Annonse
Å drive et WordPress-basert nettsted er ofte en glede, noe som gjør at du kan fokusere på innhold og bygge relasjoner med lesere og andre nettsteder.
Imidlertid er ikke alle på nettet like vennlige som deg. Et sted der ute er det en liste med bloggens navn på den, der den sitter og venter på å bli målrettet av hackere. Når de kommer til bloggen din, vil de prøve forskjellige taktikker for å få tilgang til den, kanskje med det formål å selge lovlige medikamenter eller infisere den besøkende datamaskiner med skadelig programvare.
Heldigvis er det forskjellige måter du kan beskytte WordPress-bloggen din mot hackere.
Oppdater WordPress regelmessig
En av de kraftigste, men ofte oversett løsningene for å holde WordPress trygt mot hackere, er å sørge for at den regelmessig blir oppdatert.
Det er klart det er en ulempe med dette - noen av dine beste WordPress-plugins De beste WordPress-plugins Les mer kan slutte å virke hvis WordPress er oppdatert - men samtidig bør det sees på som en mulighet til det oppdater pluginsene dine, finn utskiftninger som i seg selv er sikre og pålitelige og i utgangspunktet strammer opp nettstedet ditt eller blogg. Å holde seg til plugins som finnes i WordPress-katalogen er også en god måte å holde ting under kontroll.
Det er mulig å oppdatere WordPress fra Dashboard, men ta alltid en sikkerhetskopi av databasen før du gjør det.
Hold vanlige sikkerhetskopier
En viktig prosedyre for alle WordPress-bloggeiere er å sikre at sikkerhetskopier gjøres regelmessig og at de lett kan gjenopprettes hvis det verre skulle skje.
Løsningene er rikelig, men Cloudsafe365 er en av de kraftigste, og kombinerer sky backup (Dropbox kan brukes) med forskjellige sikre beskyttelsesverktøy mot teknikker som scripting på tvers av nettsteder, SQL-injeksjon og til og med overvåker innhold tyveri.
Cloudsafe365, tilgjengelig fra WordPress plugins nettsted, kommer i tre smaker. Et gratis alternativ dekker de tingene som er nevnt over, mens de betalte alternativene tilbyr ytterligere funksjoner som beskyttelse mot kodeinnsprøytning og brute force attacker.
Installer en kryptert påloggingsplugin
Å beskytte den faktiske loggingen på ditt WordPress-baserte nettsted utføres best ved å bruke et kryptert påloggingsprogramtillegg, ettersom nettstedprogramvaren ikke har dette anlegget som standard. Sannsynligvis er den beste løsningen for dette - perfekt for å beskytte blogginloggingsdetaljene dine fra pakkesniffere i trådløse nettverk - Chap Secure Login, som bruker SHA-256-algoritmen for å beskytte brukernavnet og passordet ditt.
I mellomtiden Innloggingslåsing plugin er en nyttig måte å blokkere IP-er som registrerer gjentatte mislykkede forsøk på å få tilgang til nettstedet ditt.
Andre innloggingsbeskyttelsestrin du kan ta inkluderer å installere en sterk CAPTCHA-plugin. RetinaPost er et spesielt imponerende programtillegg, som krever at brukere må legge inn markerte tegn fra en setning i stedet for å prøve å tyde skrudd opp tekstbilder eller gjøre matematikkutfordringer. Eventuelle forsøk på å forstyrre bloggen din ved hjelp av kommentarsystemet kan reduseres markant ved å bruke denne pluginen.
Skjul “Drevet av WordPress”
Hackere har en annen taktikk for hver av de forskjellige typene programvare som er i bruk, men kan du gjøre ting tøffere for dem ved ikke å annonsere det faktum at nettstedet ditt er “drevet av WordPress”.
Som standard kan denne informasjonen bli funnet i footer.php-filen, nådd ved å gå inn på bloggens instrumentbord og velge Utseende> Redaktør å redigere i nettleservinduet. Ulike temaer vil kreve forskjellige metoder for å fjerne denne teksten, så du bør sjekke online for å finne den beste tilnærmingen (hvis ren tekst brukes til å vise legenden, så slett denne; Hvis PHP-kode brukes, kan du trå nøye med mindre du vet hva du gjør).
Endre administratorbrukernavn
En måte hackere kan finne en vei inn på nettstedet ditt er ved å bruke brute force-programvare som vil prøve flere pålogginger ved å bruke vanlige ord og uttrykk som passord, kombinert med et utvalg av åpenbare brukernavn.
Administrator-brukernavnet i WordPress kan velges når programvaren er konfigurert, men i et hastverk for å få gjort ting, lar mange brukere det være som standardvalg av “admin”. Når åpenbare brukernavn går, kommer dette øverst på listen, og det er derfor det er viktig å endre det.
Det finnes to måter for å endre admin-brukernavnet. Først kan du opprette en ny administratorkonto med et brukernavn som ikke er opplagt, og deretter slette den opprinnelige brukeren. Vær imidlertid oppmerksom på at dette kan ha effekt på alle artikler skrevet under administratorkontoen (de vil kanskje bli upublisert til et nytt navn er angitt, eller vis en feil på postsiden).
Sannsynligvis den mest effektive måten å gjøre dette på er å få tilgang til nettstedets phpMyAdmin, velg WordPress database, finn wp_users-tabellen (“wp_” er et standardprefiks som kan ha blitt endret ved installasjonen) og bruke Bla ikonet for å finne "admin" brukernavnet.
Når det er oppdaget, finn user_login-kolonnen, klikk på redigere -knappen på den aktuelle raden, og endre deretter "admin" til det foretrukne påloggingsnavnet for administratorkontoen ved å klikke Gå når du er ferdig.
Flytt wp-config-filen
Et blendende problem med WordPress er at de viktigste sikkerhetsdetaljene lagres i en enkelt, ukryptert fil som kan hackes og brukes til å ta kontroll over bloggen din. Wp-config.php-filen inneholder administratorpåloggingsdetaljer samt brukernavn og passord for MySQL-databasen.
Derfor er det viktig å sikre denne filen hvis du ønsker å beskytte nettstedet mot hackere.
En ting du imidlertid ikke bør gjøre er å slette wp-config - dette vil gjøre nettstedet ditt ubrukelig (og ganske tomt). Så hvordan beskytter du nettstedet ditt mot denne bisarre sårbarheten?
Siden utgivelsen av WordPress 2.8 har bloggeiere hatt muligheten til å flytte filen til root-webkatalogen på serveren. Det dette for eksempel betyr er at hvis du har nettstedet ditt installert på www.mysite.com/wordpress, kan wp-config.php-filen flyttes opp et nivå, til mysite-katalogen.
Konklusjon
Uansett hvor teknisk eller ikke-teknisk du er, hvis du driver en WordPress-blogg, er det ingen unnskyldning for ikke å implementere noen av eller alle disse verktøyene for å beskytte nettstedet ditt mot hackere.
Når alt kommer til alt, hva er poenget med å legge inn alt det harde arbeidet bare for å finne ut at noen har overtatt nettstedet og nå koster deg dine faste besøkende ved å annonsere Viagra?
Disse trinnene kan implementeres på bare et par timer - kanskje en eneste helg morgen hvis du blir presset på tid - så ikke ignorere, handle nå.
Christian Cawley er assisterende redaktør for sikkerhet, Linux, DIY, programmering og teknisk forklart. Han produserer også The Really Useful Podcast og har lang erfaring innen stasjonær og programvare. Christian er en bidragsyter til Linux Format-magasinet, en Raspberry Pi tinkerer, Lego-elsker og retrospill-fan.
