WordPress Security – 24 Mga Tip upang I-secure ang Iyong Website mula sa mga hacker

04.06.2020
SALITA 'WordPress Security – 24 Mga Tip upang I-secure ang Iyong Website mula sa mga hacker
0 41 мин.

Ang seguridad ng WordPress ay dapat na unang prayoridad kapag pamamahala ng isang website. Dinisenyo mo ang iyong website, naglathala ng nilalaman, nagbebenta ng mga produkto sa online, ngunit kung hindi mo sineseryoso ang seguridad ng WordPress, maaaring mai-hack ang iyong site anumang oras. 


Araw-araw 30,000 mga website ay na-hack at higit sa 2,000 mga website na naka-blacklist ng Google. Hindi ka isang pagbubukod. Kung ang isang website ng gobyerno ay maaaring mai-hack, kung bakit hindi sa iyo?

Isang umaga, nagising ka at nakita ang iyong WordPress site ay hindi maa-access at makita ang mga random na mensahe tulad ng,

“Ang iyong website ay na-hack ng xyz” – ang site ay na-hack

“Ang site sa unahan ay naglalaman ng malware” – na-blacklist ng Google

Ito ang pinakamasama bagay na maaari mong harapin sa iyong website.

Ngunit, bakit WordPress?

Ang mga kapangyarihan ng WordPress na higit sa 31% (80 milyon) ng kabuuang mga website sa web. Ayon kay W3Techs, Ang WordPress ay may 60% ng pagbabahagi ng merkado ng CMS kaysa sa iba pang mga platform, na kung saan ay isang medyo matatag na dahilan sa pag-akit ng mga hacker.

Ngunit huwag mag-panic. Ang hardening ng seguridad ng WordPress ay napakadali at magagawa mo rin ito.

Sa artikulong ito, magbabahagi ako ng 24 pinakamahusay na mga tip sa seguridad ng WordPress upang maprotektahan ang iyong website mula sa mga hacker at malware.

“Bakit hindi mawala ang gate sa iyong palasyo bago nila ito madiskubre?” – WPMyWeb

Contents

Karaniwang Mga Isyu sa Seguridad sa WordPress

Bago tayo sumisid sa mga pinakamahusay na kasanayan sa seguridad ng WordPress, unawain muna natin ang ilang karaniwang mga isyu sa seguridad sa WordPress.

Maraming mga gumagamit ang naniniwala na ang WordPress ay hindi isang ligtas na platform na gagamitin para sa isang negosyo, na hindi totoo. Ito ay dahil sa kakulangan ng kaalaman sa seguridad ng WordPress, mahirap na pangangasiwa ng system, gamit ang hindi napapanahong software ng WordPress at mga plugin atbp.

Maraming mga nagsisimula sa WordPress ang nagpapalagay na ang paglikha ng isang website ay ang wakas at hindi ito nangangailangan ng anumang pagpapanatili ng seguridad. Ito ay kung paano ka umaalis sa iyong site na mahina.

Kapag nahahanap ng mga hacker ang mahina sa iyong site, madali nilang mapagsamantalahan ang iyong site.

Tingnan natin ang ilan sa mga karaniwang Mga Isyu sa Seguridad sa WordPress.

1. Pag-atake ng Brute Force: 

Sa pag-atake ng brute na puwersa, ang isang awtomatikong script ay ginagamit upang makabuo ng iba’t ibang mga kumbinasyon ng mga username at password. Gumagamit ang hacker ng pahina ng pag-login sa WordPress upang magpatakbo ng lakas ng pag-atake ng lakas. 

Kung gumagamit ka ng isang simpleng username at password, maaari kang maging susunod na biktima ng pag-atake na ito.

2. Pag-script ng Site ng Site (XSS):

Ang Scripts ng Cross Site ay isang uri ng pag-atake kung saan ang mga umaatake ay nag-iikot ng nakakahamak na code / script sa isang mapagkakatiwalaang website. Ang pamamaraan ng pag-hack na ito ay ganap na hindi nakikita ng mga gumagamit na nag-surf sa website.

Ang mga nakakahamong script na ito ay nag-load nang hindi nagpapakilala at nakawin ang impormasyon mula sa browser ng mga gumagamit. Kahit na ang isang gumagamit ay nag-input ng anumang data sa anumang form, ang data ay maaaring ninakaw.

3. SQL Injections:

Gumagamit ang WordPress ng isang database ng MySQL upang mag-imbak ng impormasyon sa blog.

Nangyayari ang iniksyon ng SQL kapag ang mga hacker ay nakakakuha ng access sa database ng WordPress. Sa pamamagitan ng pag-hack ng database ng WordPress, ang mga hacker ay maaaring lumikha ng isang bagong account sa admin na may buong pag-access sa iyong site.

Maaari rin silang magpasok ng data sa iyong MySQL database at magdagdag ng mga link sa mga nakakahamak o spam website.

4. Sa likod:

Sa pangalang “Back-door”, mauunawaan mo kung ano ang kahulugan nito. 

Ang backdoor ay isang paraan ng pag-hack na nagpapahintulot sa mga hacker na pumasok sa isang website sa pamamagitan ng pagtawid sa normal na proseso ng pagpapatunay at kahit na manatiling hindi natukoy mula sa may-ari ng website.

Matapos ang pag-hack ng isang website, ang mga hacker ay karaniwang iniiwan ang kanilang mga bakas ng paa, upang maaari silang mabalik sa website kahit na ang hack ay tinanggal..

5. Pharma Hacks:

Ang WordPress Pharma hacks ay isang uri ng website ng spam na pinunan ang mga resulta ng search engine na may nilalaman ng spammy na parmasya na pinagbawalan sa web tulad ng Viagra, Nexium, Cialis atbp.

Hindi tulad ng iba pang mga pag-hack ng WordPress, ang mga resulta ng pharma hack ay makikita lamang sa mga search engine. Kaya hindi mo makita ang hack sa pamamagitan lamang ng pagtingin sa iyong website o ang source code.

Pumunta sa Google at i-type site: domain.com. Kung ang mga resulta ng paghahanap ay nagpapakita ng nilalaman ng iyong website (hindi nilalaman ng parmasya), kung gayon ang iyong site ay hindi apektado ng mga pharma hacks.

Ang layunin ng hack na ito ay upang samantalahin ang iyong pinakamahalagang mga pahina sa pamamagitan ng overriding ang pamagat na tag na may mapanganib na mga link. Hindi man banggitin, kung hindi mo siyasatin ang bagay na ito nang maaga, ang mga search engine tulad ng Google, maaaring mai-blacklist ng Bing ang iyong website para sa pagbibigay ng malisyosong nilalaman.

6. Malisyosong Mga Pag-redirect:

Ang WordPress nakakahamak na pag-redirect ay isang uri ng pag-hack kung saan ang iyong mga bisita sa site ay awtomatikong na-redirect sa mga site ng spammy tulad ng pagsusugal, porn, at mga site sa pakikipag-date. Ang hack na ito ay nangyayari kapag ang isang malisyosong code ay na-injected sa file o database ng iyong website.

Kung ang iyong site ay nagre-redirect ng mga bisita sa mga ilegal o nakakahamak na site, ang iyong site ay posibleng mai-blacklist ng Google.

Bakit Mahalaga ang WordPress Security?

Ang iyong website ay kumakatawan sa iyong tatak, iyong negosyo, at pinaka-mahalaga sa unang pakikipag-ugnay sa iyong mga customer.

Marahil ay kinuha ka ng maraming taon na may maraming mga pagsusumikap upang tumayo ang iyong negosyo at palaguin ang iyong trapiko. Gustung-gusto ng iyong tagapakinig ang iyong mga artikulo at pinagkakatiwalaan ang iyong mga produkto, na ang dahilan kung bakit sila nakikipag-ugnay sa iyo.

Kung hindi ligtas ang iyong site sa WordPress, maraming mga paraan ang iyong site at ang iyong mga customer ay maaapektuhan. Maaaring magnanakaw ng mga hacker ang personal na impormasyon, mga password, mga detalye ng credit card, impormasyon sa transaksyon, at maaaring ipamahagi ang malware sa iyong mga gumagamit.

Kung ang iyong site ay na-hack, mapapansin mo ang iyong trapiko ay biglang bumababa. Bukod dito, isusulat ng Google ang iyong website.

Ayon sa Google blog, ang bilang ng mga na-hack na mga website ay tataas ng humigit-kumulang na 20% noong 2016 kumpara sa 2015.

Sa isang pag-aaral, Securi ulat na ang mga blacklist ng Google ay higit sa 10,000 mga website bawat araw.

Kung ikaw ay seryoso tungkol sa iyong negosyo, kailangan mong bigyang pansin ang iyong seguridad sa WordPress.

Seguridad ng WordPress

Pinakamahusay na Gabay sa Seguridad ng WordPress

  1. Kumuha ng isang Magandang Pagho-host ng WordPress
  2. Panatilihing Nai-update ang bersyon ng WordPress
  3. Huwag Gumamit ng anumang Nulled / Cracked Theme o Plugin
  4. Gumamit ng Malakas na Mga Password
  5. Idagdag (2FA) Dalawang Factor Authentication
  6. Baguhin ang URL ng Pag-login sa WordPress
  7. Limitahan ang Mga Pagsubok sa Pag-login
  8. Regular na i-back up ang Iyong Site
  9. Gumamit ng isang plugin ng seguridad ng WordPress
  10. Awtomatikong Mga Gumagamit ng I-logout
  11. Magdagdag ng Mga Tanong sa Seguridad sa Pahina ng Pag-login sa WordPress
  12. Baguhin ang Default na “admin” Username
  13. Magtalaga ng Mga Gumagamit sa Pinakamababang Posible
  14. Subaybayan ang mga pagbabago sa file at mga aktibidad ng Gumagamit
  15. I-install ang SSL Certificate
  16. Tanggalin ang mga hindi nagamit na mga tema at plugin
  17. Huwag paganahin ang pag-edit ng file sa dashboard ng WordPress
  18. Protektahan ng password ang pahina ng pag-login sa WordPress
  19. Huwag paganahin ang pag-browse sa direktoryo
  20. Alisin ang iyong numero ng bersyon ng WordPress
  21. Baguhin ang Paghanda ng Talahanayan ng WordPress Database
  22. Gumamit lamang ng mga mapagkakatiwalaang tema at plugin ng WordPress
  23. Huwag paganahin ang pag-uulat ng error sa PHP
  24. Magdagdag ng HTTP Secure Header sa WordPress

Handa na? Magsimula na tayo.

1. Kumuha ng isang Magandang Pagho-host ng WordPress

Ang pag-host ng WordPress ay gumaganap ng isang pangunahing papel pagdating sa pagpapabuti ng seguridad ng WordPress.

Nagbabayad ka para sa serbisyo ng pagho-host at mananatili ang iyong website sa ilalim ng kanilang kontrol. Kaya dapat kang maging maingat bago pumili ng isang mahusay na pagho-host ng WordPress para sa iyong website.

Ang ibinahaging pagho-host tulad ng A2Hosting, Bluehost atbp ay ang pinakamahusay na pagpipilian sa pagho-host upang magpatakbo ng isang mababang blog ng trapiko. Ngunit sa ibinahaging pagho-host, palaging may pagkakataon para sa kontaminasyon sa cross-site.

Ang kontaminasyong cross-Site ay nangyayari kapag ang isang hacker ay mai-access ang web server sa pamamagitan ng isang mahina na website, at pagkatapos ay pagsamantalahan ang lahat ng iba pang mga website sa parehong web server.

Inirerekumenda namin ang paggamit ng isang pinamamahalaang provider ng WordPress hosting. Ang mga pinamamahalaan na kumpanya ng hosting ng WordPress ay nagbibigay ng mga pagpipilian sa seguridad ng multi-layer para sa mga website. Ang kanilang mga hosting platform ay lubos na ligtas at nag-aalok sila ng pang-araw-araw na pag-scan ng malware at pinipigilan ang anumang mga panlabas na pag-atake. Kung gayon pa man, nahanap nila ang malware sa kanilang server, kinuha nila ang responsibilidad at tinanggal agad ito.

Nag-aalok din sila araw-araw na pag-backup, libreng sertipiko ng SSL, suporta sa dalubhasang 24 × 7.

Inirerekumenda namin ang WPEngine pinamamahalaang WordPress hosting kumpanya. Nag-aalok sila ng maraming mga layer ng seguridad upang maprotektahan ang iyong WordPress site. Sa kanilang plano, makakakuha ka ng pang-araw-araw na pag-backup, libreng SSL, global CDN, at suporta sa dalubhasang 24 × 7.

Pagbisita WPEngine. [Idinagdag ang code ng diskwento sa link na ito]

Bumalik sa tuktok

2. Panatilihing Nai-update ang Bersyon ng WordPress

Ang pagpapanatiling iyong site ng WordPress hanggang sa kasalukuyan ay isang mahusay na kasanayan sa seguridad para sa pagpapatibay ng iyong seguridad sa WordPress. Kasama sa update na ito ang bersyon ng WordPress, plugin, at mga tema.

Sa isang kamakailang pag-aaral, Sinuri ni Securi na 56% ng kabuuang mga website na nahawaan ng WordPress ay napapanahon pa. Kung isa ka sa kanila, nasa panganib ka.

Araw-araw ang mga bagong kahinaan ay natuklasan at walang paraan upang mapigilan ang mga ito. Ang lipas na software at mga plugin ay maaaring maglaman ng mga kahinaan na maaaring magamit ng hacker upang mapagsamantalahan ang isang site.

Sa bawat pag-update, kasama ng mga developer ang mga bagong tampok, pag-patch up ng mga butas ng seguridad, ayusin ang mga bug atbp Tulad ng WordPress software, kailangan mo ring i-update ang iyong mga tema at plugin ng WordPress.

Ang magandang bagay ay awtomatikong inilalabas ng WordPress ang mga update nito at inaalam sa mga gumagamit nito.

Ang pag-update ng bersyon ng WordPress, mga plugin at mga tema ay napakadali at magagawa mo ito sa pamamagitan ng iyong WordPress admin dashboard.

Paano Mag-update ng WordPress, Plugin, at Mga Tema?

Unang pag-login sa iyong WordPress dashboard at pumunta sa Dashboard> Mga Update. Doon mo makikita kung mayroong magagamit na bagong update.

Tandaan: Bago i-update ang iyong bersyon ng WordPress, kumuha ng isang buong backup ng iyong mga file at database. Kung sakaling naganap ang isang error, madali mong maibalik ang iyong site sa nakaraang bersyon. Madali mong mai-backup at maibalik ang iyong site gamit ang BlogVault na may isang pag-click lamang.

Mula sa pahina, makikita mo ang “Isang na-update na bersyon ng WordPress ay magagamit”. Mag-click sa I-update Ngayon pindutan upang mai-update ang iyong bersyon ng WordPress, ang prosesong ito ay maaaring tumagal ng ilang segundo.

Kapag nakumpleto ang pag-update, mag-scroll sa ibaba upang i-update ang iyong mga plugin ng WordPress. Inirerekumenda naming i-update ang isa sa mga plugin. Una, pumili ng isang plugin at mag-click sa I-update ang Mga Plugin.

Katulad na paraan, i-update ang iyong mga tema sa ibaba.

I-update ang WordPress mula sa Dashboard

Gayunpaman, ang proseso ng pag-update ay medyo nakakalito para sa ilang mga gumagamit, lalo na sa mga hindi tech-savvy.

Ang ilang mga pinamamahalaang mga nagbibigay ng hosting sa WordPress tulad ng SiteGround, Kinsta, FlyWheel ay nagbibigay auto-update tampok. Kaya, kung ikaw ay nasa isang abalang iskedyul o tamad upang mai-update, maaaring maging kapaki-pakinabang ito.

Basahin din, Paano Manu-manong I-update ang Bersyon ng WordPress, mga plugin at Mga Tema

Bumalik sa tuktok

3. Huwag kailanman Gumamit ng anumang Mga Nulled / Cracked Themes at Plugins

Walang nakakagulat na ang mga premium na plugin at mga tema ay nagsasama ng higit pang pag-andar at propesyonal na mukhang. Ngunit, wala sa mga premium na produkto ay libre. Ito ay may isang presyo at pagkatapos bumili ng anumang mga premium na produkto, ang mga gumagamit ay kailangang ipasok ang susi ng produkto upang maisaaktibo ang produkto.

Ngunit, maraming mga nakakahamak na website na magagamit na nagbibigay ng mga premium na tema at mga plugin nang libre. Ang mga basag na mga tema at plugin ay hindi nangangailangan ng isang serial key upang buhayin at hindi mai-update.

Narito ang ibig kong sabihin:

Nulled WordPress Plugin Halimbawa

Ang mga nulled na tema at plugin ay lubhang mapanganib para sa iyong site. Ang mga hacker ay espesyal na mag-iniksyon ng mga nakakahamong code sa loob nito at gumawa ng isang backdoor sa iyong site. Kaya madali nilang mai-access ang iyong website at i-hack ang iyong website kasama ang database.

Kaya huwag gumamit ng anumang nulled o basag na mga tema at plugin ng WordPress.

Lubos naming inirerekumenda na mag-download ka lamang ng mga libreng tema o plugin mula lamang sa WordPress.org.

Naiintindihan namin na ang libreng tema o plugin ay may limitadong mga pag-andar. Ngunit, ang mga libreng tema o plugin ay ligtas na gamitin at regular na mai-update.

Basahin din, 7 Pinakamahusay na Mga Tema ng Blogging para sa WordPress

Bumalik sa tuktok

4. Gumamit ng Malakas na Mga Password

Ang isang password ay isang pangunahing susi upang ma-access ang iyong WordPress site. Kung ito ay simple at maikli, kung gayon ang mga hacker ay madaling masira ang iyong password. Higit sa 80% ng mga paglabag na nauugnay sa pag-hack dahil sa mahina na password o ninakaw na password.

Sa isang kamakailang pag-aaral, Inihayag ng SplashData 100 pinakamasamang password ng 2017.

Narito ang ilan sa kanila:

  1. 123456
  2. password
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. papasukin mo ako
  8. 1234567
  9. football
  10. Mahal kita
  11. admin
  12. maligayang pagdating
  13. unggoy (lol)

Kung ang iyong password ay simple tulad ng sa itaas, pagkatapos ay baguhin mo agad ito. Ang isang mahusay na lakas ng password ay dapat na hindi bababa sa 10 mga numero at naglalaman ng itaas na kaso, mas mababang kaso, numero, at mga espesyal na character.

Maaari mong gamitin ang isang tool sa paggawa ng password sa online agad na lumikha ng libu-libong mga secure na password.

Kinakailangan din na mai-save mo ang password sa iyong computer.

Upang gawing mas madali, maaari mong gamitin ang software ng manager ng password upang pamahalaan ang lahat ng iyong password tulad ng LastPass, Dashlane atbp.

Patunayan ang Malakas na Password sa Mga Gumagamit

Bilang default, hindi dumating ang WordPress na may isang function na pumipigil sa mga gumagamit na pumasok sa mahina na mga password. Karamihan sa mga oras ng mga gumagamit ay nagtakda ng isang mahina na password para sa kanilang account at bahagya na baguhin ito.

Kung nagpapatakbo ka ng isang blog na multi-user na WordPress, pagkatapos ay dapat mong pilitin ang mga gumagamit na gumamit ng isang malakas na password.

Upang gawing mas madali ang prosesong ito, maaari kang gumamit ng isang plugin. I-install at i-aktibo Pilitin ang Malakas na Mga Password plugin at tapos ka na. Pipigilan nito ang mga gumagamit at maging ang admin mula sa pagpasok ng isang mahina na password.

Bumalik sa tuktok

5. Magdagdag ng Dalawang Factor Authentication (2FA) 

Ang isa pang simpleng pamamaraan upang patigasin ang iyong seguridad ng WordPress ay sa pamamagitan ng pagdaragdag ng dalawang-factor na pagpapatunay (2FA) sa iyong pahina ng pag-login sa WordPress. Karaniwan, ang dalawang-factor na pagpapatunay o two-step na pag-verify ay isang proseso ng seguridad na nangangailangan ng dalawang pamamaraan upang mapatunayan ang iyong pagkakakilanlan.

Bilang default, karaniwang nakapasok kami ng username at password upang mag-log in sa isang website. Sa pamamagitan ng pagdaragdag ng dalawang-factor na pagpapatunay ay mangangailangan ka ng isang karagdagang proseso ng pag-verify tulad ng isang smartphone app upang aprubahan ang proseso ng pagpapatunay.

Kaya, kung may nakakaalam sa iyong username at password, kailangan nila ang iyong smartphone upang makuha ang verification code para sa pag-log in sa iyong site.

Sa pamamagitan ng pagdaragdag ng dalawang-factor na pagpapatunay, hindi mo lamang nai-secure ang iyong pahina ng pag-login sa WordPress ngunit pinipigilan mo rin ang mga pag-atake ng brute-force.

Maaari mong paganahin ang pagpapatunay ng dalawang-kadahilanan sa pamamagitan ng paggamit ng Google plugin na two-factor na authenticator WordPress.

Kapag na-activate, pumunta sa Mga gumagamit> Profile ng gumagamit at isaaktibo ang plugin.

Mga Setting ng Google Authenticator

Pagkatapos ay i-download ang Google authenticator app mula sa iyong telepono at i-scan ang Barcode o ipasok ang Lihim na code (tingnan ang screenshot sa itaas) mula sa iyong site upang idagdag ang iyong website.

Kapag idinagdag, mag-log out mula sa iyong site. Sa pahina ng pag-login, makakakita ka ng isang dagdag na patlang kung saan kailangan mong ipasok ang verification code mula sa Google Authenticator mobile app.

Patlang ng Google Authenticator

Para sa detalyadong mga tagubilin, tingnan ang gabay sa kung paano magdagdag ng pagpapatunay ng two-factor na Google sa pahina ng pag-login sa WordPress.

Bumalik sa tuktok

6. Baguhin ang URL ng Pahina ng Login ng WordPress

Bilang default, maaaring ma-access ng sinuman ang iyong pahina ng pag-login sa pamamagitan lamang ng pagdaragdag ng “wp-admin” o “wp-login.php” sa pagtatapos ng iyong domain name tulad ng: “domain.com/wp-admin” o “domain.com/ wp-login.php ”.

Hulaan mo! Ang mga hacker ay maaaring magpatakbo ng pag-atake ng malupit gamit ang iyong pahina sa pag-login. Kung gumagamit ka ng isang napaka-simpleng password, ang mga hacker ay madaling ma-crack ang iyong password at ipasok ang iyong website.

Ngunit paano kung hindi nila alam kung saan sasalakay? Oo, nahulaan mo ito ng tama.

Kung itinatago mo o pinalitan ang pangalan ng iyong URL ng pag-login, hindi tatakbo ang mga hacker na atake ng matapang.

Sa WordPress, madali mong itago o palitan ang pangalan ng iyong pahina sa pag-login sa pamamagitan ng paggamit ng isang plugin. Mula sa gallery ng plugin ng WordPress, mai-install at buhayin WPS Itago ang Pag-login isaksak.

Kapag na-activate, pumunta sa Mga setting> Pangkalahatan at sa ilalim, mahahanap mo ang WP Itago ang pagpipilian sa pag-login.

WPS Itago ang Mga Setting sa Pag-login

Baguhin lamang ang URL ng pag-login “mag log in” sa ibang bagay na mahirap hulaan at mag-click sa I-save ang mga pagbabago.

Kapag tapos na, i-bookmark ang bagong pahina ng pag-login at tapos ka na.

Bumalik sa tuktok

7. Limitahan ang Mga Pagsubok sa Pag-login

Bilang default, hindi nililimitahan ng WordPress ang bilang ng mga pagtatangka sa pag-login sa pamamagitan ng form ng pag-login. Nangangahulugan ito na alam ng sinuman na ang iyong URL ng pag-login ay maaaring subukan ang pag-andar ng pag-login ng maraming oras hangga’t gusto nila. Sa ganitong paraan ang mga hacker ay nagpapatakbo ng isang matapang na pag-atake sa lakas upang basagin ang iyong “username” at “password” upang ma-access ang iyong website.

Sa pamamagitan ng paglilimita sa mga pagtatangka sa pag-login, maaari mong patigasin ang seguridad ng WordPress at maprotektahan ang iyong pahina ng pag-login mula sa mga pag-atake ng lakas ng loob.

Maaari kang magtakda ng isang maximum na bilang ng mga maling pagtatangka sa pag-login na maaaring makagawa ng isang gumagamit mula sa parehong IP address. Kung ang gumagamit ay lumampas sa mga limitasyon, ang IP ng gumagamit ay mai-block sa isang partikular na oras.

Upang limitahan ang mga pagtatangka sa pag-login sa WordPress, i-install Pag-login LockDown isaksak. Kapag na-activate, pumunta sa Mga setting> Pag-login LockDown upang i-configure ang plugin.

Mga Setting ng Pag-login sa Pag-login

Para sa detalyadong mga tagubilin, tingnan ang aming gabay sa kung paano limitahan ang mga pagtatangka sa pag-login sa WordPress

Bumalik sa tuktok

8. Regular na I-backup ang Iyong Site

Ang mga backup ay tulad ng Time Machine. Kung mayroon ka nito, ligtas ang iyong website.

Gayunpaman, hindi protektahan ng mga backup ng website ang iyong site mula sa mga hacker ngunit makakatulong ito sa iyo na mabawi ang iyong site.

Halimbawa, kung may mali sa iyong site sa pag-update o na-hack ang iyong website, paano mo maaayos muli ang iyong site? Malamang nawala ang iyong site.

Ngunit kung mayroon kang mga backup ng iyong site, madali mong maibalik ang iyong site bago ang punto na na-hack o na-crash.

Iyon ang dahilan kung bakit lubos naming inirerekumenda ka na gumamit ng isang maaasahang plugin ng WordPress backup. Gayunpaman, maraming mga kumpanya ng nagho-host ang nag-aalok ng libreng website backup, ngunit maaari nilang ginagarantiyahan ang pagkakaroon ng iyong site kung may pagkabigo sa sakuna. Kaya kailangan mong i-save ang mga backup sa isang liblib na lokasyon tulad ng Google Drive, Amazon S3, Dropbox atbp.

Sa kabutihang palad, maaari itong gawin sa pamamagitan ng paggamit ng BlogVault o BackUpBuddy WordPress Backup Plugin. Pareho silang nag-aalok ng mga pang-araw-araw na backup at isang pag-click sa pagpapanumbalik. Maaari ka ring lumikha ng isang staging site nang walang labis na gastos.

Bumalik sa tuktok

9. Gumamit ng WordPress Security Plugin

Ang susunod na bagay na kailangan mo para sa pagpapatigas ng iyong Seguridad ng WordPress ay isang plugin ng seguridad. Maraming magagamit ang mga plugin ng seguridad ng WordPress na mai-lock ang iyong site mula sa mga hacker at malware.

Ang mga plugin ng seguridad ng WordPress ay makakakita at aalisin ang malware kung naroroon sa iyong site. Bukod, sinusubaybayan nila ang aktibidad ng gumagamit sa real-time, abisuhan ka kung may nagbago, kung ang isang plugin ay naglalaman ng isang malware, i-block ang spam traffic at marami pa.

Inirerekumenda namin ang Securi WordPress Security Plugin. Nag-aalok ang Securi Security ng iba’t ibang uri ng mga tampok ng seguridad tulad ng pag-awdit ng aktibidad ng seguridad, pagsubaybay sa website, website ng firewall,  at marami pang iba.

Securi

Ang pinakamagandang bagay tungkol sa Securi ay kung ang iyong site ay na-hack o naka-blacklist ng Google habang ginagamit ang kanilang serbisyo, ginagarantiyahan nila na ayusin nila ang iyong site.

Karamihan sa mga eksperto sa seguridad ng WordPress ay singil ng higit sa $ 300 upang ayusin ang isang hacked site, samantalang makukuha mo lamang ang lahat ng mga serbisyong pangseguridad $ 199 kada taon. Ito ay isang mahusay na pamumuhunan para sa pagpapatibay ng iyong seguridad sa WordPress.

Bumalik sa tuktok

10. Awtomatikong Mga Gumagamit ng Logout Idle

Kung ang isang gumagamit ay mananatiling walang ginagawa o hindi aktibo sa iyong site nang masyadong mahaba, maaari itong maging sanhi ng pag-atake ng matapang na puwersa.

Kung ang isang gumagamit ay nananatiling hindi aktibo nang masyadong mahaba, maaaring gumamit ang mga hacker ng pamamaraan ng pag-hijack o session upang makakuha ng hindi awtorisadong pag-access sa iyong website. Iyon ang dahilan kung bakit ang karamihan sa mga website na may kaugnayan sa edukasyon at pinansiyal tulad ng mga website ng bangko at pagbabayad ng gateway ay gumagamit ng function ng oras ng session ng gumagamit. Kaya, kapag ang isang gumagamit ay nag-navigate palayo sa pahina at hindi nakikipag-ugnay pagkatapos ng isang tagal ng panahon, awtomatikong mai-log ng website ang hindi aktibong gumagamit.

Ang parehong pag-andar na maaari mong idagdag sa iyong WordPress site para sa pagpapabuti ng iyong WordPress security. Ang pagdaragdag ng awtomatikong mag-log out ng mga walang ginagawa na mga gumagamit sa WordPress ay napaka-simple. Ang kailangan mo lamang mag-install ng isang plugin.

Una, i-download at i-install ang Hindi Aktibo Logout Plugin ng WordPress. Pagkatapos ay buhayin ito at pumunta sa Mga setting> Hindi Aktibo Logout upang i-configure ang plugin.

Hindi Aktibo Mga Setting ng Plugin ng Logout

Mula sa mga setting, maaari mong baguhin ang idle timeout. Kaya pagkatapos ng oras, ang lahat ng mga gumagamit sa iyong site ay awtomatikong mai-log out.

Maaari mo ring baguhin ang idle timeout message at baguhin ang iba pang mga setting kung kinakailangan.

Kapag tapos na, mag-click sa I-save ang mga pagbabago upang maiimbak ang mga setting.

Para sa detalyadong mga tagubilin, tingnan ang aming gabay sa kung paano awtomatikong mag-log out ng mga walang ginagawa na gumagamit sa WordPress

Bumalik sa tuktok

11. Magdagdag ng Mga Tanong sa Seguridad sa Pahina ng Pag-login sa WordPress

Sa pamamagitan ng pagdaragdag ng mga katanungan sa seguridad sa iyong pahina ng pag-login sa WordPress, hindi mo lamang maprotektahan ang iyong pahina ng pag-login sa WordPress kundi pati na rin ang hardening WordPress security.

Ang tanong ng seguridad ay nagdaragdag ng isang karagdagang layer ng seguridad upang higit pang patunayan ang iyong pagkakakilanlan habang nag-login. Ito ay lubhang kapaki-pakinabang kung nagpapatakbo ka ng isang blog na may-akdang WordPress..

Kung ang alinman sa iyong gumagamit o ang iyong password ay ninakaw, ang pag-iingat ng seguridad ay maaaring makatipid ng buhay.

Dahil ang username at password ay maaaring mai-hack nang madali, ngunit ang pagpili sa tamang tanong at sagot sa seguridad ay susunod sa imposible. Sa ganitong paraan maaari mong mai-save ang iyong pahina ng pag-login sa WordPress mula sa mga hacker at brute na pag-atake.

Upang magdagdag ng tanong ng Seguridad sa pahina ng pag-login sa WordPress, i-install ang Tanong sa WP Security isaksak.

Mga Setting ng Mga Tanong sa WP Security

Kapag na-activate, pumunta sa Mga Tanong sa Seguridad ng WP > Mga Setting ng Plugin upang i-configure ang plugin.

Bilang default, ang plugin ay maraming idinagdag na mga katanungan. Ngunit, maaari kang magdagdag o mag-alis ng anumang mga katanungan sa seguridad sa listahan.

Sa ilalim, maaari mong paganahin ang tanong ng seguridad sa pahina ng pag-login, pagrehistro at nakalimutan ang pahina ng password. Matapos na-configure ang plugin, huwag kalimutang mag-click sa I-save ang Setting.

Tandaan: Tanging ang mga bagong gumagamit lamang ang makapagtakda ng kanilang katanungan sa seguridad at sagot sa pagrehistro. Kaya ang mga rehistradong gumagamit ay kailangang manu-manong itakda ang kanilang sariling tanong at sagot sa seguridad. Maaari ka ring magtakda ng isang katanungan sa seguridad at sagot para sa kanila. Maaari itong gawin mula sa Profile ng Gumagamit pahina.

Marami nang Magdagdag ng Mga Tanong sa WP Security

Para sa detalyadong mga tagubilin, tingnan ang aming gabay sa kung paano magdagdag ng mga katanungan sa seguridad sa pahina ng pag-login sa WordPress

Bumalik sa tuktok

12. Baguhin ang Default na “Admin” Username

Pagkatapos i-install ang WordPress, maaari mong baguhin ang iyong password ng maraming oras na nais mo. Ngunit maaari mo bang baguhin ang iyong username kapag naitakda ito? Hindi, tama?

Bilang default, hindi pinapayagan ng WordPress ang mga gumagamit na baguhin ang username. Ngunit bakit dapat mo itong baguhin?

Kung gumagamit ka ng isang pangkaraniwang username tulad ng “admin”, pagkatapos ang mga hacker ay maaaring magpatakbo ng brute force na nakadikit sa tulong ng iyong username.

Ngunit huwag mag-panic. Mayroong maraming mga paraan na madali mong mabago ang iyong WordPress.

Gayunpaman, upang gawing mas madali ang proseso, gagamitin namin ang isang plugin. Una, i-download at i-install ang username tagapagpalit isaksak. Pagkatapos ay pumunta sa Mga gumagamit> Iyong Profile at hanapin ang pagpipilian ng username. Doon mo mahahanap ang opsyon na “Baguhin ang Username”.

Baguhin ang WordPress Username

Mag-click sa Baguhin ang Username pindutan at ipasok ang iyong bagong username. Kapag tapos na, mag-click sa I-update ang Profile.

Kung nais mong baguhin nang manu-mano ang iyong username (nang walang plugin), tingnan ang artikulong 3 iba’t ibang mga paraan upang mabago ang username ng WordPress.

Bumalik sa tuktok

13. Magtalaga ng Mga Gumagamit sa Pinakamababang Posible

Kung nagpapatakbo ka ng isang site na multi-may-akda na WordPress, pagkatapos ay kailangan mong maging maingat bago magtalaga ng isang papel sa isang gumagamit.

Maraming beses ang mga may-ari ng site ng WordPress ay nagtalaga ng isang mas mataas na papel ng gumagamit sa mga bagong gumagamit, sa ganitong paraan binibigyan mo ang lahat ng mga pribilehiyo sa mga gumagamit, at bilang isang resulta, ang anumang gumagamit ay maaaring magsagawa ng anumang gawain kahit anong gusto nila.

Halimbawa, kung hindi mo alam kung ano ang magagawa ng isang gampanang gumagamit ng Editor at italaga mo ang tungkulin sa isang regular na gumagamit, pagkatapos tatanggalin ng gumagamit ang lahat ng iyong mga post, mag-edit ng mga link, lumikha ng mga post na spammy, magdagdag ng mga nakakahamak na link sa iyong blog mga post. Ito ay kung paano madaling masira ng isang gumagamit ang iyong website.

Bilang default, ang WordPress ay may 5 iba’t ibang mga tungkulin ng gumagamit.

  • Tagapangasiwa
  • Editor
  • May-akda
  • Contributor
  • Subscriber
  1. Tagapangasiwa: Ang mga tagapangasiwa ay ang pinakamalakas na papel ng gumagamit sa isang site ng WordPress. Maaari silang lumikha, mag-edit at magtanggal ng isang account sa gumagamit, maaaring magsagawa ng anumang gawain sa buong panel ng admin ng WordPress, magkaroon ng kontrol sa buong lugar ng nilalaman at din katamtaman ang mga komento. 
  2. Editor: Ang mga gumagamit na may papel na Editor ay may ganap na kontrol sa buong nilalaman. Maaari silang lumikha, mag-edit at magtanggal ng anumang mga post kasama ang mga post na nilikha ng iba pang mga gumagamit. Maaari rin silang magkaroon ng katamtaman na komento at baguhin ang mga link.
  3. May-akda: Maaari lamang i-publish, i-edit o tanggalin ng mga may-akda ang kanilang sariling mga post. Maaari silang mag-upload ng mga file ng media upang magamit sa kanilang mga post. Maaari nilang tingnan ang mga komento ngunit hindi maaprubahan o matanggal ang anumang mga komento.
  4. Contributor: Ang mga gumagamit na may papel na Kontribyutor ay maaari lamang sumulat, mag-edit o magtanggal ng kanilang nai-publish na post, ngunit hindi nila mai-publish ang kanilang sariling post.
  5. Subscriber: Maaari lamang i-edit ng mga tagasuskribi ang kanilang impormasyon sa account kasama ang password, ngunit wala silang access sa mga nilalaman o setting ng site. Mayroon silang pinakamababang kakayahan sa isang site ng WordPress.

Sa pag-unawa sa mga tungkulin ng gumagamit ng WordPress, madali mong mapamamahalaan ang mga ito nang walang panganib.

Inirerekumenda din namin na dapat mong itakda ang Bagong User Default Role bilang Subscriber. Pumunta sa Mga Setting> Pangkalahatang Mga Setting at mula sa kanilang hanay Bagong Gumagamit ng Default na Gumagamit Subscriber at mag-click sa I-save ang mga pagbabago.

WordPress Bagong User Default Role

Para sa higit pang mga detalye, basahin ang Patnubay ng Startner sa Mga Papel at Kakayahang Gumagamit ng WordPress

Bumalik sa tuktok

14. Monitor Pagbabago ng File at Mga Aktibidad ng Gumagamit

Ang isa pang matalinong paraan upang patigasin ang seguridad ng WordPress ay sa pamamagitan ng pagsubaybay sa mga aktibidad ng gumagamit at mga pagbabago sa file. 

Kung nagpapatakbo ka ng isang site na multi-user na WordPress, pagkatapos ay dapat mong subaybayan ang pag-uugali ng gumagamit upang mas maunawaan kung ano ang kanilang mga aktibidad sa buong iyong WordPress site.

Sino ang nakakaalam, kung ang isang gumagamit ay gumagawa ng ilang mga kahina-hinalang gawain o sinusubukang i-hack ang iyong website? Paano mo malalaman yan?

Ang tanging paraan upang subaybayan ang mga aktibidad ng gumagamit at mga pagbabago sa file ay sa pamamagitan ng paggamit ng isang plugin ng aktibidad ng gumagamit. Sa pamamagitan ng paggamit ng isang plugin ng aktibidad ng gumagamit sa WordPress, magagawa mong:

  • tingnan kung sino ang naka-log in at kung ano ang ginagawa nila sa totoong oras
  • kapag nag-login at nag-log out
  • ilang beses sinubukan ng isang gumagamit na mag-log in ngunit nabigo

Bukod dito, kung ang isang editor ay gumawa ng anumang mga pagbabago sa isang post o pahina nang walang pahintulot mo, maaari mo itong madaling malaman at ibalik ito. Ang magandang bagay tungkol sa isang plugin ng aktibidad ng gumagamit ay agad itong nagpapadala sa iyo ng isang abiso sa email kung may mali.

Ang WP Security Audit Log ay ang pinakamahusay na plugin upang masubaybayan ang mga aktibidad ng gumagamit at mga pagbabago sa file sa real time. Narito ang isang screenshot sa ibaba kung paano gumagana ang plugin.

WordPress View Log Viewer

Basahin din, 5 Pinakamahusay na Mga Plugin upang Subaybayan ang Aktibidad ng Gumagamit sa WordPress (kahaliling mga plugin)

Bumalik sa tuktok

15. Ipatupad ang SSL at HTTPS

Seguridad ng WordPress hindi mapagbuti nang walang sertipiko ng SSL. Ang isang SSL (Secure Socket Layer) ay ang gulugod ng seguridad ng website.

Ang SSL ay isang pamantayang teknolohiya ng seguridad na lumilikha ng mga naka-encrypt na link sa pagitan ng isang server at isang web browser sa isang online na komunikasyon tulad ng isang online na transaksyon. Kaya lahat ng mga sensitibong data tulad ng mga password, mga detalye ng credit card atbp ay dumaan sa mga naka-encrypt na mga link.

Kung nagpapatakbo ka ng isang online na negosyo o isang blog kung saan tinatanggap mo ang pagbabayad, kung gayon ang isang SSL sertipiko ay dapat. Panatilihin itong ligtas ang data ng iyong customer mula sa mga hacker. Para sa mga online na tindahan o mga site ng WooCommerce, ang gastos sa sertipiko ng SSL ay nagkakahalaga ng halagang $ 20- $ 170.

Kung sakaling nagpapatakbo ka ng isang blog na WordPress, hindi mo na kailangan ang isang bayad na sertipiko ng SSL. Kung gumagamit ka ng cPanel hosting tulad ng SiteGround, WPEngine maaari mong mai-install ang SSL certificate nang libre gamit ang isang click lamang.

Una, mag-log in sa iyong hosting cPanel account at mag-navigate sa Seguridad.  (Narito ang screenshot sa ibaba mula sa SiteGround hosting cPanel.)

SG SSL

Pumunta sa SSL / TLS Manager at mag-click sa I-install ang SSL Certificate. Mula sa pahina, piliin ang iyong domain at mag-click sa Autofill sa pamamagitan ng domain. Ang proseso ay awtomatiko upang hindi mo na kailangang mag-edit o magbago ng anuman.

Pag-install ng Site ng Lupa ng SSL Certificate

Ngayon mag-click sa I-install ang Sertipiko pindutan upang matapos ang proseso ng pag-setup.

Kapag tapos na, mag-login sa iyong WordPress admin dashboard upang baguhin ang iyong site URL. Pumunta sa Mga setting> Pangkalahatan at idagdag ang palitan ang HTTP sa HTTPS bago ang iyong site URL. Narito ang isang screenshot sa ibaba.

WP HTTPS

Kapag na-update, mag-click sa I-save ang mga pagbabago.

Paano Mag-redirect ng HTTP sa HTTPS sa WordPress

Kung maayos mong mai-install ang SSL sertipiko, pagkatapos ang iyong site ay maa-access gamit ang HTTPS.

Ngunit kung ang isang tao ay nag-type lamang ng iyong pangalan ng website (i.e. domain.com) sa bar ng address ng browser, pagkatapos ay maipakita ng site ang “Hindi pagkakasiguro ng koneksyon”. Ibig sabihin ay maa-access ang iyong site sa HTTP.

Upang ayusin ang isyu, kailangan mong pilitin ang HTTPS sa WordPress, kaya ang iyong site ay mai-load lamang sa HTTPS. Madali mong pilitin ang HTTPS sa WordPress.

Unang pag-login sa iyong hosting cPanel at pumunta sa root folder ng iyong website at hanapin .kakatwa file. I-edit ang .htaccess file at sa dulo idagdag ang sumusunod na code.

RewriteEngine On
RewriteCond% {HTTPS}
RewriteRule ^ (. *) $ Https: //% {HTTP_HOST}% {REQUEST_URI} [L, R = 301]

I-save ang file at tapos ka na. Ngayon ang iyong website ay maa-access lamang sa HTTPS.

Kung ang iyong web hosting provider ay hindi nagbibigay ng isang libreng sertipiko SSL, maaari mong mai-install nang manu-mano ang isang sertipiko ng SSL. Narito ang gabay sa kung paano mag-install ng libreng SSL certificate.

Bumalik sa tuktok

16. Tanggalin ang mga Hindi Ginamit na Mga Tema at Plugin

Pagdating tungkol sa pagpapatibay ng seguridad ng WordPress, hindi namin dapat pansinin ang anumang maliit na hakbang na maaaring maging mahina ang iyong site. 

Karamihan sa mga oras na may-ari ng site ng WordPress ay nag-install ng iba’t ibang mga tema at mga plugin upang masubukan kung aling tema ang mas mahusay sa hitsura ng kanilang site o kung aling ang plugin ay may higit na pag-andar. Ok lang yan Ngunit ang pagsunod sa mga hindi nagamit na mga tema at mga plugin ay mahina ang iyong site.

Dahil ang pagpapanatiling maraming mga tema ng WordPress at mga plugin ay kailangang regular na mag-update tulad ng iyong ginagamit. Kung hindi mo mai-update ang mga ito, sila ay naging mahina at madali na mapagsamantalahan ng mga hacker ang iyong site sa pamamagitan ng masusugatan na mga tema at plugin. Bukod, pinapanatiling mas mabagal ang site ng WordPress.

Kaya dapat mong laging tanggalin ang hindi nagamit na mga tema at plugin para sa pagpapabuti ng pagganap ng site at seguridad ng WordPress.

Upang tanggalin ang isang hindi nagamit na plugin, pumunta sa Mga plugin> Naka-install na Mga Plugin. Pagkatapos ay hanapin ang plugin na hindi mo na kailangan. Una, i-deactivate ang plugin at mag-click sa Tanggalin.

Tanggalin ang plugin ng WordPress

Katulad nito, upang tanggalin ang isang tema, pumunta sa Hitsura> Mga Tema at mag-click sa Mga Detalye ng Tema. Pagkatapos sa ibaba ng kanang bahagi, mag-click sa Tanggalin.

Tanggalin ang Tema

Bumalik sa tuktok

17. Huwag paganahin ang Pag-edit ng File sa WordPress Dashboard

Bilang default, pinapayagan ng WordPress ang mga gumagamit na i-edit ang tema at file ng plugin nang direkta mula sa WordPress dashboard. Ito ay isang kapaki-pakinabang na pagpipilian para sa mga gumagamit na madalas na kailangang i-edit ang tema at file ng plugin.

Editor ng Tema ng WordPress

Gayunpaman, ang pagpapanatili ng pagpapaandar na ito ay maaaring maging isang seryosong isyu sa seguridad. Kung na-access ng mga hacker ang iyong website ay karaniwang iniiwan nila ang kanilang mga bakas ng paa sa pamamagitan ng pag-iniksyon ng malisyosong code sa mga file ng website. Kung pinagana ang iyong pag-edit ng file ng WordPress, ang mga hacker ay madaling mag-iniksyon ng nakakahamak na code sa iyong tema o file ng plugin na hindi mo kilala.

Upang mapabuti ang seguridad ng WordPress, kailangan mong huwag paganahin ang function ng pag-edit ng file mula sa iyong WordPress dashboard. Ang hindi pagpapagana ng tema ng WordPress at editor ng plugin sa WordPress ay napakadali na proseso.

Una, kailangan mong mag-login sa iyong hosting cPanel account at pumunta sa root folder ng iyong WordPress site. Mula doon, hanapin ang wp-config.php. Mag-click sa i-edit at idagdag ang sumusunod na code sa dulo.

tukuyin (‘DISALLOW_FILE_EDIT’, totoo);

Ngayon i-save ang file at i-refresh ang iyong WordPress dashboard. Makikita mo na ang tema at pagpipilian ng editor ng plugin ay nawala. Sa maliit na trick na ito, madali mong mapabuti ang seguridad ng WordPress.

Basahin ang detalyadong gabay sa kung paano hindi paganahin ang tema at editor ng plugin sa WordPress

Bumalik sa tuktok

18. Protektahan ang Password ng Pahina ng Pag-login ng WordPress

Ang isa pang mahusay na paraan upang mapagbuti ang seguridad ng WordPress ay upang protektahan ang password sa pahina ng pag-login sa WordPress.

Sa pamamagitan ng pagprotekta sa password ng iyong pag-login sa WordPress (/wp-login.php) o admin (https://cdn.wpmyweb.com/wp-admin), maiiwasan mo ang mga hacker na mai-access ang iyong pahina ng pag-login dahil nangangailangan ito ng isang password upang ma-access ang Pahina sa pag-login. Kinakailangan na pagpapatunay ng popup boxKapag pinagana ang tampok na ito, ang iyong site ay i-prompt ang lahat ng mga gumagamit na ma-access ang pahina ng pag-login gamit ang isang username at window window. Sa madaling salita, ang lahat ng mga gumagamit ay kailangang mag-login ng dalawang beses sa iba’t ibang username at password bago ma-access ang iyong WordPress admin dashboard.

Sa pamamagitan nito, maaari mong palakasin ang iyong seguridad sa WordPress at magdagdag ng isang karagdagang layer ng seguridad sa iyong pahina ng pag-login.

Basahin ang aming malalim na gabay sa kung paano protektahan ang password na pahina ng pag-login sa WordPress.

Bumalik sa tuktok

19. Huwag paganahin ang Pag-browse ng Directory sa WordPress

Bilang default, karamihan sa mga web server tulad ng Apache, NGINX, at LiteSpeed ​​ay nagbibigay-daan sa sinumang gumagamit na mag-browse sa mga direktoryo na naglalaman ng mga file at folder ng WordPress. Maaari rin nilang makita kung aling tema at plugin na iyong ginagamit at alam ang higit pa tungkol sa iyong istraktura ng website.

Pahina ng Index ng isang Site ng WordPress

Ang impormasyong ito ay maaaring humantong sa iyong WordPress site na masugatan at makakatulong sa isang hacker kapag sinusubukan upang ikompromiso ang iyong site.

Upang mapahusay ang seguridad ng WordPress, inirerekumenda ka naming huwag paganahin ang pagpipiliang ito. Upang huwag paganahin ang pag-browse sa direktoryo sa WordPress, idagdag lamang ang sumusunod na linya sa iyong .htacces file.

Lahat ng Mga Pagpipilian sa Mga -Indexes

Para sa detalyadong mga tagubilin, basahin ang aming gabay sa kung paano hindi paganahin ang pag-browse sa direktoryo sa WordPress

Bumalik sa tuktok

20. Alisin ang Iyong Bersyon ng WordPress

Bilang default, awtomatikong nagdaragdag ang WordPress ng mga meta tag sa iba’t ibang mga lokasyon na nagpapakita ng bersyon ng WordPress na iyong ginagamit.

Narito ang bagay: kung alam ng mga hacker na nagpapatakbo ka ng lipas na bersyon ng WordPress, maaari nilang pagsamantalahan ang iyong site sa pamamagitan ng mga kilalang kahinaan na naroroon sa mas lumang bersyon ng WordPress.

Kaya mas mahusay na alisin mo ang iyong bersyon ng WordPress upang mapabuti ang seguridad ng WordPress. Maraming mga lugar kung saan idinadagdag ng WordPress ang mga meta tag tulad, sa WordPress dashboard, sa header, sa estilo at javascript at sa RSS feed.

Pag-alis ng bersyon ng WordPress mula sa header at RSS

Upang alisin ang bersyon mula sa header at RSS, idagdag ang sumusunod na linya sa dulo ng iyong function.php file.

function na alisin_wordpress_version () {
bumalik ”;
}
add_filter (‘the_generator’, ‘alisin_wordpress_version’);

Pag-alis ng numero ng bersyon ng WordPress mula sa Mga script at CSS

Upang alisin ang bersyon ng WordPress mula sa CSS at mga script, idagdag ang sumusunod na linya sa dulo ng iyong function.php file.

// Piliin ang numero ng bersyon mula sa mga script at estilo
function na alisin_version_from_style_js ($ src) {
kung (strpos ($ src, ‘ver =’. get_bloginfo (‘bersyon’)))
$ src = tinanggal_query_arg (‘ver’, $ src);
ibalik ang $ src;
}
add_filter (‘style_loader_src’, ‘alisin_version_from_style_js’);
add_filter (‘script_loader_src’, ‘alisin_version_from_style_js’);

Kapag tapos na, i-save ang mga function.php file.

Ayan yun. Sa simpleng trick na ito, maaari mong tiyak na mapabuti ang iyong seguridad sa WordPress. Gayunpaman, palagi naming inirerekumenda sa iyo na regular na i-update ang iyong bersyon ng WordPress pati na rin ang tema at mga plugin.

Para sa detalyadong mga tagubilin, basahin ang aming gabay sa kung paano itago o alisin ang bersyon ng WordPress

Bumalik sa tuktok

21. Baguhin ang Prefix ng Talahanayan ng WordPress Database

Sa panahon ng pag-install ng WordPress, nagtatanong kung nais mong gumamit ng ibang prefix ng database. Karaniwan kaming laktawan ang hakbang na ito, kaya awtomatikong ginagamit ang WordPress (WP_) bilang default na prefix ng talahanayan ng database. Inirerekumenda ka naming baguhin ito ng isang bagay na malakas at natatangi.

Gamit ang default (WP_) prefix ginagawang madali ang iyong database ng WordPress sa mga pag-atake ng iniksyon sa SQL. Ang ganitong pag-atake ay maiiwasan sa pamamagitan ng pagbabago ng prefix ng database (WP_) sa isang bagay na natatangi.

Pagkatapos i-install ang WordPress, madali mong baguhin ang prefix ng talahanayan ng talahanayan ng database gamit ang mga plugin o manu-mano mano-mano. Ang mga plugin tulad ng BackupBuddy, Brozzme DB Prefix ay nagbibigay-daan sa iyo upang baguhin ang prefix ng talahanayan na may isang pag-click lamang.

Para sa kapakanan ng tutorial, ipinapakita ko kung paano baguhin ito gamit ang Brozzme DB Prefix plugin.

Tandaan: Bago ka gumawa ng anumang bagay sa iyong database, tiyaking kumuha ka ng isang backup ng iyong site at database. Kung sakaling may mali, maaari mong ibalik ang iyong site.

Una, i-install at buhayin Prefix ng Brozzme DB isaksak. Mula sa iyong WordPress dashboard, pumunta sa Mga tool> Prefix ng DB at magpasok ng isang bagong natatanging pangalan para sa prefix ng database.

Prefix ng Brozzme DB

Kapag naipasok ang iyong bagong prefix, mag-click sa Baguhin ang DB Prefix.

Para sa manu-manong proseso, basahin kung paano baguhin ang prefix ng talahanayan ng database gamit ang phpMyAdmin

Bumalik sa tuktok

22. Gumagamit lamang ng Mga Pinagkakatiwalaang WordPress Plugin

Ang WordPress ay may higit sa 48,000 mga plugin. Hindi ibig sabihin na ang lahat ng mga plugin ay kapaki-pakinabang at ligtas na gamitin.

Sapagkat maraming mga plugin na magagamit sa gallery ng plugin ng WordPress na hindi maa-update mula sa isang mahabang panahon at kadalasan ay naging mahina sila. Bukod dito, hindi ka makakakuha ng anumang suporta kung sinira ng plugin ang iyong site.

Bago ka gumamit ng anumang libreng plugin, dalawang mahalagang bagay na kailangan mong suriin,

  • Suriin kung kailan huling na-update ang plugin: Kung ang plugin ay hindi mai-update nang madalas o hindi na pinapanatili ng plugin ng plugin, dapat mong iwasan ang plugin.

Hindi na napapanahong Bersyon ng Plugin na WordPress

  • Suriin kung ang plugin ay may pinakamataas na positibong rating: Ang susunod na bagay na kailangan mong suriin kung ang plugin ay may pinakamataas na positibo o negatibong mga rating. Kung ang plugin ay may pinakamataas na negatibong mga rating, hindi mo ito magagamit.

WordPress Mababang Rated Plugin

Maaari mo ring suriin ang pahina ng Mga Review at Suporta ng plugin upang makita kung ano ang sinasabi ng iba pang mga gumagamit tungkol sa plugin.

Ngunit, huwag kang mag-alala. Maraming mga katulad na mga plugin na magagamit maaari mong mahanap mula sa gallery ng plugin ng WordPress.

Kung nais mong gumamit ng isang premium plugin, hindi mo kailangang mag-alala tungkol dito. Regular na mai-update ang mga premium na plugin at makakakuha ka ng 24x na suporta mula sa developer ng plugin.

Bumalik sa tuktok

23. Huwag paganahin ang Pag-uulat ng error sa PHP

Ang isa pang mahusay na paraan upang patigasin ang seguridad ng WordPress ay sa pamamagitan ng hindi pagpapagana ng ulat ng error sa PHP sa WordPress. Maraming beses, kapag nag-install ka ng isang hindi napapanahong plugin o tema, maaari mong makita ang babala sa error sa PHP.

Babala ng Error sa WordPress PHPGayunpaman, maaari itong humantong sa iyong site na mahina laban kung nakuha ng mga hacker dahil ipinapakita nito ang code at lokasyon ng file. Upang mabawasan ang panganib, maaari mong paganahin ang pag-uulat ng error sa PHP sa WordPress.

Ang hindi pagpapagana ng babala sa error sa PHP ay napakadali. Una, i-edit ang iyong wp-config.php file at hanapin ang linya na mayroong code na ito:

tukuyin (‘WP_DEBUG’, hindi totoo);

Maaari mong makita ang “totoo” sa halip na “maling”. Ngayon palitan ang linya sa sumusunod na code.

ini_set (‘display_errors’, ‘Off’);
ini_set (‘error_reporting’, E_ALL);
tukuyin (‘WP_DEBUG’, hindi totoo);
tukuyin (‘WP_DEBUG_DISPLAY’, hindi totoo);

I-save ang file at tapos ka na.

Inirerekumenda ka namin na gumamit ng up-to-date at mahusay na rate ng mga plugin upang maiwasan ang ganitong uri ng isyu.

Bumalik sa tuktok

24. Magdagdag ng HTTP Secure Header sa WordPress

Ang isa pang mahusay na paraan upang patigasin ang seguridad ng WordPress ay upang magdagdag ng mga secure na header ng HTTP sa iyong WordPress site.

Kapag may nag-access sa iyong website, ang browser ay humiling ng iyong kahilingan sa iyong web server. Pagkatapos ay tumugon ang web server sa mga kahilingan kasama ang mga header ng HTTP. Ang mga header ng HTTP ay nakapasa sa impormasyon tulad ng nilalaman-encode, control ng cache, uri ng nilalaman, koneksyon atbp.

Sa pamamagitan ng pagdaragdag ng ligtas na header ng pagtugon sa HTTP, maaari mong mapabuti ang seguridad ng WordPress at maiiwasan mo rin ang pag-iwas sa mga pag-atake at kahinaan sa seguridad.

Narito ang mga header ng HTTP sa ibaba:

  • Ang HTTP Strict Transport Security (HSTS): Ang HTTP Strict Transport Security (HSTS) ay nagpapatupad sa web browser na gumamit lamang ng mga ligtas na koneksyon (HTTPS) kapag nakikipag-usap sa isang website. Pinipigilan nito ang SSL protocol hacks, cookie hijacking, SSL stripping atbp.
  • X-Frame-options: Ang X-Frame-options ay isang uri ng HTTP header na tumutukoy kung pinapayagan ang isang browser na mag-render ng isang website sa isang frame. Pinipigilan nito ang pag-atake ng pag-click at tinitiyak na ang iyong website ay hindi naka-embed sa ibang mga website gamit .
  • X-XSS-Proteksyon: Ang X-XSS-Protection ay isang built-in na tampok ng internet explorer, Google Chrome, Firefox at Safari browser na humarang sa mga pahina mula sa paglo-load kung ang isang malisyosong script ay naipasok mula sa isang input ng gumagamit.
  • Mga Pagpipilian sa X-Nilalaman-Uri: Ang X-Nilalaman-Uri-Opsyon ay isang uri ng header ng tugon ng HTTP na may halaga na nosniff na pumipigil sa mga web browser mula sa MIME-sniffing isang tugon mula sa ipinahayag na uri ng nilalaman.
  • Referrer-Patakaran: Ang patakaran ng referrer ay isang header ng pagtugon sa HTTP na pumipigil sa pagtagas ng cross-domain.

Upang magdagdag ng mga secure na header ng HTTP sa WordPress, idagdag lamang ang mga sumusunod na linya ng code sa iyong .kakatwa file.

Itinakda ng header ang Strict-Transport-Security "max-age = 31536000" env = HTTPS
Ang header ay palaging magdagdag ng X-Frame-Options na SAMEORIGIN
Itinakda ng header ang X-XSS-Proteksyon "1; mode = block"
Itakda ang header ng X-Nilalaman-Type-Type nosniff
Sanggunian ng Header Referrer: walang-referrer-kapag-downgrade

Suriin ang mga header ng Seguridad

Pumunta ka na ngayon securityheaders.com upang suriin kung ang mga code ay gumagana o hindi. Hindi namin naidagdag ang “Patakaran sa Seguridad ng Seguridad” dahil maaaring masira nito ang iyong site. Gayunpaman, sapat na upang ma-secure ang iyong site sa WordPress.

Bumalik sa tuktok

Konklusyon

Maraming mga paraan na maaari mong patigasin Seguridad ng WordPress tulad ng: gamit ang isang pinamamahalaang WordPress hosting, gamit ang malakas na mga password para sa mga account, pagsubaybay sa mga aktibidad ng gumagamit, gamit ang isang WordPress security plugin, ipatupad ang SSL at HTTPS at marami pa.

Ang harding WordPress security ay hindi rocket science. Madali mong mai-secure ang iyong WordPress site sa pamamagitan ng pagpapatupad ng pinakamahusay na mga kasanayan sa seguridad ng WordPress na ibinahagi namin sa artikulong ito. Sa pamamagitan ng pagpapatupad ng mga ito, hindi mo lamang mai-secure ang iyong site ng WordPress ngunit maiiwasan din ang pag-access sa mga hacker.

Kapag tapos na, hindi mo na kailangang mag-alala tungkol sa iyong seguridad sa WordPress. Bukod dito, maaari kang maging mas produktibo at libre mula sa pilay.

NGAYON ito ang iyong oras. Basahin nang mabuti ang artikulo at ipatupad ang mga ito sa iyong site. Masisiyahan ka sa ginawa mo. ��

Na-miss ba natin ang anumang mahalagang mga tip sa seguridad ng WordPress na banggitin dito? huwag mag-atubiling ipaalam sa amin sa seksyon ng komento.

WordPress Security Infographic

WordPress-Security-Infographic-Maliit-Laki

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Понравилась статья?
    Комментарии (0)
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector