8 Essential WordPress Security Secrets

Viimeisten 15 vuoden aikana WordPress on tullut maailman suosituin sisällönhallintajärjestelmä. Helppo aloittaa ja erittäin monipuolinen, se on yksi Parhaat Blogging-alustat noin - ihanteellinen koti Suunnittelu portfolio tai jotain kunnianhimoisempaa.

On valtava valikoima WordPress-teemat Voit valita, kun jos olet pelottava hieman koodista, löydät kuormia WordPress-opetusohjelmat Se auttaa sinua saamaan tarkempia monimutkaisempia ominaisuuksia. Muita vaihtoehtoja, kokeile oppaita parhaaksi Verkkosivuston rakentaja ja sivujen ylläpito Palvelu.

• Paras virustorjuntaohjelmisto

Iso haittapuoli WordPressin suosio on kuitenkin se, että se on ensisijainen tavoite hakkereille. Jos haluat välttää Shiny uuden sivuston menettämisen, noudata näitä vinkkejä turvallisena.

01. Lisää lisävarmuus käyttäjätileille

Suuri haavoittuvuus tulee käyttäjän tileistä, jotka tarkoituksellisesti antavat pääsyn sivustoosi, erityisesti järjestelmänvalvojalle ja toimittaja-rooleille. Jos hakkeri voi käyttää jompikumpi näistä tileistä, minkä tahansa käyttäjän sivustolla ei pelkästään tärkein admin on yksi, niin he voivat tehdä muutoksia Will-sivustolla.

Varmista aina, että tilit ovat vain tarvitsemme. Esimerkiksi, jos käyttäjä aikoo vain kirjoittaa artikkeleita, harkitse heille vain avustajaa tai toimittajan pääsyä, ei koskaan hallinnon. Pidä mielessä käyttäjien kykyä ja varmistaa, että joku Admin tai toimittajan käyttöoikeus on täysin koulutettu käyttämään kaikkia tilin ominaisuuksia onnettomuuksien välttämiseksi.

Voit lisätä ominaisuuksia, jotta väliaikainen pääsy tiettyyn roolitasoon eli jos sinulla on toimittaja työskentelee sivustolla ja tarvitset tilapäistä admin-käyttöoikeutta, voit antaa heille asetetun ajan vanhentua niin, että et tarvitse Muista peruuttaa pääsy myöhemmin linjalle.

Jos tietty roolitaso ei tarvitse kaikkia oletusoikeuksia, voit asentaa roolit ja käyttöoikeudet plugin poistaa tiettyjä käyttöoikeuksia, joita ei koskaan käytetä. Voit myös luoda muita rooleja, joissa on vain erityinen pääsy. Rajoita käyttäjiä vain niille oikeudellisille käyttöoikeuksille, jotta vältetään ominaisuuden vahingossa tapahtuva tai tarkoituksellinen väärinkäyttö.

Jotta käyttäjätunnukset tulevat hyökkäykset, aseta raja-arvojen määrä, jonka tili voi tehdä epäonnistuneen kirjautumisyrityksen ennen kuin käyttäjätunnus on lukittu jonkin aikaa. Tämä tarttuu enimmäkseen saaliita, jotka ovat arvailevat salasanoja, mutta muista varoittaa käyttäjäsi, että heidän ei pitäisi yrittää kirjautua sisään enemmän kuin peräkkäin asetetut kertoja. Jos he eivät voi muistaa salasanansa, ja jos he unohtavat salasanansa, heidän pitäisi palauttaa sen sen sijaan, että yrität arvata!

On myös hyviä käytäntöjä muistuttaa käyttäjiä käyttämään turvallisia salasanoja (yli kahdeksan numeroa, ylä-, pieniä, numeroita jne.) Ja muuttaa niitä niin usein. Muistuta heitä koskaan kirjoittamaan salasanojaan alaspäin ja kirjautuvat ulos, kun he ovat valmiita istunnostaan, jotta vältetään luvaton pääsy heidän tileihinsä.

Kahden tekijän todennus on ylimääräinen turvallisuus, joka voidaan lisätä kirjautumiseen. He vaativat käyttäjiä käyttämään autenttisia käyttäjiä kirjautumalla vain standardista tarvittavien valtakirjojen määrän lisäämiseksi. Käyttäjät tarvitsevat ylimääräisen koodin tai PIN-koodin kirjautumaan sisään, yleensä satunnaisesti luodaan sovelluksen tai lähetetään puhelimeen tekstillä. Se voi tuntea ylimääräisen esteen käyttäjälle käyttäjälle, mutta se on myös ylimääräinen este hakkereille.

02. Muuta vanhoja oletusarvoja

Uusi WordPress-asennus Tee valitset Admin-tilisi mukautetun käyttäjätunnuksen, mutta jos asennat sivustosi jonkin aikaa sitten, admin-tilillä voi olla "Admin" oletusnimi - tämä helpottaa hakkereiden arvata kirjautumistunnuksia puoliksi Työ on jo tehty heille. Vaihda oletusjärjestelmän käyttäjätunnus jotain muuta turvallisuuden parantamiseksi. Voit tehdä tämän manuaalisesti WP_USERS-taulukon tietokannan kautta tai voit luoda uuden admin-profiilin ja poistaa vanhan Admin-paneelin kautta (muista määrittää kaikki vanhat tilin viestit uudelle).

Voit myös muuttaa oletustietokannan etuliitteen jotain muuta kuin WP_ lisätäksesi lisäkerroksen oletusasetuksiin. Helpoin tapa tehdä tämä olemassa olevaan asennukseen on laajennuksen kautta, mutta varmuuskopioi tietokannat ensin.

03. Pidä WordPress päivitetty

WordPress päivittää aina sisäänrakennettua turvallisuuttaan, joten varmista, että versio on eniten ajan tasalla pysyäkseen vanhat haavoittuvuudet ja hyödyntävät. Useimmat WordPress Installations päivittävät automaattisesti, mutta jos sinun ei, pidä silmällä hallintapaneeliasi tai postilaatikkoa ilmoitettava siitä, milloin uudet päivitykset ovat valmiita asentamaan. Hakkerit ovat etsimässä sivustoja, joita ei ole päivitetty, ja vain 22% WordPress-sivustoista on käynnissä uusin versio. Koska WordPress juoksee Lähes 30% kaikista verkkosivustoista verkossa , se on paljon vanhentuneita verkkosivustoja!

Jos käytät Stage-sivustoa, voit testata kaikki päivitykset yhteensopivuuden nykyisen teeman ja laajennuksen kanssa ennen työntämistä. Tämä on hyviä käytäntöjä välttämään automaattisia päivityksiä, jotka vahingossa ristiriidassa olemassa olevien laitosten kanssa. Se antaa sinulle mahdollisuuden saada ongelmia ennen tuotantoon. Älä unohda päivittää laajennuksia ja teemoja. Se ei ole vain vanha ydin Wordpressin haavoittuvuudet, jotka voivat antaa hakkereille tietä; Kaikki, mitä asennat WordPress-verkkosivustoosi, on myös turvallinen. Seuraava kärki kertoo enemmän luotettavia laajennuksia.

04. Asenna luotetut laajennukset ja talon puhdas säännöllisesti

Siellä on kiusaus asentaa niin monta laajennusta kuin sinulla on ongelmia ratkaista, mutta liian monet laajennukset voivat aiheuttaa vilkkumista ja yksi epäluotettava laajennus voi aiheuttaa tietoturvariskin. Tarkista aina, että laajennukset ovat luotettavia ennen asennusta. Lataa virallisen WordPress-käyttöliittymän tai verkkosivuston kautta, ja tarkista aina tähtiluokitukset ja arvostelut negatiiviselle palauteelle, joka voi ilmoittaa turvallisuusvirheen.

Kehittäjät luovat laajennukset kaikki eri kyvyssä. Vaikka laajennukset ovat tehostaneet ennen kuin lisätään WordPress-sivustoon, sinun on aina tehtävä oma tutkimus varmistaaksesi, että asennuksesi koodi on kiinteä.

WordPressin verkkosivusto kertoo, kuinka vanha plugin on, kun sitä päivitettiin viimeksi ja mikä tärkeintä, jos se on yhteensopiva WordPressin version kanssa. Plugin, jota ei ole päivitetty jonkin aikaa, ei välttämättä ole huono, se voi vain tarkoittaa sitä ei tarvita päivitettyä tuolloin. Tarkista viimeisimmät arvostelut, joilla voit vahvistaa laajennus, on edelleen elinkelpoinen ja että se on edelleen yhteensopiva version kanssa. Vanha plugin, jossa on viimeiset edullinen tähti arvostelut ja tuntematon yhteensopivuus kannattaa välttää.

Säännöllisesti poistaa käyttämättömät teemat ja laajennukset, sillä jopa deaktivoitu laajennus voi olla turvallisuusriski, jos haavoittuvuus löytyy ja hyödynnetään. Pidä plugin-hakemisto puhdas. Sinun pitäisi vain käyttää laajennuksia, joita käytät tällä hetkellä. Tarkista vanhemmat laajennukset, kun päivität, onko ne vielä yhteensopivia.

Tarkista laajennukset säännöllisesti varmistaaksesi, että sinulla on vielä paras työpaikka. Saattaa olla uusi plugin, joka yhdistää muutamien ominaisuudet, joita sinulla on jo, ja niitä voi olla paremmin tuettu, turvallisempi ja helpompi ylläpitää.

05. Harkitse hallittua hosting

Se ei ole vain oman sivuston turvallisuus, sinun täytyy miettiä. Jos isännöit sivustoja jaetuista palvelimista, suoritat riskin riskipalvelimen kontaminaatiosta, jossa hakkerit pääsevät toisen sivuston kautta ja voivat vahingoittaa muita tilaa, jotka jakavat saman tilan. Harkitse hallittua hosting- tai virtuaalisen yksityisen palvelimen (VPS) hosting tämän uhkan poistamiseksi, jossa sivustosi isännöi erikseen.

Kustannukset ovat ilmeinen implikaatio, mutta paikoissa, joilla on suuret kuormat ja liikenne, omistettu palvelimet voivat parantaa suorituskykyä sekä turvallisuutta. Eri isännällä on erilaiset ratkaisut; Vertaa muutamia arvioitaessa, mikä parhaiten sopii tarpeisiisi.

06. Maski, lukitus ja piilota

Hakkereilla on vähemmän vipuvaikutusta, jos he eivät tiedä mistä aloittaa. Piilota WordPress-versionumero koodista, joten vain ylläpitää, mikä Wordpressin versio on käynnissä. Näin hakkerit eivät tiedä, mitkä haavoittuvuudet ovat läsnä hyödyntämään.

Siirrä kirjautumissivulta / WP-kirjautuminen jotain, joka ei ole oletusarvo. Tämä tekee valtavan kompastuskiloksen DOS: lle ja Brute Force Attack Botsille, jotka troolisalueet etsivät kirjautumislomakkeita tavoitetta. Se lisää myös esteettistä arvoa, koska voit muuttaa URL-osoitteen jotain ikimuistoisempaa käyttäjälle.

Kierrä ulkoinen pääsy WP-Config.php ja .htaccess käyttäen seuraavaa koodia .htaccess-tiedostossa:

 & lt; tiedostot wp-config.php & gt;
järjestys salli, kieltää
kieltää kaikesta
& lt; / files & gt;
& lt; tiedostot .htaccess & gt;
järjestys salli, kieltää
kieltää kaikesta
& lt; / files & gt; 

Voit myös poistaa käytöstä Admin-paneelin tiedoston muokkaamisen, jos tiedät, että teemoja käytetään vain FTP: n tiedoston lataamien kautta. Tämä estää ketään, jolla on pääsy admin-paneeliin suoraan muokkaamalla tiedostoja vahingossa tai hakkerina haitallisella tarkoituksella. Aseta seuraava wp-config.php-tiedostoon seuraavasti:

  Määritä ("Disllow_file_edit", tosi); 

07. Suorita varmuuskopiot usein

Varmista, että sivustosi on varmuuskopioitu siinä tapauksessa, että sivustosi hakataan ja sinun on rullattava takaisin aikaisempaan puhtaan versioon. Kuinka usein sinun pitäisi käyttää varmuuskopioita riippuu siitä, kuinka usein sivustosi päivitetään.

Se on kiinteä varmuuskopioida paikkaan, jossa sivustosi ei ole isännöity, jotta WordPress-hosting-palvelun haittaohjelma ei ole myöskään varmuuskopioita. Varmuuskopiot voidaan tallentaa omalle tietokoneellesi tai pilvipohjaiseen palveluun, kuten Google Drive, Dropbox tai Amazon S3 (tarkista muut pilvivarasto Asetukset täältä).

Varmuuskopiointi paikassa, joka ei ole nykyinen palvelin, auttaa myös, jos sinulla on ratkaisematon laajennus tai teema ristiriidassa eikä pääse sivustoosi tai jos on katastrofaalisen palvelimen toimintahäiriö ja menetät kaikki työsi.

Dedicated Backup Plugins on olemassa, jotta voit pitää radalla, useimmat vaihtoehdot ajoitettuihin tai manuaalisiin varmuuskopioihin. Vapaa ja Premium-versiot antavat sinulle erilaisia ​​vaihtoehtoja, backupbuddy on suosituin maksullinen palvelu, koska heillä on oma kolmannen osapuolen tallennustiedostot sekä kyky palauttaa varmuuskopiosta suoraan. Vertaa muita laajennuksia, kuten UPDRAFTPLUS- ja Backwup-näppäintä vapaaksi ja Premium-versioille, joiden ominaisuudet ovat eniten arvoisia.

08. Asenna suojaus ja roskapostin lisälaitteet

Monia turvaominaisuuksia voidaan lisätä kattavaan tietoturvaliikkeeseen, kuten IDEMES-tietoturvaan tai Sucuriin, molemmilla molemmilla on vapaita että palkkio-versioita. Security-laajennuksiin kuuluu sarja työkaluja lukitsemaan sivustossasi haavoittuvuuksia, kuten tässä artiklassa jo mainitut; Voit siirtyä versionumerosi asentamiseen kahden tekijän todentamisen kirjautumiseen, ominaisuusluettelot ovat usein laaja.

Tämäntyyppiset laajennukset voivat olla korvaamattomia WordPress-sivustosi turvallisemmiksi ja useimmat tietoturvaliittimet ovat helppokäyttöisiä yhden napsautuksen asennuksen avulla tärkeimpien ominaisuuksien ja lisävarusteena olevaan asennukseen kehittyneempiin tai monimutkaisempiin ominaisuuksiin. Tämä tekee niistä täydellisen WordPress-aloittelijoille, sillä ei ole koodausta, joka on tarpeen hyvin suojatun sivuston saamiseksi muutamassa minuutissa. Kehittyneillä käyttäjillä on pääsy ominaisuuksiin, jotka voivat edelleen turvata sivustossasi, kuten sulkeminen tarpeettoman pääsyn protokollien, kuten XML-RPC: n, ja päivittää koodauksessa käytettyjä Wordpress-suoloja.

Tällaiset laajennukset auttavat suojaamaan sivustosi Brute Force- ja Dos-hyökkäyksiltä, ​​jotka voivat ottaa sivustosi offline-tilaan, jos palvelimessa on liikaa kuormitusta. He voivat myös vahvistaa kirjautumisprosessin, jossa on lisätasoa, jotta käyttäjätilejä käytetään hyökkäysmenetelmänä. Haittaohjelmien skannaus- ja aktiviteettikirjat pitävät kirjaa kaikista epäilyttävistä käyttäytymisestä tai vioittuneista tiedostoista, varoittavat sinua mahdollisista hyökkäyksistä ja antaa sinulle käsityksen siitä, missä sivustosi haavoittuvuudet ovat, jotta voit ratkaista ne.

Jotkin tietoturvaliikkeet tulevat myös varmuuskopiointivaihtoehdoksille, että all-inclusive-palvelu. Ottaa kaikki tietoturvatarpeesi järjestämällä yhdellä plugin tarkoittaa, että ominaisuudet ovat helppoja järjestää, vähemmän ristiriitaa samankaltaisten laajennien välillä. Varmista, että teet tutkimuksesi, sillä tämä laajennus tulee olemaan se, joka seisoo sivustosi tiellä ja kuka tahansa, joka haluaa aiheuttaa sitä vahingoittaa. Sinun täytyy valita yksi, joka tekee työtä parhaiten.

Lisäksi Akismet, kuten Akismetti, roskapostittajat pitävät sivustossasi etuyhteydettömillä kommenteilla. Jos tietoturvaliitin ei ole jo tekemässä sitä, se voi auttaa tietoturva-laajennusta lisäämällä ylimääräisen turvallisuuden yhteisön vuorovaikutukseen käyttämällä validointityökaluja, kuten CAPTCHA ja muut anti-bot-laitteet, jotta vain todelliset ihmiset kommentoivat. Anti-SPAM-laajennus auttaa pitämään sivustosi puhtaana sekä tietokannasi kulissien takana. Arvokkaisten kommenttien seulonta on lisätty bonus, joka antaa sisällön enemmän painoa vain osoittamalla asianmukaista sitoutumista lukijoilta.

Jokaisella laajeneella on oma eri työkaluja, joten vertaa vaihtoehtoja, jotka sopivat tarpeisiisi. Harkitse lisäominaisuuksia lisäominaisuuksista, koska tämä on olennainen osa sivustoasi ja yleisesti ottaen maksetut laajennukset antavat sinulle kattavimman palvelun. Ihannetapauksessa haluat sviitin, joka kattaa ainakin turvallisuuden perusteet, kuten muut tässä artikkelissa nimettyjä vinkkejä.

Tämä artikkeli julkaistiin alun perin Creative Web Design Magazine Web Designerin julkaisussa 272. Osta numero 272 täällä tai Tilaa Web-suunnittelija tähän .

Aiheeseen liittyvät artikkelit:

• 37 parasta ilmaista WordPress-teemaa
• 9 Turvavihjeitä verkkosivustosi suojelemiseksi hakkereista
• Virta blogi WordPress API: n avulla