Reklame
Det er ofte en fornøjelse at køre et WordPress-baseret websted, så du kan fokusere på indhold og opbygge forhold til læsere og andre websteder.
Dog ikke alle på nettet er så venlige som dig. Et sted derude er der en liste med din blogs navn på den, hvor den sidder og venter på at blive målrettet af hackere. Når de kommer rundt på din blog, prøver de forskellige taktikker for at få adgang til den, måske med det formål at sælge lovlige stoffer eller inficere din besøgende's computere med malware.
Heldigvis er der forskellige måder, hvorpå du kan beskytte din WordPress-blog fra hackere.
Opdater regelmæssigt WordPress
En af de mest kraftfulde, men ofte oversete løsninger til at beskytte WordPress mod hackere, er at sikre, at det regelmæssigt opdateres.
Der er selvfølgelig en nedadvendt side af dette - nogle af dine bedste WordPress-plugins De bedste WordPress-plugins Læs mere kan stoppe med at arbejde, hvis WordPress opdateres - men samtidig bør det ses på som en mulighed for det opdater dine plugins, find udskiftninger, som i sig selv er sikre og pålidelige og grundlæggende stramme dit websted op eller blog. At holde sig til plugins, der findes i WordPress-biblioteket, er også en god måde at holde ting under kontrol.
Det er muligt at opdatere WordPress fra Dashboard, men tag altid en sikkerhedskopi af din database, før du gør det.
Hold regelmæssige sikkerhedskopier
En vigtig procedure for alle WordPress-blogejere er at sikre, at der foretages sikkerhedskopier regelmæssigt, og at de let kan gendannes, hvis det værre sker.
Løsningerne er rigelige, men Cloudsafe365 er en af de mest kraftfulde, kombinerende cloud-backup (Dropbox kan bruges) med forskellige sikre beskyttelsesværktøjer mod teknikker såsom scripting på tværs af websteder, SQL-injektion og endda overvåger indhold tyveri.
Cloudsafe365, tilgængelig fra WordPress-plugins-websted, leveres i tre varianter. En gratis mulighed dækker ovenstående ting, mens de betalte optioner tilbyder yderligere funktioner såsom beskyttelse mod kodeindsprøjtning og brute force-angreb.
Installer et krypteret login-plugin
Beskyttelse af den faktiske handling ved at logge på dit WordPress-baserede websted udføres bedst ved hjælp af et krypteret login-plugin, da webstedsoftwaren ikke har denne facilitet som standard. Sandsynligvis er den bedste løsning til dette - perfekt til at beskytte dine blog-loginoplysninger fra pakkesniffere på trådløse netværk - Chap Secure Login, der bruger SHA-256 algoritmen til at beskytte dit brugernavn og din adgangskode.
I mellemtiden Login Lockdown plugin er en nyttig måde at blokere IP'er, der registrerer gentagne mislykkede forsøg på at få adgang til dit websted.
Andre login-beskyttelsestrin, du kan tage, inkluderer installation af et stærkt CAPTCHA-plugin. RetinaPost er et særligt imponerende plugin, der kræver, at brugerne indtaster fremhævede tegn fra en sætning snarere end at prøve at afkryptere skruede tekstbilleder eller gøre matematiske udfordringer. Eventuelle forsøg på at forstyrre din blog ved hjælp af kommentarsystemet kan reduceres markant ved hjælp af dette plugin.
Skjul “Powered by WordPress”
Hackere har en anden taktik for hver af de forskellige typer webstedsoftware, der er i brug, men kan du gøre tingene hårdere for dem ved ikke at annoncere, at dit websted er “Powered by WordPress”.
Som standard findes disse oplysninger i filen footer.php, nås ved at åbne din blogs betjeningspanel ved at vælge Udseende> Editor at redigere i browservinduet. Forskellige temaer kræver forskellige metoder til at fjerne denne tekst, så du bør tjekke online for at finde den bedste tilgang (hvis almindelig tekst bruges til at vise sagnet, skal du slette denne; Hvis der bruges PHP-kode, skal du trætte omhyggeligt, medmindre du ved, hvad du laver).
Skift administratorbrugernavn
En måde, hvorpå hackere kan finde en vej ind på dit websted, er ved at bruge brute force-software, der vil forsøge flere logins ved hjælp af almindelige ord og sætninger som adgangskoder, kombineret med et udvalg af åbenlyse brugernavne.
Administrator-brugernavnet i WordPress kan vælges, når softwaren er opsat, men i hast med at få ting gjort, forlader mange brugere det ved standardvalget af "admin". Når det gælder åbenlyse brugernavne, kommer dette øverst på listen, hvorfor det er vigtigt at ændre det.
Der findes to måder til ændring af admin-brugernavnet. Først kan du oprette en anden administratorkonto med et brugernavn, der ikke er indlysende, og derefter slette den oprindelige bruger. Bemærk dog, at dette kan have en indflydelse på alle artikler, der er skrevet under administratorkontoen (de vil måske fjernes, indtil et nyt navn er angivet, eller vises en fejl på postsiden).
Sandsynligvis den mest effektive måde at gøre dette på er at få adgang til dit websteds phpMyAdmin, vælg WordPress database, find wp_users-tabellen (“wp_” er et standardpræfiks, der kan være ændret ved installationen) og brug Gennemse ikon for at finde "admin" brugernavn.
Når kolonnen user_login er opdaget, skal du klikke på redigere på den relevante række, og skift derefter “admin” til dit foretrukne login-login-administratornavn ved at klikke på Gå når du er færdig.
Flyt wp-config-filen
Et blændende problem med WordPress er, at de vigtigste sikkerhedsoplysninger gemmes i en enkelt, ikke-krypteret fil, der kan hackes og bruges til at tage kontrol over din blog. Wp-config.php-filen indeholder admin-loginoplysninger samt brugernavn og adgangskode til MySQL-databasen.
Derfor er det vigtigt at sikre denne fil, hvis du ønsker at beskytte webstedet mod hackere.
En ting, du dog ikke skal gøre, er at slette wp-config - dette vil efterlade dit websted ubrugeligt (og snarere tomt). Så hvordan beskytter du dit websted mod denne bisarre sårbarhed?
Siden frigørelsen af WordPress 2.8 har blogejere haft muligheden for at flytte filen til rodwebkataloget på serveren. Hvad dette for eksempel betyder, er, at hvis du har dit websted installeret i www.mysite.com/wordpress, kan filen wp-config.php flyttes op på et niveau til mysite-biblioteket.
Konklusion
Uanset hvor teknisk eller ikke-teknisk du er, hvis du kører en WordPress-blog, er der ingen undskyldning for ikke at implementere nogen eller alle disse værktøjer til at beskytte dit websted mod hackere.
Når alt kommer til alt, hvad er poenget med at sætte alt det hårde arbejde i kun for at finde ud af, at nogen har overtaget webstedet og nu koster dig dine faste besøgende ved at annoncere Viagra?
Disse trin kan implementeres på bare et par timer - måske en enkelt weekend morgen, hvis du bliver presset i tide - så ikke ignorere, handle nu.
Christian Cawley er viceaditor for sikkerhed, Linux, DIY, programmering og teknisk forklaret. Han producerer også The Really Useful Podcast og har lang erfaring med support til desktop og software. Christian bidrager til Linux Format-magasinet og er en Raspberry Pi-tinkerer, Lego-elsker og retro-spil-fan.
