18 Wordpress-sikkerhetsplugins og tips for å sikre bloggen din

Annonse

Uten tvil, for en selvbetjent blogg, er WordPress den beste bloggen CMS du kan få. Å være en populær og åpen kildekode-programvare, betyr det imidlertid også at hackere har full tilgang til kode som de kan granske for å finne eventuelle utnyttelser de kan bruke til å hacke seg inn i hvilken som helst WordPress-aktivert nettstedet.

På den gode siden er noe av det beste med WordPress det plugin-systemet som gjør at hvem som helst kan installer eventuelle plugins eller lag dine egne plugins for å utvide funksjonaliteten, inkludert forbedring sikkerhet.

Her har jeg listet opp noen wordpress-sikkerhetsplugins (og et par triks) som du kan bruke for å sikre WordPress-blogg.

Alle plugins og triks listet nedenfor er ment for WP 2.7 og nyere. Hvis du fortsatt bruker en eldre versjon av WordPress, er det på tide å oppgradere bloggen din.

Beskytte påloggingen din

Denne pluginen bruker CHAP protokoll for å kryptere passordet ditt. Passordet saltes først med et tilfeldig antall (nonce) generert av økten, etterfulgt av md5 transformasjonsalgoritmen. Dette resultatet blir deretter sendt til serveren der det dekrypteres og autentiseres. Dette er en nullkonfigurasjonsplugin, som betyr at du kan bruke den umiddelbart etter at du har aktivert den.

2. Stealth-innlogging

Stealth-innlogging tilslører innloggingssiden din ved å la deg definere en tilpasset påloggingsside i stedet for wp-login.php. I tilfelle passordet ditt er lekket, vil hackeren også ha vanskelig for å finne riktig innloggingsadresse. En god bruk av dette er å forhindre at ondsinnede roboter får tilgang til wp-login.php-filen og prøver å bryte seg inn.

Innloggingslåsing er nyttig for å forhindre et brute force-angrep. Hva Login LockDown gjør er å registrere IP-adressen og tidsstemplet for hvert mislykkede påloggingsforsøk. Hvis mer enn et visst antall forsøk blir oppdaget i løpet av kort tid fra det samme IP-området, vil det låse påloggingsfunksjonen og forhindre at personer fra det IP-området kan logge seg på.

Denne pluginen legger til en ekstra HTTP-godkjenning for å gi et andre lag av forsvar for bloggen din. Du kan konfigurere passordbeskyttelse for bloggen din ved hjelp av HTTP Basic Authentication, eller du kan velge å bruke den sikrere HTTP Digest Authentication.

Merk at denne pluginen muligens ikke fungerer, avhengig av serverens evne. Hvis nettstedet ditt ikke består AskApache-konfigurasjonstestene (testene kjøres av pluginen for å oppdage serverfunksjonene dine), kontakt webhotellet og se om de kan gjøre endringer på serveren side.

Denne plugin gir et "semisecure" påloggingsmiljø ved å kryptere passordet ditt med RSA kryptografi

Beskytte databasen

Kanskje for noen av dere kan sikkerhetskopiere en database bety en plagsom teknisk oppgave. Med WP-DB-sikkerhetskopi, trenger du bare å konfigurere den en gang og få den til å kjøre automatisk med jevne mellomrom.

Hva denne pluginen gjør er å automatisere sikkerhetskopien av databasen din og få den sendt til innboksen din. Annet enn standard tabellen opprettet av WordPress, kan du også ta sikkerhetskopi av tilpassede tabeller opprettet av plugins. I tilfelle kontoen din krasjer, kan du enkelt importere og gjenopprette databasen med sikkerhetskopien.

Wp-DBManager er akkurat som en phpmyadmin i dashbordet. Du kan enkelt administrere databasen direkte i dashbordet. Det er nyttige funksjoner som å optimalisere / reparere / sikkerhetskopiere / gjenopprette databasen, og hvis du er teknisk nok, kan du til og med kjøre din egen SQL-spørring fra alternativsiden.

På den dårlige siden, hvis noen hackere klarer å logge inn på nettstedet ditt, vil denne plugin-en være en gateway for dem å skape ødeleggelser i databasen din.

8. Endre prefikset for databasetabellen

Standard prefikset som brukes av WordPress er “wp”. Du kan enkelt endre prefikset til andre termer som er vanskelige å gjette ved å bruke WP-Security-Scan. Mer detalj om denne pluginen nedenfor.

9. Beskytt wp-config.php-filen

Wp-config.php-filen din inneholder alle dine innloggingsinformasjoner for databasen, og den skal være skjult fra offentlig visning under alle omstendigheter. Sett inn denne linjen i htaccess-filen din:

ordre tillate, nekt. nekte fra alle. 

for å forhindre at noen ser wp-config.php-filen.

Beskytte administrasjonssiden

Denne pluginen tvinger SSL på alle sider der passord kan legges inn slik at all overført informasjon blir kryptert.

En ting er imidlertid at du må eie et SSL-sertifikat før du kan gjøre det. Hvis du ikke er villig til å bruke ekstra penger for å kjøpe et privat SSL-sertifikat, kan du spørre webverten din om Delt SSL. De fleste webverter tilbyr delt SSL for alle klienter, og det er enkelt å konfigurere.

11. Endre påloggingsbrukernavn

Å bruke "admin" som ditt brukernavn for pålogging er det siste du vil gjøre. Når du først installerte WordPress, bør du øyeblikkelig opprette en annen administratorkonto med ditt eget brukernavn og passord og slette "admin" -kontoen.

Hindre andre fra å se den interne filstrukturen

12. Gjemmer WP-versjonen

I de fleste WordPress-temaer under

delen, er det alltid en kodelinje som viser WordPress-versjonen du bruker. Å gi bort WordPress-versjonsnummeret ditt betyr å fortelle hackeren hvilken utnyttelse som skal brukes til å hacke på nettstedet ditt.

Siden WP2.6.5 har WordPress gjort det enda vanskeligere å fjerne wp-versjonen ettersom den legger inn informasjonen i wp_header stikkord. En plugin som du kan bruke til å fjerne den informasjonen, er WP-Security-Scan.

13. Skjul WP-innholdet

WP-innholdsmappen er der du lagret alle plugins og temafiler. Dette er stedet hvor du ønsker å forhindre andre i å se nærmere på. Du kan enten laste opp et tomt index.html fil til wp-innhold-mappen, eller lag en .htaccess-fil i wp-innhold-mappen og legg til denne linjen:

Valg alle -indekser
14. Blokker wp-mappe fra indeksering av søkemotorer
Mens du vil at søkemotorene skal indeksere bloggen din og få mye trafikk, er det siste du vil se å la søkemotorene eksponere den interne filstrukturen for publikum. Det du kan gjøre er å blokkere all wp-mappen fra å indeksere med søkemotoren ved å legge til følgende oppføringer til robot.txt:
Avvis: / wp- * 
Vedlikehold
Jeg har nevnt denne pluginen flere ganger, så det er på tide for meg å forklare hva den gjør. WP-Security-Scan sjekker WordPress for sikkerhetsproblemer og foreslår / gir korrigerende handlinger. De korrigerende handlingene inkluderer å endre databaseprefikset, skjule WordPress-versjonsnummeret fra overskriften og lar deg teste styrken til passordet ditt.
En gang i blant er det lurt å kjøre den innebygde sikkerhetsskanneren og sjekke bloggen din for sikkerhetsmessige usikkerhetsmomenter.
16. Endre passord regelmessig
Ikke bare bør du endre passordet ditt regelmessig, men du må også sørge for at det er et sterkt passord. Hvis du har problemer med å lage en, finn en hvordan du kan lag sterke passord som du enkelt kan huske Slik lager du sterke passord som du enkelt kan huske Les mer .
17. Oppdater WordPress og alle plugins til den nyeste versjonen
Unødvendig å si, å oppgradere til den nyeste versjonen av WordPress og plugins er den beste måten å beskytte deg selv.
Beskytte forbindelsen
18. SFTP
Overføring av filer til din online konto er en vanlig ting å gjøre. I stedet for å bruke den usikrede FTP, bør du imidlertid bruke SFTP (Sikker FTP). Dette vil opprette en SSH-forbindelse og sende alle filene dine kryptert til serveren. Hvis du trenger hjelp til å opprette en SFTP-forbindelse, er her guide.
Ovennevnte informasjon skal være tilstrekkelig for at du kan opprette en sikker WordPress-blogg. Hvis du ikke har implementert noen av disse, vil jeg oppfordre deg til å gjøre det nå.
Hvilke andre metoder bruker du for å sikre WordPress-bloggen din?