Reklāma

aizsargāt WordPressVisā pasaulē robottīkli ir pievērsuši uzmanību no surogātpasta e-pastu izsūtīšanas līdz sistemātiskai uzlauzšanai WordPress instalācijās; tas ir ienesīgs bizness, ņemot vērā, ka WordPress pārvalda 40% no visiem emuāriem. Īpaši ņemot vērā, ka pat tad, ja mēs kļuvām par tā upuri, ir pienācis laiks veikt visaptverošu ierakstu par to, kā aizsargāt jūsu pašu mitinātu WordPress instalēšanu.

Piezīme: šis ieteikums attiecas tikai uz sevis mitināta WordPress instalēšana. Ja jūs izmantojat WordPress.com, jums parasti nav jārūpējas par drošību, jo viņi visu apstrādā ar jums.Kāda ir atšķirība starp WordPress.com un WordPress.org? Kāda ir atšķirība starp jūsu emuāra darbību vietnē Wordpress.com un Wordpress.org?Tā kā Wordpress tagad darbina 1 no katrām 6 vietnēm, tām ir jādara kaut kas pareizi. Gan pieredzējušiem izstrādātājiem, gan pilnīgajam iesācējam Wordpress piedāvā jums kaut ko. Bet tāpat kā jūs sākat ... Lasīt vairāk

Instalējiet Google divpakāpju autentificētāju

Ja jūsu Gmail kontam vai citiem pakalpojumiem jau ir iespējota divpakāpju autentifikācija, varat izmantot to pašu autentifikatora lietotni ar

instagram viewer
šis spraudnis programmai WordPress.

Par laimi, jūs varat ierobežot divpakāpju autentifikāciju, lai to izmantotu tikai augšējā līmeņa kontos, lai jūs nekaitinātu visus savus lietotājus.

aizsargāt WordPress

Pieteikšanās bloķēšana

Vecs spraudnis, bet joprojām darbojas kā paredzēts; Pieteikšanās bloķēšana pārbauda pieteikšanās mēģinājumu IP un uz stundu bloķē IP diapazonu, ja tas neizdodas 3 reizes 5 minūšu laikā. Vienkārši, efektīvi.

Regulāri veiciet dublējumus

Hakeri ne tikai mainīs vienu failu, bet arī novietos savu vadības paneli paslēptā un citur slēptās aizmugures durvis - lai pat ja jūs salabotu oriģinālo uzlauzšanu, viņi atgriežas atpakaļ un visu izdara atkal. Veiciet ikdienas vai iknedēļas dublējumkopijas, lai jūs varētu viegli atjaunot vietu, kur hakerim nebija nekādu pēdu - un pārliecinieties, ka ielāgojat visu, kas tika darīts, lai iekļūtu. Personīgi es tikko ieguldīju USD 150 Rezerves draugs izstrādātāja licence - tas ir vienkāršākais un visaptverošākais rezerves risinājums, ko līdz šim esmu atradis.

aizsargāt WordPress vietni

Novērst mapju indeksēšanu

Pārbaudiet WordPress instalācijas sakni .htaccess failam (ievērojiet periodu sākumā - jums, iespējams, vajadzēs parādīt neredzamus failus, lai to aplūkotu), un pārliecinieties, vai tam ir šāda rinda. Ja nē, pievienojiet to - bet vispirms izveidojiet dublējumu, jo šis fails ir diezgan svarīgs.

Iespējas Visas -Indexes

Palieciet atjaunināts

Neveiciet to pašu kļūdu kā mēs: vienmēr jauniniet WordPress, tiklīdz ir pieejams atjauninājums. Dažreiz atjauninājumos ir ietverti nelieli kļūdu labojumi, nevis drošības labojumi, taču tie nonāk ieradumā, un jums nebūs problēmu. Ja jums ir vairāk nekā viena WordPress instalēšana un nevarat izsekot tiem visiem, pārbaudiet PārvaldībaWp.com, piemaksu informācijas panelis visiem jūsu emuāriem, kas ietver drošības skenēšanu.

Ne tikai galvenie WordPress faili, bet arī spraudņi: viens no lielākajiem pagātnes WordPress hakeriem bija saistīts ar ievainojamību kopējā sīktēlu ģenerētāja skriptā ar nosaukumu timthumb.php, un joprojām pastāv tēmas, kurās tiek izmantota vecā versija. Lai arī spraudņi tika ātri atjaunināti, protams, ir grūtāk atjaunināt motīvus - WordPress to nestāstīs jūs, ja jūsu tēma ir neaizsargāta, un tāpēc jums būs kāds drošības skenēšanas spraudnis - ritiniet uz leju līdz Drošības spraudņi zemāk esošajā sadaļā daži ieteikumi.

Nekad nelādējiet izlases motīvas

Ja vien jūs nezināt, ko jūs darāt ar PHP kodu, ir ļoti viegli iekļūt slazdā, lai lejupielādētu jauku izlases tēmu no kaut kur, tikai lai atrastu, tur ir kāds šķebinošs kods - visbiežāk atpakaļsaišu saites, kuras nevar noņemt, bet sliktāk var būt atrasts. Pieturieties pie izciliem un labi zināmiem tematikas dizaineriem (piemēram, Smashing Magazine vai WPShower)vai bezmaksas tēmām izmantojiet tikai WordPress motīvu direktoriju.

Dzēsiet neizmantotos spraudņus un motīvus

Jo mazāk izpildāmā koda ir jūsu serverī, jo labāk - noņemiet vecu, neaizsargātu kodu, izdzēšot motīvus un spraudņus, kurus vairs nelietojat. To atspējošana vienkārši pārtrauks viņu funkcionalitātes ielādi, izmantojot WordPress, taču pats kods joprojām var būt izpildāms hakeris.

Noņemiet galvenē esošo signalizatoru Meta

Pēc noklusējuma WordPress apraidīja savu versiju pasaulei galvenes faila kodā - vienkāršs veids hakeriem noteikt vecākas instalācijas. Pievienojiet savam motīvam šādas rindiņas funkcijas.php failu, lai noņemtu WordPress versiju, Windows Live Writer informāciju un līniju, kas attāliem klientiem palīdz atrast jūsu XML-RPC failu.

noņemt_darbību ('wp_head', 'wp_generator'); noņemt_darbību ('wp_head', 'wlwmanifest_link'); noņemt_darbību ('wp_head', 'rsd_link');

Noņemiet kontu “admin”

Lielākā daļa brutālu spēku uzbrukumu WordPress ir saistīti ar atkārtotu izmēģināšanu admin konts - noklusējums visām WordPress instalācijām - un parasto paroļu vārdnīca. Ja piesakāties, izmantojot administratoru, vai arī lietotāja tabulā ir norādīts administratora konts, jūs esat pret to neaizsargāts.

Divi veidi, kā to labot: vai nu izmantojiet wp-optimizēt spraudni - lielisks spraudnis, kas cita starpā ļauj atspējot rediģēšanu un veikt datu bāzes optimizāciju - pārdēvēt administratora kontu. Vai vienkārši izveidojiet citu kontu ar administratora privilēģijām, piesakieties kā jaunais lietotājs, pēc tam izdzēsiet kontu “admin”, un visas ziņas piešķiriet jaunajam lietotājam.

aizsargāt WordPress vietni

Drošas paroles

Pat ja esat atspējojis administratora kontu, iespējams, būs iespējams noteikt sava administratora konta lietotājvārdu - šajā brīdī jūs atkal esat neaizsargāts pret brutāla spēka uzbrukumu. Ieviesiet stingru paroļu politiku, kurā ir 16 vai vairāk izlases rakstzīmju, kas sastāv no lielajiem un mazajiem burtiem, pieturzīmēm un cipariem.

Vai vienkārši izmantojiet reallyLongSentenceThatsEasyToRememberMethod.

Atspējot failu rediģēšanu WordPress

Tiem, kuriem nepatīk pieteikties, izmantojot FTP, WordPress administratora informācijas panelī ir iekļauts vienkāršs motīvu un spraudņu PHP failu redaktors, taču tas instalēšanu padara neaizsargātu, ja kādam tiek piešķirta piekļuve. Faktiski tas ir tas, kā kādam izdevās ievadīt ļaunprātīgas programmatūras novirzīšanu mūsu galvenē. Pievienojiet šo rindu sava teksta apakšdaļā wp-config.php (saknes mapē), lai atspējotu visas failu rediģēšanas funkcijas - un izmantojiet SFTP Kas ir SSH un kā tas atšķiras no FTP [skaidrojums tehnoloģijai] Lasīt vairāk tā vietā, lai pieteiktos savā serverī.

definēt ('DISALLOW_FILE_EDIT', taisnība);

Slēpt pieteikšanās kļūdas

Nepareizu paroli vai nepareizu lietotājvārdu var identificēt pēc kļūdām, kas izdarītas, piesakoties, kuras var izmantot, lai identificētu kontus brutālās piespiešanas nolūkos. Acīmredzot tas nav labi, tāpēc nogaliniet kļūdas, izmantojot šo papildinājumu jūsu motīvam funkcijas.php failu

funkcija no_errors_please () {return 'Nē'; } add_filter ('login_errors', 'no_errors_please');

Aktivizējiet Cloudflare

Papildus vietnes paātrināšanai CloudFlare mazina daudzos zināmos robottīklus un skenerus, pat sākot nokļūt jūsu emuārā. Lasīt viss par CloudFlare Aizsargājiet un paātriniet savu vietni bez maksas, izmantojot CloudFlareCloudFlare ir intriģējošs sākums no projekta Honey Pot veidotājiem, kurš apgalvo, ka aizsargā jūsu vietni no surogātpasta izplatītājiem, robotprogrammatūrām un citiem ļauniem tīmekļa monstriem, kā arī paātriniet vietnes darbību nedaudz ... Lasīt vairāk šeit. Instalācija ir jāveic ar vienu klikšķi, ja jūs esat mitināts MediaTemple, pretējā gadījumā jums būs jāpiekļūst domēna vadības panelim, lai mainītu vārda serverus.

aizsargāt WordPress vietni

Drošības spraudņi

  • Labāka WP drošība ievieš daudzus no šiem labojumiem jums un ir visplašākais bezmaksas risinājums.aizsargāt WordPress
  • WordFence ir piemaksu pakete, kas aktīvi skenē jūsu failus ļaunprātīgas programmatūras saitēm, novirzīšanām, zināmām ievainojamībām utt. un tos novērš. Cena sākas ar 18 USD / gadā par vienu vietni.
  • Pieteikšanās drošības risinājums abi ierobežo pieteikšanās mēģinājumus un ievieš drošas paroles.
  • BulletProof drošība ir visaptverošs, bet sarežģīts spraudnis, kas nodarbojas ar dažiem tehniskākiem aspektiem, piemēram, XSS iesmidzināšanu un .htaccess problēmām. Ir pieejams arī spraudņa pārbaudījums, kas automatizē lielāko daļu procesa.

Es domāju, ka jūs piekrītat, ka tas ir diezgan visaptverošs darbību, lai sacietētu WordPress, saraksts, taču es neierosinu jums ieviest visiem no viņiem. Ja man tas viss būtu jādara katrai vietnei, kuru jebkad izveidoju, es joprojām to iestatītu tagad. Jebkura veida sistēmas darbība rada risku, un galu galā jums ir jāatrod līdzsvars starp drošības līmenis, kuru vēlaties, un pūles, ko vēlaties pielikt, lai to nodrošinātu - nekad nekas nesanāks līdz 100% droša. Šeit zemi nokarenie augļi ir:

  • WordPress atjaunināšana
  • Administratora konta atspējošana
  • Divpakāpju autentifikācijas pievienošana
  • Drošības spraudņa instalēšana

Darot tos vienatnē, jums vajadzētu pārsniegt 99% no visiem pārējiem emuāriem, kas ir pietiekami, lai potenciālie hakeri varētu pāriet uz vieglākiem mērķiem.

Vai jūs domājat, ka man kaut kas pietrūka? Pastāsti man komentāros.

Džeimsam ir mākslīgā intelekta bakalaura grāds, un viņš ir sertificēts CompTIA A + un Network +. Viņš ir galvenais MakeUseOf izstrādātājs un brīvo laiku pavada, spēlējot VR peintbolu un galda spēles. Kopš mazotnes viņš būvēja datorus.