18 приставки и съвети за Wordpress Security, за да защитите вашия блог

реклама

Без съмнение, за самостоятелно домакин блог, WordPress е най-добрият CMS блог, който можете да получите. Въпреки това, тъй като е популярен и софтуер с отворен код, това означава също, че хакерите имат пълен достъп до код, който те могат да разгледат подробно, за да намерят каквито и да било експлоатации, които могат да използват за хакване в произволен WordPress сайт.

От добра страна, едно от най-добрите неща за WordPress е неговата приставка, която позволява на всеки инсталирайте всякакви приставки или създайте свои собствени приставки, за да разширите функционалността му, включително да подобрите сигурност.

Тук изброих някои приставки за защита на wordpress (и няколко трика), които можете да използвате, за да защитите блога на WordPress.

Всички плъгини и трикове, изброени по-долу, са предназначени за WP 2.7 и по-високи. Ако все още използвате по-стара версия на WordPress, време е да надстроите блога си.

Защита на вашия Вход

Този плъгин използва CHAP протокол за криптиране на паролата ви. Паролата първо се осолява с произволно число (без значение), генерирано от сесията, последвано от алгоритъма на преобразуване md5. След това този резултат се изпраща до сървъра, където се декриптира и удостоверява. Това е плъгин с нулева конфигурация, което означава, че можете да го използвате веднага след активирането му.

2. Stealth Login

Stealth Login обещава вашата страница за вход, като ви позволява да дефинирате потребителска страница за вход, а не по подразбиране wp-login.php. В случай, че паролата ви изтече, хакерът също ще има трудности да намери правилния URL адрес за вход. Добро използване на това е да предотвратите достъп на злонамерени ботове до вашия файл wp-login.php и да се опитат да пробият.

Заключването при влизане е полезно за предотвратяване на груба атака. Това, което LockDown прави за вход е да записва IP адреса и времевата марка на всеки неуспешен опит за влизане. Ако бъдат открити повече от определен брой опити за кратък период от време от един и същ IP диапазон, той ще блокира функцията за вход и ще попречи на хората от този IP диапазон да влязат.

Този плъгин добавя допълнително удостоверяване на HTTP, за да осигури втори слой защита за вашия блог. Можете да настроите защита на паролата за вашия блог с помощта на HTTP Basic Authentication или можете да изберете да използвате по-сигурното удостоверяване на HTTP Digest.

Имайте предвид, че този плъгин може / може да не работи в зависимост от възможностите на вашия сървър. Ако вашият сайт не премине тестовете за конфигурация на AskApache (тестовете, изпълнявани от приставката за откриване възможностите на вашия сървър), свържете се с вашия уеб хост и вижте дали те могат да направят промени на сървъра страна.

Този плъгин осигурява среда за вход „получестота“ чрез криптиране на паролата ви с RSA криптография

Защита на вашата база данни

Може би за някои от вас архивирането на база данни може да означава трудна техническа работа. С WP-DB-Backup просто трябва да го конфигурирате веднъж и да го накарате да се стартира автоматично на редовни интервали.

Това, което този плъгин прави, е да автоматизира архивирането на вашата база данни и да я изпрати във вашата пощенска кутия. Освен таблицата по подразбиране, създадена от WordPress, можете също да архивирате персонализирани таблици, създадени от приставки. В случай, че акаунтът ви се срине, можете лесно да импортирате и възстановите базата данни с архивирането.

Wp-DBManager е точно като phpmyadmin в таблото ви за управление. Можете лесно да управлявате вашата база данни директно в таблото за управление. Има полезни функции като оптимизиране / поправяне / архивиране / възстановяване на вашата база данни и ако сте достатъчно технически, можете дори да стартирате собствена SQL заявка от страницата с опции.

От лоша страна, ако някой хакери успеят да влязат на вашия сайт, този плъгин ще бъде шлюз за тях, за да създаде хаос във вашата база данни.

8. Промяна на префикса на таблицата на базата данни

Префиксът по подразбиране, използван от WordPress, е „wp“. Можете лесно да промените префикса на други термини, които е трудно да се познае, като използвате WP-Security Scan-. Повече подробности за тази приставка по-долу.

9. Защитете вашия wp-config.php файл

Вашият wp-config.php файл съдържа всички идентификационни данни за вход в базата ви данни и той трябва да бъде скрит от публичен изглед при всякакви обстоятелства. Във вашия htaccess файл поставете в този ред:

поръчка позволява, отказва. отричам от всички. 

за да попречите на някой да гледа файла wp-config.php.

Защита на вашата административна страница

Този плъгин принуждава SSL на всички страници, където могат да бъдат въведени пароли, така че цялата предавана информация да бъде криптирана.

Едно нещо обаче, трябва да притежавате SSL сертификат, преди да можете да го направите. Ако не сте готови да предоставите допълнителни пари за закупуване на частен SSL сертификат, можете да попитате вашия уеб-домакин за споделен SSL. Повечето уеб хостове предоставят споделен SSL за всички свои клиенти и е лесно да се конфигурира.

11. Промяна на потребителското име за вход

Използването на „администратор“ като потребителско име за вход е последното нещо, което искате да направите. Когато за първи път инсталирате WordPress, трябва незабавно да създадете друг администраторски акаунт със собствено потребителско име и парола и да изтриете акаунта на „администратора“.

Предотвратете другите да преглеждат вашата вътрешна файлова структура

12. Скриване на WP версията

В повечето теми на WordPress под

раздел, винаги има ред код, показващ версията на WordPress, която използвате. Отдаването на номера на версията ви за WordPress означава да кажете на хакера какво да използвате, за да хакнете във вашия сайт.

От WP2.6.5 WordPress още по-трудно премахва wp версията, тъй като вгражда тази информация в wp_header маркер. Плъгин, който можете да използвате, за да премахнете тази информация, е WP-Security Scan-.

13. Скриване на WP-съдържанието

Папката със съдържание на WP е мястото, където сте запазили всичките си приставки и файлове с теми. Това е мястото, където искате да попречите на други хора да се вглеждат. Можете или да качите празно index.html файл в папката wp-content или създайте .htaccess файл в папката wp-content и добавете този ред:

Опции Всички -Индекси
14. Блокирайте wp-папката от индексиране от търсачките
Макар че искате търсачките да индексират вашия блог и да носят много трафик, последното нещо, което искате да видите, е да оставите търсачките да изложат вътрешната ви файлова структура пред обществеността. Това, което можете да направите, е да блокирате всичките си wp-папки от индексиране от търсачката, като добавите следните записи към robot.txt:
Дезактивиране: / wp- * 
Поддръжка
Споменавам този плъгин няколко пъти, така че е време да обясня какво прави. WP-Security-Scan проверява вашата WordPress за уязвимости в сигурността и предлага / предоставя коригиращи действия. Коригиращите действия включват промяна на префикса на вашата база данни, скриване на номера на версията на WordPress от заглавката и ви позволява да изпробвате силата на вашата парола.
От време на време е добра идея да стартирате вградения скенер за сигурност и да проверите блога си за всякакви уязвимости в сигурността.
16. Сменяйте редовно паролата
Не само, че трябва редовно да променяте паролата си, но и трябва да сте сигурни, че тя е силна. Ако имате затруднения при създаването на такъв, намерете как можете създайте силни пароли, които лесно можете да запомните Как да създадете силни пароли, които лесно можете да запомните Прочетете още .
17. Актуализирайте WordPress и всички плъгини до най-новата версия
Излишно е да казвам, че надстройката до най-новата версия на WordPress и плъгини е най-добрият начин да се защитите.
Защита на вашата връзка
18. SFTP
Прехвърлянето на файлове във вашия онлайн акаунт е често срещано нещо. Въпреки това, вместо да използвате незащитения FTP, трябва да използвате SFTP (Сигурен FTP). Това ще създаде SSH връзка и ще изпрати всички ваши файлове криптирани до сървъра. Ако имате нужда от помощ при създаването на SFTP връзка, ето това ръководство.
Горната информация трябва да е достатъчна, за да създадете защитен блог на WordPress. Ако не сте приложили нито едно от тях, бих ви призовал да го направите сега.
Какви други методи използвате, за да защитите вашия WordPress блог?