פרסומת

WordPress-Security-pluginללא ספק, עבור בלוג שמתארח בעצמו, וורדפרס הוא ה- CMS הבלוג הטוב ביותר שתוכלו להשיג. עם זאת, בהיותה תוכנת קוד פתוח פופולרית, פירוש הדבר גם שלהאקרים יש גישה מלאה לתוכנה קוד בו הם יכולים לבחון כדי למצוא כל ניצול בו הם יכולים להשתמש כדי לפרוץ לכל WordPress המותאם אתר.

בצד הטוב, אחד הדברים הטובים ביותר בוורדפרס הוא מערכת התוספים שלה המאפשרת לכל אחד לעשות זאת התקן תוספים כלשהם או צור תוספים משלך כדי להרחיב את הפונקציונליות שלהם, כולל שיפור ביטחון.

הנה, פירטתי כמה תוספי אבטחה של WordPress (וכמה טריקים) שבהם תוכלו להשתמש בכדי לאבטח את הבלוג של WordPress.

כל התוספים והטריקים המפורטים להלן מיועדים ל- WP 2.7 ומעלה. אם אתה עדיין משתמש בגרסה ישנה יותר של וורדפרס, הגיע הזמן לשדרג את הבלוג שלך.

הגנה על הכניסה שלך

תוסף זה משתמש ב- בחור פרוטוקול להצפנת הסיסמה שלך. תחילה מומלחים את הסיסמה במספר אקראי (nonce) שנוצר על ידי הפגישה, ואחריו אלגוריתם השינוי md5. לאחר מכן תוצאה זו נשלחת לשרת בו הוא מפוטר ומאושר. זהו תוסף תצורת אפס, כלומר אתה יכול להשתמש בו מייד לאחר הפעלתו.

2. התחברות התגנבות

כניסת התגנבות מעלימה את דף הכניסה שלך בכך שהיא מאפשרת לך להגדיר דף כניסה מותאם אישית ולא את wp-login.php ברירת המחדל. במקרה שדליפת הסיסמה שלך, ההאקר גם יתקשה למצוא את כתובת ה- URL הנכונה. שימוש טוב בזה הוא למנוע מכל בוטים זדוניים לגשת לקובץ wp-login.php ולנסות לפרוץ.

instagram viewer

נעילת כניסה שימושית במניעת פיגוע כוח סוער. מה שעושה כניסה LockDown הוא לרשום את כתובת ה- IP ואת חותמת הזמן של כל ניסיון כניסה שנכשל. אם יותר ממספר ניסיונות מסוים מתגלים תוך פרק זמן קצר מאותו טווח IP, זה יינעל את פונקציית ההתחברות ותמנע מאנשים מתחום ה- IP להיכנס.

תוסף זה מוסיף אימות HTTP נוסף בכדי לספק שכבת הגנה שנייה לבלוג שלך. אתה יכול להגדיר הגנה באמצעות סיסמה לבלוג שלך באמצעות אימות בסיסי של HTTP, או שאתה יכול להשתמש באימות העיכול המאובטח יותר של HTTP.

שים לב שתוסף זה עשוי / לא יכול לעבוד, תלוי ביכולת השרת שלך. אם האתר שלך לא עובר את מבחני התצורה של AskApache (הבדיקות המופעלות על ידי התוסף לאיתור יכולות השרת שלך), צור קשר עם מארח האינטרנט שלך ובדוק אם הוא יכול לבצע שינויים בשרת צד.

תוסף זה מספק סביבת כניסה "חצי אבטחה" על ידי הצפנת הסיסמה שלך באמצעות קריפטוגרפיה של RSA

הגנה על בסיס הנתונים שלך

אולי עבור חלקכם, גיבוי מסד נתונים יכול להיות מטלה טכנית מטרידה. בעזרת גיבוי WP-DB, אתה רק צריך להגדיר את התצורה פעם אחת ולהביא אותה לפעולה אוטומטית בפרקי זמן קבועים.

מה שתוסף זה עושה הוא לאוטומט את הגיבוי של מסד הנתונים ולשלוח אותו לתיבת הדואר הנכנס שלך. מלבד טבלת ברירת המחדל שנוצרה על ידי וורדפרס, תוכלו גם לגבות טבלאות מותאמות אישית שנוצרו על ידי תוספים. במקרה שחשבונך קורס, אתה יכול לייבא ולשחזר בקלות את בסיס הנתונים באמצעות הגיבוי.

Wp-DBManager הוא ממש כמו phpmyadmin בלוח המחוונים שלך. אתה יכול לנהל בקלות את בסיס הנתונים שלך ישירות בלוח המחוונים. יש תכונות שימושיות כמו אופטימיזציה / תיקון / גיבוי / שחזור בסיס הנתונים שלך ואם אתה טכני מספיק, אתה יכול אפילו להריץ שאילתת SQL משלך מדף האפשרויות.

בצד הרע, אם האקרים כלשהם מצליחים להתחבר לאתר שלך, התוסף הזה יהווה עבורם שער ליצירת הרס במסד הנתונים שלך.

כיצד לאבטח בלוג

8. שנה קידומת טבלת מסד נתונים

קידומת ברירת המחדל המשמשת את WordPress היא "wp". אתה יכול לשנות בקלות את הקידומת למונחים אחרים שקשה לנחש באמצעות ה- WP-Security-Scan. פירוט נוסף על התוסף הזה למטה.

9. הגן על קובץ wp-config.php שלך

קובץ ה- wp-config.php שלך מכיל את כל פרטי הכניסה למסד הנתונים שלך והוא צריך להיות מוסתר מהצפייה הציבורית בכל הנסיבות. בקובץ ה- htaccess שלך, הכנס בשורה זו:


כדי לאפשר, להכחיש. להכחיש מכל.

כדי למנוע מאף אחד לצפות בקובץ wp-config.php.

הגנה על דף הניהול שלך

תוסף זה מאלץ את ה- SSL בכל הדפים בהם ניתן להזין סיסמאות כך שכל המידע המועבר מוצפן.

עם זאת, דבר אחד צריך להיות בעל תעודת SSL לפני שתוכל לעשות זאת. אם אינך מוכן לפגוש את הכסף הנוסף לרכישת תעודת SSL פרטית, אתה יכול לשאול את מארח האינטרנט שלך לגבי SSL משותף. מרבית מארחי האינטרנט מספקים SSL משותף לכל לקוחותיהם וקל להגדיר את התצורה.

11. שנה את שם המשתמש בכניסה

השימוש ב- "admin" כשם משתמש ההתחברות שלך הוא הדבר האחרון שאתה רוצה לעשות. כאשר התקנת את וורדפרס לראשונה, עליך ליצור מייד חשבון מנהל אחר עם שם משתמש וסיסמא משלך ולמחוק את חשבון הניהול.

מנע מאחרים להציג את מבנה הקבצים הפנימיים שלך

12. הסתרת גרסת ה- WP

ברוב הנושאים של וורדפרס תחת

בסעיף, תמיד יש שורת קוד המציגה את גרסת הוורדפרס בה אתה משתמש. מתן מספר הגרסה של וורדפרס פירושו לומר להאקר באיזה ניצול להשתמש כדי לפרוץ לאתר שלך.
מבחן אבטחה

מאז WP2.6.5, וורדפרס הקשה עוד יותר על הסרת גרסת ה- wp מכיוון שהיא מטמיעה מידע זה בתוך wp_header תגית. תוסף שבו תוכלו להשתמש בכדי להסיר מידע זה WP-Security-Scan.

13. הסתרת תוכן ה- WP

תיקיית תוכן ה- WP היא המקום בו שמרת את כל התוספים וקבצי העיצוב שלך. זה המקום בו אתה רוצה למנוע מאנשים אחרים להסתכל. אתה יכול להעלות ריק index.html קובץ לתיקיית wp-content, או צור קובץ .htaccess בתיקיית wp-תוכן והוסף שורה זו:

אפשרויות הכל - מדדים
14. חסום את תיקיית wp לאינדקס על ידי מנועי חיפוש
בעוד שאתה רוצה שמנועי החיפוש יוסיפו אינדקס לבלוג שלך ויכניסו תנועה רבה, הדבר האחרון שאתה רוצה לראות הוא לאפשר למנועי החיפוש לחשוף את מבנה הקבצים הפנימי שלך לציבור. מה שאתה יכול לעשות זה לחסום את כל תיקיית ה- wp שלך לאינדקס על ידי מנוע חיפוש על ידי הוספת הערכים הבאים ל- robot.txt:
בטל: / wp- * 
תחזוקה
הזכרתי את התוסף הזה מספר פעמים, אז הגיע הזמן שאסביר מה הוא עושה. WP-Security-Scan בודק את WordPress שלך אחר פגיעויות אבטחה ומציע / מספק פעולות מתקנות. הפעולות המתקנות כוללות שינוי קידומת בסיס נתונים, הסתרת מספר הגרסה של וורדפרס מהכותרת ומאפשרת לבדוק את חוזק הסיסמה שלך.
אחת לכמה זמן, כדאי להפעיל את סורק האבטחה המובנה ולבדוק בבלוג שלך אם יש פגיעויות באבטחה.
16. שנה סיסמא באופן קבוע
לא רק שאתה צריך לשנות את הסיסמה שלך באופן קבוע, עליך גם לוודא שהיא סיסמה חזקה. אם אתה מתקשה ליצור אחד כזה, מצא כיצד תוכל צור סיסמאות חזקות שאתה יכול לזכור בקלות כיצד ליצור סיסמאות חזקות שאתה יכול לזכור בקלות קרא עוד .
17. עדכן את WordPress ואת כל התוספים לגירסה האחרונה
מיותר לציין ששדרוג לגירסה האחרונה של וורדפרס ותוספים הוא הדרך הטובה ביותר להגן על עצמך.
הגנה על החיבור שלך
18. SFTP
העברת קבצים לחשבון המקוון שלך היא דבר שכיח לעשות. עם זאת, במקום להשתמש ב- FTP הלא מאובטח, עליך להשתמש SFTP (FTP מאובטח). פעולה זו תיצור חיבור SSH ותשלח את כל הקבצים המוצפנים שלך לשרת. אם אתה זקוק לעזרה ביצירת חיבור SFTP, הנה להנחות.
המידע שלעיל אמור להספיק כדי ליצור בלוג וורדפרס מאובטח. אם לא יישמת אף אחד מאלה, אני קורא לך לעשות זאת כעת.
באילו שיטות אחרות אתה משתמש כדי לאבטח את הבלוג שלך ב- WordPress?

Damien Oh הוא חנון טכנולוגי כולו שאוהב לצבוט ולפרוץ מערכות הפעלה שונות כדי להקל על החיים. עיין בבלוג שלו ב- MakeTechEasier.com שם הוא משתף את כל הטיפים, הטריקים והמדריכים.