25 paprasti „WordPress“ saugos gudrybės, kad jūsų svetainė būtų saugi 2020 m

25 paprasti „WordPress“ saugos gudrybės, kad jūsų svetainė būtų saugi 2020 m

25 paprasti „WordPress“ saugos gudrybės, kad jūsų svetainė būtų saugi 2020 m
СОДЕРЖАНИЕ
02 июня 2020

Girdėjau, kad daugybė svetainių savininkų skundžiasi „WordPress“ saugumu. Manoma, kad atvirojo kodo scenarijus yra pažeidžiamas visokių atakų. Ar tai faktas? Ir jei taip, kaip apsaugoti savo „WordPress“ svetainę?


Laimei, įmontuoto „WordPress“ saugumo trūkumas yra mitas. Tiesą sakant, kartais yra atvirkščiai – „WordPress“ svetainės yra daug saugesnės nei jų internetiniai broliai ir seserys.

Šiandien planuoju aptarti keletą paprastų gudrybių, kurios gali dar labiau apsaugoti jūsų „WordPress“ svetainę.

Įdiegę šią taktiką ir atlikdami nuolatinius „WordPress“ saugos patikrinimus, jums gerai seksis apsaugoti savo „WordPress“ svetainę..

„WordPress“ sauga: paprasti patarimai, kaip apsaugoti „WordPress“ svetainę

Turinys:

Apsaugokite žiniatinklio prieglobą
�� Užkirsti kelią prisijungimo priepuoliams ir žiauriai jėgai
�� Užtikrinkite „WordPress“ prietaisų skydelį
�� Apsaugokite savo „WordPress“ duomenų bazę
�� Apsaugokite savo temas ir papildinius

Contents

(A dalis): apsaugokite savo „WordPress“ svetainę įsitikindami, kad jūsų priegloba yra saugi

Beveik visos prieglobos įmonės teigia teikiančios optimizuotą „WordPress“ aplinką, tačiau ar jos tai daro?

1. Dirbk tik su gerais šeimininkais

Turėtumėte dirbti tik su patikimu, aukštos kokybės ir saugiu priegloba. Šis patarimas atrodo akivaizdus, ​​teisingas?

Daugiau ar mažiau, visi mano, kad jų priegloba yra puiki, kol kas nors pirmą kartą nesutrinka. Realiame pasaulyje ne visos hostingo kompanijos ir hostingo pasiūlymai yra lygūs.

Pažvelgę ​​į vieną iš mūsų hostingo tyrimų, pamatysite, kokia yra skirtingų žmonių patirtis, susijusi su bendra hostingo kokybe, taip pat atskirais jų hostingo sąrankos aspektais, tokiais kaip saugumas, patikimumas, greitis ir kt..

Kai kurie šeimininkai yra paprastesni ir jiems nepavyksta išgyventi streso.

Blogos naujienos yra tai, kad dažniausiai net nežinai, kad tavo priegloba nepakankamai rimtai žiūri į tavo svetainės saugumą. Tokie dalykai, kaip padidėjusios įsilaužėlių atakos, dažnas prastovos laikas, prastas našumas, visa tai gali būti netinkamų saugos mechanizmų rezultatas.

Realybė yra tai, kad jūs tikrai nesiruošiate "pataisyk savo šeimininką." Paprasčiausias ir geriausias sprendimas yra perjungti į kitą saugesnį pagrindinį kompiuterį.

Paprastai kuo daugiau mokėsite, tuo geresnis bus naujasis kompiuteris, tačiau taip pat yra keletas biudžeto variantų, kuriuos galite apsvarstyti.

Jei norite patekti į temos apačią, turime geriausių prieglobos variantų palyginimus ir aukščiau paminėtas apklausas, kuriose galite pamatyti, ką sako kiti žmonės..

Čia yra trumpa rekomendacija, jei skubate:

  • �� Geriausias galios nustatymas. Kinsta. Už 100 USD / mėnesį galite priimti iki 5 svetainių ir pasveikinti ~ 100 000 lankytojų.
  • �� Pradinio lygio valdomas pagrindinis kompiuteris. Smagratis. Už 13.00 USD per mėnesį galite priglobti vieną svetainę ir pasveikinti ~ 5000 lankytojų.
  • �� Biudžeto pasirinkimas. „SiteGround“. Galite įsigyti vieną svetainę tik už 3,95 USD per mėnesį.

2. Apsaugokite failą wp-config.php

„Wp-config.php“ faile yra svarbi informacija apie jūsų „WordPress“ diegimą, ir tai yra svarbiausias failas jūsų svetainės šakniniame kataloge. Apsaugoti tai reiškia apsaugoti savo „WordPress“ tinklaraščio branduolį.

Dėl šios taktikos įsilaužėliams sunku pažeisti jūsų svetainės saugumą, nes failas wp-config.php jiems tampa neprieinamas..

Kaip premija, apsaugos procesas yra tikrai lengvas. Tiesiog paimkite failą wp-config.php ir perkelkite jį į aukštesnį lygį nei jūsų šakninis katalogas.

Dabar kyla klausimas, jei jį saugote kitur, kaip serveris prie jo prieina? Dabartinėje „WordPress“ architektūroje prioritetų sąraše nustatyti aukščiausi konfigūracijos failo parametrai. Taigi, net jei jis yra saugomas viename aplanke virš šakninio katalogo, „WordPress“ vis tiek gali jį pamatyti.

3. Neleisti redaguoti failų

Jei vartotojas turi administratoriaus prieigą prie jūsų „WordPress“ informacijos suvestinės, jis gali redaguoti visus failus, kurie yra jūsų „WordPress“ diegimo dalis. Tai apima visus papildinius ir temas.

Jei neleisite redaguoti failų, niekas negalės modifikuoti jokių failų – net jei įsilaužėlis gauna administratoriaus prieigą prie jūsų „WordPress“ prietaisų skydelio.

Norėdami atlikti šį darbą, pridėkite šiuos failus prie wp-config.php failo (pačiame gale):

apibrėžti (‘DISALLOW_FILE_EDIT’, tiesa);

4. Atidžiai nustatykite katalogo leidimus

Neteisingi katalogų leidimai gali būti mirtini, ypač jei dirbate bendro naudojimo prieglobos aplinkoje.

Tokiu atveju failų ir katalogų leidimų pakeitimas yra geras žingsnis norint apsaugoti svetainę prieglobos lygiu. Katalogų leidimų nustatymas į "755" ir failai "644" apsaugo visą failų sistemą – katalogus, pakatalogius ir atskirus failus.

Tai galima padaryti rankiniu būdu per failų tvarkyklę prieglobos valdymo skydelyje arba per terminalą (sujungtą su SSH) – naudokite "chmod" komanda.

Norėdami sužinoti daugiau, galite perskaityti apie teisingą „WordPress“ leidimo schema arba įdiekite „iThemes Security“ papildinį, kad patikrintumėte dabartinius leidimų parametrus.

5. Išjunkite katalogų sąrašą naudodami .htaccess

Jei kuriate naują katalogą kaip savo svetainės dalį ir nededate į jį index.html failo, galite nustebti pastebėję, kad lankytojai gali gauti išsamų katalogo, kuriame yra viskas, kas yra tame kataloge, sąrašą.

Pvz., Jei sukuriate katalogą, vadinamą "duomenys", viską galite pamatyti tame kataloge tiesiog naršyklėje įvesdami http://www.example.com/data/. Nereikia slaptažodžio ar nieko.

Norėdami to išvengti, pridėkite šią kodo eilutę prie .htaccess failo:

Parinktys Visos -Indexes

6. Užblokuokite visas karštas nuorodas

Tarkime, kad atrandate vaizdą internete ir norėtumėte pasidalinti juo savo svetainėje. Visų pirma, jums reikia leidimo arba norint susimokėti už tą atvaizdą, kitaip yra didelė tikimybė, kad tai padaryti yra neteisėta. Bet jei gausite leidimą, galite tiesiogiai išsitraukti vaizdo URL ir naudoti jį, kad nuotrauką įdėtumėte į savo įrašą. Pagrindinė problema yra ta, kad vaizdas rodomas jūsų svetainėje, bet priglobtas kitos svetainės serveryje.

Šiuo atžvilgiu jūs negalite valdyti, ar nuotrauka lieka serveryje, ar ne. Tačiau taip pat svarbu suvokti, kad žmonės gali tai padaryti jūsų svetainėje.

Jei bandote apsaugoti savo „WordPress“ svetainę, „karštoji nuoroda“ iš esmės yra kitas asmuo, fotografuojantis jūsų nuotrauką ir vagiantis jūsų serverio pralaidumą, kad vaizdas būtų rodomas jų pačių svetainėje. Galų gale matysite lėtesnį krovimo greitį ir didelių serverio išlaidų galimybę.

Nors yra kai kurie rankiniai metodai, skirti užkirsti kelią karštajam susiejimui, lengviausias būdas yra rasti „WordPress“ saugos papildinį darbui. Pavyzdžiui, Viskas viename WP sauga ir ugniasienė Į papildinį įeina įmontuoti įrankiai, skirti blokuoti visas karštas nuorodas.


Viskas viename WP sauga ir ugniasienė Viskas viename WP sauga & Užkarda

Autorius (-ai): Patarimai ir gudrybės HQ, Peteris Petreski, Ruhulis, Ivy

Dabartinė versija: 4.4.3

Paskutinį kartą atnaujinta: 2020 m. Kovo 11 d

all-in-one-wp-security-and-firewall.zip


96% reitingai


Daugiau nei 800 000 diegimų


WP 4.7 + reikalinga

7. Suprasti ir apsaugoti nuo DDoS atakų

DDoS ataka yra įprastas smūgis prieš jūsų serverio pralaidumą, kai užpuolikas naudoja kelias programas ir sistemas, kad perkrautų jūsų serverį. Nors tokia ataka nekelia pavojaus jūsų svetainės failams, ji reiškia ilgą laiką užstrigti jūsų svetainę, jei ji nebus išspręsta. Paprastai apie DDoS atakas girdite tik tada, kai tai atsitinka didelėms įmonėms, tokioms kaip „GitHub“ ar „Target“. Juos veda tai, ką daugelis vadina kibernetiniais teroristais, todėl motyvas gali būti tiesiog sukramtyti.

Nepaisant to, jums nereikia būti „Fortune 500“ įmone, kad galėtumėte rizikuoti.

Jei tai jus neramina, rekomenduojame užsiregistruoti Sucuri arba Debesuota priemokos planai. Šie sprendimai turi interneto programų užkardas, skirtas analizuoti naudojamą pralaidumą ir visiškai užkirsti kelią DDoS atakoms.

B dalis: apsaugokite savo „WordPress“ svetainę, apsaugodami prisijungimo puslapį ir užkirsdami kelią žiaurios jėgos išpuoliams

Visi žino standartinį „WordPress“ prisijungimo puslapio URL. Iš ten galima patekti į tinklalapio užpakalinę dalį, ir tai yra priežastis, kodėl žmonės bando sukčiauti. Tiesiog pridėkite /wp-login.php arba / wp-admin / savo domeno vardo pabaigoje ir eikite ten..

Aš rekomenduoju tinkinti prisijungimo puslapio URL ir net puslapio sąveiką. Tai yra pirmas dalykas, kurį darau, kai pradedu saugoti savo svetainę.

Kodėl? Dėl to, kad jų svetainė buvo nulaužta, dažniausiai būna vartotojo kaltė. Yra keletas pareigų, kuriomis turite rūpintis kaip svetainės savininkas. Taigi pagrindinis klausimas yra, kas yra tu daro, kad apsaugotumėte svetainę nuo įsilaužimo? Apsaugoti prisijungimo puslapį ir užkirsti kelią žiaurios jėgos išpuoliams yra vienas geriausių dalykų, kurį galite padaryti.

Čia yra keletas patarimų, kaip apsaugoti „WordPress“ prisijungimo puslapį:

8. Nustatykite tinklalapio užrakinimo funkciją ir uždraukite vartotojams

Nepavykusių prisijungimo bandymų užblokavimo funkcija gali išspręsti didžiulę nuolatinių bandymų atlikti brutalią jėgą problemą. Kai bandoma įsilaužti naudojant pasikartojančius neteisingus slaptažodžius, svetainė užsiblokuoja ir gausite pranešimą apie šią neteisėtą veiklą..

Sužinojau, kad „iThemes“ sauga įskiepis yra vienas iš geriausių tokių papildinių, kurį aš jau naudoju ilgą laiką. Šiuo atžvilgiu papildinys gali pasiūlyti daug. Kartu su daugiau nei 30 kitų nuostabių „WordPress“ saugos priemonių galite nurodyti tam tikrą skaičių nepavykusių prisijungimo bandymų, kol papildinys uždraus užpuoliko IP adresą.


„iThemes“ sauga (anksčiau geresnė WP sauga) „iThemes“ sauga (anksčiau geresnė WP sauga)

Autorius (-ai): „iThemes“

Dabartinė versija: 7.7.1

Paskutinį kartą atnaujinta: 2020 m. Balandžio 20 d

geriau-wp-saugumas.7.7.1.zip


94% reitingai


Daugiau nei 900 000 diegimų


WP 5.2 + reikalinga

9. Norėdami apsaugoti „WordPress“, naudokite dviejų veiksnių autentifikavimą

Dviejų faktorių autentifikavimo (2FA) modulio įvedimas prisijungimo puslapyje yra dar viena gera saugumo priemonė. Tokiu atveju vartotojas pateikia prisijungimo duomenis prie dviejų skirtingų komponentų. Svetainės savininkas nusprendžia, kas tai yra du. Tai gali būti įprastas slaptažodis, po kurio eina slaptas klausimas, slaptas kodas, simbolių rinkinys arba populiaresnė „Google Authenticator“ programa, kuri siunčia slaptą kodą į jūsų telefoną. Tokiu būdu į jūsų svetainę gali prisijungti tik asmuo, turintis jūsų telefoną (jūs).

Aš mieliau naudoju slaptą kodą, kai diegiu 2FA bet kurioje savo svetainėje. „Google“ autentifikavimo priemonė papildinys padeda man tai padaryti vos keliais paspaudimais.


„Google“ autentifikatorius - „WordPress“ dviejų faktorių autentifikavimas (2FA, MFA) „Google“ autentifikatorius – „WordPress“ dviejų faktorių autentifikavimas (2FA, MFA)

Autorius (-ai): miniOrange

Dabartinė versija: 5.4.5

Paskutinį kartą atnaujinta: 2020 m. Gegužės 15 d

miniorange-2-factor-authentication.zip


90% reitingai


Daugiau nei 20 000 įdiegimų


3.0.1Reikalaujama

10. Norėdami prisijungti, naudokite savo el. Pašto adresą

Pagal numatytuosius nustatymus turite įvesti savo vartotojo vardą, kad prisijungtumėte prie „WordPress“. El. Pašto ID naudojimas vietoj vartotojo vardo yra saugesnis būdas. Priežastys yra gana akivaizdžios. Vartotojo vardus lengva nuspėti, tuo tarpu el. Pašto adresų nėra. Be to, bet kuri „WordPress“ vartotojo abonementas yra sukuriamas su unikaliu el. Pašto adresu, todėl jis yra tinkamas prisijungimo identifikatorius.

Keli „WordPress“ saugos papildiniai leidžia nustatyti prisijungimo puslapius, kad visi vartotojai prisijungdami turėtų naudoti savo el. Pašto adresus.

11. Pervardykite prisijungimo URL, kad apsaugotumėte „WordPress“ svetainę

Prisijungimo URL keitimas yra lengvas dalykas. Pagal numatytuosius nustatymus „WordPress“ prisijungimo puslapį galima lengvai pasiekti naudojant pagrindinį svetainės URL pridėtą „wp-login.php“ arba „wp-admin“..

Kai įsilaužėliai žino tiesioginį jūsų prisijungimo puslapio URL, jie gali bandyti smarkiai pasipriešinti. Jie bando prisijungti naudodami savo GWDb („Guess Work“ duomenų bazę, ty atspėtų vartotojo vardų ir slaptažodžių duomenų bazę; pvz., Vartotojo vardas: administratorius ir slaptažodis: p @ kardas… su milijonais tokių derinių).

Šiuo metu mes jau apribojome vartotojo prisijungimo bandymus ir pakeitėme el. Pašto ID vartotojo vardus. Dabar galime pakeisti prisijungimo URL ir atsikratyti 99% tiesioginių žiaurios jėgos išpuolių.

Šis mažas triukas kliudo neteisėtam subjektui patekti į prisijungimo puslapį. Tai gali padaryti tik tas, kuris nurodo tikslų URL.

Lengviausias būdas pakeisti prisijungimo URL yra naudoti tinkamai pavadintą papildinį „WPS Slėpti prisijungimą“. Tai labai paprasta naudoti; tiesiog įveskite savo naujo prisijungimo puslapio URL ir išsaugokite pakeitimus. Galite nustatyti URL norimam tikslui.


WPS Slėpti prisijungimą WPS Slėpti prisijungimą

Autorius (-ai): „WPServeur“, NicolasKulka, „tabrisrp“

Dabartinė versija: 1.5.6

Paskutinį kartą atnaujinta: 2020 m. Kovo 9 d

wps-hide-login.1.5.6.zip


98% reitingai


Daugiau nei 600 000 diegimų


WP 4.1 + reikalinga

12. Sureguliuokite savo slaptažodžius

Žaiskitės su savo slaptažodžiais ir reguliariai keiskite juos, kad apsaugotumėte savo „WordPress“ svetainę. Padidinkite jų jėgą pridėdami papildomų žodžių ir ilgesnius slaptažodžius.

Atminkite, kad mes nebūtinai patariame jums prie savo slaptažodžių pridėti daugiau didžiųjų ir mažųjų raidžių, skaičių ir specialiųjų simbolių. Daugelis žmonių vietoj to pasirenka ilgas slaptafrazes, nes įsilaužėliams jų beveik neįmanoma nuspėti, tačiau lengviau įsimenami nei daugybė atsitiktinių skaičių ir raidžių.

Ten yra populiarus komiksas pagal xkcd apie tai, kaip galima apgauti kai kuriuos, atrodo, saugius slaptažodžius:

slaptažodžio stiprumas

Pasirodo, kad sudėtinga frazė dažnai gali būti daug saugesnė ir 10 kartų lengviau įsimenama.

13. Naudokite slaptažodį tvarkyklę

Gerai, kad visi žinome, kad dažnai turėtume pakeisti savo slaptažodžius ir kad juos turėtų būti sunku nulaužti. Mes žinome, ką mes "turėtų" daryti, bet tai ne visada yra tai, kam turime laiko.

Čia pradeda veikti kai kurie kokybės slaptažodžių tvarkytojai. Jie ne tik sugeneruos jums saugius slaptažodžius, bet ir laikys juos saugiame saugykloje – tai padės jums sutaupyti rūpesčių dėl jų atsiminimo..

�� Čia pateiktas išsamus palyginimas su geriausiu slaptažodžių tvarkytuvu rinkoje.

14. Automatiškai pašalinkite nenaudojamus vartotojus iš savo svetainės

Vartotojai, paliekantys jūsų svetainės „wp-admin“ skydą atidarytą savo ekranuose, gali kelti rimtą „WordPress“ saugumo grėsmę. Bet kuris praeivis gali pakeisti jūsų svetainės informaciją, pakeisti asmens vartotojo abonementą ar net visiškai sugadinti jūsų svetainę. To galite išvengti įsitikinę, kad jūsų svetainė pašalina žmones iš darbo tam tikrą laiką nenaudojant.

Tai galite nustatyti naudodami papildinį, pvz „BulletProof“ sauga. Šis papildinys leidžia nustatyti individualų laiko ribą nenaudojamiems vartotojams, po kurio jie bus automatiškai atsijungę.


„BulletProof“ sauga „BulletProof“ sauga

Autorius (-ai): AITpro svetainės sauga

Dabartinė versija: 4.0

Paskutinį kartą atnaujinta: 2020 m. Balandžio 29 d

neperšaunamas- saugumas.4.0.zip


96% reitingai


Daugiau nei 60 000 įdiegimų


WP 3.8 + reikalinga

(C) dalis: apsaugokite savo „WordPress“ svetainę per administratoriaus prietaisų skydelį

Hakeriams labiausiai intriguojanti svetainės dalis yra „admin“ prietaisų skydas, kuris iš tiesų yra labiausiai apsaugota dalis. Taigi, užpulti stipriausiąją dalį yra tikras iššūkis. Jei tai bus įvykdyta, tai suteikia įsilaužėjui moralinę pergalę ir galimybę padaryti daug žalos.

Štai ką galite padaryti, kad apsaugotumėte „WordPress“ svetainės administratoriaus informacijos suvestinę:

15. Apsaugokite wp-admin katalogą

„Wp-admin“ katalogas yra bet kurios „WordPress“ svetainės širdis. Todėl, jei ši jūsų svetainės dalis bus pažeista, visa svetainė gali būti sugadinta.

Vienas iš galimų būdų to išvengti yra apsaugoti slaptažodžiu wp-admin katalogą. Naudodamiesi tokia „WordPress“ saugos priemone, svetainės savininkas gali pasiekti informacijos suvestinę pateikdamas du slaptažodžius. Vienas apsaugo prisijungimo puslapį, o kitas apsaugo „WordPress“ administratoriaus sritį.

Tai nustatant paprastai reikia priderinti prieglobos sąranką per „cPanel“. Vis dėlto tai padaryti nėra per sunku atlikite teisingus veiksmus.

16. Norėdami užšifruoti duomenis, naudokite SSL

SSL („Secure Socket Layer“) sertifikato įdiegimas yra vienas protingas žingsnis norint apsaugoti administratoriaus skydą. SSL užtikrina saugų duomenų perdavimą tarp vartotojo naršyklių ir serverio, todėl įsilaužėliams tampa sunku nutraukti ryšį ar sugadinti jūsų informaciją..

Gauti SSL sertifikatą savo „WordPress“ svetainei yra paprasta. Galite įsigyti jį iš trečiosios šalies įmonės arba pasitikrinti, ar jūsų prieglobos įmonė tokį teikia nemokamai.

leidžia šifruoti

Daugelyje savo svetainių naudoju nemokamą atvirojo kodo SSL sertifikatą „Let’s Encrypt“. Bet kuri gera prieglobos įmonė, tokia kaip „SiteGround“, siūlo nemokamą „Let’s Encrypt SSL“ sertifikatą su savo prieglobos paketais.

SSL sertifikatas taip pat turi įtakos jūsų svetainės „Google“ reitingams. „Google“ linkusi reitingo svetaines, kurių SSL yra aukštesnis nei tie, kurie jo neturi. Tai reiškia didesnį srautą. Dabar kas to nenori?

Įjungti SSL savo „WordPress“ svetainėje yra labai paprasta. 99% atvejų viskas, ką jums reikia padaryti, tai įdiegti „Really Simple SSL“ papildinį ir jį suaktyvinti. Jokių kitų nustatymų nereikia.


Tikrai paprastas SSL Tikrai paprastas SSL

Autorius (-ai): Rogier Lankhorst, Markas Woltersas

Dabartinė versija: 3.3.3

Paskutinį kartą atnaujinta: 2020 m. Gegužės 18 d

tikrai-paprastas-s.3.3.3.zip


100% reitingai


4 000 000 + diegimų


WP 4.6 + reikalinga

17. Atsargiai pridėkite vartotojo paskyras

Jei naudojate „WordPress“ tinklaraštį, tiksliau, kelių autorių tinklaraštį, turite bendrauti su keliais žmonėmis, pasiekiančiais jūsų administratoriaus skydą. Tai gali padaryti jūsų svetainę labiau pažeidžiamą „WordPress“ saugumo grėsmių.

Galite naudoti papildinį kaip Priverčiami stiprūs slaptažodžiai jei norite įsitikinti, kad visi slaptažodžiai, kuriuos naudoja vartotojai, yra saugūs. Tai tik atsargumo priemonė, tačiau tai geriau nei turėti kelis vartotojus su silpnais slaptažodžiais.


Priverčiami stiprūs slaptažodžiai Priverčiami stiprūs slaptažodžiai

Autorius (-ai): Jasonas Cosperis

Dabartinė versija: 1.8.0

Paskutinį kartą atnaujinta: 2017 m. Lapkričio 9 d

jėgos- stiprūs- slaptažodžiai.1.8.zip


86% reitingai


10 000 ir daugiau diegimų


WP 3.7 + reikalinga

18. Pakeiskite administratoriaus vartotojo vardą

Diegdami „WordPress“ niekada neturėtumėte pasirinkti "administratorius" kaip pagrindinės administratoriaus paskyros naudotojo vardą. Toks lengvai atspėjamas vartotojo vardas yra prieinamas įsilaužėliams. Viskas, ką jiems reikia išsiaiškinti, yra slaptažodis, tada visa jūsų svetainė patenka į netinkamas rankas.

administratoriaus vartotojo vardo keitimas

Negaliu pasakyti, kiek kartų aš peržiūriu savo svetainės žurnalus ir radau prisijungimo bandymus naudodamas vartotojo vardą "administratorius".

„IThemes Security“ papildinys gali sustabdyti tokius bandymus iš karto uždrausdamas bet kokį IP adresą, bandantį prisijungti tokiu vartotojo vardu.

19. Stebėkite savo failus

Jei norite papildomos „WordPress“ saugos, stebėkite savo svetainės failų pakeitimus naudodami papildinius, pvz „Wordfence“, arba vėl „iThemes Security“.


„Wordfence“ sauga - ugniasienės ir kenkėjiškų programų nuskaitymas „Wordfence“ sauga – ugniasienė & Kenkėjiškų programų nuskaitymas

Autorius (-ai): „Wordfence“

Dabartinė versija: 7.4.7

Paskutinį kartą atnaujinta: 2020 m. Balandžio 23 d

wordfence.7.4.7.zip


96% reitingai


3 000 000 + diegimų


WP 3.9 + reikalinga

D dalis: apsaugokite savo „WordPress“ svetainę per duomenų bazę

Visi jūsų svetainės duomenys ir informacija yra saugomi duomenų bazėje. Rūpintis ja būtina. Štai keletas dalykų, kuriuos galite padaryti, kad jis būtų saugesnis:

20. Pakeiskite „WordPress“ duomenų bazės lentelės priešdėlį

Jei kada nors įdiegėte „WordPress“, tada esate susipažinęs su „wp“ lentelės priešdėliu, kurį naudoja „WordPress“ duomenų bazė. Aš rekomenduoju pakeisti tai į ką nors išskirtinio.

Naudojant numatytąjį priešdėlį, jūsų svetainės duomenų bazė tampa linkusi į SQL įpylimo atakas. Tokius išpuolius galima išvengti pakeitus wp- į kitą terminą. Pavyzdžiui, galite padaryti jį „mywp“ arba „wpnew“-.

Jei jau įdiegėte savo „WordPress“ svetainę su numatytuoju priešdėliu, tuomet galite naudoti keli įskiepiai kad tai pakeistum. Įskiepiai patinka WP-DBManager arba „iThemes Security“ gali padėti atlikti darbą tik vienu mygtuko paspaudimu. (Prieš darydami ką nors į duomenų bazę, būtinai sukurkite atsarginę savo svetainės kopiją).


WP-DBManager WP-DBManager

Autorius (-ai): Lesterio „GaMerZ“ Chanas

Dabartinė versija: 2.80.3

Paskutinį kartą atnaujinta: 2020 m. Gegužės 20 d

wp-dbmanager.2.80.3.zip


88% reitingai


100 000 ir daugiau įdiegimų


WP 4.0 + reikalinga

21. Reguliariai darykite atsargines kopijas, kad apsaugotumėte savo „WordPress“ svetainę

Kad ir kokia saugi būtų jūsų „WordPress“ svetainė, visada yra kur tobulėti. Bet dienos pabaiga yra geriausias priešnuodis, kad ir kur būtumėte.

Jei turite atsarginę kopiją, bet kuriuo metu galite atkurti „WordPress“ svetainės darbinę būseną. Yra keletas įskiepių, kurie gali jums padėti šiuo atžvilgiu. Pavyzdžiui, yra visi šie dalykai.

Jei jūs ieškote aukščiausios kokybės sprendimo, tada aš rekomenduoju „VaultPress“ „Automattic“, kas yra puiku. Aš jį nustatiau, todėl kiekvieną savaitę jis sukuria atsargines kopijas. Jei kas nors nutiktų, galiu lengvai atkurti svetainę vienu paspaudimu.

Aš žinau, kad kai kurios didesnės svetainės sukuria atsargines kopijas kas valandą, tačiau daugumai organizacijų tai visiškai nepaprasta. Jau nekalbant apie tai, jūs turėsite užtikrinti, kad dauguma tų atsarginių kopijų bus ištrinta padarius naują, nes kiekvienas atsarginis failas užima vietos jūsų diske. Beje, daugumai organizacijų rekomenduočiau kurti atsargines kopijas kas savaitę ar kas mėnesį.

Be atsarginių kopijų, „VaultPress“ taip pat tikrina, ar mano svetainėje nėra kenkėjiškų programų, ir įspėja mane, jei vyksta kas nors šešėlinio..

22. Nustatykite stiprius savo duomenų bazės slaptažodžius

Svarbus pagrindinio duomenų bazės vartotojo slaptažodis yra būtinas, nes šį slaptažodį „WordPress“ naudoja prieigai prie duomenų bazės.

Kaip visada, įveskite slaptažodį didžiosiomis, mažosiomis raidėmis, skaičiais ir specialiaisiais simboliais. Taip pat puikios yra frazės. Dar kartą rekomenduoju „LastPass“ atsitiktiniam slaptažodžio generavimui ir saugojimui. Nemokamas ir greitas įrankis stipriems slaptažodžiams sukurti yra Saugus slaptažodžio generatorius.

slaptažodžiai

23. Stebėkite savo audito žurnalus

Kai naudojate „WordPress“ svetainę ar tvarkote kelių autorių svetainę, labai svarbu suprasti, kokia vartotojo veikla vykdoma. Rašytojai ir bendraautoriai gali pakeisti slaptažodžius, tačiau yra ir kitų dalykų, kurių galbūt nenorėtumėte daryti. Pavyzdžiui, akivaizdu, kad temos ir valdiklio pakeitimai yra skirti tik administratoriams. Tikrindami audito žurnalą galėsite įsitikinti, kad administratoriai ir bendraautoriai nemėgina ką nors pakeisti jūsų svetainėje be patvirtinimo..

audito žurnalas

WP saugos audito žurnalas papildinys pateikia visą šios veiklos sąrašą, taip pat pranešimus el. paštu ir ataskaitas el. paštu. Paprasčiausias audito žurnalas gali padėti pastebėti, kad rašytojui kyla problemų prisijungiant. Tačiau papildinys taip pat gali atskleisti kenksmingą vieno iš jūsų vartotojų veiklą.


WP veiklos žurnalas (buvęs WP saugos audito žurnalas) WP veiklos žurnalas (buvęs WP saugos audito žurnalas)

Autorius (-ai): WP Baltoji apsauga

Dabartinė versija: 4.1.0

Paskutinį kartą atnaujinta: 2020 m. Gegužės 26 d

wp-security-audit-log.4.1.0.zip


96% reitingai


100 000 ir daugiau įdiegimų


WP 3.6 + reikalinga

(E dalis): apsaugokite „WordPress“ svetainę naudodami temas ir papildinius

Temos ir papildiniai yra pagrindiniai bet kurios „WordPress“ svetainės komponentai. Deja, jie taip pat gali kelti rimtą grėsmę saugumui. Sužinokime, kaip tinkamai apsaugoti jūsų „WordPress“ temas ir papildinius:

24. Reguliariai atnaujinkite „WordPress“ apsaugą

Kiekvieną gerą programinės įrangos produktą palaiko jo kūrėjai ir jis atnaujinamas dabar. Šie atnaujinimai yra skirti pašalinti klaidas ir kartais turi svarbius saugos pataisymus. „WordPress“ ir jo papildiniai nesiskiria.

Neatnaujinus temų ir papildinių gali kilti problemų. Daugelis įsilaužėlių pasikliauja vien tuo, kad žmonėms nesivargina atnaujinti papildinių ir temų. Dažniausiai tie įsilaužėliai naudojasi klaidomis, kurios jau yra ištaisytos.

Taigi, jei naudojate kokį nors „WordPress“ produktą, reguliariai jį atnaujinkite. Įskiepiai, temos, viskas. Geros žinios yra tai, kad „WordPress“ automatiškai išleidžia naujinius savo vartotojams, todėl gausite el. Laišką, kuriame bus pranešta apie atnaujinimą ir informaciją apie prietaisų skydelio pataisas..

Kalbant apie papildinius, juos reikia atnaujinti rankiniu būdu, einant į Papildiniai jūsų prietaisų skydelyje. Kai papildinys turi naują versiją, jis jums apie tai praneša ir pateikia nuorodą atnaujinti dabar.

atnaujinti papildinius

Kaip alternatyvą galite pasirinkti valdomą „WordPress“ prieglobos planą. Kartu su daugeliu kitų jūsų „WordPress“ saugos funkcijų ir patobulinimų, valdomame priegloboje siūlomi automatiniai visų „WordPress“ svetainės elementų atnaujinimai..

Kai kurie valdomi prieglobos paslaugų teikėjai yra „Kinsta“, „SiteGround“ ir „smagratis“. Čia galite sužinoti daugiau apie geriausiai valdomą „WordPress“ prieglobą.

25. Pašalinkite „WordPress“ versijos numerį

Dabartinį „WordPress“ versijos numerį galite rasti labai lengvai. Iš esmės tai yra jūsų svetainės šaltinio rodinyje. Taip pat galite tai pamatyti prietaisų skydelio apačioje (tačiau tai nesvarbu, kai bandote apsaugoti savo „WordPress“ svetainę).

versijos numeris

Štai toks dalykas: jei įsilaužėliai žino, kurią „WordPress“ versiją naudojate, jiems lengviau pritaikyti tobulą ataką..

Savo versijos numerį galite paslėpti beveik kiekviename aukščiau minėtame „WordPress“ saugos papildinyje.

Norėdami gauti daugiau rankinio požiūrio (taip pat norėdami pašalinti versijos numerį iš RSS rinkmenų), apsvarstykite galimybę į savo function.php failą įtraukti šią funkciją:

funkcija wpbeginner_remove_version () {
grįžti ”;
}
add_filter (‘the_generator’, ‘wpbeginner_remove_version’);

Paskutinės mintys, kaip apsaugoti „WordPress“ svetainę

Jei esate pradedantysis, tada to reikėjo imtis daug. Tačiau viskas, ką paminėjau šiame straipsnyje, yra žingsnis teisinga linkme. Kuo labiau jums rūpi jūsų „WordPress“ saugumas, tuo sunkiau įsilaužėjui įsilaužti.

Tačiau atsižvelgiant į tai, turbūt ne mažiau svarbu, kaip ir saugumas, yra interneto svetainės našumas. Iš esmės be svetainės, kuri greitai įkeliama, lankytojai niekada neturės galimybės suvartoti jūsų turinio. Vidutinis svetainės lankytojas palauks tik 2 sekundes, kol nusivils ir išeis.

Čia yra keletas šaltinių, kurie gali padėti laimėti našumo žaidimą ir įsitikinti, kad jūsų svetainė greitai įkeliama:

  • ��️ Naudokite kokybišką CDN. Kai kurie iš jų yra net nemokami. Čia pateiktas populiariausių variantų palyginimas: „MaxCDN vs CloudFlare“ ir „Amazon CloudFront“ vs „Akamai Edge“ arba „Fastly“
  • ��️ Kai kuriuos dalykus sureguliuokite po savo svetainės gaubtu. Čia yra 11 būdų, kaip pagreitinti „WordPress“

Jei turite klausimų, kaip apsaugoti „WordPress“ svetainę, praneškite mums komentaruose ir mes atsakysime į juos! Taigi, kokie yra jūsų „WordPress“ saugumo iššūkiai?

Nepamirškite prisijungti prie avarijos kurso, kaip pagreitinti jūsų „WordPress“ svetainę. Taikydami keletą paprastų pataisų galite sumažinti įkrovimo laiką net 50–80%:

Parašė Ahmadas Awaisas, Joe Warnimontas, Karolis K.

* Šiame įraše yra filialų nuorodos, o tai reiškia, kad jei spustelėsite vieną iš produktų nuorodų ir nusipirksite produktą, gausime nedidelį mokestį. Vis dėlto nesijaudinkite, vis tiek mokėsite standartinę sumą, todėl iš jūsų nereikės mokėti.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Это интересно
    Adblock
    detector