Cum să protejați WordPress de intruziune: Lista dvs. de control obligatoriu

Publicitate

Botnet-urile din întreaga lume și-au atras atenția de la trimiterea de e-mailuri spam la piratarea sistematică a instalărilor WordPress; este o afacere profitabilă, având în vedere că WordPress deține 40% din toate blogurile. În special, având în vedere că chiar am căzut victime ale acestui lucru, a venit timpul să facem o postare cuprinzătoare despre exact cum să vă protejăm instalarea WordPress de sine stătută.

Notă: acest sfat se aplică numai la instalări WordPress găzduite de sine stătător. Dacă utilizați WordPress.com, în general nu trebuie să vă preocupați de securitate, deoarece acestea se ocupă de toate.Care este diferența dintre WordPress.com și WordPress.org? Care este diferența dintre rularea blogului dvs. pe Wordpress.com și Wordpress.org?Cu Wordpress care alimentează acum 1 din 6 site-uri web, trebuie să facă ceva corect. Atât pentru dezvoltatorii cu experiență, cât și pentru începătorii, Wordpress are ceva de oferit. Dar la fel cum începi ... Citeste mai mult

Instalați autentificatorul în doi pași Google

Dacă aveți deja autentificarea în doi pași pentru contul dvs. Gmail sau alte servicii, puteți utiliza aceeași aplicație de autentificare cu acest plugin pentru WordPress.

Din fericire, puteți restricționa autentificarea în doi pași pentru a fi utilizată doar în conturile de nivel superior, astfel încât să nu vă enervați toți utilizatorii.

Logare Blocare

Un plugin vechi, dar funcționează în continuare conform destinației; Logare Blocare verifică IP-ul încercărilor de conectare și blochează un interval de IP timp de o oră dacă nu reușește de 3 ori în 5 minute. Simplu, eficient.

Faceți copii de rezervă regulate

Hackerii nu vor schimba doar un fișier, ci vor plasa propriul panou de control ascuns undeva și altul spatele ascuns - astfel încât, chiar dacă remediați hack-ul original, ei revin imediat și fac totul din nou. Faceți copii de rezervă zilnic sau săptămânal, astfel încât să vă puteți reface cu ușurință într-un punct în care nu a existat nicio urmă de hacker - și asigurați-vă că aplicați ceea ce au făcut pentru a intra. Personal, am investit doar în 150 de dolari Copie de rezervă licență pentru dezvoltator - este cea mai simplă și mai completă soluție de rezervă pe care am găsit-o încă.

Împiedicați indexarea dosarelor

Verificați rădăcina instalării WordPress pentru fișierul .htaccess (observați perioada de la început - poate fi necesar să afișați fișiere invizibile pentru a vizualiza acest lucru) și asigurați-vă că are linia următoare. Dacă nu, adăugați-o - dar faceți o copie de rezervă mai întâi, deoarece acest fișier este destul de crucial.

Opțiuni All -Indexes

Rămâneți la curent

Nu faceți aceeași greșeală ca noi: faceți mereu upgrade la WordPress imediat ce este disponibilă o actualizare. Uneori, actualizările conțin remedieri de erori minore și nu corecții de securitate, dar obțineți obiceiul și nu veți avea nicio problemă. Dacă aveți mai multe instalări WordPress și nu puteți urmări toate acestea, accesați ManageWp.com, un tablou de bord premium pentru toate blogurile dvs., care include scanarea securității.

Nu doar fișierele principale ale WordPress, ci și pluginurile: unul dintre cele mai mari hack-uri WordPress din trecut a implicat o vulnerabilitate într-un script comun generator de miniaturi numit timthumb.phpși încă există teme care folosesc versiunea veche. Deși pluginurile au fost actualizate rapid, menținerea temelor la zi este mai dificilă, desigur - WordPress nu va spune dacă tema dvs. este vulnerabilă și pentru asta veți avea un fel de plugin de scanare de securitate - derulați în jos Plugin-uri de securitate secțiunea de mai jos pentru câteva sugestii.

Nu descărcați niciodată teme aleatorii

Dacă nu știți ce faceți cu codul PHP, este foarte ușor să cădeți în capcana descărcării unei minunate teme aleatorii din undeva, numai pentru a găsi că are un cod urât acolo - cel mai frecvent link-uri backlink pe care nu le puteți elimina, dar mai rău poate fi găsite. Lipiți designeri tematici premium și cunoscuți (precum Revista Smashing sau WPShower)sau pentru teme gratuite, utilizați doar directorul pentru teme WordPress.

Ștergeți pluginuri și teme neutilizate

Cu cât aveți codul mai puțin executabil pe server, cu atât mai bine - eliminați șansa de a avea un cod vechi, vulnerabil, ștergând teme și pluginuri pe care nu le mai folosiți. Dezactivarea acestora va opri pur și simplu încărcarea funcționalității cu WordPress, dar codul în sine poate fi executat în continuare de către un hacker.

Eliminați Meta-Story-Story din antetul dvs.

În mod implicit, WordPress și-a difuzat versiunea în lume cu codul fișierului dvs. antet - o modalitate ușoară pentru hackeri de a identifica instalările mai vechi. Adăugați următoarele linii la tema dvs. functions.php pentru a elimina versiunea WordPress, informațiile Windows Live Writer și o linie care ajută clienții la distanță să găsească fișierul dvs. XML-RPC.

remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'rsd_link');

Ștergeți contul „admin”

Cele mai multe atacuri de forță brută asupra WordPress implică încercarea repetată a admin cont - implicit pentru toate instalările WordPress - și un dicționar de parole comune. Dacă vă conectați cu admin sau aveți contul de administrant listat în tabelul de utilizator, sunteți vulnerabil la acest lucru.

Două modalități de remediere a acestuia: fie utilizați plugin optimizat wp - un plugin excelent care, printre altele, vă permite să dezactivați revizuirile post și efectuați optimizarea bazei de date - pentru a redenumi contul de admin. Sau pur și simplu creați un alt cont cu privilegii de admin, conectați-vă ca nou utilizator, apoi ștergeți contul „admin” alocați toate postările noului dvs. utilizator.

Parole sigure

Chiar dacă ați dezactivat contul de administrator, poate fi posibil să identificați numele de utilizator al contului dvs. de administrator - moment în care sunteți vulnerabil la un atac de forță brută. Aplicați o politică puternică de parole formată din 16 sau mai multe caractere aleatorii, formată din majuscule și minuscule, punctuație și numere.

Sau pur și simplu folosiți reallyLongSentenceThatsEasyToRememberMethod.

Dezactivați editarea fișierelor în WordPress

Pentru cei cărora nu le place să se conecteze prin FTP, WordPress include un editor ușor în tabloul de bord pentru fișiere cu temă și plugin PHP - dar acest lucru face ca instalarea dvs. să fie vulnerabilă dacă cineva obține acces. De fapt, așa a reușit cineva să injecteze o redirecționare malware în antetul nostru. Adăugați următoarea linie în partea de jos a dvs. wp-config.php (în folderul rădăcină) pentru a dezactiva toate funcțiile de editare a fișierelor - și utilizați SFTP Ce este SSH și cum este diferit de FTP [Tehnologia explicată] Citeste mai mult pentru a vă autentifica pe server.

define („DISALLOW_FILE_EDIT”, adevărat);

Ascunde erorile de conectare

O parolă incorectă sau un nume de utilizator greșit pot fi identificate prin erorile date la logare, care ar putea fi utilizate pentru identificarea conturilor pentru forțarea brute. Nu este bine, evident, deci ucideți erorile cu această adăugare la tema dvs. functions.php fişier

function no_errors_please () {return 'Nope'; } add_filter ('login_errors', 'no_errors_please');

Activați Cloudflare

Pe lângă faptul că accelerează site-ul dvs., CloudFlare atenuează numeroase botne și scanere cunoscute de la a ajunge chiar și la blogul dvs. în primul rând. Citit tot despre CloudFlare Protejați și accelerați site-ul dvs. gratuit cu CloudFlareCloudFlare este un start-up intrigant de la creatorii Proiectului Honey Pot care pretinde că este protejat site-ul dvs. de la spameri, roboți și alți monștri malefici, precum și viteza site-ului oarecum... Citeste mai mult aici. Instalarea este de un clic dacă sunteți găzduit MediaTempleîn caz contrar, veți avea nevoie de acces la panoul de control al domeniului pentru a schimba serverele de nume.

Plugin-uri de securitate

• O mai bună securitate a WP implementează multe dintre aceste corecții pentru dvs. și este cea mai cuprinzătoare soluție gratuită existentă.
• WordFence este un pachet premium care scanează în mod activ fișierele dvs. pentru link-uri malware, redirecționări, vulnerabilități cunoscute etc - și le rezolvă. Prețul începe de la 18 USD / an pentru 1 site.
• Soluție de securitate de conectare ambele limitează încercările de autentificare și aplică parolele sigure.
• Securitate BulletProof este un plugin complet, dar complex, care tratează unele aspecte mai tehnice, cum ar fi injecția XSS și problemele .htaccess. De asemenea, este disponibilă o versiune pro a pluginului care automatizează o mare parte a procesului.

Cred că sunteți de acord că aceasta este o listă completă de pași pentru întărirea WordPress, dar nu vă sugerez să implementați toate dintre ei. Dacă ar trebui să fac toate acestea pe fiecare site pe care l-am configurat vreodată, le-aș fi configurat acum. Funcționarea oricărui tip de sistem introduce un risc și, în cele din urmă, depinde de dvs. să găsiți echilibrul între acestea nivelul de securitate pe care îl doriți și efortul pe care doriți să îl depuneți pentru a-l asigura - nimic nu va ajunge niciodată la 100% sigur. Fructele slabe atârnate aici sunt:

• Menținerea WordPress actualizată
• Dezactivarea contului de admin
• Adăugarea autentificării în doi pași
• Instalarea unui plugin de securitate

A face acest lucru singur ar trebui să vă situeze peste 99% din toate celelalte bloguri de acolo, ceea ce este suficient pentru a face potențialii hackeri să treacă la ținte mai ușoare.

Crezi că mi-a lipsit ceva? Spune-mi în comentarii.