10 малко известни, супер ефективни съвети за осигуряване на вашия блог WordPress
Получаването на блог хакнат и губещи години след години работа с блогове през нощта е тъжна реалност, която хората всъщност са преживели. Всъщност, изследванията показват, че 37 000 уебсайта са хакнати всеки ден, а с WordPress захранва приблизително 25,4% от всички уебсайтове, можете да сте сигурни, че голяма част от блоговете на WordPress се хакват всеки ден.
Сигурността на WordPress е съвсем различна игра; след като притежавате WordPress блог, съвети като притежаването на потребителско име, което е трудно да се отгатне, и парола, която е толкова твърда като скалата, вече не е достатъчна. А една грешна тема, грешен плъгин или неправилно защитен файл може да доведе до хакване на блога ви през нощта.
Независимо дали сте неопитни с WordPress, или сте използвали платформата от самото й съществуване, тази статия има 10 практически и вечерни ефективни начини за осигуряване на вашия блог в WordPress който всеки може да приложи. Повечето от тези съвети няма да намерите в популярните статии „как да защитите блога си“, но биха могли да запазят блога ви един ден!
1. Изключете WordPress Theme & Plugin Editor
WordPress има удобна функция, която дава на собствениците на сайтове по-голяма гъвкавост, като им позволява да персонализират и редактират своите теми и плъгини директно от таблото за управление на WordPress, но тази функция е била отмяна на повечето блогове.
С тази функция: a лека грешка може да доведе до срив на сайта ви и да ви заключи от собствения ви уебсайт. Хакерите могат лесно да вмъкват злонамерен код във вашата тема, за да им дадат достъп до сайта ви или дори да поемат напълно сайта ви, като получат контрол върху профил, който има достатъчно привилегии за използване на редактора на теми и приставки..
Можете да се защитите, като деактивирате редактора на приставки и теми, прави невъзможно да променяте вашите теми и приставки без FTP достъп.
Направете това, като добавите следния код към файла wp-config.php:
define ('DISALLOW_FILE_EDIT', true);
2. Активиране на двуфакторното удостоверяване
Двуфакторното удостоверяване бързо се превръща в един от най-надеждните начини за защита на онлайн профилите Ви, а най-надеждните уебсайтове ще настояват потребителите им да я активират.
Въпреки че WordPress не е задължително вграден в двуфакторна автентификация, можете да активирате двуфакторното удостоверяване в блога си, като инсталирате следните приставки:
- Google Удостоверител
- Authy
- ключ
- Rublon
3. Ограничете влизанията на базата на броя на неуспешните опити
Има много начини, по които хакерите се опитват да получат достъп до вашия блог, и една от най-често използваните техники е атака с груба сила: хакер се опитва комбинация от потребителски имена и пароли, отново и отново, докато той / тя успее да достигне успешно блога си.
По подразбиране WordPress не е защитен срещу тази атака. Чрез инсталиране на приставки, които ограничават влизанията след определен брой неуспешни опити от конкретен IP адрес, можете да направите много по-трудно за хакерите да получат достъп до блога си.
Приставката Jetpack Protect Module също може да ви предпази от груби атаки.
4. Редовно сканирайте блога си
Тематичните файлове, плъгини, връзки и други привидно безвредни елементи могат да се използват за получаване на достъп до вашия блог. Не чакайте, докато уебсайтът ви е напълно заразен, преди да предприемете мерки. Вместо това инсталирайте плъгини за сканиране на сигурността, за да сканирате редовно уебсайта си и да ви уведомява, ако файловете ви се променят.
Добър пример за плъгин за сканиране на защитата е Wordfence. Освен че ви дава възможност за ръчно / автоматично сканиране на вашия WordPress блог, той също така незабавно ви уведомява, когато подозрителна дейност се случва в блога ви..
Той също така изпраща информация за потенциално злонамерени коментари и то сравнява вашите файлове с теми и приставки с хранилището на WordPress да ви уведомим, ако версията ви на приставка или тема е била променена и може потенциално да служат като задна вратичка за хакери към вашия сайт.
Други приставки за сигурност, които могат да ви помогнат да сканирате блога си за злонамерен софтуер и експлойти, са:
- Sucuri скенер за сигурност
- Acunetix WP Security
- iThemes Security (по-рано известен като "По-добра WP сигурност")
5. Променете вашия хост
Докато това звучи като опростен съвет, той всъщност има много тегло. Изследванията показват, че 41% от хакерираните уебсайтове на WordPress са били хакнат чрез уязвимост на сигурността на тяхната хостинг платформа. Това е много повече, отколкото от други източници, включително и със слаба парола.
Вашият домакин може да играе важна роля в това дали ще бъдете хакнати или не; уверете се само отидете за надеждни уеб-домакини, които са издържали изпитанието на времето и това да се съобразят с най-добрите индустриални практики.
6. Скрийте номера на версията на WordPress
По подразбиране WordPress показва номера на версията на WordPress; това улеснява WordPress да следи колко блогове на WordPress са активни в целия свят. Това обаче може да бъде и огромен източник на проблеми; хакери и ботове сканирайте уеб за блогове използвайки номер на версия на WordPress с известна уязвимост, което ви прави лесна мишена.
Можете лесно да разрешите този проблем чрез скрива вашия номер на версията на WordPress. За да скриете номера на версията си в WordPress, просто добавете следния код към файла functions.php:
add_filter ('the_generator', '__return_null');
7. Изключете PHP отчетите за грешки
Когато плъгин или тема не работи добре в блога ви в WordPress, отчетите за грешки в PHP могат да помогнат, като ви покажат съобщение, което разкрива причината за грешката. Въпреки това, в това предимство се крие недостатък: когато се докладва за PHP грешка включва пълния път на сървъра на грешката, разкривайки информация които хакерите могат да използват срещу вас.
Можете да се защитите деактивиране на отчитането на грешки в PHP. Просто добавете следния код във файла wp-config.php:
error_reporting (0); @ini_set ('display_errors', 0);
8. Работа върху вашите разрешения за WordPress файл
Когато става въпрос за предотвратяване на вашия WordPress сайт от поддръжката на сигурността, е от съществено значение уверете се, че имате правилните разрешения за файлове. Това затруднява манипулирането на плъгини, теми или файлове на сървъра ви, за да поеме вашия уебсайт.
Уверете се, че WordPress папка разрешенията са зададени на 755 или 750; досие разрешенията са зададени на 640 или 644; и че разрешението wp-config.php е настроено на 600.
9. Осигурете редовни резервни копия
Дори и големите сайтове с екип от експерти по сигурността и консултанти се хакнат и макар че следването на най-добрите практики може да направи уебсайта ви по-силен от 99,9% от уебсайтовете, нещата все още могат да се прекъснат.
Най-добрата сигурност, която имате срещу атаките на WordPress, е добър гръб; Уверете се, че редовно правите резервни копия на сайта си - ако е възможно, ежедневно. По този начин, ако вашият уебсайт е хакнат, файловете ви са налице и може веднага да възстанови нещата.
Ето някои от най-добрите резервни приставки за WordPress:
- BackUpWordPress
- Готов! резервно копие
- VaultPress
- BackupBuddy
10. Ограничете достъпа до страницата си за вход
Когато натискате бутоните, просто трябва да предприемете някакви драстични действия. Много надежден начин да защитите блога си от опитите за хакване е напълно блокира достъпа до вашата страница wp-admin и wp-login.php.
Това се препоръчва само ако вие използвайте един IP адрес, който не се променя (не искате да се заключвате от блога си!). Все още можете да използвате тази опция, ако използвате повече от един IP адрес, но следите тези адреси.
За да ограничите достъпа до страницата си за вход, добавете следния код в .htaccess файла:
RewriteEngine на RewriteCond% REQUEST_URI ^ (. *)? Wp-login \ tphp (. *) $ [OR] RewriteCond% REQUEST_URI ^ (. *)? Wp-admin $ RewriteCond% REMOTE_ADDR! IP адрес 1 $ RewriteCond% REMOTE_ADDR! ^ Вашият IP адрес 2 $ RewriteCond% REMOTE_ADDR! ^ Вашият IP адрес 3 $ RewriteCond% REMOTE_ADDR! ^ Вашият IP адрес 4 $ RewriteCond% REMOTE_ADDR! ^ Вашият IP адрес 5 $ RewriteRule ^ (. *) $ - [R = 403, L]
Не забравяйте да редактирате Вашият IP адрес 1 до Вашият IP адрес 5 с различните IP адреси, на които искате да дадете достъп; можете просто да добавите или премахнете линия, за да позволите или предотвратите достъпа на повече IP адреси до сайта Ви.
заключение
Разбира се, не бива да пренебрегвате основни съвети за сигурност, като например да не използвате предсказуемо потребителско име, да имате стабилна парола, да актуализирате редовно вашата WordPress инсталация и т.н. Въпреки това по-горе са някои малко известни, често игнорирани съвети за сигурност, които могат да направят Блогът на WordPress е малко по-сигурен.
Бележка на редактора: Този гост-пост е написан за Hongkiat.com от Джон Стивънс. Джон е експерт по WordPress и хостинг. Той е основател и главен изпълнителен директор на HostingFacts.com, портал, на който той преглежда и оценява уеб хостовете въз основа на представянето.