10 vähän tunnettu, Super Tehokas Vinkkejä Secure Your WordPress Blog
Blogin hyppiminen ja vuosien menettäminen vuosien blogityötyön aikana on surullinen todellisuus, että ihmiset todella ovat käyneet läpi. Itse asiassa tutkimukset osoittavat, että 37 000 verkkosivustoa on hakkeroitu joka päivä, ja WordPressilla on noin 25,4% kaikista sivustoista, joten voit olla varma, että paljon WordPress-blogeja hakataan joka päivä.
WordPress-turvallisuus on täysin erilainen pallopeli; kun sinulla on WordPress-blogi, vinkkejä, joilla on käyttäjätunnus, jota on vaikea arvata, ja salasanaa, joka on yhtä kova kuin rock, ei enää riitä. yksi buginen teema, väärä plugin tai väärin suojattu tiedosto voi johtaa siihen, että blogisi on hakattu yön yli.
Riippumatta siitä, onko sinulla kokemusta WordPressista tai olet käyttänyt alustaa sen olemassaolon jälkeen, tämä artikkeli on 10 käytännöllistä ja ehtoollista tehokasta tapaa turvata WordPress-blogisi että kukaan voi toteuttaa. Et löydä useimpia näitä vinkkejä suosituiksi "miten suojata blogisi" -artikkeleita, mutta ne voisivat tallentaa blogisi hyvin!
1. Poista WordPress Theme & Plugin Editor käytöstä
WordPressilla on kätevä ominaisuus, joka antaa sivustojen omistajille enemmän joustavuutta antamalla heille mahdollisuuden muokata ja muokata teemojaan ja laajennuksia suoraan WordPress-hallintapaneelista, mutta tämä ominaisuus on ollut useimpien blogien peruuttaminen.
Tällä toiminnolla a pieni virhe voi kaataa sivustosi ja lukita sinut pois omalta verkkosivustolta. Hakkerit voivat helposti liittää teemaansa haittaohjelmia, jotta he voivat käyttää takaosaan pääsyä sivustoosi tai jopa ottaa sivuston kokonaan käyttöön saamalla hallinnan tilistä, jolla on tarpeeksi oikeuksia käyttääksesi teema- ja plugin-editoria.
Voit suojata itsesi poistamalla plugin ja teemaeditorin käytöstä, teiden ja laajennusten muuttaminen ilman FTP-yhteyttä.
Tee tämä lisäämällä seuraava koodi wp-config.php-tiedostoon:
define ('DISALLOW_FILE_EDIT', totta);
2. Ota käyttöön kaksitekijätodennus
Kahden tekijän tunnistaminen on nopeasti tulossa yksi luotettavimmista tavoista suojata verkkotilejäsi, ja luotettavimmat sivustot vaativat, että niiden käyttäjät sallivat sen.
Vaikka WordPressissä ei välttämättä ole kaksitekijä-autentikointia, voit sallia kahden tekijän tunnistamisen blogissasi asentamalla seuraavat lisäosat:
- Google Authenticator
- Authy
- nuottiavain
- Rublon
3. Rajoita kirjautumisia epäonnistuneiden kokeiden määrän perusteella
On monia tapoja, joilla hakkerit yrittävät päästä blogiin, ja yksi yleisimmistä käytetyistä tekniikoista on bruteforce-hyökkäys: hakkeri yrittää yhdistää käyttäjätunnuksia ja salasanoja uudestaan ja uudestaan, kunnes hän pääsee onnistuneesti blogisi.
Oletuksena WordPress ei ole suojattu tätä hyökkäystä vastaan. Asentamalla laajennuksia, jotka rajoittavat kirjautumisia tietyn tietyn IP: n epäonnistuneiden yritysyritysten jälkeen, voit tehdä hakkereille paljon vaikeampaa päästä blogiin.
Jetpack Protect -moduulin plugin voi myös suojata sinua bruteforce-hyökkäyksiltä.
4. Tarkista säännöllisesti blogisi
Voit käyttää blogiasi käyttämällä teematiedostoja, laajennuksia, linkkejä ja muita näennäisesti vaarattomia elementtejä. Älä odota, kunnes sivustosi on täysin tartunnan saanut ennen kuin ryhdyt toimenpiteisiin. Sen sijaan asenna tietoturvatarkistussovellukset säännöllisesti verkkosivustosi tarkistamiseen ja ilmoittamaan, jos tiedostosi muuttuvat.
Hyvä esimerkki tietoturvan skannaus pluginista on Wordfence. Sen lisäksi, että annat sinulle mahdollisuuden skannata manuaalisesti / automaattisesti WordPress-blogisi, se ilmoittaa välittömästi myös, kun epäilyttävää toimintaa tapahtuu blogissasi.
Se lähettää myös tietoja mahdollisesti haitallisista kommenteista vertaa teeman ja plugin-tiedostoja WordPress-arkiston kanssa ilmoita, jos laajennuksesi tai teemasi versiota on muutettu ja voi mahdollisesti toimia hakkerien takaporttina sivustoosi.
Muut tietoturvaportit, joiden avulla voit skannata blogisi haittaohjelmia ja haittaohjelmia varten, ovat seuraavat:
- Sucuri Security Scanner
- Acunetix WP Security
- iThemes Security (aiemmin tunnettu nimellä "Better WP Security")
5. Muuta isäntäsi
Vaikka tämä kuulostaa yksinkertaiselta neuvolta, sillä on todella paljon painoa. Tutkimukset osoittavat, että 41% hakkeroiduista WordPress-sivustoista oli hacked kautta tietoturvaheikkous niiden hosting-alustalla. Tämä on paljon enemmän kuin muista lähteistä, mukaan lukien heikko salasana.
Isäntäsi voi olla merkittävä rooli siitä, onko sinulla hakkeroitu vai ei; varmista, että olet vain mene luotettaville web-isännille, jotka ovat ajaneet ajan ja tuo noudattaa alan parhaita käytäntöjä.
6. Piilota WordPress-versionumero
Oletuksena WordPress näyttää WordPress-versionumerosi; Tämän ansiosta WordPress on helppo seurata, kuinka monta WordPress-blogia on aktiivinen maailmanlaajuisesti. Tämä voi kuitenkin olla myös suuri ongelma; hakkerit ja robotit voivat skannaa verkko blogeja varten käyttämällä WordPress-versionumero, jolla on tunnettu haavoittuvuus, sinusta on helppo tavoite.
Voit ratkaista tämän ongelman helposti WordPress-versionumerosi piilottaminen. Jos haluat piilottaa WordPress-versionumerosi, lisää vain seuraava koodi function.php-tiedostoon:
add_filter ('the_generator', '__return_null');
7. Poista PHP-virheraportit käytöstä
Kun plugin tai teema ei toimi hyvin WordPress-blogissasi, PHP-virheraportit voivat auttaa näyttämällä sinulle viestin, joka paljastaa virheen syyn. Tässä etuoikeudessa on kuitenkin haittapuoli: kun PHP-virheilmoitusta raportoidaan sisältää virheen koko palvelimen polun, paljastamalla tietoja että hakkerit voivat käyttää sinua vastaan.
Voit suojella itseäsi PHP-virheraportoinnin poistaminen käytöstä. Lisää vain seuraava koodi wp-config.php-tiedostoon:
error_reporting (0); @ini_set ('display_errors', 0);
8. Työ WordPress-tiedostojen käyttöoikeuksien kanssa
Kun se tulee estämään WordPress-sivuston suojauksen käytöstä, se on välttämätöntä varmista, että sinulla on oikeat tiedostoluvat. Tämä tekee hakkerille vaikeaksi manipuloida palvelimessasi olevia laajennuksia, teemoja tai tiedostoja.
Varmista, että WordPress kansio käyttöoikeudet ovat 755 tai 750; tiedosto käyttöoikeudet ovat 640 tai 644; ja että wp-config.php-käyttöoikeus on 600.
9. Varmista säännölliset varmuuskopiot
Jopa suuret sivustot, joissa on joukko tietoturva-asiantuntijoita ja konsultteja, hakkerataan, ja vaikka parhaiden käytäntöjen noudattaminen voi tehdä sivustosi vahvemmaksi kuin 99,9% sivustoista, asiat voivat silti rikkoutua.
Paras tietoturva, joka sinulla on WordPress-hyökkäyksiltä, on hyvä varmuuskopiointi; varmista, että teet varmuuskopioita sivustostasi säännöllisesti - jos mahdollista, päivittäin. Tällä tavoin, jos sivustosi on hakattu, sinulla on tiedostot paikoillaan ja voi palauttaa asiat välittömästi.
Tässä muutamia parhaita WordPress-varmuuskopiot:
- BackUpWordPress
- Valmis! Varmuuskopioida
- VaultPress
- BackupBuddy
10. Rajoita pääsy kirjautumissivullesi
Kun työntö on tulossa, sinun tarvitsee vain ryhtyä joihinkin dramaattisiin toimiin. Hyvin luotettava tapa suojata blogiisi hakkerointiyrityksistä on täysin estänyt pääsyn wp-admin- ja wp-login.php-sivuillesi.
Tämä on suositeltavaa vain, jos käytä yhtä IP-osoitetta, joka ei muutu (et halua lukita itseäsi blogista!). Voit silti käyttää tätä vaihtoehtoa, jos käytät useampaa kuin yhtä IP-osoitetta, mutta seurat näitä osoitteita.
Jos haluat rajoittaa pääsyn kirjautumissivullesi, lisää seuraava koodi .htaccess-tiedostoon:
RewriteEngine on RewriteCond% REQUEST_URI ^ (. *)? Wp-login .php (. *) $ [OR] RewriteCond% REQUEST_URI ^ (. *)? Wp-admin $ RewriteCond% REMOTE_ADDR! IP-osoite 1 $ RewriteCond% REMOTE_ADDR! ^ IP-osoitteesi 2 $ RewriteCond% REMOTE_ADDR! ^ IP-osoitteesi 3 $ RewriteCond% REMOTE_ADDR! ^ IP-osoitteesi 4 $ RewriteCond% REMOTE_ADDR! 5 $ RewriteRule ^ (. *) $ - [R = 403, L]
Muista muokata sitä IP-osoitteesi 1 läpi IP-osoitteesi 5 eri IP-osoitteilla, joille haluat antaa pääsyn; voit yksinkertaisesti lisätä tai poistaa rivin, jotta sallitaan tai estetään useampia IP-osoitteita pääsemästä sivustoosi.
johtopäätös
Tietenkin sinun ei pidä sivuuttaa perusturvavinkkejä, kuten etkä käytä ennustettavaa käyttäjätunnusta, jolla on vahva salasana, päivität WordPress-asennustasi säännöllisesti jne. Edellä mainitut ovat kuitenkin vain vähän tunnettuja, usein sivuutettuja tietoturvavinkkejä, joiden avulla voit WordPress-blogi on vain vähän turvallisempi.
Toimittajan huomautus: Tämä vierasviesti on kirjoitettu Hongkiat.comille John Stevens. John on WordPress- ja hosting-asiantuntija. Hän on perustaja ja toimitusjohtaja HostingFacts.com, portaali, jossa hän arvioi ja arvioi web-isännät suorituskyvyn perusteella.