Oglas
Brez dvoma je WordPress za blog z lastnim gostovanjem najboljši blog CMS, ki ga lahko dobite. Kljub temu, da je priljubljena in odprtokodna programska oprema, to pomeni tudi, da imajo hekerji popoln dostop do kodo, ki jo lahko pregledajo, da bi našli kakršne koli podvige, s katerimi lahko vdrejo v katero koli WordPress spletnega mesta.
Z dobre strani je, da je ena najboljših stvari pri WordPressu vtični sistem, ki omogoča vsakomur namestite poljubne vtičnike ali ustvarite svoje vtičnike, da razširite njegovo funkcionalnost, vključno z izboljšanjem varnost.
Tukaj sem navedel nekaj varnostnih vtičnikov wordpress (in nekaj trikov), ki jih lahko uporabite za zaščito spletnega dnevnika WordPress.
Vsi spodaj navedeni vtičniki in triki so namenjeni za WP 2.7 in višje. Če še vedno uporabljate starejšo različico WordPress-a, je čas, da nadgradite svoj spletni dnevnik.
Zaščita prijave
Ta vtičnik uporablja CHAP protokol za šifriranje vašega gesla. Geslo je najprej zasoljeno z naključnim številom (noncem), ki ga ustvari seja, sledi algoritem pretvorbe md5. Ta rezultat se nato pošlje strežniku, kjer je dešifriran in overjen. To je vtičnik nič konfiguracije, kar pomeni, da ga lahko uporabite takoj po aktiviranju.
2. Stealth prijava
Stealth Login obsodi vašo prijavno stran tako, da vam omogoča, da določite prijavno stran po meri namesto privzete wp-login.php. V primeru, da je vaše geslo puščeno, bo heker tudi težko našel pravilen prijavni URL. Dobra uporaba tega je, da vsem škodljivim botom preprečite dostop do datoteke wp-login.php in poskušajo vdreti.
Lockdown za prijavo je koristen pri preprečevanju napada z grobo silo. LockDown za prijavo je, da beleži IP naslov in časovni žig vsakega neuspelega poskusa prijave. Če v istem območju IP za kratek čas odkrije več kot določeno število poskusov, bo zaklenil prijavno funkcijo in preprečil, da bi se kdo iz tega IP območja prijavil.
Ta vtičnik doda dodatno preverjanje pristnosti HTTP in tako zagotovi drugi sloj obrambe za vaš blog. Za svoj blog lahko nastavite zaščito z geslom s pomočjo osnovne pristnosti HTTP ali pa uporabite varnejšo overjanje prenosa HTTP.
Upoštevajte, da ta vtičnik morda / morda ne bo deloval, odvisno od sposobnosti vašega strežnika. Če vaše spletno mesto ne opravi konfiguracijskih preizkusov AskApache (preizkusi, ki jih vtičnik izvaja za odkrivanje svoje zmogljivosti strežnika), se obrnite na svojega spletnega gostitelja in preverite, ali lahko na strežniku spremenijo spremembe strani.
Ta vtičnik zagotavlja okolje za prijavo "polkrog" s šifriranjem vašega gesla s Kriptografija RSA
Zaščita podatkovne baze
Morda bi za nekatere od vas varnostno kopiranje baze podatkov pomenilo težavno tehnično opravilo. Z varnostnim kopiranjem WP-DB ga morate samo enkrat konfigurirati in omogočiti, da se samodejno zažene v rednih presledkih.
Ta vtičnik naredi samodejno varnostno kopiranje baze podatkov in jo pošlje v vaš e-poštni nabiralnik. Razen privzete tabele, ki jo je ustvaril WordPress, lahko varnostno kopirate tudi tabele po meri, ki so jih ustvarili vtičniki. V primeru, da se vaš račun zruši, lahko bazo enostavno uvozite in obnovite z varnostno kopijo.
Wp-DBManager je tako kot phpmyadmin znotraj vaše nadzorne plošče. Z bazo lahko preprosto upravljate neposredno na nadzorni plošči. Na voljo so uporabne funkcije, kot so optimizacija / popravilo / varnostno kopiranje / obnavljanje baze podatkov in če ste dovolj tehnični, lahko na strani z možnostmi celo zaženete svoje poizvedbo SQL.
Na slabi strani je, da če se katerikoli hekerji uspejo prijaviti na vaše spletno mesto, bo ta vtičnik za njih prehod za ustvarjanje uničenja v vaši bazi podatkov.
8. Spremenite predpono tabele baze podatkov
Privzeta predpona, ki jo uporablja WordPress, je "wp". Predpono lahko preprosto spremenite v druge izraze, ki jih je težko uganiti z uporabo WP-Varnostno skeniranje. Več podrobnosti o tem vtičniku spodaj.
9. Zaščitite datoteko wp-config.php
Vaša datoteka wp-config.php vsebuje vse poverilnice za prijavo v vašo bazo podatkov in jo je treba skriti pred javnim ogledom v vseh okoliščinah. V datoteko htaccess vnesite to vrstico:
ukaz dovoli, zanika. zanikati od vseh.
da komu preprečite ogled datoteke wp-config.php.
Zaščita svoje skrbniške strani
Ta vtičnik sili SSL na vse strani, kjer se lahko vnesejo gesla, tako da so vse poslane informacije šifrirane.
Ena stvar je, da morate imeti certifikat SSL, preden lahko to storite. Če dodatnega denarja za nakup zasebnega potrdila SSL niste želeli razkriti, lahko spletnega gostitelja vprašate o skupni SSL. Večina domačih gostiteljev nudi skupni SSL za vse svoje stranke in jih je enostavno konfigurirati.
11. Spremenite uporabniško ime
Uporaba "admin" kot uporabniškega imena je zadnja stvar, ki jo želite storiti. Ko ste prvič namestili WordPress, morate takoj ustvariti drug skrbniški račun z lastnim uporabniškim imenom in geslom in izbrisati račun »admin«.
Preprečite, da bi si drugi ogledali svojo notranjo datotečno strukturo
12. Skrivanje različice WP
V večini tem WordPress pod
V razdelku je vedno vrstica kode, ki prikazuje različico WordPressa, ki jo uporabljate. Če oddate številko različice WordPress, pomeni, da hekerju sporočite, kaj lahko izkoristite za vdor na vaše spletno mesto.
WordPress je od WP2.6.5 še težje odstranil različico wp, saj te podatke vgradi v wp_header oznaka. Vtičnik, s katerim lahko odstranite te podatke, je WP-Varnostno skeniranje.
13. Skrivanje vsebine WP
V mapo z vsebino WP so shranjeni vsi vtičniki in datoteke s temami. To je mesto, kamor želite preprečiti, da bi drugi pogledali. Lahko vstavite prazno index.html datoteko v mapo z vsebino wp ali ustvarite datoteko .htaccess v mapi wp-content in dodajte to vrstico:
Možnosti All -Indexes14. S strani iskalnikov preprečite indeksiranje wp-map
Čeprav želite, da iskalniki indeksirajo vaš blog in prinašajo veliko prometa, je zadnja stvar, ki jo želite videti, da pustite iskalnikom, da svojo notranjo datotečno strukturo izpostavijo javnosti. Kar lahko storite, je, da z brskalnikom blokirate indeksiranje vseh datotek wp-ja, tako da v robot.txt dodate naslednje:
Onemogoči: / wp- *Vzdrževanje
Ta vtičnik sem že večkrat omenil, zato je čas, da razložim, kaj počne. WP-Security-Scan preveri vaš WordPress glede varnostnih ranljivosti in predlaga / nudi korektivne ukrepe. Korektivni ukrepi vključujejo spreminjanje predpone vaše baze podatkov, skrivanje številke različice WordPress-a iz glave in omogoča preizkus trdnosti gesla.
Včasih je dobro zagnati vgrajen varnostni skener in na spletnem dnevniku preveriti morebitne varnostne ranljivosti.
16. Redno menjajte geslo
Ne le, da morate redno spreminjati geslo, temveč se morate prepričati tudi, da je močno. Če imate težave pri ustvarjanju, poiščite enega, kako lahko ustvarite močna gesla, ki si jih lahko preprosto zapomnite Kako ustvariti močna gesla, ki se jih lahko preprosto spomnite Preberi več .
17. Posodobite WordPress in vse vtičnike na najnovejšo različico
Ni treba posebej poudarjati, da je nadgradnja na najnovejšo različico WordPress-a in vtičnikov najboljši način, da se zaščitite.
Zaščita vaše povezave
18. SFTP
Prenašanje datotek v vaš spletni račun je običajno. Vendar pa namesto nezavarovanega FTP uporabite SFTP (Varen FTP). Tako se bo ustvarila povezava SSH in bodo vse vaše datoteke šifrirane na strežnik. Če potrebujete pomoč pri ustvarjanju povezave SFTP, je tukaj vodnik.
Zgornje informacije bi morale zadostovati za ustvarjanje varnega spletnega dnevnika WordPress. Če še niste izvedli nobenega od teh, vas prosim, da to storite zdaj.
Katere druge metode uporabljate za zaščito svojega spletnega dnevnika WordPress?
Damien Oh je vsestranski tehnološki geek, ki zelo rad potegne in lomi različne operacijske sisteme, da olajša življenje. Oglejte si njegov blog na MakeTechEasier.com, kjer deli vse nasvete, trike in vaje.