10 lite kjente, super effektive tips for å sikre din WordPress-blogg
Å få en blogg hacket og miste år etter år med blogging arbeid over natten er en trist realitet som folk faktisk har gått gjennom. Faktisk viser forskning at 37 000 nettsteder er hacket hver dag, og med WordPress som driver ca. 25,4% av alle nettsteder, kan du være sikker på at en god del WordPress-blogger blir hacket hver dag.
WordPress-sikkerhet er et helt annet ballspill; Når du eier en WordPress-blogg, er tips som å ha et brukernavn som er vanskelig å gjette, og et passord som er like hard som rock, ikke lenger tilstrekkelig. EN enkeltbuggy-tema, feil plugin, eller en feilbeskyttet fil kan føre til at bloggen din blir hacket over natten.
Enten du er uerfaren med WordPress, eller du har brukt plattformen siden dens eksistens, har denne artikkelen 10 praktiske og supper effektive måter å sikre din WordPress blogg på som noen kan implementere. Du finner ikke de fleste av disse tipsene i populære artikler om hvordan du kan sikre bloggen din, men de kan veldig godt lagre bloggen din en dag!
1. Deaktiver WordPress Theme & Plugin Editor
WordPress har en praktisk funksjon som gir nettstedseierne større fleksibilitet ved å tillate dem å tilpasse og redigere deres temaer og plugins direkte fra WordPress-dashbordet, men denne funksjonen har vært å angre på de fleste blogger.
Med denne funksjonen, a liten feil kan krasje nettstedet ditt og låse deg ut av ditt eget nettsted. Hackere kan enkelt sette inn ondsinnet kode i temaet ditt for å gi dem bakdørs tilgang til nettstedet ditt, eller til og med overta nettstedet ditt helt, ved å få kontroll over en konto som har nok privilegier til å bruke temaet og pluginredigeringsprogrammet.
Du kan beskytte deg selv ved å deaktivere plugin og tema editor, gjør det umulig å endre temaer og plugins uten FTP-tilgang.
Gjør dette ved å legge til følgende kode i wp-config.php-filen din:
define ('DISALLOW_FILE_EDIT', true);
2. Aktiver tofaktorautentisering
Tofaktorautentisering blir raskt en av de mest pålitelige måtene å beskytte dine elektroniske kontoer på, og mest pålitelige nettsteder vil insistere på at brukerne aktiverer det.
Mens WordPress ikke nødvendigvis har tofaktorautentisering innebygd i det, kan du aktivere tofaktorautentisering på bloggen din ved å installere følgende plugins:
- Google Autentisering
- Authy
- Clef
- Rublon
3. Begrens innlogginger basert på antall mislykkede forsøk
Det er mange måter hackere prøver å få tilgang til bloggen din, og en av de vanligste teknikkene som brukes er et bruteforce-angrep: en hacker prøver en kombinasjon av brukernavn og passord igjen og igjen til han / hun er i stand til å få tilgang til suksess bloggen din.
Som standard er WordPress ikke beskyttet mot dette angrepet. Ved å installere plugins som begrenser innlogginger etter et visst antall mislykkede forsøk fra en bestemt IP, kan du gjøre det vanskeligere for hackere å få tilgang til bloggen din.
Jetpack Protect Module-modulen kan også beskytte deg mot bruteforce-angrep.
4. Skann regelmessig bloggen din
Tema filer, plugins, koblinger og andre tilsynelatende ufarlige elementer kan brukes til å få tilgang til bloggen din. Ikke vent til nettstedet ditt er fullt infisert før du tar tiltak. I stedet må du installere sikkerhetsskanningsprogrammer for jevnlig å skanne nettstedet ditt og varsle om filene endres.
Et godt eksempel på et sikkerhetsskanningsprogram er Wordfence. Foruten å gi deg muligheten til å manuelt / automatisk skanne WordPress-bloggen, gir den deg også øyeblikkelig beskjed når mistenkelig aktivitet går på bloggen din.
Den sender også informasjon om potensielt skadelige kommentarer, og det sammenligner temaet og plugin-filene med WordPress-depotet til gi deg beskjed hvis din versjon av et plugin eller tema har blitt endret og kan potensielt fungere som en bakdør for hackere til nettstedet ditt.
Andre sikkerhetsplugins som kan hjelpe deg med å skanne bloggen din for skadelig programvare og utnytter er:
- Sucuri Security Scanner
- Acunetix WP Security
- iThemes Security (tidligere kjent som "bedre WP-sikkerhet")
5. Endre verten din
Selv om dette høres ut som forenklet råd, har det faktisk mye vekt. Forskning viser at 41% av hackede WordPress-nettsteder var hacket gjennom sikkerhetsproblemet på deres hosting-plattform. Dette er mye mer enn fra andre kilder, inkludert å ha et svakt passord.
Verten din kan spille en viktig rolle i om du vil bli hacket eller ikke; sørg for at du bare gå for pålitelige web verter som har stått testen av tid og det overholde beste praksis i bransjen.
6. Skjul ditt WordPress Versjonsnummer
Som standard viser WordPress ditt WordPress-versjonsnummer; Dette gjør det enkelt for WordPress å holde oversikt over hvor mange WordPress blogger som er aktive over hele verden. Dette kan imidlertid også være en stor kilde til problem; hackere og bots kan Skann på nettet for blogger ved hjelp av et WordPress-versjonsnummer med et kjent sårbarhet, gjør deg til et enkelt mål.
Du kan enkelt løse dette problemet ved gjemmer ditt WordPress-versjonsnummer. For å skjule ditt WordPress-versjonsnummer, legg ganske enkelt til følgende kode i din functions.php-fil:
add_filter ('the_generator', '__return_null');
7. Deaktiver PHP Error Reports
Når et plugin eller tema ikke fungerer bra på WordPress-bloggen din, kan PHP-feilrapporter hjelpe deg ved å vise deg en melding som avslører årsaken til feilen. Men i denne fordelen ligger en ulempe: når PHP feil blir rapportert, det inkluderer den fulle serverbanen til feilen, avslørende informasjon som hackere kan bruke mot deg.
Du kan beskytte deg selv ved deaktivering av PHP-feilrapportering. Bare legg til følgende kode i wp-config.php-filen din:
error_reporting (0); @ini_set ('display_errors', 0);
8. Arbeid på WordPress-filtillatelsene
Når det gjelder å hindre ditt WordPress-nettsted fra sikkerhetsutnyttelser, er det viktig å sørg for at du har de riktige filtillatelsene. Dette gjør det vanskelig for en hacker å manipulere plugins, temaer eller filer på serveren din for å ta over nettstedet ditt.
Pass på at WordPress mappe Tillatelsene er satt til 755 eller 750; fil Tillatelsene er satt til 640 eller 644; og at wp-config.php-tillatelsen er satt til 600.
9. Sikre regelmessige sikkerhetskopier
Selv store nettsteder med et team av sikkerhetseksperter og konsulenter blir hacket, og mens du følger gode rutiner, kan nettstedet ditt bli sterkere enn 99,9% av nettsteder, kan ting fortsatt bryte.
Den beste sikkerheten du har mot WordPress hack-angrep er en god sikkerhetskopi; sørg for at du sikkerhetskopierer nettstedet ditt - om mulig, daglig. På denne måten, hvis nettstedet ditt er hacket, har du filene på plass og kan gjenopprette ting umiddelbart.
Her er noen av de beste WordPress-programtilleggene:
- BackUpWordPress
- Klar! backup
- Vaultpress
- BackupBuddy
10. Begrens tilgang til innloggingssiden
Når du kommer til å skyve, må du kanskje ta litt drastisk handling. En veldig pålitelig måte å beskytte bloggen din mot hackforsøk på er Helt blokkert tilgang til wp-admin og wp-login.php siden.
Dette anbefales bare hvis du bruk en IP-adresse som ikke endres (du vil ikke låse deg ut av bloggen din!). Du kan fortsatt bruke dette alternativet hvis du bruker mer enn én IP-adresse, men holder orden på disse adressene.
For å begrense tilgangen til påloggingssiden, legg til følgende kode i .htaccess-filen din:
RewriteEngine på RewriteCond% REQUEST_URI ^ (. *)? Wp-login \ .php (. *) $ [OR] RewriteCond% REQUEST_URI ^ (. *)? Wp-admin $ RewriteCond% REMOTE_ADDR! ^ Din IP-adresse 1 $ RewriteCond% REMOTE_ADDR! ^ Din IP-adresse 2 $ RewriteCond% REMOTE_ADDR! ^ Din IP-adresse 3 $ RewriteCond% REMOTE_ADDR! ^ Din IP-adresse 4 $ RewriteCond% REMOTE_ADDR! ^ Din IP-adresse 5 $ RewriteRule ^ (. *) $ - [R = 403, L]
Husk å redigere Din IP-adresse 1 gjennom til Din IP-adresse 5 med de forskjellige IP-adressene du vil gi tilgang til; Du kan ganske enkelt legge til eller fjerne en linje for å tillate eller hindre flere IP-adresser fra å få tilgang til nettstedet ditt.
Konklusjon
Selvfølgelig bør du ikke ignorere grunnleggende sikkerhetstips som ikke bruker et forutsigbart brukernavn, har et sterkt passord, oppdaterer WordPress-installasjonen jevnlig, osv. Det er imidlertid noen kjente, ofte ignorerte sikkerhetstips som kan gjøre din WordPress blog bare litt sikrere.
Redaktørens notat: Denne gjesteposten er skrevet for Hongkiat.com av John Stevens. John er en WordPress og hosting ekspert. Han er grunnlegger og administrerende direktør for HostingFacts.com, en portal hvor han vurderer og rangerer web vertene basert på ytelse.