10 мало відомих, супер ефективні поради для забезпечення блогу WordPress
Отримання блогу зламаних і втрати років за роками роботи з блогами за одну ніч є сумною реальністю, через яку люди насправді пережили. Насправді, дослідження показують, що 37 000 веб-сайтів щоденно зламано, а з WordPress - приблизно 25,4% всіх веб-сайтів, ви можете бути впевнені, що багато блогів WordPress щодня зламані.
Безпека в WordPress - це зовсім інша гра з м'ячем; як тільки ви володієте блогом WordPress, поради, як, наприклад, ім'я користувача, яке важко здогадатися, а пароль, який важкий, як рок, вже не достатній. A одну помилкову тему, неправильний плагін або неправильно захищений файл може призвести до зламування вашого блогу протягом ночі.
Незалежно від того, чи ви маєте досвід роботи з WordPress, або ви використовуєте платформу з моменту її існування, ця стаття має 10 практичних і вечері ефективних способів захисту вашого блогу WordPress що кожен може реалізувати. Ви не знайдете більшість цих порад у популярних статтях "як захистити свій блог", але вони могли б добре зберегти ваш блог одного дня!
1. Вимкніть редактор WordPress Theme & Plugin
WordPress має зручну функцію, яка надає власникам сайтів більшу гнучкість, дозволяючи їм налаштовувати та редагувати свої теми та плагіни безпосередньо з інформаційної панелі WordPress, але ця функція була скасуванням більшості блогів.
За допомогою цієї функції a незначна помилка може призвести до збою вашого сайту та блокування вашого власного веб-сайту. Хакери можуть легко вставляти шкідливий код у вашу тему, щоб надати їм задній доступ до вашого сайту або навіть повністю захопити ваш сайт, отримуючи контроль над обліковим записом, який має достатньо привілеїв для використання редактора тем і плагінів.
Ви можете захистити себе, вимкнувши редактор плагінів і тем, неможливо змінити теми та плагіни без доступу FTP.
Зробіть це, додавши в файл wp-config.php такий код:
define ('DISALLOW_FILE_EDIT', true);
2. Увімкніть двофакторну аутентифікацію
Двофакторна автентифікація швидко стає одним з найнадійніших способів захисту ваших облікових записів в Інтернеті..
Незважаючи на те, що WordPress не обов'язково має вбудовану двофакторну автентифікацію, можна ввімкнути двофакторну аутентифікацію в блозі, встановивши такі плагіни:
- Генератор кодів Google
- Authy
- Clef
- Рублон
3. Обмежити реєстрацію на основі кількості невдалих спроб
Є багато способів, які хакери намагаються отримати доступ до вашого блогу, і одна з найпоширеніших методів, що використовуються, - це атака bruteforce: хакер намагається поєднувати імена користувачів і паролі, знову і знову, поки він / вона не зможе успішно отримати доступ блог.
За замовчуванням WordPress не захищений від цієї атаки. Встановлюючи плагіни, які обмежують вхід до системи після певної кількості невдалих спроб з певного IP-адреси, ви можете значно ускладнити доступ хакерів до свого блогу..
Модуль Jetpack Protect Module також може захистити вас від атак з грубою силою.
4. Регулярно сканувати свій блог
Файли теми, плагіни, посилання та інші, здавалося б, нешкідливі елементи можна використовувати для отримання доступу до вашого блогу. Не чекайте, поки ваш веб-сайт буде повністю заражений, перш ніж приймати заходи. Замість цього встановіть плагіни сканування безпеки, щоб регулярно перевіряти веб-сайт і повідомляти, якщо ваші файли змінюються.
Хорошим прикладом модуля сканування безпеки є Wordfence. Крім того, надає можливість вручну / автоматично сканувати ваш блог WordPress, він також миттєво повідомляє вас, коли підозріла активність відбувається у вашому блозі..
Він також надсилає інформацію про потенційно шкідливі коментарі, і це порівнює ваші файли з темою та плагінами з сховищем WordPress для повідомляти, чи змінено вашу версію плагіна чи теми і потенційно може служити "бекдором" для хакерів на ваш сайт.
Інші плагіни безпеки, які допоможуть сканувати ваш блог на наявність шкідливого програмного забезпечення та зловживань:
- Сканер безпеки Сукурі
- Acunetix WP Security
- iThemes Security (раніше відома як "Краща безпека WP")
5. Змініть свій хост
Хоча це звучить як спрощена порада, вона насправді має велику вагу. Дослідження показують, що 41% взломаних сайтів WordPress були зламали через уразливість системи безпеки на їхній хостинговій платформі. Це набагато більше, ніж з інших джерел, включаючи слабкий пароль.
Ваш хост може відігравати важливу роль у тому, чи будете ви зламані чи ні; переконайтеся, що ви тільки піти на надійних веб-хостів, які витримали випробування часом і що дотримуватися найкращих галузевих практик.
6. Приховати номер версії WordPress
За замовчуванням WordPress відображає номер версії WordPress; це полегшує для WordPress відстеження того, скільки блогів WordPress є активними в усьому світі. Однак це також може бути величезним джерелом проблеми; хакери і боти можуть сканувати веб-сторінки для блогів використання номер версії WordPress з відомою вразливістю, робить вас легкою ціллю.
Ви можете легко вирішити цю проблему приховує номер версії WordPress. Щоб приховати номер версії WordPress, просто додайте наступний код до файлу functions.php:
add_filter ('the_generator', '__return_null');
7. Вимкніть звіти про помилки PHP
Якщо плагін або тема не працюють добре на блозі WordPress, звіти про помилки PHP можуть допомогти, показуючи вам повідомлення, яке розкриває причину помилки. Однак у цій перевазі є недолік: коли повідомляється про помилку PHP, вона включає в себе повний шлях до сервера помилки, розкриваючи інформацію що хакери можуть використовувати проти вас.
Ви можете захистити себе вимкнення звітів про помилки PHP. Просто додайте наступний код у файл wp-config.php:
error_reporting (0); @ini_set ('display_errors', 0);
8. Робота над дозволами на WordPress
Коли справа доходить до запобігання вашого сайту WordPress від експлуатації безпеки, це дуже важливо переконайтеся, що у вас є права доступу до файлів. Це ускладнює маніпулювання хакерами плагінів, тем або файлів на вашому сервері, щоб захопити ваш веб-сайт.
Переконайтеся, що WordPress папки дозволу встановлено на 755 або 750; файл дозволу встановлено на 640 або 644; і що дозвіл wp-config.php встановлено на 600.
9. Забезпечити регулярні резервні копії
Навіть великі веб-сайти з командою експертів з безпеки та консультантів можуть бути зламаними, і хоча найкращі практики можуть зробити ваш сайт міцнішим, ніж 99,9% веб-сайтів..
Найкраща безпека, яку ви маєте проти атак WordPress, є гарною резервною копією; переконайтеся, що ви створюєте резервні копії свого сайту на регулярній основі - якщо це можливо, щодня. Таким чином, якщо ваш веб-сайт зламано, ви маєте файли на місці та може негайно відновити речі.
Ось деякі з кращих плагінів резервного копіювання WordPress:
- BackUpWordPress
- Готовий! Резервне копіювання
- VaultPress
- BackupBuddy
10. Обмежте доступ до сторінки входу
Коли поштовх наштовхне, ви, можливо, повинні прийняти деякі рішучі дії. Дуже надійний спосіб захистити свій блог від спроб зламувати повністю блокує доступ до вашої сторінки wp-admin і wp-login.php.
Це рекомендується лише, якщо ви використовувати одну IP-адресу, яка не змінюється (Ви не бажаєте блокувати себе з блогу!). Ви все ще можете скористатися цією опцією, якщо ви використовуєте більше одного IP-адреси, але відстежуєте ці адреси.
Щоб обмежити доступ до сторінки входу, додайте наступний код до файлу .htaccess:
RewriteEngine на RewriteCond% REQUEST_URI ^ (. *)? Wp-login .php (. *) $ [OR] RewriteCond% REQUEST_URI ^ (. *)? Wp-admin $ RewriteCond% REMOTE_ADDR! IP-адреса 1 $ RewriteCond% REMOTE_ADDR! ^ Ваш IP-адреса 2 $ RewriteCond% REMOTE_ADDR! ^ Ваш IP-адреса 3 $ RewriteCond% REMOTE_ADDR! ^ Ваш IP-адреса 4 $ RewriteCond% REMOTE_ADDR! ^ Ваша IP-адреса 5 $ RewriteRule ^ (. *) $ - [R = 403, L]
Обов'язково відредагуйте Ваша IP-адреса 1 до Ваша IP-адреса 5 з різними IP-адресами, яким потрібно надати доступ; Ви можете просто додати або видалити рядок, щоб дозволити або заборонити доступ більшої кількості IP-адрес до вашого сайту.
Висновок
Звичайно, ви не повинні ігнорувати основні поради щодо безпеки, як, наприклад, не використовувати передбачуване ім'я користувача, мати надійний пароль, регулярно оновлювати інсталяцію WordPress тощо. Проте вищезазначені деякі відомі, часто ігноровані поради щодо безпеки, які можуть зробити ваш Блог WordPress трохи більш безпечний.
Примітка редактора: Цей гостьовий пост написано для Hongkiat.com Джон Стівенс. Джон є експерт з WordPress і хостинг. Він є засновником і генеральним директором компанії HostingFacts.com, портал, на якому він переглядає та оцінює веб-хости на основі продуктивності.