10 Steps to WordPress Security Protection

S cripted Webseiten / Blogs mit WordPress werden immer häufiger. Und als solche sind sie immer mehr verlockende Ziele für Hacker und trashers. Es könnte so etwas Einfaches wie Putting ein Bild auf Ihrer Website, "geht phhpttttt werden! Ich war hier! "Oder es könnte so weit gehen, um über die Webseite unter, Ihnen den Zugang zu verweigern und dann halten Sie Ihre Website für Lösegeld. Schädlicher Code kann auf Ihrer Website, die Besucher "Computer zu infizieren könnten, und nicht zuletzt Ihre Sorgen platziert werden, erhalten Sie verboten den Suchmaschinen.

W ordpress.org hat eine große Aufgabe der Beseitigung der potentiellen Einfahrten in die WordPress-Code mit häufigen Updates. Allerdings ist es Open-Source-Code und wird von Hunderten, wenn nicht Tausende von Leuten entwickelt. (Besonders wenn man die Vielzahl von Themen und Plugins zur Verfügung halten) Leider Arbeit Hackern genauso hart, um Wege zu WordPress nutzen, wo sie nur finden.

W as kann man tun?

Ich habe sicher erstellt eine Reihe von Dingen tun, dass können Sie proaktiv zu helfen, Ihre WordpPress. Anmerkung: Ich sagte, "help" Halten Sie Ihre Website zu sichern. Wenn es um die Websites und Hackern kommt, gibt es keine Garantie, dass Ihre Website nicht erfolgreich angegriffen werden. Doch Sie können Ihre Website ungenießbar zu attackieren und sicherer zu machen.

Warnung! Die Maßnahmen zur Gefahrenabwehr unten reichen von schnell und einfach auf diese anspruchsvolle einige "Chops" bei der Codierung. Es ist möglich, falsch zu implementieren einige dieser Schritte und verriegeln Sie aus Ihrer Website mit keinen Weg, Ihren Fehler zu korrigieren. Sie könnten sogar zur Beschädigung Ihrer Website selber. Ich kann keine Verantwortung für Probleme, die möglicherweise aus der Anwendung dieser Maßnahmen zur Gefahrenabwehr haben.

T hat gesagt ... wir diejenigen beginnen mit den grundlegenden und immer komplizierter, wie wir weiter gehen.

1. Ein mmer die neueste Version von WordPress. Wie ich bereits erwähnte, ist die Software, Sicherheit und ein ständiger Kampf WordPress.org hat eine große Aufgabe der Bewältigung der aktuellen Bedrohungen. Haben Sie Bedenken, ein "first Adopter" von neuen Versionen, warten Sie ein paar Tage oder eine Woche vor dem Update. Seien Sie sich bewusst, dass die Aktualisierung möglicherweise Probleme mit Plugins oder Themes verursachen. Sie sollten Ihre WordPress-up vor dem Update. Siehe wordpress.org für Details.




2. D on't Verwendung einer einfachen, leicht vergessen. Wussten Sie, dass die am häufigsten verwendeten Passwörter "password" und "1234567" sind? Sind Sie das? Wie hier berichtet, von PCmag.com sind die 10 häufigsten Passwörter. Sie möchte ein starkes Kennwort verwenden Zeichen, enthält Zahlen, Groß-und Kleinbuchstaben und "Spezial"! "? $% ^ &) Ich weiß, ich weiß, es wird schwer sein sich zu erinnern. Schreiben Sie es auf, Ihren Browser merken es ... Es ist besser, als den Freibrief für Ihre Website! WordPress kann eine zufällige starkes Passwort für Sie. In Ihrem Dashboard auf "Benutzer" und wählen Sie Ihren Account-Namen (für die meisten Menschen ist es wahrscheinlich "admin") und stellen Sie sicher, dass Ihre E-Mail-Adresse richtig ist zu gehen. Melden Sie sich von WordPress und dann statt sich erneut anzumelden, klicken Sie auf "Passwort vergessen?" Deine WordPress wird eine neue, starke zufällig generiertes Passwort per E-Mail.




3. N un, dass wir gesprochen haben ... Rechnung über Ihre Benutzer "admin" Weg damit! Na ja, nicht ganz. Fügen Sie einen neuen Benutzer mit vollen Administratorrechten an. Verwenden Sie eine nicht ganz offensichtliche Benutzernamen und ein sicheres Kennwort. Melden Sie sich von WordPress und dann loggen Sie sich mit Ihrem neuen Benutzernamen und ein Passwort. Jetzt können Sie die "Benutzer"-Bereich und Bearbeiten der Benutzer "admin"-Konto. Die meisten Menschen verlassen die Benutzernamen wie "admin" ... Angreifer wissen das! Bearbeiten Sie Ihre Benutzer "admin" durch Veränderung der Rolle von "Administrator" auf "Teilnehmer". Speichern Sie die Änderung. Nun, wenn ein Hacker versucht, die Übernahme der Standard-Konto "admin", werden sie keine Privilegien haben, etwas zu ändern.
   Hinweis: Wenn Sie Ihre Website installiert WordPress mit Fantastico, waren Sie wahrscheinlich bereits aufgefordert, Setup geben Sie Ihre eigenen Benutzernamen und Passwort bei. Ändern Sie Ihr Kennwort ein starkes eine, wenn Sie dies nicht getan ursprünglich.




4. I n der General Dashboard navigieren Sie zu Einstellungen-. Stellen Sie sicher, dass die "Membership-Jeder kann sich registrieren" aktiviert ist un überprüft. Seien Sie sicher, dass die "New User Default Role" ist es, Teilnehmer gesetzt.




5. D ies ist ein guter Zeitpunkt, um den Schutz fügen Sie einige anmelden. Hacker werden versuchen oft, eine Brute-Force mittels Zugriff auf Ihre Website, indem Sie versuchen Tausende von Passwörtern in der Hoffnung auf die Entdeckung der richtige ist. Der "Login Lockdown" Plugin, bei Aktivierung, deny Login-Zugang für 60 Minuten für jeden, der 3 falschen Passwörtern versucht, in 5 Minuten. Wenn Sie wollen, dass diese Einstellungen anzupassen, können Sie das ändern, sie auf Login Lockdown Konfigurationsseite.




6. H ier ist ein weiteres Plugin, dass Bay kann helfen, die Wölfe auf. Es ist die Firewall WordPress -Plugin. Dieses Plugin ist eine Menge! Es überwacht Ihre Website WordPress für Angriffe, schützt Ihre Plugins, und ist ein Schweizer Taschenmesser des Schutzes ... Sie können das Lesen Sie mehr über seine Funktionen im Plugin-Homepage .




7. N un das ist, wo wir anfangen, geeky mehr. In der Wurzel Ihrer WordPress-Installation wird eine Datei namens. Htaccess. Es kann eine Menge Dinge auf Ihrer Website zu kontrollieren. Mehr als ich kann in die in diesem Beitrag gehen. Jedenfalls kann man dies folgende Zeile in die. Htaccess-Datei mit einem Texteditor hinzuzufügen.

    # Verhindert das Durchsuchen von Verzeichnissen  
    Options All-Indexes 

   N ormally Browser kann sehen, in Ordnern und berichten und sogar Zugriff auf die Dateien im. Um dies zu verhindern zufällige angesehen Website Designern eine leere index.html Datei in den einzelnen Ordner. WordPress hat viele, viele Ordner - zu viele, um dieses praktische zu machen. Wenn man diese zusätzlich zu den. Htaccess-Datei verweigert wird Ordner-Browser zu halten (und Menschen) aus der Ordner, in denen sie keine Notwendigkeit für den Zugang.

   
   

8. I n der Wurzel WordPress gibt es eine Datei namens wp-config.php, es ist eine ganz wichtige Datei und Sie nicht wollen, jemand "zufällig" Zugriff auf sie, wie sie Verbindung enthält den Benutzernamen und das Passwort für Ihren MySQL-Datenbank. Wir können Zugang zu ihm, indem ein paar Zeilen mehr zum gleichen leugnen. Htaccess-Datei, die wir in # 7 erwähnt.

   # protect wpconfig.php <files wp-config.php> Order deny,allow deny from all </files> 




9. T seine nächste tip ich gefunden habe ist von Jeff Starr am Perishable Press -Website. Viele jüngsten Angriffe auf WordPress legitimen benutzt haben sehr lange Strings Anfrage ... viel länger als wären. Der folgende Code kopiert, um eine PHP-Datei, die in Ihrer WP-Plugin-Ordner abgelegt werden kann, machen werden. Weitere Erklärungen können "post gefunden werden auf seinem Blog WordPress Schützen gegen bösartige URL-Anforderungen "

    <? Php / * Plugin Name: Bad Block Abfragen * /
   
    if (strlen ($ _SERVER ['REQUEST_URI'])> 255 | | 
         strpos ($ _SERVER ['REQUEST_URI'], "eval (") | | 
   	 strpos ($ _SERVER ['REQUEST_URI'], "base64")) (
              @ Header ("HTTP/1.1 414 Angeforderte URI Too Long");
              @ Header ("Status: 414 Request-URI Too Long");
              @ Header ("Connection: Close");
              @ Exit;
    )?> 




10. W ordPress.org schlägt anstelle der "Secret Keys" in Ihrem wp-config.php Datei mit Ihrem eigenen geheimen diejenigen. Wenn man auf der WordPress Secret Key Generator eine zufällig gesetzt wird unten generiert werden, um diese ähnliche (nicht mit diesen .. sie wäre nicht sehr geheim!)
    

      define ('AUTH_KEY', 'N! 3MZ9 +> l-5) = K & + +) _j7mM ZK5UFvZQ E (=* Vzp0Eae + i ^ oxy]!) B @ vFj? x; & y = c');
     define ('SECURE_AUTH_KEY', 'Oex> dl; turc $ w + eHD (2] k (k% 3uhH | L | 8DNQu [/ Np8_ & qz_ rp7v + z6YODdjz9% ~ s');
     define ('LOGGED_IN_KEY', 'oOO1smvP? <4fSU0Sv, 5yeT `z # ns5_I? tEEL9Y [| CW! YO @ @ fkjw 

    J ust kopieren und fügen Sie anschließend die geheimen Schlüssel über die, die in Ihrem wp-config.php Datei. Mach dir keine Sorgen darüber, dass sie an sie erinnern, sind sie von WordPress verwendet, um Informationen zu verschlüsseln.