Najlepsze praktyki bezpieczeństwa WordPress – lista TODO – Jak zabezpieczyć swój blog WordPress?

Opublikowany: 2015-05-25

Potraktuj poważnie zabezpieczenia WordPress

WordPress to jedna z najpopularniejszych platform do obsługi blogów i stron internetowych. Chociaż WordPress jest dość bezpieczny po wyjęciu z pudełka, zawsze znajdą się osoby, które będą chciały sprawiać kłopoty, znajdując sposób na włamanie się do kont lub witryn w celu wyrządzenia szkód lub wstrzyknięcia ukrytych linków spamowych. Dlatego ważne jest, aby upewnić się, że instalacja WordPressa jest tak bezpieczna, jak to tylko możliwe. Wskazówki dotyczące bezpieczeństwa WordPress.

TechCrunch, największy blog na świecie, został zhakowany dwukrotnie w krótkim czasie ośmiu godzin (w 2012 r.). Według głównego programisty WordPressa, Marka Jaquitha, włamanie nastąpiło najprawdopodobniej z powodu niezabezpieczonej wtyczki WordPress, która umożliwiła hakerowi użycie metody wstrzykiwania php do zhakowania technologicznego crunch. To nie było hakowanie po stronie serwera. Mam nadzieję, że te wszystkie szczegółowe informacje pomogą Ci chronić Twój blog WordPress.

Masz poniższe zapytanie na poniższe pytania?

  • recenzje wtyczek bezpieczeństwa wordpress
  • luki w zabezpieczeniach wordpress
  • najlepsze praktyki bezpieczeństwa wordpress
  • problemy z bezpieczeństwem wordpress
  • wskazówki dotyczące bezpieczeństwa wordpress
  • najlepsza wtyczka bezpieczeństwa wordpress
  • skanowanie bezpieczeństwa wordpress
  • Kontrola bezpieczeństwa wordpress

Jesteś we właściwym miejscu. Recenzje wtyczek bezpieczeństwa autorstwa Crunchify.

Oto kilka wskazówek, dzięki którym Twoja witryna WordPress lub blog będzie bezpieczniejsza i mniej podatna na złośliwe ataki. Te kroki pomagają nam zabezpieczyć naszego bloga, chroniąc przed złoczyńcami.

1) Uaktualnij do najnowszej wersji WordPress

Żaden system oprogramowania nie jest odporny na błędy i luki w zabezpieczeniach. Wykryte zostaną luki w zabezpieczeniach, a źli ludzie dołożą wszelkich starań, aby je wykorzystać. Dbanie o aktualność oprogramowania to dobry sposób na powstrzymanie ataków, ponieważ wiarygodni dostawcy oprogramowania naprawią swoje produkty po znalezieniu luk w zabezpieczeniach.

Na szczęście utrzymywanie aktualności witryny WordPress jest jedną z najłatwiejszych rzeczy, które możesz zrobić. W ostatnich kilku wersjach WordPress zawierał możliwość instalowania automatycznych aktualizacji. Nie tylko to, ale witryny są powiadamiane za każdym razem, gdy dostępna jest nowa aktualizacja.

Jeśli nie korzystasz z najnowszej wersji WordPressa, zaktualizuj teraz. Pozostawienie witryny w starej wersji jest jak pozostawienie otwartych drzwi, gdy wyjeżdżasz na wakacje.

Aktualizacja WordPress

2) Umieść pusty plik index.php

Jeśli myślałeś, że samo ustawienie uprawnień do katalogów jest więcej niż wystarczające, powiedziałbym, że to nie jest takie proste! Sugerowałbym, aby upuścić pusty plik html lub php ( ensure that the name should be index.php ) w folderze wp-content/themes/ & wp-content/plugins/ . W ten sposób za każdym razem, gdy ktoś spróbuje zobaczyć zawartość tego folderu, zostanie mu wyświetlona pusta strona i nic więcej. Czy to nie mądre posunięcie?

Zawartość pliku:

index.php
1
2
3
<?php
// Silence is golden.
?>

Umieść pusty plik index.php w każdym folderze

3) Użyj tajnych kluczy w swoim pliku WP-Config

W WordPressie plik wp-config.php to plik, który przechowuje informacje o bazie danych, których WordPress potrzebuje, aby połączyć swój obwód, że tak powiem. Ten plik zawiera nazwę, adres i hasło bazy danych MySQL, w której przechowywane są wszystkie informacje o użytkowniku, posty na blogu i inne ważne treści.

Używając tajnego klucza, możesz jeszcze bardziej utrudnić komuś dostęp do Twojego konta.

Przejdź do https://api.wordpress.org/secret-key/1.1/ i copy the results into this section of your wp-config.php , jeśli nie masz jeszcze skonfigurowanego tajnego klucza.

4) Trzymaj swój plik .htaccess w szachu

Używając pliku .htaccess , możesz ustawić limity dostępu do niektórych katalogów. Możesz powiązać te ograniczenia z określonym adresem IP, co oznacza, że ​​tylko osoby z tej lokalizacji mogą uzyskać dostęp do Twoich informacji.

Zawsze wskazane jest, aby przy wyborze hosta internetowego potwierdzić od nich, jakiej wersji MySQL, Apache i PHP używają.”

Próbka:

Sample deny,allow in .htaccess
1
2
3
4
5
6
7
8
order deny , allow
deny from 32.177.15. *
deny from 53.177.14. *
deny from 64.255.113. *
deny from 11.255.114. *
deny from 115.225.176.86
deny from 535.255.117.250
allow from all

5) Używaj silnych haseł do kont WordPress

Oprócz dodania tajnego klucza do pliku wp-config.php , rozważ także zmianę hasła użytkownika na coś, co jest silne i unikalne. WordPress poinformuje Cię o sile Twojego hasła, ale dobrą wskazówką jest unikanie popularnych fraz, używanie wielkich i małych liter oraz dodawanie cyfr. Dobrym pomysłem jest również regularne zmienianie hasła — powiedzmy raz na dwa miesiące.

6) Zaktualizuj środowisko serwera i wtyczki

Aktualizacja wtyczek i motywów zaraz po ich wydaniu jest twoją odpowiedzialnością. Sugeruję regularne aktualizowanie wtyczki. Zajrzyj do artykułu CSRF, który opublikowałem jakiś czas temu.

Jeśli chodzi o środowisko serwerowe, to nie jest w twoich rękach, ale w rękach hosta internetowego. Zawsze zaleca się, aby przy wyborze hosta internetowego potwierdzić od niego, jakiej wersji MySQL, Apache i PHP używają. Dopasuj go do najnowszej wersji wymienionej na odpowiednich stronach internetowych, a jeśli są nieaktualne, poproś ich o ich aktualizację (bardzo mało prawdopodobne) lub jak najszybszą zmianę hosta.

7) Nigdy nie używaj „admin” jako swojej nazwy użytkownika

Po zainstalowaniu WordPressa powinieneś zmienić nazwę użytkownika administratora.

8) Zmień WP prefix tabel bazy danych

Zaoszczędzi ci to przed włamywaniem się do sql.

9) Nie instaluj WordPressa w katalogu głównym

Zainstaluj go w jakimś folderze o dziwnej nazwie, która nie jest łatwa do poznania. Coś jak 442testXYZ . Pozwoli to zaoszczędzić Twoją instalację WordPress przed botami i hakerami.

10) Blokuj złe boty

Nigdy nie wiesz, kiedy Twoja witryna jest indeksowana przez złe boty. Rozwiązanie jest proste. Spróbuj umieścić poniżej w pliku .htaccess , aby zablokować złe boty.

.htaccess
1
2
3
RewriteEngine On
RewriteCond % { HTTP_USER_AGENT } ^ . * ( agent1 | Wget | Catall Spider ) . * $ [ NC ]
RewriteRule . * - [ F , L ]

Streszczenie

Wszyscy zgadzamy się, że posiadanie bezpiecznego bloga WordPress powinno być naszym priorytetem przy prowadzeniu udanego bloga. WordPress to niesamowite oprogramowanie do publikowania, a Automattic (firma stojąca za WordPressem) zawsze stara się je zabezpieczyć, aby miliony blogów mogły być zabezpieczone przed zagrożeniami hakerów.

Jest tak wiele sposobów na poprawę bezpieczeństwa WordPressa. Te zmiany są niewielkie i wiele z tych zaleceń można wdrożyć w ciągu kilku minut. Możesz spać spokojnie, wiedząc, że Twoja witryna WordPress jest nieco bezpieczniejsza przed intruzami i hakerami.