10 maz pazīstami, super efektīvi padomi, lai nodrošinātu jūsu WordPress emuāru
Bloga hacked un gadu zaudēšana pēc gadiem, kad blogošana notiek nakti, ir skumja realitāte, ka cilvēki patiešām ir izgājuši. Faktiski pētījumi rāda, ka katru dienu 37 000 tīmekļa vietnes tiek hackētas, un ar WordPress, kas nodrošina aptuveni 25,4% no visām tīmekļa vietnēm, jūs varat būt pārliecināti, ka katru dienu tiek ielauzts daudz WordPress emuāru..
WordPress drošība ir pilnīgi atšķirīga spēle; ja jums pieder WordPress emuārs, padomi, piemēram, lietotājvārds, kuru ir grūti uzminēt, un parole, kas ir tikpat cieta kā klints, vairs nav pietiekama. A viena bugiska tēma, nepareizs spraudnis vai nepareizi aizsargāts fails var izraisīt jūsu emuāra hacked nakti.
Vai esat pieredzējis ar WordPress vai esat izmantojis platformu kopš tā pastāvēšanas, šis raksts ir 10 praktiski un vakariņi efektīvi veidi, kā nodrošināt jūsu WordPress emuāru ka ikviens var īstenot. Jūs neatradīsiet lielāko daļu no šiem padomiem populāros "kā nodrošināt jūsu emuāra" rakstus, bet viņi varētu ļoti labi saglabāt jūsu emuāru vienu dienu!
1. Atspējot WordPress Theme & Plugin Editor
WordPress ir ērts līdzeklis, kas nodrošina vietņu īpašniekiem lielāku elastību, ļaujot tiem pielāgot un rediģēt savas tēmas un spraudņus tieši no WordPress informācijas paneļa, taču šī funkcija ir bijusi lielāko daļu emuāru atsaukšana.
Izmantojot šo funkciju, a neliela kļūda var crash jūsu vietni un bloķēt jūs no savas tīmekļa vietnes. Hackers savā tēmā var viegli ievietot ļaunprātīgu kodu, lai dotu viņiem iespēju piekļūt savai vietnei, vai pat pilnībā pārņemt jūsu vietni, iegūstot kontroli pār kontu, kam ir pietiekami daudz privilēģiju, lai izmantotu motīvu un spraudņa redaktoru.
Jūs varat pasargāt sevi, atspējot spraudni un motīvu redaktoru, padarot neiespējamu mainīt tēmas un spraudņus bez FTP piekļuves.
Dariet to, pievienojot šādu kodu savam wp-config.php failam:
define ('DISALLOW_FILE_EDIT', taisnība);
2. Iespējot divfaktoru autentifikāciju
Divfaktoru autentifikācija ātri kļūst par vienu no drošākajiem veidiem, kā aizsargāt jūsu tiešsaistes kontus, un visdrošākās tīmekļa vietnes pieprasīs, lai viņu lietotāji to iespējotu.
Lai gan WordPress tajā nav iebūvēta divu faktoru autentifikācija, jūs varat iespējot divfaktoru autentifikāciju savā emuārā, instalējot šādus spraudņus:
- Google autentifikators
- Authy
- Clef
- Rublon
3. Ierobežot pieteikumus, pamatojoties uz neveiksmīgo mēģinājumu skaitu
Ir daudzi veidi, kā hakeri mēģina piekļūt jūsu emuāram, un viens no visbiežāk izmantotajiem paņēmieniem ir brutālu spēku uzbrukums: hakeris mēģina apvienot lietotājvārdus un paroles, atkal un atkal, līdz viņš / viņa varēs veiksmīgi piekļūt jūsu emuāru.
Pēc noklusējuma WordPress nav aizsargāts pret šo uzbrukumu. Instalējot spraudņus, kas ierobežo pieteikšanos pēc noteikta neveiksmīga mēģinājuma no konkrēta IP, varat padarīt hakeriem daudz grūtāk piekļūt jūsu emuāram.
Jetpack Protect Module spraudnis var arī pasargāt jūs no brutālu spēku uzbrukumiem.
4. Regulāri skenējiet savu emuāru
Lai piekļūtu jūsu emuāram, var izmantot tēmas failus, spraudņus, saites un citus šķietami nekaitīgus elementus. Pirms pasākumu veikšanas negaidiet, kamēr jūsu vietne nav pilnībā inficēta. Tā vietā instalējiet drošības skenēšanas spraudņus, lai regulāri skenētu jūsu vietni un paziņotu, vai jūsu faili mainās.
Labs drošības skenēšanas spraudņa piemērs ir Wordfence. Bez tam, dodot jums iespēju manuāli / automātiski skenēt jūsu WordPress emuāru, tas arī nekavējoties paziņo, kad jūsu emuārā notiek aizdomīga darbība.
Tā arī nosūta informāciju par potenciāli ļaunprātīgiem komentāriem salīdzina tēmas un spraudņa failus ar WordPress repozitoriju uz paziņojiet, ja jūsu spraudņa vai tēmas versija ir mainīta un, iespējams, var kalpot kā aizmugurējā vieta hackeriem jūsu vietnē.
Citi drošības spraudņi, kas var palīdzēt skenēt jūsu emuāru par ļaunprātīgu programmatūru un ekspluatāciju, ir šādi:
- Sucuri drošības skeneris
- Acunetix WP drošība
- iThemes Security (agrāk pazīstams kā "Labāka WP drošība")
5. Mainiet savu resursdatoru
Lai gan tas izklausās kā vienkāršs padoms, tam faktiski ir daudz svara. Pētījumi liecina, ka 41% no ielauztajām WordPress vietnēm bija hacked ar drošības ievainojamību viņu hostinga platformā. Tas ir daudz vairāk nekā no citiem avotiem, tostarp ar vāju paroli.
Jūsu uzņēmējam var būt liela nozīme, vai jūs būsiet hackēts vai nē; pārliecinieties, ka esat tikai dodieties uz uzticamiem tīmekļa mitinātājiem, kas ir izturējuši laika pārbaudi un tas atbilst nozares labākajai praksei.
6. Paslēpt savu WordPress versijas numuru
Pēc noklusējuma WordPress parāda jūsu WordPress versijas numuru; tas atvieglo WordPress, lai sekotu, cik WordPress blogi ir aktīvi visā pasaulē. Tomēr tas var būt arī milzīgs problēmu avots; hackers un roboti var skenējiet tīmekli blogiem izmantojot WordPress versijas numurs ar zināmu ievainojamību, padarot jūs vieglu mērķi.
Šo problēmu var viegli atrisināt slēpj savu WordPress versijas numuru. Lai paslēptu jūsu WordPress versijas numuru, vienkārši pievienojiet šo kodu savām funkcijām.php failā:
add_filter ('the_generator', '__return_null');
7. Atspējot PHP kļūdas ziņojumus
Kad spraudnis vai tēma nedarbojas labi jūsu WordPress emuārā, PHP kļūdu ziņojumi var palīdzēt, parādot ziņojumu, kas atklāj kļūdas cēloni. Tomēr šajā priekšrocībā ir trūkums: ja tiek ziņots par PHP kļūdu ietver pilnu kļūdas servera ceļu, atklājot informāciju ka hakeri var izmantot pret jums.
Jūs varat sevi aizsargāt PHP kļūdas ziņojumu atspējošana. Vienkārši pievienojiet šādu kodu savam wp-config.php failam:
error_reporting (0); @ini_set ('display_errors', 0);
8. Darbs ar jūsu WordPress failu atļaujām
Kad runa ir par jūsu WordPress vietnes aizsardzību no drošības, tas ir būtiski nodrošina, ka jums ir tiesības faila atļaujas. Tas apgrūtina hakeru manipulēt ar spraudņiem, tēmām vai failiem jūsu serverī, lai pārņemtu jūsu vietni.
Pārliecinieties, vai WordPress mapi atļaujas ir iestatītas uz 755 vai 750; failu atļaujas ir iestatītas uz 640 vai 644; un ka wp-config.php atļauja ir iestatīta uz 600.
9. Nodrošiniet regulāros dublējumus
Pat lielas tīmekļa vietnes ar drošības speciālistu un konsultantu komandu nokļūst hacked, un, lai gan pēc labākās prakses var padarīt jūsu vietni spēcīgāku par 99,9% no tīmekļa vietnēm, lieta joprojām var pārtraukt.
Labākā drošība jums ir pret WordPress kapāt uzbrukumiem ir labs dublējums; pārliecinieties, ka jūs regulāri veicat vietnes dublējumus - ja iespējams, katru dienu. Tādā veidā, ja jūsu vietne ir hacked, jums ir jūsu faili un var nekavējoties atjaunot lietas.
Šeit ir daži no labākajiem WordPress backup spraudņiem:
- BackUpWordPress
- Gatavs! Dublēšana
- VaultPress
- BackupBuddy
10. Ierobežot piekļuvi jūsu pieteikšanās lapai
Kad stumšana ir vērsta, jums var būt nepieciešams veikt dažus radikālus pasākumus. Ļoti uzticams veids, kā aizsargāt jūsu emuāru no hakeru mēģinājumiem, ir pilnībā bloķē piekļuvi jūsu wp-admin un wp-login.php lapai.
Tas ir ieteicams tikai tad, ja jūs izmantot vienu IP adresi, kas nemainās (jūs nevēlaties bloķēt sevi no sava emuāra!). Jūs joprojām varat izmantot šo opciju, ja izmantojat vairāk nekā vienu IP adresi, bet sekojat šīm adresēm.
Lai ierobežotu piekļuvi jūsu pieteikšanās lapai, pievienojiet šādu kodu .htaccess failam:
RewriteEngine par RewriteCond% REQUEST_URI ^ (. *)? Wp-login .php (. *) $ [OR] RewriteCond% REQUEST_URI ^ (. *)? Wp-admin $ RewriteCond% REMOTE_ADDR! IP adrese 1 $ RewriteCond% REMOTE_ADDR! ^ Jūsu IP adrese 2 $ RewriteCond% REMOTE_ADDR! ^ Jūsu IP adrese 3 $ RewriteCond% REMOTE_ADDR! ^ Jūsu IP adrese 4 $ RewriteCond% REMOTE_ADDR! 5 $ RewriteRule ^ (. *) $ - [R = 403, L]
Noteikti rediģējiet Jūsu IP adrese 1 līdz Jūsu IP adrese 5 ar dažādām IP adresēm, kurām vēlaties piekļūt; varat vienkārši pievienot vai noņemt rindu, lai atļautu vai novērstu vairāk IP piekļuvi jūsu vietnei.
Secinājums
Protams, jums nevajadzētu ignorēt pamata drošības padomus, piemēram, neizmantot paredzamu lietotājvārdu, kam ir spēcīga parole, regulāri atjauninot WordPress instalāciju utt. Tomēr iepriekš minētie ir daži maz zināmi, bieži ignorēti drošības padomi, kas var padarīt jūsu WordPress blogs tikai nedaudz drošāks.
Redaktora piezīme: Šis viesu ziņojums ir rakstīts uz Hongkiat.com John Stevens. Jānis ir WordPress un hostinga eksperts. Viņš ir dibinātājs un HostingFacts.com, portāls, kurā viņš pārskata un novērtē tīmekļa mitinātājus, pamatojoties uz sniegumu.