6 ting du kan gjøre for å sikre din WordPress fra hackere
Å kjøre et WordPress-basert nettsted er ofte en glede, slik at du kan fokusere på innhold og bygge relasjoner med lesere og andre nettsteder..
Men ikke alle på nettet er like vennlige som deg. Et sted der ute er en liste med bloggens navn på den, hvor den sitter og venter på å bli målrettet av hackere. Når de kommer til bloggen din, prøver de ulike taktikker for å få tilgang til det, kanskje med sikte på å selge lovlige stoffer eller infisere de besøkende datamaskiner med skadelig programvare.
Heldigvis finnes det ulike måter der du kan beskytte din WordPress-blogg fra hackere.
Oppdater regelmessig WordPress
En av de kraftigste, men ofte oversett løsningene for å holde WordPress trygt fra hackere, er å sørge for at det oppdateres jevnlig..
Tydeligvis er det en downside til dette - noen av dine beste WordPress-plugins kan slutte å fungere hvis WordPress er oppdatert - men samtidig bør det sees på som en mulighet til å oppdatere pluginene dine, finne erstatninger som de selv er sikre og pålitelige og i utgangspunktet stram opp ditt nettsted eller blogg. Stikker til plugins som finnes i WordPress-katalogen, er også en god måte å holde ting under kontroll.
Oppdatering av WordPress er mulig fra Dashboard, men ta alltid en sikkerhetskopi av databasen før du gjør det.
Hold regelmessige sikkerhetskopier
En viktig prosedyre for alle WordPress blogg eiere er å sikre at sikkerhetskopier blir gjort regelmessig og at de lett kan gjenopprettes, dersom det verre skjer.
Løsninger er rikelig, men Cloudsafe365 er en av de kraftigste, og kombinerer sky-sikkerhetskopiering (Dropbox kan brukes) med ulike sikre beskyttelsesverktøy mot teknikker som cross-site scripting, SQL-injeksjon og til og med overvåker innholdstyveri.
Cloudsafe365, tilgjengelig fra WordPress plugins-siden, kommer i tre smaker. Et gratis alternativ dekker de som er nevnt ovenfor, mens de betalte alternativene tilbyr ytterligere funksjoner som beskyttelse mot kodeinnsprøytning og brute force angrep.
Installer et kryptert innloggingsprogram
Det er best å beskytte den faktiske loggingen på din WordPress-baserte nettside ved å bruke et kryptert loggingsplugin, da nettsiden programvare ikke har denne funksjonen som standard. Sannsynligvis den beste løsningen for dette - perfekt for å beskytte dine blogginnloggingsdetaljer fra pakkesniffere på trådløse nettverk - er Chap Secure Login, som bruker SHA-256 algoritmen for å beskytte brukernavnet og passordet ditt..
I mellomtiden er Inloggingslåsdown-plugin en nyttig måte å blokkere IPer som registrerer gjentatte mislykkede forsøk på å få tilgang til nettstedet ditt.
Andre innloggingsbeskyttelsestrinn du kan ta, inkluderer å installere et sterkt CAPTCHA-plugin. RetinaPost er et spesielt imponerende plugin som krever at brukerne skriver inn uthevede tegn fra et uttrykk i stedet for å prøve og dechifrere skrudd opp tekstbilder eller utføre matteutfordringer. Eventuelle forsøk på å forstyrre bloggen din ved hjelp av kommentarsystemet kan reduseres markert ved hjelp av dette plugin.
Gjemme seg “Drevet av WordPress”
Hackere har en annen taktikk for hver av de ulike typer nettstedprogramvare som er i bruk, men du kan gjøre ting tøffere for dem ved ikke å annonsere det faktum at nettstedet ditt er “Drevet av WordPress”.
Som standard kan denne informasjonen finnes i footer.php-filen, nådd ved å skrive inn bloggens Dashboard, og velge Utseende> Redaktør å redigere i nettleservinduet. Ulike temaer vil kreve forskjellige metoder for å fjerne denne teksten, så du bør sjekke på nettet for å finne den beste tilnærmingen (hvis vanlig tekst brukes til å vise legenden, så slett dette. Hvis PHP-kode brukes, må du tread nøye med mindre du vet hva du re gjør).
Endre admin brukernavn
En måte som hackere kan finne en vei inn på nettstedet ditt, er å bruke brute force-programvare som vil forsøke flere pålogginger ved hjelp av vanlige ord og setninger som passord, kombinert med et utvalg av åpenbare brukernavn.
Administrator brukernavnet i WordPress kan velges når programvaren er installert, men i rush for å få ting gjort, lar mange brukere det ved standardvalg av “admin”. Som åpenbare brukernavn går, kommer dette øverst på listen, derfor er det viktig å endre det.
Det finnes to måter å endre administrasjonsnavnet på. Først kan du opprette en annen administratorkonto med et brukernavn som ikke er opplagt, og deretter slette den opprinnelige brukeren. Vær imidlertid oppmerksom på at dette kan påvirke artikler som er skrevet under administratorkontoen (de vil kanskje være upublisert til et nytt navn er angitt, eller det vises en feil på innleggssiden).
Sannsynligvis den mest effektive måten å gjøre dette på er å få tilgang til nettstedets phpMyAdmin, velg WordPress-databasen, finn wp_users-tabellen (“wp_”er et standard prefiks som kan ha blitt endret ved installasjon) og bruk Søk ikon for å finne “admin” brukernavn.
Når du har oppdaget, finn user_login-kolonnen, klikk på redigere knappen på riktig rad og deretter endre “admin” til ditt foretrukne administratorkonto påloggingsnavn, klikk Gå når du er ferdig.
Flytt wp-config-filen
Et tydelig problem med WordPress er at de viktigste sikkerhetsdetaljene lagres i en enkelt, ukryptert fil som kan hackes og pleide å ta kontroll over bloggen din. Wp-config.php-filen inneholder administrasjonsinnloggingsopplysningene samt brukernavnet og passordet for MySQL-databasen.
Derfor er sikring av denne filen viktigst hvis du ønsker å beskytte nettstedet fra hackere.
En ting du ikke bør gjøre, er imidlertid å slette wp-config - dette ville la nettstedet ditt være ubrukelig (og ganske tomt). Så hvordan beskytter du nettstedet ditt mot denne bizarre sårbarheten?
Siden utgivelsen av WordPress 2.8 har bloggeiere hatt muligheten til å flytte filen til roten webkatalogen på serveren. Dette betyr for eksempel at hvis du har installert nettstedet ditt i www.mysite.com/wordpress, WP-config.php-filen kan flyttes opp til et nivå, til mysite-katalogen.
Konklusjon
Uansett hvor teknisk eller ikke-teknisk du er, hvis du kjører en WordPress-blogg, er det ingen unnskyldning for ikke å implementere noen eller alle disse verktøyene for å beskytte nettstedet ditt mot hackere.
Tross alt, hva er poenget med å sette i alt det harde arbeidet bare for å finne ut at noen har tatt over nettstedet og koster deg nå dine vanlige besøkende ved å annonsere Viagra?
Disse trinnene kan implementeres om et par timer - kanskje en helg om morgenen hvis du er presset for tiden - så ikke ignorere, handle nå.
Utforsk mer om: Verktøy for nettredaktører, Wordpress-pluginprogrammer.