Cum de a proteja WordPress de intruziune Trebuie să citiți lista de verificare

Botnets din întreaga lume și-au îndreptat atenția de la trimiterea e-mailurilor spam către hacking sistematic în instalările WordPress; este o afacere profitabilă, având în vedere că WordPress are competențe de 40% din toate blogurile. Având în vedere în special faptul că chiar am căzut victimă acestui lucru, este timpul să facem un articol cuprinzător despre cum să vă protejați instalarea WordPress găzduită de sine.

Notă: acest sfat se aplică numai pentru găzduite de WordPress. Dacă utilizați WordPress.com, în general, nu aveți nevoie să vă interesați de securitate, deoarece ei se ocupă de toate pentru dvs.. Care este diferența dintre WordPress.com și WordPress.org? Care este diferența dintre difuzarea blogului dvs. pe Wordpress.com și Wordpress.org? Care este diferența dintre difuzarea blogului dvs. pe Wordpress.com și Wordpress.org? Cu Wordpress alimentând acum 1 din fiecare 6 site-uri, trebuie să facă ceva corect. Pentru ambii dezvoltatori cu experiență și pentru începători complet, Wordpress are ceva de oferit. Dar, pe măsură ce începeți ... Citește mai mult

Instalați autentificatorul Google în două etape

Dacă aveți deja autentificare în doi pași activată pentru contul Gmail sau pentru alte servicii, puteți utiliza aceeași aplicație de autentificare cu acest plugin pentru WordPress.

Din fericire, puteți restricționa autentificarea în două etape pentru a fi utilizată numai la conturile de nivel superior, astfel încât nu este nevoie să vă deranjați pe toți utilizatorii.

Închideți blocarea

Un plugin vechi, dar care funcționează în continuare; Login Lockdown verifică IP-ul tentativelor de conectare și blochează intervalul IP pentru o oră dacă nu reușește de 3 ori în 5 minute. Simplu, eficient.

Luați copii de rezervă periodice

Hackerii nu vor schimba doar un fișier, ci își vor plasa propriul panou de control ascuns undeva și alte ascunzișuri ascunse - astfel încât, chiar dacă remediați hack-ul original, aceștia vor reveni și o vor face din nou. Utilizați copii de rezervă zilnice sau săptămânale, astfel încât să puteți reveni cu ușurință la un punct în care nu a existat nici o urmă de hacker - și asigurați-vă că ați făcut patch-uri indiferent de ce au făcut pentru a intra. Personal, tocmai am investit într-o licență de dezvoltator de $ 150 Backup Buddy - este cea mai ușoară și mai cuprinzătoare soluție de backup pe care am găsit-o încă.

Preveniți indexarea folderelor

Verificați rădăcina instalării dvs. WordPress pentru fișierul .htaccess (observați perioada de la început - poate fi necesar să afișați fișiere invizibile pentru a vedea acest lucru) și asigurați-vă că are următoarea linie. Dacă nu, adăugați-o, dar faceți o copie de rezervă mai întâi, deoarece acest fișier este destul de important.

Opțiuni All -Indexes

Rămâneți actualizat

Nu faceți aceeași greșeală ca și noi: actualizați întotdeauna WordPress imediat ce este disponibilă o actualizare. Uneori, actualizările conțin corecții de bug-uri minore și nu soluții de securitate, dar intrați în obișnuință și nu veți avea probleme. Dacă aveți mai mult de o instalare WordPress și nu puteți urmări toate acestea, verificați ManageWp.com, un tablou de bord premium pentru toate blogurile dvs. care include scanarea de securitate.

Nu doar fișierele WordPress de bază, ci și plugin-urile: una dintre cele mai mari hack-uri WordPress din trecut a implicat o vulnerabilitate într-un script generator generic de miniaturi numit timthumb.php, și există în continuare teme care utilizează vechea versiune. Deși pluginurile au fost actualizate rapid, menținerea temelor la zi este mai dificilă, bineînțeles - WordPress nu vă va spune dacă tema dvs. este vulnerabilă și pentru aceasta veți avea un fel de plugin de scanare de securitate - derulați în jos până la Plugin-uri de securitate secțiunea de mai jos pentru câteva sugestii.

Niciodată nu descarcăm teme aleatorii

Dacă nu știți ce faceți cu codul PHP, este foarte ușor să cădeți în capcana să descarcați o temă aleatorie de undeva, doar pentru a afla că există coduri urât acolo - cele mai frecvente backlink pe care nu le puteți elimina, dar mai rău pot fi găsite. Rămâneți la designeri de top și de renume (cum ar fi Smashing Magazine sau WPShower), sau pentru teme gratuite utilizați numai directorul temă WordPress.

Ștergeți pluginurile și temele neutilizate

Cu cât aveți mai puțin cod executabil pe serverul dvs., cu atât mai bine eliminați șansa de a avea cod vechi, vulnerabil ștergând teme și pluginuri pe care nu le mai utilizați. Dezactivarea acestora va opri pur și simplu încărcarea lor cu WordPress, dar codul în sine poate fi în continuare executabil de un hacker.

Scoateți Meta-ul de avertizare în antetul dvs.

Implicit, WordPress a difuzat versiunea sa în lume în codul fișierului antet - o modalitate ușoară pentru ca hackerii să identifice instalările mai vechi. Adăugați următoarele linii în tema proprie functions.php fișier pentru a elimina versiunea WordPress, informațiile Windows Live Writer și o linie care ajută clienții de la distanță să găsească fișierul XML-RPC.

remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'rsd_link');

Eliminați “admin” Cont

Cele mai multe atacuri de forță brute asupra WordPress implică în mod repetat încercarea admin account - implicit pentru toate instalările WordPress - și un dicționar de parole comune. Dacă vă logați cu administratorul sau dacă contul de administrator este afișat în tabelul dvs. de utilizator, sunteți vulnerabil la acest lucru.

Două moduri de ao remedia: fie să utilizați pluginul optimizat pentru wp - un plugin excelent care, printre altele, vă permite să dezactivați revizuirile post și să efectuați optimizarea bazei de date - să redenumiți contul de admin. Sau creați pur și simplu un alt cont cu privilegii de administrator, conectați-vă ca noul utilizator, apoi ștergeți “admin” contul alocați toate postările noului dvs. utilizator.

Parole securizate

Chiar dacă ați dezactivat contul de administrator, este posibil să identificați numele de utilizator al contului dvs. de administrator - moment în care sunteți din nou vulnerabil la un atac brutal. Aplicați o politică puternică de parolă de 16 sau mai multe caractere aleatoare, constând din majuscule și majuscule, punctuație și numere.

Sau pur și simplu folosiți metoda reallyLongSentenceThatsEasyToRememberMethod.

Dezactivați editarea fișierelor în WordPress

Pentru cei care nu le place să se autentifice prin FTP, WordPress include un editor ușor în tabloul de bord pentru tematică și fișiere PHP, dar acest lucru face ca instalarea dvs. să fie vulnerabilă dacă cineva obține acces. De fapt, acesta a fost modul în care cineva a reușit să injecteze o redirecționare de programe malware în antetul nostru. Adăugați următoarea linie în partea de jos a ecranului wp-config.php (în directorul rădăcină) pentru a dezactiva toate funcțiile de editare a fișierelor și pentru a folosi SFTP Ce SSH este și cum este diferit de FTP [Tehnologie Explained] Ce SSH este și cum diferă de FTP [Tehnologie Explained] Citiți mai multe pentru a vă conecta la serverul dvs..

define ('DISALLOW_FILE_EDIT', true);

Ascunde erorile de conectare

O parolă incorectă sau un nume de utilizator greșit pot fi identificate prin erorile date la conectare, care ar putea fi folosite pentru a identifica conturile pentru forțarea brute. Acest lucru nu este bun, evident, astfel încât să ucidă erorile cu acest plus față de tema ta functions.php fişier

funcția no_errors_please () return 'Nope';  add_filter ('login_errors', 'no_errors_please');

Activați Cloudflare

Pe lângă accelerarea site-ului dvs., CloudFlare atenuează numeroasele botnete și scanere cunoscute, chiar și de a ajunge pe blogul dvs. în primul rând. Citiți totul despre CloudFlare Protejați-vă și accelerați gratuit site-ul Web cu CloudFlare Protejați-vă și accelerați gratuit site-ul web cu CloudFlare CloudFlare este un start-up interesant de la creatorii Proiectului Honey Pot, care pretind că vă protejează site-ul de spamatori, bot și alte rău monstri web - precum și accelera site-ul dvs. oarecum ... Citește mai mult aici. Instalarea este un singur clic dacă sunteți găzduit la MediaTemple, altfel veți avea nevoie de acces la panoul de control al domeniului pentru a schimba serverele de nume.

Plugin-uri de securitate

• O mai bună securitate WP implementează multe dintre aceste remedii pentru dvs. și este cea mai cuprinzătoare soluție gratuită.
• WordFence este un pachet premium care scanează în mod activ fișierele dvs. pentru link-uri malware, redirecționări, vulnerabilități cunoscute etc - și le remediază. Prețul începe de la 18 USD / an pentru 1 site.
• Soluția de conectare la conectare limitează încercările de conectare și impune parole securizate.
• BulletProof de securitate este un plugin cuprinzător, dar complex, care se ocupă cu unele dintre aspectele mai tehnice, cum ar fi XSS injectare și probleme .htaccess. De asemenea, este disponibilă o versiune Pro a pluginului, care automatizează o mare parte din proces.

Cred că veți fi de acord că aceasta este o listă cuprinzătoare de pași pentru a întări WordPress, dar nu vă sugerez să implementați toate dintre ei. Dacă aș fi trebuit să fac toate astea la fiecare site pe care l-am înființat, aș fi înființat-o acum. Rularea oricărui tip de sistem introduce un risc și, în cele din urmă, depinde de dvs. să găsiți echilibrul dintre nivelul de securitate pe care îl doriți și efortul pe care doriți să-l puneți în asigurarea acestuia - nimic nu este sigur 100%. Fructele care se atarna sunt:

• Păstrarea actualizată a WordPress
• Dezactivarea contului de administrator
• Adăugarea autentificării în două etape
• Instalarea unui plugin de securitate

Făcând singuri aceștia ar trebui să vă pună peste 99% din toate celelalte bloguri acolo, ceea ce este suficient pentru ca hackerii potențiali să treacă la obiective mai ușor.

Crezi că am pierdut ceva? Spune-mi în comentariile.

Explorați mai multe despre: Securitate online, Dezvoltare web, Instrumente pentru webmasteri, Wordpress.