Slik beskytter du WordPress fra inntrenging Din målesjekliste

Slik beskytter du WordPress fra inntrenging Din målesjekliste / Wordpress og webutvikling

Botnets rundt om i verden har gjort oppmerksomheten sin fra å sende ut spam-e-post til systematisk hacking i WordPress-installasjoner; det er en lukrativ bedrift gitt at WordPress krever 40% av alle blogger. Spesielt med tanke på at selv vi ble offer for dette, er det på tide at vi gjorde et omfattende innlegg på nøyaktig hvordan du skal beskytte din egenhostede WordPress-installasjon.

Merk: Dette rådet gjelder bare for self hosted WordPress installasjoner. Hvis du bruker WordPress.com, trenger du vanligvis ikke å bry seg om sikkerhet, fordi de håndterer alt for deg. Hva er forskjellen mellom WordPress.com og WordPress.org? Hva er forskjellen mellom å kjøre bloggen din på Wordpress.com og Wordpress.org? Hva er forskjellen mellom å kjøre bloggen din på Wordpress.com og Wordpress.org? Med Wordpress nå driver 1 på hver 6 nettsteder, må de gjøre noe riktig. For både erfarne utviklere og komplett nybegynner har Wordpress noe å tilby deg. Men akkurat som du begynner på ... Les mer

Installer Google to-trinns autentiseringsenhet

Hvis du allerede har to-trinns autentisering aktivert for Gmail-kontoen eller andre tjenester, kan du bruke samme autentiseringsprogram med dette pluginet for WordPress.

Heldigvis kan du begrense to-trinns autentisering for kun å bli brukt på øvre nivåkontoer, slik at du ikke trenger å irritere alle brukerne.

Logg inn Lockdown

En gammel plugin, men jobber fortsatt som beregnet; Innlogging Lockdown kontrollerer IP for påloggingsforsøk og blokkerer et IP-område i en time hvis den mislykkes 3 ganger innen 5 minutter. Enkel, effektiv.

Ta regelmessige sikkerhetskopier

Hackere vil ikke bare endre en fil, men vil sette sitt eget kontrollpanel skjult et sted og andre skjulte bakdører - slik at selv om du reparerer den opprinnelige hacken, kommer de rett tilbake og gjør alt igjen. Ta daglige eller ukentlige sikkerhetskopier, slik at du enkelt kan gjenopprette tilbake til et punkt der det ikke var spor av hackeren - og vær sikker på å lappe hva de gjorde for å komme inn. Personlig investerte jeg bare i et $ 150 Backup Buddy-utviklerlicens - Det er den enkleste og mest omfattende backup-løsningen jeg har funnet ennå.

Forhindre indeksering av mapper

Kontroller roten til WordPress-installasjonen for .htaccess-filen (merk perioden i begynnelsen - det kan hende du må vise usynlige filer for å se dette), og sørg for at den har den følgende linjen. Hvis ikke, legg til det - men lag en sikkerhetskopi først da denne filen er ganske viktig.

Alternativer All -Indexes

Bo oppdatert

Ikke gjør den samme feilen som vi gjorde: oppgrader alltid WordPress så snart en oppdatering er tilgjengelig. Noen ganger inneholder oppdateringene mindre feilrettinger og ikke sikkerhetsoppdateringer, men blir vane og du har ikke noe problem. Hvis du har mer enn én WordPress-installasjon og ikke kan holde styr på dem alle, sjekk ut ManageWp.com, et premium dashbord for alle bloggene dine som inkluderer sikkerhetsskanning.

Ikke bare kjerne WordPress-filer, men også plugins: En av de største WordPress-hackene fra fortiden involverte et sårbarhet i en vanlig miniatyrbildet generator skript kalt timthumb.php, og det er fortsatt temaer der ute som bruker den gamle versjonen. Selv om programtilleggene ble oppdatert raskt, er det vanskeligere å holde temaer oppdatert, selvfølgelig - WordPress vil ikke fortelle deg om temaet ditt er sårbart, og for det vil du få en slags sikkerhetsskanningstillegg - bla ned til Sikkerhetsplugins avsnitt nedenfor for noen forslag.

Last ned ikke tilfeldige temaer

Med mindre du vet hva du gjør med PHP-kode, er det veldig enkelt å falle ned i fellen for å laste ned et herlig tilfeldig tema fra et sted, bare for å finne at det har noen stygg kode der inne - oftest tilbakekoblinger som du ikke kan fjerne, men verre kan bli funnet. Hold deg til premium og kjente tema designere (for eksempel Smashing Magazine eller WPShower), eller for gratis temaer, bruk bare WordPress temakatalog.

Slett ubrukt plugin og temaer

Den mindre kjørbare koden du har på serveren din, desto bedre - fjern sjansen for å ha gammel, sårbar kode ved å slette temaer og plugins du ikke bruker lenger. Deaktivering av dem vil rett og slett stoppe funksjonaliteten deres lasting med WordPress, men selve koden kan fortsatt kjøres av en hacker.

Fjern Tell-tale Meta i overskriften

Som standard sender WordPress sin versjon til verden i koden til headerfilen din - en enkel måte for hackere å identifisere eldre installasjoner. Legg til følgende linjer i temaet ditt functions.php fil for å fjerne WordPress-versjonen, Windows Live Writer-info og en linje som hjelper eksterne klienter til å finne XML-RPC-filen.

remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'rsd_link');

Fjern “admin” Konto

De fleste brute-force angrep på WordPress innebærer gjentatte ganger å prøve admin konto - standard for alle WordPress-installasjoner - og en ordbok med vanlige passord. Hvis du enten logger inn med admin eller har adminkontoen som er oppført i brukertabellen, er du sårbar for dette.

To måter å fikse det på: Bruk wp-optimaliser plugin - et flott plugin som blant annet lar deg deaktivere postrevisjoner og utføre databaseoptimalisering - for å gi nytt navn til adminkonto. Eller bare opprett en annen konto med administratorrettigheter, logg inn som den nye brukeren, og slett deretter “admin” konto tilordne alle innleggene til den nye brukeren din.

Sikker passord

Selv om du har deaktivert administrasjonskontoen, kan det være mulig å identifisere brukernavnet til administratorkontoen din - på hvilket tidspunkt er du sårbar for et brutalt kraftangrep igjen. Oppnå en sterk passordpolicy på 16 eller flere tilfeldige tegn bestående av store og små bokstaver, tegnsetting og tall.

Eller bare bruk reallyLongSentenceThatsEasyToRememberMethod.

Deaktiver filredigering innenfor WordPress

For de som ikke liker å logge inn via FTP, inneholder WordPress en enkel editor i administrasjonspanelet for tema og plugin PHP-filer - men det gjør installasjonen din sårbar hvis noen får tilgang. Faktisk er det slik at noen klarte å injisere en malware omdirigering i vår overskrift. Legg til følgende linje til bunnen av din wp-config.php (i rotmappen) for å deaktivere alle filredigeringsfunksjoner - og bruk SFTP Hva SSH er og hvordan det er forskjellig fra FTP [Teknologi forklart] Hva SSH er og hvordan det er forskjellig fra FTP [Teknologi forklart] Les mer for å logge på serveren din istedenfor.

define ('DISALLOW_FILE_EDIT', true);

Skjul innloggingsfeil

Et feil passord eller feil brukernavn kan identifiseres av feilene som er oppgitt når du logger inn, som kan brukes til å identifisere kontoer for brute-force. Dette er ikke bra, selvfølgelig, så drep feilene med dette tillegget til temaet ditt functions.php fil

funksjon no_errors_please () return 'Nope';  add_filter ('login_errors', 'no_errors_please');

Aktiver Cloudflare

I tillegg til å øke hastigheten på nettstedet ditt, reduserer CloudFlare mange kjente botnetter og skannere fra å komme til bloggen din i første omgang. Les alt om CloudFlare Protect og fremskynde nettstedet ditt gratis med CloudFlare Beskytt og øk hastigheten på nettstedet ditt gratis med CloudFlare CloudFlare er en spennende oppstart fra skaperne av Project Honey Pot som hevder å beskytte nettstedet ditt mot spammere, roboter og andre onde webmonstre - samt øke hastigheten på nettstedet ditt litt ... Les mer her. Installasjon er ett klikk hvis du er vert på MediaTemple, ellers trenger du tilgang til domenekontrollpanelet for å endre navneservere.

Sikkerhetsplugins

  • Bedre WP Security implementerer mange av disse løsningene for deg og er den mest omfattende gratis løsningen der.
  • WordFence er en premium pakke som aktivt skanner filene dine for skadelig programvare, omdirigeringer, kjente sårbarheter etc - og reparerer dem. Prisen starter på $ 18 / år for 1 nettsted.
  • Innloggings sikkerhetsløsning både begrenser innloggingsforsøk og håndhever sikre passord.
  • BulletProof-sikkerhet er et omfattende, men komplekst plugin som omhandler noen av de mer tekniske aspektene som XSS-injeksjon og .htaccess-problemer. En proverdi for plugin er også tilgjengelig som automatiserer mye av prosessen.

Jeg tror du er enig i dette er en ganske omfattende liste over trinn for å herde WordPress, men jeg foreslår ikke at du implementerer alle av dem. Hvis jeg måtte gjøre alt dette til hvert nettsted jeg noensinne har satt opp, vil jeg fortsatt sette dem opp nå. Kjører noen form for system introduserer en risiko, og det er i siste instans opp til deg å finne balansen mellom sikkerhetsnivået du vil ha og innsatsen du vil sette i å sikre det - ingenting kommer til å bli 100% sikkert. Den lave hengende frukten her er:

  • Holde WordPress oppdatert
  • Deaktiverer adminkontoen
  • Legge til to-trinns autentisering
  • Installere en sikkerhetsplugin

Å gjøre de alene bør sette deg over 99% av alle de andre bloggene der ute, som er nok til å få potensielle hackere til å gå videre til enklere mål.

Tror du jeg savnet noe? Fortell meg i kommentarene.

Utforsk mer om: Internett-sikkerhet, Webutvikling, Webmaster Tools, Wordpress.