8 Essentiële WordPress Security Secrets

In de afgelopen 15 jaar is WordPress het populairste contentbeheersysteem 's werelds geworden. Makkelijk aan de slag met en extreem veelzijdig, het is een van de Beste bloggenplatforms rond - het ideale huis voor jouw Ontwerpportfolio , of iets ambitieuzer.

Er is een enorm assortiment van WordPress-thema's om uit te kiezen, terwijl je niet van een beetje code bent, vind je veel plezier WordPress-tutorials Dat zal je helpen om te grijpen met zijn complexere functies. Voor andere opties, probeer onze gidsen de beste website bouwer en web hosting onderhoud.

• De beste antivirussoftware

Een groot nadeel van de populariteit van WordPress is echter dat het een prime doelwit is voor hackers. Als u wilt voorkomen dat u de controle over uw glanzende nieuwe site verliest, volgt u deze tips om het veilig te houden.

01. Voeg extra beveiliging toe aan gebruikersaccounts

Er komt veel kwetsbaarheid afkomstig van de gebruikersaccounts die opzettelijk toegang geven tot uw site, met name beheerder en editorrollen. Als een hacker toegang krijgt tot een van deze rekeningen, van elke gebruiker op de site, niet alleen de hoofdbeheerder, kunnen ze dan wijzigingen aanbrengen op de website.

Zorg er altijd voor dat accounts alleen de toegang hebben die ze nodig hebben. Als een gebruiker bijvoorbeeld alleen artikelen schrijft, overweeg dan om ze alleen bijdrager of redacteur toegang te geven, nooit toediening. Houd er rekening mee dat het niveau van het vermogen van uw gebruikers, ervoor zorgt dat iedereen met beheerder of redactietoegang volledig is opgeleid om alle functies van het account te gebruiken om ongevallen te voorkomen.

U kunt functies toevoegen om tijdelijke toegang tot een bepaald rolleniveau toe te staan, dat wil zeggen als u een aannemer hebt die op de site werkt en ze hebben tijdelijke beheerderstoegang nodig, u kunt het met een ingestelde tijd geven om te vervallen, zodat u niet nodig hebt om te onthouden om hun toegang later de lijn in te trekken.

Als een bepaald rolniveau niet alle standaardmachtigingen nodig heeft, kunt u een rollen en toestemmingen installeren om bepaalde machtigingen uit te schakelen die nooit worden gebruikt. U kunt ook andere rollen maken met alleen specifieke toegang. Gebruikers beperken tot alleen de machtigingen die ze nodig hebben om accidentele of opzettelijke misbruik van een functie te voorkomen.

Om aanvallen te voorkomen die uit gebruikersaanmeldingen komen, plaatst u een limiet op het aantal keren dat een account een mislukte aanmeldingspoging kan maken voordat die gebruikersnaam voor een bepaalde periode wordt uitgesloten. Dit vangt meestal bots die wachtwoorden gokt, maar vergeet niet om uw gebruikers te waarschuwen dat ze niet moeten proberen in te loggen op meer dan het aantal keren dat u op een rij stelt. Als ze hun wachtwoord niet kunnen herinneren, en als ze hun wachtwoord vergeten, moeten ze het opnieuw instellen in plaats van te proberen te raden!

Het is ook een goede gewoonte om gebruikers eraan te herinneren om veilige wachtwoorden (meer dan acht cijfers, met bovenste, kleine letters, nummers enz.) Te gebruiken en om ze zo vaak te veranderen. Herinner hen eraan om nooit hun wachtwoorden naar beneden te schrijven en uit te loggen wanneer ze klaar zijn met hun sessie om ongeautoriseerde toegang tot hun rekeningen te voorkomen.

Twee-factor-authenticatie is een extra beveiligingsniveau dat aan inloggen kan worden toegevoegd. Ze vereisen dat gebruikers hun authenticators gebruiken bij het inloggen om het aantal inloggegevens te vergroten dat nodig is van alleen de norm. Gebruikers hebben een extra code of pincode nodig om in te loggen, meestal willekeurig gegenereerd door een app of verzonden naar een telefoon per tekst. Het kan een extra barrière voelen om in te loggen voor gebruikers, maar het is ook een extra barrière voor hackers.

02. Verander oude standaardinstellingen

Nieuwe WordPress Installs Make You Kies een aangepaste gebruikersnaam voor uw beheerdersaccount, maar als u uw site een tijdje geleden hebt geïnstalleerd, heeft uw admin-account mogelijk de standaardnaam 'admin' - dit maakt het gemakkelijker voor hackers om uw inloggegevens als de helft gemakkelijker te raden Het werk is al voor hen gedaan. Wijzig de standaard admin-gebruikersnaam aan iets anders om de beveiliging te verbeteren. U kunt dit handmatig uitvoeren via de database in de WP_USERS-tabel, of u kunt een nieuw beheerdersprofiel maken en de oude wissen via het Admin-paneel (zorg ervoor dat u alle oude accountpalen aan de nieuwe kunt toepassen).

U kunt ook het standaarddatabase-voorvoegsel aan iets anders dan WP_ wijzigen om een ​​verdere obicutielaag aan uw standaardinstellingen toe te voegen. De eenvoudigste manier om dit op een bestaande installatie te doen, is via een plug-in, maar maak eerst een back-up van uw databases.

03. Houd WordPress bijgewerkt

WordPress is altijd bij het bijwerken en verbeteren van de ingebouwde beveiliging, dus zorg ervoor dat uw versie de meest actuele is om de oude kwetsbaarheden en exploits voor te blijven. De meeste WordPress-installaties updaten automatisch, maar houd uw admin-paneel of inbox in de gaten of in de gaten. Hackers staan ​​op zoek naar sites die niet zijn bijgewerkt en slechts 22% van de WordPress-sites draait de nieuwste versie. Omdat WordPress rijdt Bijna 30% van alle websites op het web , dat is veel verouderde websites!

Als u een stagingsite uitvoert, kunt u alle updates voor de compatibiliteit met uw huidige thema en plug-ins testen voordat u het live duwt. Dit is een goede praktijk om eventuele automatische updates per ongeluk tegenstrijdig te voorkomen met bestaande installaties. Het geeft je een kans om problemen te vangen voordat je in productie gaat. Vergeet niet om ook uw plug-ins en thema's bij te werken. Het is niet alleen oude kern WordPress-kwetsbaarheden die hackers een manier kunnen geven; Alles wat u installeert op uw WordPress-website moet ook veilig zijn. De volgende tip vertelt u meer over het kiezen van betrouwbare plug-ins.

04. Installeer regelmatig vertrouwde plug-ins en huis schoon

Er is een verleiding om zoveel mogelijk plug-ins te installeren, aangezien je problemen hebt om op te lossen, maar te veel plug-ins kunnen bloat veroorzaken en een onbetrouwbare plug-in kan een beveiligingsrisico veroorzaken. Controleer altijd of plug-ins betrouwbaar zijn voordat u installeert. Download via de officiële WordPress-interface of -website en controleer altijd de sterrenclassificatie en recensies voor negatieve feedback die kan duiden op een beveiligingsfout.

Plug-ins worden gemaakt door ontwikkelaars met alle verschillende niveaus van bekwaamheid. Hoewel plug-ins worden vastgelegd voordat ze aan de WordPress-site worden toegevoegd, moet u altijd uw eigen onderzoek doen om ervoor te zorgen dat de code die u installeert vaste stof is.

De WordPress-website zal u vertellen hoe oud een plug-in is, wanneer het voor het laatst is bijgewerkt, en het belangrijkste, als het compatibel is met uw versie van WordPress. Een plug-in die niet in een tijdje is bijgewerkt, is niet noodzakelijk een slechte, het kan betekenen dat het in die tijd niet heeft bijgewerkt. Controleer op recente beoordelingen om te bevestigen dat de plug-in nog steeds haalbaar is, en dat het nog steeds compatibel is met uw versie. Een oude plug-in met recente beoordelingen van Low Star en een onbekende compatibiliteit is het vermijden waard.

Verwijder regelmatig ongebruikte thema's en plug-ins, omdat zelfs een gedeactiveerde plug-in een beveiligingsrisico kan zijn als een kwetsbaarheid wordt gevonden en geëxploiteerd. Houd uw plugin-directory schoon. U moet alleen plug-ins hebben geïnstalleerd die u momenteel gebruikt. Controleer oudere plug-ins wanneer u bijwerkt om te zien of ze nog compatibel zijn.

Controleer periodiek uw plug-ins om ervoor te zorgen dat u nog steeds de beste hebt voor het werk. Er kan een nieuwe plug-in zijn die de kenmerken van een paar combineert die u al hebt en kan beter worden ondersteund, veiliger en gemakkelijker te onderhouden.

05. Overweeg beheerde hosting

Het is niet alleen de beveiliging van je eigen site waar je aan moet denken. Als u uw sites op gedeelde servers host, loopt u het risico op Cross-server-contaminatie, waar hackers toegang krijgen via een andere site en in staat zijn andere sites te beschadigen die dezelfde ruimte delen. Overweeg beheerde hosting of virtuele privé-server (VPS) hosting om deze dreiging te elimineren, waarbij uw site afzonderlijk wordt gehost.

Kosten zijn een voor de hand liggende implicatie, maar voor sites met hoge belastingen en verkeer kunnen dedicated servers zowel de prestaties als beveiliging verbeteren. Verschillende hosts hebben verschillende oplossingen; Vergelijk een paar om te beoordelen, wat het beste bij u past.

06. Masker, vergrendelen en verbergen

Hackers hebben minder hefboomwerking als ze niet weten waar te beginnen. Verberg uw WordPress-versienummer uit uw code, zodat alleen beheerders weten welke versie van WordPress u loopt. Op die manier weten hackers niet welke kwetsbaarheden aanwezig zijn om te exploiteren.

Verplaats uw inlogpagina van / wp-login naar iets dat niet standaard is. Dit maakt een enorm struikelblok voor DOS en Brute Force Attack bots die trawl-sites die op zoek zijn naar inlogformulieren om te richten. Het voegt ook een meer esthetische waarde toe, in dat u de URL kunt wijzigen op iets memorabeler voor uw gebruikers.

Deny externe toegang tot WP-CONFIG.PHP en .htaccess met behulp van de volgende code in uw .htaccess-bestand:

 & lt; bestanden wp-config.php & gt;
order toestaan, ontkennen
ontkennen van alles
& LT; / Bestanden & GT;
& lt; bestanden .htaccess & gt;
order toestaan, ontkennen
ontkennen van alles
& LT; / Bestanden & GT; 

U kunt ook het bewerken van bestanden uitschakelen in het beheerpaneel als u weet dat uw thema's alleen via bestandsuploads op een FTP worden bewerkt. Dit voorkomt dat iedereen toegang heeft tot het admin-paneel van het direct bewerken van bestanden of als een hacker met kwaadwillende intentie. Plaats het volgende in het bestand WP-config.php:

  Definieer ('Disallow_File_Edit', TRUE); 

07. Voer regelmatig back-ups uit

Zorg ervoor dat uw site een back-up is in het geval dat uw site is gehackt en u moet terugrollen naar een eerdere schone versie. Hoe vaak moet u back-ups uitvoeren, hangt af van hoe vaak uw site wordt bijgewerkt.

Het is integraal om een ​​back-up te maken op een plaats waar uw site niet wordt gehost om eventuele schadelijke activiteiten op uw WordPress-hosting te voorkomen, ook bij het infecteren van uw back-ups. Back-ups kunnen worden opgeslagen op uw eigen computer of een cloud-gebaseerde service zoals Google Drive, Dropbox of Amazon S3 (uitchecken cloud opslag opties hier).

Een back-up maken op een locatie die niet uw huidige server is, helpt ook als u een onbereidende plug-in of thema-conflict heeft en geen toegang hebt tot uw site, of als er een catastrofale server storingen is en u al uw werk verliest.

Dedicated back-up-plug-ins bestaan ​​om u te helpen bij het volgen, de meeste met opties voor geplande of handmatige back-ups. Gratis en premium-versies geven u verschillende opties, Backupbuddy is de meest populaire betaalde service omdat ze hun eigen opslag van derden voor uw bestanden hebben, plus de mogelijkheid om rechtstreeks van een back-up te herstellen. Vergelijk andere plug-ins zoals updraftplus en backwpup voor hun gratis en premium-versies om te zien welke de kenmerken die u de meeste waarde heeft.

08. Installeer beveiligings- en anti-spam-plug-ins

Veel beveiligingsfuncties kunnen worden toegevoegd met een uitgebreide beveiligingsplugin, zoals Ithemes Security of Sucuri, waarvan beide beide gratis en premium-versies hebben. Beveiligingsplug-ins worden geleverd met een reeks gereedschappen om kwetsbaarheden op uw site te vergrendelen, zoals die die reeds in dit artikel zijn genoemd; Van het maskeren van uw versienummer, om twee-factorauthenticatie voor aanmeldingen te installeren, zijn de functielijsten vaak uitgebreid.

Dit soort plug-ins kunnen van onschatbaar zijn om uw WordPress-site veiliger te maken en de meeste beveiligings-plug-ins zijn eenvoudig te gebruiken met eenmalige installatie voor de belangrijkste functies en optionele installatie voor de meer geavanceerde of complexe functies. Dit maakt ze perfect voor WordPress-beginners, want er is geen codering nodig om in minuten een goed beschermde site te krijgen. Meer geavanceerde gebruikers hebben toegang tot functies die uw site verder kunnen beveiligen, zoals het sluiten van onnodige toegang tot protocollen zoals XML-RPC, en de WordPress-zouten bijwerken die worden gebruikt bij het coderen.

Dergelijke plug-ins helpen bij het beschermen van uw site tegen brute kracht en DOS-aanvallen, die uw sites offline kunnen maken als er te veel belasting op de server is. Ze kunnen ook het inlogproces stemmen met extra niveaus van beveiliging om te voorkomen dat uw gebruikersaccounts worden gebruikt als een wijze van aanval. Malware-scan- en activiteitenlogboeken houden gegevens bij van eventueel verdacht gedrag of beschadigde bestanden voor beoordeling, waarschuwt u van eventuele aanvallen in uitvoering en u een idee geeft van waar de kwetsbaarheden van uw site liggen, zodat u ze kunt oplossen.

Sommige beveiligingsplug-ins worden ook geleverd met back-upopties, voor die all-inclusive service. Het hebben van al uw beveiligingsbehoeften georganiseerd door één plug-in betekent dat de functies eenvoudig te organiseren zijn, met minder risico op conflicten tussen vergelijkbare plug-ins. Zorg ervoor dat je je onderzoek doet, want deze plugin wordt het ding dat in de weg staat van je site en iedereen die het kwaad wil veroorzaken. Je moet er een kiezen die het werk bewonderenswaardig zal doen.

Bovendien houdt een anti-spam-plug-in, zoals Akismet, spammers van verstopping van uw site met niet-gerelateerde opmerkingen. Als uw beveiligingsplugin nog niet is, kan het de beveiligingsplug-in niet helpen door een extra beveiligingslaag aan uw communautaire interactie toe te voegen met behulp van validatietools zoals CAPTCHA en andere anti-bot-apparaten om ervoor te zorgen dat alleen echte mensen reageren. Een anti-spam-plug-in helpt uw ​​site schoon, evenals uw database achter de schermen. Screening op waardevolle opmerkingen heeft de toegevoegde bonus van het geven van uw inhoud meer gewicht door alleen de juiste betrokkenheid van lezers te tonen.

Elke plug-in wordt geleverd met zijn eigen verschillende gereedschappen, dus vergelijk de opties voor iets dat bij u past. Overweeg Premium-versies van plug-ins voor extra functies omdat dit een integraal onderdeel is van uw site en in het algemeen gesproken, betaalde plug-ins u de meest uitgebreide service. Idealiter wilt u een suite die ten minste de basisprincipes van beveiliging dekt, zoals de andere tips die in dit artikel zijn genoemd.

Dit artikel is oorspronkelijk gepubliceerd in kwestie 272 van Creative Web Design Magazine Web Designer. Koop Probleem 272 hier of Abonneer u hier op Web Designer ​

Gerelateerde artikelen:

• 37 beste gratis WordPress-thema's
• 9 Beveiligingsstips om uw website te beschermen tegen hackers
• Kracht een blog met behulp van de WordPress API