Reklame

beskytte wordpressBotnets rundt omkring i verden har vendt opmærksomheden fra at sende spam-e-mails til systematisk hacking i WordPress-installationer; det er en lukrativ forretning, da WordPress driver 40% af alle blogs. Især i betragtning af at selv vi faldt offer for dette, er det på tide, at vi lavede et omfattende indlæg om nøjagtigt, hvordan du beskytter din selvhostede WordPress-installation.

Bemærk: Dette råd gælder kun for WordPress installeret af egen vært. Hvis du bruger WordPress.com, behøver du generelt ikke være interesseret i sikkerhed, fordi de håndterer det hele for dig.Hvad er forskellen mellem WordPress.com og WordPress.org? Hvad er forskellen mellem at køre din blog på Wordpress.com & Wordpress.org?Med Wordpress, der nu tager 1 ud af hver 6 websteder, skal de gøre noget rigtigt. For både erfarne udviklere og den komplette novice har Wordpress noget at tilbyde dig. Men ligesom du begynder på ... Læs mere

Installer Google totrinsautentificering

Hvis du allerede har aktiveret totrins-godkendelse til din Gmail-konto eller andre tjenester, kan du bruge den samme godkendelsesapp med

instagram viewer
dette plugin til WordPress.

Heldigvis kan du begrænse totrins-godkendelse til kun at blive brugt på konti på øverste niveau, så du ikke behøver at irritere alle dine brugere.

beskytte wordpress

Login Lockdown

En gammel plugin, men stadig fungerer som tilsigtet; Login Lockdown tjekker IP'et for loginforsøg og blokerer et IP-område i en time, hvis det mislykkes 3 gange inden for 5 minutter. Enkel, effektiv.

Tag regelmæssige sikkerhedskopier

Hackere ændrer ikke bare en fil, men vil placere deres eget kontrolpanel skjult et eller andet sted skjulte bagdøre - så selvom du fikser det originale hack, kommer de lige ind igen og gør det hele igen. Tag daglige eller ugentlige sikkerhedskopier, så du nemt kan gendanne tilbage til et punkt, hvor der ikke var spor af hacker - og sørg for at lappe uanset hvad det var, de gjorde for at komme ind. Personligt investerede jeg lige i en $ 150 Backup Buddy udviklerlicens - det er den nemmeste og mest omfattende backup-løsning, jeg har fundet endnu.

beskytte wordpress site

Undgå indeksering af mapper

Kontroller roden til din WordPress-installation for .htaccess-filen (bemærk perioden i begyndelsen - du skal muligvis vise usynlige filer for at se dette), og sørg for, at den har følgende linje. Hvis ikke, tilføj den - men lav først en sikkerhedskopi, da denne fil er ret afgørende.

Valgmuligheder alle -indekser

Bliv opdateret

Foretag ikke den samme fejl som vi gjorde: opgrader altid WordPress, så snart en opdatering er tilgængelig. Undertiden indeholder opdateringerne mindre fejlrettelser og ikke sikkerhedsrettelser, men kom ind i vanen, og du har ikke et problem. Hvis du har mere end en WordPress-installation og ikke kan holde styr på dem alle, skal du tjekke ud ManageWp.com, et premium-dashboard til alle dine blogs, der inkluderer sikkerhedsscanning.

Ikke kun kerne WordPress-filer, men også plugins: et af de største WordPress-hacks i fortiden involverede en sårbarhed i et fælles miniature-generator-script kaldet timthumb.php, og der er stadig temaer derude, der bruger den gamle version. Selvom plugins hurtigt blev opdateret, er det naturligvis sværere at holde temaer ajour - WordPress fortæller det ikke dig, hvis dit tema er sårbart, og for det har du en slags sikkerhedsscanningsplugin - rulle ned til det Sikkerheds plugins afsnit nedenfor for nogle forslag.

Download aldrig tilfældige temaer

Medmindre du ved, hvad du laver med PHP-kode, er det meget let at falde i fælden med at downloade et dejligt tilfældigt tema fra et eller andet sted, kun for at finde, at der er noget ondt kode derinde - mest almindelige backlinks, som du ikke kan fjerne, men værre kan være fundet. Hold dig til premium og velkendte temadesignere (såsom Smashing Magazine eller WPShower), eller til gratis temaer skal du kun bruge WordPress-temakataloget.

Slet ubrugte plugins og temaer

Jo mindre eksekverbar kode du har på din server, desto bedre - fjern chancen for at have gammel, sårbar kode ved at slette temaer og plugins, du ikke bruger mere. Deaktivering af dem stopper simpelthen deres funktionalitetsindlæsning med WordPress, men selve koden kan stadig være eksekverbar af en hacker.

Fjern fortællingsmeta i din sidehoved

Som standard udsendte WordPress sin version til verden i koden til din headerfil - en nem måde for hackere at identificere ældre installationer. Føj følgende linjer til dit tema functions.php fil for at fjerne WordPress-versionen, Windows Live Writer-info og en linje, der hjælper eksterne klienter med at finde din XML-RPC-fil.

remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'rsd_link');

Fjern "admin" -kontoen

De fleste brute-force-angreb på WordPress involverer gentagne gange forsøg på admin konto - standard for alle WordPress-installationer - og en ordbog med almindelige adgangskoder. Hvis du enten logger ind med admin eller har admin-kontoen i din brugertabel, er du sårbar over for dette.

To måder at løse det på: enten brug wp-optimer plugin - et fantastisk plugin, der blandt andet giver dig mulighed for at deaktivere postrevisioner og udføre databaseoptimering - for at omdøbe admin-konto. Eller bare oprette en anden konto med administratorrettigheder, log ind som den nye bruger, og slet derefter "admin" -kontoen tildele alle indlæg til din nye bruger.

beskytte wordpress site

Sikker adgangskoder

Selv hvis du har deaktiveret admin-kontoen, kan det være muligt at identificere brugernavnet på din administratorkonto - på hvilket tidspunkt du er sårbar over for et brute force-angreb igen. Håndhæv en stærk adgangskodepolitik med 16 eller flere tilfældige tegn, der består af store og små bogstaver, tegnsætning og tal.

Eller bare bruge reallyLongSentenceThatsEasyToRememberMethod.

Deaktiver filredigering inden for WordPress

For dem, der ikke kan lide at logge ind via FTP, indeholder WordPress en let redigeringsprogram i admin-dashboardet til tema- og plugin-PHP-filer - men det gør din installation sårbar, hvis nogen får adgang. Det er sådan, hvordan nogen formåede at injicere en malware-omdirigering i vores header. Føj følgende linje til bunden af ​​din wp-config.php (i rodmappen) for at deaktivere alle filredigeringsfunktioner - og brug SFTP Hvad SSH er & hvordan det er forskelligt fra FTP [Teknologi forklaret] Læs mere at logge ind på din server i stedet.

definere ('DISALLOW_FILE_EDIT', sandt);

Skjul loginfejl

En forkert adgangskode eller et forkert brugernavn kan identificeres ved hjælp af de givne fejl, når du logger ind, hvilket kan bruges til at identificere konti for brute-tvang. Dette er naturligvis ikke godt, så dræb fejlene med denne tilføjelse til dit tema functions.php fil

funktion no_errors_please () {return 'Nope'; } add_filter ('login_errors', 'no_errors_please');

Aktivér Cloudflare

Ud over at fremskynde dit websted reducerer CloudFlare mange kendte botnets og scannere fra endda at komme til din blog i første omgang. Læs alt om CloudFlare Beskyt & fremskynd dit websted gratis med CloudFlareCloudFlare er en spændende opstart fra skaberne af Project Honey Pot, der hævder at beskytte dit websted fra spammere, bots og andre onde webmonstre - samt fremskynde dit websted noget... Læs mere her. Installation er et klik, hvis du er vært hos MediaTemple, ellers har du brug for adgang til domænekontrolpanelet for at ændre navneserverne.

beskytte wordpress site

Sikkerheds plugins

  • Bedre WP-sikkerhed implementerer mange af disse rettelser til dig og er den mest omfattende gratis løsning, der findes.beskytte wordpress
  • WordFence er en premium-pakke, der aktivt scanner dine filer efter malware-links, omdirigeringer, kendte sårbarheder osv. - og rettet dem. Prisen starter ved $ 18 / år for 1 site.
  • Login sikkerhedsløsning både begrænser loginforsøg og håndhæver sikre adgangskoder.
  • BulletProof sikkerhed er et omfattende, men komplekst plugin, der beskæftiger sig med nogle af de mere tekniske aspekter som XSS-injektion og .htaccess-problemer. Der findes også en Pro verison af plugin, som automatiserer meget af processen.

Jeg tror, ​​du er enig i, at dette er en ganske omfattende liste over trin til at hærde WordPress, men jeg foreslår ikke, at du implementerer alle af dem. Hvis jeg skulle gøre alt dette til hvert websted, jeg nogensinde har oprettet, ville jeg stadig oprette dem nu. At køre enhver form for system indfører en risiko, og det er i sidste ende op til dig at finde balancen mellem det sikkerhedsniveau, du vil have, og den indsats, du vil bruge til at sikre det - intet kommer nogensinde til 100% sikker. Den lavt hængende frugt her er:

  • Hold WordPress opdateret
  • Deaktivering af admin-kontoen
  • Tilføjelse af totrins-godkendelse
  • Installation af et sikkerhedsplugin

At gøre dem alene burde sætte dig over 99% af alle de andre blogs derude, hvilket er nok til at få potentielle hackere til at gå videre til lettere mål.

Tror du, jeg savnede noget? Fortæl mig det i kommentarerne.

James har en BSc i kunstig intelligens og er CompTIA A + og Network + certificeret. Han er hovedudvikler af MakeUseOf og bruger sin fritid på at spille VR paintball og brætspil. Han har bygget pc'er siden han var barn.