reklama

chránit wordpressBotnety z celého světa obrátily pozornost od odesílání nevyžádaných e-mailů k systematickému hackování do instalací WordPress; je to lukrativní záležitost vzhledem k tomu, že WordPress ovládá 40% všech blogů. Zejména s ohledem na to, že jsme se toho stali oběťmi, je na čase, abychom udělali komplexní příspěvek o tom, jak přesně chránit vaši vlastní instalaci WordPress.

Poznámka: Tato rada se vztahuje pouze na instalace hostované WordPress. Pokud používáte WordPress.com, obvykle se o zabezpečení nemusíte starat, protože to zvládnou za vás.Jaký je rozdíl mezi WordPress.com a WordPress.org? Jaký je rozdíl mezi spuštěním blogu na Wordpress.com a Wordpress.org?Když Wordpress nyní napájí 1 na každých 6 webových stránek, musí dělat něco v pořádku. Pro zkušené vývojáře i pro úplného nováčka má Wordpress co nabídnout. Ale stejně jako začnete ... Přečtěte si více

Nainstalujte dvoufázový ověřovač Google

Pokud již máte pro svůj účet Gmail nebo jiné služby povoleno dvoufázové ověření, můžete použít stejnou aplikaci ověřovatele tento plugin pro WordPress.

instagram viewer

Naštěstí můžete omezit použití dvoufázového ověřování pouze na účty vyšší úrovně, takže nemusíte obtěžovat všechny své uživatele.

chránit wordpress

Uzamčení přihlášení

Starý plugin, ale stále pracuje podle plánu; Uzamčení přihlášení kontroluje IP pokusů o přihlášení a blokuje rozsah IP po dobu jedné hodiny, pokud selže 3krát do 5 minut. Jednoduché, efektivní.

Vezměte pravidelné zálohy

Hackeři nezmění pouze jeden soubor, ale umístí svůj vlastní ovládací panel někde jinam skryté zadní dveře - takže i když opravíte původní hack, vrátí se a provedou vše znovu. Vezměte si denní nebo týdenní zálohy, takže můžete snadno obnovit zpět do bodu, kdy hacker nenašel žádné stopy - a nezapomeňte napravit, co se dělo, aby se dostali dovnitř. Osobně jsem právě investoval do 150 $ Zálohujte kamaráda licence pro vývojáře - je to nejjednodušší a nejkomplexnější řešení zálohování, které jsem dosud našel.

chránit web wordpress

Zabraňte indexaci složek

Zkontrolujte kořen vaší instalace WordPress pro soubor .htaccess (všimněte si období na začátku - možná budete muset zobrazit neviditelné soubory, abyste si toto mohli prohlédnout) a ujistěte se, že má následující řádek. Pokud ne, přidejte jej - ale nejdříve vytvořte zálohu, protože tento soubor je velmi důležitý.

Možnosti Všechny - Indexy

Zůstaňte aktualizováni

Nedělejte stejnou chybu jako my: vždy aktualizujte WordPress, jakmile bude aktualizace k dispozici. Aktualizace někdy obsahují drobné opravy chyb, nikoli opravy zabezpečení, ale dostanou se do zvyku a nebudete mít problém. Pokud máte více než jednu instalaci WordPress a nemůžete je sledovat všechny, podívejte se ManageWp.com, prvotřídní řídicí panel pro všechny vaše blogy, který zahrnuje bezpečnostní skenování.

Nejen základní soubory WordPress, ale i pluginy: jeden z největších hacků WordPress v minulosti zahrnoval zranitelnost v běžném skriptu generátoru miniatur nazvaném timthumb.php, a stále existují témata, která používají starou verzi. Ačkoli byly pluginy rychle aktualizovány, udržování aktuálnosti témat je samozřejmě těžší - WordPress to neřekne pokud je vaše téma zranitelné, a proto budete potřebovat nějaký plugin pro bezpečnostní skenování - přejděte dolů Bezpečnostní pluginy část níže pro některé návrhy.

Nikdy nestahujte náhodná témata

Pokud nevíte, co děláte s PHP kódem, je velmi snadné zapadnout do pasti stáhnutí krásného náhodného tématu z někde jen proto, abychom zjistili, že tam je nějaký nepříjemný kód - nejčastěji zpětné odkazy, které nemůžete odstranit, ale horší může být nalezeno. Držte se prémiových a známých návrhářů motivů (jako Smashing Magazine nebo WPShower), nebo pro bezplatná témata používejte pouze adresář motivů WordPress.

Odstranit nepoužité doplňky a motivy

Čím méně spustitelného kódu máte na serveru, tím lepší - odstraníte šanci na starý a zranitelný kód odstraněním motivů a pluginů, které již nepoužíváte. Pokud je deaktivujete, jednoduše se zastaví načítání jejich funkcí pomocí WordPress, ale samotný kód může být stále spuštěn hackerem.

Odstraňte kontrolku Meta v záhlaví

Ve výchozím nastavení WordPress vysílá svou verzi do světa v kódu souboru záhlaví - snadný způsob, jak hackeři identifikují starší instalace. Přidejte do svých motivů následující řádky function.php soubor k odstranění verze WordPress, informací o Windows Live Writer a řádku, který pomáhá vzdáleným klientům najít váš soubor XML-RPC.

remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'rsd_link');

Odebrat účet „admin“

Většina útoků hrubou silou na WordPress zahrnuje opakované vyzkoušení admin účet - výchozí pro všechny instalace WordPress - a slovník běžných hesel. Pokud se přihlásíte pomocí účtu admin nebo máte účet admin uveden ve své uživatelské tabulce, jste na to zranitelní.

Dva způsoby, jak to opravit: buď použít wp-optimize plugin - skvělý plugin, který mimo jiné umožňuje zakázat následné revize a provádět optimalizaci databáze - přejmenovat účet správce. Nebo jednoduše vytvořte jiný účet s oprávněními správce, přihlaste se jako nový uživatel a poté odstraňte účet „správce“ a přiřaďte všechny příspěvky vašemu novému uživateli.

chránit web wordpress

Zabezpečená hesla

I když jste deaktivovali účet administrátora, bude možné identifikovat uživatelské jméno vašeho účtu administrátora - v tom okamžiku jste opět zranitelní útokem brutální síly. Vynucujte přísnou politiku hesla 16 nebo více náhodných znaků, které se skládají z velkých a malých písmen, interpunkce a čísel.

Nebo prostě použijte opravduLongSentenceThatsEasyToRememberMethod.

Zakázat úpravy souborů v rámci WordPress

Pro ty, kteří se nechtějí přihlásit přes FTP, obsahuje WordPress snadný editor na hlavním panelu administrátora pro soubory PHP a tematických a zásuvných modulů - to však činí vaši instalaci zranitelnou, pokud někdo získá přístup. Ve skutečnosti se tak někomu podařilo vložit přesměrování malwaru do naší hlavičky. Přidejte následující řádek na konec svého wp-config.php (v kořenové složce) zakážete všechny funkce pro úpravy souborů - a použijte je SFTP Co je SSH a jak se liší od FTP [vysvětlení technologie] Přečtěte si více místo toho se přihlaste k serveru.

define ('DISALLOW_FILE_EDIT', true);

Skrýt chyby přihlášení

Nesprávné heslo nebo nesprávné uživatelské jméno mohou být identifikovány chybami při přihlášení, které by mohly být použity k identifikaci účtů pro násilné nucení. To samozřejmě není dobré, tak zabijte chyby tím, že doplníte motiv vašeho function.php soubor

function no_errors_please () {návrat 'Ne'; } add_filter ('login_errors', 'no_errors_please');

Aktivujte Cloudflare

Kromě zrychlení vašeho webu CloudFlare také zmiňuje mnoho známých botnetů a skenerů, aby se vůbec nedostali na váš blog. Číst vše o CloudFlare Chraňte a zrychlete web zdarma pomocí CloudFlareCloudFlare je zajímavý start od tvůrců Project Honey Pot, který tvrdí, že je chrání váš web od spammerů, robotů a dalších zlých webových monster - a také zrychlete svůj web poněkud... Přečtěte si více tady. Instalace je jedním kliknutím, pokud jste hostitelem MediaTemple, jinak budete potřebovat přístup k ovládacímu panelu domény, abyste mohli změnit jmenné servery.

chránit web wordpress

Bezpečnostní pluginy

  • Lepší zabezpečení WP implementuje mnoho z těchto oprav pro vás a je nejkomplexnější bezplatné řešení existuje.chránit wordpress
  • WordFence je prémiový balíček, který aktivně prohledává vaše soubory na odkazy na malware, přesměrování, známé chyby atd. - a opravuje je. Cena začíná na 18 USD / rok za 1 web.
  • Řešení zabezpečení přihlášení omezuje pokusy o přihlášení a vynucuje zabezpečená hesla.
  • Zabezpečení BulletProof je komplexní, ale složitý plugin, který se zabývá některými z více technických aspektů, jako jsou injekce XSS a .htaccess. K dispozici je také verze Pro pluginu, která automatizuje většinu procesu.

Myslím, že budete souhlasit, že se jedná o poměrně komplexní seznam kroků, jak zpřísnit WordPress, ale nenavrhuji, abyste implementovali Všechno z nich. Kdybych to všechno musel udělat na všech stránkách, které jsem kdy nastavil, pořád bych je nastavoval hned teď. Provozování jakéhokoli systému představuje riziko a je na vás, abyste našli rovnováhu mezi úroveň zabezpečení, které chcete, a úsilí, které chcete vynaložit na jeho zabezpečení - nic se nikdy nestane na 100% zajistit. Plody s nízkým zavěšením jsou:

  • Udržujte WordPress aktuální
  • Zakázání účtu správce
  • Přidání dvoufázového ověření
  • Instalace doplňku zabezpečení

Pokud to uděláte sami, měli byste se dostat nad 99% všech ostatních blogů tam, což je dost, aby se potenciální hackeři přesunuli k snadnějším cílům.

Myslíš si, že mi něco uniklo? Řekněte mi to v komentářích.

James má bakalářský titul v oboru umělé inteligence a je držitelem certifikátu CompTIA A + a Network +. Je hlavním vývojářem MakeUseOf a tráví svůj volný čas hraním VR paintballu a deskových her. Staví počítače od dětství.