25 טריקים פשוטים לאבטחת וורדפרס לשמירה על בטיחות אתרכם בשנת 2020

25 טריקים פשוטים לאבטחת וורדפרס לשמירה על בטיחות אתרכם בשנת 2020

25 טריקים פשוטים לאבטחת וורדפרס לשמירה על בטיחות אתרכם בשנת 2020
СОДЕРЖАНИЕ
02 июня 2020

שמעתי בעלי אתרים רבים מתלוננים על אבטחת וורדפרס. המחשבה היא שתסריט של קוד פתוח פגיע לכל מיני התקפות. האם זו עובדה? ואם כן, כיצד תוכלו לאבטח את אתר וורדפרס שלכם?


למרבה המזל, היעדר האבטחה המובנית של וורדפרס הוא מיתוס. למעשה, לפעמים זה הפוך – אתרי וורדפרס בטוחים בהרבה מאחיהם ואחיותיהם המקוונים.

כיום אני מתכנן לדון בלא מעט טריקים פשוטים שיכולים לעזור לכם לאבטח את אתר וורדפרס שלכם ביתר שאת.

לאחר יישום טקטיקות אלה ומעקב אחר בדיקות אבטחה מתמשכות של וורדפרס, אתה תהיה בדרך לאבטח את אתר WordPress שלך לתמיד.

אבטחת וורדפרס: טריקים פשוטים לאבטחת אתר וורדפרס שלך

תוכן עניינים:

אבטח את אירוח האינטרנט שלך
�� למנוע התקפות כניסה וכוח ברוט
אבטח את לוח המחוונים של וורדפרס
אבטח את מסד הנתונים של WordPress
אבטח את העיצובים והתוספים שלך

Contents

חלק (א): אבטח את אתר WordPress שלך על ידי הקפדה על אירוח בטוח

כמעט כל חברות האירוח טוענות כי הן מספקות סביבה מיטבית עבור וורדפרס, אך האם יש להן??

1. עבדו רק עם מארחים טובים

עליך לעבוד רק עם אירוח אמין, איכותי ובטוח. העצה הזו נראית ברורה, צודקת?

פחות או יותר, כולם חושבים שהאירוח שלהם נהדר עד שמשהו נשבר לראשונה. בעולם האמיתי, לא כל חברות האירוח והיצע האירוח נוצרות שוות.

אם תסתכל באחד מסקרי האירוח שלנו, תראה עד כמה חוויותיהם של אנשים שונים מבחינת איכות האירוח הכוללת וגם היבטים פרטניים של מערכי האירוח שלהם, כמו אבטחה, אמינות, מהירות וכו ‘..

חלק מהמארחים הם פשוט תת-שוויוניים ולא מצליחים להיות תחת לחץ.

החדשות הרעות כאן הן שרוב הזמן אתה אפילו לא יודע שהמארח שלך לא לוקח מספיק את האבטחה באתר שלך. דברים כמו התקפות האקרים מוגברות, השבתה תכופה, ביצועים נמוכים, עשויים כולם כתוצאה ממנגנוני אבטחה לא מספקים.

המציאות היא שאתה לא באמת הולך אליו "תקן את המארח שלך." הפיתרון הקל והטוב ביותר הוא לעבור למארח אחר שמאובטח יותר.

באופן כללי, ככל שתשלמו יותר, כך המארח החדש שלכם יהיה טוב יותר, אך יש גם כמה אפשרויות תקציב שתוכלו לשקול.

אם ברצונך לרדת לעומק הנושא, יש לנו השוואות בין אפשרויות האירוח הטובות ביותר שקיימות שם, בנוסף לסקרים האמורים שבהם תוכל לראות מה אנשים אחרים אומרים.

הנה המלצה קצרה אם אתה ממהר:

  • �� הגדרת הכוח הטובה ביותר. קינסטה. תמורת 100 $ לחודש, תוכלו לארח עד 5 אתרים ולקבל בברכה ~ 100,000 מבקרים.
  • �� מארח מנוהל ברמת הכניסה. גלגל תנופה. תמורת $ 13.00 לחודש, תוכלו לארח אתר אחד ולקבל בברכה ~ 5,000 מבקרים.
  • �� בחירת תקציב. SiteGround. במחיר של $ 3.95 לחודש תוכלו לארח אתר אחד.

2. הגן על קובץ wp-config.php

קובץ wp-config.php מכיל מידע חיוני על התקנת וורדפרס שלך, והוא הקובץ החשוב ביותר בספריית השורש של האתר שלך. הגנה עליו פירושה אבטחת ליבת הבלוג של וורדפרס שלך.

טקטיקה זו מקשה על האקרים להפר את האבטחה של האתר שלך, מכיוון שקובץ wp-config.php הופך להיות בלתי נגיש עבורם.

כבונוס, תהליך ההגנה הוא ממש קל. פשוט קח את קובץ ה- wp-config.php שלך והעבר אותו לרמה גבוהה יותר מתיקיית השורש שלך.

כעת, השאלה היא אם אתה מאחסן אותו במקום אחר, איך השרת ניגש אליו? בארכיטקטורת הוורדפרס הנוכחית, הגדרות קובץ התצורה מוגדרות לגבוהות ביותר ברשימת העדיפות. לכן, גם אם היא מאוחסנת תיקיה אחת מעל ספריית השורש, וורדפרס עדיין יכולה לראות אותה.

3. בטל עריכת קבצים

אם למשתמש יש גישה של מנהל מערכת ללוח המחוונים של וורדפרס, הוא יכול לערוך את כל הקבצים שהם חלק מהתקנת WordPress שלך. זה כולל את כל התוספים והנושאים.

אם תאסר את עריכת הקבצים, אף אחד לא יוכל לשנות אף אחד מהקבצים – גם אם האקר משיג גישה של מנהל מערכת ללוח המחוונים של וורדפרס..

כדי לבצע עבודה זו, הוסף את הדברים הבאים לקובץ wp-config.php (בסוף):

הגדירו (‘DISALLOW_FILE_EDIT’, נכון);

4. הגדר בזהירות את הרשאות הספריה

הרשאות ספריות לא נכונות יכולות להיות קטלניות, במיוחד אם אתה עובד בסביבת אירוח משותפת.

במקרה כזה, שינוי קבצים והרשאות ספרייה הוא מהלך טוב לאבטחת האתר ברמת האירוח. הגדרת הרשאות הספריה ל "755" וקבצים ל- "644" מגן על מערכת הקבצים כולה – ספריות, ספריות משנה וקבצים בודדים.

ניתן לעשות זאת באופן ידני דרך מנהל הקבצים בלוח הבקרה של אירוח, או דרך הטרמינל (מחובר ל- SSH) – השתמשו ב "chmod" פקודה.

לקבלת מידע נוסף, תוכלו לקרוא על הנכון ערכת הרשאה עבור וורדפרס או התקן את התוסף iThemes Security כדי לבדוק את הגדרות ההרשאה הנוכחיות שלך.

5. השבת את רשימת הספריות באמצעות .htaccess

אם תיצור ספרייה חדשה כחלק מאתר האינטרנט שלך ולא תכניס לתוכו קובץ index.html, אתה עלול להיות מופתע לגלות שהמבקרים שלך יכולים לקבל רשימת ספריות מלאה על כל מה שנמצא בספרייה זו..

לדוגמה, אם אתה יוצר ספרייה בשם "נתונים", אתה יכול לראות הכל בספרייה זו על ידי הקלדת http://www.example.com/data/ בדפדפן שלך. אין צורך בסיסמה או כל דבר.

אתה יכול למנוע זאת על ידי הוספת שורת הקוד הבאה בקובץ ה- htaccess שלך:

אפשרויות הכל – מדדים

6. חסום את כל הקישורים החמים

נניח שאתה מאתר תמונה ברשת ורוצה לשתף אותה באתר שלך. ראשית, אתה צריך אישור או לשלם עבור אותה תמונה, אחרת יש סיכוי טוב שלא יהיה חוקי לעשות זאת. אך אם תקבל אישור, תוכל למשוך ישירות את כתובת האתר של התמונה ולהשתמש בה כדי להציב את התמונה בפוסט שלך. הבעיה העיקרית כאן היא שהתמונה מוצגת באתר שלך, אך מתארחת בשרת של אתר אחר.

מנקודת מבט זו אין לך שליטה בשאלה אם התמונה נשארת בשרת או לא. אבל חשוב גם להבין שאנשים עשויים לעשות זאת לאתר שלך.

אם אתה מנסה לאבטח את אתר WordPress שלך, קישור חם הוא בעצם אדם אחר שמצלם את עצמך וגוזל את רוחב הפס של השרת כדי להציג את התמונה באתר האינטרנט שלהם. בסופו של דבר תראה מהירות טעינה איטית יותר ואת הפוטנציאל לעלויות שרת גבוהות.

למרות שיש כמה טכניקות ידניות למניעת קישור חם, השיטה הקלה ביותר היא למצוא תוסף אבטחה של וורדפרס למשימה. למשל, ה- הכל ב- WP אבטחה וחומת אש התוסף כולל כלים מובנים לחסימה של כל קישור חם.


הכל באחד WP אבטחה וחומת אש כל אבטחת WP & חומת אש

מחבר / ים: טיפים וטריקים HQ, פיטר פטרסקי, רוחול, קיסוס

גרסה נוכחית: 4.4.3

עודכן לאחרונה: 11 במרץ, 2020

all-in-one-wp-security-and-firewall.zip


96% דירוגים


800,000 + התקנות


WP 4.7 + דורש

7. הבנה והגנה מפני התקפות DDoS

התקפת DDoS היא סוג נפוץ של שביתה נגד רוחב הפס של השרת שלך, שם התוקף משתמש במספר תוכניות ומערכות כדי להעמיס על השרת שלך. למרות שתקיפה כזו אינה מסכנת את קבצי האתר שלך, היא אמורה לקרוס את האתר שלך במשך תקופה ארוכה אם לא תיפתר. בדרך כלל אתה שומע רק על התקפות DDoS כשזה קורה לחברות גדולות כמו GitHub או Target. הם מנוהלים על ידי מה שרבים מכנים טרוריסטים ברשת, כך שהמניע יכול פשוט להיות הרס.

עם זאת, אינך צריך להיות חברת Fortune 500 כדי להיות בסיכון.

אם זה מדאיג אותך, אנו ממליצים להירשם ל סוקורי או פרח ענן תוכניות פרמיה. לפתרונות אלה יש חומות אש של יישומי אינטרנט לניתוח רוחב הפס המשמש ולחסימת התקפות DDoS לחלוטין.

חלק (ב): אבטח את אתר וורדפרס שלך על ידי הגנה על דף הכניסה ומניעת התקפות כוח סוער

כולם מכירים את כתובת האתר הרגילה של דף ההתחברות של וורדפרס. משם גישה לגב האתרי של האתר, וזו הסיבה שאנשים מנסים לפזר את דרכם פנימה. פשוט הוסף /wp-login.php או / wp-admin / בסוף שם הדומיין שלך ושם אתה הולך.

מה שאני ממליץ הוא להתאים אישית את כתובת האתר של דף הכניסה ואפילו את האינטראקציה של הדף. זה הדבר הראשון שאני עושה כשאני מתחיל לאבטח את האתר שלי.

למה? מכיוון שבדרך כלל זו אשמת המשתמש בכך שהאתר שלו נפרץ. יש כמה תחומי אחריות שאתה צריך לדאוג להם כבעל אתר. אז שאלת המפתח היא, מה הם אתה עושה כדי לחסוך את האתר שלך? הגנה על דף ההתחברות ומניעת התקפות כוח סוער היא אחד הדברים הטובים ביותר שתוכלו לעשות.

להלן כמה הצעות לאבטחת דף הכניסה לאתר וורדפרס שלך:

8. הגדר תכונה של נעילת אתר ואיסור על משתמשים

תכונת נעילה לניסיונות כניסה נכשלים יכולה לפתור את הבעיה האדירה של ניסיונות כוח ברוטים מתמשכים. בכל פעם שיש ניסיון פריצה עם סיסמאות שגויות שחוזרות על עצמן, האתר נעול ותקבלו הודעה על פעילות לא מורשית זו..

גיליתי שה- iThemes אבטחה התוסף הוא אחד מהתוספים הטובים ביותר שקיימים שם, ואני משתמש בו כבר לא מעט זמן. לתוסף יש הרבה מה להציע מבחינה זו. יחד עם יותר משלושים אמצעי אבטחה מדהימים של וורדפרס, אתה יכול לציין מספר מסוים של ניסיונות כניסה כושלים לפני שהתוסף אוסר על כתובת ה- IP של התוקף..


iThemes Security (לשעבר אבטחת WP טובה יותר) iThemes Security (לשעבר אבטחת WP טובה יותר)

מחבר / ים: iThemes

הגרסה הנוכחית: 7.7.1

עודכן לאחרונה: 20 באפריל, 2020

better-wp-security.7.7.1.zip


94% דירוגים


900,000 + התקנות


WP 5.2 + דורש

9. השתמש באימות דו-גורמי לצורך אבטחת וורדפרס

הצגת מודול אימות דו-גורמי (2FA) בדף ההתחברות היא אמצעי אבטחה טוב נוסף. במקרה זה, המשתמש מספק פרטי כניסה לשני רכיבים שונים. בעל האתר מחליט מהם שני אלה. זו יכולה להיות סיסמא רגילה ולאחריה שאלה סודית, קוד סודי, מערכת תווים או פופולרית יותר, אפליקציית המאמת של גוגל, ששולחת קוד סודי לטלפון שלך. בדרך זו, רק האדם עם הטלפון שלך (אתה) יכול להיכנס לאתר שלך.

אני מעדיף להשתמש בקוד סודי בעת פריסת 2FA באחד מהאתרים שלי. ה המאמת של גוגל התוסף עוזר לי עם זה בכמה לחיצות.


מאמת גוגל - אימות וורדפרס דו גורמי (2FA, MFA) מאמת גוגל – אימות וורדפרס דו גורמי (2FA, MFA)

מחבר / ים: מיני אורנג ‘

גרסה נוכחית: 5.4.5

עודכן לאחרונה: 15 במאי 2020

miniorange-2-factor-authentication.zip


90% דירוגים


20,000 + התקנות


3.0.1 משלים

10. השתמש בדוא”ל שלך כדי להתחבר

כברירת מחדל, עליך להזין את שם המשתמש שלך בכדי להיכנס ל- WordPress. שימוש במזהה דוא”ל במקום שם משתמש זו גישה בטוחה יותר. הסיבות ברורות למדי. קל לחזות שמות משתמשים, בעוד שמזהי דוא”ל אינם. כמו כן, כל חשבון משתמש של וורדפרס נוצר עם כתובת דוא”ל ייחודית, מה שהופך אותו לזיהוי תקף לכניסה.

מספר תוספי אבטחה של וורדפרס מאפשרים לך להגדיר דפי כניסה כך שכל המשתמשים חייבים להשתמש בכתובות הדוא”ל שלהם כדי להתחבר.

11. שנה את שם כתובת האתר שלך בכדי לאבטח את אתר WordPress שלך

קל לעשות זאת בשינוי כתובת האתר להתחברות. כברירת מחדל ניתן לגשת בקלות לדף ההתחברות של וורדפרס באמצעות wp-login.php או wp-admin שנוספו לכתובת האתר הראשית של האתר..

כאשר האקרים מכירים את כתובת האתר הישירה של דף הכניסה שלך, הם יכולים לנסות להתחמק בכוח. הם מנסים להתחבר באמצעות GWDb (מסד נתונים של Guess Work, כלומר מסד נתונים של שמות משתמשים וסיסמאות נחשבים; למשל שם משתמש: מנהל וסיסמא: p @ ssword … עם מיליוני שילובים כאלה).

בשלב זה, כבר הגבלנו את ניסיונות הכניסה למשתמש והחלפנו שמות משתמש עבור מזהי דוא”ל. כעת אנו יכולים להחליף את כתובת האתר להתחברות ולהיפטר מ -99% מהתקפות כוח ישיר של הזרוע.

הטריק הקטן הזה מגביל גישה בלתי מורשית לגישה לדף הכניסה. רק מישהו עם כתובת האתר המדויקת יכול לעשות זאת.

הדרך הקלה ביותר לשנות את כתובת האתר שלך להתחברות היא להשתמש בתוסף בשם WPS הסתר כניסה. זה מאוד פשוט לשימוש; פשוט הזן את כתובת האתר של דף הכניסה החדש שלך ושמור את השינויים. אתה יכול להגדיר את ה- URL לכל דבר שתרצה.


WPS הסתר כניסה WPS הסתר כניסה

מחבר / ים: WPServeur, NicolasKulka, tabrisrp

גרסה נוכחית: 1.5.6

עודכן לאחרונה: 9 במרץ, 2020

wps-hide-login.1.5.6.zip


98% דירוגים


600,000 + התקנות


WP 4.1 + דורש

12. התאם את הסיסמאות שלך

הסתובב עם הסיסמאות שלך ושנה אותן באופן קבוע כדי לאבטח את אתר WordPress שלך. שפר את חוזקם על ידי הוספת מילים נוספות והארכת הסיסמאות שלך ארוכות יותר.

שימו לב שאנחנו לא בהכרח ממליצים לכם להמשיך להוסיף אותיות גדולות וקטנות, מספרים ותווים מיוחדים לסיסמאות שלכם. אנשים רבים בוחרים בביטויי סיסמה ארוכים במקום מכיוון שזה כמעט בלתי אפשרי להאקרים לחזות אך קל יותר לזכור מהם חבורה של מספרים ואותיות אקראיות.

יש קומיקס פופולרי מאת xkcd כיצד ניתן להונות כמה סיסמאות מאובטחות לכאורה:

חוזק סיסמה

מסתבר ששימוש בביטוי מסובך לעיתים קרובות יכול להיות הרבה יותר בטוח וגם קל יותר לזכור פי 10.

13. השתמש במנהל סיסמאות

אוקיי, כולנו יודעים שעלינו לשנות את הסיסמאות שלנו לעיתים קרובות וכי עליהם להיות קשים לפיצוח. אנחנו יודעים מה אנחנו "צריך" לעשות, אבל זה לא תמיד משהו שיש לנו זמן אליו.

כאן נכנסים לשחק כמה מנהלי סיסמאות איכותיים. הם לא רק ייצרו עבורכם סיסמאות בטוחות, אלא ישמרו אותם בתוך כספת מאובטחת, מה שיחסוך לכם את הטרחה שבחייכם לזכור אותם..

הנה השוואה מעמיקה משלנו הבוחנת את מנהלי הסיסמאות הטובים ביותר בשוק.

14. כניסה אוטומטית של משתמשים סרק מהאתר שלך

משתמשים שמשאירים את פאנל ה- wp-admin של האתר שלך פתוח על המסכים שלהם יכולים להוות איום אבטחה רציני בוורדפרס. כל עובר אורח יכול לשנות מידע באתר שלך, לשנות את חשבון המשתמש של אדם או אפילו לשבור את האתר שלך לחלוטין. אתה יכול להימנע מכך על ידי הבטחה שהאתר שלך מתנתק מאנשים לאחר שהם היו במצב סרק במשך תקופת זמן מסוימת.

אתה יכול להגדיר זאת באמצעות תוסף כמו BulletProof Security. תוסף זה מאפשר לך להגדיר מגבלת זמן בהתאמה אישית למשתמשים סרוקים, שלאחריהם הם יינתקו אוטומטית.


BulletProof Security BulletProof Security

מחבר / ים: AITpro אבטחת אתרים

גרסה נוכחית: 4.0

עודכן לאחרונה: 29 באפריל, 2020

Bulletproof-security.4.0.zip


96% דירוגים


60,000 + התקנות


WP 3.8 + דורש

חלק (ג): אבטח את אתר WordPress שלך דרך לוח המחוונים של מנהל המערכת

עבור האקר, החלק המסקרן ביותר באתר הוא לוח המחוונים של הניהול, שהוא אכן החלק המוגן מכולם. אז התקפה על החלק החזק ביותר היא האתגר האמיתי. אם הושג, זה מעניק להאקר ניצחון מוסרי והגישה לגרום נזק רב.

הנה מה שאתה יכול לעשות כדי לאבטח את לוח המחוונים המנהל של אתר וורדפרס שלך:

15. הגן על ספריית wp-admin

ספריית ה- wp-admin היא הלב של כל אתר בוורדפרס. לכן, אם חלק זה באתר שלך יופר, אז האתר כולו יכול להיפגע.

אחת הדרכים האפשריות למנוע זאת היא הגנה באמצעות סיסמה של ספריית wp-admin. באמצעי אבטחה כזה של וורדפרס, בעל האתר עשוי לגשת ללוח המחוונים על ידי הגשת שתי סיסמאות. האחד מגן על דף הכניסה, והשני מאבטח את אזור הניהול של WordPress.

הגדרת זה בדרך כלל כוללת התאמת הגדרת האירוח שלך באמצעות cPanel. עדיין, זה לא קשה מדי אם אתה עקוב אחר הצעדים הנכונים.

16. השתמש ב- SSL כדי להצפין נתונים

הטמעת תעודת SSL (Secure Socket Layer) היא מהלך חכם אחד לאבטחת לוח הניהול. SSL מבטיח העברת נתונים מאובטחת בין דפדפני המשתמשים לשרת, ומקשה על האקרים להפר את החיבור או לזייף את המידע שלכם..

קבלת אישור SSL לאתר וורדפרס שלך הוא פשוט. אתה יכול לרכוש חברה מחברת צד ג ‘או לבדוק אם חברת האירוח שלך מספקת אחת בחינם.

מאפשר להצפין

אני משתמש בתעודת ה- SSL של קוד פתוח בחינם של ‘קוד הצפנה’ ברוב האתרים שלי. כל חברת אירוח טובה כמו SiteGround מציעה תעודת SSL SSL בחינם עם חבילות האירוח שלה.

אישור ה- SSL משפיע גם על דירוג האתר שלך בגוגל. גוגל נוטה דרג אתרים עם SSL גבוה יותר מאלה שבלעדיו. זה אומר יותר תנועה. עכשיו מי לא רוצה את זה?

הפעלת SSL באתר וורדפרס שלך היא פשוטה מאוד. ב 99% מהמקרים כל שעליך לעשות הוא להתקין את תוסף ה- SSL Really Simple ולהפעיל אותו. אין צורך בהגדרות אחרות.


ממש פשוט SSL ממש פשוט SSL

מחבר / ים: רוג’יר לנקורסט, מארק וולטרס

גרסה נוכחית: 3.3.3

עודכן לאחרונה: 18 במאי 2020

באמת- פשוט-ssl.3.3.3.zip


100% דירוגים


4,000,000 + התקנות


WP 4.6 + דורש

17. הוסף חשבונות משתמש בזהירות

אם אתה מנהל בלוג של וורדפרס, או ליתר דיוק בלוג רב מחברים, אתה צריך להתמודד עם אנשים רבים הגישה לפאנל הניהול שלך. זה יכול להפוך את האתר שלך לפגיע יותר לאיומי אבטחה של וורדפרס.

אתה יכול להשתמש בתוסף כמו כוח סיסמאות חזקות אם אתה רוצה לוודא שכל הסיסמאות שמשתמשים מבצעים הן מאובטחות. זהו רק אמצעי זהירות, אך עדיף שיש מספר משתמשים עם סיסמאות חלשות.


כוח סיסמאות חזקות כוח סיסמאות חזקות

מחבר / ים: ג’ייסון קוספר

גרסה נוכחית: 1.8.0

עודכן לאחרונה: 9 בנובמבר 2017

force-strong-passwords.1.8.zip


86% דירוגים


10,000 התקנות +


WP 3.7 + דורש

18. שנה את שם המשתמש של מנהל המערכת

במהלך התקנת וורדפרס שלך, לעולם אל תבחר "מנהל" כשם המשתמש עבור חשבון הניהול הראשי שלך. שם משתמש קל לנחש ניתן לגישה עבור האקרים. כל מה שהם צריכים להבין הוא הסיסמה, ואז כל האתר שלך נמצא לידיים הלא נכונות.

שינוי שם משתמש מנהל

אני לא יכול לומר לך כמה פעמים עיינתי ביומני האתר ומצאתי ניסיונות כניסה עם שם משתמש "מנהל".

תוסף האבטחה iThemes יכול לעצור ניסיונות כאלה על ידי איסור מיידי על כל כתובת IP המנסה להתחבר עם שם משתמש זה.

19. עקוב אחר הקבצים שלך

אם תרצה להוסיף קצת אבטחת וורדפרס, עקוב אחר השינויים בקבצי האתר שלך באמצעות תוספים כמו גדר המילים, או שוב, iThemes Security.


אבטחת Wordfence - סריקת חומת אש ותוכנות זדוניות Wordfence Security – חומת אש & סריקת תוכנה זדונית

מחבר / ים: גדר המילים

הגרסה הנוכחית: 7.4.7

עודכן לאחרונה: 23 באפריל, 2020

wordfence.7.4.7.zip


96% דירוגים


3,000,000 + התקנות


WP 3.9 + דורש

חלק (ד): אבטח את אתר WordPress שלך דרך בסיס הנתונים

כל הנתונים והמידע של האתר שלך מאוחסנים בבסיס הנתונים. הטיפול בזה הוא קריטי. להלן מספר דברים שתוכלו לעשות כדי להפוך אותה לבטוחה יותר:

20. שנה את קידומת טבלת מסד הנתונים של WordPress

אם התקנת אי פעם את וורדפרס, אתה מכיר את קידומת ה- wp-table המשמשת את מסד הנתונים של WordPress. אני ממליץ לך לשנות את זה למשהו ייחודי.

השימוש בקידומת ברירת המחדל הופכת את מסד הנתונים באתר שלך לנטוע להתקפות הזרקת SQL. ניתן למנוע התקפות מסוג זה על ידי שינוי wp- למונח אחר. לדוגמה, אתה יכול להפוך את זה ל- mywp- או wpnew-.

אם כבר התקנת את אתר WordPress שלך עם קידומת ברירת המחדל, תוכל להשתמש כמה תוספים לשנות את זה. תוספים כמו WP-DBManager או iThemes Security יכולים לעזור לך לבצע את העבודה בלחיצת כפתור. (וודא שאתה מגבה את האתר שלך לפני שאתה עושה משהו למסד הנתונים).


WP-DBManager WP-DBManager

מחבר / ים: לסטר ‘GaMerZ’ Chan

גרסה נוכחית: 2.80.3

עודכן לאחרונה: 20 במאי 2020

wp-dbmanager.2.80.3.zip


88% דירוגים


100,000 + התקנות


WP 4.0 + דורש

21. ערוך גיבויים באופן קבוע כדי לאבטח את אתר WordPress שלך

לא משנה כמה מאובטח אתר וורדפרס שלך, תמיד יש מקום לשיפורים. אבל בסופו של יום, שמירה על גיבוי מחוץ למקום איפשהו היא אולי ההתרופה הטובה ביותר ולא משנה מה יקרה.

אם יש לך גיבוי, אתה יכול לשחזר את אתר WordPress שלך למצב עבודה בכל עת שתרצה. ישנם כמה תוספים שיכולים לעזור לך בהיבט זה. למשל, יש את כל אלה.

אם אתם מחפשים פיתרון פרימיום אז אני ממליץ VaultPress מאת Automattic, וזה נהדר. יש לי את זה מוגדר כך שהוא יוצר גיבויים בכל שבוע. ואם יקרה אי פעם משהו רע, אני יכול בקלות לשחזר את האתר בלחיצה אחת בלבד.

אני יודע שכמה אתרים גדולים יותר מפעילים גיבויים כל שעה, אבל עבור מרבית הארגונים זה השלמת יתר מוחלטת. שלא לדבר, עליכם להבטיח שרוב הגיבויים הללו יימחקו לאחר שתבצע אחד חדש מכיוון שכל קובץ גיבוי תופס מקום בכונן. עם זאת, אני ממליץ על גיבויים שבועיים או חודשיים עבור מרבית הארגונים.

על גבי הגיבויים, VaultPress בודק גם באתר שלי תוכנות זדוניות ומתריע בפני אם קורה משהו מוצל.

22. הגדר סיסמאות חזקות עבור בסיס הנתונים שלך

סיסמה חזקה עבור משתמש מסד הנתונים הראשי היא חובה מכיוון שסיסמה זו היא זו שוורדפרס משתמשת בה כדי לגשת למסד הנתונים.

כתמיד, השתמש באותיות גדולות, אותיות קטנות, מספרים ותווים מיוחדים עבור הסיסמה. ביטוי סיסמאות מצוינים גם כן. אני ממליץ שוב על LastPass לייצור ואחסון סיסמאות אקראיות. כלי חינמי ומהיר להכנת סיסמאות חזקות הוא מחולל סיסמאות מאובטח.

סיסמאות

23. עקוב אחר יומני הביקורת שלך

כאשר אתה מנהל ריבוי וורדפרס, או מטפל באתר רב-מחברים, חיוני להבין איזה סוג של פעילות משתמשים קורה. הכותבים והתורמים שלך עשויים לשנות סיסמאות, אך ישנם דברים אחרים שאולי לא תרצו שיקרה. לדוגמה, שינויי נושא ווידג’ט שמורים כמובן רק למנהלים. כשאתה בודק את יומן הביקורת אתה יכול לוודא שהמנהלים שלך ותורמים לא מנסים לשנות משהו באתר שלך ללא אישור..

יומן ביקורת

ה יומן ביקורת אבטחה של WP התוסף מספק רשימה מלאה לפעילות זו, יחד עם התראות ודוחות בדוא”ל. בפשטות ביותר, יומן הביקורת יכול לעזור לך לראות שכותב מתקשה להתחבר. אבל התוסף עשוי גם לחשוף פעילות זדונית מאחד המשתמשים שלך..


יומן פעילות WP (בעבר יומן ביקורת אבטחה של WP) יומן פעילות WP (בעבר יומן ביקורת אבטחה של WP)

מחבר / ים: WP אבטחה לבנה

גרסה נוכחית: 4.1.0

עודכן לאחרונה: 26 במאי 2020

wp-security-audit-log.4.1.0.zip


96% דירוגים


100,000 + התקנות


WP 3.6 + דורש

חלק (ה): אבטח את אתר וורדפרס שלך באמצעות ערכות נושא ותוספים

ערכות נושא ותוספים הם מרכיבים חיוניים לכל אתר בוורדפרס. לרוע המזל, הם יכולים להוות איומים ביטחוניים רציניים. בואו לגלות כיצד אנו יכולים לאבטח את ערכות הנושא והתוספים של וורדפרס שלכם בדרך הנכונה:

24. עדכן באופן קבוע לאבטחת וורדפרס

כל מוצר תוכנה טוב נתמך על ידי המפתחים שלו ומתעדכן מדי פעם. עדכונים אלה נועדו לתקן באגים ולעיתים הם כוללים תיקוני אבטחה חיוניים. וורדפרס והתוספים שלה אינם שונים.

אי עדכון הנושאים והתוספים שלך יכול לגרום לבעיה. האקרים רבים מסתמכים על עצם העובדה שאנשים לא יכולים לטרוח לעדכן את התוספים והנושאים שלהם. לעתים קרובות יותר מאשר לא, אותם האקרים מנצלים באגים שכבר תוקנו.

לכן, אם אתה משתמש במוצר וורדפרס כלשהו, ​​עדכן אותו באופן קבוע. תוספים, ערכות נושא, הכל. החדשות הטובות הן שוורדפרס מפעילה באופן אוטומטי עדכונים למשתמשים שלה, כך שתקבל דוא”ל שמודיע לך על העדכון ומידע על התיקונים במרכז השליטה שלך..

באשר לתוספים, יש לעדכן אותם באופן ידני על ידי מעבר אל תוספים בלוח המחוונים שלך. כאשר לתוסף יש גרסה חדשה, הוא מודיע לך ומספק קישור לעדכון כעת.

עדכן תוספים

כחלופה, תוכל לבחור בתכנית אירוח מנוהלת של וורדפרס. לצד תכונות רבות ושיפורים אחרים לביטחון וורדפרס שלך, אירוח מנוהל איכותי מציע עדכונים אוטומטיים לכל האלמנטים באתר וורדפרס שלך.

חלק מספקי אירוח מנוהלים כוללים Kinsta, SiteGround ו- גלגל תנופה. תוכלו ללמוד יותר על אירוח וורדפרס המנוהל בראש כאן.

25. הסר את מספר גרסת הוורדפרס שלך

ניתן למצוא את מספר גרסת הוורדפרס הנוכחי שלך בקלות רבה. בעיקרון הוא יושב ממש בתצוגת המקור של האתר שלך. אתה יכול גם לראות את זה בתחתית לוח המחוונים (אך זה לא משנה כשאתה מנסה לאבטח את אתר WordPress שלך).

גרסת מספר

הנה העניין: אם האקרים יודעים באיזו גרסה של וורדפרס אתם משתמשים, יהיה להם קל יותר להתאים את ההתקפה המושלמת.

אתה יכול להסתיר את מספר הגרסה שלך כמעט בכל תוסף אבטחה של וורדפרס שציינתי לעיל.

לקבלת גישה ידנית יותר (וכדי להסיר גם את מספר הגירסה מהעדכוני RSS), שקול להוסיף את הפונקציה הבאה לקובץfunctions.php שלך:

פונקציה wpbeginner_remove_version () {
להחזיר ”;
}
add_filter (‘the_generator’, ‘wpbeginner_remove_version’);

מחשבות אחרונות כיצד לאבטח את אתר וורדפרס שלך

אם אתה מתחיל, זה היה הרבה מה לקחת. עם זאת, כל מה שציינתי במאמר זה הוא צעד בכיוון הנכון. ככל שאכפת לכם יותר מאבטחת וורדפרס שלכם, כך קשה יותר להאקר לפרוץ פנימה.

עם זאת, עם זאת נאמר, ככל הנראה חשוב לא פחות מאבטחה הוא ביצועי האתר. בעיקרון, ללא אתר שנטען במהירות, המבקרים שלך לעולם לא יזכו לצרוך את התוכן שלך. האורח הממוצע באתר יחכה למשך 2 שניות לפני שהוא מתוסכל ועוזב.

להלן כמה משאבים שיכולים לעזור לך לנצח את משחק הביצועים ולוודא שאתרך מעמיס ברקים במהירות:

  • ��️ השתמש ב- CDN איכותי. חלקם אפילו בחינם. הנה השוואה בין האפשרויות המובילות: MaxCDN נגד CloudFlare לעומת Amazon CloudFront לעומת Akamai Edge לעומת Fastly
  • כוונן כמה דברים מתחת למכסה המנוע של האתר שלך. להלן 11 דרכים להאיץ את וורדפרס

אם יש לך שאלות כיצד לאבטח את אתר WordPress שלך, הודע לנו בתגובות ונענה עליהן! אז מה הם אתגרי האבטחה שלך ב- WordPress?

אל תשכח להצטרף לקורס ההתרסקות שלנו בנושא זירוז אתר וורדפרס שלך. עם כמה תיקונים פשוטים, אתה יכול להפחית את זמן הטעינה שלך אפילו ב 50-80%:

נכתב על ידי אחמד אווייס, ג’ו וורנימונט, קרול ק.

* פוסט זה מכיל קישורי שותפים, מה שאומר שאם תלחץ על אחד מקישורי המוצר ואז תרכוש את המוצר, נקבל עמלה קטנה. עם זאת, אל תדאגי, עדיין תשלם את הסכום הסטנדרטי כך שאין עלות מצידך.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Это интересно
    Adblock
    detector