15 „WordPress“ patarimų ir patarimų, kaip apsaugoti „WordPress“ svetainę

Vienas iš nedaugelio minusų naudojant „WordPress“ jūsų turinio valdymo sistema yra ta, kad kiekvienas įsilaužėlis nori į ją įsilaužti. Kadangi „WordPress“ valdo iki ketvirtadalio pasaulio svetainių, tai tikrai nestebina.

kiek verta Rob dyrdeck

Geros naujienos yra tai, kad yra daug būdų, kaip sustiprinti „WordPress“ svetainę, kad visiems, išskyrus labiausiai užkietėjusius kibernetinius nusikaltėlius, būtų šiek tiek sunkiau gyventi.



Kai kurie iš žemiau pateiktų patarimų yra plačiai žinomi ir lengvai įgyvendinami. Kiti yra šiek tiek sudėtingesni, todėl jums gali tekti parašyti (arba bent jau nukopijuoti ir įklijuoti) kai kuriuos kodo fragmentus.



Be jokių papildomų problemų patikrinkime 15 būdų, kaip apsaugoti savo „WordPress“ svetainę.

Turinys



15 būdų, kaip apsaugoti savo „WordPress“ svetainę

1. Paslėpkite savo prisijungimo puslapį

Jei įsilaužėlis norėtų įsiveržti į jūsų „WordPress“ svetainę pro lauko duris, jis naudodamas programinę įrangą nukreiptų jūsų prisijungimo puslapį.

Patyrę „WordPress“ vartotojai žinos, kad prisijungimo puslapis beveik visada yra „yourwebsite.com/WordPress-Admin“ arba „yourwebsite.com/WordPress-Login.php“. Vienas iš būdų užkirsti kelią užpuolikui būtų naudoti papildinį, pvz., „Cerber Security Inc.“ „Cerber Security, Antispam & Malware Scan“, kad sukurtumėte pasirinktinį prisijungimo URL.

2. Įgyvendinti SSL / TLS

padidinti WordPress saugumą



Tai ypač svarbu el. Prekybos svetainėms ir svetainėms, siunčiančioms ar gaunančioms neskelbtinus vartotojo ar verslo duomenis. SSL („Secure Sockets Layer“) buvo šifravimo protokolas, neleidęs trečiosioms šalims skaityti perimtų duomenų. Jei turite daugiau nei vieną domeną, tada SAN SSL sertifikatas galėtų būti geriausias būdas apsaugoti visus domenus pagal vieną saugumo apsaugą.

TLS („Transport Layer Security“) yra atnaujinta jo versija. Jūsų žiniatinklio priegloba turėtų padėti jums įsigyti ir suaktyvinti TLS sertifikatą (dažnai klaidinančiai vis dar vadinamą SSL sertifikatu). Tada jūsų WORDPRESS svetainėje bus rodoma spynos piktograma ir HTTPS („Hypertext Transfer Protocol Secure“) priešdėlis.



3. Pasirinkite kompetentingą žiniatinklio prieglobą

Pakabinkite ugnį sekundę. Prieš kalbėdami su savo interneto serveriu, verta patikrinti, ar esate geras. 41 proc. Sėkmingų kibernetinių atakų įvyksta per pagrindinio serverio spragas, todėl verta įsitikinti, kad jūsų žiniatinklio priegloba yra optimizuota „WordPress“ svetainėms (pvz., Veikia naujausios PHP ir „MySQL“ versijos) ir joje yra įmonės lygio užkardos, kenkėjiškų programų skaitytuvai ir įsibrovimo aptikimo programinė įranga. vieta.

4. Užtikrinkite, kad naujiniai būtų nedelsiant įkeliami

Nors „WordPress“ dabar automatiškai atnaujina nereikšmingus, į saugumą orientuotus naujinimus, pagrindiniams naujinimams vis tiek reikia sutikti rankiniu būdu. Paprastai apie tai jums bus pranešta el. Paštu. Jei to praleidote, informacijos suvestinėje bus matomas priminimas, o šoninės juostos meniu - dėmė. Prieš atnaujinant rekomenduojame sukurti atsarginę „WordPress“ svetainės atsarginę kopiją, nes svarbiausi atnaujinimai kartais gali sukelti konfliktų.

5. Atsisiųskite tik kokybės temas ir papildinius

padidinti WordPress saugumą



Jau minėjome keletą patikimų papildinių, kurie gali padėti apsaugoti jūsų svetainę. Dabar tinkamas laikas paraginti visada atsisiųsti papildinius iš „WordPress“ katalogo ar patikimo pardavėjo.

Tas pats pasakytina ir apie temas. Nesvarbu, ar ieškote konkrečios, ar daugiafunkcinės „WordPress“ temos, nerizikuokite atsisiųsti iš nežinomo šaltinio. Nors aukščiausios klasės „WordPress“ tema gali būti kenkėjiškų programų, dar labiau tikėtina, kad nemokama „WordPress“ tema bus užkrėsta, todėl būkite atsargūs. Todėl visada atsisiųskite nemokamą ir aukščiausios kokybės versiją Daugiafunkcinė „WordPress“ tema s tik iš patikimo pardavėjo.

6. „WordPress“ konfigūracijos failas: automatizuokite visus naujinimus

„WordPress“ konfigūracijos failas yra galingas nedidelis dokumentas, kurį rasite „WordPress“ failuose, esančiuose pagrindinio kompiuterio failų tvarkyklėje. Jo etiketė yra „WordPress-config.php“, ir jūs galite sutrukdyti daugeliui savo užpuolikų žingsnių, pridėdami ar pakeisdami kodą šiame puslapyje.

Nors paprastai geriausia rankiniu būdu taikyti pagrindinius naujinimus, galbūt norėsite įgalinti automatinius naujinimus, jei turite palyginti paprastą svetainę, prižiūrite daug neskelbtinų duomenų arba esate lėtas taikyti naujinimus.

Štai to kodas:

apibrėžti (‘WORDPRESS_AUTO_UPDATE_CORE’, tiesa);

add_filter (‘auto_update_plugin’, ‘__return_true’);

add_filter (‘auto_update_theme’, ‘__return_true’);

7. „WordPress“ konfigūracijos failas: pridėkite saugos raktus (druskos)

Norėdami padidinti saugumą, naršyklės slapukuose esančią informaciją galite užšifruoti naudodami „WordPress“ saugos raktus (žinomus kaip SALT). Norėdami pridėti reikiamus raktus prie šio kodo (skirtingą raktą kiekvienoje eilutėje), naudokite raktų generatorių:

define (‘AUTH_KEY’, ‘įdėkite savo unikalų raktą čia’);

define (‘SECURE_AUTH_KEY’, ‘įdėkite savo unikalų raktą čia’);

define (‘LOGGED_IN_KEY’, ‘įdėkite savo unikalų raktą čia’);

define (‘NONCE_KEY’, ‘įdėkite savo unikalų raktą čia’);

define (‘AUTH_SALT’, ‘įdėkite savo unikalų raktą čia’);

define (‘SECURE_AUTH_SALT’, ‘įdėkite savo unikalų raktą čia’);

define (‘LOGGED_IN_SALT’, ‘įdėkite savo unikalų raktą čia’);

define (‘NONCE_SALT’, ‘įdėkite savo unikalų raktą čia’);

8. „WordPress“ konfigūracijos failas: išjunkite „Backend“ temos ir įskiepių redaktorius

WordPress saugumo patarimai

„WordPress“ informacijos suvestinėje yra neapdorotų kodų redaktorių, leidžiančių kūrėjams pritaikyti temas ir papildinius. Deja, tai taip pat reiškia, kad įsilaužėlis gali susipainioti su jūsų svetaine, nepasiekdamas jūsų serverio.

Pridėkite šią vieną kodo eilutę, kad išjungtumėte programinės įrangos redaktorius:

apibrėžti (‘DISALLOW_FILE_EDIT’, tiesa);

9. „WordPress“ konfigūracijos failas: išjunkite PHP klaidų ataskaitas

Net akivaizdžiai nekenksminga PHP klaidų ataskaita atskleidžia nereikalingą riziką, atskleisdama savo serverio failų struktūrą. Ataskaitas galite išjungti naudodami šį kodo fragmentą:

klaidos_atskaitymas (0);

@ini_set (‘display_errors’, 0);

10. Serverio konfigūracijos failas: apribokite prieigą prie pagrindinių failų

.Htaccess failas yra dar vienas svarbus failas, valdantis prieigą prie visos jūsų svetainės. Pagal numatytuosius nustatymus tai nematoma, todėl naudodami failų tvarkyklės paieškos funkciją visada pasirinkite atskleisti paslėptus failus.

Jei norite užblokuoti prieigą prie svarbių failų serijos, įskaitant savo „WordPress-config.php“ failą, įveskite šį kodą į .htaccess failą:

Įsakymas paneigti, leisti

Neigti nuo visų

Pastaba: gali reikėti pakeisti php.ini į php5.ini arba php7.ini, jei naudojate šias versijas.

11. Apsaugokite savo prietaisus

WordPress saugumo patarimai

Įrenginiai, kuriuos naudojate norėdami patekti į „WordPress“ administratoriaus sritį, taip pat turi būti visiškai apsaugoti, kad įsilaužėliai lengvai nepatektų į jūsų „WordPress“ svetainę. Įsitikinkite, kad turite įdiegtą virusų ir kenkėjiškų programų skaitytuvą, o vietoje yra ir suaktyvinta ugniasienė (paprastai bus gerai, jei naudojate operacinę sistemą).

Reguliariai taikykite naujinius, naudokite FTPS, kad pasiektumėte savo serverį, ir niekada neprisijunkite naudodami viešąjį „WiFi“ ryšį.

12. Pakeiskite lentelės priešdėlius

Rankos, kas žino, kas yra „WordPress“ lentelės priešdėlis? Patyrę vartotojai (ir įsilaužėliai) tikriausiai žinos, kad tai tiesiog „WordPress_“

Tai galite pakeisti „WordPress“ konfigūracijos faile, pakeisdami eilutę:

$ table_prefix = ‘WordPress_’;

į atsitiktinę eilutę, pvz .:

$ table_prefix = ‘hfu4y7fhuur_’;

Tada galite naudoti tokį papildinį kaip „iThemes Security“, kad atnaujintumėte savo duomenų bazes.

13. Pridėkite dviejų veiksnių autentifikavimą (2fa)

Paprastai jums reikia įvesti savo vartotojo vardą ir slaptažodį tik norint pasiekti „WordPress“ svetainės administratoriaus sritį iš bet kurio įrenginio. Jei norite pridėti papildomą veiksmą (tai, ką turite, be to, ką žinote), tai gali padaryti jums dviejų veiksnių autentifikavimo papildinys, pvz., „Google Authenticator“ - „WordPress Mini Factor“ autentifikavimas „MiniOrange“ arba „OpenID“, „DiSo Development Team“.

14. Apriboti vartotojo administratoriaus prieigą

WordPress saugumo patarimai

Kaip patyrę „WordPress“ vartotojai jau žinos, galite nustatyti skirtingus vaidmenis ir galimybes savo svetainės administratoriams. Visada yra gera praktika apriboti vartotojo prieigos teises iki to, kas būtinai reikalinga jų atliekamam darbui.

15. Saugokite savo slaptažodžius

Kalbant apie gerą praktiką, verta pabrėžti, koks svarbus yra tvirtas slaptažodis. „WordPress“ automatiškai sugeneruos jums patikimą slaptažodį, naudodamas atsitiktines raides, skaičius ir simbolius. Jei nuspręsite tai pakeisti kuo mažiau abstrakčiu, stebėkite slaptažodžio stiprumo indikatorių.

Ir jūs turite tai: patarimai, kaip apsaugoti savo „WordPress“ svetainę ir nuvilti tuos erzinančius (ir pavojingus) įsilaužėlius. Yra daugiau būdų, kuriuos galėtumėte naudoti (pvz., Apriboti bandymų prisijungti skaičių, išjungti scenarijaus injekcijas ir užkirsti kelią PHP failų vykdymui), tačiau 15 pirmiau nurodytų žingsnių yra geras būdas pradėti.