18 Wordpress drošības spraudņi un padomi, kā nodrošināt jūsu emuāru

Reklāma

Bez šaubām, par pats mitinātu emuāru WordPress ir labākais CMS emuārs, ko varat iegūt. Tomēr, tā kā tā ir populāra un atklāta pirmkoda programmatūra, tas nozīmē arī to, ka hakeriem ir pilnīga pieeja kods, kuru viņi var pārbaudīt, lai atrastu jebkādu izmantošanu, kuru viņi var izmantot, lai uzlauztu jebkuru WordPress iespējotu vietne.

No vienas puses, WordPress viena no labākajām lietām ir spraudņu sistēma, kas ļauj ikvienam instalējiet visus spraudņus vai izveidojiet savus spraudņus, lai paplašinātu tā funkcionalitāti, ieskaitot uzlabošanu drošība.

Šeit es esmu uzskaitījis dažus WordPress drošības spraudņus (un pāris trikus), kurus varat izmantot, lai nodrošinātu WordPress emuāru.

Visi zemāk uzskaitītie spraudņi un triki ir domāti WP 2.7 un jaunākām versijām. Ja jūs joprojām izmantojat vecāku WordPress versiju, ir pienācis laiks jaunināt emuāru.

Aizsargājiet savu pieteikšanos

Šis spraudnis izmanto CHAP protokols, lai šifrētu jūsu paroli. Parole vispirms tiek sālīta ar nejaušu skaitli (nonce), ko ģenerē sesija, kam seko md5 transformācijas algoritms. Pēc tam šis rezultāts tiek nosūtīts uz serveri, kur tas tiek atšifrēts un autentificēts. Šis ir nulles konfigurācijas spraudnis, kas nozīmē, ka varat to izmantot tūlīt pēc tā aktivizēšanas.

2. Maskēšanās pieteikšanās

Stealth Login noklusē jūsu pieteikšanās lapu, ļaujot jums definēt pielāgotu pieteikšanās lapu, nevis noklusējuma wp-login.php. Ja jūsu parole ir noplūdusi, hakerim būs arī grūti atrast pareizo pieteikšanās URL. Labi to izmanto, lai neļautu ļaunprātīgiem robotiem piekļūt jūsu wp-login.php failam un mēģināt ielauzties.

Pieteikšanās bloķēšana ir noderīga, lai novērstu brutālu spēku uzbrukumu. Tas, ko dara LockDown, ir tas, lai reģistrētu IP adresi un laika zīmogu katram neveiksmīgam pieteikšanās mēģinājumam. Ja no viena un tā paša IP diapazona īsā laika posmā tiek atklāts vairāk nekā noteikts mēģinājumu skaits, tas bloķēs pieteikšanās funkciju un liegs visiem šī IP diapazona lietotājiem pieteikties.

Šis spraudnis pievieno papildu HTTP autentifikāciju, lai jūsu emuāram nodrošinātu otro aizsardzības līmeni. Emuāram var iestatīt paroles aizsardzību, izmantojot HTTP pamata autentifikāciju, vai arī varat izvēlēties drošāku HTTP īssavilkuma autentifikāciju.

Ņemiet vērā, ka šis spraudnis var / var nedarboties atkarībā no servera iespējām. Ja jūsu vietne neiztur AskApache konfigurācijas testus (spraudņa veiktie testi, lai noteiktu servera iespējas), sazinieties ar savu tīmekļa mitinātāju un noskaidrojiet, vai viņi var veikt izmaiņas serverī pusē.

Šis spraudnis nodrošina pieteikšanās vidi “semisecure”, šifrējot savu paroli ar RSA kriptogrāfija

Datu bāzes aizsardzība

Varbūt kādam no jums datu bāzes dublēšana varētu nozīmēt satraucošu tehnisko darbu. Izmantojot WP-DB-Backup, jums to vienkārši jākonfigurē vienreiz un jāpanāk, lai tas automātiski darbotos regulāri.

Šis spraudnis ļauj automatizēt datu bāzes dublēšanu un nosūtīt to uz jūsu e-pasta iesūtni. Izņemot WordPress izveidoto noklusējuma tabulu, varat arī dublēt spraudņu izveidotās pielāgotās tabulas. Ja jūsu konts avarē, varat viegli importēt un atjaunot datu bāzi ar dublējumu.

Wp-DBManager ir tāpat kā phpmyadmin jūsu informācijas panelī. Jūs viegli varat pārvaldīt datu bāzi tieši informācijas panelī. Ir noderīgas funkcijas, piemēram, datu bāzes optimizēšana / labošana / dublēšana / atjaunošana, un, ja esat pietiekami tehnisks, pat opciju lapā varat palaist savu SQL vaicājumu.

No sliktākās puses, ja hakeriem izdodas pieteikties jūsu vietnē, šis spraudnis viņiem būs vārteja, lai jūsu datu bāzē radītu postījumus.

8. Mainīt datu bāzes tabulas prefiksu

Noklusētais prefikss, ko izmanto WordPress, ir “wp”. Prefiksu var viegli mainīt uz citiem terminiem, kurus ir grūti uzminēt, izmantojot WP-drošība-skenēšana. Sīkāka informācija par šo spraudni zemāk.

9. Aizsargājiet savu wp-config.php failu

Jūsu failā wp-config.php ir visi jūsu datu bāzes pieteikšanās akreditācijas dati, un jebkuros apstākļos tas būtu jāslēpj no publiska skata. Htaccess failā ievietojiet šo rindu:

rīkojums atļauj, noliedz. noliegt no visiem. 

lai neviens nevarētu apskatīt failu wp-config.php.

Jūsu administratora lapas aizsardzība

Šis spraudnis piespiež SSL visās lapās, kurās var ievadīt paroles, lai visa pārsūtītā informācija tiktu šifrēta.

Tomēr, lai to izdarītu, jums ir jābūt SSL sertifikātam. Ja nevēlaties iekasēt papildu naudu privāta SSL sertifikāta iegādei, varat pajautāt savam tīmekļa mitinātājam par koplietoto SSL. Lielākā daļa tīmekļa mitinātāju visiem klientiem nodrošina kopīgu SSL, un to ir viegli konfigurēt.

11. Mainīt pieteikšanās lietotājvārdu

Pēdējā lieta, ko vēlaties darīt, ir “admin” lietošana kā pieteikšanās lietotājvārds. Pirmoreiz instalējot WordPress, jums nekavējoties jāizveido cits administratora konts ar savu lietotājvārdu un paroli un jāizdzēš “admin” konts.

Neļaujiet citiem skatīt jūsu iekšējo faila struktūru

12. WP versijas slēpšana

Lielākajā daļā WordPress motīvu zem

sadaļā vienmēr ir koda rindiņa, kurā parādīta jūsu izmantotā WordPress versija. Ja nododat savu WordPress versijas numuru, tas nozīmē hakerim pateikt, ko izmantot, lai uzlauztu jūsu vietni.

Kopš WP2.6.5, WordPress ir vēl grūtāk noņemt wp versiju, jo tā iegulst šo informāciju wp_header birka. Spraudnis, kuru varat izmantot šīs informācijas noņemšanai, ir WP-drošība-skenēšana.

13. WP satura slēpšana

WP-satura mapē glabājāt visus spraudņus un motīvu failus. Šī ir vieta, kur vēlaties neļaut citiem cilvēkiem ieskatīties. Varat augšupielādēt tukšu lapu indekss.html failu wp-satura mapē vai izveidojiet .htaccess failu wp-satura mapē un pievienojiet šo rindu:

Iespējas Visas -Indexes
14. Bloķēt meklētājprogrammu indeksēšanu wp-mapē
Lai gan jūs vēlaties, lai meklētājprogrammas indeksētu jūsu emuāru un piesaistītu lielu trafiku, pēdējais, ko vēlaties redzēt, ir ļaut meklētājprogrammām atklāt jūsu iekšējo failu struktūru. Ko jūs varat darīt, ir bloķēt visas wp-mapes indeksēšanu, izmantojot meklētājprogrammu, robot.txt pievienojot šādus ierakstus:
Neatļaut: / wp- * 
Apkope
Esmu jau vairākas reizes pieminējis šo spraudni, tāpēc man ir laiks paskaidrot, ko tas dara. WP-Security-Scan pārbauda jūsu WordPress drošības ievainojamības un iesaka / piedāvā koriģējošas darbības. Korektīvās darbības ietver datu bāzes prefiksa maiņu, WordPress versijas numura slēpšanu no galvenes un ļauj jums pārbaudīt savas paroles stiprumu.
Reizēm ir laba ideja palaist iebūvēto drošības skeneri un pārbaudīt, vai jūsu emuārā nav drošības ievainojamību.
16. Regulāri nomainiet paroli
Parole ne tikai regulāri jāmaina, bet arī jāpārliecinās, ka tā ir spēcīga. Ja jums ir grūtības tādu izveidot, atrodiet to, kā varat izveidojiet spēcīgas paroles, kuras varat viegli atcerēties Kā izveidot spēcīgas paroles, kuras varat viegli atcerēties Lasīt vairāk .
17. Atjauniniet WordPress un visus spraudņus uz jaunāko versiju
Lieki piebilst, ka labākais veids, kā sevi pasargāt, ir jaunināšana uz WordPress un spraudņu jaunāko versiju.
Savienojuma aizsardzība
18. SFTP
Failu pārsūtīšana uz tiešsaistes kontu ir ierasta lieta. Tomēr, tā vietā, lai izmantotu nenodrošinātu FTP, jums vajadzētu izmantot SFTP (Droša FTP). Tas izveidos SSH savienojumu un visus šifrētos failus nosūtīs uz serveri. Ja jums nepieciešama palīdzība, lai izveidotu SFTP savienojumu, rīkojieties šādi vadīt.
Iepriekš norādītajai informācijai vajadzētu būt pietiekamai, lai jūs varētu izveidot drošu WordPress emuāru. Ja jūs neesat ieviesis nevienu no šiem, es aicinu jūs to darīt tagad.
Kādas citas metodes jūs izmantojat, lai nodrošinātu savu WordPress emuāru?