10 trin til WordPress Security Protection

S cripted websites / blogs bruger WordPress bliver mere og mere almindelige. Og som sådan bliver mere og mere fristende mål for hackere og trashers. Det kan være noget så simpelt som at sætte et billede på dit websted, går "phhpttttt! Jeg var her! "Eller det kan gå så langt som til at overtage dit websted ved at nægte dig adgang til det, og derefter holde dit websted for løsepenge. Ondsindet kode kan placeres på dit websted, der kan inficere besøgendes computere og ikke mindst af dine bekymringer, får du forbudt af søgemaskiner.

W ordpress.org gør et stort stykke arbejde med at fjerne potentielle entryways i WordPress kode med hyppige opdateringer. Men det er open-source-kode og er udviklet af hundreder, hvis ikke tusinder af mennesker. (Især når man tænker de utallige temaer og plugins til rådighed) Desværre hackere arbejde lige så hårdt for at finde måder at udnytte WordPress nogen måde de kan.

W hat kan du gøre?

Jeg har samlet en række ting, du kan gøre proaktivt til at holde din WordpPress sikker. Bemærk: jeg sagde "hjælp" at holde dit websted sikker. Når det kommer til hjemmesider og hackere, er der ingen garanti for, at dit websted ikke lykkes angrebet. Men du kan gøre dit websted usmagelig for angreb og mere sikker.

Advarsel! Sikringsforanstaltningerne nedenfor spænder fra hurtig og nem at disse krævende nogle "koteletter" i kodning. Det er muligt at forkert gennemføre nogle af disse trin og låse dig ud fra dit websted med ingen måde til at rette din fejl. Du kan endda skade dit websted selv. Jeg kan ikke tage ansvar for eventuelle problemer, du måtte have i at anvende disse sikkerhedsforanstaltninger.

T hat bliver sagt ... vi starter med basale og få mere kompliceret, når vi går videre.

1. En lways bruge den nyeste version af WordPress. Som jeg nævnte, software sikkerhed er en løbende kamp og WordPress.org gør et stort stykke arbejde med at tackle de nyeste trusler. Hvis du er bekymret om det at være en "første IFRS" af nye versioner, skal du vente et par dage eller en uge før opdatering. Vær opmærksom på, at opdatering kan give problemer med dine plugins eller temaer. Du skal back-up din WordPress, før du opdaterer. Se wordpress.org for detaljer.




2. D on't bruge et simpelt, nemt password. Vidste du, at de mest almindeligt brugte passwords er "password" og "1234567"? Er det dig? Som indberettet af PCmag.com her er 10 Mest almindelige adgangskoder. Du skal bruge en stærk adgangskode, som omfatter tal, store og små bogstaver og "særlige" tegn lide! "? $% ^ &) Jeg ved, jeg ved, det vil være svært at huske. Skriv det ned, har din browser huske det ... Det er bedre end at give carte blanche til dit site! WordPress kan generere et tilfældigt stærk adgangskode til dig. I din Dashboard gå til "Brugere" og vælg navnet på din konto (for de fleste mennesker er det nok "admin") og sørg for at din email-adresse er korrekt. Log ud af WordPress og derefter i stedet for at logge ind igen, skal du klikke på "Mistet adgangskode?" Din WordPress vil email en ny, stærk tilfældigt genereret adgangskode.




3. N ow, at vi har talt om din "admin" brugerkonto ... Slip af med det! Nå, ikke helt. Tilføj en ny bruger med fuld administratorrettigheder. Brug en ikke helt indlysende brugernavn og en stærk adgangskode. Log ud af WordPress og derefter logge ind med dit nye brugernavn og password. Nu kan du gå til "Brugere" område, og redigere den "admin" brugerkonto. De fleste mennesker forlader vigtigste brugernavn som "admin" ... angribere kender denne! Rediger din "admin"-brugeren ved at ændre sin rolle fra "administrator" til "abonnent". Gem ændringen. Nu, hvis en hacker forsøger at overtage standard "admin"-konto, de vil ikke have nogen privilegier til at ændre noget.
   Bemærk! Hvis du har installeret WordPress websted ved hjælp Fantastico, du var sikkert allerede bedt om at indtaste dit eget brugernavn og password under installationen. Skift din adgangskode til en stærk en, hvis du ikke gør det oprindelig.




4. Jeg n Dashboard navigere til Indstillinger-generalsekretær. Sørg for, at "Medlemskab-Alle kan registrere" checkhæfte er un markeret. Vær sikker på, at "Ny Bruger Standard rolle" er indstillet til abonnent.




5. T han er et godt tidspunkt at tilføje nogle login beskyttelse. Hackere vil ofte forsøge en brute force gennem adgang til dit websted ved at forsøge tusindvis af passwords i håb om at opdage den rigtige. Den "Login Lockdown" plugin vil ved aktivering, nægte login adgang i 60 minutter for at alle, der forsøger 3 forkerte adgangskoder i 5 minutter. Hvis du ønsker at justere disse indstillinger, kan du ændre dem på login Lockdown konfigurationsside.




6. H ere er en anden plugin, der kan hjælpe med at holde ulvene på afstand. Det er WordPress Firewall plugin. Dette plugin gør meget! Den overvåger din WordPress hjemmeside for angreb, beskytter din plugins, og er en Swiss Army Knife beskyttelse ... Du kan læse om dets funktioner på plugin hjemmeside .




7. N ow det er her, vi begynder at få mere nørdede. I roden af din WordPress installation er en fil kaldet. Htaccess. Det kan styre en masse ting på din hjemmeside. Mere end jeg kan gå ind i dette indlæg. Anyway, kan du tilføje denne følgende linie i. Htaccess fil med en teksteditor.

    # Forhindre bibliotek browsing  
    Valg All-indekser 

   N ormally browsere kan se i mapper og aflægge rapport om og selv få adgang til filer inde. For at forhindre dette tilfældig visning website designere sætte en tom index.html fil i hver mappe. WordPress er mange, mange mapper - alt for mange til at gøre denne praktisk. At denne tilføjelse til. Htaccess fil benægter mappe vil holde browsere (og mennesker) ud af mapper, hvor de ikke har behov for adgang.

   
   

8. Jeg n WordPress root er der en fil med navnet wp-config.php, er det en ganske vigtig fil, og du ikke ønsker nogen til at "tilfældigvis" få adgang til det som den indeholder brugernavn og adgangskode til din mySQL database forbindelse. Vi kan nægte adgang til den ved at tilføje et par flere linjer til det samme. Htaccess fil, vi nævnte i # 7.

   # protect wpconfig.php <files wp-config.php> Order deny,allow deny from all </files> 




9. T hans næste tip jeg fandt er fra Jeff Starr på letfordærvelige Press hjemmeside. Mange seneste angreb på WordPress har brugt meget lang anmodning strings ... Meget længere end en legitim dem ville være. Nedenstående kode kan kopieres til at gøre en php fil, som kan placeres i din WP plugin mappe. Yderligere forklaring kan findes på hans blog-indlæg " Beskyt WordPress mod ondsindede URL Anmodninger "

    <? Php / * Plugin Navn: Block Bad Queries * /
   
    if (strlen ($ _SERVER ['REQUEST_URI'])> 255 | | 
         strpos ($ _SERVER ['REQUEST_URI'], "eval (") | | 
   	 strpos ($ _SERVER ['REQUEST_URI'], "base64")) (
              @ Header ("HTTP/1.1 414 Anmodning-URI Too Long");
              @ Header ("Status: 414 Anmodning-URI Too Long");
              @ Header ("Connection: Luk");
              @ Exit;
    )?> 




10. W ordPress.org foreslår at erstatte "Secret Keys" i din wp-config.php filen med dit eget hemmelige. Hvis du går til WordPress Secret Key Generator et tilfældigt sæt vil blive genereret ligner disse nedenfor (brug ikke disse .. de ville ikke være meget hemmeligt!)
    

      define ('AUTH_KEY', 'N! 3MZ9 +> l-5) = K & + _j7mM +) ZK5UFvZQ E (=* Vzp0Eae + i ^ OXY]!) B @ vFj? x; & y = c');
     define ('SECURE_AUTH_KEY', 'Oex> dl; tuRc $ w + EHD (2] k% k (3uhH | L | 8DNQu [/ Np8_ & qz_ rp7v + z6YODdjz9% ~ s');
     define ('LOGGED_IN_KEY', 'oOO1smvP? <4fSU0Sv, 5yeT `z # ns5_I? tEEL9Y [| CW! YO @ fkjw @ 

    J ust kopiere og derefter indsætte den hemmelige nøgler over dem i din wp-config.php fil. Må ikke bekymre dig om at skulle huske dem, bliver de brugt af WordPress til at kryptere information.