10 passaggi per la protezione di sicurezza di WordPress

S criptati siti / blog che utilizzano Wordpress sono sempre più comuni. E in quanto tali stanno diventando sempre più allettante per gli obiettivi di hacker e trashers. Potrebbe essere qualcosa di semplice come mettere una foto sul vostro sito che va "phhpttttt! Sono stato qui! "Oppure potrebbe andare fino al punto di presa in consegna del tuo sito, negando l'accesso ad esso e poi tenendo il vostro sito a scopo di estorsione. il codice dannoso può essere inserito sul vostro sito che potrebbero infettare i computer dei visitatori 'e non l'ultima delle vostre preoccupazioni, farti bandito dai motori di ricerca.

ordpress.org W fa un grande lavoro di eliminare i potenziali ingressi nel codice di WordPress con frequenti aggiornamenti. Tuttavia, è il codice open-source ed è sviluppato da centinaia se non migliaia di persone. (Soprattutto se si considera la miriade di temi e plugin disponibili) Sfortunatamente, gli hacker lavoro così come è difficile trovare il modo di utilizzare WordPress ogni modo possibile.

C osa si può fare?

Ho compilato una serie di cose che si possono fare in modo proattivo per proteggere il tuo WordpPress sicuro. Nota: ho detto "aiuto" mantenere il sito sicuro. Quando si tratta di siti web e hacker, non vi è alcuna garanzia che il vostro sito non può essere attaccato con successo. Ma si può rendere il sito sgradevole per attaccare e più sicuro.

Attenzione: Le misure di sicurezza al di sotto vanno dal rapido e semplice per coloro che chiedono di qualche "braciole" di codifica. E 'possibile attuare in modo non corretto alcuni di questi passaggi e rinchiudervi dal tuo sito con alcun modo per correggere l'errore. Si potrebbe anche danneggiare il te stesso sito. Sono in grado di assumere alcuna responsabilità per eventuali problemi che potreste avere applicazione di tali misure di sicurezza.

cappello T detto ... cominceremo con quelle di base e diventano più complicate, come andiamo via.

1. Un lways utilizzare l'ultima versione di WordPress. Come ho già detto, la sicurezza del software è una lotta continua e WordPress.org fa un grande lavoro di affrontare le minacce più recenti. Se hai dubbi di essere un "neo" di nuove versioni, aspettare qualche giorno o una settimana prima di aggiornare. Essere consapevoli che l'aggiornamento potrebbe causare problemi con i plugin o temi. Si consiglia di eseguire un backup prima di aggiornare WordPress. Vedi wordpress.org per i dettagli.




2. D on't utilizzare una semplice password facile. Lo sapevate che le password più comunemente usati sono "password" e "1234567"? Sei tu? Come riportato da PCmag.com ecco le 10 Most password comuni. Si consiglia di utilizzare una password complessa che include numeri, lettere maiuscole e minuscole e caratteri "speciali" come! "? $% ^ &) Lo so, lo so, è sarà difficile da ricordare. Scriverlo, il vostro browser ricordarlo ... E 'meglio che dare carta bianca al tuo sito! WordPress può generare una password casuale forte per te. Nella tua bacheca vai su "Utenti" e seleziona il tuo nome account (per la maggior parte delle persone probabilmente è "admin") e assicurarsi che il vostro indirizzo email sia corretto. Esci da WordPress e allora invece di eseguire nuovamente l'accesso, clicca su "Password dimenticata?" Il tuo WordPress e-mail una nuova password, generata in modo casuale forte.




3. desso che abbiamo parlato il vostro "admin" account utente ... sbarazzarsi di esso! Beh, non del tutto. Aggiungere un nuovo utente con privilegi di amministratore completi. Utilizzare un nome utente non del tutto ovvia e una password complessa. Esci di WordPress e quindi effettuare il login con il tuo nuovo nome utente e password. Ora si può andare alla "Area utenti e modificare il" admin "user account. La maggior parte delle persone lasciano il nome utente principale come "admin" ... hacker lo sanno! Modifica il tuo "admin" utente, cambiando il suo ruolo di "amministratore" a "abbonato". Salvare la modifica. Ora, se un hacker tenta di riprendere lo standard "admin", non avranno i privilegi per modificare nulla.
   Nota: se avete installato il vostro sito WordPress usando Fantastico, siete stati probabilmente già richiesto di immettere il proprio nome utente e la password durante l'installazione. Cambia la tua password per uno forte se non lo ha fatto in origine.




4. I n Dashboard seleziona Impostazioni generali. Assicurarsi che la "Abbonamento-Chiunque può registrarsi" sia selezionata delle Nazioni Unite. Assicurarsi che il "nuovo ruolo Default User" è impostato su abbonato.




5. T il suo è un buon momento di aggiungere qualche protezione login. Gli hacker spesso cercano una forza bruta metodo di accesso al vostro sito, cercando di migliaia di password, nella speranza di scoprire quella giusta. Il plugin "Login Lockdown, l'attivazione al momento, negare l'accesso login per 60 minuti a chi cerca tre password errate in 5 minuti. Se si desidera modificare queste impostazioni, è possibile modificare il Login Lockdown pagina di configurazione.




6. H prima che un altro plugin che possono aiutare a mantenere a bada i lupi. E 'il Firewall WordPress plugin. Questo plugin fa molto! Esso controlla il vostro sito WordPress per gli attacchi, protegge il vostro plugin, ed è un coltellino svizzero di protezione ... Potete leggere le sue caratteristiche alla homepage plugin .




7. desso è qui che si comincia sempre più geek. Nella directory principale della vostra installazione di WordPress è un file chiamato. Htaccess. E 'in grado di controllare un sacco di cose sul tuo sito. Più di quanto io possa andare in in questo post. Ad ogni modo, è possibile aggiungere questa riga seguente nel file. Htaccess utilizzando un editor di testo.

    # Evitare directory browsing  
    Options All-Indexes 

   Ottenga un profitto browser può vedere in cartelle e riferire in merito e anche accedere ai file all'interno. Per evitare che questo casuale la visualizzazione web designer mettere un file vuoto index.html in ogni cartella. WordPress ha molte, molte cartelle - troppi per rendere questa pratica. Fare questa aggiunta al file. Htaccess nega cartella non mancherà di tenere i browser (e persone) di cartelle in cui non hanno bisogno di accesso.

   
   

8. I n WordPress radice c'è un file chiamato wp-config.php, è piuttosto un file importante e non vuoi che qualcuno "guadagno accidentalmente accesso" ad essa in quanto contiene il nome utente e password per la connessione a database MySQL. Siamo in grado di negare l'accesso ad esso con l'aggiunta di poche righe più per lo stesso file. Htaccess che abbiamo menzionato nel # 7.

   # protect wpconfig.php <files wp-config.php> Order deny,allow deny from all </files> 




9. T il suo prossimo suggerimento che ho trovato è di Jeff Starr alla stampa deperibili sito web. numerosi recenti attacchi su WordPress hanno utilizzato richiesta lunghe stringhe molto ... molto più lungo di quelli legittimi sarebbe. Il codice qui sotto può essere copiato per fare un file php che può essere inserito nella cartella plugin WP. Ulteriori spiegazioni si possono trovare al suo post sul blog " Protect Against WordPress Malicious richieste di URL "

    <? Php / Plugin Nome *: * Query Block Bad /
   
    if (strlen ($ _SERVER ['REQUEST_URI'])> 255 | | 
         strpos ($ _SERVER ['REQUEST_URI'] "eval (") | | 
   	 strpos ($ _SERVER ['REQUEST_URI'], "base64")) (
              @ header ("HTTP/1.1 414 Request-URI Too Long");
              @ header ("Status: 414 Request-URI Too Long");
              @ header ("Connection: Close");
              @ uscita;
    )?> 




10. ordPress.org W suggerisce di sostituire le "chiavi segrete" nel vostro file wp-config.php con il vostro segreto i propri. Se si va al Secret Key Generator WordPress uno a caso insieme verrà generato simili a queste qui sotto (non utilizzare questi .. non sarebbe molto segreto!)
    

      define ('AUTH_KEY', 'N! 3MZ9 +> l-5) = K & _j7mM + +) (E ZK5UFvZQ =* Vzp0Eae + i ^ ossi]!) B @ vFj? x; & y = c');
     define ('SECURE_AUTH_KEY', 'Oex> dl; Turc $ w + EHD (2]% k k (3uhH | L | 8DNQu [/ Np8_ & qz_ rp7v + z6YODdjz9% s ~');
     define ('LOGGED_IN_KEY', 'oOO1smvP? <4fSU0Sv, 5yeT `z # ns5_I? tEEL9Y | [CW! YO @ @ fkjw 

    copia UST J e quindi incollare le chiavi segrete su quelle nel file wp-config.php. Non preoccupatevi di dover ricordare, essi sono utilizzati da WordPress per crittografare le informazioni.