10 Sfaturi puțin cunoscute, super eficiente pentru a vă asigura blogul WordPress
Obținerea unui blog hacked și pierderea de ani de zile de zile de blogging de lucru peste noapte este o realitate tristă pe care oamenii de fapt, au trecut prin. De fapt, cercetările arată că 37.000 de site-uri web sunt hacked în fiecare zi, iar cu WordPress alimentând aproximativ 25,4% din toate site-urile web, puteți fi sigur că o mulțime de bloguri WordPress sunt hacked în fiecare zi.
Securitatea WordPress este o minge cu totul diferită; odată ce dețineți un blog WordPress, sfaturi cum ar fi un nume de utilizator care este greu de ghicit și o parolă care este la fel de dificilă ca rockul nu mai este suficientă. A o singură temă buggy, plugin greșit sau un fișier incorect protejat poate duce la hacking-ul dvs. peste noapte.
Fie că nu aveți experiență cu WordPress, fie că ați folosit platforma încă de la existența sa, acest articol are 10 modalități practice și de cină eficiente pentru a vă asigura blogul dvs. WordPress pe care oricine le poate implementa. Nu veți găsi cele mai multe dintre aceste sfaturi în cele mai populare articole despre cum să vă asigurați blogul dvs., însă acestea ar putea salva foarte bine blogul dvs. într-o zi!
1. Dezactivați tema WordPress și Editorul pluginului
WordPress are o caracteristică la îndemână care oferă proprietarilor de site-uri mai multă flexibilitate, permițându-le să-și personalizeze și să editeze temele și pluginurile lor chiar de pe tabloul de bord WordPress, dar această caracteristică a fost desființarea celor mai multe bloguri.
Cu această caracteristică, a o ușoară eroare poate să vă prăbușească site-ul și să vă blocheze site-ul. Hackerii pot introduce cu ușurință codul rău intenționat în tema dvs. pentru a le oferi acces backdoor pe site-ul dvs. sau chiar pentru a vă prelua complet site-ul, obținând controlul asupra unui cont care are suficiente privilegii pentru a utiliza tema și editorul de plugin-uri.
Vă puteți proteja dezactivând pluginul și editorul temelor, făcând imposibilă modificarea temelor și pluginurilor fără acces FTP.
Faceți acest lucru adăugând următorul cod la fișierul wp-config.php:
define ('DISALLOW_FILE_EDIT', true);
2. Activați autentificarea în doi factori
Autentificarea în doi factori devine rapid una dintre cele mai fiabile modalități de a vă proteja conturile online, iar cele mai fiabile site-uri vor insista că utilizatorii le permit.
În timp ce WordPress nu are neapărat autentificare cu doi factori, puteți să activați autentificarea cu două factori pe blogul dvs., instalând următoarele pluginuri:
- Google Authenticator
- Authy
- Cheie
- Rublon
3. Limitați logurile pe baza numărului de încercări greșite
Există multe modalități prin care hackerii încearcă să obțină acces la blogul dvs. și una dintre cele mai frecvente tehnici folosite este un atac bruteforce: un hacker încearcă o combinație de nume de utilizator și parole, din când în când, până când poate accesa cu succes blogul tău.
Implicit, WordPress nu este protejat împotriva acestui atac. Prin instalarea pluginurilor care limitează conectările după un anumit număr de încercări eșuate de la o anumită adresă IP, puteți face mult mai dificil pentru hackeri să aibă acces la blogul dvs..
Pluginul Module Jetpack Protect vă poate proteja de atacurile bruteforce.
4. Scanați-vă în mod regulat blogul
Fișierele tematice, pluginurile, link-urile și alte elemente aparent inofensive pot fi folosite pentru a avea acces la blogul dvs. Nu așteptați până când site-ul dvs. este complet infectat înainte de a lua măsuri. În schimb, instalați pluginurile de scanare de securitate pentru a scana în mod regulat site-ul dvs. și pentru a vă informa dacă fișierele se modifică.
Un bun exemplu de plugin de scanare de securitate este Wordfence. Pe lângă faptul că vă oferă opțiunea de scanare manuală / automată a blogului dvs. WordPress, acesta vă notifică instantaneu atunci când se desfășoară activități suspecte pe blogul dvs..
De asemenea, trimite informații despre comentariile potențial dăunătoare, și aceasta compară tema și fișierele pluginului cu depozitul WordPress la să știți dacă versiunea dvs. a unui plugin sau a unei teme a fost modificată și poate servi ca o backdoor pentru hackeri pe site-ul dvs..
Alte pluginuri de securitate care vă pot ajuta să vă scanați blogul pentru programe malware și exploatează sunt:
- Sucuri Security Scanner
- Acunetix WP Security
- iThemes Security (anterior cunoscut sub numele de "Better WP Security")
5. Modificați-vă gazda
În timp ce acest lucru pare a fi un sfat simplist, de fapt, are multă greutate. Cercetările arată că 41% din site-urile WordPress hacked au fost hacked prin vulnerabilitatea de securitate pe platforma lor de găzduire. Acest lucru este mult mai mult decât din alte surse, inclusiv o parolă slabă.
Gazda dvs. poate juca un rol major în faptul dacă veți fi hacked sau nu; asigurați-vă că numai tu du-te pentru gazde web de încredere care au rezistat testul de timp și asta să respecte cele mai bune practici din domeniu.
6. Ascunde numărul versiunii WordPress
Implicit, WordPress afișează numărul versiunii WordPress; acest lucru face ușor pentru WordPress pentru a urmări cât de multe bloguri WordPress sunt active în întreaga lume. Cu toate acestea, aceasta poate fi, de asemenea, o sursă imensă de probleme; hackerii și boturile pot scanați webul pentru bloguri utilizând un număr de versiune WordPress cu o vulnerabilitate cunoscută, făcându-vă o țintă ușoară.
Puteți rezolva cu ușurință această problemă prin ascunzând numărul versiunii WordPress. Pentru a ascunde numărul versiunii WordPress, pur și simplu adăugați următorul cod în fișierul functions.php:
add_filter ('the_generator', '__return_null');
7. Dezactivați rapoartele de eroare PHP
Când un plugin sau o temă nu funcționează bine pe blogul dvs. WordPress, rapoartele de eroare PHP vă pot ajuta prin afișarea mesajului care dezvăluie cauza erorii. Cu toate acestea, în acest avantaj se află un dezavantaj: atunci când este raportată eroarea PHP, aceasta include calea serverului complet al erorii, dezvăluind informații că hackerii pot folosi împotriva ta.
Te poți proteja dezactivarea rapoartelor de eroare PHP. Pur și simplu adăugați următorul cod la fișierul wp-config.php:
error_reporting (0); @ini_set ('display_errors', 0);
8. Lucrați pe Permisiunile dvs. de fișiere WordPress
Când vine vorba de a împiedica site-ul WordPress de la exploatațiile de securitate, este esențial să asigurați-vă că aveți permisiunile pentru fișierul corect. Acest lucru face dificil pentru un hacker să manipuleze plugin-uri, teme sau fișiere de pe serverul dvs. pentru a prelua site-ul dvs. Web.
Asigurați-vă că WordPress pliant permisiunile sunt setate la 755 sau 750; fişier permisiunile sunt setate la 640 sau 644; și că permisiunea wp-config.php este setată la 600.
9. Asigurați-vă copiile de rezervă periodice
Chiar și site-urile mari cu o echipă de experți în securitate și consultanți sunt hackeri și, în timp ce urmați cele mai bune practici pot face site-ul dvs. mai puternic decât 99,9% din site-uri web, lucrurile se pot rupe.
Cea mai bună securitate pe care o aveți împotriva atacurilor hack-urilor WordPress este o copie de rezervă bună; asigurați-vă că efectuați copii de siguranță ale site-ului dvs. în mod regulat - dacă este posibil, zilnic. În acest fel, dacă site-ul dvs. este hacked aveți fișierele în loc și poate restabili imediat lucrurile.
Iată câteva dintre cele mai bune plug-in-uri de rezervă WordPress:
- BackUpWordPress
- Gata! Backup
- VaultPress
- BackupBuddy
10. Limitați accesul la pagina dvs. de conectare
Atunci când împingeți-vă, puteți să luați o acțiune drastică. O modalitate foarte fiabila de a va proteja blogul de incercarile de hack este prin blocând în totalitate accesul la paginile wp-admin și wp-login.php.
Acest lucru este recomandat doar dacă sunteți utilizați o adresă IP care nu se modifică (nu vrei să te blochezi din blogul tău!). Puteți utiliza această opțiune dacă utilizați mai mult de o adresă IP, dar urmăriți acele adrese.
Pentru a limita accesul la pagina de conectare, adăugați următorul cod în fișierul .htaccess:
RewriteEngine pe RewriteCond% REQUEST_URI ^ (. *)? Wp-login \ .php (. *) $ [OR] RewriteCond% REQUEST_URI ^ (* *)? Wp-admin $ RewriteCond% REMOTE_ADDR! Adresă IP 1 $ RewriteCond% REMOTE_ADDR! ^ Adresa dvs. IP 4 $ RewriteCond% REMOTE_ADDR! ^ Adresa dvs. de IP 3 $ RewriteCond% REMOTE_ADDR! ^ Adresa IP 5 $ RewriteRule ^ (. *) $ - [R = 403, L]
Asigurați-vă că ați editat Adresa dvs. IP 1 până la Adresa dvs. IP 5 cu diferitele adrese IP pe care doriți să le permiteți accesul; puteți adăuga sau elimina pur și simplu o linie pentru a permite sau a împiedica accesul mai multor IP-uri la site-ul dvs..
Concluzie
Desigur, nu trebuie să ignorați sfaturile de securitate de bază, cum ar fi să nu folosiți un nume de utilizator previzibil, să aveți o parolă puternică, să actualizați în mod regulat instalarea WordPress, etc. Cu toate acestea, mai sus sunt câteva sfaturi de securitate puțin cunoscute, adesea ignorate, Blogul WordPress este doar un pic mai sigur.
Nota editorului: Acest post de oaspete este scris pentru Hongkiat.com de către John Stevens. John este un expert în WordPress și găzduire. El este fondatorul și CEO al HostingFacts.com, un portal în care analizează și evaluează gazdele web bazate pe performanță.