Share
WordPress este o sursă deschisă, ceea ce înseamnă că toată lumea, inclusiv hackerii cu intenții rău intenționate, poate scana codul sursă în căutarea unor găuri în securitatea sa. Acesta este motivul pentru care vă voi arăta niște pași buni de precauție care trebuie luați pentru a vă proteja pe dvs., pe WordPress și, cel mai important, pe utilizatorii dvs..
Probabil, cel mai ușor lucru pe care l-ați putea face pentru a vă proteja este să porniți prin schimbarea / eliminarea administratorului superuser. Oricine utilizează WordPress știe că există un utilizator numit admin cu o securitate de nivel superior, în special hackeri. Dacă numele de utilizator este admin, cât de greu poate fi să spargi parola. Creați un nou cont de administrator, dar de data aceasta cu un nume diferit, apoi ștergeți contul de administrator.
De fapt, ceea ce aș recomanda personal este crearea unui cont administrativ cu un nume de utilizator și o parolă foarte complexă (ceva asemănător cu x7duEls91 *), păstrați-l undeva și faceți un alt cont pentru a vă publica un conținut care are numele dvs. care nu are executiv puteri. Contul de administrare este, în esență, necesar numai pentru a gestiona teme, pluginuri și alte aspecte ale site-ului, care nu trebuie schimbate zilnic - ar fi suficient un cont editor.
?Tratați-vă parola ca periuța de dinți. Nu lăsa nimeni altcineva să o folosească și să obțină unul nou la fiecare șase luni.?
~ Clifford Stoll
Indiferent de tipul de site pe care îl desfășurați, este posibil să fiți în pericol pentru un atac brutal. În primul pas când am șters numele de utilizator de administrare, probabil că a descurajat majoritatea hackerilor, dar există întotdeauna acelea care sunt foarte persistente sau cunosc deja numele de utilizator. Următorul pas pe care trebuie să-l faceți este să alegeți o parolă foarte dificilă și o parolă diversificată. O modalitate buna de a determina dacă parola dvs. este sau nu este sigură este să o introduceți într-un parola de verificare a parolei, cum ar fi passwordmeter.com sau să generați o parolă aleatorie.
De asemenea, prefer să luați măsuri de precauție suplimentare atunci când vă protejați blogul, instalarea pluginurilor poate adăuga un nivel suplimentar de securitate. Există numeroase pluginuri care pot gestiona parolele și aspectele de conectare ale WordPress. Un plugin pe care îl consider foarte util este Login LockDown; înregistrează adresa IP și marcajul de timp pentru toate intrările nereușite, în plus față de blocarea adreselor IP după un anumit număr de conectări nereușite. Acest plugin este util în special atunci când vine vorba de apărarea dvs. împotriva unui atac de forță brute - majoritatea atacatorilor renunță la un site dacă sunt interzise IP la fiecare 5 minute în timp ce rulează programul forței brute.
După cum am spus mai devreme, WordPress este open source, făcându-l o țintă mai ușoară pentru hackeri. Aproximativ 60 de milioane de site-uri utilizează WordPress, când Automattic ajută la actualizarea, cu atât mai repede vă actualizați site-ul, cu atât mai bine, deoarece atunci când fac o nouă actualizare, post, de asemenea, vulnerabilitățile pe care le-au stabilit. De asemenea, nu durează mult să actualizați instalarea WordPress, în conformitate cu WordPress durează 5 minute pentru a finaliza.
Să presupunem că ați uitat să actualizați instalarea WordPress sau pur și simplu nu aveți la dispoziție 5 minute de rezervă. Versiunea dvs. WordPress oferă hackerilor o idee bună despre modul în care pot hacka site-ul dvs., mai ales dacă este datat.
Implicit, WordPress afișează versiunea, deoarece o doresc ca pentru metrici să vadă câte persoane utilizează ce versiune, etc? Cu toate acestea, este ca și cum ați pune un semn roșu strălucitor pe site-ul dvs. spunând hackerilor ce să facă.
Dacă utilizați o temă premium, cotele sunt că dezvoltatorul a avut libertatea de a dezactiva pentru dvs., dar este întotdeauna mai bine să fiți siguri. Deschideți fișierul functions.php și introduceți această linie de cod.
Este foarte important să aveți permisiunile de fișier adecvate pentru a vă asigura securitatea site-ului dvs. Vă recomandăm să restricționați permisiunile fișierelor dvs. până la valoarea goală, CHMOD de 744, ceea ce o face, în esență, numai pentru citire pentru toată lumea, cu excepția dvs..
Deschideți doar programul FTP și faceți clic dreapta pe dosar sau fișier și faceți clic pe "Permisiuni de fișiere". Dacă este 777, sunteți foarte norocoși că nu ați fost deja hacked. Ar trebui să modificați valoarea CHMOD la 744, oferindu-i accesul complet "proprietarului".
Lista albă vă permite să gestionați persoanele care pot accesa anumite părți ale site-ului dvs. Este ca și cum ați construi Marele Zid Chinez în jurul folderului dvs. de administrare, astfel încât nimeni, cu excepția dvs., să poată accesa dosarul. Facem acest lucru utilizând fișierul .htaccess.
Navigați la dosarul / wp-admin /, apoi verificați dacă există deja un fișier .htaccess, dacă nu există unul, faceți doar unul. Dacă există deja unul acolo, vă recomand să faceți o copie de rezervă înainte de a efectua modificări. Asigurați-vă că vă aflați în folderul wp-admin și nu în directorul rădăcină.
Inserați următorul cod în fișierul .htaccess:
AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "Administratorul de acces la WordPress Admin" AuthType Basicordonare refuzați, permiteți respingerea de la toate # Whitelist Adresa dvs. IP permite de la xx.xx.xx.xxx # Albastru Adresa IP a biroului dvs. permite de la xx.xx.xx.xxx # Whitelist adresa dvs. IP în timp ce dvs. de călătorie (Șterge atunci când veniți înapoi Acasă) permiteți de la xx.xx.xx.xxx
Înlocuiți xx-urile cu adresa dvs. IP, pe care le puteți afla la WhatsMyIP.org. Acum, de fiecare dată când vă veți conecta de la alte locații decât cele pe care le-ați adăugat în fișierul .htaccess, trebuie să adăugați noua adresă IP înainte de ao utiliza.
Indiferent de nivelul de securitate al site-ului dvs. WordPress, este un obicei bun de a întări întotdeauna site-ul dvs. Există multe modalități de a face acest lucru. Aveți posibilitatea să profitați de cron de locuri de muncă, dacă sunteți compania de găzduire oferă-o, prin utilizarea acestei comenzi:
DBNAME = DB_NAME DBPASS = DB_PASSWORD DBUSER = DB_USER EMAIL = "you@your_email.com" mysqldump -opt -u $ DBUSER -p $ DBPASS $ DBNAME> backup.sql gzip backup.sql DATE = "data +% Y% d "; mv backup.sql.gz $ DBNAME-backup- $ DATE.sql.gz echo 'BLOG BACKUP: Backup-ul este atașat' | mutt -a $ DBNAME-backup- $ DATE.sql.gz $ EMAIL -s "MySQL Backup" rm $ DBNAME-backup- $ DATE.sql.gz
Alternativ, puteți utiliza serviciul VaultPress, un serviciu de la Automattic. Dacă sunteți interesat să aflați mai multe despre VaultPress, vă recomandăm să verificați acest tutorial.
Cea mai ușoară cale este să vă conectați la panoul de administrare, să navigați la Instrumente și apoi să faceți clic pe Export. Acest lucru vă face viața mai ușoară, mai ales atunci când aveți nevoie să vă re-configurați WordPress.
Punerea unui fișier indice gol în folderul / wp-content / plugins / va ascunde toate pluginurile. Unii dintre voi probabil vă gândiți: "Cui îi pasă dacă cineva poate vedea pluginurile mele?". Plugin-urile pot spune hackerilor cum să-ți hackeze site-ul, sau cel puțin dacă e hackable.
După cum puteți vedea, pluginurile sunt vizibile în mod clar pentru oricine navighează la dosarul / wp-content / plugins. Dacă un hacker nu vede niciun plugin de securitate, atunci imediat știu că acesta va fi un lucru ușor. Adăugarea index.html gol în folderul de pluginuri este ca și cum ați pune un semn de securitate în gazon, nu contează dacă de fapt aveți sistemul de securitate, dar atâta timp cât hackerul nu știe, el va fi mai puțin înclinat să încerce orice.
Cel mai bun instrument de securitate, indiferent de pluginul / software-ul pe care îl instalați, este tu. Pentru a fi siguri că sunteți complet protejat, trebuie să vă abordați proactiv securitatea site-ului dvs. De trei ori pe zi îmi verific jurnalele de server și analizele web pentru a vedea dacă există un comportament neobișnuit.
Acum, cu o instalare WordPress sigură și sigură, sunteți gata să postați gratuit conținutul dvs. fără să vă fie teamă dacă sunteți vulnerabil pentru a fi hacked.
Dacă aveți întrebări despre acest tutorial, despre securitatea WordPress sau despre securitatea în general, trebuie doar să lăsați un comentariu și voi reveni la dvs. cât mai curând posibil.
Accentsconagua