Cele mai bune practici de securitate WordPress – Lista TODO – Cum să vă securizați blogul WordPress?

Publicat: 2015-05-25

Luați în serios securitatea WordPress

WordPress este una dintre cele mai populare platforme pentru bloguri și site-uri web auto-găzduite. În timp ce WordPress este destul de sigur din cutie, vor exista întotdeauna persoane care vor să facă probleme prin găsirea unei modalități de a accesa conturi sau site-uri pentru a provoca daune sau a injecta link-uri spam ascunse. De aceea, este important să vă asigurați că instalarea dvs. WordPress este cât mai sigură posibil. Sfaturi de securitate WordPress.

TechCrunch, cel mai mare blog din lume, a fost spart de două ori într-un interval de timp scurt de opt ore (în 2012). Potrivit programatorului principal al WordPress, Mark Jaquith, hack-ul a fost cel mai probabil din cauza unui plugin WordPress nesigur care i-a permis hackerului să folosească metoda de injectare php pentru a pirata tech crunch. Nu a fost un hacking pe partea serverului. Sper că toate aceste informații detaliate vă vor ajuta să vă protejați blogul WordPress.

Aveți o întrebare de mai jos la întrebările de mai jos?

  • Recenzii de pluginuri de securitate wordpress
  • vulnerabilități de securitate wordpress
  • cele mai bune practici de securitate wordpress
  • probleme de securitate wordpress
  • sfaturi de securitate wordpress
  • cel mai bun plugin de securitate wordpress
  • scanare de securitate wordpress
  • verificare de securitate wordpress

Atunci ești la locul potrivit. Recenzii de pluginuri de securitate de către Crunchify.

Iată câteva sfaturi pentru a vă păstra site-ul sau blogul WordPress mai sigur și mai puțin susceptibil la atacuri rău intenționate. Acești pași ne ajută să ne asigurăm blogul, ținându-i afară pe cei răi.

1) Faceți upgrade la cea mai recentă versiune de WordPress

Niciun sistem software nu este imun la erori și vulnerabilități. Găurile de securitate vor fi descoperite și băieții răi vor face tot posibilul să le exploateze. Menținerea actualizată a software-ului este o modalitate bună de a evita atacurile, deoarece furnizorii de software de încredere își vor repara produsele odată ce vor fi găsite găurile de securitate.

Din fericire, menținerea site-ului WordPress actualizat este unul dintre cele mai simple lucruri pe care le puteți face. Pentru ultimele versiuni, WordPress a inclus posibilitatea de a instala actualizări automate. Nu numai asta, dar site-urile sunt notificate de fiecare dată când devine disponibilă o nouă actualizare.

Dacă nu rulați cea mai recentă versiune de WordPress, faceți upgrade acum. Să-ți părăsești site-ul pe o versiune veche este ca și cum ai ține ușa descuiată atunci când pleci în vacanță.

Actualizare WordPress

2) Puneți fișierul index.php necompletat

Dacă ai crezut că doar configurarea permisiunilor de director este mai mult decât suficientă, aș spune că pur și simplu nu este atât de simplu prieten! Aș sugera să aruncați un fișier html sau php gol ( ensure that the name should be index.php ) în folderul wp-content/themes/ & wp-content/plugins/ . În acest fel, ori de câte ori cineva va încerca să vadă conținutul acelor foldere, i se va prezenta o pagină goală și nimic altceva. Nu este o mișcare inteligentă?

Conținutul fișierului:

index.php
1
2
3
<?php
// Silence is golden.
?>

Puneți fișierul index.php gol în fiecare folder

3) Folosiți cheile secrete în fișierul dvs. WP-Config

În WordPress, fișierul wp-config.php este fișierul care stochează informațiile bazei de date de care WordPress are nevoie pentru a-și conecta circuitul, să zic așa. Acest fișier conține numele, adresa și parola bazei de date MySQL care stochează toate informațiile despre utilizator, postările de blog și alt conținut important.

Folosind o cheie secretă, puteți face și mai dificil pentru cineva să obțină acces la contul dvs.

Accesați https://api.wordpress.org/secret-key/1.1/ și copy the results into this section of your wp-config.php dacă nu ați configurat deja o cheie secretă.

4) Păstrați fișierul dvs. .htaccess în Verificare

Folosind un fișier .htaccess , puteți seta limite de acces la anumite directoare. Puteți lega acele limite de o anumită adresă IP, ceea ce înseamnă că numai persoanele din acea locație vă pot accesa informațiile.

Este întotdeauna recomandabil ca atunci când vă alegeți gazda web, să confirmați de la ei ce versiune de MySQL, Apache și PHP folosesc.”

Probă:

Sample deny,allow in .htaccess
1
2
3
4
5
6
7
8
order deny , allow
deny from 32.177.15. *
deny from 53.177.14. *
deny from 64.255.113. *
deny from 11.255.114. *
deny from 115.225.176.86
deny from 535.255.117.250
allow from all

5) Utilizați parole puternice de cont WordPress

Pe lângă adăugarea unei chei secrete la fișierul wp-config.php , luați în considerare și schimbarea parolei de utilizator cu ceva puternic și unic. WordPress vă va spune puterea parolei, dar un sfat bun este să evitați expresiile obișnuite, să utilizați litere mari și mici și să includeți numere. De asemenea, este o idee bună să vă schimbați parola în mod regulat - să zicem o dată la două luni.

6) Actualizați mediul serverului și pluginurile

Actualizarea pluginului și a temelor de îndată ce este lansat este una din responsabilitatea dvs. Vă sugerez să vă actualizați pluginul în mod regulat. Aruncă o privire la articolul CSRF pe care l-am publicat cu ceva timp în urmă.

În ceea ce privește mediul serverului, acesta nu este în mâinile tale, ci în mâinile gazdei web. Este întotdeauna recomandabil ca atunci când vă alegeți gazda web, să confirmați de la aceștia ce versiune de MySQL, Apache și PHP folosesc. Potriviți-o cu cea mai recentă versiune menționată pe site-urile lor respective și, dacă sunt depășite, ar trebui să le cereți să le actualizeze (foarte puțin probabil) sau să schimbe gazda web cât mai curând posibil.

7) Nu folosiți niciodată „admin” ca nume de utilizator

După instalarea WordPress, ar trebui să schimbați numele de utilizator administrator.

8) Schimbați WP prefix al tabelelor bazei de date

Vă va salva de hacking-ul prin injecție sql.

9) Nu instalați WordPress în directorul rădăcină

Instalați-l într-un folder cu un nume ciudat, care nu este ușor de știut. Ceva de genul 442testXYZ . Acest lucru vă va salva instalarea WordPress de la roboți, precum și de la hackeri.

10) Blocați roboții răi

Nu știi niciodată când site-ul tău este accesat cu crawlere de roboți răi. Soluția este simplă. Încercați să introduceți mai jos în fișierul dvs. .htaccess pentru a bloca roboții răi.

.htaccess
1
2
3
RewriteEngine On
RewriteCond % { HTTP_USER_AGENT } ^ . * ( agent1 | Wget | Catall Spider ) . * $ [ NC ]
RewriteRule . * - [ F , L ]

rezumat

Cu toții suntem de acord că a avea un blog WordPress securizat ar trebui să fie primele noastre priorități atunci când păstrăm un blog de succes. WordPress este un software de publicare minunat, iar Automattic (compania din spatele WordPress) încearcă mereu să-l securizeze, astfel încât milioane de bloguri să poată fi protejate de amenințările hackerilor.

Există atât de multe moduri în care am putea îmbunătăți securitatea WordPress. Aceste modificări sunt mici și multe dintre aceste recomandări pot fi implementate în câteva minute. Ai putea fi liniștit cunoscând site-ul tău WordPress puțin mai sigur de intruși și hackeri.