Share
Este un coșmar îngrijorat: Într-o zi deschizi site-ul tău și vezi că ai fost hacked. Dacă aveți un simplu blog personal, ar putea fi doar un incident enervant. Dacă găzduiți un site web al unui client, ziua dvs. ar putea deveni o zi dificilă și stresantă. Dacă desfășurați un site de comerț electronic de mare valoare, ar putea declanșa un atac de panică. Orice ar fi cazul, nu veți folosi emojisuri fericite pentru a împărtăși știrile. Deci, aveți nevoie de un plan de joc pentru a preveni atacurile înainte de a se întâmpla.
Și tu ești în locul potrivit. În această mini-serie din două părți, vă voi arăta calea de a vă face proiectele WordPress cât mai sigure.
Credeți că WordPress este sigur? Este ok dacă nu, pentru că mulți oameni cred că WordPress este un sistem de management al conținutului nesigur, dar este foarte departe de adevăr ... cel puțin astăzi.
Ce au în comun Microsoft Windows, Android, Google Chrome și WordPress? Toate acestea sunt software extrem de popular, iar oamenii găsesc gauri de securitate în ele tot timpul. Chiar dacă toate acestea sunt patch-uri în mod regulat împotriva bug-uri și defecte de securitate, are gauri de securitate le fac nesigure?
Îmi pare rău dacă credeți că altfel, dar nu. Frecvențele de patch-uri nu înseamnă neapărat că o bucată de software este prost codificată împotriva amenințărilor de securitate. Jocul de pisici și mouse-uri între dezvoltatori și hackeri va continua întotdeauna, iar hackerii vor găsi întotdeauna o modalitate de a hack-ul software-ului. Și dacă software-ul este extensibil, așa cum este WordPress, șansele hackerilor vor crește și ele.
Lucrul important aici este să fii receptiv și receptiv, și asta e ceva la care WordPress excelează. Va trebui să așteptați câteva zile până când Google Chrome va conecta o gaură de securitate sau chiar săptămâni pentru ca Microsoft să elibereze o soluție de securitate, dar comunitatea imensă a dezvoltatorilor WordPress va putea să remedieze defectele de securitate de la zero înainte de sfârșitul prima zi. În plus, există o întreagă echipă care lucrează la asigurarea corelului WordPress, deci suntem în mâinile bune și pe acesta. În ceea ce privește temele și pluginurile, ar putea fi puțin mai ușor să găsești bug-uri și defecte și ar putea dura mai mult timp pentru a le repara, dar comunitatea are suportul dezvoltatorilor.
Cu toate acestea, nimic nu este o sută la sută sigur. Trăim în momente în care oamenii de știință sunt pe punctul de a sparge codul în creierul nostru! Nimic nu este impenetrabil, inclusiv creierul nostru aparent, și WordPress nu este o excepție. Dar imposibilitatea de securitate de 100% nu înseamnă că nu ar trebui să mergem pentru 99,999%.
Din experiența personală și din mai multe cercetări suplimentare, am pus împreună câteva măsuri de securitate pe care ar trebui să le luați, dacă nu ați făcut-o deja. Fără să mai vorbim, să le cunoaștem chiar acum!
Accentsconagua
.htaccess FişierSă începem ușor.
Dacă site-ul dvs. WordPress este găzduit într-un server web alimentat de Apache și ați activat "destul de permalinks" în Setări, WordPress va genera un fișier numit .htaccess pentru a stoca instrucțiunile de bază pentru WordPress permalink. Dacă nu permiteți destul de permalinks, .htaccess fișierul nu va fi generat de nucleu, dar sfaturile pe care le voi arăta sunt încă aplicabile - trebuie doar să creați singur fișierul.
Nano-tip: Dacă intenționați să creați .htaccess fișier pe cont propriu, dar au un timp dificil de a crea un fișier fără nici un nume, dar cu .htaccess extensie, pur și simplu încărcați un fișier gol cu orice nume (cum ar fi Untitled.txt) și modificați numele și extensia în cadrul clientului dvs. FTP.
Primul lucru care îmi vine în minte este să protejez htaccess fişier. Și este cel mai ușor de făcut printre sfaturile și trucurile pe care vi le voi arăta. Tot ce trebuie să faceți este să adăugați următoarele fișiere în fișier:
# protect .htaccessordonați permiteți, respingeți respingerea de la toate
Este un truc inofensiv pentru a proteja htaccess fișier de la oricine (sau orice) care dorește să o acceseze.
Apoi, să dezactivați afișarea conținutului dosarelor:
# dezactivarea navigării directorului Opțiuni All -Indexes
Acest lucru va împiedica străinii să vadă conținutul dosarelor atunci când doresc să acceseze, de exemplu, myblog.com/wp-content/uploads/. În mod normal, ar fi putut vedea fișierele încărcate sau să navigheze prin subfolderele din / încărcări / director, dar cu acest truc mic, ei vor vedea a 403 Interzis răspuns de la server.
Și în final, vreau să mă refer la o mare "listă neagră" de la Perishable Press: Lista neagră 5G. Această listă neagră vă protejează site-ul împotriva mai multor tipuri de activități rău-intenționate, de la șiruri de interogare dăunătoare la agenți rău-utilizatori.
Asta e pentru htaccess trucuri. Acum, hai să mergem mai departe wp-config.php trucuri.
wp-config.php Fişier și Conținutul său wp-config.php fișierul este probabil cel mai important fișier din întreaga dvs. instalare WordPress, din punct de vedere al securității. Și aveți multe de făcut pentru a vă întări site-ul.
Să începem cu un truc interesant: Știați că puteți să vă plasați wp-config.php creați un nivel în rădăcina WordPress? Dacă nu te deranjează, dă-i drumul și fă-o chiar acum. De cele mai multe ori, instalez WordPress în public_html directoare și îmi place să plasez wp-config.php fișier din directorul rădăcină al utilizatorului. Nu sunt sigur dacă este o rețetă de ulei de șarpe sau nu, dar cel puțin așa se simte mai sigur. Unii oameni de la stack Exchange au avut o dezbatere bună pe această temă.
Apropo, să ne întoarcem la rădăcină .htacccess și adăugați următoarele linii pentru a refuza accesul la wp-config.php fişier:
# protect wpconfig.phpordonați permiteți, respingeți respingerea de la toate
Iată o idee interesantă: Cât despre eliminarea permisiunii de a edita fișiere tematice și pluginuri? Tot ce trebuie este să adăugați următoarea linie la wp-config.php fişier:
define ('DISALLOW_FILE_EDIT', true); Te simți și mai paranoic? Inserați următoarea linie sub cea de mai sus pentru a dezactiva complet instalările de teme și plugin-uri:
define ('DISALLOW_FILE_MODS', true); Două sfaturi suplimentare privind întărirea WordPress: modificați prefixul bazei de date și adăugați cheile de securitate (sau sare chei) în wp-config.php fişier.
Prima este ușor: Verificați dacă setați prefixul bazei de date ca valoare implicită prin găsirea acestei linii:
$ table_prefix = 'wp_';
Dacă este setat la wp_, ar trebui să o schimbați la altceva decât această valoare implicită. Nu va trebui să vă amintiți, ca să puteți scrie ceva. Îmi place să folosesc combinații cum ar fi wp_fd884vg_ pentru a le păstra în siguranță și lizibile.
Schimbarea cheilor de securitate este, de asemenea, foarte ușoară. Aflați dacă tastele sunt goale găsindu-se următoarele linii:
/ ** # @ + * Authentication Unic Keys and Salts. * * Schimbă-le la diferite fraze unice! * Puteți să le generați utilizând serviciul cheie @link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org * Puteți modifica aceste informații în orice moment pentru a invalida toate cele existente cookie-uri. Acest lucru va obliga toți utilizatorii să se conecteze din nou. * * din 2.6.0 * / define ('AUTH_KEY', 'pune-ți expresia unică aici'); define ('SECURE_AUTH_KEY', 'pune-ți fraza unică aici'); define ('LOGGED_IN_KEY', 'pune-ți fraza unică aici'); define ('NONCE_KEY', 'pune-ți fraza unică aici'); define ('AUTH_SALT', 'pune-ți fraza unică aici'); define ('SECURE_AUTH_SALT', 'pune-ți fraza unică aici'); define ('LOGGED_IN_SALT', 'pune-ți fraza unică aici'); define ('NONCE_SALT', 'pune-ți fraza unică aici'); Dacă toți spun 'pune-ți aici fraza unică', înseamnă că nu sunt încă setate. În acest caz, pur și simplu îndreptați-vă către această adresă URL (care este, de asemenea, menționată în comentariile codului) și modificați liniile generate în acea pagină cu liniile de mai sus.
Nano-tip: Dacă vă întrebați ce înseamnă "cheile de sare", WPBeginner are un articol minunat despre beneficiile acestei măsuri de securitate.
Asta e pentru wp-config.php trucuri! Să zicem o zi astăzi.
Sper că ți-a plăcut aceste lucruri .htaccess și wp-config.php trucuri astăzi. În următoarea parte a acestei mini-serii, vom analiza câteva plugin-uri de securitate și alte sfaturi utile despre întărirea WordPress. Dacă aveți întrebări sau comentarii, nu ezitați să le filmați în secțiunea Comentarii mai jos.
Ne vedem în următoarea parte!
