Реклама
Бонети широм света скренули су пажњу са слања нежељене е-поште на систематско хаковање у инсталације ВордПресс-а; ово је уносан посао с обзиром да ВордПресс покреће 40% свих блогова. Поготово имајући у виду да смо и ми постали жртва овога, време је да урадимо свеобухватни пост о томе како заштитити инсталацију ВордПресс-а коју хостирате сами.
Напомена: овај савет се односи само на инсталира се самостално домаћин ВордПресс. Ако користите ВордПресс.цом, уопште вам није потребно да бринете о безбедности, јер они то све раде за вас.Која је разлика између ВордПресс.цом и ВордПресс.орг? Која је разлика између вођења блога на Вордпресс.цом и Вордпресс.орг?Будући да Вордпресс сада напаја 1 на сваких 6 веб локација, они морају нешто радити како треба. Вордпресс вам може понудити и за искусне програмере и за почетнике. Али баш кад почнете ... Опширније
Инсталирајте Гоогле потврђивач у два корака
Ако већ имате омогућено аутентификацију у два корака за свој Гмаил налог или друге услуге, можете да користите исту апликацију за потврђивање овај додатак за ВордПресс.
Срећом, можете ограничити двостепену аутентификацију да се користи само на рачунима горњег нивоа тако да не требате да нервирате све своје кориснике.
Закључавање пријаве
Стари додатак, али још увек ради како је предвиђено; Закључавање пријаве провјерава ИП покушаје пријаве и блокира опсег ИП-а на један сат ако не успије 3 пута у року од 5 минута. Једноставно, ефикасно.
Правите редовне резервне копије
Хакери неће само променити једну датотеку, већ ће поставити своју контролну таблу негде скривену и другу скривене позадине - тако да чак и ако поправите оригиналну хаку, они се враћају право и раде све опет. Правите дневне или недељне резервне копије да бисте се лако вратили на место где није било трага хакеру - и будите сигурни да закрпите све што су учинили да би ушли. Лично сам уложио у 150 УСД Резервни пријатељ лиценца за програмере - то је најједноставније и најцеловитије резервно решење које сам још пронашао.
Спречите индексирање мапа
Проверите корен вашег ВордПресс инсталације за .хтаццесс датотеку (приметите период на почетку - можда ћете требати показати невидљиве датотеке да бисте их видели) и проверите да има следећи ред. Ако не, додајте га - али прво направите резервну копију јер је ова датотека прилично битна.
Опције Све -Индекес
Останите ажурирани
Не правите исту грешку као ми: увек надоградите ВордПресс чим буде доступна исправка. Понекад ажурирања садрже мање исправке грешака, а не безбедносне исправке, али уђите у навику и нећете имати проблема. Ако имате више инсталираних ВордПресс-а и не можете да их све пратите, погледајте МанагеВп.цом, премиум контролна табла за све ваше блогове, која укључује безбедносно скенирање.
Не само основне ВордПресс датотеке, већ и додаци: један од највећих ВордПресс хакова из прошлости укључивао је рањивост у заједничкој скрипти генератора сличица која се зове тимтхумб.пхпи још увек постоје теме које користе стару верзију. Иако су додаци брзо ажурирани, наравно, ажурирање тема је теже, наравно - ВордПресс неће рећи ако је ваша тема рањива и за то ћете имати неку врсту сигурносног скенирања - дођите до тхе тхе Сигурносни додаци одељак за неке предлоге.
Никад не преузимајте насумичне теме
Ако не знате шта радите са ПХП кодом, веома је лако упасти у замку за преузимање симпатичне случајне теме са негде, само да пронађете тамо неки гадан код - најчешће повратне везе које не можете да уклоните, али још горе може бити нашао. Држите се врхунских и познатих дизајнера тема (као такав Смасхинг Магазине или ВПСховер)или за бесплатне теме користите само директориј ВордПресс тема.
Избришите неискориштене додатке и теме
Што мање кода имате на свом серверу, то је боље - уклоните шансу да имате стари, рањиви код брисањем тема и додатака које више не користите. Онемогућавањем њих једноставно ће се зауставити учитавање њихове функције помоћу ВордПресс-а, али сам код можда и извршава хакер.
Уклоните Мета са причама из главе
Подразумевано, ВордПресс је своју верзију широм света емитовао у коду датотеке вашег заглавља - лак начин да хакери идентификују старије инсталације. Додајте следеће редове у тему своје теме фунцтион.пхп датотеку за уклањање верзије ВордПресса, информације о програму Виндовс Ливе Вритер и линији која помаже удаљеним клијентима да пронађу вашу КСМЛ-РПЦ датотеку.
уклони покретање ('вп_хеад', 'вп_генератор'); уклони отпуштање ('вп_хеад', 'влвманифест_линк'); уклони покретање ('вп_хеад', 'рсд_линк');
Уклоните „админ“ налог
Већина напада бруталности на ВордПресс укључује опетовано испробавање админ налог - подразумевани за све инсталиране ВордПресс - и речник уобичајених лозинки. Ако се пријавите код администратора или имате административни налог наведен у вашој корисничкој табели, рањиви сте због тога.
Два начина да се то поправи: било коришћење вп-оптимизе плугин - сјајан додатак који вам између осталог омогућава да онемогућите ревизије поста и извршите оптимизацију базе података - да преименујете административни налог. Или једноставно отворите други налог са администраторским привилегијама, пријавите се као нови корисник, а затим избришите „администратор“ налог доделите све постове свом новом кориснику.
Безбедне лозинке
Чак и ако сте онемогућили администраторски налог, можда ћете моћи идентификовати корисничко име вашег административног налога - у том тренутку сте поново подложни нападима грубе силе. Проведите јаку политику лозинке од 16 или више случајних знакова који се састоје од великих и малих слова, интерпункцијских бројева и бројева.
Или само користите стварноЛонгСентенцеТхатсЕасиТоРемемберМетход.
Онемогућите уређивање датотека унутар ВордПресс-а
За оне који не желе да се пријаве путем ФТП-а, ВордПресс укључује једноставни уређивач на административној табли за теме и додавање ПХП датотека - али то чини вашу инсталацију рањивом ако неко добије приступ. Заправо, овако је неко успео да намести преусмеравање злонамјерног софтвера у наше заглавље. На крај вашег дна додајте следећи ред вп-цонфиг.пхп (у коријенској фасцикли) да бисте онемогућили све функције за уређивање датотека - и користите СФТП Шта је ССХ и како се разликује од ФТП [објашњена технологија] Опширније за пријаву на ваш сервер.
дефине ('ДИСАЛЛОВ_ФИЛЕ_ЕДИТ', истина);
Сакриј грешке у пријави
Погрешна лозинка или погрешно корисничко име могу се препознати по грешкама које су дате приликом пријављивања, а које се могу користити за идентификацију налога за грубо форсирање. Ово није добро, очигледно, зато убијте грешке овим додатком теме своје теме фунцтион.пхп датотека
функција но_еррорс_плеасе () {ретурн 'Нопе'; } адд_филтер ('логин_еррорс', 'но_еррорс_плеасе');
Активирајте Цлоудфларе
Поред тога што убрзава вашу веб локацију, ЦлоудФларе ублажава многе познате бонетне мреже и скенере чак и од доласка до вашег блога. читати све о ЦлоудФларе-у Бесплатно заштитите и убрзајте веб локацију уз ЦлоудФлареЦлоудФларе је интригантан старт-уп произвођача креатора Пројецт Хонеи Пот који тврди да штити вашу веб локацију од нежељене поште, ботова и других злих чудовишта - као и да убрзате вашу веб локацију донекле ... Опширније овде. Инсталација је један клик ако сте домаћин МедиаТемпле, у супротном ће вам требати приступ контролној табли домена да бисте променили сервере имена.
Сигурносни додаци
- Боља ВП сигурност имплементира многе од ових исправка за вас и најопсежније је бесплатно решење које постоји.
- ВордФенце је премиум пакет који активно скенира ваше датотеке на везе са злонамјерним софтвером, преусмеравања, познате рањивости итд. - и поправља их. Цена почиње од 18 УСД годишње за 1 сајт.
- Сигурносно решење за пријаву оба ограничавају покушаје пријаве и намећу сигурне лозинке.
- Безбедност БуллетПрооф-а је свеобухватан, али сложен додатак који се бави неким од техничких аспеката попут КССС убризгавања и .хтаццесс проблема. Доступан је и Про верисон додатка који аутоматизује већи део процеса.
Мислим да ћете се сложити да је ово свеобухватна листа корака за ојачавање ВордПресс-а, али не предлажем вам да имплементирате све од њих. Да сам морао све то да урадим на свакој веб локацији коју сам икада поставио, сада бих их још увек постављао. Употреба било које врсте система уводи ризик, а на вама је да нађете равнотежу између ниво сигурности коју желите и труд који желите да уложите у њено обезбеђивање - никада ништа не иде на 100% сигурно. Овде ниско висеће воће су:
- Ажурирање ВордПресс-а
- Онемогућавање административног налога
- Додавање аутентификације у два корака
- Инсталирање сигурносног додатка
Само бављење њима требало би да вас стави изнад 99% свих осталих блогова вани, што је довољно да потенцијални хакери постану лакши.
Мислите ли да сам нешто пропустила? Реците ми у коментарима.
Јамес има диплому о вештачкој интелигенцији и сертификат је ЦомпТИА А + и Нетворк +. Он је водећи програмер МакеУсеОф-а и своје слободно време проводи играјући ВР паинтбалл и таблегамес. Градио је рачунаре још од детета.