Brian Curtis
0 
4338
472
WordPress to bez wątpienia najlepszy blog CMS, jaki można uzyskać. Jednak będąc popularnym i otwartym oprogramowaniem, oznacza to również, że hakerzy mają pełny dostęp do kodu, który mogą zbadać, aby znaleźć wszelkie exploity, których mogą użyć do włamania się na dowolną witrynę z obsługą WordPress.
Z drugiej strony jedną z najlepszych rzeczy w WordPress jest system wtyczek, który pozwala każdemu instalować dowolne wtyczki lub tworzyć własne wtyczki w celu rozszerzenia jego funkcjonalności, w tym poprawy bezpieczeństwa.
Tutaj wymieniłem niektóre wtyczki bezpieczeństwa Wordpress (i kilka sztuczek), których możesz użyć do zabezpieczenia bloga WordPress.
Wszystkie wymienione poniżej wtyczki i triki są przeznaczone dla WP 2.7 i nowszych. Jeśli nadal używasz starszej wersji WordPress, czas zaktualizować swojego bloga.
Ochrona twojego loginu
1. Bezpieczne logowanie CHAP
Ta wtyczka używa protokołu CHAP do szyfrowania hasła. Hasło jest najpierw solone z losową liczbą (nonce) generowaną przez sesję, a następnie algorytm transformacji md5. Ten wynik jest następnie wysyłany do serwera, na którym jest dekrpytowany i uwierzytelniany. Jest to wtyczka o zerowej konfiguracji, co oznacza, że możesz jej użyć natychmiast po jej aktywacji.
2. Ukryte logowanie
Ukryte logowanie zaciemnia twoją stronę logowania, umożliwiając zdefiniowanie niestandardowej strony logowania zamiast domyślnego wp-login.php. W przypadku wycieku hasła, haker będzie miał trudności ze znalezieniem poprawnego adresu URL logowania. Dobrym zastosowaniem tego jest uniemożliwienie szkodliwym botom dostępu do pliku wp-login.php i próby włamania się.
3. Blokada logowania
Blokada logowania jest przydatna w zapobieganiu atakowi brutalnej siły. Funkcja LockDown logowania rejestruje adres IP i znacznik czasu każdej nieudanej próby logowania. Jeśli w krótkim czasie zostanie wykryta więcej niż pewna liczba prób z tego samego zakresu adresów IP, zablokuje ona funkcję logowania i uniemożliwi zalogowanie się osobom z tego zakresu adresów IP.
4. AskApache Password Protect
Ta wtyczka dodaje dodatkowe uwierzytelnianie HTTP, aby zapewnić drugą warstwę obrony dla Twojego bloga. Możesz skonfigurować ochronę hasłem dla swojego bloga za pomocą podstawowego uwierzytelniania HTTP lub możesz użyć bezpieczniejszego uwierzytelniania HTTP Digest.
Pamiętaj, że ta wtyczka może / może nie działać w zależności od możliwości twojego serwera. Jeśli witryna nie przejdzie testów konfiguracyjnych AskApache (testy uruchomione przez wtyczkę w celu wykrycia możliwości serwera), skontaktuj się z usługodawcą internetowym i sprawdź, czy mogą one wprowadzić zmiany po stronie serwera.
5. Ponownie zaprojektowane logowanie Semisecure
Ta wtyczka zapewnia “półbezpieczny” środowisko logowania poprzez szyfrowanie hasła za pomocą kryptografii RSA
Ochrona Twojej bazy danych
6. WP-DB-Backup
Być może dla niektórych z was tworzenie kopii zapasowej bazy danych może oznaczać kłopotliwy obowiązek techniczny. W przypadku WP-DB-Backup wystarczy go skonfigurować raz i uruchomić automatycznie w regularnych odstępach czasu.
Wtyczka ta automatyzuje tworzenie kopii zapasowej bazy danych i wysyła ją do skrzynki odbiorczej. Oprócz domyślnej tabeli utworzonej przez WordPress, możesz także tworzyć kopie zapasowe tabel niestandardowych tworzonych przez wtyczki. W przypadku awarii konta możesz łatwo zaimportować i przywrócić bazę danych z kopią zapasową.
7. WP-DBManager
Wp-DBManager jest jak phpmyadmin na twoim pulpicie. Możesz łatwo zarządzać bazą danych bezpośrednio w panelu. Dostępne są przydatne funkcje, takie jak optymalizacja / naprawa / tworzenie kopii zapasowej / przywracanie bazy danych, a jeśli jesteś wystarczająco techniczny, możesz nawet uruchomić własne zapytanie SQL ze strony opcji.
Z drugiej strony, jeśli hakerom uda się zalogować do Twojej witryny, ta wtyczka będzie dla nich bramą do spustoszenia w Twojej bazie danych.
8. Zmień prefiks tabeli bazy danych
Domyślny prefiks używany przez WordPress to “wp”. Za pomocą WP-Security-Scan możesz łatwo zmienić prefiks na inne warunki, które trudno odgadnąć. Więcej szczegółów na temat tej wtyczki poniżej.
9. Chroń swój plik wp-config.php
Plik wp-config.php zawiera wszystkie dane logowania do bazy danych i powinien być ukryty przed widokiem publicznym w każdych okolicznościach. W pliku htaccess umieść w tym wierszu:
pozwolenie na zamówienie, odmowa odmowy od wszystkich
aby uniemożliwić komukolwiek przeglądanie pliku wp-config.php.
Ochrona Twojej strony administracyjnej
10. Administrator SSL
Ta wtyczka wymusza SSL na wszystkich stronach, na których można wprowadzić hasła, aby wszystkie przesyłane informacje były szyfrowane.
Jedną rzeczą jest posiadanie certyfikatu SSL, zanim będzie to możliwe. Jeśli nie chcesz wydać dodatkowych pieniędzy na zakup prywatnego certyfikatu SSL, możesz zapytać swojego hosta internetowego o Shared SSL. Większość hostów internetowych udostępnia Shared SSL wszystkim swoim klientom i jest łatwa w konfiguracji.
11. Zmień nazwę użytkownika logowania
Za pomocą “Administrator” ponieważ nazwa użytkownika jest ostatnią rzeczą, którą chcesz zrobić. Po pierwszej instalacji WordPress należy natychmiast utworzyć kolejne konto administratora z własną nazwą użytkownika i hasłem oraz usunąć je “Administrator” konto.
Uniemożliwiaj innym przeglądanie wewnętrznej struktury plików
12. Ukrywanie wersji WP
W większości motywów WordPress w tej sekcji zawsze znajduje się wiersz kodu pokazujący używaną wersję WordPress. Podanie numeru wersji WordPress oznacza poinformowanie hakera, jakiego exploita użyć do włamania się na twoją stronę.
Od wersji WP2.6.5 WordPress jeszcze bardziej utrudnia usunięcie wersji wp, ponieważ osadza te informacje w wp_header etykietka. Wtyczką, której możesz użyć do usunięcia tych informacji, jest WP-Security-Scan.
13. Ukrywanie zawartości WP
Folder zawartości WP zawiera wszystkie wtyczki i pliki motywów. To jest miejsce, w którym chcesz uniemożliwić innym ludziom zaglądanie. Możesz albo przesłać puste miejsce index.html plik do folderu wp-content lub utwórz plik .htaccess w folderze wp-content i dodaj ten wiersz:
Opcje Wszystkie -Indeksy14. Blokuj indeksowanie folderu wp przez wyszukiwarki
Chociaż chcesz, aby wyszukiwarki indeksowały Twojego bloga i generowały duży ruch, ostatnią rzeczą, którą chcesz zobaczyć, jest umożliwienie wyszukiwarkom ujawnienia Twojej wewnętrznej struktury plików publicznie. Możesz zablokować indeksowanie całego folderu wp przez wyszukiwarkę, dodając następujące wpisy do pliku robot.txt:
Disallow: / wp- *Konserwacja
15. Skanowanie zabezpieczeń WP
Wspominałem o tej wtyczce kilka razy, więc nadszedł czas, abym wyjaśnił, co robi. WP-Security-Scan sprawdza WordPress pod kątem luk w zabezpieczeniach i sugeruje / zapewnia działania naprawcze. Działania naprawcze obejmują zmianę prefiksu bazy danych, ukrycie numeru wersji WordPressa w nagłówku i przetestowanie siły hasła.
Od czasu do czasu dobrym pomysłem jest uruchomienie wbudowanego skanera bezpieczeństwa i sprawdzenie blogu pod kątem ewentualnych zagrożeń bezpieczeństwa.
16. Regularnie zmieniaj hasło
Nie tylko powinieneś regularnie zmieniać swoje hasło, ale także upewnić się, że jest ono silne. Jeśli masz trudności z utworzeniem jednego, znajdź sposób, w jaki możesz utworzyć silne hasła, które łatwo zapamiętasz. Jak utworzyć silne hasła, które łatwo zapamiętać. Jak utworzyć silne hasła, które łatwo zapamiętać. .
17. Zaktualizuj WordPress i wszystkie wtyczki do najnowszej wersji
Nie trzeba dodawać, że aktualizacja do najnowszej wersji WordPress i wtyczek jest najlepszym sposobem na ochronę siebie.
Ochrona twojego połączenia
18. SFTP
Przesyłanie plików na konto internetowe to powszechna czynność. Jednak zamiast korzystać z niezabezpieczonego FTP, należy użyć SFTP (Secure FTP). Spowoduje to utworzenie połączenia SSH i wysłanie wszystkich plików zaszyfrowanych na serwer. Jeśli potrzebujesz pomocy w tworzeniu połączenia SFTP, oto przewodnik.
Powyższe informacje powinny wystarczyć do utworzenia bezpiecznego bloga WordPress. Jeśli nie wdrożyłeś żadnego z nich, zachęcam do zrobienia tego teraz.
Jakich innych metod używasz do zabezpieczenia swojego bloga WordPress?