Αρχική σελίδα » WordPress » 10 Λιγότερο γνωστές, άκρως αποτελεσματικές συμβουλές για την ασφάλεια Blog σας WordPress

    10 Λιγότερο γνωστές, άκρως αποτελεσματικές συμβουλές για την ασφάλεια Blog σας WordPress

    Να πάρει ένα blog hacked και χάνοντας χρόνια μετά από χρόνια blogging εργασίας μια μέρα στην άλλη είναι μια θλιβερή πραγματικότητα ότι οι άνθρωποι έχουν πράγματι περάσει. Στην πραγματικότητα, η έρευνα δείχνει ότι 37.000 ιστότοποι χτυπιούνται καθημερινά και με το WordPress που τροφοδοτεί περίπου το 25,4% όλων των ιστότοπων, μπορείτε να είστε βέβαιοι ότι πολλά WordPress blogs χτυπιούνται κάθε μέρα.

    Η ασφάλεια του WordPress είναι ένα τελείως διαφορετικό μπιλιάρδο. μόλις έχετε στην κατοχή σας ένα WordPress blog, συμβουλές όπως το να έχετε ένα όνομα χρήστη που είναι δύσκολο να μαντέψει και ένας κωδικός που είναι τόσο σκληρός όσο ο βράχος δεν είναι πια επαρκής. ΕΝΑ μεμονωμένο θέμα buggy, λάθος plugin ή κακώς προστατευμένο αρχείο μπορεί να οδηγήσει το blog σας να χάσει τη μέρα.

    Είτε είστε άπειροι με το WordPress, είτε χρησιμοποιείτε την πλατφόρμα από την ύπαρξή της, αυτό το άρθρο έχει 10 πρακτικούς και δείπνους αποτελεσματικούς τρόπους για να εξασφαλίσετε το blog σας WordPress που ο καθένας μπορεί να εφαρμόσει. Δεν θα βρείτε τις περισσότερες από αυτές τις συμβουλές στο δημοφιλές άρθρο "πώς να εξασφαλίσετε το blog σας", αλλά θα μπορούσαν πολύ καλά να αποθηκεύσετε το ιστολόγιό σας μια μέρα!

    1. Απενεργοποιήστε το WordPress Theme & Plugin Editor

    Το WordPress διαθέτει ένα εύχρηστο χαρακτηριστικό που δίνει στους ιδιοκτήτες ιστοτόπων περισσότερη ευελιξία, επιτρέποντάς τους να προσαρμόσουν και να επεξεργαστούν τα θέματα και τις προσθήκες τους απευθείας από το ταμπλό του WordPress, αλλά αυτή η δυνατότητα ήταν η αναίρεση των περισσότερων blogs.

    Με αυτό το χαρακτηριστικό, α ελαφρύ σφάλμα μπορεί να συντρίψει τον ιστότοπό σας και να σας κλειδώσει από τον δικό σας ιστότοπο. Οι χάκερ μπορούν εύκολα να εισαγάγουν κακόβουλο κώδικα στο θέμα σας για να τους δώσουν πρόσβαση backdoor στον ιστότοπό σας ή ακόμα και να αναλάβουν πλήρως τον ιστότοπό σας αποκτώντας τον έλεγχο ενός λογαριασμού που έχει αρκετά δικαιώματα για να χρησιμοποιήσει το πρόγραμμα επεξεργασίας θεμάτων και plugin.

    Μπορείτε να προστατεύσετε τον εαυτό σας απενεργοποιώντας τον plugin και τον επεξεργαστή θεμάτων, καθιστώντας αδύνατη την τροποποίηση των θεμάτων και των plugins σας χωρίς πρόσβαση FTP.

    Κάνετε αυτό προσθέτοντας τον ακόλουθο κώδικα στο αρχείο wp-config.php:

    define ('DISALLOW_FILE_EDIT', true);

    2. Ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων

    Ο έλεγχος ταυτότητας δύο παραγόντων γίνεται γρήγορα ένας από τους πιο αξιόπιστους τρόπους για την προστασία των online λογαριασμών σας και οι πιο αξιόπιστοι ιστότοποι θα επιμείνουν ώστε οι χρήστες τους να το επιτρέψουν.

    Ενώ το WordPress δεν έχει απαραιτήτως ενσωματωμένη ταυτότητα δύο παραγόντων, μπορείτε να ενεργοποιήσετε τον έλεγχο ταυτότητας δύο στοιχείων στο ιστολόγιό σας εγκαθιστώντας τα ακόλουθα πρόσθετα:

    • Google Authenticator
    • Αυτόχθονες
    • Κλειδί
    • Rublon

    3. Περιορίστε τις συνδέσεις βάσει του αριθμού αποτυχημένων προσπαθειών

    Υπάρχουν πολλοί τρόποι με τους οποίους οι χάκερ προσπαθούν να αποκτήσουν πρόσβαση στο ιστολόγιό σας και μια από τις πιο κοινές τεχνικές που χρησιμοποιούνται είναι μια επίθεση βίαιης βίας: ένας χάκερ προσπαθεί να συνδυάσει ονόματα χρήστη και κωδικούς πρόσβασης ξανά και ξανά μέχρι να μπορέσει να έχει πρόσβαση το ιστολόγιό σας.

    Από προεπιλογή, το WordPress δεν προστατεύεται από αυτή την επίθεση. Εγκαθιστώντας πρόσθετα που περιορίζουν τα στοιχεία σύνδεσης μετά από έναν ορισμένο αριθμό αποτυχημένων προσπαθειών από μια συγκεκριμένη διεύθυνση IP, μπορείτε να κάνετε πολύ πιο δύσκολο για τους χάκερ να έχουν πρόσβαση στο ιστολόγιό σας.

    Το plugin Jetpack Protect Module μπορεί επίσης να σας προστατεύσει από βίαιες επιθέσεις.

    4. Ελέγχετε τακτικά το ιστολόγιό σας

    Τα αρχεία θεμάτων, τα plugins, οι σύνδεσμοι και άλλα φαινομενικά αβλαβή στοιχεία μπορούν να χρησιμοποιηθούν για να αποκτήσουν πρόσβαση στο ιστολόγιό σας. Μην περιμένετε έως ότου η ιστοσελίδα σας μολυνθεί πλήρως πριν λάβετε μέτρα. Αντ 'αυτού, εγκαταστήστε πρόσθετα σάρωσης ασφαλείας για να σαρώσετε τακτικά τον ιστότοπό σας και να σας ειδοποιήσω εάν αλλάζουν τα αρχεία σας.

    Ένα καλό παράδειγμα ενός plugin σάρωσης ασφαλείας είναι το Wordfence. Εκτός από τη δυνατότητα χειροκίνητης / αυτόματης ανίχνευσης του ιστολογίου WordPress, σας ενημερώνει επίσης άμεσα όταν υπάρχει ύποπτη δραστηριότητα στο ιστολόγιό σας.

    Επίσης, στέλνει πληροφορίες σχετικά με δυνητικά κακόβουλα σχόλια, και αυτό συγκρίνει το θέμα και τα αρχεία πρόσθετων στοιχείων με το αποθετήριο WordPress στο ενημερώστε εάν η έκδοση του plugin ή το θέμα σας έχει τροποποιηθεί και μπορεί δυνητικά να χρησιμεύσει ως backdoor για χάκερς στον ιστότοπό σας.

    Άλλα πρόσθετα ασφαλείας που μπορούν να σας βοηθήσουν να σαρώσετε το ιστολόγιό σας για κακόβουλο λογισμικό και εκμεταλλεύσεις είναι:

    • Sucuri Security Scanner
    • Acunetix WP Ασφάλεια
    • iThemes Security (παλαιότερα γνωστή ως "Καλύτερη ασφάλεια WP")

    5. Αλλάξτε τον υπολογιστή σας

    Ενώ αυτό ακούγεται σαν απλοϊκή συμβουλή, έχει στην πραγματικότητα πολύ βάρος. Οι έρευνες δείχνουν ότι το 41% ​​των ιστότοπων του WordPress που έχουν καταστραφεί ήταν έχουν χάσει την ευπάθεια ασφαλείας στην πλατφόρμα φιλοξενίας τους. Αυτό είναι πολύ περισσότερο από ό, τι από άλλες πηγές, συμπεριλαμβανομένης της ύπαρξης ενός αδύναμου κωδικού πρόσβασης.

    Ο κεντρικός υπολογιστής σας μπορεί να διαδραματίσει σημαντικό ρόλο στο αν θα σας πειραχτεί ή όχι. βεβαιωθείτε ότι είστε μόνο πηγαίνετε για αξιόπιστους οικοδεσπότες Ιστού που έχουν αντέξει τη δοκιμασία του χρόνου και αυτό συμμορφώνονται με τις καλύτερες πρακτικές του κλάδου.

    6. Απόκρυψη του αριθμού έκδοσης του WordPress

    Από προεπιλογή, το WordPress εμφανίζει τον αριθμό έκδοσης του WordPress. αυτό το καθιστά εύκολο για το WordPress να παρακολουθεί πόσα blogs του WordPress είναι ενεργά παγκοσμίως. Ωστόσο, αυτό μπορεί επίσης να αποτελέσει τεράστια πηγή προβλήματος. οι χάκερ και οι μποτς μπορούν σαρώστε τον ιστό για τα ιστολόγια χρησιμοποιώντας έναν αριθμό έκδοσης WordPress με γνωστό τρωτό σημείο, καθιστώντας σας έναν εύκολο στόχο.

    Μπορείτε εύκολα να λύσετε αυτό το πρόβλημα από κρύβοντας τον αριθμό έκδοσης του WordPress. Για να αποκρύψετε τον αριθμό έκδοσης του WordPress, απλά προσθέστε τον ακόλουθο κώδικα στο αρχείο functions.php:

    add_filter ('the_generator', '__return_null');

    7. Απενεργοποιήστε τις αναφορές σφάλματος PHP

    Όταν ένα plugin ή ένα θέμα δεν λειτουργεί καλά στο blog του WordPress, οι αναφορές σφαλμάτων της PHP μπορούν να σας βοηθήσουν εμφανίζοντας ένα μήνυμα που αποκαλύπτει την αιτία του σφάλματος. Ωστόσο, σε αυτό το πλεονέκτημα υπάρχει ένα μειονέκτημα: όταν αναφέρεται το σφάλμα PHP, αυτό περιλαμβάνει τη διαδρομή του πλήρους διακομιστή του σφάλματος, αποκαλύπτοντας πληροφορίες ότι οι χάκερ μπορούν να χρησιμοποιήσουν εναντίον σας.

    Μπορείτε να προστατεύσετε τον εαυτό σας απενεργοποιώντας την αναφορά σφάλματος PHP. Απλά προσθέστε τον ακόλουθο κώδικα στο αρχείο wp-config.php:

     error_reporting (0); @ini_set ('display_errors', 0);

    8. Εργαστείτε με τα δικαιώματά σας για το αρχείο WordPress

    Όταν πρόκειται για την αποτροπή της ιστοσελίδας WordPress από την εκμετάλλευση ασφαλείας, είναι απαραίτητο να βεβαιωθείτε ότι έχετε τα σωστά δικαιώματα αρχείων. Αυτό καθιστά δύσκολο για έναν χάκερ να χειριστεί plugins, θέματα ή αρχεία στον διακομιστή σας για να αναλάβει τον ιστότοπό σας.

    Βεβαιωθείτε ότι το WordPress ντοσιέ οι άδειες έχουν ρυθμιστεί σε 755 ή 750. αρχείο οι άδειες έχουν οριστεί σε 640 ή 644. και ότι η άδεια wp-config.php έχει οριστεί σε 600.

    9. Εξασφαλίστε την τακτική δημιουργία αντιγράφων ασφαλείας

    Ακόμη και μεγάλοι ιστότοποι με μια ομάδα εμπειρογνωμόνων και συμβούλων ασφαλείας παίρνουν χάκερ, ενώ ακολουθώντας τις βέλτιστες πρακτικές μπορεί να καταστήσει την ιστοσελίδα σας ισχυρότερη από 99,9% των ιστοτόπων, τα πράγματα μπορούν ακόμα να σπάσουν.

    Η καλύτερη ασφάλεια που έχετε κατά των επιθέσεων hack του WordPress είναι ένα καλό αντίγραφο ασφαλείας. βεβαιωθείτε ότι έχετε δημιουργήσει αντίγραφα ασφαλείας του ιστοτόπου σας σε τακτική βάση - ει δυνατόν, καθημερινά. Με αυτόν τον τρόπο, εάν ο ιστότοπός σας είναι hacked έχετε τα αρχεία σας στη θέση τους και μπορεί να επαναφέρει τα πράγματα αμέσως.

    Εδώ είναι μερικά από τα καλύτερα plug-ins του WordPress:

    • BackUpWordPress
    • Ετοιμος! Αντιγράφων ασφαλείας
    • VaultPress
    • BackupBuddy

    10. Περιορίστε την πρόσβαση στη σελίδα σύνδεσης

    Όταν έρθει η ώθηση, μπορείτε απλά να κάνετε κάποια δραστική ενέργεια. Ένας πολύ αξιόπιστος τρόπος για να προστατεύσετε το ιστολόγιό σας από τις προσπάθειες hack είναι από αποκλείοντας εντελώς την πρόσβαση στη σελίδα wp-admin και wp-login.php.

    Αυτό συνιστάται μόνο αν εσείς χρησιμοποιήστε μία διεύθυνση IP που δεν αλλάζει (δεν θέλετε να κλειδώσετε τον εαυτό σας από το ιστολόγιό σας!). Μπορείτε ακόμα να χρησιμοποιήσετε αυτήν την επιλογή εάν χρησιμοποιείτε περισσότερες από μία διευθύνσεις IP αλλά παρακολουθείτε αυτές τις διευθύνσεις.

    Για να περιορίσετε την πρόσβαση στη σελίδα σύνδεσής σας, προσθέστε τον ακόλουθο κώδικα στο αρχείο .htaccess:

      RewriteEngine on RewriteCond% REQUEST_URI ^ (. *)? Wp-login \ .php (. *) $ [OR] RewriteCond% REQUEST_URI ^ (. *)? Wp-admin $ RewriteCond% REMOTE_ADDR! IP διεύθυνση 1 $ RewriteCond% REMOTE_ADDR! ^ Η διεύθυνση IP σας 2 $ RewriteCond% REMOTE_ADDR! ^ Η διεύθυνση IP σας 3 $ RewriteCond% REMOTE_ADDR! ^ Η διεύθυνση IP σας 4 $ RewriteCond% REMOTE_ADDR! ^ Η διεύθυνσή σας IP $ $ RewriteRule ^ (. *) $ - [R = 403, L] 

    Βεβαιωθείτε ότι έχετε επεξεργαστεί Η διεύθυνση IP σας 1 μέσω του Η διεύθυνση IP σας 5 με τις διαφορετικές διευθύνσεις IP στις οποίες θέλετε να έχετε πρόσβαση. μπορείτε απλά να προσθέσετε ή να αφαιρέσετε μια γραμμή για να επιτρέψετε ή να αποτρέψετε την πρόσβαση περισσότερων διευθύνσεων IP στον ιστότοπό σας.

    συμπέρασμα

    Φυσικά, δεν πρέπει να αγνοήσετε τις βασικές συμβουλές ασφαλείας, όπως να μην χρησιμοποιήσετε ένα προβλέψιμο όνομα χρήστη, να έχετε ισχυρό κωδικό πρόσβασης, να ενημερώνετε τακτικά την εγκατάσταση του WordPress κλπ. Ωστόσο, τα παραπάνω είναι μερικές ελάχιστα γνωστές, συχνά αγνοούμενες συμβουλές ασφάλειας που μπορούν να κάνουν Το WordPress blog είναι λίγο πιο ασφαλές.

    Σημείωση του συντάκτη: Αυτή η θέση φιλοξενουμένου είναι γραμμένη για το Hongkiat.com από John Stevens. ο Γιάννης είναι ένα WordPress και φιλοξενώντας εμπειρογνώμονα. Είναι ιδρυτής και διευθύνων σύμβουλος της HostingFacts.com, μια πύλη όπου ελέγχει και αξιολογεί τους οικοδεσπότες Ιστού με βάση την απόδοση.