Oglas
Boneti po vsem svetu so preusmerili pozornost na pošiljanje neželene e-pošte, da bi sistematično vdrli v namestitve WordPress-a; to je donosen posel, saj ima WordPress 40% vseh spletnih dnevnikov. Zlasti če upoštevamo, da smo celo postali žrtev tega, je čas, da naredimo izčrpen post o tem, kako natančno zaščititi vašo samostojno namestitev WordPress-a.
Opomba: ta nasvet velja samo za samodejno nameščen program WordPress. Če uporabljate WordPress.com, vam na splošno ni treba skrbeti za varnost, saj vse to zmore vse za vas.Kakšna je razlika med WordPress.com in WordPress.org? Kakšna je razlika med vodenjem vašega spletnega dnevnika na Wordpress.com in Wordpress.org?Če Wordpress zdaj napaja 1 na vsakih 6 spletnih mestih, morajo narediti nekaj pravilno. Tako za izkušene razvijalce kot za popolne novice ima Wordpress nekaj, kar vam lahko ponudi. Toda ravno ko začnete ... Preberi več
Namestite Googlov dvostopenjski overitelj
Če že imate omogočeno dvostopenjsko overjanje za svoj Gmail račun ali druge storitve, lahko uporabite isto aplikacijo za preverjanje pristnosti
ta vtičnik za WordPress.K sreči lahko dvostopenjsko avtentikacijo omejite samo na račune na višji ravni, tako da ne smete motiti vseh svojih uporabnikov.
Zaklepanje prijave
Stari vtičnik, vendar še vedno deluje, kot je bilo predvideno; Zaklepanje prijave preveri IP poskusov prijave in eno uro blokira obseg IP, če v 5 minutah ne uspe. Enostavno, učinkovito.
Vzemite redne varnostne kopije
Hekerji ne bodo samo spremenili ene datoteke, ampak bodo svojo nadzorno ploščo nekje skrili in drugo skrita zadaj - tako da tudi, če popravite originalni kramp, se vrneta nazaj in vse počneta ponovno. Vzemite dnevne ali tedenske varnostne kopije, tako da se lahko preprosto vrnete nazaj na točko, na kateri ni bilo sledov hekerja - in se prepričajte, da zalepite vse, kar so storili za vstop. Osebno sem ravno vložil v 150 dolarjev Rezervni prijatelj licenca za razvijalce - to je najpreprostejša in najbolj celovita varnostna rešitev, ki sem jo zasledila.
Prepreči indeksiranje map
Preverite korenine svoje namestitve WordPress za datoteko .htaccess (zaznajte obdobje na začetku - za ogled si boste morda morali pokazati nevidne datoteke) in poskrbite, da ima naslednjo vrstico. Če ne, ga dodajte - vendar najprej naredite varnostno kopijo, saj je ta datoteka precej ključnega pomena.
Možnosti All -Indexes
Ostanite posodobljeni
Ne delajte enake napake kot mi: WordPress vedno nadgrajujte takoj, ko bo na voljo posodobitev. Včasih posodobitve vsebujejo manjše popravke napak in ne varnostnih popravkov, vendar se vklopite v navado in ne boste imeli težav. Če imate več namestitev WordPress-a in jih ne morete spremljati, jih oglejte ManageWp.com, vrhunsko nadzorno ploščo za vse vaše bloge, ki vključuje varnostno skeniranje.
Ne le jedrnih datotek WordPressa, ampak tudi vtičniki: eden največjih WordPress hekkov v preteklosti je vključeval ranljivost v skupnem skriptu generatorja, imenovanem timthumb.php, in še vedno obstajajo teme, ki uporabljajo staro različico. Čeprav so vtičniki hitro posodobljeni, je seveda vzdrževanje posodobljenih tem težje - WordPress ne bo povedal Če je vaša tema ranljiva in boste zaradi tega imeli nekakšen varnostni vtičnik, se pomaknite navzdol do the Varnostni vtičniki v spodnjem razdelku za nekaj predlogov.
Nikoli ne prenašajte naključnih tem
Če ne veste, kaj počnete s kodo PHP, je zelo enostavno pasti v past prenosa čudovite naključne teme s nekje, samo da bi našli tam kakšno grdo kodo - najpogosteje povratne povezave, ki jih ne morete odstraniti, še huje pa je najdeno. Držite se vrhunskih in znanih oblikovalcev tem (kot naprimer Smashing Magazine ali WPShower)ali za brezplačne teme uporabite samo tematski imenik WordPress.
Izbrišite neuporabljene vtičnike in teme
Manj izvršljive kode imate na strežniku, tem bolje - odstranite možnost stare, ranljive kode, tako da izbrišete teme in vtičnike, ki jih ne uporabljate več. Če jih onemogočite, se bo preprosto prekinilo nalaganje njihovih funkcij s programom WordPress, vendar bo kodo še vedno izvedel sam.
Odstranite Meta pripovedovalca iz glave
WordPress je privzeto svojo različico po vsem svetu objavil v kodi datoteke z glavo - preprost način hekerjev za prepoznavanje starejših namestitev. V temo dodajte naslednje vrstice function.php datoteko za odstranitev različice WordPress, informacije o programu Windows Live Writer in vrstico, ki oddaljenim strankam pomaga najti datoteko XML-RPC.
odstranjevanje ('wp_head', 'wp_generator'); odstranjevanje ('wp_head', 'wlwmanifest_link'); odstranjevanje ('wp_head', 'rsd_link');
Odstranite račun »admin«
V večini napadov na WordPress brutalna sila vključuje večkratno preizkušanje administrator račun - privzeto za vse namestitve WordPress - in slovar skupnih gesel. Če se prijavite pri administratorju ali imate skrbniški račun naveden v vaši uporabniški tabeli, ste ranljivi za to.
Dva načina za odpravljanje: bodisi uporaba wp-optimizirati vtičnik - odličen vtičnik, ki vam med drugim omogoča onemogočanje revizij objav in izvajanje optimizacije baze podatkov - za preimenovanje skrbniškega računa. Lahko pa preprosto ustvarite drug račun s skrbniškimi pravicami, prijavite se kot nov uporabnik in nato izbrišite račun »administrator« in dodelite vse objave novemu uporabniku.
Varna gesla
Tudi če ste onemogočili skrbniški račun, bo morda mogoče prepoznati uporabniško ime vašega skrbniškega računa - v tem trenutku ste ponovno izpostavljeni napadom grobe sile. Uveljavite strogo politiko gesla s 16 ali več naključnimi znaki, ki so sestavljeni iz velikih in malih črk, ločil in številk.
Ali pa preprosto uporabite resLongSentenceThatsEasyToRememberMethod.
Onemogoči urejanje datotek v programu WordPress
Za tiste, ki se ne želijo prijavljati prek FTP, WordPress na skrbniški nadzorni plošči vključi enostaven urejevalnik za teme in vtičnike PHP datotek - vendar bo vaša namestitev ranljiva, če nekdo pridobi dostop. Pravzaprav je tako nekomu uspelo vstaviti preusmeritev zlonamerne programske opreme v našo glavo. Naslednjo vrstico dodajte na dno svojega wp-config.php (v korenski mapi), da onemogočite vse funkcije urejanja datotek - in jih uporabite SFTP Kaj je SSH in kako se razlikuje od FTP [pojasnjena tehnologija] Preberi več namesto tega se prijavite na strežnik.
define ('DISALLOW_FILE_EDIT', res);
Skrij napake pri prijavi
Nepravilno geslo ali napačno uporabniško ime je mogoče prepoznati po napakah, ki so bile podane pri prijavi, ki jih lahko uporabimo za identifikacijo računov za prisiljevanje. To očitno ni dobro, zato uničite napake s tem dodatkom teme teme function.php mapa
funkcija no_errors_please () {return 'Nope'; } add_filter ('login_errors', 'no_errors_please');
Aktivirajte Cloudflare
Poleg tega, da pospešuje vaše spletno mesto, CloudFlare blaži številne znane bonetne mreže in optične bralnike, da sploh ne pridejo do vašega bloga. Preberi vse o CloudFlare Zaščitite in pospešite spletno mesto brezplačno z CloudFlareCloudFlare je intriganten zagon ustvarjalcev Project Honey Pot, ki trdijo, da ščitijo vaše spletno mesto pred neželeno pošto, boti in drugimi zlobnimi spletnimi pošasti - pa tudi pospešite spletno mesto nekoliko ... Preberi več tukaj. Namestitev je en klik, če ste gosti MediaTemple, sicer boste za spremembo strežnikov imen potrebovali dostop do nadzorne plošče domene.
Varnostni vtičniki
- Boljša varnost WP izvaja veliko teh popravkov za vas in je najobsežnejša brezplačna rešitev.
- WordFence je vrhunski paket, ki aktivno pregleda vaše datoteke glede na povezave z zlonamerno programsko opremo, preusmeritve, znane ranljivosti itd. - in jih odpravi. Cena se začne pri 18 USD / leto za 1 stran.
- Varnostna rešitev za prijavo oba omejita poskuse prijave in uveljavljata varna gesla.
- Varnost BulletProof je celovit, vendar zapleten vtičnik, ki obravnava nekatere bolj tehnične vidike, kot so težave z injiciranjem XSS in .htaccess. Na voljo je tudi različica vtičnika Pro, ki večino postopka avtomatizira.
Mislim, da se boste strinjali, da je to izčrpen seznam korakov za utrjevanje WordPressa, vendar ne predlagam, da implementirate vse izmed njih. Če bi moral vse to narediti na vsakem spletnem mestu, ki sem ga kadar koli postavil, bi jih še vedno nastavil. Če zaženete kakršen koli sistem, predstavljate tveganje, na koncu pa boste odkrili ravnotežje med raven varnosti, ki jo želite, in trud, ki ga želite vložiti v njeno zavarovanje - nikoli nič ne bo 100% varno. Tu je nizko viseče sadje:
- Posodabljanje WordPress-a
- Onemogočanje skrbniškega računa
- Dodajanje dvostopenjske overitve
- Namestitev varnostnega vtičnika
Če bi jih naredili sami, bi vas morali postaviti nad 99% vseh ostalih spletnih dnevnikov, kar je dovolj, da potencialni hekerji napredovajo k lažjim ciljem.
Mislite, da sem kaj pogrešal? Povejte mi v komentarjih.
James ima doktorat iz področja umetne inteligence in ima certifikat CompTIA A + in Network +. Je vodilni razvijalec MakeUseOf in svoj prosti čas preživlja z igranjem VR paintball in družabnih iger. Z računalniki gradi že od malih nog.