. Hakerzy mogą łatwo wstawić złośliwy kod do swojego motywu, aby zapewnić im dostęp do Twojej witryny lub nawet całkowicie przejąć witrynę, uzyskując kontrolę nad kontem, które ma wystarczające uprawnienia do korzystania z edytora motywów i wtyczek.
Możesz się zabezpieczyć, wyłączając wtyczkę i edytor motywów, uniemożliwienie modyfikacji motywów i wtyczek bez dostępu do FTP.
W tym celu dodaj następujący kod do pliku wp-config.php:
define ('DISALLOW_FILE_EDIT', true);
2. Włącz uwierzytelnianie dwuskładnikowe
Dwuskładnikowe uwierzytelnianie szybko staje się jednym z najbardziej niezawodnych sposobów ochrony kont online, a najbardziej niezawodne witryny będą nalegać, aby ich użytkownicy włączyli je.
Chociaż WordPress niekoniecznie ma wbudowane uwierzytelnianie dwuskładnikowe, można włączyć dwustopniowe uwierzytelnianie na swoim blogu, instalując następujące wtyczki:
- Google Authenticator
- Authy
- Klucz wiolinowy
- Rublon
3. Ogranicz loginy na podstawie liczby nieudanych prób
Hakerzy próbują uzyskać dostęp do twojego bloga na wiele sposobów, a jedną z najczęściej stosowanych technik jest atak bruteforce: haker próbuje wielokrotnie kombinować nazwy użytkowników i hasła, dopóki nie będzie w stanie pomyślnie uzyskać dostępu Twój blog.
Domyślnie WordPress nie jest chroniony przed tym atakiem. Instalując wtyczki, które ograniczają logowania po pewnej liczbie nieudanych prób z określonego adresu IP, hakerom może być znacznie trudniej uzyskać dostęp do Twojego bloga.
Wtyczka Jetpack Protect Module może również chronić przed atakami bruteforce.
4. Regularnie skanuj swój blog
Pliki tematyczne, wtyczki, linki i inne pozornie nieszkodliwe elementy mogą zostać wykorzystane do uzyskania dostępu do bloga. Nie czekaj, aż Twoja strona zostanie w pełni zainfekowana, zanim podejmiesz odpowiednie kroki. Zamiast tego zainstaluj wtyczki do skanowania bezpieczeństwa, aby regularnie skanować witrynę i powiadamiać o zmianach plików.
Dobrym przykładem wtyczki do skanowania bezpieczeństwa jest Wordfence. Oprócz możliwości ręcznego / automatycznego skanowania bloga WordPress, natychmiast powiadamia Cię, gdy podejrzewasz, że na Twoim blogu pojawi się podejrzana aktywność.
Wysyła także informacje o potencjalnie złośliwych komentarzach i to porównuje pliki motywów i wtyczek z repozytorium WordPress do daj znać, czy twoja wersja wtyczki lub motywu została zmodyfikowana i może potencjalnie służyć jako backdoor dla hakerów na Twojej stronie.
Inne wtyczki bezpieczeństwa, które mogą pomóc w skanowaniu bloga w poszukiwaniu złośliwego oprogramowania i exploitów, to:
- Skaner bezpieczeństwa Sucuri
- Acunetix WP Security
- iThemes Security (wcześniej znany jako „Better WP Security”)
5. Zmień swojego hosta
Choć brzmi to jak uproszczona rada, ma naprawdę dużą wagę. Badania pokazują, że 41% zhakowanych stron WordPress było włamany przez lukę bezpieczeństwa na swojej platformie hostingowej. To znacznie więcej niż z innych źródeł, w tym ze słabym hasłem.
Twój host może odegrać ważną rolę w tym, czy zostaniesz zhakowany, czy nie; upewnij się, że tylko ty przejdź do niezawodnych hostów internetowych, które przetrwały próbę czasu i to przestrzegać najlepszych praktyk branżowych.
6. Ukryj swój numer wersji WordPress
Domyślnie WordPress wyświetla numer wersji WordPress; Ułatwia to WordPressowi śledzenie, ile blogów WordPress jest aktywnych na całym świecie. Jednak może to być również ogromne źródło problemu; hakerzy i boty mogą skanuj sieć w poszukiwaniu blogów za pomocą numer wersji WordPress ze znaną luką, czyniąc cię łatwym celem.
Możesz łatwo rozwiązać ten problem przez ukrywanie numeru wersji WordPress. Aby ukryć swój numer wersji WordPress, po prostu dodaj następujący kod do pliku functions.php:
add_filter ('the_generator', '__return_null');
7. Wyłącz raporty o błędach PHP
Gdy wtyczka lub motyw nie działa dobrze na blogu WordPress, raporty o błędach PHP mogą pomóc, wyświetlając komunikat, który ujawnia przyczynę błędu. Jednak w tej przewadze leży niedogodność: gdy zgłaszany jest błąd PHP, to zawiera pełną ścieżkę serwera błędu, ujawniając informacje które hakerzy mogą wykorzystać przeciwko tobie.
Możesz się chronić wyłączanie raportowania błędów PHP. Po prostu dodaj następujący kod do swojego pliku wp-config.php:
error_reporting (0); @ini_set ('display_errors', 0);
8. Pracuj nad uprawnieniami do plików WordPress
Jeśli chodzi o zapobieganie atakom ze strony witryny WordPress, konieczne jest upewnij się, że masz odpowiednie uprawnienia do plików. Utrudnia to hakerowi manipulowanie wtyczkami, motywami lub plikami na serwerze w celu przejęcia witryny.
Upewnij się, że WordPress teczka uprawnienia są ustawione na 755 lub 750; plik uprawnienia są ustawione na 640 lub 644; i że uprawnienie wp-config.php jest ustawione na 600.
9. Zapewnij regularne kopie zapasowe
Nawet duże witryny internetowe z zespołem ekspertów ds. Bezpieczeństwa i konsultantów zostają zhakowane, a chociaż stosowanie najlepszych praktyk może uczynić Twoją witrynę silniejszą niż 99,9% stron internetowych, może się jeszcze zdarzyć.
Najlepszym zabezpieczeniem przed atakami hakerskimi WordPress jest dobra kopia zapasowa; upewnij się, że regularnie tworzysz kopie zapasowe swojej witryny - jeśli to możliwe, codziennie. W ten sposób, jeśli twoja strona jest zhakowana, masz swoje pliki na miejscu i może natychmiast przywrócić rzeczy.
Oto niektóre z najlepszych wtyczek do tworzenia kopii zapasowych WordPress:
- BackUpWordPress
- Gotowy! Utworzyć kopię zapasową
- VaultPress
- BackupBuddy
10. Ogranicz dostęp do strony logowania
Kiedy pchnięcie przychodzi, musisz podjąć drastyczne działania. Bardzo niezawodnym sposobem ochrony bloga przed próbami włamania jest całkowicie blokuje dostęp do strony wp-admin i wp-login.php.
Jest to zalecane tylko w przypadku użyj jednego adresu IP, który się nie zmienia (nie chcesz blokować się na swoim blogu!). Nadal możesz użyć tej opcji, jeśli używasz więcej niż jednego adresu IP, ale śledzisz te adresy.
Aby ograniczyć dostęp do strony logowania, dodaj następujący kod do pliku .htaccess:
RewriteEngine na RewriteCond% REQUEST_URI ^ (. *)? Wp-login php (. *) $ [OR] RewriteCond% REQUEST_URI ^ (. *)? Wp-admin $ RewriteCond% REMOTE_ADDR! ^ Twój Adres IP 1 $ RewriteCond% REMOTE_ADDR! ^ Twój adres IP 2 $ RewriteCond% REMOTE_ADDR! ^ Twój adres IP 3 $ RewriteCond% REMOTE_ADDR! ^ Twój adres IP 4 $ RewriteCond% REMOTE_ADDR! ^ Twój adres IP 5 $ RewriteRule ^ (. *) $ - [R = 403, L]
Pamiętaj, aby edytować Twój adres IP 1 do Twój adres IP 5 z różnymi adresami IP, do których chcesz uzyskać dostęp; możesz po prostu dodać lub usunąć linię, aby zezwolić lub uniemożliwić dostęp do Twojej witryny większej liczbie adresów IP.
Wniosek
Oczywiście nie powinieneś ignorować podstawowych wskazówek dotyczących bezpieczeństwa, takich jak nieużywanie przewidywalnej nazwy użytkownika, posiadanie silnego hasła, regularne aktualizowanie instalacji WordPress itp. Powyższe są jednak mało znanymi, często ignorowanymi poradami bezpieczeństwa, które mogą sprawić, że Twoje Blog WordPress jest nieco bezpieczniejszy.
Nota redaktora: Ten post gościa jest napisany dla Hongkiat.com przez John Stevens. John jest ekspert WordPress i hosting. Jest założycielem i dyrektorem generalnym HostingFacts.com, portal, w którym ocenia i ocenia hosty internetowe na podstawie wydajności.