Pagrindinis » WordPress » „WordPress Security“ kietinimas 25 Esminiai įskiepiai ir patarimai

    „WordPress Security“ kietinimas 25 Esminiai įskiepiai ir patarimai

    Jei naudojate „WordPress“ naudojamą svetainę, jos saugumas turėtų būti jūsų pagrindinis rūpestis. Daugeliu atvejų „WordPress“ tinklaraščiai yra pažeisti, nes jų pagrindiniai failai ir (arba) papildiniai yra pasenę; pasenę failai yra atsekami ir tai yra atviras kvietimas įsilaužėliams.

    Kaip išlaikyti blogą nuo blogų vaikinų? Pradedantiesiems įsitikinkite, kad visada atnaujinate naujausią „WordPress“ versiją. Bet yra daugiau. Šiandieniniame pranešime norėčiau pasidalinti su jumis naudingais priedais, taip pat kai kuriais patarimais, kaip sustiprinti „WordPress“ saugumą.

    Visas sąrašas po šuolio!

    Įrenginiai geresniam saugumui užtikrinti

    WP DB atsarginė kopijaWP DB atsarginis kopijavimas yra paprastas naudoti įskiepis, kuris leidžia jums patobulinti pagrindines „WordPress“ duomenų bazės lenteles tik keliais paspaudimais. Be to, tai taip paprasta, ji taip pat buvo viena iš labiausiai naudojamų įskiepių, kad apsaugotumėte savo WP varomą svetainę.

    WP saugumo nuskaitymasSu šiuo įskiepiu jūsų „WordPress“ valdoma svetainė bus paprasta užduotis. Jis nustato jūsų svetainės pažeidžiamumą ir siūlo naudingus patarimus, kaip pašalinti juos.

    Klauskite „Apache“ slaptažodžio apsaugosŠis įskiepis nekontroliuoja „WordPress“ ar „mess“ su jūsų duomenų baze, o jame naudojamos sparčios, išbandytos ir teisingos integruotos saugumo funkcijos, kad į savo tinklaraštį būtų pridėta kelių saugos sluoksnių.

    Slaptas prisijungimas„Stealth Login“ papildinys padės jums sukurti tinkamus URL adresus, kad galėtumėte prisijungti, registruoti ir atsijungti „WordPress“.

    Prisijungti „Lockdown“Prisiregistravimo užrakinimas padės užrakinti bandymus tam tikrą laiką prisijungti prie administratoriaus skydelio po kelių bandymų.

    WP-DB tvarkyklėTai dar vienas puikus papildinys, kuris leidžia valdyti savo WP duomenų bazę. Jis gali būti naudojamas kaip alternatyva „WordPress Backup Manager“.

    Administratoriaus SSL saugus papildinysKitas papildinys, skirtas saugoti administratoriaus skydelį. Jis veikia pagal SSL šifravimą ir yra tikrai naudingas prieš įsilaužėjus ar žmones, kurie bando gauti neleistiną prieigą prie jūsų skydelio. Tai „Chap Secure Login Plugin“ varžovas.

    Vartotojo užraktasJei norite, kad būtų išvengta brutalia jėgos įsilaužimo į savo svetainę, tada vartotojo užrakto papildinys jums tinka. Jis veikia ta pačia sistema kaip ir „Login Lockdown“, tačiau tai yra 5 žvaigždučių „WP“ papildinys, turintis didelę reputaciją tarp naudotojų.

    Apriboti bandymus prisijungtiRiboto prisijungimo bandymai blokuoja interneto adresą nuo tolesnių bandymų po to, kai pasiekiama tam tikra pakartotinių bandymų riba, todėl brutalios jėgos ataka yra sunki ar neįmanoma.

    Prisijungimo šifravimasPrisijungti šifravimas yra saugumo papildinys. Jis naudoja sudėtingą DES ir RSA derinį, kad užšifruotų ir užtikrintų prisijungimo procesą į administratoriaus skydelį.

    Vienkartinis slaptažodisŠis unikalus papildinys padės nustatyti vienkartinį slaptažodį prisijungimui, kad būtų užkirstas kelias nepageidaujamų vartotojų prisijungimui iš interneto kavinių ar kitų.

    AntivirusinėAntivirusinė programa yra labai populiarus saugumo papildinys, kuris padės išlaikyti savo dienoraštį apsaugotą nuo robotų, virusų ir malwares.

    Blogas elgesysBlogas elgesys yra papildinys, kuris padeda jums kovoti su šiais erzinančiais šlamšto siuntėjais. Įskiepis ne tik padės užkirsti kelią šlamšto pranešimams jūsų tinklaraštyje, bet ir bandys apriboti prieigą prie jūsų tinklaraščio, kad jie negalėtų net skaityti.

    Naudoti skenerįIeškokite „WordPress“ įdiegimo failų ir duomenų bazės ženklų, kurie gali reikšti, kad failai ar duomenų bazė nukentėjo nuo kenkėjiškų įsilaužėlių. Net jei tai dar vienas nuskaitymo papildinys, verta pabandyti.

    Vartotojo šlamšto šalinimo priemonėĮskiepio pavadinimas nurodo savo funkcijas, populiarų įskiepį, kuris padės išvengti ir pašalinti nepageidaujamus šlamšto pranešimus.

    Blokuoti blogas užklausas Šis įskiepis bando užblokuoti visas jūsų serveryje ir „WordPress“ tinklaraštyje bandomas kenkėjiškas užklausas. Jis veikia fone, tikrina pernelyg ilgas užklausų eilutes (t. Y. Daugiau nei 255 simbolius), taip pat, ar yra "eval (" arba "base64" užklausos URI.

    8 Esminiai patarimai

    Numatytų „wp_“ prefiksų keitimas

    Jūsų svetainė gali būti pakelta, jei naudojate nuspėjamus wp_ prefiksus savo duomenų bazėje. Toliau pateikiamoje instrukcijoje mokoma, kaip juos pakeisti per phpMyAdmin per 5 paprastus veiksmus.

    Taip pat galite tai padaryti naudodami „WP Security Scan“ papildinį.

    Slėpti prisijungimo klaidų pranešimus

    Klaidos prisijungimo pranešimai gali atskleisti ir suteikti įsilaužėliams idėją, jei jie yra gavę naudotojo vardą teisingai / neteisingai, atvirkščiai. Tai išmintinga jį paslėpti nuo neteisėto prisijungimo.

    Norėdami paslėpti prisijungimo klaidų pranešimus, paprasčiausiai įdėkite šį kodą į funkcijas

    add_filter ('login_errors', create_function ('$ a', "return null;"));

    [Šaltinis]

    Saugokite „wp-admin“ katalogą

    „Wp-admin“ aplanko apsauga yra papildomas apsaugos sluoksnis. Kas bandys pasiekti failus ar katalogą po „wp-admin“, bus greitai prisijungti.

    „Wp-admin“ aplanko apsaugą naudodami prisijungimo vardą ir slaptažodį galite atlikti keliais būdais:

    • „WordPress“ papildinys - Naudojant „WordPress AskApache Password Protect“ papildinį.
    • cPanel - Jei jūsų priegloba palaiko „cPanel“ administratoriaus prisijungimą, galite lengvai apsaugoti bet kurį aplanką per „cPanel“ Slaptažodžių apsaugos katalogai grafinė vartotojo sąsaja. Sužinokite daugiau iš šio vadovo.
    • .htaccess + htpasswd - Slaptažodžiu apsaugoto aplanko kūrimas taip pat gali būti atliekamas lengvai nustatant aplankus, kuriuos norite apsaugoti viduje .htaccess ir vartotojams leidžiama patekti į vidų .htpasswd. Toliau pateikta instrukcija parodo, kaip tai padaryti 7 etapais.

    Išsaugoti atsargines kopijas

    Visų „WordPress“ tinklaraščių atsarginių kopijų saugojimas yra toks pat svarbus kaip svetainės saugumas nuo įsilaužėlių. Jei pastarasis nepavyksta, bent jau turite švarių atsarginių failų, kuriuos norite grąžinti.

    Anksčiau mes įtraukėme sprendimų, skirtų „WordPress“ failų ir duomenų bazės atsarginėms kopijoms ir atsarginėms kopijoms kurti, sąrašą.

    Neleisti naršyti kataloge

    Kita didelė saugumo spraga yra jūsų katalogų (ir visų jo failų) atskleidimas ir prieinamumas visuomenei. Štai paprastas testas, skirtas patikrinti, ar jūsų „WordPress“ katalogai yra gerai apsaugoti:

    • Naršyklėje be kabučių įveskite šį URL. „http://www.domain.com/wp-includes/“

    Jei jis rodomas tuščias arba nukreipiamas atgal į pagrindinį puslapį, esate saugus. Tačiau, jei matote ekraną, panašų į toliau pateiktą vaizdą, nesate.

    Norėdami išvengti prieigos prie visų katalogų, įdėkite šį kodą į savo .htaccess failą.

    # Neleisti aplanko naršymo Funkcijos Visi -Išplėsti

    Atnaujinkite „WordPress“ pagrindinius failus ir papildinius

    Vienas iš saugiausių būdų, kaip saugoti „WordPress“ svetainę, yra užtikrinti, kad jūsų failai būtų visada atnaujinami į naujausią versiją. Čia pateikiami keli būdai (praktika), kuriuos galite padaryti:

    • Dažnai prisijunkite prie informacijos suvestinės - Jei naujinimas bus pasiekiamas, informacijos suvestinės viršuje bus rodomas geltonas pranešimas. Dažnai prisijunkite ir atnaujinkite naujausią „WordPress“ pagrindinių failų kopiją.
    • Išjunkite ir pašalinkite nepanaudotus įskiepius - Nepanaudotas įskiepis galiausiai pasenks ir gali kelti pavojų saugumui. Jei nenaudojate, ištrinkite.
    • Prenumeruoti „WordPress Releases RSS“.

    Pasirinkite stiprų slaptažodį

    Ar jūsų slaptažodis saugus? Stiprus ir saugus slaptažodis yra daugiau nei kažkas įsimintino su numeriais (pvz., John123). Pradedantiesiems turėtų būti daugiau nei 12 simbolių, kurių skaičių ir abėcėlę sudaro mažesnės ir mažesnės raidės.

    Štai keletas programų, leidžiančių generuoti stiprų slaptažodį:

    • „GoodPassword“
    • Daugiakalbiai
    • KeePass
    • LastPass
    • PcTools
    • 1Pavyzdys

    Taip pat galite patikrinti, kaip stiprus (ir saugus) jūsų dabartinis slaptažodis yra su howsecureismypassword.net.

    Pašalinti administratoriaus naudotoją

    Tipiškas „WordPress“ diegimas yra numatytasis vartotojas, vadinamas „admin“. Jei tai yra jūsų „WordPress“ svetainės naudotojo vardas, jūs jau dabar padarote įsilaužėlių gyvenimą 50% lengviau. Naudotojo „admin“ naudojimas visada turėtų būti vengiamas.

    Saugesnis požiūris į prisijungimą prie administratoriaus yra sukurti naują administratorių ir pašalinti „admin“. Ir tai, kaip jūs tai darote:

    1. Prisijunkite prie „WordPress“ administratoriaus skydelio
    2. Eiti į Vartotojai -> Pridėti naują
    3. Pridėti naują naudotoją Administratorius vaidmenį, įsitikinkite, kad naudojate stiprų slaptažodį.
    4. Išeikite iš „WordPress“, iš naujo prisijunkite su savo naujuoju administratoriaus vartotoju.
    5. Eiti į Vartotojai
    6. Pašalinti „admin“ naudotoją
    7. Jei „admin“ yra įrašų, nepamirškite priskirti visų pranešimų ir nuorodų į naują naudotoją.

    Daugiau naudingų išteklių:

    • Stiprinimas WordPress („WordPress“)
    • DUK apie „WordPress“ saugumą („WordPress“)
    • Ką daryti, jei jūsų svetainė yra nulaužta („WordPress“)
    • Suprasti .htaccess ir .htpasswd (Apache)
    • Suprasti .htaccess ir .htpasswd (Javascriptkit.com)
    • „Wp-admin“ katalogo apsauga (nicolaskuttler.com)
    • „Hacked WordPress“ diegimo valymas („Blogsblogsblogs.com“)