18 Wordpress-sikkerhedsplugins og tip til sikring af din blog

Reklame

Uden tvivl, for en selvhostet blog, er WordPress den bedste blog CMS, som du kan få. Dog er det en populær og open source-software, betyder det også, at hackere har fuld adgang til kode, som de kan undersøge for at finde eventuelle udnyttelser, de kan bruge til at hacke til enhver WordPress-aktiveret websted.

På den gode side er en af ​​de bedste ting ved WordPress dens pluginsystem, der tillader enhver at gøre det installere eventuelle plugins eller oprette dine egne plugins for at udvide dens funktionalitet, inklusive forbedring sikkerhed.

Her har jeg listet nogle wordpress-sikkerhedsprogrammer (og et par tricks), som du kan bruge til at sikre WordPress-blog.

Alle de plugins og tricks, der er anført nedenfor, er beregnet til WP 2.7 og nyere. Hvis du stadig bruger en ældre version af WordPress, er det tid til at opgradere din blog.

Beskyttelse af dit login

Dette plugin bruger CHAP protokol til kryptering af din adgangskode. Adgangskoden saltes først med et tilfældigt tal (nonce), der er genereret af sessionen, efterfulgt af md5-transformationsalgoritmen. Dette resultat sendes derefter til serveren, hvor det dekrypteres og autentificeres. Dette er et nul-konfigurations plugin, hvilket betyder, at du kan bruge det umiddelbart efter aktivering.

2. Stealth login

Stealth Login tilslører din login-side ved at give dig mulighed for at definere en brugerdefineret login-side i stedet for standard wp-login.php. I tilfælde af at din adgangskode lækkes, vil hacker også have svært ved at finde den rigtige login-URL. En god brug af dette er at forhindre, at ondsindede bots får adgang til din wp-login.php-fil og forsøger at bryde ind.

Login Lockdown er nyttigt til at forhindre et brute force-angreb. Hvad Login LockDown gør er at registrere IP-adressen og tidsstemplet for hvert mislykket loginforsøg. Hvis der registreres mere end et vist antal forsøg inden for en kort periode fra det samme IP-område, låser det loginfunktionen og forhindrer, at personer fra dette IP-område logger ind.

Dette plugin tilføjer en ekstra HTTP-godkendelse for at give et andet forsvarslag til din blog. Du kan konfigurere adgangskodebeskyttelse til din blog ved hjælp af HTTP Basic Authentication, eller du kan vælge at bruge den mere sikre HTTP Digest Authentication.

Bemærk, at dette plugin muligvis / muligvis ikke fungerer, afhængigt af din serverkapacitet. Hvis dit websted ikke består AskApache-konfigurationstestene (testene, der køres af pluginet for at registrere dine serverfunktioner), kontakt din webhost og se, om de kan foretage ændringer på serveren side.

Dette plugin giver et "semisecure" login-miljø ved at kryptere din adgangskode med RSA kryptografi

Beskyttelse af din database

For nogle af jer kan sikkerhedskopiering af en database muligvis betyde en besværlig teknisk opgave. Med WP-DB-sikkerhedskopi skal du bare konfigurere det én gang og få det til at køre automatisk med regelmæssige intervaller.

Hvad dette plugin gør er at automatisere sikkerhedskopien af ​​din database og få den sendt til din e-mail-indbakke. Bortset fra standardtabellen oprettet af WordPress, kan du også tage backup af tilpassede tabeller oprettet af plugins. I tilfælde af at din konto går ned, kan du nemt importere og gendanne databasen med sikkerhedskopien.

Wp-DBManager er ligesom en phpmyadmin i dit dashboard. Du kan nemt administrere din database direkte på dit dashboard. Der er nyttige funktioner såsom optimering / reparation / sikkerhedskopi / gendannelse af din database, og hvis du er teknisk nok, kan du endda køre din egen SQL-forespørgsel fra indstillingssiden.

På den dårlige side, hvis nogen hackere formår at logge ind på dit websted, vil dette plugin være en gateway for dem at skabe ødelæggelse i din database.

8. Skift præfiks for databasetabel

Standardpræfikset brugt af WordPress er “wp”. Du kan nemt ændre præfikset til andre udtryk, der er vanskelige at gætte ved hjælp af WP-Security-Scan. Flere detaljer om dette plugin nedenfor.

9. Beskyt din wp-config.php fil

Din wp-config.php-fil indeholder alle dine database-loginoplysninger, og den skal under alle omstændigheder være skjult for offentligt syn. I din htaccess-fil skal du lægge denne linje:

ordre tillad, nægt. benæg fra alle. 

for at forhindre nogen i at se filen wp-config.php.

Beskyttelse af din administrationsside

Dette plugin tvinger SSL på alle sider, hvor adgangskoder kan indtastes, så al transmitteret information krypteres.

Én ting er dog, at du skal eje et SSL-certifikat, før du kan gøre det. Hvis du ikke er villig til at afskaffe de ekstra penge til at købe et privat SSL-certifikat, kan du spørge din webhost om Delt SSL. De fleste webhost leverer delt SSL til alle deres klienter, og det er let at konfigurere.

11. Skift login brugernavn

Brug af "admin" som dit login-brugernavn er den sidste ting, du vil gøre. Når du først installerede WordPress, skal du straks oprette en anden administratorkonto med dit eget brugernavn og adgangskode og slette “admin” -kontoen.

Undgå, at andre ser din interne filstruktur

12. Skjul WP-versionen

I de fleste WordPress-temaer under

er der altid en kodelinje, der viser den WordPress-version, du bruger. At give dit WordPress-version nummer væk betyder at fortælle hackeren, hvilken udnyttelse de skal bruge til at hacke på dit websted.

Siden WP2.6.5 har WordPress gjort det endnu sværere at fjerne wp-versionen, da den integrerer disse oplysninger i wp_header tag. Et plugin, som du kan bruge til at fjerne disse oplysninger, er WP-Security-Scan.

13. Skjul WP-indholdet

WP-indholdsmappen er hvor du gemte alle dine plugins og temafiler. Dette er det sted, hvor du ønsker at forhindre andre i at se nærmere på. Du kan enten uploade et tomt index.html fil til wp-indhold mappen, eller opret en .htaccess fil i wp-indhold mappen og tilføj denne linje:

Valgmuligheder alle -indekser
14. Bloker wp-mappe fra indeksering af søgemaskiner
Mens du ønsker, at søgemaskinerne skal indeksere din blog og bringe masser af trafik, er den sidste ting, du vil se, at lade søgemaskinerne udsætte din interne filstruktur for offentligheden. Hvad du kan gøre er at blokere al din wp-mappe fra at indeksere med søgemaskiner ved at tilføje følgende poster til robot.txt:
Afvis: / wp- * 
Vedligeholdelse
Jeg har nævnt dette plugin flere gange, så det er tid for mig at forklare, hvad det gør. WP-Security-Scan kontrollerer din WordPress for sikkerhedssårbarheder og foreslår / leverer korrigerende handlinger. De korrigerende handlinger inkluderer ændring af din database-præfiks, skjul WordPress-versionens nummer fra overskriften og giver dig mulighed for at teste styrken på din adgangskode.
Ind imellem er det en god ide at køre den indbyggede sikkerhedsscanner og tjekke din blog for eventuelle sikkerhedsmæssige ufravikeligheder.
16. Skift kodeord regelmæssigt
Ikke kun skal du ændre din adgangskode regelmæssigt, men du skal også sørge for, at den er en stærk. Hvis du har svært ved at oprette en, skal du finde en sådan, hvordan du kan oprette stærke adgangskoder, som du nemt kan huske Sådan opretter du stærke adgangskoder, som du nemt kan huske Læs mere .
17. Opdater WordPress og alle plugins til den nyeste version
Naturligvis er opgradering til den nyeste version af WordPress og plugins den bedste måde at beskytte dig selv på.
Beskyttelse af din forbindelse
18. SFTP
Overførsel af filer til din online-konto er en almindelig ting at gøre. I stedet for at bruge den usikrede FTP, skal du dog bruge SFTP (Sikker FTP). Dette opretter en SSH-forbindelse og sender alle dine filer krypteret til serveren. Hvis du har brug for hjælp til at oprette en SFTP-forbindelse, er her guide.
Ovenstående information skal være tilstrækkelig til, at du kan oprette en sikker WordPress-blog. Hvis du ikke har implementeret nogen af ​​disse, vil jeg opfordre dig til at gøre det nu.
Hvilke andre metoder bruger du for at sikre din WordPress-blog?