פרסומת

להגן על WordPressBotnets ברחבי העולם הפנו את תשומת ליבם משליחת דוא"ל ספאם לפריצה שיטתית להתקנות וורדפרס; זה עסק משתלם בהתחשב בכך שוורדפרס מעניקה 40% מכל הבלוגים. במיוחד בהתחשב בעובדה שאפילו נפלנו קורבן לזה, הגיע הזמן שיצאנו פוסט מקיף על איך בדיוק להגן על התקנת וורדפרס המארחת את עצמכם.

הערה: עצה זו חלה רק על WordPress מתארח בהתקנה עצמית. אם אתה משתמש ב- WordPress.com, בדרך כלל אינך צריך לדאוג לביטחון, מכיוון שהם מטפלים בזה הכל עבורך.מה ההבדל בין WordPress.com ל- WordPress.org? מה ההבדל בין הפעלת הבלוג שלך ב- Wordpress.com ו- Wordpress.org?עם וורדפרס שמפעילה כעת 1 מכל 6 אתרים, הם בטח עושים משהו נכון. הן למפתחים מנוסים והן למתחיל השלם, ל- Wordpress יש מה להציע לך. אבל בדיוק כשאתה מתחיל ... קרא עוד

התקן מאמת דו-שלבי של גוגל

אם כבר מופעלת אימות דו-שלבי עבור חשבון Gmail שלך או שירותים אחרים, תוכל להשתמש באותה אפליקציית אימות התוסף הזה עבור WordPress.

למרבה המזל, אתה יכול להגביל את האימות הדו-שלבי שישמש רק בחשבונות ברמה העליונה, כך שאתה לא צריך לעצבן את כל המשתמשים שלך.

להגן על WordPress

נעילת כניסה

תוסף ישן, אך עדיין עובד כמתוכנן;

instagram viewer
נעילת כניסה בודק את ה- IP של ניסיונות ההתחברות וחוסם טווח IP למשך שעה אם הוא נכשל 3 פעמים תוך 5 דקות. פשוט, יעיל.

קח גיבויים קבועים

האקרים לא ישנו רק קובץ אחד, אלא יעמידו את לוח הבקרה שלהם מוסתר במקום כלשהו ובאחר דלתות אחוריות נסתרות - כך שאפילו אם תתקנו את הפריצה המקורית, הם נכנסים שוב ועושים הכל שוב. קח גיבויים יומיים או שבועיים כדי שתוכל לשחזר בקלות למצב שלא היה זכר להאקר - ולהקפיד לתקן כל מה שהם עשו כדי להיכנס. אישית פשוט השקעתי בסכום של 150 דולר גיבוי באדי רישיון למפתחים - זהו פיתרון הגיבוי הקל והמקיף ביותר שמצאתי עד כה.

להגן על אתר וורדפרס

מניעת אינדקס של תיקיות

בדוק את השורש של התקנת וורדפרס שלך לקובץ ה- .htaccess (שימו לב לתקופה בהתחלה - יתכן שתצטרכו להציג קבצים בלתי נראים כדי להציג זאת), וודאו שיש בשורה הבאה. אם לא, הוסף אותו - אך בצע קודם גיבוי מכיוון שקובץ זה די מכריע.

אפשרויות הכל - מדדים

תישאר מעודכן

אל תעשו את אותה טעות כמו שעשינו: תמיד שדרגו את וורדפרס ברגע שיהיה עדכון זמין. לפעמים העדכונים מכילים תיקוני באגים קלים ולא תיקוני אבטחה, אך היכנסו להרגל ולא תהיה לכם בעיה. אם יש לך יותר מהתקנת וורדפרס אחת ואינך יכול לעקוב אחר כולם, בדוק זאת ManageWp.com, לוח מחוונים פרימיום לכל הבלוגים שלך שכולל סריקת אבטחה.

לא רק קבצי וורדפרס ליבה, אלא גם תוספים: אחד מפריצי הוורדפרס הגדולים של פעם כרוך בפגיעות בתסריט מחולל תמונות ממוזערות נפוץ שנקרא. timtatt.php, ועדיין יש ערכות נושא שמשתמשות בגירסה הישנה. למרות שהתוספים התעדכנו במהירות, הקפדה על הקפדה על נושאים מעודפים - וורדפרס לא תדע אתה אם הנושא שלך פגיע, ולצורך זה תוסף סריקת אבטחה כלשהו - גלול למטה ה תוספי אבטחה בחלק להלן לקבלת הצעות.

לעולם אל תוריד ערכות נושא אקראיות

אלא אם כן אתה יודע מה אתה עושה עם קוד PHP, קל מאוד ליפול למלכודת של הורדת נושא אקראי מקסים מ- איפשהו, רק כדי לגלות שיש בו איזה קוד מגעיל - בדרך כלל קישורים נכנסים שאתה לא יכול להסיר, אבל גרוע יותר יכול להיות מצאתי. היצמד למעצבי נושא מובחרים ומוכרים (כמו מגזין ניפוץ או WPShower), או עבור ערכות נושא בחינם השתמש רק בספריית העיצוב של WordPress.

מחק תוספים וערכות נושא לא בשימוש

ככל שיש לך קוד פחות להפעלה בשרת שלך, כך ייטול - הסר את הסיכוי לקבל קוד ישן ופגיע על ידי מחיקת ערכות נושא ותוספים שאינך משתמש יותר. השבתתם פשוט תפסיק את טעינת הפונקציונליות שלהם באמצעות WordPress, אך ייתכן שהקוד עצמו יכול להיות מופעל על ידי האקר.

הסר מטה לסיפור בכותרת שלך

כברירת מחדל, וורדפרס שידרה את גרסתה לעולם בקוד קובץ הכותרת שלך - דרך קלה להאקרים לזהות התקנות ישנות יותר. הוסף את השורות הבאות לנושאים שלך פונקציות קובץ להסרת גרסת WordPress, מידע על Windows Live Writer ושורה שעוזרת ללקוחות מרוחקים למצוא את קובץ ה- XML-RPC שלך.

remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'rsd_link');

הסר את חשבון הניהול

ההתקפות הכוחיות ביותר על וורדפרס כוללות ניסיון חוזר ונשנה מנהל חשבון - ברירת המחדל לכל התקנות וורדפרס - ומילון של סיסמאות נפוצות. אם אתה מתחבר עם מנהל המערכת או שאתה מכיל את חשבון הניהול בטבלת המשתמשים שלך, אתה חשוף לכך.

שתי דרכים לתקן את זה: או להשתמש אופטימיזציה wp תוסף - תוסף נהדר שבין היתר מאפשר לך להשבית את גרסאות הפוסט ולבצע אופטימיזציה של מסדי נתונים - לשינוי שם חשבון הניהול. או פשוט צור חשבון אחר עם הרשאות מנהל, התחבר כמשתמש החדש, ואז מחק את חשבון הניהול "הקצה" את כל הפוסטים למשתמש החדש שלך.

להגן על אתר וורדפרס

סיסמאות מאובטחות

גם אם השבתת את חשבון הניהול, יתכן שניתן יהיה לזהות את שם המשתמש של חשבון הניהול שלך - באיזו נקודה אתה חשוף שוב להתקפת כוח ברוט. אכוף מדיניות סיסמה חזקה של 16 תווים אקראיים או יותר המורכבים אותיות קטנות וקטנות, פיסוק ומספרים.

או פשוט השתמש ב- באמת LongSentenceThats EasyTo לזכור מתודה.

השבת את עריכת הקבצים בתוך WordPress

למי שלא רוצה להתחבר באמצעות FTP, וורדפרס כוללת עורך קל בלוח המחוונים של הניהול עבור קבצי PHP של ערכות נושא ותוסף - אך הדבר הופך את ההתקנה שלך לפגיעה אם מישהו יזכה בגישה. למעשה, כך הצליח מישהו להזרים הכותרת שלנו להפניה מחדש של תוכנות זדוניות. הוסף את השורה הבאה לתחתית שלך wp-config.php (בתיקיית השורש) כדי להשבית את כל תכונות עריכת הקבצים - ולהשתמש בהן SFTP מה זה SSH וכיצד זה שונה מ- FTP [הסבר טכנולוגיה] קרא עוד כדי להתחבר לשרת שלך במקום זאת.

הגדירו ('DISALLOW_FILE_EDIT', נכון);

הסתר שגיאות כניסה

ניתן לזהות סיסמה שגויה או שם משתמש שגוי על ידי השגיאות שניתנו בעת הכניסה, וניתן להשתמש בהן כדי לזהות חשבונות לאכיפת ברוט. ברור שזה לא טוב, אז הרוג את השגיאות עם תוספת זו לתכנית שלך פונקציות קובץ

פונקציה no_errors_please () {להחזיר 'לא'; } add_filter ('login_errors', 'no_errors_please');

הפעל את Cloudflare

בנוסף לזרזת האתר שלך, CloudFlare מקל על בוטנים וסורקים ידועים רבים אפילו להגיע לבלוג שלך מלכתחילה. לקרוא הכל על CloudFlare הגן והאיץ את אתרך בחינם באמצעות CloudFlareCloudFlare הוא סטארט-אפ מסקרן מיוצרי Project Honey Pot שטוען כי הוא מגן האתר שלך מפני שולחי דואר זבל, בוטים ומפלצות אינטרנט רעות אחרות - כמו גם להאיץ את האתר שלך במידה מסוימת... קרא עוד כאן. ההתקנה היא לחיצה אחת אם אתה מתארח ב MediaTempleאחרת לא תצטרך לגשת ללוח הבקרה של הדומיין כדי לשנות את שרתי השמות.

להגן על אתר וורדפרס

תוספי אבטחה

  • אבטחת WP טובה יותר מיישם עבורכם רבים מהתיקונים הללו והוא הפיתרון החינמי המקיף ביותר שיש.להגן על WordPress
  • גדר Word היא חבילת פרימיום הסורקת את הקבצים שלך באופן פעיל אחר קישורים זדוניים, הפניות מחדש, פגיעויות ידועות וכו '- ומתקנת אותם. המחיר מתחיל ב 18 $ לשנה עבור אתר אחד.
  • פתרון אבטחת כניסה שניהם מגבילים ניסיונות כניסה ואוכפים סיסמאות מאובטחות.
  • BulletProof אבטחה הוא תוסף מקיף אך מורכב העוסק בכמה מההיבטים הטכניים יותר כמו הזרקת XSS ובעיות .htaccess. קיימת גם גרסה מקדימה של התוסף אשר ממכן חלק ניכר מהתהליך.

אני חושב שתסכימו שזו רשימה די מקיפה של צעדים להקשות על וורדפרס, אבל אני לא מציע לך ליישם את כל שלהם. אם הייתי צריך לעשות את כל אלה לכל אתר שאי פעם הקמתי, עדיין הייתי מקים אותם עכשיו. הפעלת כל סוג של מערכת מביאה לסיכון, ובסופו של דבר תלוי בך למצוא את האיזון בין רמת האבטחה שאתה רוצה והמאמץ שאתה רוצה להשקיע בה - שום דבר לא יעלה מעולם ל 100% לבטח. הפירות התלויים הנמוכים כאן הם:

  • שמירה על עדכון וורדפרס
  • השבתת חשבון הניהול
  • הוספת אימות דו-שלבי
  • התקנת תוסף אבטחה

ביצוע אלה לבד צריך להציב אותך מעל 99% מכל הבלוגים האחרים שם, וזה מספיק בכדי לגרום להאקרים פוטנציאליים לעבור ליעדים קלים יותר.

אתה חושב שהתגעגעתי למשהו? ספר לי בתגובות.

ג'יימס הוא בעל תואר ראשון בבינה מלאכותית, והוא מוסמך CompTIA A + ו- Network +. הוא המפתח הראשי של MakeUseOf, ומבלה את זמנו הפנוי במשחקי פיינטבול VR ומשחקי לוח. הוא בנה מחשבים אישיים מאז שהיה ילד.