25 yksinkertaista WordPress-tietoturvatekmää verkkosivustosi turvallisuuteen vuonna 2020

Olen kuullut, että monet verkkosivustojen omistajat valittavat WordPress-tietoturvasta. Ajatuksena on, että avoimen lähdekoodin skripti on alttiina kaikenlaisille hyökkäyksille. Onko se totta? Ja jos on, kuinka suojaat WordPress-verkkosivustosi?


Onneksi sisäänrakennetun WordPress-tietoturvan puute on myytti. Itse asiassa joskus on päinvastoin – WordPress-sivustot ovat paljon turvallisempia kuin heidän veljensä ja sisarensa verkossa.

Aion tänään keskustella melko monista yksinkertaisista temppuista, joiden avulla voit suojata WordPress-verkkosivustoasi entistäkin paremmin.

Kun olet toteuttanut nämä taktiikat ja seurannut jatkuvia WordPress-tietoturvatarkastuksia, olet hyvissä ajoin suojaamassa WordPress-verkkosivustoasi hyväksi.

WordPress-tietoturva: yksinkertaisia ​​temppuja WordPress-verkkosivustosi suojaamiseen

Sisällysluettelo:

�� Suojaa web-hosting
�� Estä sisäänkirjautumishyökkäykset ja raa’at voimat
�� Suojaa WordPress-kojelauta
�� Suojaa WordPress-tietokanta
�� Suojaa teemasi ja laajennuksesi

Contents

Osa (a): Suojaa WordPress-verkkosivustosi varmistamalla, että isännöinti on turvallista

Lähes kaikki hosting-yritykset väittävät tarjoavansa WordPressille optimoidun ympäristön, mutta tekevätkö ne?

1. Työskentele vain hyvien isäntien kanssa

Sinun tulisi työskennellä vain luotettavan, korkealaatuisen ja turvallisen isännöinnin kanssa. Tämä neuvo vaikuttaa ilmeiseltä, totta?

Jokaisen mielestä isännöinti on mahtavaa, kunnes jotain rikkoutuu ensimmäistä kertaa. Todellisessa maailmassa kaikki hosting-yritykset ja hosting-palvelutarjoukset eivät ole yhtä tasaisia.

Jos tutustut yhteen hosting-tutkimukseemme, huomaat kuinka erilaisten kokemukset ovat suhteessa yleiseen isännöinnin laatuun ja myös heidän isäntään liittyvien asetusten yksittäisiin näkökohtiin, kuten turvallisuus, luotettavuus, nopeus jne..

Jotkut isännät ovat yksinkertaisesti aliarvoisia eivätkä pärjää hyvin stressissä.

Huono uutinen on se, että et aina tiedä edes sitä, että isäntäsi ei ota verkkosivustosi turvallisuutta riittävän vakavasti. Asiat, kuten lisääntyneet hakkerihyökkäykset, usein seisokit, heikko suorituskyky, saattavat kaikki johtua riittämättömistä turvamekanismeista.

Todellisuus on, että et oikein aio mennä "korjaa isäntäsi." Helpoin ja paras ratkaisu on vaihtaa turvallisempaan isäntään.

Yleensä, mitä enemmän maksat, sitä parempi uusi isäntäsi on, mutta on myös joitain budjettivaihtoehtoja, joita voit harkita.

Jos haluat päästä aiheen alaosaan, meillä on vertailut parhaista hosting-vaihtoehdoista siellä, sekä edellä mainitut tutkimukset, joissa voit nähdä, mitä muut sanovat.

Tässä on lyhyt suositus, jos kiire:

  • �� Paras virran asetus. Kinsta. Hintaan 100 dollaria / kuukausi voit isännöidä jopa viittä verkkosivustoa ja toivottaa sinut tervetulleeksi ~ 100 000 kävijää.
  • �� Entry level -ohjattu isäntä. Vauhtipyörä. 13,00 dollaria / kuukausi varten voit ylläpitää yhtä verkkosivustoa ja toivottaa sinut tervetulleeksi ~ 5000 kävijää.
  • �� Budjetin valinta. SiteGround. Niinkin alhainen kuin 3,95 dollaria / kuukausi, voit ylläpitää yhtä verkkosivustoa.

2. Suojaa wp-config.php-tiedosto

Wp-config.php-tiedostossa on tärkeitä tietoja WordPress-asennuksesta, ja se on sivustosi juurihakemiston tärkein tiedosto. Suojaaminen tarkoittaa WordPress-blogin ytimen turvaamista.

Tämä taktiikka vaikeuttaa hakkereiden tapaa rikkoa sivustosi turvallisuutta, koska wp-config.php-tiedostosta tulee heille käsiksi..

Bonuksena suojausprosessi on todella helppo. Ota vain wp-config.php-tiedostosi ja siirrä se ylemmälle tasolle kuin juurihakemistosi.

Nyt kysymys on, jos tallennat sen muualle, kuinka palvelin käyttää sitä? Nykyisessä WordPress-arkkitehtuurissa konfigurointitiedoston asetukset asetetaan korkeimmalle prioriteettiluettelossa. Joten vaikka WordPress on tallennettu yksi kansio juurihakemiston yläpuolelle, se voi silti nähdä sen.

3. Estää tiedostojen muokkaaminen

Jos käyttäjällä on järjestelmänvalvojan oikeus WordPress-hallintapaneeliin, hän voi muokata mitä tahansa WordPress-asennukseen sisältyviä tiedostoja. Tämä sisältää kaikki laajennukset ja teemat.

Jos estät tiedostojen muokkaamisen, kukaan ei voi muokata mitään tiedostoista – vaikka hakkeri saa järjestelmänvalvojan oikeudet WordPress-hallintapaneeliin.

Lisää tämä työ lisäämällä seuraava wp-config.php-tiedostoon (aivan lopussa):

define (‘DISALLOW_FILE_EDIT’, tosi);

4. Aseta hakemiston käyttöoikeudet huolellisesti

Väärät hakemistoluvat voivat olla kohtalokkaita, varsinkin jos työskentelet jaetussa isäntäympäristössä.

Tiedostojen ja hakemistojen käyttöoikeuksien muuttaminen on tällöin hyvä tapa suojata verkkosivusto verkkosivustolla. Hakemiston käyttöoikeuksien asettaminen "755" ja tiedostot "644" suojaa koko tiedostojärjestelmää – hakemistoja, alihakemistoja ja yksittäisiä tiedostoja.

Tämä voidaan tehdä joko manuaalisesti isännöinnin ohjauspaneelin sisällä olevan File Manager -sovelluksen kautta tai päätteen (kytketty SSH: n) kautta – käytä "chmod" komento.

Lisätietoja voit lukea oikeasta WordPressin lupajärjestelmä tai asenna iThemes Security -laajennus tarkistaaksesi nykyiset lupa-asetukset.

5. Poista hakemistolistaus käytöstä .htaccess-sovelluksella

Jos luot uuden hakemiston osana verkkosivustoasi etkä lisää siihen index.html-tiedostoa, saatat yllättyä siitä, että kävijät voivat saada täyden hakemistoluettelon kaikesta, joka kyseisessä hakemistossa on.

Esimerkiksi, jos luot hakemiston nimeltä "data", voit nähdä kaikki kyseisessä hakemistossa yksinkertaisesti kirjoittamalla selaimeen http://www.esimerkki.fi/data/. Salasanaa tai mitään ei tarvita.

Voit estää tämän lisäämällä seuraavan koodirivin .htaccess-tiedostoon:

Asetukset Kaikki -Indexit

6. Estä kaikki pikalinkit

Oletetaan, että etsit kuvan verkossa ja haluat jakaa sen verkkosivustollasi. Ensinnäkin tarvitset luvan tai maksaa siitä kuvan, muuten on suuri mahdollisuus, että se on laitonta. Mutta jos saat luvan, voit vetää kuvan kuvan URL-osoitteen suoraan ja käyttää sitä kuvan lisäämiseen viestiin. Suurin ongelma tässä on, että kuva näytetään sivustossasi, mutta se isännöidään toisen sivuston palvelimella.

Tästä näkökulmasta et voi hallita sitä, pysyykö valokuva palvelimella. Mutta on myös tärkeää huomata, että ihmiset saattavat tehdä tämän verkkosivustollesi.

Jos yrität suojata WordPress-verkkosivustoasi, hotlinking on periaatteessa toinen henkilö, joka ottaa valokuvasi ja varastaa palvelimen kaistanleveyden näyttää kuvan omalla verkkosivustollaan. Loppujen lopuksi näet hitaamman latausnopeuden ja mahdolliset korkeat palvelinkustannukset.

Vaikka niitä on joitain manuaalisia tekniikoita hotlink-yhteyksien estämiseksi, helpoin tapa on löytää WordPress-suojauslaajennus työlle. Esimerkiksi Kaikki yhdessä WP-suojaus ja palomuuri plugin sisältää sisäänrakennetut työkalut kaiken hotlinkin estämiseksi.


Kaikki yhdessä WP-suojaus ja palomuuri Kaikki yhdessä WP-suojaus & palomuuri

Tekijä (t): Vihjeitä HQ, Peter Petreski, Ruhul, Ivy

Nykyinen versio: 4.4.3

Viimeksi päivitetty: 11. maaliskuuta 2020

all-in-one-wp-security-and-firewall.zip


96% Arviot


800000 + asennukset


WP 4.7 + vaaditaan

7. Ymmärrä ja suojaa DDoS-hyökkäyksiltä

DDoS-hyökkäys on yleinen tyyppi isku palvelimen kaistanleveyttä vastaan, kun hyökkääjä käyttää useita ohjelmia ja järjestelmiä ylikuormittaaksesi palvelinta. Vaikka tällainen hyökkäys ei vaaranna sivustotiedostoja, sen tarkoitus on kaataa sivustosi pitkäksi aikaa, ellei sitä ratkaista. Yleensä kuulet DDoS-hyökkäyksistä vain silloin, kun se tapahtuu suurille yrityksille, kuten GitHub tai Target. Niitä johtaa ne, joita monet kutsuvat kyberterroristeiksi, joten motiivina saattaa olla vain tuhota tuho.

Sinun ei kuitenkaan tarvitse olla Fortune 500 -yritys ollaksesi vaarassa.

Jos tämä huolestuttaa sinua, suosittelemme rekisteröitymistä Sucuri tai CloudFlare palkkio-suunnitelmat. Näissä ratkaisuissa on verkkosovelluspalomuurit käytettävän kaistanleveyden analysoimiseksi ja DDoS-hyökkäysten estämiseksi kokonaan.

Osa (b): Suojaa WordPress-verkkosivustosi suojaamalla sisäänkirjautumissivua ja estämällä raa’at voimahyökkäykset

Kaikki tietävät WordPressin tavallisen kirjautumissivun URL-osoitteen. Sivuston taustalle pääsee sieltä, ja tästä syystä ihmiset yrittävät raivoillaan pakottaa tietään sisään. Lisää vain /wp-login.php tai / wp-admin / verkkotunnuksesi loppuun ja sinne menet..

Suosittelen mukauttamaan kirjautumissivun URL-osoitetta ja jopa sivun vuorovaikutusta. Se on ensimmäinen asia, jonka teen, kun alaan suojata verkkosivustoani.

Miksi? Koska sivuston hakkerointi on yleensä käyttäjän virhe. On joitain velvollisuuksia, joista sinun on huolehdittava verkkosivuston omistajana. Joten avainkysymys on, mitkä ovat sinä teemme pelastaaksesi sivustosi hakkeroinnilta? Sisäänkirjautumissivun suojaaminen ja raa’iden joukkohyökkäysten estäminen on yksi parhaimmista tehtävistä.

Tässä on joitain ehdotuksia WordPress-verkkosivuston kirjautumissivun suojaamiseksi:

8. Aseta verkkosivuston lukitusominaisuus ja estä käyttäjät

Epäonnistuneiden kirjautumisyritysten lukitusominaisuus voi ratkaista jatkuvien raa’an voiman yritysyritysten valtavan ongelman. Aina kun hakkerointiyrityksiä käytetään toistuvilla väärillä salasanoilla, sivusto lukittuu ja saat ilmoituksen tästä luvattomasta toiminnasta..

Sain selville, että iThemes-suojaus plugin on yksi parhaimmista sellaisista plugineista siellä, ja olen käyttänyt sitä jo jonkin aikaa. Lisäosalla on paljon tarjottavaa tässä suhteessa. Yli 30 muun upean WordPress-tietoturvatoimenpiteen kanssa voit määrittää tietyn määrän epäonnistuneita kirjautumisyrityksiä ennen kuin plugin estää hyökkääjän IP-osoitteen.


iThemes Security (aiemmin Better WP Security) iThemes Security (aiemmin Better WP Security)

Tekijä (t): Ithemes

Nykyinen versio: 7.7.1

Viimeksi päivitetty: 20. huhtikuuta 2020

better-wp-security.7.7.1.zip


94% Arviot


900000 + asennukset


WP 5.2 + vaaditaan

9. Käytä kaksikerroista todennusta WordPress-tietoturvaan

Kaksitekijäisen todennuksen (2FA) moduulin esittely kirjautumissivulle on toinen hyvä turvatoimi. Tässä tapauksessa käyttäjä antaa kirjautumistiedot kahdelle eri komponentille. Verkkosivuston omistaja päättää, mitkä nämä kaksi ovat. Se voi olla tavallinen salasana, jota seuraa salainen kysymys, salainen koodi, joukko merkkejä tai suositumpi Google Authenticator -sovellus, joka lähettää salakoodin puhelimeesi. Tällä tavalla vain henkilö, jolla on puhelimesi (sinä), voi kirjautua sisään sivustoosi.

Pidän parempana salaisen koodin käyttöä, kun asennan 2FA: ta mille tahansa verkkosivustolleni. Google Authenticator plugin auttaa minua tässä vain muutamalla napsautuksella.


Google Authenticator - WordPress Kaksifaktorinen todennus (2FA, MFA) Google Authenticator – WordPress Kaksifaktorinen todennus (2FA, MFA)

Tekijä (t): miniOrange

Nykyinen versio: 5.4.5

Viimeksi päivitetty: 15. toukokuuta 2020

miniorange-2-factor-authentication.zip


90% Arviot


20000 + asennukset


3.0.1Requires

10. Kirjaudu sisään sähköpostitse

Oletusarvoisesti sinun on annettava käyttäjänimesi kirjautuaksesi sisään WordPressiin. Sähköpostitunnuksen käyttäminen käyttäjänimen sijasta on turvallisempi lähestymistapa. Syyt ovat varsin ilmeiset. Käyttäjätunnuksia on helppo ennustaa, kun taas sähköpostiosoitteita ei. Kaikille WordPress-käyttäjätilille luodaan yksilöivä sähköpostiosoite, mikä tekee siitä kelvollisen tunnuksen kirjautumiseen.

Useiden WordPress-tietoturvalaajennusten avulla voit määrittää kirjautumissivut siten, että kaikkien käyttäjien on kirjauduttava sisään sähköpostiosoitteillaan.

11. Nimeä uusi kirjautumis-URL-osoite suojaamaan WordPress-verkkosivustoasi

Kirjautumis-URL-osoitteen muuttaminen on helppo tehtävä. Oletuksena WordPress-kirjautumissivulle pääsee helposti sivuston pää-URL-osoitteeseen lisätyn wp-login.php- tai wp-admin-tiedoston avulla..

Kun hakkerit tietävät kirjautumissivusi suoran URL-osoitteen, he voivat yrittää väkivaltaista tietä sisään. He yrittävät kirjautua sisään GWDb: llä (Guess Work Database, ts. Tietokanta arvatuista käyttäjänimistä ja salasanoista; esim. Käyttäjänimi: admin ja salasana: p @ sword … miljoonilla sellaisilla yhdistelmillä).

Tässä vaiheessa olemme jo rajoittaneet käyttäjän kirjautumisyrityksiä ja vaihtaneet käyttäjätunnuksia sähköpostitunnuksiin. Nyt voimme korvata kirjautumis-URL-osoitteen ja päästä eroon 99%: iin suorista raa’an joukko-iskuista.

Tämä pieni temppu estää luvattoman yksikön pääsyä kirjautumissivulle. Vain joku, jolla on tarkka URL-osoite, voi tehdä sen.

Helpoin tapa muuttaa kirjautumis-URL-osoitettasi on käyttää osuvasti nimettyä laajennusta WPS Piilota kirjautuminen. Se on erittäin helppo käyttää; syötä vain uuden kirjautumissivun URL-osoite ja tallenna muutokset. Voit asettaa URL-osoitteen mille tahansa haluamallesi.


WPS piilota kirjautuminen WPS piilota kirjautuminen

Tekijä (t): WPServeur, NicolasKulka, tabrisrp

Nykyinen versio: 1.5.6

Viimeksi päivitetty: 9. maaliskuuta 2020

wps-hide-login.1.5.6.zip


98% Arviot


600000 + asennukset


WP 4.1 + vaaditaan

12. Säädä salasanasi

Pelaa ympäri salasanasi ja vaihda niitä säännöllisesti suojataksesi WordPress-verkkosivustoasi. Paranna niiden vahvuutta lisäämällä lisäsanoja ja pidentämällä salasanasi.

Huomaa, että emme välttämättä kehota lisäämään salasanoihisi lisää isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä. Monet ihmiset valitsevat sen sijaan pitkät tunnuslauseet, koska hakkerit ovat melkein mahdotonta ennustaa niitä, mutta helpompi muistaa kuin joukko satunnaislukuja ja kirjaimia.

Siellä suosittu sarjakuva, kirjoittanut xkcd kuinka joidenkin näennäisesti turvallisten salasanojen pettäminen voi olla:

salasanan vahvuus

Osoittautuu, että monimutkaisen lauseen käyttö voi usein olla paljon turvallisempaa ja myös 10 kertaa helpompi muistaa.

13. Käytä salasananhallintaa

Okei, me kaikki tiedämme, että meidän pitäisi vaihtaa salasanojamme usein ja että niiden pitäisi olla vaikea murtaa. Tiedämme mitä me "pitäisi" tehdä, mutta se ei ole aina jotain, jolle meillä on aikaa.

Tässä on joitain laadukkaita salasanan hallitsijoita. Ne eivät vain luo sinulle turvallisia salasanoja, vaan tallentavat ne sitten suojatun holvin sisään, mikä säästää vaivaa, että joudut muistamaan ne..

�� Tässä on syvällinen vertailu markkinoidemme parhaimmista salasanahallinnasta vastaavista.

14. Luo käyttämättömät käyttäjät automaattisesti pois sivustostasi

Käyttäjät, jotka jättävät sivustosi wp-admin-paneelin auki näytölle, voivat aiheuttaa vakavan WordPress-tietoturvauhan. Kuka tahansa ohikulkija voi muuttaa verkkosivustosi tietoja, muuttaa henkilön käyttäjätiliä tai jopa rikkoa sivustosi kokonaan. Voit välttää tämän varmistamalla, että sivustosi kirjaa ihmiset ulos tietyn ajan käyttämättömänä.

Voit määrittää tämän käyttämällä laajennusta, kuten BulletProof-tietoturva. Tämän laajennuksen avulla voit asettaa mukautetun aikarajan käyttämättömille käyttäjille, jonka jälkeen he kirjataan automaattisesti ulos.


BulletProof-tietoturva BulletProof-tietoturva

Tekijä (t): AITpro-verkkosivustojen suojaus

Nykyinen versio: 4.0

Viimeksi päivitetty: 29. huhtikuuta 2020

bulletproof-security.4.0.zip


96% Arviot


60000 + asennukset


WP 3.8 + vaaditaan

Osa (c): Suojaa WordPress-verkkosivustosi järjestelmänvalvojan hallintapaneelin kautta

Hakkereille verkkosivuston mielenkiintoisin osa on järjestelmänvalvojan kojetaulu, joka on todellakin kaikkien suojattu osa. Joten vahvojen puolustaminen on todellinen haaste. Jos se saavutetaan, se antaa hakkereille moraalisen voiton ja mahdollisuuden tehdä paljon vahinkoa.

Voit tehdä WordPress-verkkosivuston järjestelmänvalvojan hallintapaneelin seuraavasti:

15. Suojaa wp-admin-hakemisto

Wp-admin-hakemisto on kaikkien WordPress-verkkosivustojen ydin. Siksi, jos tätä sivustosi osaa rikotaan, koko sivusto voi vaurioitua.

Yksi mahdollinen tapa estää tämä on suojata salasana wp-admin-hakemistoon. Tällaisen WordPress-tietoturvatoimenpiteen avulla verkkosivuston omistaja voi käyttää kojetaulua lähettämällä kaksi salasanaa. Yksi suojaa sisäänkirjautumissivua, ja toinen suojaa WordPress-hallinta-aluetta.

Tämän määrittäminen edellyttää yleensä hosting-asetusten mukauttamista cPanelin kautta. Tätä ei silti ole liian vaikea tehdä, jos sinä noudata oikeita vaiheita.

16. Salaa tiedot SSL: llä

SSL (Secure Socket Layer) -sertifikaatin käyttöönotto on yksi fiksu siirto järjestelmänvalvojan paneelin turvaamiseksi. SSL varmistaa turvallisen tiedonsiirron käyttäjän selainten ja palvelimen välillä, mikä tekee hakkereiden vaikeiksi katkaista yhteyden tai huijata tietojasi.

SSL-varmenteen hankkiminen WordPress-verkkosivustoosi on helppoa. Voit ostaa sellaisen kolmannen osapuolen yritykseltä tai tarkistaa, tarjoaako hosting-yritys yhden ilmaiseksi.

antaa salata

Käytän Let’s Encrypt ilmaista avoimen lähdekoodin SSL-varmennetta useimmissa sivustoissani. Jokainen hyvä hosting-yritys, kuten SiteGround, tarjoaa ilmaisen Let’s Encrypt SSL -sertifikaatin isäntäpakettiensa kanssa.

SSL-varmenne vaikuttaa myös verkkosivustosi Google-sijoituksiin. Google yleensä Sivustot, joissa SSL on korkeampi kuin ne, joilla ei ole sitä. Se tarkoittaa lisää liikennettä. Nyt kuka ei halua sitä?

SSL: n käyttöönotto WordPress-sivustolla on hyvin yksinkertaista. 99%: n tapauksista sinun tarvitsee vain asentaa Really Simple SSL -laajennus ja aktivoida se. Muita asetuksia ei tarvita.


Todella yksinkertainen SSL Todella yksinkertainen SSL

Tekijä (t): Rogier Lankhorst, Mark Wolters

Nykyinen versio: 3.3.3

Viimeksi päivitetty: 18. toukokuuta 2020

really-simple-ssl.3.3.3.zip


100% Arviot


4000000 + asennukset


WP 4.6 + vaaditaan

17. Lisää käyttäjätilejä huolellisesti

Jos ylläpidät WordPress-blogia tai pikemminkin usean kirjoittajan blogia, sinun on käsiteltävä useita ihmisiä, jotka käyttävät järjestelmänvalvojan paneelia. Tämä saattaa tehdä verkkosivustostasi alttiimpia WordPressin tietoturvauhille.

Voit käyttää laajennusta kuten Pakota vahvat salasanat jos haluat varmistaa, että käyttäjän antamat salasanat ovat turvallisia. Tämä on vain varotoimi, mutta se on parempi kuin se, että useilla käyttäjillä on heikko salasana.


Pakota vahvat salasanat Pakota vahvat salasanat

Tekijä (t): Jason Cosper

Nykyinen versio: 1.8.0

Viimeksi päivitetty: 9. marraskuuta 2017

force-strong-passwords.1.8.zip


86% Arviot


10000 + asennukset


WP 3.7 + vaaditaan

18. Vaihda järjestelmänvalvojan käyttäjänimi

Älä koskaan valitse WordPress-asennuksen aikana "admin" järjestelmänvalvojan päätilisi käyttäjänimenä. Tällaiseen helposti arvattavaan käyttäjänimeen pääsee hakkereille. Heidän täytyy selvittää vain salasana, jolloin koko sivustosi joutuu väärään käsiin.

järjestelmänvalvojan käyttäjänimen vaihto

En voi kertoa sinulle kuinka monta kertaa olen vierittänyt verkkosivustologiini ja löytänyt kirjautumisyritykset käyttäjänimellä "admin".

IThemes Security -laajennus voi lopettaa tällaiset yritykset kieltämällä heti kaikki IP-osoitteet, jotka yrittävät kirjautua sisään tällä käyttäjänimellä.

19. Tarkkaile tiedostojasi

Jos haluat lisätä WordPress-tietoturvaa, seuraa verkkosivustosi tiedostojen muutoksia esimerkiksi laajennusten avulla Wordfence, tai taas iThemes Security.


Wordfence Security - palomuurien ja haittaohjelmien tarkistus Wordfence Security – palomuuri & Haittaohjelmien skannaus

Tekijä (t): Wordfence

Nykyinen versio: 7.4.7

Viimeksi päivitetty: 23. huhtikuuta 2020

wordfence.7.4.7.zip


96% Arviot


3000000 + asennukset


WP 3.9 + vaaditaan

Osa (d): Suojaa WordPress-verkkosivustosi tietokannan kautta

Kaikki sivustosi tiedot tallennetaan tietokantaan. Sen pitäminen on ensiarvoisen tärkeää. Tässä on muutama tehtävä, jonka avulla voit tehdä sen turvallisemmaksi:

20. Muuta WordPress-tietokantataulukon etuliitettä

Jos olet jo asentanut WordPressin, tunnet WordPress-tietokannan käyttämän wp-taulukon etuliitteen. Suosittelen, että vaihdat sen jotain ainutlaatuista.

Oletusetuliitteen käyttö saa sivustotietokannasi alttiiksi SQL-injektiohyökkäyksille. Tällaiset hyökkäykset voidaan estää muuttamalla wp- toiseen termiin. Voit esimerkiksi tehdä siitä mywp- tai wpnew-.

Jos olet jo asentanut WordPress-verkkosivustosi oletusetunnuksella, voit käyttää sitä muutama laajennus muuttaa sitä. Plugins kuten WP-DBManager tai iThemes Security voi auttaa sinua suorittamaan työn vain yhdellä napin painalluksella. (Varmista, että varmuuskopioit sivustosi ennen kuin teet mitään tietokantaan).


WP-DBManager WP-DBManager

Tekijä (t): Lester ‘GaMerZ’ Chan

Nykyinen versio: 2.80.3

Viimeksi päivitetty: 20. toukokuuta 2020

wp-dbmanager.2.80.3.zip


88% Arviot


100000 + asennukset


WP 4.0 + vaaditaan

21. Tee varmuuskopioita säännöllisesti WordPress-verkkosivustosi suojaamiseksi

WordPress-verkkosivustosi turvallisuudesta riippumatta on aina parantamisen varaa. Mutta päivän päätteeksi ulkopuolella olevan varmuuskopion pitäminen jossain on ehkä paras vastalääke riippumatta siitä, mitä tapahtuu.

Jos sinulla on varmuuskopio, voit palauttaa WordPress-verkkosivustosi toimivaan tilaan milloin tahansa. Jotkut laajennukset voivat auttaa sinua tässä suhteessa. Esimerkiksi, kaikkia näitä on.

Jos etsit premium-ratkaisua, suosittelen VaultPress jonka on tehnyt Automattic, mikä on hienoa. Olen asettanut sen, joten se luo varmuuskopioita joka viikko. Ja jos jotain pahaa tapahtuu, voin helposti palauttaa sivuston yhdellä napsautuksella.

Tiedän, että jotkut suuret verkkosivustot tekevät varmuuskopioita joka tunti, mutta useimmille organisaatioille on tehty täydellinen ylikuormitus. Puhumattakaan, sinun on varmistettava, että suurin osa näistä varmuuskopioista poistetaan uuden tekemisen jälkeen, koska jokainen varmuuskopiotiedosto vie tilaa levylläsi. Suosittelen kuitenkin viikoittain tai kuukausittain varmuuskopioita useimmille organisaatioille.

Varmuuskopioiden lisäksi VaultPress tarkistaa myös sivustoni haittaohjelmien varalta ja ilmoittaa minulle, jos jotain varjoisaa tapahtuu.

22. Aseta vahvat salasanat tietokannallesi

Päätietokannan käyttäjän vahva salasana on välttämätön, koska tämä salasana on se, jota WordPress käyttää pääsyyn tietokantaan.

Kuten aina, käytä salasanaa isoilla, pienillä kirjaimilla, numeroilla ja erikoismerkeillä. Tunnuslauseet ovat myös erinomaisia. Suosittelen jälleen LastPassia satunnaisen salasanan luomiseksi ja tallentamiseksi. Ilmainen ja nopea työkalu vahvojen salasanojen luomiseen on Suojattu salasanageneraattori.

salasanat

23. Seuraa tarkastuslokeja

Kun käytät WordPress-sivustoa tai käsittelet usean kirjoittajan verkkosivustoa, on tärkeää ymmärtää, minkä tyyppinen käyttäjän toiminta tapahtuu. Kirjailijat ja avustajat saattavat vaihtaa salasanoja, mutta on myös muita asioita, joita et ehkä halua tapahtua. Esimerkiksi teema- ja widget-muutokset on selvästi varattu vain järjestelmänvalvojille. Kun tarkistat tarkastuslokin, voit varmistaa, että järjestelmänvalvojat ja avustajat eivät yritä muuttaa jotain sivustossasi ilman hyväksyntää.

tarkastusloki

WP: n turvallisuustarkistusloki plugin tarjoaa täydellisen luettelon tästä toiminnasta, samoin kuin sähköposti-ilmoitukset ja -raportit. Yksinkertaisimmillaan tarkastusloki voi auttaa sinua näkemään, että kirjoittajalla on vaikeuksia kirjautumiseen. Laajennus saattaa myös paljastaa yhden käyttäjän käyttäjien haittaohjelmia..


WP-toimintaloki (aiemmin WP Security Audit Log) WP-toimintaloki (aiemmin WP Security Audit Log)

Tekijä (t): WP Valkoinen turvallisuus

Nykyinen versio: 4.1.0

Viimeksi päivitetty: 26. toukokuuta 2020

wp-security-audit-log.4.1.0.zip


96% Arviot


100000 + asennukset


WP 3.6 + vaaditaan

Osa (e): Suojaa WordPress-verkkosivusto teemoilla ja laajennuksilla

Teemat ja laajennukset ovat välttämättömiä ainesosia kaikille WordPress-verkkosivustoille. Valitettavasti ne voivat myös aiheuttaa vakavia turvallisuusuhkia. Otetaan selville, kuinka voimme suojata WordPress-teemasi ja laajennuksesi oikealla tavalla:

24. Päivitä säännöllisesti WordPress-tietoturva

Kehittäjät tukevat kaikkia hyviä ohjelmistotuotteita, ja ne päivitetään silloin tällöin. Nämä päivitykset on tarkoitettu virheiden korjaamiseen, ja niissä on joskus elintärkeitä tietoturvakorjauksia. WordPress ja sen laajennukset eivät ole eroja.

Teemojen ja laajennusten päivittämättä jättäminen voi aiheuttaa ongelmia. Monet hakkerit luottavat pelkästään siihen, että ihmisiä ei voida vaivautua päivittämään laajennuksiaan ja teemojaan. Useimmiten nämä hakkerit hyödyntävät jo korjattuja virheitä.

Joten, jos käytät WordPress-tuotetta, päivitä se säännöllisesti. Plugins, teemat, kaikki. Hyvä uutinen on, että WordPress julkaisee päivitykset automaattisesti käyttäjilleen, joten saat sähköpostiviestin, joka ilmoittaa sinulle päivityksestä ja kojelaudan korjausten tiedoista..

Lisäosien osalta nämä on päivitettävä manuaalisesti siirtymällä kohtaan liitännäiset kojelautaan. Kun laajennuksella on uusi versio, se ilmoittaa sinulle ja tarjoaa linkin päivitykseen nyt.

päivitä laajennukset

Vaihtoehtoisesti voit valita hallitun WordPress-isännöintisuunnitelman. Monien muiden WordPress-tietoturvaominaisuuksien ja parannusten lisäksi laadukkaasti hallittu isännöinti tarjoaa automaattiset päivitykset kaikille WordPress-sivustosi elementeille.

Joitakin hallittuja palveluntarjoajia ovat Kinsta, SiteGround ja Vauhtipyörä. Voit oppia lisää WordPressin parhaiten hallituista isännöistä täältä.

25. Poista WordPress-versionumerosi

Nykyinen WordPress-versionumerosi löytyy erittäin helposti. Se istuu periaatteessa aivan siellä sivustosi lähdenäkymässä. Voit nähdä sen myös kojelaudan alareunassa (mutta sillä ei ole väliä yritettäessä suojata WordPress-verkkosivustoasi).

versionumero

Tässä on asia: jos hakkerit tietävät mitä WordPress-versiota käytät, heillä on helpompi räätälöidä täydellinen hyökkäys.

Voit piilottaa versionumerosi melkein jokaisella yllä mainitulla WordPress-tietoturvalaajennuksella.

Manuaalisen lähestymistavan saavuttamiseksi (ja versionumeron poistamiseksi myös RSS-syötteistä), harkitse seuraavan toiminnon lisäämistä function.php-tiedostoon:

toiminto wpbeginner_remove_version () {
palata ”;
}
add_filter (‘the_generator’, ‘wpbeginner_remove_version’);

Viimeiset ajatukset WordPress-verkkosivustosi suojaamisesta

Jos olet aloittelija, siinä oli paljon tekemistä. Kaikki, mitä mainitsin tässä artikkelissa, on kuitenkin askel oikeaan suuntaan. Mitä enemmän välität WordPress-tietoturvasta, sitä vaikeampaa hakkeri voi tunkeutua sisään.

Kuitenkin, mitä sanotaan, todennäköisesti yhtä tärkeä kuin turvallisuus on verkkosivuston suorituskyky. Periaatteessa ilman verkkosivustoa, joka latautuu nopeasti, kävijät eivät koskaan saa mahdollisuutta kuluttaa sisältöäsi. Keskimääräinen verkkosivuston kävijä odottaa vain 2 sekuntia ennen turhautumistaan ​​ja poistumistaan.

Tässä on joitain resursseja, jotka voivat auttaa sinua voittamaan suorituskykypelin ja varmistamaan, että verkkosivustosi latautuu salamannopeasti:

  • ��️ Käytä laadukasta CDN-levyä. Jotkut heistä ovat jopa ilmaisia. Tässä on vertailu suosituimpiin vaihtoehtoihin: MaxCDN vs CloudFlare vs Amazon CloudFront vs Akamai Edge vs Fastly
  • ��️ Viritä joitain asioita sivustosi kotelon alle. Tässä on 11 tapaa nopeuttaa WordPressiä

Jos sinulla on kysyttävää WordPress-verkkosivustosi suojaamisesta, ota meihin yhteyttä kommenteissa ja vastaamme niihin! Joten mitkä ovat WordPress-tietoturvahaasteesi??

Älä unohda liittyä kaatumiskurssillemme WordPress-sivustosi nopeuttamiseksi. Joillakin yksinkertaisilla korjauksilla voit vähentää latausaikaa jopa 50–80%:

Kirjoittanut Ahmad Awais, Joe Warnimont, Karol K.

* Tämä viesti sisältää tytäryhtiölinkejä, mikä tarkoittaa, että jos napsautat jotakin tuottilinkkiä ja ostaa sen jälkeen tuotteen, saamme pienen maksun. Ei hätää, mutta maksat silti normaalin summan, joten sinun ei tarvitse maksaa siitä mitään kustannuksia.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map