Domovská » WordPress » 10 málo známých, Super efektivní tipy pro zabezpečení WordPress Blog

    10 málo známých, Super efektivní tipy pro zabezpečení WordPress Blog

    Získání blog hacknut a ztrácí roky po letech práce blogů přes noc je smutná skutečnost, že lidé vlastně prošli. Ve skutečnosti, výzkum ukazuje, že 37.000 webových stránek je hacknut každý den, a WordPress napájení přibližně 25,4% všech webových stránek, můžete si být jisti, že hodně blogů WordPress jsou hacknuty každý den.

    Zabezpečení WordPressu je zcela odlišná hra; jakmile vlastníte blog WordPress, tipy, jako je uživatelské jméno, které je těžké odhadnout a heslo, které je stejně těžké jako rock, již není dostačující. A jeden buggy téma, špatný plugin nebo nesprávně chráněný soubor může mít za následek, že váš blog bude hacknut přes noc.

    Ať už jste nezkušený s WordPress, nebo jste používali platformu od jeho existence, tento článek má 10 praktické a večeře efektivní způsoby, jak zajistit svůj blog WordPress které může kdokoli realizovat. Většinu z těchto tipů nenajdete v populárních článcích "Jak zabezpečit svůj blog", ale jeden den by váš blog mohli velmi dobře uložit!

    1. Zakažte WordPress Theme & Plugin Editor

    WordPress má praktickou funkci, která umožňuje majitelům stránek větší flexibilitu tím, že jim umožňuje přizpůsobit a upravit jejich motivy a pluginy přímo z řídicího panelu aplikace WordPress, ale tato funkce byla zrušením většiny blogů..

    Pomocí této funkce a mírná chyba může poškodit vaše stránky a zablokovat vás z vašich vlastních webových stránek. Hackeři mohou snadno vložit škodlivý kód do svého motivu, aby jim umožnili backdoor přístup na vaše stránky, nebo dokonce převzali vaše stránky úplně, tím, že získají kontrolu nad účtem, který má dostatek oprávnění k používání editoru motivů a pluginů.

    Můžete se chránit vypnutím editoru pluginů a motivů, nemožné měnit vaše motivy a pluginy bez FTP přístupu.

    To provedete přidáním následujícího kódu do souboru wp-config.php:

    define ('DISALLOW_FILE_EDIT', true);

    2. Povolte ověřování dvou faktorů

    Dvoufaktorová autentizace se rychle stává jedním z nejspolehlivějších způsobů ochrany vašich online účtů..

    Zatímco WordPress nemusí mít zabudovanou dvoufaktorovou autentizaci, můžete na svém blogu povolit dvoufaktorovou autentizaci instalací následujících pluginů:

    • Google Authenticator
    • Auty
    • Klíč
    • Rublon

    3. Omezení přihlášení na základě počtu neúspěšných pokusů

    Existuje mnoho způsobů, jak se hackeři pokoušejí získat přístup k vašemu blogu, a jednou z nejběžnějších technik je útok bruteforce: hacker se snaží znovu a znovu kombinovat uživatelská jména a hesla, dokud není schopen úspěšně přistupovat váš blog.

    Ve výchozím nastavení není aplikace WordPress proti tomuto útoku chráněna. Instalací pluginů, které omezují přihlášení po určitém počtu neúspěšných pokusů z určité IP adresy, můžete hackerům ztěžovat přístup k vašemu blogu..

    Zásuvný modul Jetpack Protect Module vás může ochránit před útoky bruteforce.

    4. Pravidelně kontrolujte svůj blog

    Soubory motivů, pluginy, odkazy a další zdánlivě neškodné prvky lze použít k získání přístupu k vašemu blogu. Nečekejte, dokud vaše webové stránky nejsou plně infikovány, než budete přijímat opatření. Namísto toho nainstalujte bezpečnostní skenovací pluginy, abyste pravidelně kontrolovali vaše webové stránky a upozorňovali vás, pokud se změní vaše soubory.

    Dobrým příkladem bezpečnostního skenovacího pluginu je Wordfence. Kromě toho, že máte možnost ručně / automaticky skenovat váš blog WordPress, také vás okamžitě upozorní, když se na vašem blogu objeví podezřelá aktivita.

    To také posílá informace o potenciálně škodlivé komentáře, a to porovnává vaše téma a soubory pluginů s úložištěm WordPress informujte vás, zda byla změněna vaše verze pluginu nebo motivu a může potenciálně sloužit jako backdoor pro hackery na vaše stránky.

    Další bezpečnostní pluginy, které vám pomohou skenovat váš blog pro malware a zneužití, jsou:

    • Bezpečnostní skener Sucuri
    • Acunetix WP Security
    • iThemes Security (dříve známá jako "Better WP Security")

    5. Změňte svůj hostitel

    I když to zní jako zjednodušující rady, ve skutečnosti má spoustu váhy. Výzkum ukazuje, že 41% webových stránek napadených WordPressem bylo hacknut přes chybu zabezpečení na jejich platformě hostingu. To je mnohem více než z jiných zdrojů, včetně slabého hesla.

    Váš hostitel může hrát hlavní roli v tom, zda budete hacknuti nebo ne; ujistěte se, že pouze jít na spolehlivé web hostitelé, kteří obstáli v testu času a to v souladu s osvědčenými postupy odvětví.

    6. Skrýt číslo verze WordPress

    Ve výchozím nastavení WordPress zobrazí číslo verze WordPress; to usnadňuje WordPress sledovat, kolik blogů WordPress jsou aktivní po celém světě. To však může být také obrovský zdroj problému; hackeři a boti mohou prohledávat web pro blogy použitím číslo verze aplikace WordPress se známou chybou zabezpečení, což vám usnadní cíl.

    Tento problém můžete snadno vyřešit pomocí skrývá vaše číslo verze WordPress. Chcete-li skrýt číslo verze aplikace WordPress, přidejte do souboru functions.php následující kód:

    add_filter ('the_generator', '__return_null');

    7. Zakázat chybové zprávy PHP

    Pokud plugin nebo téma na vašem blogu WordPress nefunguje dobře, mohou chybové zprávy PHP pomoci zobrazením zprávy, která odhaluje příčinu chyby. Nicméně, v této výhodě leží nevýhoda: když je hlášena chyba PHP, je to obsahuje úplnou cestu serveru k chybě, odhalující informace že hackeři mohou použít proti vám.

    Můžete se chránit zakázání hlášení chyb PHP. Stačí přidat následující kód do souboru wp-config.php:

     error_reporting (0); @ini_set ('display_errors', 0);

    8. Pracujte s oprávněními k souboru WordPress

    Pokud jde o prevenci stránek WordPress před zneužitím zabezpečení, je nezbytné ujistěte se, že máte správná oprávnění k souboru. To ztěžuje hackerům manipulaci s pluginy, tématy nebo soubory na vašem serveru, aby převzal vaše webové stránky.

    Ujistěte se, že WordPress složky oprávnění jsou nastavena na 755 nebo 750; soubor oprávnění jsou nastavena na 640 nebo 644; a oprávnění wp-config.php je nastaveno na hodnotu 600.

    9. Zajistěte pravidelné zálohování

    Dokonce i velké webové stránky s týmem bezpečnostních expertů a konzultantů se dostanou na trh, a přestože tyto osvědčené postupy mohou učinit vaše webové stránky silnějšími než 99,9% webových stránek, věci se mohou ještě zlomit.

    Nejlepší zabezpečení, které máte proti útokům WordPress hack je dobrá záloha; Ujistěte se, že zálohujete své stránky pravidelně - pokud je to možné, denně. Tímto způsobem, pokud jsou vaše webové stránky napadeny, máte své soubory na svém místě a může okamžitě obnovit věci.

    Zde jsou některé z nejlepších záložních pluginů pro WordPress:

    • BackUpWordPress
    • Připraven! Zálohování
    • VaultPress
    • BackupBuddy

    10. Omezte přístup ke své přihlašovací stránce

    Když přijde tlačit, možná budete muset podniknout nějaké drastické kroky. Velmi spolehlivý způsob, jak chránit svůj blog před pokusy o hack je zcela zablokovat přístup na stránku wp-admin a wp-login.php.

    Toto je doporučeno pouze v případě, že ano použijte jednu IP adresu, která se nezmění (nechcete se uzamknout ze svého blogu!). Tuto možnost můžete stále používat, pokud používáte více než jednu adresu IP, ale sledujete tyto adresy.

    Chcete-li omezit přístup ke své přihlašovací stránce, přidejte do souboru .htaccess následující kód:

      RewriteEngine na RewriteCond% REQUEST_URI ^ (. *)? Wp-login .php (. *) $ [NEBO] RewriteCond% REQUEST_URI ^ (. *)? Wp-admin $ RewriteCond% REMOTE_ADDR! IP adresa 1 $ RewriteCond% REMOTE_ADDR! Vaše IP adresa 2 $ RewriteCond% REMOTE_ADDR! ^ Vaše IP adresa 3 $ RewriteCond% REMOTE_ADDR! ^ Vaše IP adresa 4 $ RewriteCond% REMOTE_ADDR! Vaše IP adresa 5 $ RewriteRule ^ (. *) $ - [R = 403, L] 

    Nezapomeňte upravit Vaše IP adresa 1 až do Vaše IP adresa 5 s různými adresami IP, ke kterým chcete zpřístupnit; můžete jednoduše přidat nebo odebrat řádek, abyste povolili nebo zabránili přístupu více IP adres na vaše stránky.

    Závěr

    Samozřejmě byste neměli ignorovat základní bezpečnostní tipy, jako například nepoužívat předvídatelné uživatelské jméno, mít silné heslo, pravidelně aktualizovat instalaci aplikace WordPress atd. Výše ​​uvedené informace jsou však některé málo známé, často ignorované bezpečnostní tipy, které mohou způsobit vaše WordPress blog jen o něco bezpečnější.

    Poznámka redaktora: Tento příspěvek je napsán pro Hongkiat.com by John Stevens. John je WordPress a hosting expert. Je zakladatelem a generálním ředitelem společnosti HostingFacts.com, Portál, kde posuzuje a hodnotí webové hostitele na základě výkonu.