WordPress biztonság – 24 tipp a webhely védelmére a hackerek ellen

04.06.2020
WordPress 'WordPress biztonság – 24 tipp a webhely védelmére a hackerek ellen
0 50 мин.

A WordPress biztonságának elsődleges fontosságúnak kell lennie egy webhely kezelésekor. Ön webhelyét tervezi, tartalmat tesz közzé, termékeket online értékesít, de ha nem veszi komolyan a WordPress biztonságát, akkor bármikor feltörhet webhelye. 


Minden nap 30 000 webhelyet hackelnek, és több mint 2000 weboldalt feketelistára adnak a Google. Ön nem kivétel. Ha egy kormányzati weboldal feltörhet, akkor miért ne a tiéd?

Egy reggel felébredt és látta, hogy a WordPress webhely elérhetetlen, és véletlenszerű üzeneteket lát, mint például,

„A webhelyét a xyz csapkodta fel” – a weboldalt csapkodják be

„Az elõzõ oldal rosszindulatú programokat tartalmaz” – a Google feketelistája

Ez a legrosszabb dolog, amellyel valaha szembesült a weboldaladdal.

De miért a WordPress??

A WordPress a webes webhelyek több mint 31% -át (80 millió) birtokolja. Alapján W3Techs, A WordPress a CMS piaci részesedésében 60% -kal több, mint más platformok, ami elég erős ok a hackerek vonzására..

De ne ess pánikba. A WordPress biztonságának megszilárdítása nagyon egyszerű, és megteheti.

Ebben a cikkben megosztom a 24 legjobb WordPress biztonsági tippet, amelyek megvédik webhelyét a hackerek és a rosszindulatú programok ellen.

– Miért nem szűnik meg a palota kapuja, mielőtt felfedezik? – WPMyWeb

Contents

Általános WordPress biztonsági problémák

Mielőtt mélyebben belemerülnénk a WordPress biztonsági bevált módszereibe, nézzük meg először néhány általános WordPress biztonsági kérdést.

Sok felhasználó úgy véli, hogy a WordPress nem biztonságos platform egy vállalkozás számára, ami egyáltalán nem igaz. Ennek oka a WordPress biztonságának ismeretének hiánya, a rossz rendszergazda, az elavult WordPress szoftver és a bővítmények használata stb..

Sok WordPress kezdőnek feltételezi, hogy a weboldal létrehozása a vég, és ehhez nincs szükség biztonsági karbantartásra. Így hagyja kiszolgáltatottnak a webhelyét.

Amint a hackerek kiszolgáltatottnak találják webhelyét, könnyen kihasználhatják az Ön webhelyét.

Nézzük meg néhány általános WordPress biztonsági problémát.

1. Brute Force Attacks: 

A brute force támadás során egy automatizált szkriptet használunk a felhasználónevek és a jelszavak különféle kombinációinak előállítására. A Hacker a WordPress bejelentkezési oldalát használja a brute force támadás futtatásához. 

Ha egyszerű felhasználónevet és jelszót használ, akkor a támadás következő áldozata lehet.

2. Keresztközi szkriptek (XSS):

A webhelyek közötti szkriptek olyan típusú támadások, amelyek során a támadók rosszindulatú kódot / szkriptet adnak be egy megbízható webhelyre. Ez a hackelési módszer teljesen láthatatlan a webhelyet szörföző felhasználók számára.

Ezek a rosszindulatú szkriptek névtelenül töltenek be információkat, és ellopják az információkat a felhasználói böngészőből. Még ha a felhasználó bármilyen adatot bármilyen formában megad, az adatok ellophatók.

3. SQL injekciók:

A WordPress MySQL adatbázist használ bloginformációk tárolására.

Az SQL injekció akkor történik, amikor a hackerek hozzáférnek a WordPress adatbázishoz. A WordPress adatbázis feltörésével a hackerek új admin fiókot hozhatnak létre, teljes hozzáféréssel a webhelyéhez.

Beilleszthetnek adatokat a MySQL adatbázisba, és linkeket adhatnak a rosszindulatú vagy spam webhelyekhez.

4. Hátsó ajtó:

A „Hátsó ajtó” néven megértheti, hogy mit jelent. 

A hátsó ajtó egy olyan hackerekkel járó módszer, amely lehetővé teszi a hackerek számára a webhelyre való belépést azáltal, hogy megkerüli a normál hitelesítési folyamatot, és még észrevétlenül is marad a webhely tulajdonosától..

Egy weboldal hackelése után a hackerek általában elhagyják a lábnyomot, így elérhetik a weboldalt, még ha a hacket is eltávolítják.

5. Pharma Hacks:

A WordPress Pharma hacks egyfajta webhely-spam, amely a keresőmotor eredményeit spam jellegű gyógyszertári tartalommal tölti meg, amely az interneten tiltott, például a Viagra, a Nexium, a Cialis stb..

Más WordPress hack-ekkel ellentétben a hackelési eredmények csak a keresőmotorok számára láthatók. Tehát nem észlelheti a hacket, ha megnézi csak a webhelyét vagy a forráskódot.

Nyissa meg a Google-t, és írja be site: domain.com. Ha a keresési eredmények a webhely tartalmát mutatják (nem a gyógyszertári tartalmat), akkor a webhelyet a gyógyszerészi csapások nem érintik.

Ennek a hacknek az a célja, hogy kiaknázza legértékesebb oldalait azáltal, hogy felülírja a címsort a káros linkekkel. Nem is beszélve arról, hogy ha nem vizsgálja meg az ügyet korán, a keresőmotorok, mint például a Google, a Bing feketelistára helyezheti webhelyét rosszindulatú tartalmak biztosítása érdekében.

6. Rosszindulatú átirányítások:

A WordPress rosszindulatú átirányítása egyfajta hack, ahol a webhely látogatói automatikusan átirányításra kerülnek spam oldalakra, például szerencsejáték, pornó, randevú-oldalakra. Ez a hackelés akkor történik, amikor egy rosszindulatú kódot fecskendeznek be a webhely fájljába vagy adatbázisába.

Ha webhelye átirányítja a látogatókat illegális vagy rosszindulatú webhelyekre, akkor a Google valószínűleg feketelistára kerül.

Miért fontos a WordPress biztonság??

Webhelye képviseli a márkát, vállalkozását, és ami a legfontosabb: az első kapcsolatfelvétel az ügyfelekkel.

Valószínűleg néhány évbe telt, és sok erőfeszítést igényelt, hogy fenntartsd vállalkozását és növekedj a forgalmad. Közönsége szeretik cikkeit, és bízik a termékeiben, ezért tartják fenn a kapcsolatot veled.

Ha a WordPress-webhely nem biztonságos, számos módon érinti a webhelyet és az ügyfeleket. A hackerek ellophatják a felhasználó személyes adatait, jelszavait, hitelkártya-adatait, tranzakciós adatait, és rosszindulatú programokat terjeszthetnek a felhasználók számára.

Ha webhelyét feltörték, észreveszi, hogy a forgalom drasztikusan csökken. Ezenkívül a Google feketelistára veszi webhelyét.

Szerint a Google blog, a feltört webhelyek száma 2016-ban körülbelül 20% -kal növekszik 2015-hez képest.

Egy tanulmányban, Securi jelentések hogy a Google minden nap több mint 10 000 weboldalt feketelistára tesz.

Ha komolyan veszi vállalkozását, külön figyelmet kell fordítania a WordPress biztonságára.

WordPress biztonság

A legjobb WordPress biztonsági útmutató

  1. Szerezz be egy jó WordPress tárhelyet
  2. Frissítse a WordPress verziót
  3. Ne használjon semmilyen üres vagy repedt témát vagy beépülő modult
  4. Használjon erős jelszavakat
  5. Add (2FA) Két faktor hitelesítés
  6. Változtassa meg a WordPress bejelentkezési URL-jét
  7. A bejelentkezési kísérletek korlátozása
  8. Rendszeresen készítsen biztonsági másolatot webhelyéről
  9. Használjon WordPress biztonsági bővítményt
  10. Automatikus kijelentkezés tétlen felhasználók számára
  11. Adjon hozzá biztonsági kérdéseket a WordPress bejelentkezési oldalához
  12. Módosítsa az alapértelmezett „admin” felhasználónevet
  13. Jelölje ki a felhasználókat a lehető legalacsonyabb szerephez
  14. Figyelemmel kíséri a fájl változásait és a felhasználói tevékenységeket
  15. Telepítse az SSL tanúsítványt
  16. Törölje a nem használt témákat és beépülő modulokat
  17. Tiltsa le a fájlszerkesztést a WordPress irányítópultján
  18. Jelszóval védett WordPress bejelentkezési oldal
  19. Tiltsa le a könyvtár böngészést
  20. Távolítsa el a WordPress verziószámát
  21. A WordPress Database Table Prefix módosítása
  22. Csak megbízható WordPress témákat és bővítményeket használjon
  23. Letiltja a PHP hibajelentést
  24. Adja hozzá a HTTP biztonságos fejléceket a WordPress-hez

Kész? Kezdjük.

1. Szerezz be egy jó WordPress tárhelyet

A WordPress tárhely fontos szerepet játszik a WordPress biztonságának javításában.

Fizetsz a tárhelyszolgáltatásért, és a webhelyed ellenőrzésük alatt marad. Tehát legyen óvatos, mielőtt a WordPress webhelyére megfelelő webhelyet választana.

A megosztott tárhely, például az A2Hosting, a Bluehost stb. A legjobb hostolási lehetőség alacsony forgalmú blog futtatására. De a megosztott tárhelynél mindig lesz esély a telek közötti szennyeződésre.

A webhelyek közötti szennyezés akkor fordul elő, amikor a hackerek kiszolgáltatott webhelyen keresztül férnek hozzá a webkiszolgálóhoz, majd ugyanazon a webkiszolgálón használják az összes többi webhelyet..

Javasoljuk, hogy használjon kezelt WordPress tárhely-szolgáltatót. A kezelt WordPress tárhelyszolgáltatók többrétegű biztonsági lehetőségeket biztosítanak a webhelyek számára. Tárhelyük nagyon biztonságos, napi rosszindulatú programokat kínálnak, és megakadályozzák a külső támadásokat. Ha egyébként rosszindulatú programokat találnak a szerverükön, vállalják a felelősséget, és azonnal eltávolítják.

Napi biztonsági másolatot, ingyenes SSL tanúsítványt, 24 × 7 szakértői támogatást is kínálnak.

A WPEngine által kezelt WordPress tárhely szolgáltatót javasoljuk. Több biztonsági réteget kínálnak a WordPress-webhely védelmére. Tervével napi biztonsági másolatot, ingyenes SSL-t, globális CDN-t és 24×7-es szakértői támogatást kap.

Látogatás WPEngine. [Kedvezménykód hozzáadva erre a linkre]

Vissza a tetejére

2. Frissítse a WordPress verziót

A WordPress webhelyének naprakészen tartása jó biztonsági gyakorlat a WordPress biztonságának megerősítéséhez. Ez a frissítés tartalmazza a WordPress verziót, a bővítményeket és a témákat.

Egy nemrégiben készült tanulmányban, Securi elemezte hogy a teljes WordPress-fertőzött webhelyek 56% -a még mindig naprakész volt. Ha egyikük vagy, veszélyben van.

Minden nap új sebezhetőségeket fedeznek fel, és nincs módjuk megállítani azokat. Az elavult szoftverek és beépülő modulok olyan biztonsági réseket tartalmazhatnak, amelyeket a hackerek felhasználhatnak egy webhely kihasználására.

Minden frissítéssel a fejlesztők új funkciókat tartalmaznak, javításokat végeznek a biztonsági lyukakban, kijavítják a hibákat stb. Mint például a WordPress szoftvert, frissíteni kell a WordPress témákat és bővítményeket is..

A jó dolog az, hogy a WordPress automatikusan telepíti a frissítéseket és értesíti a felhasználókat.

A WordPress verzió, a bővítmények és a témák frissítése nagyon egyszerű, és ezt megteheti a WordPress admin irányítópultján.

Hogyan frissíthetjük a WordPress-t, a beépülő modulokat és a témákat?

Először jelentkezzen be a WordPress irányítópultjába, és ugorjon a Irányítópult> Frissítés. Itt megnézheti, elérhető-e új frissítés.

Jegyzet: A WordPress verzió frissítése előtt készítsen teljes biztonsági másolatot fájljairól és adatbázisáról. Hiba esetén könnyedén visszaállíthatja webhelyét az előző verzióra. A BlogVault használatával egyetlen kattintással könnyen készíthet biztonsági másolatot és helyreállíthatja webhelyét.

Az oldalon láthatja: „A WordPress frissített verziója elérhető”. Kattintson Frissítse most gombra a WordPress verzió frissítéséhez, ez a folyamat néhány másodpercet vehet igénybe.

A frissítés befejezése után görgessen lefelé az alábbiakhoz, hogy frissítse a WordPress bővítményeit. Javasoljuk, hogy frissítse a pluginokat egyenként. Először válassza ki a beépülő modult, majd kattintson a gombra Frissítse a bővítményeket.

Hasonló módon frissítse az alábbi témákat.

Frissítse a WordPress alkalmazást az irányítópulton

Ugyanakkor a frissítési folyamat kicsit trükkös egyes felhasználók számára, különösen azok számára, akik nem technikusok.

Néhány menedzselt WordPress-tárhely-szolgáltató, például a SiteGround, a Kinsta és a FlyWheel automatikus frissítés funkció. Tehát, ha elfoglalt ütemezésben vagy lusta vagy frissíteni, ez hasznos lehet.

Olvassa el a WordPress verzió, a bővítmények és témák kézi frissítése című cikket is

Vissza a tetejére

3. Soha ne használjon semmilyen semmi / repedt témát és beépülő modult

Nem csoda, hogy a prémium pluginek és témák nagyobb funkcionalitást és professzionális megjelenést tartalmaznak. De a prémium termékek egyike sem ingyenes. Árkal jár, és miután minden prémium terméket megvásárolt, a felhasználónak be kell írnia a termékkulcsot a termék aktiválásához.

Számos rosszindulatú webhely is elérhető, amelyek prémium témákat és plug-ineket kínálnak ingyenesen. Ezeknek a feltört témáknak és beépülő moduloknak nem szükséges a soros kulcs aktiválásához, és soha nem kerülnek frissítésre.

Íme:

Nulled WordPress plugin példa

Ezek a nullázott témák és beépülő modulok nagyon veszélyesek az Ön webhelyére. A hackerek kifejezetten rosszindulatú programokat fecskendeznek be, és hátsó ajtót készítenek webhelyére. Így könnyen hozzáférhetnek az Ön webhelyéhez, és feltörhetik az Ön webhelyét, beleértve az adatbázist.

Tehát soha ne használjon nullázott vagy repedt WordPress témákat és beépülő modulokat.

Nagyon javasoljuk, hogy csak az ingyenes témákat vagy beépülő modulokat töltse le csak a WordPress.org webhelyről.

Megértjük, hogy az ingyenes téma vagy plugin nagyon korlátozott funkcióval rendelkezik. Ezeknek az ingyenes témáknak vagy plugineknek azonban biztonságos a használata, és rendszeresen frissülnek.

Olvassa el a 7 legjobb prémium blogtémát is a WordPress számára

Vissza a tetejére

4. Használjon erős jelszavakat

A jelszó az elsődleges kulcs a WordPress webhely eléréséhez. Ha egyszerű és rövid, akkor a hackerek könnyen feltörhetik a jelszavad. Felett 80% a hackeléshez kapcsolódó jogsértések száma történik gyenge jelszó vagy ellopott jelszó miatt.

Egy nemrégiben készült tanulmányban, A SplashData felfedte 2017 legrosszabb jelszava.

Itt van néhány ezek közül:

  1. 123456
  2. Jelszó
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. engedj be
  8. 1234567
  9. futball
  10. Szeretlek
  11. admin
  12. Üdvözöljük
  13. majom (lol)

Ha jelszava egyszerű, mint fentebb, akkor azonnal módosítsa. A jó erősségű jelszónak legalább 10 számjegyűnek kell lennie, és tartalmaznia kell nagybetűket, kisbetűket, számot és speciális karaktereket.

Használhat egy online jelszógenerátor eszköz azonnal létrehozhat biztonságos jelszavakat.

A jelszót is el kell mentenie a számítógépére.

A megkönnyítés érdekében a jelszókezelő szoftverrel kezelheti az összes jelszavát, például a LastPass, a Dashlane stb.

Erős jelszó érvényesítése a felhasználók számára

Alapértelmezés szerint a WordPress nem rendelkezik olyan funkcióval, amely megakadályozza a felhasználókat a gyenge jelszavak bevitelében. A felhasználók legtöbbször gyenge jelszót állítanak be fiókjába, és alig változtatják meg.

Ha több felhasználó WordPress-blogját futtatja, akkor erőszakos jelszó használatára kényszerítenie kell a felhasználókat.

A folyamat megkönnyítése érdekében használjon egy plugint. Telepítse és aktiválja Erőteljes jelszavak plugin, és kész. Ez megakadályozza a felhasználókat, sőt az adminot a gyenge jelszó megadását.

Vissza a tetejére

5. Adjon hozzá kétfaktoros hitelesítést (2FA) 

A WordPress biztonságának megerősítésére szolgáló másik egyszerű módszer kétfaktoros hitelesítés (2FA) hozzáadása a WordPress bejelentkezési oldalához. Alapvetően a két tényezős hitelesítés vagy a kétlépcsős azonosítás egy biztonsági folyamat, amely két módszer megköveteli az identitás ellenőrzését.

Alapértelmezés szerint általában a felhasználónevet és a jelszót írjuk be a webhelyre történő bejelentkezéshez. Két tényezőjű hitelesítés hozzáadásával további ellenőrzési folyamat szükséges, például egy okostelefon-alkalmazáshoz a hitelesítési folyamat jóváhagyásához.

Tehát, ha valaki ismeri a felhasználónevet és a jelszót, akkor okostelefonjára van szüksége, hogy megkapja az ellenőrző kódot a webhelyre történő bejelentkezéshez.

Két tényezős hitelesítés hozzáadásával nem csak a WordPress bejelentkezési oldalát biztosítja, hanem a brutális erőszakos támadások megakadályozását is szolgálja.

A kétfaktoros hitelesítést egyszerűen engedélyezheti a Google két faktoros hitelesítő WordPress pluginjának használatával.

Miután aktiválta, menjen a felhasználók> Felhasználói profil és aktiválja a plugin-t.

A Google Hitelesítő beállításai

Ezután töltse le a Google hitelesítő alkalmazást telefonjáról és beolvassa a Vonalkód vagy írja be a Titkos kód (lásd a fenti képernyőképet) a webhelyéről a webhely felvételéhez.

Miután hozzáadta, jelentkezzen ki a webhelyéről. A bejelentkezési oldalon egy extra mező jelenik meg, ahol be kell írnia az ellenőrző kódot a Google Authenticator mobilalkalmazásból.

Google Authenticator mező

A részletes utasításokért olvassa el a Google két tényezőjű hitelesítésének a WordPress bejelentkezési oldalán történő hozzáadásának útmutatóját.

Vissza a tetejére

6. Változtassa meg a WordPress bejelentkezési oldal URL-jét

Alapértelmezés szerint bárki hozzáférhet a bejelentkezési oldalhoz, ha egyszerűen hozzáteszi a „wp-admin” vagy a „wp-login.php” nevet a domain név végéhez, például: „domain.com/wp-admin” vagy „domain.com/ wp-login.php”.

Találd ki! A hackerek brutális erőszakos támadást futtathatnak az Ön bejelentkezési oldalán. Ha nagyon egyszerű jelszót használ, akkor a hackerek könnyen feltörhetik a jelszavad, és beléphetnek webhelyére.

De mi van, ha nem tudják, hová támadnak? Igen, jól gondoltad.

Ha elrejti vagy átnevezi a bejelentkezési oldal URL-jét, akkor a hackerek nem lennének képesek brute force támadást indítani.

A WordPress alkalmazásban egy beépülő modul segítségével könnyen elrejtheti vagy átnevezheti a bejelentkezési oldalát. Telepítse és aktiválja a WordPress plugin-galériából WPS Bejelentkezés elrejtése csatlakoztat.

Miután aktiválta, menjen a Beállítások> Tábornok és az alján megtalálhatja a WP Bejelentkezés elrejtése opció.

WPS A Bejelentkezési beállítások elrejtése

Egyszerűen módosítsa a bejelentkezési URL-t “Belépés” valami máshoz, amelyet nehéz kitalálni és rákattintani Változtatások mentése.

Ha kész, jelölje meg az új bejelentkezési oldalt könyvjelzővel, és kész.

Vissza a tetejére

7. Korlátozza a bejelentkezési kísérleteket

Alapértelmezés szerint a WordPress nem korlátozza a bejelentkezési kísérletek számát a bejelentkezési űrlapon keresztül. Ez azt jelenti, hogy bárki tudja a bejelentkezési URL-jét, amennyit csak akar, kipróbálhatja a bejelentkezési funkciót. Ilyen módon a hackerek brutális erőszakos támadást indítanak, hogy feltörjék az Ön „felhasználónevét” és „jelszavát” az Ön weboldalához való hozzáférés érdekében.

A bejelentkezési kísérletek korlátozásával megszilárdíthatja a WordPress biztonságát és megvédheti bejelentkezési oldalát a brute force támadásoktól.

Beállíthatja a felhasználó által végrehajtott helytelen bejelentkezési kísérletek maximális számát ugyanazon IP-cím alapján. Ha a felhasználó túllépi a korlátokat, akkor a felhasználó IP-jét egy adott ideig blokkolja.

A WordPress bejelentkezési kísérleteinek korlátozása érdekében telepítse Bejelentkezés LockDown csatlakoztat. Miután aktiválta, menjen a Beállítások> Bejelentkezés LockDown a plugin konfigurálásához.

Bejelentkezés a LockDown beállításokba

A részletes utasításokat lásd a WordPress bejelentkezési kísérleteinek korlátozására vonatkozó útmutatónkban

Vissza a tetejére

8. Rendszeresen készítsen biztonsági másolatot webhelyéről

A biztonsági mentések olyanok, mint az Time Machine. Ha megvan, akkor az Ön weboldala biztonságos.

A webhelyről készült biztonsági mentések azonban nem védik webhelyét a hackerekkel szemben, hanem elősegítik a webhely helyreállítását.

Például, ha a frissítés során valami rosszul fordul az Ön webhelyén, vagy ha feltörték a webhelyet, hogyan javíthatja újra a webhelyet? Ön valószínűleg elveszíti webhelyét.

De ha vannak biztonsági másolatai a webhelyedről, akkor könnyen helyreállíthatja a webhelyét, mielőtt azt feltörték volna vagy feltörték.

Ezért javasoljuk, hogy használjon megbízható WordPress biztonsági mentési plugint. Számos hosting cég azonban ingyenes webhelyről készít biztonsági másolatot, ám garantálhatja webhelyének elérhetőségét, ha katasztrófás hiba történik. Tehát a biztonsági mentéseket távoli helyre kell mentenie, például a Google Drive, az Amazon S3, a Dropbox stb.

Szerencsére ezt a BlogVault vagy a BackUpBuddy WordPress biztonsági mentési bővítmény segítségével hajthatjuk végre. Mindkettő napi biztonsági másolatot és egy kattintással történő visszaállítást kínál. Kidolgozhat webhelyet is felár nélkül.

Vissza a tetejére

9. Használja a WordPress biztonsági bővítményt

A következő dolog, amire szüksége van WordPress biztonság egy biztonsági bővítmény. Számos WordPress biztonsági bővítmény érhető el, amelyek megakadályozzák webhelyét a hackerek és a rosszindulatú programok ellen.

A WordPress biztonsági bővítmények felismerik és kiküszöbölik a rosszindulatú programokat, ha azok megtalálhatók a webhelyén. Emellett valós időben figyelik a felhasználói tevékenységeket, értesítik, ha valami megváltozott, ha egy plugin tartalmaz rosszindulatú szoftvert, blokkolja a spamforgalmat és még sok más.

A Securi WordPress biztonsági bővítményt javasoljuk. A Securi Security más típusú biztonsági funkciókat kínál, mint például a biztonsági tevékenység ellenőrzése, a webhely megfigyelése, webhely tűzfala,  és még sok más.

SECURI

A Securi számára a legjobb dolog az, hogy ha webhelyét a Google a szolgáltatásaik használata közben feltörik vagy feketelistára veszik, garantálják, hogy kijavítják az Ön webhelyét.

A legtöbb WordPress biztonsági szakértő több mint 300 dollárt számít fel a feltört webhelyek javításáért, míg az összes biztonsági szolgáltatást csak 199 $ évente. Ez jó befektetés a WordPress biztonságának megerősítéséhez.

Vissza a tetejére

10. Automatikus kijelentkezés tétlen felhasználók számára

Ha egy felhasználó túl sokáig tétlen vagy inaktív marad a webhelyén, ez brute force támadást okozhat.

Ha a felhasználó túl sokáig inaktív, a hackerek sütiket vagy munkamenet-eltérítés módszert használhat jogosulatlan hozzáféréshez az Ön webhelyére. Ez az oka annak, hogy az oktatással és a pénzügyi kérdésekkel foglalkozó webhelyek többsége, például a bankok és a fizetési átjárók webhelyei használják a felhasználói munkamenet időtúllépési funkcióját. Tehát, ha egy felhasználó elhalad az oldalról, és egy ideig nem lép kapcsolatba, akkor a webhely automatikusan kijelentkezik az inaktív felhasználót.

Ugyanazt a funkciót adhatja hozzá a WordPress webhelyéhez, hogy javítsa a WordPress biztonságát. Rendkívül egyszerű a készenléti felhasználók automatikus hozzáadása a WordPress-hez. Minden, amire szükség van egy plugin telepítéséhez.

Először töltse le és telepítse a Inaktív kijelentkezés WordPress plugin. Ezután aktiválja, és menjen a Beállítások> Inaktív kijelentkezés a plugin konfigurálásához.

Inaktív kijelentkezési beépülő modul beállításai

A beállításokból megváltoztathatja a tétlen időt. Tehát az idő elteltével a webhely összes felhasználóját automatikusan kijelentkeztetjük.

Megváltoztathatja a tétlen időtúllépési üzenetet, és szükség esetén módosíthat más beállításokat is.

Ha kész, kattintson a gombra Változtatások mentése a beállítások tárolására.

A részletes utasításokért lásd a készenléti felhasználók automatikus kijelentkezésének útmutatóját a WordPress programban

Vissza a tetejére

11. Adjon hozzá biztonsági kérdéseket a WordPress bejelentkezési oldalához

Biztonsági kérdések hozzáadásával a WordPress bejelentkezési oldalához nem csak a WordPress bejelentkezési oldalát védi, hanem a WordPress biztonságának megszilárdítását is.

A biztonsági kérdés egy további biztonsági réteget ad a személyazonosság további hitelesítéséhez a bejelentkezés során. Ez nagyon hasznos, ha több szerzőből álló WordPress blogot futtat..

Ha a felhasználó valamelyik jelszavát vagy jelszavát ellopták, akkor a biztonsági kérdés megmentheti az életét.

Mivel a felhasználónév és a jelszó könnyen megtámadható, de a helyes biztonsági kérdés és válasz választása szinte lehetetlen. Ily módon megmentheti WordPress bejelentkezési oldalát a hackerek és a brute force támadások ellen.

A WordPress bejelentkezési oldalán a biztonsági kérdés hozzáadásához telepítse a WP biztonsági kérdés csatlakoztat.

WP biztonsági kérdések beállításai

Miután aktiválta, menjen a WP biztonsági kérdések > Beépülő modul beállításai a plugin konfigurálásához.

Alapértelmezés szerint a bővítményhez számos általános kérdés került hozzáadásra. Bármely biztonsági kérdést felvehet vagy eltávolíthat a listából.

Alul engedélyezheti a biztonsági kérdést a bejelentkezési oldalon, a regisztráció és az elfelejtett jelszó oldalon. A plugin konfigurálása után ne felejtse el rákattintani Beállítás mentése.

Jegyzet: Csak új felhasználók tudják felállítani biztonsági kérdéseiket és válaszokat a regisztráció során. A regisztrált felhasználóknak tehát manuálisan kell beállítaniuk saját biztonsági kérdésüket és válaszukat. Felállíthat biztonsági kérdést és válaszolhat rájuk. Ezt meg lehet tenni a Felhasználói profil oldal.

Sokszor adjunk hozzá WP biztonsági kérdéseket

A részletes utasításokért olvassa el a biztonsági kérdéseket a WordPress bejelentkezési oldalához tartalmazó útmutatónkat

Vissza a tetejére

12. Változtassa meg az alapértelmezett “Rendszergazda” felhasználónevet

A WordPress telepítése után megváltoztathatja a jelszavát, amennyit csak akar. De meg tudja változtatni a felhasználónevet, amint beállította? Nincs joga?

Alapértelmezés szerint a WordPress nem engedélyezi a felhasználók számára a felhasználónév megváltoztatását. De miért kellene megváltoztatni??

Ha nagyon általános felhasználónevet, például „admin” használ, akkor a hackerek a felhasználóneved segítségével futtathatják a brute force Attack-et.

De ne ess pánikba. Számos módon módosíthatja a WordPress programot.

A folyamat megkönnyítése érdekében azonban beépülő modult fogunk használni. Először töltse le és telepítse a felhasználónév váltó csatlakoztat. Akkor menj ide felhasználók> Profilod és keresse meg a felhasználónevet. Itt található a „Felhasználónév módosítása” opció.

A WordPress felhasználónév módosítása

Kattintson Felhasználónév módosítása gombot, és írja be új felhasználónevét. Ha kész, kattintson a gombra Profil frissítése.

Ha manuálisan (plugin nélkül) szeretné megváltoztatni felhasználónevét, akkor olvassa el a 3. cikkben szereplő különféle lehetőségeket a WordPress felhasználónév módosítására.

Vissza a tetejére

13. Rendeljen a felhasználókat a lehető legalacsonyabb szerephez

Ha több szerzőből álló WordPress webhelyet futtat, akkor legyen óvatos, mielőtt szerepet rendelne egy felhasználónak.

A WordPress webhelytulajdonosok sokszor magasabb felhasználói szerepet rendelnek az új felhasználóknak, így minden jogosultságot megadnak a felhasználóknak, és ennek eredményeként bármely felhasználó bármilyen feladatot elvégezhet, amit csak akar..

Például, ha nem tudja, hogy mi lehet a Szerkesztő felhasználói szerepe végrehajtani, és a szerepkört egy rendes felhasználóhoz rendeli, akkor a felhasználó törölheti az összes hozzászólását, szerkesztheti a hivatkozásokat, spam jellegű üzeneteket hozhat létre, és rosszindulatú linkeket adhat a blogjába hozzászólások. Így a felhasználó könnyen tönkreteheti webhelyét.

Alapértelmezés szerint a WordPress 5 különböző felhasználói szerepkörrel rendelkezik.

  • Adminisztrátor
  • Szerkesztő
  • Szerző
  • Hozzájáruló
  • Előfizető
  1. Adminisztrátor: A rendszergazdák a legerősebb felhasználói szerepkörök egy WordPress-webhelyen. Készíthetnek, szerkeszthetnek és törölhetnek felhasználói fiókokat, bármilyen feladatot elvégezhetnek a WordPress adminisztrátori panelen, irányíthatják az egész tartalom területet és moderálhatnak megjegyzéseket.. 
  2. Szerkesztő: A Szerkesztő szerepet betöltő felhasználók teljes tartalommal rendelkeznek. Bármely hozzászólást létrehozhatnak, szerkeszthetnek és törölhetnek, ideértve a többi felhasználó által létrehozott hozzászólásokat is. Összehangolhatják a megjegyzéseket és módosíthatják a linkeket.
  3. Szerző: A szerzők csak a saját hozzászólásaikat tehetik közzé, szerkeszthetik vagy törölhetik. Feltölthetnek médiafájlokat, amelyek felhasználhatók a bejegyzésükbe. Megtekinthetik a megjegyzéseket, de nem hagyhatják jóvá vagy törölhetik megjegyzéseiket.
  4. Hozzájáruló: A közreműködő szereppel rendelkező felhasználók csak saját, még nem közzétett hozzászólásaikat írhatják, szerkeszthetik vagy törölhetik, de a saját bejegyzésüket nem tehetik közzé..
  5. Előfizető: Az előfizetők csak a fiókja adatait szerkeszthetik, beleértve a jelszavakat is, de nem férnek hozzá a tartalomhoz vagy a webhely beállításaihoz. A legkisebb képességekkel rendelkeznek a WordPress webhelyen.

A WordPress felhasználói szerepkörök megértésével könnyen kezelheti őket kockázat nélkül.

Azt is javasoljuk, hogy az Új felhasználó alapértelmezett szerepet állítsa előfizetőként. Menj a beállításokhoz> Általános beállítások és a készletükből Új felhasználói alapértelmezett szerep Előfizető és kattintson a gombra Változtatások mentése.

A WordPress új felhasználói alapértelmezett szerepe

További részletekért olvassa el a WordPress felhasználói szerepkörök és képességek kezdő útmutatóját

Vissza a tetejére

14. Figyelemmel kíséri a fájlváltozásokat és a felhasználói tevékenységeket

A WordPress biztonságának fokozására szolgáló másik intelligens módszer a felhasználói tevékenységek és a fájlváltozások figyelése. 

Ha több felhasználó WordPress webhelyet működtet, akkor nyomon kell követnie a felhasználói viselkedést, hogy jobban megértse, mi a tevékenységük az egész WordPress webhelyen.

Ki tudja, ha egy felhasználó gyanús munkát végez, vagy megpróbálja feltörni az Ön webhelyét? Honnan tudja ezt??

A felhasználói tevékenységek és a fájlváltozások nyomon követésének egyetlen módja a WordPress felhasználói tevékenységek beépülő moduljának használata. A WordPress felhasználói tevékenységi pluginjének segítségével:

  • megnézheti, ki bejelentkezett, és mit csinálnak valós időben
  • amikor a felhasználó bejelentkezik és kijelentkezik
  • hányszor próbált egy felhasználó bejelentkezni, de kudarcot vallott

Emellett, ha egy szerkesztő az Ön engedélye nélkül bármilyen változtatást végzett egy bejegyzésben vagy oldalon, akkor könnyen megtalálhatja és visszaállíthatja. A felhasználói tevékenység-bővítménynél jó az, hogy azonnal értesítést küld e-mailben, ha valami rosszul fordul elő.

A WP biztonsági ellenőrzési naplója a legjobb plugin a felhasználói tevékenységek és a fájlváltozások valós időben történő figyelésére. Az alábbiakban egy képernyőképet láthatunk arról, hogyan működik a plugin.

WordPress Audit Log Viewer

Olvassa el az 5 legjobb beépülő modult a felhasználói tevékenység figyelésére a WordPress-ben (alternatív beépülő modulok)

Vissza a tetejére

15. Végezzen el SSL és HTTPS alkalmazást

WordPress biztonság SSL-tanúsítvány nélkül nem fejleszthető ki. Az SSL (Secure Socket Layer) a webhely biztonságának gerince.

Az SSL egy szabványos biztonsági technológia, amely titkosított linkeket hoz létre a kiszolgáló és a webböngésző között egy online kommunikációban, például egy online tranzakcióban. Tehát minden olyan érzékeny adat, mint a jelszavak, a hitelkártya-adatok, stb. Továbbítódik titkosított linkeken.

Ha online üzleti vállalkozást vagy blogot működtet, ahol elfogadja a fizetést, akkor kötelező az SSL tanúsítvány. Ez megóvja az ügyfelek adatait a hackerektől. Online áruházak vagy WooCommerce webhelyek esetén az SSL tanúsítvány költsége körülbelül 20–170 dollárba kerül.

Ha WordPress blogot működtet, akkor nincs szüksége fizetett SSL tanúsítványra. Ha olyan cPanel-tárhelyet használ, mint a SiteGround, a WPEngine, akkor egyetlen kattintással ingyenesen telepítheti az SSL tanúsítványt.

Először jelentkezzen be a host cPanel-fiókjába, és keresse meg Biztonság.  (Az alábbiakban látható egy képernyőkép a SiteGround hosting cPanel-ről.)

SG SSL

Menj a SSL / TLS Manager és kattintson a gombra Telepítse az SSL tanúsítványt. Az oldalon válassza ki a domainjét, majd kattintson a gombra Automatikus kitöltés domain szerint. A folyamat automatikus, így nem kell semmit szerkesztenie vagy módosítania.

Helyszíni telepítés SSL tanúsítvány

Most kattintson a Telepítse a tanúsítványt gombra, hogy befejezze a telepítési folyamatot.

Ha elkészült, jelentkezzen be a WordPress rendszergazdai irányítópultjába a webhely URL-jének módosításához. Menj Beállítások> Tábornok és adjuk hozzá, cserélje ki a HTTP-t HTTPS-re a webhely URL-je előtt. Az alábbiakban egy képernyőkép látható.

WP HTTPS

A frissítés után kattintson a gombra Változtatások mentése.

Hogyan lehet átirányítani a HTTP-t a HTTPS-re a WordPress programban

Ha megfelelően telepítette az SSL tanúsítványt, akkor a webhely elérhető a HTTPS használatával.

De ha valaki csak a webhely nevét (azaz domain.com) írja be a böngésző címsorába, akkor a webhelyen megjelenhet „A kapcsolat nem biztonságos” üzenet. Ez azt jelenti, hogy webhelye elérhető a HTTP-vel.

A probléma kiküszöböléséhez kényszerítenie kell a HTTPS-t a WordPress-ben, így webhelye csak a HTTPS-vel fog betölteni. Könnyen kikényszerítheti a HTTPS-t a WordPress-ben.

Először jelentkezzen be a host cPanelbe, keresse meg webhelye gyökérmappáját, és keresse meg .htaccess fájlt. Szerkessze a .htaccess fájlt, és a végén adja hozzá a következő kódot.

RewriteEngine be
RewriteCond% {HTTPS} ki
RewriteRule ^ (. *) $ Https: //% {HTTP_HOST}% {REQUEST_URI} [L, R = 301]

Mentse el a fájlt, és kész. Most webhelyed csak a HTTPS használatával érhető el.

Ha a web hosting szolgáltatója nem nyújt ingyenes SSL tanúsítványt, akkor az SSL tanúsítványt manuálisan is telepítheti. Itt található az útmutató az ingyenes SSL-tanúsítvány telepítéséről.

Vissza a tetejére

16. Törölje a nem használt témákat és beépülő modulokat

A WordPress biztonságának fokozásakor nem szabad figyelmen kívül hagyni olyan apró lépéseket, amelyek a webhelyet sebezhetővé teszik. 

A WordPress webhelytulajdonosok legtöbbször különféle témákat és beépülő modulokat telepítenek annak tesztelésére, hogy melyik téma jobban néz ki a webhelyen, vagy melyik beépülő modul több funkcióval rendelkezik. Rendben van. De ha ezeket a fel nem használt témákat és beépülő modulokat megőrzi, akkor a webhely sebezhetővé válik.

Mivel sok WordPress téma és beépülő modul megtartása rendszeresen frissítésre szorul, mint az Ön által használt. Ha nem frissíti őket, akkor kiszolgáltatottá válnak, és a hackerek a kiszolgáltatott témák és beépülő modulok révén könnyen kihasználhatják webhelyét. Ezen túlmenően, oly sok téma és beépülő modul megtartása lassítja a WordPress webhelyét.

Ezért mindig törölnie kell a fel nem használt témákat és a bővítményt a webhely teljesítményének és a WordPress biztonságának javítása érdekében.

Egy nem használt beépülő modul törléséhez ugorjon a Dugó> Telepített beépülő modulok. Ezután keresse meg azt a bővítményt, amelyre már nincs rá szüksége. Először inaktiválja a plugint és kattintson a gombra Töröl.

A WordPress plugin törlése

Hasonlóképpen, egy téma törléséhez ugorjon a Megjelenés> Témák és kattintson a gombra A téma részletei. Ezután kattintson a jobb oldal alján Töröl.

Téma törlése

Vissza a tetejére

17. Kapcsolja ki a fájlszerkesztést a WordPress Irányítópulton

Alapértelmezés szerint a WordPress lehetővé teszi a felhasználók számára a téma- és a plugin-fájlok szerkesztését közvetlenül a WordPress irányítópultjáról. Ez egy hasznos lehetőség a felhasználók számára, akiknek gyakran módosítaniuk kell a témát és a plugin-fájlt.

WordPress témaszerkesztő

Ennek a funkciónak a bekapcsolása azonban komoly biztonsági problémát jelenthet. Ha a hackerek hozzáférnek az Ön webhelyéhez, akkor általában úgy hagyják el a lábnyomot, hogy rosszindulatú kódot injektálnak a webhely fájljaibe. Ha a WordPress fájlszerkesztő funkció engedélyezve van, akkor a hackerek könnyen beírhatnak rosszindulatú kódot a téma- vagy a plugin-fájlba, amely ismeretlen az Ön számára..

A WordPress biztonságának javítása érdekében le kell tiltania a fájlszerkesztő funkciót a WordPress irányítópultján. A WordPress téma és a plugin szerkesztő letiltása a WordPress-ben nagyon egyszerű folyamat.

Először be kell jelentkeznie a host cPanel-fiókjába, és el kell lépnie a WordPress webhely gyökérmappájába. Innen keresse meg a wp-config.php. Kattintson a szerkesztés elemre, és a végén adja hozzá a következő kódot.

define (‘DISALLOW_FILE_EDIT’, igaz);

Most mentse el a fájlt, és frissítse a WordPress irányítópultját. Látni fogja, hogy a téma és a plugin szerkesztő opciója megszűnt. Ezzel a kis trükkövel könnyedén javíthatja a WordPress biztonságát.

Olvassa el a témakört és a plugin-szerkesztőt a WordPress-ben letiltó részletes útmutatót

Vissza a tetejére

18. Jelszóval védett WordPress bejelentkezési oldal

A WordPress biztonságának javításának másik nagyszerű módja a WordPress bejelentkezési oldal jelszóval történő védelme.

A WordPress bejelentkezési (/wp-login.php) vagy az admin (https://cdn.wpmyweb.com/wp-admin) oldal jelszóval történő védelmével megakadályozhatja, hogy a hackerek hozzáférjenek a bejelentkezési oldalhoz, mert jelszó szükséges a bejelentkezési oldal. Hitelesítés szükséges előugró ablakbanMiután engedélyezte ezt a funkciót, a webhely felszólítja az összes felhasználót, hogy felhasználónévvel és jelszóablakkal lépjen be a bejelentkezési oldalra. Röviden: minden felhasználónak kétszer be kell jelentkeznie különböző felhasználónévvel és jelszóval, mielőtt hozzáférne a WordPress admin irányítópultjához.

Ezzel megerősítheti a WordPress biztonságát, és hozzáadhat egy további biztonsági réteget a bejelentkezési oldalhoz.

Olvassa el a WordPress bejelentkezési oldalának jelszóvédelmével kapcsolatos részletes útmutatót.

Vissza a tetejére

19. Kapcsolja ki a Címtár böngészést a WordPress programban

Alapértelmezés szerint a legtöbb webkiszolgáló, például az Apache, NGINX és LiteSpeed, lehetővé teszi bármely felhasználó számára a WordPress fájlokat és mappákat tartalmazó könyvtárak böngészését. Láthatják azt is, hogy melyik témát és beépülő modulokat használják, és többet tudnak a webhely felépítéséről.

A WordPress webhely indexlapja

Ez az információ a WordPress webhelyét kiszolgáltatottvá teheti, és segíthet a hackereknek a webhely veszélyeztetésekor.

A WordPress biztonságának javítása érdekében javasoljuk, hogy tiltsa le ezt a lehetőséget. A WordPress alkalmazásban a könyvtár böngészés letiltásához egyszerűen vegye fel a következő sort a .htacces fájl.

Opciók Összes -Index

A részletes utasításokért olvassa el a könyvtárak böngészésének letiltásáról szóló útmutatót a WordPress programban

Vissza a tetejére

20. Távolítsa el a WordPress verziót

Alapértelmezés szerint a WordPress automatikusan hozzáad egy metacímkét különféle helyekre, amelyek megjelenítik a használt WordPress verziót.

Itt van a helyzet: ha a hackerek tudják, hogy elavult WordPress-verziót futtatnak, akkor kihasználhatják webhelyét a régebbi WordPress-verzióban található ismert biztonsági rések révén.

Tehát jobb, ha eltávolítja a WordPress verziót, hogy javítsa a WordPress biztonságát. Számos helyen a WordPress hozzáadja a metacímkéket, például a WordPress irányítópultján, a fejlécben, stílusban és javascript-ben, valamint az RSS-hírcsatornában.

A WordPress verzió eltávolítása a fejlécből és az RSS-ből

A verzió eltávolításához a fejlécből és az RSS-ből vegye fel a következő sort a végére functions.php fájl.

function remove_wordpress_version () {
Visszatérés ”;
}
add_filter (‘the_generator’, ‘remove_wordpress_version’);

A WordPress verziószámának eltávolítása a parancsfájlokból és a CSS-ből

A WordPress verzió eltávolításához a CSS-ből és a parancsfájlokból a következő sort adja hozzá a végéhez functions.php fájl.

// Válassza ki a verziószámot a szkriptekből és stílusokból
function remove_version_from_style_js ($ src) {
if (strpos ($ src, ‘ver =’. get_bloginfo (‘version’)))
$ src = remove_query_arg (‘ver’, $ src);
return $ src;
}
add_filter (‘style_loader_src’, ‘remove_version_from_style_js’);
add_filter (‘script_loader_src’, ‘remove_version_from_style_js’);

Ha kész, mentse el a function.php fájlt.

Ez az. Ezzel az egyszerű trükkövel biztosan javíthatja WordPress biztonságát. Mindig azonban azt javasoljuk, hogy rendszeresen frissítse a WordPress verziót, valamint a témát és a pluginokat.

A részletes utasításokért olvassa el a WordPress verzió elrejtésének és eltávolításának útmutatóját

Vissza a tetejére

21. A WordPress Database Table Prefix módosítása

A WordPress telepítése során megkérdezi, hogy szeretne-e másik adatbázis-előtagot használni. Ezt a lépést általában kihagyjuk, tehát a WordPress automatikusan használja (Wp_) alapértelmezett adatbázis-tábla előtagként. Javasoljuk, hogy változtasson erõteljes és egyedi formában.

Az alapértelmezett (WP_) előtag használata a WordPress adatbázist érzékenyvé teszi az SQL injekciós támadásokra. Az ilyen támadások megakadályozhatók, ha az adatbázis előtagját (WP_) valami egyedire változtatjuk.

A WordPress telepítése után könnyen módosíthatja az alapértelmezett adatbázistábla előtagot pluginek segítségével vagy manuálisan. A bővítmények, például a BackupBuddy, a Brozzme DB Prefix lehetővé teszi a táblázat előtagjának egyetlen kattintással történő megváltoztatását..

Az oktatóprogram bemutatása érdekében bemutatom, hogyan lehet azt megváltoztatni a Brozzme DB Prefix plugin segítségével.

Jegyzet: Mielőtt bármit megtenne az adatbázisával, feltétlenül készítsen biztonsági másolatot webhelyéről és adatbázisáról. Ha valami nem megfelelő, visszaállíthatja webhelyét.

Először telepítse és aktiválja Brozzme DB előtag csatlakoztat. A WordPress irányítópultján ugorjon a Eszközök> DB előtag és írjon be egy új egyedi nevet az adatbázis előtaghoz.

Brozzme DB előtag

Miután megadta az új előtagot, kattintson a gombra Módosítsa a DB előtagot.

A kézi folyamathoz olvassa el az adatbázis-tábla előtagjának a phpMyAdmin használatával történő megváltoztatásának módját

Vissza a tetejére

22. Csak megbízható WordPress bővítményeket használjon

A WordPress több mint 48 000 bővítményt tartalmaz. Ez nem azt jelenti, hogy az összes plugin hasznos és biztonságos legyen.

Mivel a WordPress plugin-galériában számos plugin érhető el, amelyeket hosszú ideig nem frissítenek, és általában kiszolgáltatottá válnak. Ezenkívül nem kapna semmilyen támogatást, ha a plugin megbontja webhelyét.

Mielőtt bármilyen ingyenes bővítményt használna, két fontos dolgot ellenőriznie kell,

  • Ellenőrizze a plugin utolsó frissítésének idejét: Ha a plugin nem frissül gyakran, vagy a plugin fejlesztője azt már nem tartja karban, akkor kerülje a plugint.

Elavult WordPress beépülő verzió

  • Ellenőrizze, hogy a plugin maximálisan pozitív-e: A következő lépésként ellenőriznie kell, hogy a plugin maximális pozitív vagy negatív-e. Ha a bővítmény maximális negatív besorolással rendelkezik, akkor nem szabad használni.

WordPress alacsony értékű beépülő modul

Ellenőrizheti a beépülő modul Vélemények és támogatás oldalát is, hogy megtudja, mások mit mondanak a beépülő modulról.

De ne aggódj. Számos hasonló plugin érhető el, amelyeket a WordPress plugin-galériában találhat.

Ha prémium plugint szeretne használni, akkor nem kell aggódnia. A prémium pluginek rendszeresen frissülnek, és a plugin fejlesztőjétől 24x támogatást kap.

Vissza a tetejére

23. Letiltja a PHP hibajelentést

A WordPress biztonságának megerősítésének másik nagyszerű módja a PHP hibajelentés letiltása a WordPress-ben. Sokszor, amikor egy elavult bővítményt vagy témát telepít, a PHP hiba figyelmeztetést kaphat.

WordPress PHP hiba figyelmeztetésUgyanakkor a webhelyet sebezhetővé teheti, ha a hackerek megszerezik, mivel ez megmutatja a kódot és a fájl helyét. A kockázat minimalizálása érdekében letilthatja a PHP hibajelentést a WordPress programban.

A PHP hiba figyelmeztetés letiltása a WordPress-ben nagyon egyszerű. Először szerkessze a wp-config.php fájlt, és keresse meg a következő kóddal rendelkező sort:

define (‘WP_DEBUG’, hamis);

A „hamis” helyett „igaz” lehet. Most cserélje ki a sort a következő kódra.

ini_set (display_errors ‘,”Off”);
ini_set (‘hibajelentés’, E_ALL);
define (‘WP_DEBUG’, hamis);
definiálni (‘WP_DEBUG_DISPLAY’, hamis);

Mentse el a fájlt, és kész.

Azt is javasoljuk, hogy használjon naprakész és jól besorolt ​​plugineket az ilyen jellegű problémák elkerülése érdekében.

Vissza a tetejére

24. Adja hozzá a HTTP biztonságos fejléceket a WordPress-hez

A WordPress biztonságának megerősítésének másik nagyszerű módja, ha HTTP biztonságos fejléceket ad hozzá a WordPress webhelyhez.

Amikor valaki belép az Ön webhelyére, a böngésző kérést küld az Ön webszerveréhez. Ezután a webszerver válaszol a kérésekre és a HTTP fejlécekre. Ezek a HTTP fejlécek olyan információkat továbbítanak, mint a tartalom kódolása, a gyorsítótár vezérlése, a tartalom típusa, a kapcsolat stb.

Biztonságos HTTP válaszfejlécek hozzáadásával javíthatja a WordPress biztonságát, és megakadályozza a támadások és a biztonsági rések enyhítését is.

Az alábbiakban látható a HTTP fejlécek:

  • HTTP szigorú szállítási biztonság (HSTS): A HTTP szigorú szállításbiztonság (HSTS) arra kényszeríti a webböngészőt, hogy csak a biztonságos kapcsolatokat (HTTPS) használja a weboldalakkal való kommunikáció során. Ez megakadályozza az SSL protokoll hackelését, a süti eltérítését, az SSL eltávolítását stb.
  • X-Frame-Options: Az X-Frame-Options egyfajta HTTP fejléc, amely meghatározza, hogy a böngésző engedélyezi-e egy weboldal képkeretben való megjelenítését. Ez megakadályozza a kattintással történő támadásokat, és biztosítja, hogy webhelyét nem ágyazzák be más webhelyekbe a használatával .
  • X-XSS-Protection: Az X-XSS-védelem az Internet Explorer, a Google Chrome, a Firefox és a Safari böngészők beépített funkciója, amely megakadályozza az oldalak betöltését, ha rosszindulatú szkriptet helyeztek be a felhasználói bemenetből.
  • X-Content-Type-opciók: Az X-Content-Type-Options egyfajta nosniff értékű HTTP válasz fejléc, amely megakadályozza a böngészőket, hogy a MIME szimatolják a deklarált tartalomtól kapott választ.
  • Hivatkozó-feltételek: A hivatkozási irányelv egy HTTP válasz fejléce, amely megakadályozza a tartományok közötti hivatkozók szivárgását.

HTTP biztonságos fejlécek hozzáadásához a WordPress-hez egyszerűen adja hozzá a következő kódsorokat .htaccess fájl.

Fejléckészlet Szigorú-Szállítás-Biztonság "max-kor = 31536000" env = HTTPS
A fejléc mindig csatolja az X-Frame-Options SAMEORIGIN elemet
Fejléckészlet X-XSS-Protection "1; mode = block"
Fejléckészlet X-Tartalom-Típus-Opciók nosniff
Fejléc-hivatkozási politika: nem hivatkozik, amikor leminősítik

Biztonsági fejlécek ellenőrzése

Most menj ide securityheaders.com annak ellenőrzésére, hogy a kódok működnek-e vagy sem. Nem adtunk hozzá „Tartalombiztonsági irányelvet”, mert az tönkreteheti webhelyét. Ez azonban elegendő, ha a WordPress webhelyét biztonságossá teszi.

Vissza a tetejére

Következtetés

Sokféle módon megkeményedhet WordPress biztonság például: kezelt WordPress tárhely használata, erős jelszavak használata fiókokhoz, felhasználói tevékenységek figyelése, WordPress biztonsági bővítmény használata, SSL és HTTPS megvalósítása és még sok más.

A WordPress biztonságának megszilárdítása nem rakétatudomány. A WordPress webhelyét a WordPress biztonsági bevált gyakorlatainak bevezetésével, amelyekről a cikkben megosztottuk, könnyen megbizonyosodhat. Bevezetésükkel nem csak a WordPress-webhelyet biztosítja, hanem megakadályozza a hackerek hozzáférését az Ön webhelyéhez.

Ha kész, akkor nem kell aggódnia a WordPress biztonsága miatt. Sőt, termelékenyebbé válhat és megterheléstől mentes lehet.

Te következel. Olvassa el alaposan a cikket, és hajtsa végre azokat a webhelyén. Örülni fogsz, hogy megcsináltad. ��

Hiányoztunk néhány fontos WordPress biztonsági tippet, amelyet itt megemlíthetnénk? nyugodtan értesítsen minket a megjegyzés szakaszban.

WordPress biztonsági infographic

WordPress-Security-Infografika-Kis méretű

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Понравилась статья?
    Комментарии (0)
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector