Główna » WordPress » Hartowanie WordPress Security 25 Essential Plugins + Tips

    Hartowanie WordPress Security 25 Essential Plugins + Tips

    Jeśli korzystasz ze strony internetowej opartej na WordPress, jej bezpieczeństwo powinno być Twoim głównym celem. W większości przypadków blogi WordPress są zagrożone, ponieważ ich podstawowe pliki i / lub wtyczki są nieaktualne; nieaktualne pliki są identyfikowalne i jest to otwarte zaproszenie dla hakerów.

    Jak zapewnić Ci bloga z dala od złych? Na początek upewnij się, że zawsze jesteś na bieżąco z najnowszą wersją WordPress. Ale jest więcej. W dzisiejszym poście chciałbym podzielić się z Tobą kilkoma użytecznymi wtyczkami, a także kilkoma wskazówkami, aby wzmocnić zabezpieczenia WordPress.

    Pełna lista po skoku!

    Wtyczki dla lepszego bezpieczeństwa

    Kopia zapasowa WP DBWP DB Backup to łatwy w użyciu plugin, który pozwala na tworzenie kopii zapasowych podstawowych tabel bazy danych WordPress za pomocą kilku kliknięć. Poza tym jest to tak proste, że jest to również jedna z najczęściej używanych wtyczek do zabezpieczania Twojej strony opartej na WP.

    Skanowanie WP SecurityDzięki tej wtyczce skanowanie witryny opartej na WordPress będzie prostym zadaniem. Znajduje luki w witrynie i oferuje przydatne wskazówki dotyczące ich usuwania.

    Zapytaj o ochronę hasłem ApacheTa wtyczka nie kontroluje WordPressa ani nie bałagan z twoją bazą danych, zamiast tego wykorzystuje szybkie, sprawdzone i wbudowane funkcje bezpieczeństwa, aby dodać wiele warstw zabezpieczeń do Twojego bloga.

    Stealth LoginWtyczka Stealth Login pomoże ci stworzyć niestandardowe adresy URL do logowania, rejestracji i wylogowania z WordPress.

    Zablokuj logowanieLockdown logowania pomoże ci zablokować próby na pewien czas po zalogowaniu się do panelu administracyjnego po kilku próbach.

    Menedżer WP-DBTo kolejna świetna wtyczka, która umożliwia zarządzanie bazą danych WP. Może być używany jako alternatywa dla programu WordPress Backup Manager.

    Admin SSL Secure PluginKolejna wtyczka do zabezpieczania panelu administracyjnego. Działa na szyfrowaniu SSL i jest naprawdę przydatny przeciwko hakerom lub osobom próbującym uzyskać nieautoryzowany dostęp do twojego panelu. To rywal dla wtyczki Chap Secure Login.

    Blokada użytkownikaJeśli chcesz uniknąć brutalnego hakowania swojej witryny, wtyczka User Locker jest właśnie dla Ciebie. Działa w tym samym systemie co Login Lockdown, jednak jest to pięciogwiazdkowa, oceniana wtyczka WP, która cieszy się dużą popularnością wśród użytkowników.

    Ogranicz próby logowaniaLimit Login Próba zablokowania adresu internetowego przed podjęciem dalszych prób po osiągnięciu określonego limitu ponownych prób, co utrudnia lub uniemożliwia atak siłowy.

    Szyfrowanie logowaniaZaloguj się Szyfruj to wtyczka bezpieczeństwa. Wykorzystuje złożoną kombinację DES i RSA do szyfrowania i zabezpieczania procesu logowania do panelu administracyjnego.

    Jednorazowe hasłoTa unikalna wtyczka pomoże Ci ustawić jednorazowe hasło do logowania, aby zapobiec rejestrowaniu niechcianych użytkowników z kafejek internetowych lub takich.

    AntywirusAntywirus to dość popularna wtyczka zabezpieczająca, która pomoże Ci zabezpieczyć bloga przed botami, wirusami i złośliwym oprogramowaniem.

    Złe zachowanieBad Behavior to wtyczka, która pomaga walczyć z tymi denerwującymi spamerami. Wtyczka nie tylko pomoże Ci zapobiegać spamowaniu na twoim blogu, ale także spróbuje ograniczyć dostęp do Twojego bloga, aby nie mogli go nawet przeczytać.

    Skaner ExploitPrzeszukaj pliki i bazę danych twojej instalacji WordPress pod kątem znaków, które mogą wskazywać, że pliki lub baza danych padły ofiarą złośliwych hakerów. Nawet jeśli to kolejna wtyczka skanowania, warto spróbować.

    Usuwanie spamu użytkownikaNazwa wtyczki informuje o jej funkcjach, popularnej wtyczce, która pomoże Ci zapobiegać niechcianym wiadomościom spamowym i je usuwać.

    Blokuj złe zapytania Ta wtyczka próbuje zablokować wszystkie złośliwe zapytania próbowane na twoim serwerze i blogu WordPress. Działa w tle, sprawdzając nadmiernie długie łańcuchy żądań (tj. Większe niż 255 znaków), a także obecność albo „eval (” lub „base64” w URI żądania.

    8 niezbędnych wskazówek

    Zmiana domyślnych prefiksów „wp_”

    Twoja witryna może być zagrożona, jeśli używasz przewidywalnych prefiksów wp_ w swojej bazie danych. Poniższy samouczek uczy, jak je zmienić za pomocą phpMyAdmin w 5 prostych krokach.

    Możesz to również zrobić za pomocą wtyczki WP Security Scan.

    Ukryj komunikaty o błędach logowania

    Komunikaty o błędach logowania mogą ujawniać i dawać hakerom pomysł, czy otrzymali poprawną / niepoprawną nazwę użytkownika, i odwrotnie. Dobrze jest ukryć to przed nieautoryzowanym logowaniem.

    Aby ukryć komunikaty o błędach logowania, po prostu umieść następujący kod w functions.php

    add_filter ('login_errors', create_function ('$ a', "return null;"));

    [Źródło]

    Zachowaj ochronę wp-admin Directory

    Ochrona folderu „wp-admin” zapewnia dodatkową warstwę ochrony. Ktokolwiek spróbuje uzyskać dostęp do plików lub katalogu po „wp-admin”, zostanie poproszony o zalogowanie się.

    Ochronę folderu „wp-admin” za pomocą loginu i hasła można wykonać na kilka sposobów:

    • Wtyczka WordPress - Korzystanie z wtyczki WordPress AskApache Password Protect.
    • cPanel - Jeśli twój hosting obsługuje logowanie administratora cPanel, możesz łatwo ustawić ochronę na dowolnym folderze za pomocą cPanel Katalogi ochrony hasłem Graficzny interfejs użytkownika. Dowiedz się więcej z tego samouczka.
    • .htaccess + htpasswd - Tworzenie folderu chronionego hasłem można również łatwo zrobić, ustawiając foldery, które chcesz chronić .htaccess i użytkownicy mogą uzyskać dostęp do środka .htpasswd. Poniższy samouczek pokazuje, jak to zrobić w 7 krokach.

    Konserwacja kopii zapasowych

    Przechowywanie kopii zapasowych całego bloga WordPress jest równie ważne, jak ochrona witryny przed hakerami. Jeśli to się nie powiedzie, przynajmniej musisz odzyskać czyste pliki kopii zapasowych.

    Wcześniej omówiliśmy listę rozwiązań do tworzenia kopii zapasowych plików WordPress i bazy danych, w tym zarówno przydatne wtyczki, jak i usługi tworzenia kopii zapasowych.

    Zapobiegaj przeglądaniu katalogów

    Kolejną dużą luką w zabezpieczeniach jest ujawnianie katalogów (i wszystkich ich plików) i udostępnianie ich publicznie. Oto prosty test sprawdzający, czy katalogi WordPress są dobrze chronione:

    • Wpisz następujący adres URL w przeglądarce, bez cudzysłowów. „http://www.domain.com/wp-includes/”

    Jeśli pokazuje puste miejsce lub przekierowuje Cię z powrotem do strony głównej, jesteś bezpieczny. Jeśli jednak widzisz ekran podobny do poniższego obrazu, nie jesteś.

    Aby uniemożliwić dostęp do wszystkich katalogów, umieść ten kod w swoim .htaccess plik.

    # Zapobiegaj przeglądaniu folderów Opcje Wszystkie -Indeksy

    Aktualizuj podstawowe pliki i wtyczki WordPress

    Jednym z najbezpieczniejszych sposobów na zabezpieczenie witryny WordPress jest upewnienie się, że pliki są zawsze aktualizowane do najnowszej wersji. Oto kilka sposobów (praktyk), które możesz wykonać:

    • Zaloguj się często do Dashboard - Żółte powiadomienie pojawi się na górze pulpitu nawigacyjnego, jeśli dostępna jest aktualizacja. Zaloguj się często i bądź na bieżąco z najnowszą kopią podstawowych plików WordPress.
    • Dezaktywuj i usuń nieużywane wtyczki - Niewykorzystana wtyczka w końcu stanie się przestarzała i może stanowić zagrożenie bezpieczeństwa. Jeśli go nie używasz, usuń go.
    • Subskrybuj do WordPress prasowe RSS.

    Wybierz silne hasło

    Czy twoje hasło jest bezpieczne? Silne i bezpieczne hasło to coś więcej niż tylko zapamiętywanie za pomocą liczb (np. John123). Na początek powinien składać się z więcej niż 12 znaków z kombinacją cyfr i alfabetów w dolnej i górnej części.

    Oto kilka aplikacji, które pozwalają generować silne hasło:

    • GoodPassword
    • Multicians
    • KeePass
    • LastPass
    • PcTools
    • 1 Hasło

    Alternatywnie możesz również sprawdzić, jak silne (i bezpieczne) jest twoje obecne hasło z howsecureismypassword.net.

    Usuń użytkownika admin

    Typowa instalacja WordPress pochodzi od domyślnego użytkownika o nazwie „admin”. Jeśli to jest nazwa użytkownika do Twojej witryny WordPress, to już sprawiasz, że życie hakerów jest o 50% łatwiejsze. Przez cały czas należy unikać używania użytkownika „admin”.

    Bezpieczniejsze podejście do bezpiecznego logowania się do administratora polega na utworzeniu nowego administratora i usunięciu „administratora”. A oto jak to zrobić:

    1. Zaloguj się do panelu administracyjnego WordPress
    2. Iść do Użytkownicy -> Dodaj nowe
    3. Dodaj nowego użytkownika za pomocą Administrator rola, upewnij się, że używasz silnego hasła.
    4. Wyloguj się z WordPressa, ponownie zaloguj się za pomocą nowego użytkownika admin.
    5. Iść do Użytkownicy
    6. Usuń użytkownika „admin”
    7. Jeśli „admin” ma posty, pamiętaj, aby przypisać wszystkie posty i linki do nowego użytkownika.

    Więcej przydatnych zasobów:

    • Hartowanie WordPress (WordPress)
    • FAQ na temat bezpieczeństwa WordPress (WordPress)
    • Co zrobić, jeśli witryna jest zhakowana (WordPress)
    • Rozumiem .htaccess i .htpasswd (Apache)
    • Rozumiem .htaccess i .htpasswd (Javascriptkit.com)
    • Ochrona katalogu wp-admin (nicolaskuttler.com)
    • Czyszczenie włamanej instalacji WordPressa (Blogsblogsblogs.com)