10 trinn til WordPress sikkerhetsbeskyttelse

S cripted nettsteder / blogger som bruker WordPress blir mer og mer vanlig. Og slik at de blir stadig mer fristende mål for hackere og trashers. Det kan være noe så enkelt som å sette et bilde på nettstedet som går "phhpttttt! Jeg var her! "Eller det kunne gå så langt som å ta over nettstedet ditt, å nekte deg tilgang til den og deretter holde nettstedet ditt for løsepenger. Ondsinnet kode kan plasseres på nettstedet ditt som kan infisere besøkende datamaskiner og ikke minst bekymringer, får du svartelistet av søkemotorene.

W ordpress.org gjør en god jobb med å eliminere potensielle entryways inn i WordPress-koden med hyppige oppdateringer. Men det er åpen kildekode og er utviklet av hundrevis om ikke tusenvis av mennesker. (Spesielt når du vurdere mylderet av temaer og plugins tilgjengelig) Dessverre, hackere jobber like hardt for å finne måter å utnytte WordPress noen måte de kan.

W lue kan du gjøre?

Jeg har samlet en rekke ting du kan gjøre proaktivt å bidra til å holde WordpPress sikker. Merk: Jeg sa "hjelp" holde siden din sikker. Når det gjelder nettsteder og hackere, er det ingen garanti for at nettstedet kan ikke lyktes i å angripe. Men du kan gjøre nettstedet usmakelig å angripe og sikrere.

Advarsel! Sikkerhetstiltakene under spenner fra raske og enkle til de krevende noen "koteletter" i koding. Det er mulig å gjennomføre noen feil fremgangsmåte, og stenge deg ute fra nettstedet med ingen måte å korrigere feilen. Du kan til og med skade området selv. Jeg kan ta noe ansvar for eventuelle problemer du måtte ha av å anvende disse sikkerhetstiltakene.

T hat blir sagt ... vi starter med de grunnleggende og få mer komplisert når vi går på.

1. En lways bruker den nyeste versjonen av WordPress. Som jeg nevnte, er programvare sikkerhet en pågående kamp og WordPress.org gjør en god jobb med å ta opp de nyeste truslene. Hvis du har spørsmål om å være en "første ute med" nye versjoner, vente noen dager eller en uke før oppdatering. Vær oppmerksom på at oppdatering kan føre til problemer med plugins eller temaer. Du bør ta opp en WordPress før oppdatering. Se wordpress.org for mer informasjon.




2. D on't bruke en enkel, lett passord. Visste du at de mest brukte passordene er "password" og "1234567"? Er det deg? Som rapportert av PCmag.com her er de 10 mest vanlige passord. Du bør bruke et sterkt passord som inneholder tall, store og små bokstaver og "spesielle" tegn som! "? $% ^ &) Jeg vet, jeg vet, det kommer til å være vanskelig å huske. Skriv det ned, har nettleseren huske det ... Det er bedre enn å gi carte blanche til ditt nettsted! WordPress kan generere et tilfeldig sterkt passord for deg. I oversikten går til "Brukere", og velg kontonavnet ditt (for de fleste er det nok "admin") og sørg for at e-postadressen din er korrekt. Logg ut fra WordPress og så i stedet for å logge inn på nytt, klikk på "Glemt passordet?" Din WordPress kan sende en ny, sterk tilfeldig genererte passord.




3. N ow at vi har snakket om din "admin" brukerkonto ... Bli kvitt det! Vel, ikke helt. Legg til en ny bruker med fulle administratorrettigheter. Bruk en ikke helt opplagt brukernavn og et sterkt passord. Logg deg av WordPress og deretter logge inn med ditt nye brukernavn og passord. Nå kan du gå til "Brukere" området og redigere "admin" brukerkonto. De fleste mennesker forlater de viktigste brukernavn som "admin" ... angripere vet dette! Rediger "admin" brukeren ved å endre sin rolle fra "administrator" til "abonnent". Lagre endringen. Nå hvis en hacker prøver å ta over det vanlige "admin"-kontoen, vil de ikke ha noen rettigheter til å endre noe.
   Obs! Hvis du installerte WordPress nettstedet ved hjelp av Fantastico, ble du sannsynligvis allerede bedt om å oppgi ditt eget brukernavn og passord under installasjonen. Endre passord til en sterk en hvis du ikke gjør det opprinnelig.




4. Jeg n oversikten navigere til Innstillinger-Generelt. Pass på at "Medlemskap-Alle kan registrere" sjekkheftet er un kontrollert. Vær sikker på at "New User Standard Rolle" er satt til abonnent.




5. T hans er et godt tidspunkt å legge til noen logikk beskyttelse. Hackere vil ofte prøve en brute force hjelp av tilgang til webområdet ditt ved å prøve tusenvis av passord i håp om å finne den rette. Den "Login Lockdown" plugg vil, etter aktivering, nekter pålogging tilgang i 60 minutter for alle som forsøker 3 feil passord i 5 minutter. Hvis du ønsker å justere disse innstillingene, kan du endre dem på Login Lockdown konfigurasjonssiden.




6. H's ere en annen plugg som kan bidra til å holde ulvene unna. Det er WordPress Firewall plugin. Dette programtillegget gjør mye! Den overvåker din WordPress nettstedet for angrep, beskytter plugins, og er en Swiss Army Knife for beskyttelse ... Du kan lese om funksjonene i plugin hjemmeside .




7. N ow det er her vi begynner å få mer nerdete. I roten av din WordPress installasjon er en fil kalt. Htaccess. Den kan styre mange ting på webområdet ditt. Mer enn jeg kan gå inn i dette innlegget. Allikevel, kan du legge til denne følgende linje i den. Htaccess fil ved hjelp av en tekst editor.

    # Hindre katalogsøking  
    Valg All-Indekser 

   N ormally nettlesere kan se i mapper og rapportere om og til og med få tilgang til filene i. For å forhindre dette tilfeldig visning webdesignere sette en tom index.html fil i hver mappe. WordPress har mange, mange mapper - for mange til å gjøre dette praktisk. Å gjøre dette tillegg til. Htaccess filen benekter mappen vil holde nettlesere (og mennesker) ut av mapper hvor de ikke har behov for tilgang.

   
   

8. Jeg n WordPress roten er det en fil som heter wp-config.php, er det helt en viktig fil, og du ikke vil at noen skal "tilfeldigvis" få tilgang til det som det inneholder brukernavn og passord for MySQL-database tilkobling. Vi kan nekte tilgang til det ved å legge til noen flere linjer til det samme. Htaccess fil som vi nevnte i # 7.

   # protect wpconfig.php <files wp-config.php> Order deny,allow deny from all </files> 




9. T hans neste tipset jeg fant er fra Jeff Starr på Lett bedervelige Trykk nettsiden. Mange nylige angrep på WordPress har brukt svært lang forespørsel strenger ... Mye lenger enn legitim de ville være. Koden nedenfor kan kopieres å lage en php fil som kan plasseres i WP plugin mappen. Ytterligere forklaring finnes på hans blogginnlegg " Protect WordPress mot skadelig URL Forespørsler "

    <? Php / * Plugin Name: Block Bad søk * /
   
    if (strlen ($ _SERVER ['REQUEST_URI'])> 255 | | 
         strpos ($ _SERVER ['REQUEST_URI'], "eval (") | | 
   	 strpos ($ _SERVER ['REQUEST_URI'], "base64")) (
              @ Header ("HTTP/1.1 414 forespørsel-URI Too Long");
              @ Header ("Status: 414 forespørsel-URI Too Long");
              @ Header ("Connection: Close");
              @ Exit;
    )?> 




10. W ordPress.org foreslår å erstatte "Secret Keys" i wp-config.php fil med din egen hemmelige seg. Hvis du går til WordPress Secret Key Generator et tilfeldig sett vil bli generert lik disse nedenfor (ikke bruker disse .. de ville ikke være veldig hemmelig!)
    

      define ('AUTH_KEY', 'N! 3MZ9 +> l-5) = K & + + _j7mM) ZK5UFvZQ E (=* Vzp0Eae + i ^ Oxy]!) B @ vFj? x; & y = c');
     define ('SECURE_AUTH_KEY', 'Oex> dl; turc $ W + ehD (2] k% k (3uhH | L | 8DNQu [/ Np8_ & qz_ rp7v + z6YODdjz9% ~ s');
     define ('LOGGED_IN_KEY', 'oOO1smvP? <4fSU0Sv, 5yeT `z # ns5_I? tEEL9Y [| CW! YO @ fkjw @ 

    J Ust kopiere og deretter lime den hemmelige nøklene over dem i din wp-config.php filen. Ikke tenke på å huske dem, de er brukt av WordPress å kryptere informasjon.