18 Bezpečnostní pluginy a tipy pro zabezpečení blogu

reklama

Bezpochyby je pro blog s vlastním hostitelem WordPress nejlepším blogovým redakčním systémem, který můžete získat. Nicméně, protože je populární a open source software, znamená to také, že hackeři mají plný přístup k internetu kód, který mohou kontrolovat, aby nalezli všechny výhody, které mohou použít k proniknutí do jakéhokoli WordPressu web.

Na druhou stranu, jedna z nejlepších věcí na WordPress je jeho plugin systém, který umožňuje komukoli Nainstalujte všechny pluginy nebo si vytvořte vlastní pluginy, abyste rozšířili jeho funkčnost, včetně vylepšení bezpečnostní.

Zde jsem uvedl některé pluginy zabezpečení Wordpress (a pár triků), které můžete použít k zabezpečení blogu WordPress.

Všechny níže uvedené pluginy a triky jsou určeny pro WP 2.7 a vyšší. Pokud stále používáte starší verzi WordPress, je čas upgradovat váš blog.

Ochrana vašeho přihlášení

Tento plugin používá CHAP protokol k zašifrování hesla. Heslo je nejprve nasoleno náhodným číslem (nonce) vygenerovaným relací, následovaným algoritmem transformace md5. Tento výsledek je poté odeslán na server, kde je dešifrován a ověřen. Jedná se o plugin pro nulovou konfiguraci, což znamená, že jej můžete použít okamžitě po jeho aktivaci.

2. Stealth Login

Stealth Login zatemní vaši přihlašovací stránku tím, že vám umožní definovat vlastní přihlašovací stránku, nikoli výchozí wp-login.php. V případě úniku hesla bude mít hacker také těžké najít správnou přihlašovací adresu URL. Dobrým využitím tohoto postupu je zabránit všem škodlivým robotům v přístupu k vašemu souboru wp-login.php a pokusu o vloupání.

Uzamčení přihlášení je užitečné při prevenci útoku brutální síly. LockDown přihlášení znamená zaznamenat IP adresu a časové razítko každého neúspěšného pokusu o přihlášení. Pokud je ve stejném rozsahu IP detekováno během krátké doby více než určitý počet pokusů, zablokuje se přihlašovací funkce a znemožní se přihlásit se všem lidem z tohoto rozsahu IP.

Tento plugin přidává další autentizaci HTTP a poskytuje druhou vrstvu obrany pro váš blog. Ochranu heslem pro svůj blog můžete nastavit pomocí základního ověření HTTP, nebo můžete použít bezpečnější ověřování HTTP Digest.

Tento plugin může / nemusí fungovat v závislosti na schopnosti vašeho serveru. Pokud váš web neprošel konfiguračními testy AskApache (detekují se testy spuštěné pluginem) možnosti serveru), obraťte se na svého hostitele a zjistěte, zda na serveru mohou provádět změny boční.

Tento plugin poskytuje „semisecure“ přihlašovací prostředí šifrováním vašeho hesla pomocí Kryptografie RSA

Ochrana vaší databáze

Možná pro některé z vás, zálohování databáze může znamenat nepříjemné technické práce. S WP-DB-Backup stačí nakonfigurovat jednou a nechat ji běžet automaticky v pravidelných intervalech.

To, co tento plugin dělá, je automatizovat zálohování databáze a nechat jej odeslat do vaší e-mailové schránky. Kromě výchozí tabulky vytvořené programem WordPress můžete také zálohovat vlastní tabulky vytvořené zásuvnými moduly. V případě selhání vašeho účtu můžete databázi snadno importovat a obnovit pomocí zálohy.

Wp-DBManager je jako phpmyadmin ve vašem dashboardu. Databázi můžete snadno spravovat přímo na hlavním panelu. Existují užitečné funkce, jako je optimalizace / oprava / zálohování / obnovení databáze a pokud jste dostatečně technický, můžete dokonce spustit vlastní dotaz SQL ze stránky možností.

Na druhé straně, pokud se některým hackerům podaří přihlásit k vašemu webu, tento plugin bude bránou, která jim v databázi vytvoří chaos.

8. Změnit předponu tabulky databáze

Výchozí předpona, kterou používá WordPress, je „wp“. Můžete snadno změnit předponu na jiné výrazy, které je obtížné uhodnout pomocí WP-Security-Scan. Více podrobností o tomto pluginu níže.

9. Chraňte svůj soubor wp-config.php

Soubor wp-config.php obsahuje všechna přihlašovací údaje k databázi a měl by být za všech okolností skrytý před veřejným zobrazením. Do souboru htaccess vložte tento řádek:

objednávka dovolit, popřít. popírat ze všeho. 

zabránit komukoli v prohlížení souboru wp-config.php.

Ochrana vaší stránky správce

Tento plugin vynutí SSL na všech stránkách, kde lze zadat hesla, takže všechny přenášené informace budou šifrovány.

Jedna věc však musíte vlastnit SSL certifikát, než to budete moci udělat. Pokud nejste ochotni vydělat peníze navíc na zakoupení soukromého certifikátu SSL, můžete požádat svého webového hostitele o sdílený SSL. Většina webových hostitelů poskytuje sdílený SSL pro všechny své klienty a lze jej snadno nakonfigurovat.

11. Změnit přihlašovací uživatelské jméno

Jako přihlašovací uživatelské jméno je jako „přihlašovací jméno“ použita poslední položka, kterou chcete udělat. Při první instalaci WordPress byste měli okamžitě vytvořit další administrátorský účet s vlastním uživatelským jménem a heslem a odstranit „admin“ účet.

Zabraňte ostatním v prohlížení vaší vnitřní struktury souborů

12. Skrytí verze WP

Ve většině témat WordPress pod

V této části je vždy řádek kódu zobrazující verzi WordPress, kterou používáte. Poskytnutí čísla verze WordPress znamená, že hackerovi sdělíte, co zneužít k proniknutí na váš web.

Od verze WP2.6.5 bylo WordPress ještě obtížnější odebrat verzi wp, protože tyto informace vkládá do wp_header štítek. Doplněk, který můžete použít k odstranění těchto informací, je WP-Security-Scan.

13. Skrytí obsahu WP

Složka s obsahem WP je místem, kde jste uložili všechny své pluginy a soubory motivů. To je místo, kam chcete zabránit tomu, aby se ostatní lidé dívali. Můžete buď nahrát prázdné index.html soubor do složky wp-content nebo vytvořte soubor .htaccess ve složce wp-content a přidejte tento řádek:

Možnosti Všechny - Indexy
14. Blokovat složku wp z indexování pomocí vyhledávačů
I když chcete, aby vyhledávače indexovaly váš blog a přinášely hodně provozu, poslední věcí, kterou chcete vidět, je nechat vyhledávače vystavit vaši interní strukturu souborů veřejnosti. Můžete zablokovat indexování všech složek wp pomocí vyhledávače přidáním následujících položek do souboru rob.txt:
Disallow: / wp- * 
Údržba
Tento plugin jsem již několikrát zmínil, takže je čas vysvětlit, co dělá. WP-Security-Scan zkontroluje vaše WordPress z hlediska bezpečnostních chyb a navrhuje / poskytuje nápravná opatření. Nápravná opatření zahrnují změnu předpony databáze, skrytí čísla verze WordPress před hlavičkou a umožňují vyzkoušet sílu vašeho hesla.
Jednou za čas je vhodné spustit vestavěný bezpečnostní skener a zkontrolovat na svém blogu, zda neobsahuje bezpečnostní chyby.
16. Pravidelně měňte heslo
Nejen, že byste měli pravidelně měnit své heslo, musíte se také ujistit, že je silné. Pokud máte s vytvořením nějaké potíže, najděte si, jak můžete vytvářet silná hesla, která si snadno zapamatujete Jak vytvořit silná hesla, která si snadno zapamatujete Přečtěte si více .
17. Aktualizujte WordPress a všechny pluginy na nejnovější verzi
Netřeba dodávat, že upgrade na nejnovější verzi WordPress a pluginů je nejlepší způsob, jak se chránit.
Ochrana připojení
18. SFTP
Přenos souborů na váš online účet je běžnou věcí. Namísto použití nezabezpečeného FTP byste však měli použít SFTP (Zabezpečený FTP). Tím vytvoříte připojení SSH a všechny vaše soubory zašifrované na server. Pokud potřebujete pomoc s vytvořením připojení SFTP, zde je průvodce.
Výše uvedené informace by měly stačit k vytvoření bezpečného blogu WordPress. Pokud jste nic z toho neimplementovali, vyzval bych vás, abyste to nyní udělali.
Jaké další metody používáte k zabezpečení blogu WordPress?