Как да защитим WordPress от проникване: Вашият задължително четен контролен списък

реклама

Бонетите по целия свят насочиха вниманието си от изпращане на спам имейли до систематично хакване в инсталации на WordPress; това е доходоносен бизнес, като се има предвид, че WordPress захранва 40% от всички блогове. Особено като се има предвид, че дори ние станахме жертва на това, време е да направим подробна публикация как точно да защитим инсталираното от вас WordPress.

Забележка: този съвет се отнася само за самостоятелно хостван WordPress инсталира. Ако използвате WordPress.com, обикновено нямате нужда да се грижите за сигурността, защото те се справят с вас.Каква е разликата между WordPress.com и WordPress.org? Каква е разликата между воденето на вашия блог в Wordpress.com и Wordpress.org?С Wordpress сега захранват 1 на всеки 6 уебсайта, те трябва да правят нещо правилно. Както за опитни разработчици, така и за пълния новак, Wordpress има какво да ви предложи. Но точно когато започвате на ... Прочетете още

Инсталирайте Google удостоверяващо устройство в две стъпки

Ако вече имате активирана автентификация в две стъпки за вашия акаунт в Gmail или други услуги, можете да използвате същото приложение за удостоверяване с

този плъгин за WordPress.

За щастие, можете да ограничите удостоверяването в две стъпки, за да се използва само за акаунти от по-високо ниво, така че не е нужно да дразните всичките си потребители.

Заключване на вход

Стара приставка, но все още работи по предназначение; Заключване на вход проверява IP на опитите за влизане и блокира IP обхват за един час, ако той не успее 3 пъти в рамките на 5 минути. Просто, ефективно.

Вземете редовни резервни копия

Хакерите няма да променят само един файл, а ще поставят свой собствен контролен панел, скрит някъде и други скрити заден план - така че дори да оправите оригиналния хак, те се връщат веднага и правят всичко отново. Вземете ежедневни или седмични резервни копия, за да можете лесно да се възстановите обратно до точка, в която нямаше следа от хакера - и не забравяйте да залепите всичко, което са направили, за да влязат. Лично аз просто инвестирах в $ 150 Резервен приятел лиценз за разработчици - това е най-лесното и цялостно решение за архивиране, което открих досега.

Предотвратяване на индексиране на папки

Проверете корена на вашата WordPress инсталация за .htaccess файла (забележете периода в началото - може да се наложи да покажете невидими файлове, за да видите това) и се уверете, че има следния ред. Ако не, добавете го - но първо направете резервно копие, тъй като този файл е доста решаващ.

Опции Всички -Индекси

Бъдете актуализирани

Не правете същата грешка като нас: винаги надграждайте WordPress веднага след като е налице актуализация. Понякога актуализациите съдържат малки поправки на грешки, а не корекции на защитата, но влезте в навика и няма да имате проблем. Ако имате повече от една инсталирана програма на WordPress и не можете да ги следите всички, разгледайте ManageWp.com, първокласно табло за всички ваши блогове, което включва сканиране за сигурност.

Не само основните WordPress файлове, но и приставки: един от най-големите хакове в WordPress от миналото включваше уязвимост в общ скрипт за генератор на миниатюри, наречен timthumb.phpи все още има теми, които използват старата версия. Въпреки че плъгините бяха бързо актуализирани, поддържането на актуални теми е по-трудно, разбира се - WordPress няма да каже Ако вашата тема е уязвима и за това ще имате някакъв плъгин за сканиране на сигурността - превъртете надолу до на Приставки за сигурност раздел по-долу за някои предложения.

Никога не изтегляйте случайни теми

Ако не знаете какво правите с PHP код, е много лесно да попаднете в капана на изтегляне на прекрасна произволна тема от някъде, само за да откриете, че има някакъв гаден код там - най-често връзки, които не можете да премахнете, но по-лошо може да бъде намерен. Придържайте се към премиум и добре известни дизайнери на теми (като Smashing Magazine или WPShower)или за безплатни теми използвайте само директорията с теми WordPress.

Изтрийте неизползваните приставки и теми

Колкото по-малко изпълним код имате на вашия сървър, толкова по-добре - премахнете шанса да имате стар, уязвим код, като изтриете теми и приставки, които вече не използвате. Деактивирането им просто ще спре функционалността им да се зарежда с WordPress, но самият код все още може да се изпълнява от хакер.

Премахнете Meta-Tell-Tata в заглавката си

По подразбиране WordPress излъчва своята версия на света в кода на вашия заглавен файл - лесен начин за хакерите да идентифицират по-старите инсталации. Добавете следните редове към темите си functions.php файл за премахване на версията на WordPress, информация за Windows Live Writer и линия, която помага на отдалечените клиенти да намерят вашия XML-RPC файл.

изтриване ('wp_head', 'wp_generator'); изтриване ('wp_head', 'wlwmanifest_link'); изтриване ('wp_head', 'rsd_link');

Премахнете акаунта „администратор“

Повечето атаки с груба сила срещу WordPress включват многократно изпробване на администратор акаунт - по подразбиране за всички инсталирания на WordPress - и речник с общи пароли. Ако или влезете с администратор, или администраторският акаунт е посочен в потребителската ви таблица, вие сте уязвими за това.

Два начина да го поправите: или използване wp-оптимизиране на плъгин - страхотен плъгин, който освен всичко друго, ви позволява да деактивирате ревизиите след публикуването и да извършите оптимизация на базата данни - да преименувате администраторски акаунт. Или просто създайте друг акаунт с администраторски привилегии, влезте като нов потребител и след това изтрийте акаунта „администратор“, присвойте всички публикации на новия си потребител.

Сигурни пароли

Дори и да сте деактивирали администраторския акаунт, е възможно да идентифицирате потребителското име на вашия администраторски акаунт - в този момент отново сте уязвими за груба атака. Прилагайте силна политика за парола от 16 или повече произволни знака, състояща се от малки и малки букви, препинателни знаци и числа.

Или просто използвайте reallyLongSentenceThatsEasyToRememberMethod.

Деактивиране на редактирането на файлове в WordPress

За тези, които не искат да влизат чрез FTP, WordPress включва лесен редактор в административното табло за теми и плъгини PHP файлове - но това прави вашата инсталация уязвима, ако някой получи достъп. Всъщност по този начин някой успя да инжектира пренасочване на зловреден софтуер в заглавката ни. Добавете следния ред в долната част на вашия WP-config.php (в главната папка), за да деактивирате всички функции за редактиране на файлове - и да ги използвате SFTP Какво SSH е и как се различава от FTP [обяснена технология] Прочетете още вместо да влезете на вашия сървър.

define ('DISALLOW_FILE_EDIT', вярно);

Скриване на грешки при влизане

Неправилна парола или грешно потребителско име могат да бъдат идентифицирани по грешките, дадени при влизане в системата, които могат да бъдат използвани за идентифициране на акаунти за груба принуда. Това не е добре, очевидно, така че убивайте грешките с това допълнение към темата си functions.php досие

функция no_errors_please () {return 'Nope'; } add_filter ('login_errors', 'no_errors_please');

Активирайте Cloudflare

Освен че ускорява вашия сайт, CloudFlare смекчава много известни ботнети и скенери дори дори да стигнете до вашия блог. Прочети всичко за CloudFlare Защитете и ускорете уеб сайта си безплатно с CloudFlareCloudFlare е интригуващ стартъп от създателите на Project Honey Pot, който твърди, че защитава вашия уебсайт от спамери, ботове и други зли уеб чудовища - както и да ускорите вашия сайт до известна степен... Прочетете още тук. Инсталирането е едно кликване, ако сте хоствани в Mediatemple, в противен случай ще ви трябва достъп до контролния панел на домейна, за да промените сървърите на имена.

Приставки за сигурност

• По-добра WP сигурност внедрява много от тези поправки за вас и е най-изчерпателното безплатно решение.
• WordFence е първокласен пакет, който активно сканира вашите файлове за наличие на зловреден софтуер, пренасочвания, известни уязвимости и т.н. - и ги поправя. Цената започва от $ 18 / година за 1 сайт.
• Решение за сигурност при влизане и двете ограничават опитите за влизане и налагат защитени пароли.
• Сигурност на BulletProof е изчерпателен, но сложен плъгин, който се занимава с някои от по-техническите аспекти като XSS инжектиране и .htaccess проблеми. Предлага се и Pro verison на приставката, който автоматизира голяма част от процеса.

Мисля, че ще се съгласите, че това е доста изчерпателен списък от стъпки за втвърдяване на WordPress, но не ви предлагам да внедрите всичко от тях. Ако трябваше да направя всичко това на всеки сайт, който някога съм създал, все още ги настройвам. Използването на всякакъв вид система представлява риск и в крайна сметка зависи от вас да намерите баланса между ниво на сигурност, което искате, и усилието, което искате да положите за осигуряването му - никога нищо не става 100% осигуряване. Ниско висящите плодове тук са:

• Актуализиране на WordPress
• Деактивиране на администраторския акаунт
• Добавяне на удостоверяване в две стъпки
• Инсталиране на приставка за защита

Правенето само на тези трябва да ви постави над 99% от всички останали блогове там, което е достатъчно, за да накарате потенциалните хакери да преминат към по-лесни цели.

Мислите ли, че съм пропуснал нещо? Кажете ми в коментарите.