Oglas
Upravljanje spletnega mesta, ki temelji na WordPressu, je pogosto užitek, saj vam omogoča, da se osredotočite na vsebino in vzpostavljate odnose z bralci in drugimi spletnimi mesti.
Vendar pa vsi v spletu niso tako prijazni kot vi. Nekje zunaj je seznam z imenom vašega spletnega dnevnika, kjer sedi, in čakajo, da ga bodo napadli hekerji. Ko pridejo do vašega spletnega dnevnika, bodo preizkusili različne taktike za dostop do njega, morda s ciljem prodaje zakonitih drog ali okužbe računalnikov vašega obiskovalca z zlonamerno programsko opremo.
Na srečo obstajajo različni načini, kako lahko svoj blog WordPress zaščitite pred hekerji.
Redno posodabljajte WordPress
Ena najmogočnejših, a pogosto spregledanih rešitev za varovanje WordPressa pred hekerji je, da se redno posodablja.
Očitno je, da je pri tem nekaj negativnega - nekaj vašega najboljši vtičniki WordPress Najboljši vtičniki za WordPress Preberi več lahko preneha delovati, če je WordPress posodobljen - a hkrati je treba na to gledati kot na priložnost osvežite vtičnike, poiščite nadomestke, ki so sami varni in zanesljivi, in v bistvu zategnite spletno mesto ali blog. Pridrževanje vtičnikov, ki jih najdemo v imeniku WordPress, je tudi dober način, da stvari držite pod nadzorom.
Posodabljanje WordPress-a je možno na nadzorni plošči, vendar vedno naredite varnostno kopijo baze podatkov, preden to storite.
Ohranite redne varnostne kopije
Pomemben postopek za vse lastnike spletnih dnevnikov WordPress je zagotoviti, da se varnostne kopije redno izdelujejo in da jih je mogoče enostavno obnoviti, če se zgodi še slabše.
Rešitev je veliko, vendar je Cloudsafe365 eden najmočnejših, ki združuje varnostno kopiranje v oblaku (Dropbox je mogoče uporabiti) z različna varna orodja za zaščito pred tehnikami, kot so skriptno skriptno brizganje, vbrizgavanje SQL in celo spremljanje vsebine krajo.
Cloudsafe365, na voljo pri WordPress vtičniki, prihaja v treh okusih. Brezplačna možnost zajema zgoraj naštete stvari, medtem ko plačljive možnosti ponujajo dodatne funkcije, kot so zaščita pred vbrizgavanjem kode in napadi grobe sile.
Namestite šifriran vtičnik za prijavo
Zaščita dejanskega dejanja prijave na spletno mesto, ki temelji na WordPressu, je najbolje doseči z uporabo šifriranega vtičnika za prijavo, saj programska oprema spletnega mesta ne uporablja te možnosti. Verjetno je najboljša rešitev za to - kot nalašč za zaščito podrobnosti o prijavi spletnega dnevnika na bloge pred snifferji v brezžičnih omrežjih Počakajte na varno prijavo, ki uporablja algoritem SHA-256 za zaščito vašega uporabniškega imena in gesla.
Medtem pa Zaklepanje prijave plugin je uporaben način blokiranja IP-jev, ki beležijo ponavljajoče se neuspele poskuse dostopa do vašega spletnega mesta.
Drugi koraki za zaščito pred prijavo, ki jih lahko izvedete, vključujejo namestitev močnega vtičnika CAPTCHA. RetinaPost je še posebej impresiven vtičnik, ki od uporabnikov zahteva, da vnesejo poudarjene znake iz besedne zveze, namesto da bi poskušali in razvozlati narisane slike besedila ali narediti matematični izziv. Vsak poskus, da bi prekinili vaš blog s sistemom komentarjev, je mogoče s tem vtičnikom občutno zmanjšati.
Skrij »Poganja WordPress«
Hekerji imajo različno taktiko za vsako od različnih vrst programske opreme za spletno mesto, ki se uporablja, vendar lahko stvari naredite zaostrene z njimi, če ne oglašujete dejstva, da je vaše spletno mesto „Poganjano WordPress ”.
Te podatke privzeto najdete v datoteki footer.php, do katere pridete z vnosom nadzorne plošče vašega spletnega dnevnika in izberete Videz> Urejevalnik za urejanje v oknu brskalnika. Različne teme zahtevajo različne načine za odstranjevanje tega besedila, zato morate v spletu preveriti, če želite najti najboljši pristop (če se za prikaz legende uporablja navadno besedilo, ga izbrišite; če uporabljate PHP kodo, previdno stopajte, razen če veste, kaj počnete).
Spremenite uporabniško ime uporabnika
Eden od načinov, s katerimi lahko hekerji najdejo pot na vaše spletno mesto, je uporaba programske opreme, ki bo poskusila več prijav, ki uporabljajo skupne besede in besedne zveze kot gesla skupaj z očitnimi izbirami uporabniška imena.
Uporabniško ime skrbnika v programu WordPress lahko izberete, ko je programska oprema nastavljena, vendar jih mnogi uporabniki v naglici za izvedbo privzeto izberejo pri administratorju. Ko gre očitna uporabniška imena, je to na vrhu seznama, zato je pomembna njegova sprememba.
Za spremembo uporabniškega uporabniškega imena obstajata dva načina. Najprej lahko ustvarite drugi skrbniški račun z uporabniškim imenom, ki ni očitno, in nato izbrišete prvotnega uporabnika. Upoštevajte pa, da bi to lahko vplivalo na članke, napisane pod skrbniškim računom (morda bodo neobjavljeni, dokler ni nastavljeno novo ime ali na strani objave prikazana napaka).
Verjetno najučinkovitejši način za to je, da dostopate do spletnega mesta phpMyAdmin in izberete WordPress poiščite tabelo wp_users ("wp_" je privzeta predpona, ki je bila morda spremenjena pri namestitvi) in uporabi Brskaj ikono za iskanje uporabniškega imena "admin".
Ko odkrijete, poiščite stolpec user_login in kliknite Uredi v ustrezni vrstici in nato spremenite »admin« v želeno ime za skrbniški račun in kliknite Pojdi ko končate.
Premaknite datoteko wp-config
Zaskrbljujoča težava pri WordPressu je, da so ključne varnostne podrobnosti shranjene v eni sami šifrirani datoteki, ki jo je mogoče vdreti in uporabiti za nadzor nad vašim spletnikom. Datoteka wp-config.php vsebuje podatke o prijavi skrbnika ter uporabniško ime in geslo za bazo podatkov MySQL.
Zato je zavarovanje te datoteke najpomembnejše, če želite spletno mesto zaščititi pred hekerji.
Ena stvar, ki je ne bi smeli storiti, je brisanje wp-config - to bo vaše spletno mesto ostalo neuporabno (in precej prazno). Kako torej zaščitite svoje spletno mesto pred to bizarno ranljivostjo?
Od izdaje WordPress 2.8 so lastniki blogov lahko premaknili datoteko v korenski spletni imenik na strežniku. Na primer, to pomeni, če imate nameščeno spletno mesto www.mysite.com/wordpress, lahko datoteko wp-config.php premaknete navzgor, v imenik mysite.
Zaključek
Če vodite blog WordPress, ne glede na to, kako tehnični ali netehnični ste, ne morete izvesti, da ne uporabite nobenega ali vseh teh orodij za zaščito svojega spletnega mesta pred hekerji.
Konec koncev, kakšen smisel je vložiti v to trdo delo samo, da bi ugotovili, da je nekdo prevzel spletno mesto in zdaj z oglaševanjem Viagre stane vaše redne obiskovalce?
Te korake je mogoče izvesti v samo nekaj urah - morda en vikend zjutraj, če ste pritisnjeni na čas - zato ne prezrite, ukrepajte zdaj.
Christian Cawley je namestnik urednika za varnost, Linux, samostojno delo, programiranje in razloženo tehnologijo. Proizvaja tudi Zares uporaben Podcast in ima bogate izkušnje na področju podpore za namizje in programsko opremo. Christian je sodelavec revije Linux Format, kristjalec Raspberry Pi, ljubitelj Lego in ljubitelj retro iger.
