10 mažai žinomų, super efektyvių patarimų, kaip apsaugoti „WordPress“ tinklaraštį
Dienoraščio įsilaužimas ir metų praradimas po daugelio dienoraščių darbo yra liūdna realybė, kad žmonės iš tikrųjų išgyveno. Iš tiesų, tyrimai rodo, kad kiekvieną dieną 37 000 svetainių yra nulaužtos, o „WordPress“ maitina maždaug 25,4% visų svetainių, todėl galite būti tikri, kad kiekvieną dieną „WordPress“ tinklaraščiai yra nulaužti.
„WordPress“ saugumas yra visiškai kitoks „ballgame“; Kai jums priklauso „WordPress“ tinklaraštis, patarimai, kaip turintys naudotojo vardą, kurį sunku atspėti, ir slaptažodis, kuris yra toks pat sunkus kaip roko, nebėra pakankamas. A vieną klaidingą temą, neteisingą papildinį arba neteisingai apsaugotą failą dėl to jūsų dienoraštis gali būti nulaužtas per naktį.
Nesvarbu, ar esate patyręs „WordPress“, ar jau naudojote platformą nuo jos egzistavimo, šis straipsnis turi 10 praktinių ir vakarienės efektyvių būdų apsaugoti „WordPress“ tinklaraštį kad kiekvienas gali įgyvendinti. Daugelio šių patarimų nerasite populiariuose „kaip apsaugoti savo dienoraščio“ straipsnius, tačiau jie gali labai gerai išsaugoti savo dienoraštį vieną dieną!
1. Išjunkite „WordPress Theme & Plugin Editor“
„WordPress“ yra patogi funkcija, suteikianti svetainės savininkams daugiau lankstumo, leidžiant jiems tinkinti ir redaguoti savo temas ir įskiepius tiesiai iš „WordPress“ prietaisų skydelio, tačiau ši funkcija buvo daugelio dienoraščių atšaukimas.
Su šia funkcija, a nedidelė klaida gali sugriauti jūsų svetainę ir užrakinti jus iš savo svetainės. Piratai gali lengvai įdėti į jūsų temą kenkėjišką kodą, kad galėtumėte jiems suteikti prieigą prie jūsų svetainės arba net visiškai perimti jūsų svetainę, kontroliuodami paskyrą, turinčią pakankamai teisių naudoti temos ir įskiepio redaktorių.
Galite apsaugoti save, išjungdami papildinį ir temos redaktorių, neįmanoma keisti temų ir įskiepių be prieigos prie FTP.
Padarykite tai pridėdami šį kodą į savo wp-config.php failą:
define ('DISALLOW_FILE_EDIT', tiesa);
2. Įgalinti dviejų veiksnių autentifikavimą
Dviejų veiksnių autentifikavimas greitai tampa vienu patikimiausių būdų apsaugoti savo internetines paskyras, o patikimiausios svetainės reikalauja, kad jų naudotojai įgalintų.
Nors „WordPress“ nebūtinai turi dviejų veiksnių autentifikavimą, galite įgalinti dviejų veiksnių autentifikavimą tinklaraštyje, įdiegdami šiuos papildinius:
- „Google“ autentifikavimo priemonė
- Authy
- Clef
- Rublon
3. Apriboti prisijungimus pagal nepavykusių bandymų skaičių
Yra daug būdų, kaip įsilaužėliai bando pasiekti jūsų tinklaraštį, ir vienas iš dažniausiai naudojamų būdų yra brutalios jėgos ataka: įsilaužėlis bando naudoti naudotojų vardus ir slaptažodžius, vėl ir vėl, kol jis galės sėkmingai pasiekti savo dienoraštį.
Pagal nutylėjimą „WordPress“ nėra apsaugota nuo šio atakos. Įdiegę įskiepius, kurie apriboja prisijungimus po tam tikro skaičiaus nesėkmingų bandymų iš tam tikro IP, galite įsilaužėliams tapti daug sunkiau gauti prieigą prie jūsų tinklaraščio.
„Jetpack Protect“ modulio įskiepis taip pat gali apsaugoti jus nuo brutalinių atakų.
4. Reguliariai nuskaitykite savo dienoraštį
Norėdami pasiekti prieigą prie jūsų dienoraščio, galite naudoti teminius failus, įskiepius, nuorodas ir kitus tariamai nekenksmingus elementus. Prieš imdamiesi priemonių, nelaukite, kol jūsų svetainė bus visiškai užkrėsta. Vietoj to, įdiekite saugos skenavimo įskiepius, kad galėtumėte reguliariai nuskaityti savo svetainę ir pranešti, ar pasikeičia jūsų failai.
Geras saugumo nuskaitymo papildinio pavyzdys yra „Wordfence“. Be to, suteikiant jums galimybę rankiniu būdu / automatiškai nuskaityti „WordPress“ tinklaraštį, jis taip pat nedelsdamas praneša jums, kai jūsų dienoraštyje vyksta įtartina veikla.
Ji taip pat siunčia informaciją apie galimus kenksmingus komentarus lygina jūsų temos ir įskiepių failus su „WordPress“ saugykla praneškite, jei pakeista papildinio ar temos versija ir gali potencialiai veikti kaip užpakalinės durys įsilaužėliams į jūsų svetainę.
Kiti saugos papildiniai, kurie gali padėti jums nuskaityti jūsų tinklaraštį kenkėjiškoms programoms ir išnaudojimui, yra šie:
- Sucuri apsaugos skeneris
- „Acunetix WP Security“
- „iThemes Security“ (anksčiau žinomas kaip „geresnis WP saugumas“)
5. Pakeiskite savo kompiuterį
Nors tai skamba kaip paprastas patarimas, jis iš tikrųjų turi daug svorio. Tyrimai rodo, kad 41 proc įsilaužė dėl prieglobos platformos saugumo pažeidžiamumo. Tai daug daugiau nei iš kitų šaltinių, įskaitant silpną slaptažodį.
Jūsų šeimininkas gali atlikti svarbų vaidmenį, nesvarbu, ar bus nulaužtas, ar ne; įsitikinkite, kad tik jūs eikite į patikimus žiniatinklio prieglobos įrenginius, kurie buvo laiko bandymai ir tai laikytis geriausios pramonės praktikos.
6. Slėpti „WordPress“ versijos numerį
Pagal nutylėjimą „WordPress“ rodo jūsų „WordPress“ versijos numerį; tai leidžia „WordPress“ lengvai stebėti, kiek „WordPress“ tinklaraščių veikia visame pasaulyje. Tačiau tai taip pat gali būti didžiulis problemos šaltinis; įsilaužėliai ir robotai gali nuskaitykite žiniatinklio tinklaraščius naudojant „WordPress“ versijos numeris su žinomu pažeidžiamumu, padaryti jus lengvu taikiniu.
Šią problemą galite lengvai išspręsti paslėpti „WordPress“ versijos numerį. Jei norite paslėpti savo „WordPress“ versijos numerį, tiesiog pridėkite šį kodą į savo funkcijas.php failą:
add_filter ('the_generator', '__return_null');
7. Išjungti PHP klaidų ataskaitas
Kai „WordPress“ tinklaraštyje „plugin“ ar tema neveikia, „PHP“ klaidų ataskaitos gali padėti parodyti jums pranešimą, kuris atskleidžia klaidos priežastį. Tačiau šiuo pranašumu yra trūkumas: kai pranešama apie PHP klaidą apima visą klaidos serverio kelią, atskleidžiant informaciją kad įsilaužėliai gali naudoti prieš jus.
Jūs galite apsaugoti save išjungti PHP klaidų ataskaitų teikimą. Tiesiog pridėkite šį kodą į savo wp-config.php failą:
error_reporting (0); @ini_set ('display_errors', 0);
8. Darbas su „WordPress“ failų leidimais
Kai kalbama apie „WordPress“ svetainės apsaugą nuo saugumo, būtina įsitikinkite, kad turite tinkamus leidimus. Dėl šios priežasties įsilaužėlis gali manipuliuoti savo serverio priedais, temomis ar failais ir perimti jūsų svetainę.
Įsitikinkite, kad „WordPress“ aplanką leidimai yra 755 arba 750; failą leidimai yra 640 arba 644; ir kad wp-config.php leidimas yra 600.
9. Užtikrinkite reguliarias atsargines kopijas
Netgi didelės svetainės, kuriose yra saugumo ekspertų ir konsultantų komanda, nulaužtos, ir, nors geriausia praktika gali padaryti jūsų svetainę stipresnę nei 99,9% svetainių, viskas vis tiek gali būti nutraukta.
Geriausia apsauga nuo „WordPress“ įsilaužimo atakų yra gera atsarginė kopija; įsitikinkite, kad nuolat kuriate savo svetainės atsargines kopijas, jei įmanoma, kasdien. Tokiu būdu, jei jūsų svetainė yra nulaužta, turite savo failus ir gali nedelsiant atkurti daiktus.
Štai keletas geriausių „WordPress“ atsarginių kopijų:
- „BackUpWordPress“
- Paruošta! Atsarginė kopija
- VaultPress
- „BackupBuddy“
10. Apriboti prieigą prie prisijungimo puslapio
Kai stumiama į stumti, jums gali tekti imtis tam tikrų drastiškų veiksmų. Labai patikimas būdas apsaugoti jūsų dienoraštį nuo įsilaužimo bandymų yra visiškai blokuoja prieigą prie savo wp-admin ir wp-login.php puslapio.
Tai rekomenduojama tik tada, jei jūs naudoti vieną IP adresą, kuris nekeičia (nenorite užrakinti savo dienoraščio!). Jūs vis tiek galite naudoti šią parinktį, jei naudojate daugiau nei vieną IP adresą, bet stebite šiuos adresus.
Jei norite apriboti prieigą prie prisijungimo puslapio, pridėkite šį kodą prie .htaccess failo:
„RewriteEngine“ „RewriteCond“% REQUEST_URI ^ (. *)? Wp-login .php (. *) $ [OR] RewriteCond% REQUEST_URI ^ (. *)? Wp-admin $ RewriteCond% REMOTE_ADDR! IP adresas 1 $ RewriteCond% REMOTE_ADDR! ^ Jūsų IP adresas 2 $ RewriteCond% REMOTE_ADDR! ^ Jūsų IP adresas 3 $ RewriteCond% REMOTE_ADDR! ^ Jūsų IP adresas 4 $ RewriteCond% REMOTE_ADDR! 5 $ RewriteRule ^ (. *) $ - [R = 403, L]
Būtinai redaguokite Jūsų IP adresas 1 per į Jūsų IP adresas 5 su skirtingais IP adresais, kuriuos norite suteikti prieigą; galite tiesiog pridėti arba pašalinti eilutę, kad būtų leista arba neleidžiama daugiau IP prisijungti prie jūsų svetainės.
Išvada
Žinoma, neturėtumėte ignoruoti pagrindinių saugumo patarimų, pvz., Nenaudoti nuspėjamojo vartotojo vardo, turėdami tvirtą slaptažodį, reguliariai atnaujindami savo „WordPress“ diegimą ir kt. Tačiau aukščiau pateikiami kai kurie mažai žinomi, dažnai ignoruojami saugumo patarimai, kurie gali padaryti jūsų „WordPress“ tinklaraštis tik šiek tiek saugesnis.
Redaktoriaus pastaba: Šis svečių įrašas yra parašytas „Hongkiat.com“ John Stevens. Jonas yra „WordPress“ ir prieglobos ekspertas. Jis yra ". \ T HostingasFacts.com, portalas, kuriame jis vertina ir vertina žiniatinklio prieglobas, pagrįstas našumu.