Annonse
Botnett over hele verden har vendt oppmerksomheten fra å sende ut spam-e-poster til systematisk hacking i WordPress-installasjoner; det er en lukrativ virksomhet gitt at WordPress driver 40% av alle blogger. Spesielt med tanke på at til og med vi ble offer for dette, er det på tide at vi har et omfattende innlegg om nøyaktig hvordan du kan beskytte WordPress-installasjonen din som er vert.
Merk: dette rådet gjelder bare WordPress WordPress installerer. Hvis du bruker WordPress.com, trenger du vanligvis ikke bry deg om sikkerhet, fordi de takler alt for deg.Hva er forskjellen mellom WordPress.com og WordPress.org? Hva er forskjellen mellom å kjøre bloggen din på Wordpress.com og Wordpress.org?Når Wordpress nå driver 1 av 6 nettsteder, må de gjøre noe riktig. For både erfarne utviklere og den komplette nybegynneren, har Wordpress noe å tilby deg. Men akkurat som du begynner på ... Les mer
Installer Google totrinns autentisator
Hvis du allerede har to-trinnsgodkjenning aktivert for Gmail-kontoen din eller andre tjenester, kan du bruke den samme autentiseringsappen med
denne plugin for WordPress.Heldigvis kan du begrense totrinnsgodkjenning til bare å brukes på kontoer på øverste nivå, slik at du ikke trenger å irritere alle brukerne dine.
Innloggingslåsing
En gammel plugin, men fungerer fremdeles som tiltenkt; Innloggingslåsing sjekker IP-en for påloggingsforsøk og blokkerer et IP-område i en time hvis det mislykkes 3 ganger i løpet av 5 minutter. Enkelt, effektivt.
Ta vanlige sikkerhetskopier
Hackere vil ikke bare endre en fil, men vil plassere sitt eget kontrollpanel skjult et eller annet sted skjulte bakdører - slik at selv om du fikser det originale hacket, kommer de rett inn igjen og gjør alt en gang til. Ta daglige eller ukentlige sikkerhetskopier slik at du enkelt kan gjenopprette til et punkt der det ikke var spor etter hackeren - og husk å lappe uansett hva det var de gjorde for å komme inn. Personlig investerte jeg bare i $ 150 Backup Buddy utviklerlisens - det er den enkleste og mest omfattende sikkerhetskopieringsløsningen jeg har funnet ennå.
Hindre indeksering av mapper
Sjekk roten til WordPress-installasjonen for .htaccess-filen (legg merke til perioden i begynnelsen - det kan hende du må vise usynlige filer for å se dette), og forsikre deg om at den har følgende linje. Hvis ikke, kan du legge til den - men lag en sikkerhetskopi først da denne filen er ganske avgjørende.
Valg alle -indekser
Hold deg oppdatert
Ikke gjør den samme feilen som vi gjorde: oppgrader alltid WordPress så snart en oppdatering er tilgjengelig. Noen ganger inneholder oppdateringene mindre feilrettinger og ikke sikkerhetsrettinger, men kom inn i vanen og du har ikke noe problem. Hvis du har mer enn én WordPress-installasjon og ikke kan følge med på dem alle, sjekk ut ManageWp.com, et premium dashbord for alle bloggene dine som inkluderer sikkerhetsskanning.
Ikke bare kjerne WordPress-filer, men også plugins: en av de største WordPress-hakkene fra fortiden innebar en sårbarhet i et vanlig miniatyrgeneratorskript som heter timthumb.php, og det er fremdeles temaer der ute som bruker den gamle versjonen. Selv om plugins raskt ble oppdatert, er det selvfølgelig vanskeligere å holde temaene oppdatert - WordPress vil ikke fortelle deg hvis temaet ditt er sårbart, og for det vil du ha en slags plugin for sikkerhetsskanning - bla ned til de Sikkerhetsplugins delen nedenfor for noen forslag.
Last ned aldri tilfeldige temaer
Med mindre du vet hva du gjør med PHP-kode, er det veldig enkelt å falle i fella med å laste ned et nydelig tilfeldig tema fra et sted, bare for å finne at det har noen ekkel kode der inne - oftest tilbakekoblinger du ikke kan fjerne, men verre kan være funnet. Hold deg til premium og kjente temadesignere (som for eksempel Smashing Magazine eller WPShower), eller for gratis temaer, bruk bare WordPress-temakatalogen.
Slett ubrukte plugins og temaer
Jo mindre kjørbar kode du har på serveren din, desto bedre - fjern sjansen for å ha gammel, sårbar kode ved å slette temaer og plugins du ikke bruker lenger. Deaktivering av dem vil ganske enkelt stoppe funksjonalitetenes lasting med WordPress, men selve koden kan fremdeles kjøres av en hacker.
Fjern tellemetoden i overskriften
Som standard sendte WordPress sin versjon til verden i koden til overskriftsfilen din - en enkel måte for hackere å identifisere eldre installasjoner. Legg til følgende linjer til temaet ditt functions.php -fil for å fjerne WordPress-versjonen, Windows Live Writer-informasjon og en linje som hjelper eksterne klienter med å finne XML-RPC-filen.
remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'rsd_link');
Fjern "admin" -konto
De fleste brute-force angrep på WordPress involverer gjentatte ganger å prøve admin konto - standard for alle WordPress-installasjoner - og en ordbok med vanlige passord. Hvis du enten logger inn med admin eller har admin-kontoen oppført i brukertabellen din, er du sårbar for dette.
To måter å fikse det på: enten bruk wp-optimaliser plugin - en flott plugin som blant annet lar deg deaktivere postrevisjoner og utføre databaseoptimalisering - for å gi nytt navn til admin-konto. Eller bare opprette en annen konto med administratorrettigheter, logg inn som den nye brukeren, og slett deretter "admin" -kontoen tilordne alle innleggene til den nye brukeren.
Sikre passord
Selv om du har deaktivert admin-kontoen, kan det være mulig å identifisere brukernavnet til administratorkontoen din - på hvilket tidspunkt du er sårbar for et angrep mot brute force igjen. Håndhev en sterk passordpolicy med 16 eller flere tilfeldige tegn som består av store og små bokstaver, tegnsetting og tall.
Eller bare bruk reallyLongSentenceThatsEasyToRememberMethod.
Deaktiver filredigering i WordPress
For de som ikke liker å logge på via FTP, inkluderer WordPress en enkel redigerer i admin-dashbordet for tema- og plugin-PHP-filer - men det gjør installasjonen din sårbar hvis noen får tilgang. Faktisk er det slik noen klarte å injisere en malware omdirigering i overskriften vår. Legg til følgende linje til bunnen av din wp-config.php (i rotmappen) for å deaktivere alle filredigeringsfunksjoner - og bruke SFTP Hva SSH er og hvordan det er forskjellig fra FTP [Technology Explained] Les mer å logge inn på serveren din i stedet.
definere ('DISALLOW_FILE_EDIT', sant);
Skjul påloggingsfeil
Et feil passord eller feil brukernavn kan identifiseres ved feilene som er gitt ved innlogging, som kan brukes til å identifisere kontoer for brute-tvang. Dette er tydeligvis ikke bra, så drep feilene med dette tillegget til temaet ditt functions.php fil
funksjon no_errors_please () {return 'Nope'; } add_filter ('login_errors', 'no_errors_please');
Aktiver Cloudflare
I tillegg til å få fart på nettstedet ditt, reduserer CloudFlare mange kjente botnett og skannere fra å til og med komme til bloggen din i utgangspunktet. Lese alt om CloudFlare Beskytt og fremskynd nettstedet ditt gratis med CloudFlareCloudFlare er en spennende oppstart fra skaperne av Project Honey Pot som hevder å beskytte nettstedet ditt fra spammere, roboter og andre onde nettmonstre - i tillegg til å øke hastigheten på nettstedet ditt noe... Les mer her. Installasjonen er ett klikk hvis du er vert på Mediatemple, ellers trenger du tilgang til domenekontrollpanelet for å endre navneserverne.
Sikkerhetsplugins
- Bedre WP-sikkerhet implementerer mange av disse rettelsene for deg, og er den mest omfattende gratis løsningen som finnes.
- WordFence er en premium-pakke som aktivt skanner filene dine etter lenker til malware, viderekoblinger, kjente sårbarheter osv. - og fikser dem. Prisen starter på $ 18 / år for 1 nettsted.
- Innloggingssikkerhetsløsning både begrenser påloggingsforsøk og håndhever sikre passord.
- BulletProof sikkerhet er et omfattende, men sammensatt plugin som tar for seg noen av de mer tekniske aspektene som XSS-injeksjon og .htaccess-problemer. En pro verison av plugin-en er også tilgjengelig som automatiserer mye av prosessen.
Jeg tror du vil være enig i at dette er en ganske omfattende liste over trinn for å herde WordPress, men jeg foreslår ikke at du implementerer alle av dem. Hvis jeg måtte gjøre alle disse til hvert nettsted jeg noensinne har satt opp, ville jeg fortsatt sette dem opp nå. Å kjøre ethvert system innfører en risiko, og det er til slutt opp til deg å finne balansen mellom sikkerhetsnivået du vil ha og innsatsen du vil bruke for å sikre det - ingenting kommer noen gang til 100% sikre. Den lavthengende frukten her er:
- Hold WordPress oppdatert
- Deaktiver admin-kontoen
- Legger til totrinnsgodkjenning
- Installere en sikkerhetsplugin
Å gjøre dem alene bør sette deg over 99% av alle andre blogger der ute, noe som er nok til å få potensielle hackere til å gå videre til lettere mål.
Tror du jeg savnet noe? Fortell meg i kommentarene.
James har en BSc i kunstig intelligens, og er CompTIA A + og Network + sertifisert. Han er hovedutvikler av MakeUseOf, og bruker fritiden sin på å spille VR paintball og brettspill. Han har bygd pc-er siden han var liten.