Hogyan védjük meg a WordPress-t a behatolás ellen: a kötelezően elolvasott ellenőrzőlista

Hirdetés

A botnetek szerte a világon a spam e-mailek küldésétől a WordPress telepítések szisztematikus becsapódásáig fordították a figyelmüket; jövedelmező üzlet, mivel a WordPress az összes blog 40% -át birtokolja. Különösen figyelembe véve, hogy még ennek áldozatává is váltunk, itt az ideje, hogy átfogó beszámolót készítsünk arról, hogy miként lehet megvédeni az ön által üzemeltetett WordPress telepítést.

Megjegyzés: Ez a tanács csak azokra vonatkozik a saját üzemeltetett WordPress telepítések. Ha a WordPress.com webhelyet használja, akkor általában nem kell törődnie a biztonsággal, mert mindegyik az Ön kezébe tartozik.Mi a különbség a WordPress.com és a WordPress.org között? Mi a különbség a blogod futtatása között a Wordpress.com és a Wordpress.org webhelyen?Mivel a Wordpress most hatalmas hat minden webhelyről hajt végre energiát, nekik jól kell csinálniuk valamit. Mind a tapasztalt fejlesztők, mind a teljes kezdő számára a Wordpress kínál valamit. De éppen amikor elkezdesz ... Olvass tovább

Telepítse a Google kétlépcsős hitelesítőjét

Ha már engedélyezte a kétlépcsős hitelesítést a Gmail-fiókjához vagy más szolgáltatásaihoz, ugyanazt a hitelesítő alkalmazást használhatja ez a plugin a WordPress számára.

Szerencsére korlátozhatja a kétlépcsős hitelesítést, hogy csak felső szintű fiókokban használja, így nem kell bosszantania az összes felhasználót.

Bejelentkezés bezárása

Régi plugin, de még mindig működik a tervek szerint; Bejelentkezés bezárása ellenőrzi a bejelentkezési kísérletek IP-jét, és egy órára blokkolja az IP tartományt, ha 5 percen belül háromszor kudarcot vall. Egyszerű, hatékony.

Rendszeres biztonsági mentéseket készítsen

A hackerek nem csak megváltoztatnak egy fájlt, hanem a saját vezérlőpaneljukat is rejtett helyre helyezik rejtett hátsó ajtók - úgy, hogy még ha meg is javítják az eredeti csapkod, visszajönnek, és mindent megtesznek újra. Naponta vagy hetente készítsen biztonsági másolatot, így könnyen visszaállíthatja azt a pontot, ahol nem volt nyoma a hackereknek - és mindenképpen javítsa be a bejutáshoz szükséges műveleteket. Személy szerint csak 150 dollárt fektettem be Backup Buddy fejlesztői licenc - ez a legegyszerűbb és legátfogóbb biztonsági mentési megoldás, amelyet eddig találtam.

A mappák indexelésének megakadályozása

Ellenőrizze a WordPress telepítésének gyökerét a .htaccess fájl szempontjából (vegye figyelembe az elejét az elején - lehet, hogy láthatatlan fájlokat kell megjelenítenie ennek megtekintéséhez), és ellenőrizze, hogy a következő sorral rendelkezik-e. Ha nem, add hozzá - de készítsen biztonsági másolatot, mivel ez a fájl nagyon fontos.

Opciók Összes -Index

Legyen naprakész

Ne tegye ugyanazt a hibát, mint amit tettünk: mindig frissítse a WordPress-t, amint elérhető a frissítés. A frissítések néha kisebb hibajavításokat tartalmaznak, és nem biztonsági javításokat, de bekerülnek a szokáshoz, és nem lesz problémája. Ha egynél több WordPress telepítve van, és nem tudja nyomon követni őket, nézd meg ManageWp.com, prémium irányítópult minden blogjához, amely magában foglalja a biztonsági szkennelést.

Nem csak a WordPress alapvető fájljain, hanem a bővítményeknél is: a múlt egyik legnagyobb WordPress-csapása sebezhetőséget okozott a közös bélyegkép-generátor szkriptben, az úgynevezett timthumb.php, és vannak még olyan témák, amelyek a régi verziót használják. Bár a plug-inek gyorsan frissültek, természetesen a témák naprakészen tartása - a WordPress ezt nem fogja mondani akkor, ha a témája sebezhető, és ehhez valamilyen biztonsági szkennelő plugin lesz - görgessen le az Biztonsági bővítmények az alábbiakban néhány javaslatot talál.

Soha ne töltsön le véletlenszerű témákat

Hacsak nem tudja, mit csinál a PHP-kóddal, nagyon könnyű beleesni a csapdaba, ha letölt egy szép véletlenszerű témát a valahol, csak hogy megtalálja, van benne néhány csúnya kód is - leggyakrabban olyan linkek, amelyeket nem lehet eltávolítani, de rosszabb lehet megtalált. Ragaszkodjon a prémium és a jól ismert tématervezőkhöz (úgymint Smashing Magazine vagy WPShower), vagy ingyenes témákhoz csak a WordPress témakönyvtárat használja.

Törölje a nem használt beépülő modulokat és témákat

Minél kevesebb futtatható kód van a szerveren, annál jobb - távolítsa el a régi, sebezhető kódok esélyét azáltal, hogy törli azokat a témákat és beépülő modulokat, amelyeket már nem használ. Ezek letiltása egyszerűen leállítja a funkciók betöltését a WordPress programmal, de maga a kód továbbra is végrehajtható hackerek által.

Távolítsa el a fejjelző visszajelző lámpa metaadatát

Alapértelmezés szerint a WordPress a fejléce fájl kódjában sugározta verzióját a világnak - ez a hackerek egyszerű módja a régebbi telepítések azonosításának. Adja hozzá a következő sorokat a témához functions.php fájlt, hogy eltávolítsa a WordPress verziót, a Windows Live Writer információt, és egy sort, amely segít a távoli ügyfeleknek megtalálni az XML-RPC fájlt.

remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'rsd_link');

Távolítsa el az „admin” fiókot

A WordPress elleni erőszakos támadások legtöbbje a admin fiók - az alapértelmezés az összes WordPress telepítéshez - és a szokásos jelszavak szótára. Ha bejelentkezik az admin segítségével, vagy ha a felhasználói táblában fel van tüntetve a rendszergazdai fiók, akkor sebezhető ezzel.

Két módon javíthat: vagy használja wp-optimalizálja a bővítményt - egy nagyszerű bővítmény, amely többek között lehetővé teszi a utólagos javítások letiltását és az adatbázis optimalizálását - az admin fiók átnevezését. Vagy egyszerűen hozzon létre egy másik fiókot rendszergazdai jogosultságokkal, jelentkezzen be új felhasználóként, majd törölje az „admin” fiókot, és az összes hozzászólást hozzárendelje az új felhasználóhoz.

Biztonságos jelszavak

Még akkor is, ha letiltotta az admin fiókot, lehetséges, hogy azonosítani tudja a rendszergazdai fiók felhasználónevét - ebben az időpontban ismét kiszolgáltatott téged a brute force támadás. Végrehajtjon egy 16 vagy több véletlenszerű karakterből álló szigorú jelszószabályt, amely kis- és nagybetűket, írásjeleket és számokat tartalmaz.

Vagy csak használja a reallyLongSentenceThatsEasyToRememberMethod.

Kapcsolja ki a fájlszerkesztést a WordPressen belül

Azok számára, akik nem szeretnek bejelentkezni az FTP-n keresztül, a WordPress egy egyszerű szerkesztőt tartalmaz az adminisztrátori irányítópulton a téma- és a plugin-PHP fájlokhoz -, de ez kiszolgáltatottá teszi a telepítést, ha valaki hozzáfér. Valójában így sikerült valaki rosszindulatú szoftverek átirányítását fecskendezni a fejlécünkbe. Adja hozzá a következő sort az alján wp-config.php (a gyökérmappában) az összes fájlszerkesztő szolgáltatás letiltásához - és használja SFTP Mi az SSH és hogyan különbözik az FTP-től [technológia magyarázata] Olvass tovább ehelyett jelentkezzen be a szerverre.

define ('DISALLOW_FILE_EDIT', igaz);

Bejelentkezési hibák elrejtése

Nem megfelelő jelszó vagy helytelen felhasználónév azonosítható a bejelentkezéskor bekövetkezett hibákkal, amelyek felhasználhatók a brutális erőszakos fiókok azonosítására. Ez nyilvánvalóan nem jó, ezért ölje meg a hibákat a téma kiegészítésével functions.php fájl

no_errors_please () függvény {return 'Nope'; } add_filter ('login_errors', 'no_errors_please');

Aktiválja a Cloudflare funkciót

Amellett, hogy felgyorsítja a webhelyet, a CloudFlare csökkenti számos ismert botnetet és szkennert, mégpedig azáltal, hogy eljut a blogjába. Olvas minden a CloudFlare-ról Védje és gyorsítsa fel webhelyét ingyen a CloudFlare segítségévelA CloudFlare érdekes start-up a Project Honey Pot alkotóitól, akik védekeznek a webhelyét a spamküldőktől, a robotoktól és más gonosz internetes szörnyetegektől - és gyorsítsa fel webhelyét némileg... Olvass tovább itt. A telepítés egy kattintással történik, ha házigazdája MediaTemple, különben hozzáférnie kell a tartományvezérlő panelhez a névkiszolgálók megváltoztatásához.

Biztonsági bővítmények

• Jobb WP biztonság a javításokat végrehajtja az Ön számára, és ez a legátfogóbb ingyenes megoldás.
• WordFence egy prémium csomag, amely aktívan keresi a fájlokat rosszindulatú programok linkjeire, átirányításokra, ismert biztonsági résekre stb., és javítja azokat. Az ár 18 USD / év kezdődik egy webhelyen.
• Bejelentkezés biztonsági megoldás mindkettő korlátozza a bejelentkezési kísérleteket és érvényesíti a biztonságos jelszavakat.
• BulletProof biztonság egy átfogó, de összetett plugin, amely foglalkozik néhány olyan technikai szemponttal, mint például az XSS injektálás és a .htaccess problémák. A plugin igazolása szintén rendelkezésre áll, amely a folyamat nagy részét automatizálja.

Úgy gondolom, hogy egyetért azzal, hogy ez a WordPress megszilárdításához szükséges lépések átfogó felsorolása, de nem javaslom minden tőlük. Ha ezeket mindegyikkel meg kellene tennem minden olyan webhelyen, amelyet valaha felállítottam, még mindig beállítanám őket. Bármilyen rendszer futtatása kockázatot jelent, és végső soron rajtad múlik, hogy megtalálja az egyensúlyt a a kívánt biztonsági szint és az erőfeszítés, amelyet meg akar tenni annak biztosítása érdekében - soha semmi sem megy 100% -ra biztosítsa. Az alacsonyan lógó gyümölcs itt van:

• A WordPress naprakészen tartása
• Az admin fiók letiltása
• Kétlépcsős hitelesítés hozzáadása
• Biztonsági plugin telepítése

Ha ezeket önmagában teszi, akkor az összes többi blog 99% -át meghaladja, ami elegendő ahhoz, hogy a potenciális hackerek könnyebb célokra lépjenek.

Gondolod, hogy hiányzott valamit? Mondd el nekem a hozzászólásokban.