18 plugin-uri de securitate și sfaturi pentru securizarea blogului

Publicitate

Fără îndoială, pentru un blog care este găzduit de sine, WordPress este cel mai bun blog CMS pe care îl puteți obține. Cu toate acestea, fiind un software popular și open source, înseamnă, de asemenea, că hackerii au acces complet la cod pe care îl pot examina pentru a găsi orice exploatări pe care le pot folosi pentru a hack în orice WordPress-activat site-ul.

Pe partea bună, unul dintre cele mai bune lucruri despre WordPress este sistemul său de pluginuri care permite oricui instalați orice plugin sau creați-vă propriile pluginuri pentru a-i extinde funcționalitatea, inclusiv îmbunătățirea Securitate.

Aici, am enumerat câteva plugin-uri de securitate wordpress (și câteva trucuri) pe care le puteți utiliza pentru a securiza blogul WordPress.

Toate pluginurile și trucurile enumerate mai jos sunt destinate WP 2.7 și versiuni ulterioare. Dacă utilizați încă o versiune mai veche a WordPress, este timpul să vă actualizați blogul.

Protejarea autentificării

Acest plugin folosește CHAP protocol pentru criptarea parolei. Parola este sărată mai întâi cu un număr aleatoriu (nonce) generat de sesiune, urmat de algoritmul de transformare md5. Acest rezultat este apoi trimis serverului unde este decriptat și autentificat. Acesta este un plugin de configurare zero, ceea ce înseamnă că îl puteți utiliza imediat după activare.

2. Logare Stealth

Stealth Login vă absoarbe pagina de autentificare permițându-vă să definiți o pagină de autentificare personalizată în loc de wp-login.php implicit. În cazul în care parola dvs. este scursă, hackerul va avea dificultăți în a găsi adresa URL de conectare corectă. O bună utilizare a acestui lucru este să împiedici orice roboți rău intenționat să acceseze fișierul tău wp-login.php și să încerce să intre.

Logare Blocarea este utilă în prevenirea unui atac de forță brută. Ceea ce face LockDown de conectare este să înregistreze adresa IP și ora de marcare a fiecărei încercări de conectare eșuate. Dacă se detectează mai mult de un anumit număr de încercări într-o perioadă scurtă de timp din același interval IP, aceasta va bloca funcția de conectare și va împiedica orice persoană din intervalul IP să se conecteze.

Acest plugin adaugă o autentificare HTTP suplimentară pentru a oferi un al doilea nivel de apărare pentru blogul tău. Puteți configura protecția pentru parolă pentru blogul dvs. folosind autentificarea de bază HTTP sau puteți alege să utilizați autentificarea autentică Digest HTTP.

Rețineți că acest plugin poate / nu funcționează în funcție de capacitatea serverului. Dacă site-ul dvs. nu trece testele de configurare AskApache (testele rulate de plugin pentru a detecta capabilitățile serverului dvs.), contactați gazda web și vedeți dacă pot face modificări pe server latură.

Acest plugin oferă un mediu de conectare „semisecur” prin criptarea parolei cu ajutorul Criptografie RSA

Protejarea bazei de date

Poate pentru unii dintre voi, o copie de rezervă a unei baze de date ar putea însemna o problemă tehnică supărătoare. Cu WP-DB-Backup, trebuie doar să îl configurați o singură dată și să-l determinați să funcționeze automat la intervale regulate.

Ce face acest plugin este de a automatiza backup-ul bazei de date și de a-l trimite la căsuța de e-mail. În afară de tabelul implicit creat de WordPress, puteți, de asemenea, face backup pentru tabele personalizate create de pluginuri. În cazul în care contul dvs. se blochează, puteți importa și restabili baza de date cu ajutorul copiei de rezervă.

Wp-DBManager este la fel ca un phpmyadmin din tabloul de bord. Puteți gestiona cu ușurință baza de date direct în tabloul de bord. Există funcții utile, cum ar fi optimizarea / repararea / copierea de rezervă / restaurarea bazei de date și dacă sunteți suficient de tehnic, puteți chiar să rulați propria interogare SQL din pagina de opțiuni.

Din partea proastă, dacă vreun hacker reușește să se autentifice pe site-ul dvs., acest plugin va fi o poartă de acces pentru ei să creeze rău în baza de date.

8. Schimbă prefixul tabelei bazei de date

Prefixul implicit folosit de WordPress este „wp”. Puteți modifica prefixul cu alți termeni dificil de ghicit folosind WP-Security Scan-. Mai multe detalii despre acest plugin de mai jos.

9. Protejați-vă fișierul wp-config.php

Fișierul dvs. wp-config.php conține toate datele de autentificare ale bazei de date și ar trebui ascuns de vizualizarea publică în toate circumstanțele. În fișierul dvs. htaccess, introduceți această linie:

comanda permite, negă. negă din toate. 

pentru a împiedica pe cineva să vadă fișierul wp-config.php.

Protejarea paginii dvs. de administrator

Acest plugin forțează SSL pe toate paginile unde pot fi introduse parolele astfel încât toate informațiile transmise să fie criptate.

Cu toate acestea, trebuie să dețineți un certificat SSL înainte să îl puteți face. Dacă nu sunteți dispus să scoateți banii în plus pentru a cumpăra un certificat SSL privat, puteți întreba gazda dvs. Web despre SSL comun. Majoritatea gazdelor web oferă SSL Shared pentru toți clienții lor și este ușor de configurat.

11. Schimbați numele de utilizator de autentificare

Utilizarea „admin” ca nume de utilizator de conectare este ultimul lucru pe care doriți să îl faceți. Când ați instalat WordPress prima dată, ar trebui să creați imediat un alt cont de administrator cu propriul nume de utilizator și parola și să ștergeți contul „admin”.

Împiedicați alții să vă vadă structura de fișier intern

12. Ascunderea versiunii WP

În majoritatea temelor WordPress de sub

secțiunea, există întotdeauna o linie de cod care arată versiunea WordPress pe care o utilizați. A da numărul tău de versiune WordPress înseamnă să-i spui hackerului ce exploatează să folosești pentru a hack în site-ul tău.

Începând cu WP2.6.5, WordPress a făcut și mai dificilă eliminarea versiunii wp, deoarece cuprinde informațiile din cadrul fișierului wp_header etichetă. Un plugin pe care îl puteți utiliza pentru a elimina informațiile este WP-Security Scan-.

13. Ascunderea conținutului WP

Dosarul conținut WP este locul în care v-ați stocat toate pluginurile și fișierele tematice. Acesta este locul în care doriți să împiedicați alte persoane să privească. Puteți încărca un semifabricat index.html fișier în folderul wp-content sau creați un fișier .htaccess în folderul wp-content și adăugați această linie:

Opțiuni All -Indexes
14. Blocați folderul wp de la indexare pe motoarele de căutare
În timp ce doriți ca motoarele de căutare să vă indice blogul și să aducă mult trafic, ultimul lucru pe care doriți să îl vedeți este să lăsați motoarele de căutare să vă expună structura de fișiere interne în public. Ce puteți face este să blocați tot folderul wp de la indexare prin motorul de căutare adăugând următoarele intrări la robot.txt:
Interzicere: / wp- * 
întreținere
Am menționat acest plugin de mai multe ori, așa că este timpul să explic ceea ce face. WP-Security-Scan verifică vulnerabilitățile de securitate ale WordPress și sugerează / oferă acțiuni corective. Acțiunile corective includ schimbarea prefixului bazei de date, ascunderea numărului versiunii WordPress din antet și vă permite să testați puterea parolei.
Din când în când, este bine să rulați scanerul de securitate încorporat și să verificați dacă blogul dvs. există eventuale invulnerabilități.
16. Schimbați parola în mod regulat
Nu numai că trebuie să schimbi parola în mod regulat, ci trebuie să te asiguri că este una puternică. Dacă aveți dificultăți în crearea unuia, găsiți una cum puteți creați parole puternice pe care le puteți aminti cu ușurință Cum să creezi parole puternice pe care să le poți aminti cu ușurință Citeste mai mult .
17. Actualizați WordPress și toate pluginurile la cea mai recentă versiune
Inutil să spun, actualizarea la cea mai recentă versiune a WordPress și a pluginurilor este cea mai bună modalitate de a vă proteja.
Protejarea conexiunii dvs.
18. SFTP
Transferul fișierelor în contul dvs. online este un lucru obișnuit. Cu toate acestea, în loc să utilizați FTP-ul nesecurizat, ar trebui să utilizați SFTP (FTP securizat). Aceasta va crea o conexiune SSH și va trimite toate fișierele criptate către server. Dacă aveți nevoie de ajutor pentru crearea unei conexiuni SFTP, iată ghid.
Informațiile de mai sus ar trebui să fie suficiente pentru a crea un blog WordPress sigur. Dacă nu ați implementat niciuna dintre acestea, v-aș îndemna să faceți acest lucru acum.
Ce alte metode utilizați pentru a vă asigura blogul WordPress?