18 Wordpress biztonsági bővítmények és tippek a blog biztosításához

Hirdetés

Kétségtelen, hogy egy saját üzemeltetésű blog számára a WordPress a legjobb blog CMS, amelyet megszerezhet. Mivel azonban népszerű és nyílt forráskódú szoftver, ez azt is jelenti, hogy a hackerek teljes hozzáféréssel rendelkeznek a kód, amelyet megvizsgálhat, hogy megtaláljon minden olyan kihasználást, amellyel betörhet bármely WordPress-kompatibilis rendszerbe webhely.

A jó oldalon a WordPress egyik legfontosabb dolga a plugin-rendszere, amely lehetővé teszi bárki számára telepítsen minden beépülő modult, vagy készítsen saját plugin-okat, hogy kibővítse annak funkcionalitását, beleértve a fejlesztést is Biztonság.

Itt felsoroltam néhány WordPress biztonsági bővítményt (és néhány trükköt), amelyeket a WordPress blog biztonságához használhat.

Az alább felsorolt ​​összes plugin és trükk a WP 2.7 vagy újabb verziójára vonatkozik. Ha továbbra is a WordPress régebbi verzióját használja, ideje frissíteni a blogját.

A bejelentkezés védelme

Ez a plugin a PASAS protokoll a jelszó titkosításához. A jelszót először egy, a munkamenet által generált véletlen számmal (nonce) sózják, amelyet az md5 transzformációs algoritmus követ. Ezt az eredményt ezután eljuttatják a szerverhez, ahol dekódolják és hitelesítik. Ez egy nulla konfigurációs plugin, ami azt jelenti, hogy azonnal aktiválhatja.

2. Stealth Bejelentkezés

A Stealth Login elrontja a bejelentkezési oldalt, mivel lehetővé teszi, hogy az alapértelmezett wp-login.php helyett egyéni bejelentkezési oldalt definiáljon. Ha a jelszava kiszivárog, a hackereknek nehéz lesz megtalálni a helyes bejelentkezési URL-t. Ennek megfelelő felhasználása megakadályozhatja, hogy minden rosszindulatú bot hozzáférjen a wp-login.php fájlhoz, és megpróbáljon betörni.

A bejelentkezés letiltása hasznos a brutális erőszakos támadás megelőzésében. A bejelentkezési LockDown az összes sikertelen bejelentkezési kísérlet IP-címét és időbélyegzőjét rögzíti. Ha egy adott időszakon belül egynél több kísérletet észlel ugyanabból az IP-tartományból, akkor letiltja a bejelentkezési funkciót, és megakadályozza, hogy az IP-tartományba tartozó emberek mindenki belépjen.

Ez a bővítmény további HTTP-hitelesítést ad a blog második védelmi rétegének biztosításához. A blog alapú jelszóvédelmet beállíthatja a HTTP Basic Authentication használatával, vagy választhat a biztonságosabb HTTP Digest hitelesítés használatával is.

Vegye figyelembe, hogy ez a plugin a kiszolgáló képességétől függően előfordulhat, hogy nem működik. Ha webhelye nem haladja meg az AskApache konfigurációs teszteket (a plugin által észlelt tesztek) a szerver képességei), vegye fel a kapcsolatot a webgazdaval, és ellenőrizze, hogy tudnak-e változtatásokat végrehajtani a szerveren oldal.

Ez a bővítmény „félig biztonságos” bejelentkezési környezetet biztosít a jelszó titkosításával a RSA kriptográfia

Az adatbázis védelme

Talán néhányan közületek az adatbázis biztonsági mentése zavaró műszaki munkát jelenthet. A WP-DB-Backup segítségével csak egyszer kell konfigurálnia, és automatikusan, rendszeres időközönként futtatnia.

Ez a beépülő modul az adatbázis biztonsági mentésének automatizálását teszi lehetővé, és elküldi az e-mail mappájába. A WordPress által létrehozott alapértelmezett táblázatokon kívül másolatot készíthet a bővítmények által létrehozott egyéni táblákról is. Abban az esetben, ha a fiókja összeomlik, könnyen importálhatja és visszaállíthatja az adatbázist a biztonsági mentéssel.

A Wp-DBManager olyan, mint egy phpmyadmin az irányítópulton. Könnyedén kezelheti adatbázisát közvetlenül az irányítópulton. Vannak olyan hasznos funkciók, mint például az adatbázis optimalizálása / javítása / biztonsági mentése / visszaállítása, és ha elég műszaki vagy, akkor még a saját SQL lekérdezését is futtathatja az opciós oldalon.

A rossz oldalon, ha hackereknek sikerül bejelentkezniük a webhelyedre, ez a bővítmény átjárót jelent számukra, hogy pusztítást hozzanak létre az adatbázisban.

8. Az adatbázis-tábla előtagjának megváltoztatása

A WordPress által használt alapértelmezett előtag a „wp”. Az előtagot könnyen megváltoztathatja más olyan kifejezésekre, amelyeket nehezen lehet kitalálni a WP-Security-Scan. További részletek erről a pluginről alább.

9. Védje a wp-config.php fájlt

A wp-config.php fájl tartalmazza az összes adatbázis-bejelentkezési hitelesítő adatot, és minden körülmények között el kell rejteni a nyilvános nézetből. A htaccess-fájljában tedd be ezt a sort:

rendelés engedélyezni, tagadni. mindenki tagadja. 

annak megakadályozása érdekében, hogy bárki megtekintse a wp-config.php fájlt.

Rendszergazda oldalának védelme

Ez a beépülő modul minden oldalra kényszeríti az SSL-t, ahol a jelszavak beírhatók, hogy az összes továbbított információ titkosítva legyen.

Egy dolog azonban, hogy megkaphassa az SSL tanúsítványt. Ha nem hajlandó felszámolni az extra pénzt egy privát SSL-tanúsítvány vásárlásához, akkor kérdezze meg a webhelyet a megosztott SSL-ről. A legtöbb webtárhely megosztott SSL-t biztosít minden ügyfelének, és könnyen konfigurálható.

11. Bejelentkezési felhasználónév módosítása

Az „admin” bejelentkezési felhasználónévként történő felhasználása az utolsó, amit meg akarsz tenni. A WordPress első telepítésekor azonnal hozzon létre egy új rendszergazdai fiókot a saját felhasználónevével és jelszavával, és törölje az „admin” fiókot.

Megakadályozhatja, hogy mások megtekintsék a belső fájlszerkezetet

12. A WP verzió elrejtése

A legtöbb WordPress témában a

szakaszban mindig van egy sor egy kódsor, amely megmutatja a használt WordPress verziót. A WordPress verziószámának megadása azt jelenti, hogy meg kell mondani a hackereknek, hogy mit használnak fel a webhelyére való feltöréshez.

A WP2.6.5 óta a WordPress még nehezebbé tette a wp-verzió eltávolítását, mivel beágyazza ezt az információt a wp_header címke. A beépülő modul, amelynek segítségével eltávolíthatja ezeket az információkat, az WP-Security-Scan.

13. A WP-tartalom elrejtése

A WP-tartalom mappában tárolja az összes bővítményt és a témafájlokat. Ez az a hely, ahol megakadályozni szeretné, hogy mások bemutassanak. Vagy feltölthet egy üres képet index.html fájlt a wp-content mappába, vagy hozhat létre .htaccess fájlt a wp-content mappába, és adja hozzá ezt a sort:

Opciók Összes -Index
14. Blokkolja a wp-mappa indexelését a keresőmotorok által
Miközben azt akarja, hogy a keresőmotorok indexeljék a blogját, és rengeteg forgalmat hozzon létre, az utolsó dolog, amit látni szeretne, az az, hogy hagyja, hogy a keresőmotorok a belső fájlszerkezetet a nyilvánosság elé tárják. Azt teheti meg, hogy blokkolja az összes wp-mappát az indexelést a keresőmotor segítségével, a következő bejegyzések hozzáadásával a robot.txt fájlhoz:
Tiltás: / wp- * 
Karbantartás
Többször említettem ezt a plugin-t, tehát ideje számomra elmagyarázni, mit csinál. A WP-Security-Scan ellenőrzi a WordPress biztonsági réseit, és korrekciós intézkedéseket javasol / nyújt. A javító intézkedések közé tartozik az adatbázis előtagjának megváltoztatása, a WordPress verziószám elrejtése a fejlécből, és lehetővé teszi a jelszó erősségének kipróbálását.
Időnként érdemes futtatni a beépített biztonsági szkennert, és ellenőrizni a blogon, hogy vannak-e biztonsági rések.
16. Rendszeresen cserélje ki a jelszót
Nemcsak rendszeresen meg kell változtatnia a jelszavát, hanem azt is ellenőriznie kell, hogy az erős. Ha nehezen tud létrehozni egyet, keresse meg, hogyan teheti meg hozzon létre erős jelszavakat, amelyek könnyen megjegyezhetők Hogyan hozhat létre olyan erős jelszavakat, amelyek könnyen megjegyezhetők? Olvass tovább .
17. Frissítse a WordPress-t és az összes bővítményt a legújabb verzióra
Mondanom sem kell, hogy a WordPress és a bővítmények legújabb verziójára való frissítés a legjobb módja annak, hogy megvédje magát.
A kapcsolat védelme
18. SFTP
Fájlok átvitele az online fiókra általános gyakorlat. A nem biztonságos FTP használata helyett azonban használnia kell SFTP (Biztonságos FTP). Ez létrehoz egy SSH kapcsolatot, és elküldi az összes fájlt titkosítva a kiszolgálóra. Ha segítségre van szüksége az SFTP-kapcsolat létrehozásában, itt található a útmutató.
A fenti információknak elegendőnek kell lenniük egy biztonságos WordPress blog létrehozásához. Ha még nem valósította meg ezek egyikét, sürgetem, hogy tegye meg most.
Milyen más módszereket használ a WordPress blog biztosításához?