WordPress Security – 24 vinkkiä verkkosivustosi suojaamiseksi hakkereilta

WordPress-tietoturvan tulisi olla ensisijainen tavoite verkkosivuston hallinnassa. Suunnittelet verkkosivustoasi, julkaiset sisältöä, myyt tuotteita verkossa, mutta jos et ota WordPress-tietoturvaa vakavasti, sivustosi voi saada hakkeroitu milloin tahansa. 


Päivittäin 30 000 verkkosivustoa hakkeroidaan ja yli 2000 verkkosivustoa mustalle listalle. Et ole poikkeus. Jos hallituksen verkkosivusto voi hakkeroida, niin miksi et sinun?

Eräänä aamuna herätit ja huomaat, että WordPress-sivustosi ei ole tavoitettavissa, ja näet satunnaisia ​​viestejä kuten,

”Xyz on hakkeroinut verkkosivustosi” – sivusto on hakkeroitu

”Edessä oleva sivusto sisältää haittaohjelmia” – Googlen mustalle listalle

Tämä on pahin asia, jonka olet koskaan voinut kohdata verkkosivustosi kanssa.

Mutta miksi WordPress?

WordPressillä on yli 31% (80 miljoonaa) kaikista verkkosivustoista. Mukaan W3Techs, WordPressillä on 60% CMS: n markkinaosuudesta enemmän kuin muilla alustoilla, mikä on melko vankka syy hakkereiden houkuttelemiseen.

Mutta älä paniikki. WordPress-tietoturvan kohentaminen on erittäin helppoa ja voit myös tehdä sen.

Tässä artikkelissa jaan 24 parasta WordPress-tietoturvavinkkiä verkkosivustosi suojaamiseksi hakkereilta ja haittaohjelmilta.

“Miksei porttisi palatsiisi kadota, ennen kuin he löytävät sen?” – WPMyWeb

Contents

Yleiset WordPress-tietoturvaongelmat

Ennen kuin syventämme WordPress-tietoturvan parhaita käytäntöjä, ymmärretään ensin muutama yleinen WordPress-tietoturvaongelma.

Monet käyttäjät uskovat, että WordPress ei ole turvallinen käyttöympäristö yritykselle, mikä ei ole totta. Tämä johtuu tietämättömyydestä WordPress-tietoturvasta, huonosta järjestelmän hallinnasta, vanhentuneiden WordPress-ohjelmistojen ja lisäosien käytöstä jne..

Monet WordPress-aloittelijat olettavat, että verkkosivuston luominen on loppu ja se ei vaadi tietoturvan ylläpitoa. Näin jätät sivustosi haavoittuvaiseksi.

Kun hakkerit havaitsevat haavoittuvan sivustoltasi, he voivat helposti hyödyntää sivustoasi.

Katsotaanpa joitain yleisiä WordPress-tietoturvaongelmia.

1. Brute Force Attacks: 

Brute force -hyökkäyksessä automatisoitua skriptiä käytetään generoimaan erilaisia ​​käyttäjänimien ja salasanojen yhdistelmiä. Hakkeri käyttää WordPressin kirjautumissivua raa’an voiman hyökkäykseen. 

Jos käytät yksinkertaista käyttäjänimeä ja salasanaa, voit olla seuraava hyökkäyksen uhri.

2. Sivustojen välinen komentosarja (XSS):

Sivustonvälinen komentosarja on eräänlainen hyökkäys, jossa hyökkääjät injektoivat haitallista koodia / komentosarjaa luotettavalle verkkosivustolle. Tämä hakkerointimenetelmä on täysin näkymätön verkkosivustoa surffaville käyttäjille.

Nämä haitalliset skriptit latautuvat nimettömästi ja varastavat tietoja käyttäjien selaimelta. Vaikka käyttäjä syöttäisi tietoja mihin tahansa muotoon, tiedot voidaan varastaa.

3. SQL-injektiot:

WordPress käyttää MySQL-tietokantaa blogin tietojen tallentamiseen.

SQL-injektio tapahtuu, kun hakkerit saavat pääsyn WordPress-tietokantaan. Hakkeroimalla WordPress-tietokanta, hakkerit voivat luoda uuden järjestelmänvalvojan tilin, jolla on täydet oikeudet sivustoosi.

He voivat myös lisätä tietoja MySQL-tietokantaan ja lisätä linkkejä haitallisiin tai roskapostisivustoihin.

4. Takaovi:

Nimellä ”Takaovi” voit ymmärtää, mitä se tarkoittaa. 

Takaovi on hakkerointimenetelmä, jonka avulla hakkerit voivat päästä verkkosivustoon ohittamalla normaalin todennusprosessin ja pitämällä jopa verkkosivuston omistajalta huomaamatta..

Kun verkkosivusto on hakkeroitu, hakkerit jättävät yleensä jalanjälkensä, jotta he pääsevät sivustoon, jopa hakkerointi poistetaan..

5. Pharma Hacks:

WordPress Pharma -hacks on eräänlainen verkkosivustojen roskapostit, joka täyttää hakukoneiden tulokset spammyapteekkien sisällöllä, joka on kielletty verkossa, kuten Viagra, Nexium, Cialis jne..

Toisin kuin muut WordPress-hakkerit, lääketieteellisten hakkeritulokset näkyvät vain hakukoneille. Joten et voi havaita hakkerointia katsomalla vain verkkosivustoasi tai lähdekoodia.

Siirry Googleen ja kirjoita site: domain.com. Jos hakutuloksissa näkyy verkkosivustosi sisältö (ei apteekkisisältö), lääkehakkeet eivät vaikuta sivustosi sisältöön.

Tämän hakkeroinnin tavoitteena on hyödyntää arvokkaimpia sivuitasi ohittamalla otsikkotunniste haitallisilla linkkeillä. Puhumattakaan siitä, että jos et tarkista asiaa aikaisin, hakukoneet, kuten Google, Bing voivat mustalle listalle verkkosivustosi haitallisen sisällön tarjoamiseksi.

6. Haitalliset uudelleenohjaukset:

WordPressin haittaohjelmien uudelleenohjaus on eräänlainen hakkerointi, jossa sivustosi kävijät ohjataan automaattisesti roskapostisivustoihin, kuten uhkapeli, porno, treffisivustot. Tämä hakkerointi tapahtuu, kun verkkosivustoosi tiedostoon tai tietokantaan lisätään haittaohjelma.

Jos sivustosi ohjaa vierailijat laittomille tai haitallisille sivustoille, Google saattaa mahdollisesti tulla mustalle listalle.

Miksi WordPress-tietoturva on tärkeää?

Verkkosivustosi edustaa tuotemerkkiäsi, yritystäsi ja mikä tärkeintä, ensimmäinen yhteys asiakkaisiisi.

Se kesti todennäköisesti useita vuosia, ja sinulla oli paljon ponnisteluja yrityksen ylläpitämiseksi ja liikenteen kasvattamiseksi. Yleisösi rakastavat artikkeleitasi ja luottavat tuotteisiisi, siksi he pitävät yhteyttä sinuun.

Jos WordPress-sivustosi ei ole suojattu, niin sivustosi ja asiakkaasi voivat vaikuttaa monin tavoin. Hakkerit voivat varastaa käyttäjän henkilökohtaisia ​​tietoja, salasanoja, luottokorttitietoja, tapahtumistietoja ja levittää haittaohjelmia käyttäjillesi.

Jos sivustosi hakkeroidaan, huomaat, että liikenteesi laskee voimakkaasti. Lisäksi Google mustalle listalle verkkosivustosi.

Mukaan Google-blogi, hakkeroitujen verkkosivustojen määrä kasvaa noin 20% vuonna 2016 verrattuna vuoteen 2015.

Securi raporttien että Google mustalle listalle yli 10 000 verkkosivustoa päivittäin.

Jos olet tosissasi yrityksessäsi, sinun on kiinnitettävä erityistä huomiota WordPress-tietoturvaasi.

WordPress-tietoturva

Paras WordPress-tietoturvaopas

  1. Hanki hyvä WordPress-hosting
  2. Pidä WordPress-versio päivitettynä
  3. Älä käytä mitään tyhjä / krakattua teemaa tai laajennusta
  4. Käytä vahvoja salasanoja
  5. Lisää (2FA) kaksifaktorinen todennus
  6. Vaihda WordPress-kirjautuminen-URL
  7. Rajoita kirjautumisyrityksiä
  8. Varmuuskopioi sivustosi säännöllisesti
  9. Käytä WordPress-tietoturvalaajennusta
  10. Automaattinen uloskirjaus käyttämättömiltä käyttäjiltä
  11. Lisää suojauskysymyksiä WordPressin kirjautumissivulle
  12. Vaihda oletusarvoinen “järjestelmänvalvojan” käyttäjänimi
  13. Määritä käyttäjille matalin mahdollinen rooli
  14. Seuraa tiedostojen muutoksia ja käyttäjän toimintoja
  15. Asenna SSL-varmenne
  16. Poista käyttämättömät teemat ja laajennukset
  17. Poista tiedostojen muokkaaminen käytöstä WordPress-hallintapaneelissa
  18. Salasanasuojattu WordPress-kirjautumissivu
  19. Poista hakemistoselaaminen käytöstä
  20. Poista WordPress-versionumerosi
  21. Muuta WordPress-tietokantataulukon etuliitettä
  22. Käytä vain luotettuja WordPress-teemoja ja laajennuksia
  23. Poista PHP-virheraportointi käytöstä
  24. Lisää HTTP-suojatut otsikot WordPressiin

Valmis? Aloitetaan.

1. Hanki hyvä WordPress-hosting

WordPress-isännöinnillä on tärkeä rooli WordPress-tietoturvan parantamisessa.

Maksat hosting-palvelusta ja verkkosivustosi pysyy heidän hallinnassaan. Joten sinun tulee olla varovainen, ennen kuin valitset verkkosivustollesi hyvän WordPress-isännöinnin.

Jaetut isännöintipalvelut, kuten A2Hosting, Bluehost jne., Ovat paras tapa hoitaa vähäliikenteistä blogia. Mutta jaetussa isännöinnissä on aina mahdollisuus pilaantumiseen eri paikoissa.

Sivustojen välinen kontaminaatio tapahtuu, kun hakkeri pääsee Web-palvelimeen haavoittuvan verkkosivuston kautta ja hyödyntää sitten kaikkia muita saman web-palvelimen verkkosivustoja..

Suosittelemme käyttämään hallittua WordPress-isännöintipalveluntarjoajaa. Ylläpito WordPress-hosting-yritykset tarjoavat verkkosivustoille monikerroksisia suojausvaihtoehtoja. Niiden isäntäalustat ovat erittäin turvattuja ja ne tarjoavat päivittäin haittaohjelmien tarkistuksen ja estävät ulkoiset hyökkäykset. Jos he kuitenkin löytävät haittaohjelmia palvelimelta, he ottavat vastuun ja poistavat sen heti.

Ne tarjoavat myös päivittäisiä varmuuskopioita, ilmaisen SSL-sertifikaatin, 24 × 7 asiantuntijatuen.

Suosittelemme WPEnginen hallinnoimaa WordPress-hosting-yritystä. Ne tarjoavat useita suojaustasoja WordPress-sivustosi suojaamiseksi. Heidän suunnitelmansa avulla saat päivittäin varmuuskopioita, ilmaisen SSL: n, maailmanlaajuisen CDN: n ja 24 × 7 -asiantuntijatuen.

Vierailla WPEngine. [Alennuskoodi lisätty tähän linkkiin]

Takaisin alkuun

2. Pidä WordPress-versio päivitettynä

WordPress-sivustosi pitäminen ajan tasalla on hyvä tietoturvakäytäntö WordPress-tietoturvan parantamiseksi. Tämä päivitys sisältää WordPress-version, laajennukset ja teemat.

Äskettäisessä tutkimuksessa, Securi analysoi että 56% kaikista WordPress-tartunnan saaneista verkkosivustoista oli edelleen ajan tasalla. Jos olet yksi heistä, olet vaarassa.

Joka päivä havaitaan uusia haavoittuvuuksia, eikä niitä voida estää. Vanhentuneet ohjelmistot ja laajennukset voivat sisältää haavoittuvuuksia, joita hakkeri voi käyttää sivuston hyödyntämiseen.

Jokaisen päivityksen myötä kehittäjät sisällyttävät uusia ominaisuuksia, korjaavat tietoturva-aukot, korjaavat virheet jne. Kuten WordPress-ohjelmisto, sinun on myös päivitettävä WordPress-teemat ja -laajennukset.

Hyvä asia on, että WordPress julkaisee päivitykset automaattisesti ja ilmoittaa niistä käyttäjille.

WordPress-version, laajennusten ja teemoiden päivittäminen on erittäin helppoa, ja voit tehdä sen WordPress-järjestelmänvalvojan kojelaudan kautta.

Kuinka päivittää WordPress, laajennukset ja teemat?

Kirjaudu ensin WordPress-kojelautaan ja mene osoitteeseen kojelauta> päivitykset. Siellä voit nähdä, onko saatavilla uusi päivitys.

merkintä: Ennen kuin päivität WordPress-versiota, ota tiedostoista ja tietokannasta täydellinen varmuuskopio. Jos tapahtuu virhe, voit helposti palauttaa sivustosi edelliseen versioon. Voit varmuuskopioida ja palauttaa sivustosi BlogVaultilla yhdellä napsautuksella.

Sivulta näet “Päivitetty versio WordPressistä on saatavana”. Klikkaa Päivitä nyt -painike päivittääksesi WordPress-version, tämä prosessi voi viedä muutaman sekunnin.

Kun päivitys on valmis, vieritä alla päivittääksesi WordPress-laajennuksia. Suosittelemme päivittämään laajennuksia yksi kerrallaan. Valitse ensin laajennus ja napsauta Päivitä laajennukset.

Päivitä samalla tavalla alla olevat teemat.

Päivitä WordPress hallintapaneelista

Päivitysprosessi on kuitenkin hieman hankala joillekin käyttäjille, etenkin niille, jotka eivät ole tekniikan taitavia.

Jotkut hallinnoidut WordPress-palveluntarjoajat, kuten SiteGround, Kinsta ja FlyWheel, tarjoavat automaattinen päivitys ominaisuus. Joten, jos olet kiireinen aikataulu tai laiska päivittämään, tästä voi olla hyötyä.

Lue myös, Kuinka päivittää WordPress-versio, laajennukset ja teemat manuaalisesti

Takaisin alkuun

3. Älä koskaan käytä mitään nollautettuja / murtuneita teemoja ja laajennuksia

Ei ole ihme, että premium-laajennukset ja -teemat sisältävät enemmän toimintoja ja näyttävät ammattimaisilta. Mutta mikään premium-tuotteista ei ole ilmainen. Sen mukana tulee hinta, ja kun olet ostanut kaikki premium-tuotteet, käyttäjien on annettava tuotetunnus tuotteen aktivoimiseksi.

Mutta on olemassa monia haitallisia verkkosivustoja, jotka tarjoavat ilmaisia ​​premium-teemoja ja laajennuksia. Nämä säröillä teemoilla ja laajennuksilla ei tarvita sarja-avainta aktivoidakseen, eikä niitä koskaan päivitetä.

Tässä tarkoitan:

Nollatoitu WordPress-laajennusesimerkki

Ne hylätyt teemat ja laajennukset ovat erittäin vaarallisia sivustollesi. Hakkerit injektoivat siihen erityisesti haitallisia koodeja ja tekevät takaoven sivustollesi. Joten he pääsevät helposti verkkosivustoosi ja hakkeroimaan verkkosivustosi, mukaan lukien tietokanta.

Joten älä koskaan käytä tyhjentyneitä tai murtuneita WordPress-teemoja ja laajennuksia.

Suosittelemme, että lataat vain ilmaisia ​​teemoja tai laajennuksia vain WordPress.org-sivustosta.

Ymmärrämme, että ilmaisella teemalla tai laajennuksella on hyvin rajalliset toiminnot. Mutta näitä ilmaisia ​​teemoja tai laajennuksia on turvallista käyttää ja päivittää säännöllisesti.

Lue myös, 7 parasta Premium Blogging -teemaa WordPressille

Takaisin alkuun

4. Käytä vahvoja salasanoja

Salasana on ensisijainen avain pääsyyn WordPress-sivustoosi. Jos se on yksinkertainen ja lyhyt, hakkerit voivat murtaa salasanasi helposti. Yli 80% hakkerointiin liittyviä rikkomuksia tapahtuu heikko salasana tai varastettu salasana.

Äskettäisessä tutkimuksessa, SplashData paljastui Vuoden 2017 100 pahin salasana.

Tässä on muutama niistä:

  1. 123456
  2. Salasana
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. päästä minut sisään
  8. 1234567
  9. jalkapallo
  10. Rakastan sinua
  11. admin
  12. Tervetuloa
  13. apina (lol)

Jos salasanasi on yksinkertainen kuten yllä, vaihda se välittömästi. Hyvän vahvuuden salasanan tulee olla vähintään 10 numeroa ja sisältää iso, pieni kirjain, numero ja erikoismerkit.

Voit käyttää online salasanan luontityökalu luoda heti tuhansia suojattuja salasanoja.

On myös välttämätöntä tallentaa salasana tietokoneellesi.

Helpottaaksesi salasananhallintaohjelmistoa voit hallita kaikkia salasanoja, kuten LastPass, Dashlane jne.

Pakota vahva salasana käyttäjille

Oletusarvoisesti WordPress ei sisällä toimintoa, joka estää käyttäjiä antamasta heikkoja salasanoja. Suurimman osan ajasta käyttäjät asettavat tililleen heikon salasanan ja vaihtavat sitä tuskin.

Jos käytät usean käyttäjän WordPress-blogia, sinun on pakotettava käyttäjät käyttämään vahvaa salasanaa.

Tämän prosessin helpottamiseksi voit käyttää laajennusta. Asenna ja aktivoi Pakota vahvat salasanat plugin ja olet valmis. Tämä estää käyttäjiä ja jopa järjestelmänvalvojaa antamasta heikkoa salasanaa.

Takaisin alkuun

5. Lisää kahden tekijän todennus (2FA) 

Toinen yksinkertainen tapa parantaa WordPress-tietoturvaa on lisäämällä kaksifaktorinen todennus (2FA) WordPress-kirjautumissivulle. Pohjimmiltaan, kaksifaktorinen todennus tai kaksivaiheinen vahvistus on tietoturvaprosessi, joka vaatii kahta menetelmää henkilöllisyytesi todentamiseksi.

Oletuksena kirjoitamme käyttäjätunnuksen ja salasanan kirjautuaksesi verkkosivustoon. Lisäämällä kaksikerroinen todennus vaatii sinulle ylimääräisen varmennusprosessin, kuten älypuhelinsovelluksen, todennuksen todentamiseksi.

Joten jos joku tietää käyttäjänimesi ja salasanasi, he tarvitsevat älypuhelimen saadaksesi vahvistuskoodin kirjautuaksesi sivustoosi.

Lisäämällä kaksifaktorinen todennus, et vain suojaa WordPress-kirjautumissivua, mutta myös estävät raa’at hyökkäykset.

Voit ottaa kaksikerroisen todennuksen käyttöön helposti käyttämällä Google-kaksifaktorista todennusohjelmaa WordPress-laajennusta.

Kun olet aktivoinut, mene kohtaan käyttäjät> Käyttäjäprofiili ja aktivoi laajennus.

Google Authenticator -asetukset

Lataa sitten Google-todennussovellus puhelimestasi ja skannaa Viivakoodi tai kirjoita Salainen koodi (katso yllä oleva kuvakaappaus) sivustostasi lisätäksesi verkkosivustosi.

Kun olet lisännyt, kirjaudu ulos sivustostasi. Kirjautumissivulla näet ylimääräisen kentän, johon sinun on annettava vahvistuskoodi Google Authenticator-mobiilisovelluksesta.

Google Authenticator -kenttä

Katso yksityiskohtaiset ohjeet ohjeesta, kuinka lisätä Google-kaksifaktorinen todennus WordPressin kirjautumissivulle.

Takaisin alkuun

6. Muuta WordPress-kirjautumissivun URL-osoitetta

Oletusarvoisesti kuka tahansa voi käyttää kirjautumissivua lisäämällä vain “wp-admin” tai “wp-login.php” verkkotunnuksesi loppuun, kuten: “domain.com/wp-admin” tai “domain.com/ wp-login.php”.

Arvaa mitä! Hakkerit voivat suorittaa julmaa voimahyökkäystä kirjautumissivusi avulla. Jos käytät hyvin yksinkertaista salasanaa, hakkerit voivat helposti murtaa salasanasi ja siirtyä verkkosivustollesi.

Mutta entä jos he eivät tiedä mihin hyökkää? Kyllä, arvasit sen oikein.

Jos piilotat tai nimeät kirjautumissivusi URL-osoitteen, hakkerit eivät pystyisi suorittamaan julmaa voimaa.

WordPressissä voit piilottaa tai nimetä kirjautumissivusi helposti pluginilla. Asenna ja aktivoi WordPress-laajennusgalleriasta WPS piilota kirjautuminen kytkeä.

Kun olet aktivoinut, mene kohtaan asetukset> yleinen ja alareunasta löydät WP Piilota kirjautuminen -vaihtoehto.

WPS piilota kirjautumisasetukset

Vaihda vain kirjautumisen URL-osoite “Kirjaudu sisään” johonkin muuhun, jota on vaikea arvata ja napsauttaa Tallenna muutokset.

Kun olet valmis, lisää uusi kirjautumissivu kirjanmerkkeihin ja olet valmis.

Takaisin alkuun

7. Rajoita kirjautumisyrityksiä

Oletuksena WordPress ei rajoita kirjautumisyritysten lukumäärää kirjautumislomakkeen kautta. Tämä tarkoittaa, että kuka tahansa tietää kirjautumis-URL-osoitteesi voi kokeilla kirjautumistoimintoa niin monta kertaa kuin haluaa. Tällä tavoin hakkerit hyökkäävät julmaan voimaan hyökkäyksen avulla murtautuaksesi käyttäjänimeesi ja salasanasi päästäksesi verkkosivustollesi.

Rajoittamalla sisäänkirjautumisyrityksiä voit kovettaa WordPress-tietoturvaa ja suojata kirjautumissivusi raa’alta voimalta.

Voit asettaa enimmäismäärän virheellisiä kirjautumisyrityksiä, jotka käyttäjä voi tehdä samasta IP-osoitteesta. Jos käyttäjä ylittää rajat, käyttäjän IP estyy tietyn ajan.

Voit rajoittaa kirjautumisyrityksiä WordPressissä asentamalla Kirjaudu sisään LockDown kytkeä. Kun olet aktivoinut, mene kohtaan asetukset> Kirjaudu sisään LockDown määrittääksesi laajennuksen.

Kirjaudu sisään LockDown-asetukset

Katso yksityiskohtaiset ohjeet ohjeesta kuinka rajoittaa kirjautumisyrityksiä WordPressissä

Takaisin alkuun

8. Varmuuskopio sivustosi säännöllisesti

Varmuuskopiot ovat kuin Time Machine. Jos sinulla on se, verkkosivustosi on turvallinen.

Sivustojen varmuuskopiot eivät kuitenkaan suojaa sivustoasi hakkereilta, mutta auttavat sinua palauttamaan sivustosi.

Jos esimerkiksi jotain menee pieleen päivityksen aikana tai verkkosivustoasi hakkeroidaan, kuinka korjaat sivustosi uudelleen? Kadotat todennäköisesti sivustosi.

Mutta jos sinulla on varmuuskopioita sivustostasi, voit helposti palauttaa sivustosi ennen pistettä, johon se oli hakkeroitu tai kaatunut.

Siksi suosittelemme, että käytät luotettavaa WordPress-varmuuskopiolaajennusta. Monet hosting-yritykset tarjoavat kuitenkin ilmaisen verkkosivuston varmuuskopion, mutta ne voivat taata sivustosi saatavuuden, jos tapahtuu katastrofaalinen vika. Joten sinun on tallennettava varmuuskopiot etäpaikkaan, kuten Google Drive, Amazon S3, Dropbox jne.

Onneksi tämä voidaan tehdä käyttämällä BlogVault tai BackUpBuddy WordPress Backup Plugin. Molemmat tarjoavat päivittäisiä varmuuskopioita ja yhden napsautuksen palautuksen. Voit myös luoda pysähdyspaikan ilman lisäkustannuksia.

Takaisin alkuun

9. Käytä WordPress-suojauslaajennusta

Seuraava asia, jota tarvitset WordPress-tietoturva on tietoturvalaajennus. Saatavana on monia WordPress-tietoturvalaajennuksia, jotka estävät sivustosi hakkereilta ja haittaohjelmilta.

WordPress-tietoturvalaajennukset tunnistavat ja poistavat haittaohjelmat, jos niitä on sivustossasi. Lisäksi he seuraavat käyttäjän toimintaa reaaliajassa, ilmoittavat, jos jokin on muuttunut, jos laajennus sisältää haittaohjelman, estää roskapostiliikenteen ja paljon muuta.

Suosittelemme Securi WordPress -turvaosalaajennusta. Securi Security tarjoaa erityyppisiä suojausominaisuuksia, kuten turvallisuustoiminnan auditointi, verkkosivujen seuranta, verkkosivuston palomuuri,  ja paljon muuta.

arvopa

Parasta Securissa on se, että jos Google hakkeroi tai mustalle listalle Google käyttää heidän palveluaan käyttäessään, he takaavat, että korjaavat sivustosi.

Suurin osa WordPress-tietoturva-asiantuntijoista veloittaa yli 300 dollaria hakkeroidun sivuston korjaamisesta, kun taas kaikki turvallisuuspalvelut saat vain $ 199 vuodessa. Se on hyvä sijoitus WordPress-tietoturvan parantamiseen.

Takaisin alkuun

10. Automaattinen uloskirjaus käyttämättömiltä käyttäjiltä

Jos käyttäjä pysyy käyttämättömänä tai passiivisena sivustossasi liian kauan, tämä voi aiheuttaa raa’an voiman hyökkäyksen.

Kun käyttäjä pysyy passiivisena liian kauan, hakkerit voivat käyttää evästeitä tai istuntokaappausmenetelmää saadaksesi luvattoman pääsyn verkkosivustollesi. Siksi suurin osa koulutukseen ja talouteen liittyvistä verkkosivustoista, kuten pankki- ja maksuyhdyskäytäväsivustoista, käyttää käyttäjän istunnon aikakatkaisutoimintoa. Joten kun käyttäjä navigoi sivulta pois eikä ole vuorovaikutuksessa tietyn ajan kuluttua, verkkosivusto kirjaa automaattisesti passiivisen käyttäjän ulos.

Sama toiminto, jonka voit lisätä WordPress-sivustoosi WordPress-tietoturvan parantamiseksi. Automaattisen uloskirjautumisen lisääminen WordPressiin on erittäin helppoa. Kaikki mitä tarvitset pluginin asentamiseen.

Lataa ja asenna ensin Passiivinen uloskirjautuminen WordPress-laajennus. Aktivoi sitten se ja mene asetukset> Passiivinen uloskirjautuminen määrittääksesi laajennuksen.

Passiiviset uloskirjautumislaajennuksen asetukset

Asetuksista voit muuttaa lepotilan aikakatkaisua. Joten ajan kuluttua kaikki sivustosi käyttäjät kirjataan ulos automaattisesti.

Voit myös muuttaa valmiustilan aikakatkaisusanoman ja muuttaa tarvittaessa muita asetuksia.

Kun olet valmis, napsauta Tallenna muutokset tallentaa asetukset.

Yksityiskohtaiset ohjeet ovat oppaassamme, kuinka käyttämättömät käyttäjät kirjataan automaattisesti ulos WordPressistä

Takaisin alkuun

11. Lisää turvakysymyksiä WordPressin kirjautumissivulle

Lisäämällä WordPress-kirjautumissivulle tietoturvakysymyksiä, et vain suojaa WordPress-kirjautumissivua, vaan myös kovettamalla WordPress-tietoturvaa.

Turvakysymys lisää ylimääräisen suojauskerroksen henkilöllisyyden todentamiseksi edelleen sisäänkirjautumisen aikana. Tämä on erittäin hyödyllistä, jos käytät useiden kirjoittajien WordPress-blogia.

Jos jokin käyttäjän tai salasanasi on varastettu, turvakysymys voi pelastaa hengen.

Koska käyttäjänimi ja salasana voidaan hakkeroida helposti, mutta oikean turvakysymyksen ja vastauksen valitseminen on melkein mahdotonta. Tällä tavalla voit tallentaa WordPress-kirjautumissivusi hakkereilta ja raa’ilta voimilta.

Lisää suojauskysymys WordPressin kirjautumissivulle asentamalla WP-turvakysymys kytkeä.

WP-turvallisuuskysymysten asetukset

Kun olet aktivoinut, mene kohtaan WP-turvallisuuskysymykset > Plugin-asetukset määrittääksesi laajennuksen.

Oletuksena laajennukseen on lisätty monia yleisiä kysymyksiä. Voit kuitenkin lisätä tai poistaa turvakysymyksiä luettelosta.

Alaosassa voit ottaa käyttöön turvakysymyksen kirjautumissivulla, rekisteröinnillä ja unohtuneen salasanan sivulla. Kun laajennus on määritetty, älä unohda napsauttaa Tallenna asetus.

merkintä: Vain uudet käyttäjät voivat asettaa turvakysymyksen ja vastauksen rekisteröinnin aikana. Joten rekisteröityneiden käyttäjien on asetettava omat turvallisuuskysymykset ja vastaukset manuaalisesti. Voit myös asettaa heille turvakysymyksen ja vastauksen. Tämä voidaan tehdä Käyttäjäprofiili sivu.

Lisää monesti WP-turvallisuuskysymyksiä

Katso yksityiskohtaiset ohjeet ohjeesta, kuinka lisätä tietoturvakysymyksiä WordPressin kirjautumissivulle

Takaisin alkuun

12. Vaihda oletusaseman ”Järjestelmänvalvoja” käyttäjänimi

Asennuksen jälkeen WordPress, voit vaihtaa salasanasi niin monta kertaa kuin haluat. Mutta voitko muuttaa käyttäjänimesi, kun se on asetettu? Ei, oikein?

Oletuksena WordPress ei salli käyttäjien vaihtaa käyttäjänimeä. Mutta miksi sinun pitäisi muuttaa sitä?

Jos käytät hyvin yleistä käyttäjänimeä, kuten “admin”, hakkerit voivat suorittaa julman voiman liittämisen käyttäjänimesi avulla.

Mutta älä paniikki. Voit muuttaa WordPress -sovellusta helposti usealla eri tavalla.

Prosessin helpottamiseksi käytämme kuitenkin laajennusta. Lataa ja asenna ensin käyttäjänimi vaihtaja kytkeä. Siirry sitten käyttäjät> Profiilisi ja etsi käyttäjänimi. Sieltä löydät vaihtoehdon Vaihda käyttäjänimi.

Vaihda WordPress-käyttäjänimi

Klikkaa Vaihda käyttäjänimi -painiketta ja kirjoita uusi käyttäjänimesi. Kun olet valmis, napsauta Päivitä profiili.

Jos haluat muuttaa käyttäjänimesi manuaalisesti (ilman laajennusta), tutustu artikkeliin 3 eri tapaa muuttaa WordPress-käyttäjänimeä.

Takaisin alkuun

13. Määritä käyttäjät matalimmalle mahdolliselle roolille

Jos sinulla on usean kirjoittajan WordPress-sivusto, sinun on oltava varovainen, ennen kuin määrität roolin käyttäjälle.

Monta kertaa WordPress-sivuston omistajat määrittävät korkeamman käyttäjäroolin uusille käyttäjille. Näin annat käyttäjille kaikki käyttöoikeudet, minkä seurauksena kuka tahansa käyttäjä pystyy suorittamaan minkä tahansa tehtävän mitä haluaa..

Jos esimerkiksi et tiedä, mitä Editorin käyttäjärooli pystyy suorittamaan, ja annat roolin tavalliselle käyttäjälle, käyttäjä voi poistaa kaikki viestit, muokata linkkejä, luoda roskapostin viestejä, lisätä haitallisia linkkejä blogiisi virkaa. Näin käyttäjä voi helposti pilata verkkosivustosi.

Oletusarvoisesti WordPress sisältää 5 erilaista käyttäjäroolia.

  • Järjestelmänvalvoja
  • toimittaja
  • kirjailija
  • avustaja
  • Tilaaja
  1. Järjestelmänvalvoja: Järjestelmänvalvojat ovat tehokkain käyttäjärooli WordPress-sivustossa. He voivat luoda, muokata ja poistaa käyttäjätiliä, voivat suorittaa mitä tahansa tehtäviä WordPress-hallintapaneelissa, hallita koko sisältöaluetta ja myös valvoa kommentteja. 
  2. Leikkaus: Editor-roolilla olevilla käyttäjillä on täysi hallinta koko sisällössä. He voivat luoda, muokata ja poistaa viestejä, mukaan lukien muiden käyttäjien luomat viestit. He voivat myös valvoa kommentteja ja muokata linkkejä.
  3. Kirjoittaja: Tekijät voivat julkaista, muokata tai poistaa vain omia viestejään. He voivat lähettää mediatiedostoja käytettäväksi viesteihinsä. Hän voi katsella kommentteja, mutta ei voi hyväksyä tai poistaa kommentteja.
  4. Muut tekijät: Avustajaroolissa olevat käyttäjät voivat vain kirjoittaa, muokata tai poistaa omia julkaisemattomia viestejä, mutta he eivät voi julkaista omaa viestiään.
  5. Tilaaja: Tilaajat voivat muokata vain tilitietojaan, mukaan lukien salasana, mutta heillä ei ole pääsyä sisältö- tai sivustoasetuksiin. Heillä on heikoimmat ominaisuudet WordPress-sivustossa.

Ymmärtämällä WordPress-käyttäjäroolit voit hallita niitä helposti ilman mitään riskiä.

Suosittelemme myös, että määrität uuden käyttäjän oletusroolin tilaajaksi. Mene asetuksiin> Yleiset asetukset ja niiden sarjasta Uusi käyttäjän oletusrooli Tilaaja ja napsauta Tallenna muutokset.

WordPress uuden käyttäjän oletusrooli

Lisätietoja on aloittelijan oppaassa WordPressin käyttäjän roolit ja ominaisuudet

Takaisin alkuun

14. Seuraa tiedostojen muutoksia ja käyttäjän toimintoja

Toinen fiksu tapa parantaa WordPress-tietoturvaa on seurata käyttäjän toimintoja ja tiedostojen muutoksia. 

Jos sinulla on usean käyttäjän WordPress-sivusto, sinun tulisi seurata käyttäjien käyttäytymistä ymmärtääksesi paremmin, mitä heidän toimintaan liittyy koko WordPress-sivustossa.

Kuka tietää, jos käyttäjä tekee epäilyttävää työtä tai yrittää hakkeroida verkkosivustoasi? Kuinka voit tietää sen?

Ainoa tapa seurata käyttäjän toimintaa ja tiedostojen muutoksia on käyttää käyttäjän toiminnan WordPress-laajennusta. Käyttämällä käyttäjän toiminnan laajennusta WordPressissä, voit:

  • Katso kuka on kirjautunut sisään ja mitä he tekevät reaaliajassa
  • kun käyttäjä kirjautuu sisään ja ulos
  • kuinka monta kertaa käyttäjä yritti kirjautua sisään, mutta epäonnistui

Lisäksi, jos toimittaja on muuttanut viestiä tai sivua ilman lupaasi, voit löytää sen helposti ja palauttaa sen takaisin. Hyvä asia käyttäjän aktiviteettilaajennuksessa on, että se lähettää sinulle välittömästi sähköposti-ilmoituksen, jos jokin menee pieleen.

WP Security Audit Log on paras laajennus seuraamaan käyttäjän toimintaa ja tiedostojen muutoksia reaaliajassa. Alla on kuvakaappaus laajennuksen toiminnasta.

WordPress Audit Log Viewer

Lue myös, 5 parasta laajennusta käyttäjän toiminnan seuraamiseen WordPressissä (vaihtoehtoiset laajennukset)

Takaisin alkuun

15. Ota käyttöön SSL ja HTTPS

WordPress-tietoturva ei voi parantaa ilman SSL-varmennetta. SSL (Secure Socket Layer) on verkkosivustojen turvallisuuden selkäranka.

SSL on standardi tietotekniikka, joka luo salattuja linkkejä palvelimen ja selaimen välillä online-viestinnässä, kuten online-tapahtumassa. Joten kaikki arkaluontoiset tiedot, kuten salasanat, luottokorttitiedot jne., Kulkevat salattujen linkkien kautta.

Jos ylläpidät verkkoyritystä tai blogia, jossa hyväksyt maksun, SSL-varmenne on pakollinen. Se pitää asiakkaasi tiedot turvassa hakkereilta. Verkkokaupoissa tai WooCommerce-sivustoissa SSL-sertifikaattikustannukset maksavat noin 20–170 dollaria.

Jos sinulla on WordPress-blogia, sinun ei tarvitse maksettua SSL-varmennetta. Jos käytät cPanel-hosting-palvelua, kuten SiteGround, WPEngine, voit asentaa SSL-sertifikaatin ilmaiseksi yhdellä napsautuksella.

Kirjaudu ensin hosting-cPanel-tiliisi ja siirry kohtaan turvallisuus.  (Alla on kuvakaappaus SiteGround-hosting cPanelista.)

SG SSL

Siirry SSL / TLS Manager ja napsauta Asenna SSL-varmenne. Valitse sivulta verkkotunnuksesi ja napsauta Automaattinen täyttö verkkotunnuksen mukaan. Prosessi on automaattinen, joten sinun ei tarvitse muokata tai muokata mitään.

Sivustojen maa-asennus SSL-varmenne

Napsauta nyt Asenna varmenne -painike viimeistelläksesi asennusprosessin.

Kun olet valmis, kirjaudu WordPress-järjestelmänvalvojan hallintapaneeliin muokataksesi sivustosi URL-osoitetta. Mene asetukset> yleinen ja lisää korvata HTTP HTTPS: llä ennen sivustosi URL-osoitetta. Ohessa kuvakaappaus.

WP HTTPS

Kun olet päivittänyt, napsauta Tallenna muutokset.

Kuinka ohjata HTTP: tä HTTPS: ään WordPressissä

Jos olet asentanut SSL-varmenteen oikein, sivustoosi pääsee HTTPS: n avulla.

Mutta jos joku kirjoittaa vain verkkosivustosi nimen (ts. Domain.com) selaimen osoiteriville, sivustossa saattaa näkyä “Yhteys ei ole turvallinen” -viesti. Tämä tarkoittaa sitä, että sivustosi on tavoitettavissa HTTP: llä.

Ongelman ratkaisemiseksi sinun on pakotettava HTTPS WordPressissä, joten sivustosi latautuu vain HTTPS: llä. Voit helposti pakottaa HTTPS: n WordPressissä.

Kirjaudu ensin hosting-cPaneliin ja siirry verkkosivustosi juurikansioon ja löydä .htaccess tiedosto. Muokkaa .htaccess-tiedostoa ja lisää loppuun seuraava koodi.

RewriteEngine päällä
RewriteCond% {HTTPS} pois päältä
RewriteRule ^ (. *) $ Https: //% {HTTP_HOST}% {REQUEST_URI} [L, R = 301]

Tallenna tiedosto ja olet valmis. Nyt verkkosivustollesi pääsee vain HTTPS: llä.

Jos verkkopalveluntarjoajasi ei tarjoa ilmaista SSL-varmennetta, voit asentaa SSL-varmenteen manuaalisesti. Tässä on opas ilmaisen SSL-varmenteen asentamiseen.

Takaisin alkuun

16. Poista käyttämättömät teemat ja laajennukset

Kun kyse on WordPress-tietoturvan kohentamisesta, meidän ei pitäisi jättää huomiotta pieniä askelia, jotka voivat tehdä sivustostasi haavoittuvan. 

Suurimman osan ajasta WordPress-sivuston omistajat asentavat erilaisia ​​teemoja ja laajennuksia testatakseen, mikä teema näyttää paremmalta sivustoltaan tai jolla pluginilla on enemmän toimintoja. Se on okei. Mutta pitämällä nämä käyttämättömät teemat ja laajennukset tekevät sivustostasi haavoittuvan.

Koska useiden WordPress-teemojen ja -laajennusten pitäminen on päivitettävä säännöllisesti kuten käyttämäsi. Jos et päivitä niitä, heistä tuli haavoittuvia ja hakkerit voivat helposti hyödyntää sivustoasi haavoittuvien teemojen ja laajennusten kautta. Lisäksi pitämällä niin monia teemoja ja laajennuksia, WordPress-sivusto hidastuu.

Joten sinun tulisi aina poistaa käyttämättömät teemat ja laajennukset sivuston suorituskyvyn ja WordPress-tietoturvan parantamiseksi.

Voit poistaa käyttämättömän laajennuksen siirtymällä kohtaan liitännäiset> Asennetut laajennukset. Löydä sitten laajennus, jota et enää tarvitse. Poista ensin plugin ja napsauta sitten Poistaa.

WordPress-laajennuksen poistaminen

Samoin voit poistaa teeman siirtymällä kohtaan Ulkomuoto> Teemat ja napsauta Teeman yksityiskohdat. Napsauta sitten oikean reunan alareunassa Poistaa.

Poista teema

Takaisin alkuun

17. Poista tiedostojen muokkaaminen käytöstä WordPress-hallintapaneelissa

Oletuksena WordPress antaa käyttäjille muokata teema- ja laajennustiedostoja suoraan WordPressin kojetaulusta. Tämä on hyödyllinen vaihtoehto käyttäjille, joiden on usein muokattava teema- ja laajennustiedostoa.

WordPress-teemaeditori

Tämän toiminnon pitäminen käytössä voi kuitenkin olla vakava turvallisuusongelma. Jos hakkerit pääsevät verkkosivustoosi, he yleensä jättävät jälkensä syöttämällä haitallisia koodeja verkkosivustojen tiedostoihin. Jos WordPress-tiedoston muokkaustoiminto on käytössä, hakkerit voivat helposti lisätä haitallisen koodin teema- tai laajennustiedostoon, joka on sinulle tuntematon..

WordPress-tietoturvan parantamiseksi sinun on poistettava tiedostojen muokkaustoiminto käytöstä WordPress-hallintapaneelissa. WordPress-teeman ja laajennuseditorin poistaminen käytöstä WordPressissä on erittäin helppo prosessi.

Ensin sinun on kirjauduttava sisään hosting-cPanel-tiliisi ja siirry WordPress-sivustosi juurikansioon. Sieltä löydät wp-config.php. Napsauta Muokkaa ja lisää seuraava koodi loppuun.

define (‘DISALLOW_FILE_EDIT’, tosi);

Tallenna nyt tiedosto ja päivitä WordPress-hallintapaneeli. Näet, että teema- ja laajennuseditori-vaihtoehto on mennyt. Tämän pienen tempun avulla voit parantaa WordPress-tietoturvaa helposti.

Lue yksityiskohtainen opas teema- ja laajennuseditorin käytöstä poistamisesta WordPressistä

Takaisin alkuun

18. Salasanasuojattu WordPress-sisäänkirjautumissivu

Toinen hieno tapa parantaa WordPress-tietoturvaa on suojata WordPress-salasanalla salasanalla.

Suojaamalla salasanalla WordPress-kirjautuminen (/wp-login.php) tai järjestelmänvalvojan (https://cdn.wpmyweb.com/wp-admin) -sivu, voit estää hakkereita pääsemästä sisäänkirjautumissivullesi, koska se vaatii salasanan pääsyyn sisäänkirjautumissivu. Todennus vaaditaan ponnahdusikkunaKun tämä ominaisuus on otettu käyttöön, sivustosi kehottaa kaikkia käyttäjiä pääsemään kirjautumissivulle käyttäjätunnuksella ja salasanalla. Lyhyesti sanottuna kaikkien käyttäjien on kirjauduttava sisään kahdesti eri käyttäjätunnuksella ja salasanalla ennen kuin pääset WordPress-järjestelmänvalvojan kojelautaan.

Näin voit vahvistaa WordPress-tietoturvaa ja lisätä ylimääräisen suojaustason kirjautumissivullesi.

Lue perusteellinen opas WordPress-kirjautumissivun suojaamiseen salasanalla.

Takaisin alkuun

19. Poista hakemistoselaaminen käytöstä WordPressissä

Oletuksena useimpien verkkopalvelimien, kuten Apache, NGINX ja LiteSpeed, avulla kuka tahansa käyttäjä voi selata WordPress-tiedostoja ja -kansioita sisältäviä hakemistoja. He voivat myös nähdä käyttämäsi teeman ja laajennukset ja tietää enemmän verkkosivustosi rakenteesta.

WordPress-sivuston hakemistosivu

Nämä tiedot voivat johtaa WordPress-sivustosi haavoittuvuuteen ja auttaa hakkereita yrittäessään vaarantaa sivustosi.

WordPress-tietoturvan parantamiseksi suosittelemme, että poistat tämän vaihtoehdon käytöstä. Voit poistaa hakemistoselaamisen käytöstä WordPressissä lisäämällä seuraava rivi omaan hakemistoon .htacces tiedosto.

Asetukset Kaikki -Indexit

Katso yksityiskohtaiset ohjeet oppaasta, kuinka poistaa hakemistojen selaaminen käytöstä WordPressissä

Takaisin alkuun

20. Poista WordPress-versio

Oletuksena WordPress lisää automaattisesti sisällönkuvauskentät eri paikkoihin, jotka näyttävät käyttämäsi WordPress-version.

Tässä on asia: jos hakkerit tietävät, että sinulla on vanhentunut WordPress-versio, he voivat hyödyntää sivustosi tunnettujen haavoittuvuuksien kautta, jotka ovat vanhemmassa WordPress-versiossa.

Joten on parempi, että poistat WordPress-version WordPress-tietoturvan parantamiseksi. On olemassa useita paikkoja, joissa WordPress lisää sisällönkuvauskentät, kuten WordPress-hallintapaneelissa, otsikossa, tyylillä ja javascriptilla sekä RSS-syötteellä.

WordPress-version poistaminen otsikosta ja RSS: stä

Jos haluat poistaa version otsikosta ja RSS: stä, lisää seuraava rivi otsikkosi loppuun functions.php tiedosto.

toiminto remove_wordpress_version () {
palata ”;
}
add_filter (‘the_generator’, ‘remove_wordpress_version’);

WordPress-versionumeron poistaminen komentosarjoista ja CSS: stä

Lisää WordPress-versio CSS: stä ja komentosarjoista lisäämällä seuraava rivi kansiosi loppuun functions.php tiedosto.

// Valitse versionumero skripteistä ja tyyleistä
toiminto remove_version_from_style_js ($ src) {
if (strpos ($ src, ‘ver =’. get_bloginfo (‘version’))))
$ src = remove_query_arg (‘ver’, $ src);
palauta $ src;
}
add_filter (‘style_loader_src’, ‘remove_version_from_style_js’);
add_filter (‘script_loader_src’, ‘remove_version_from_style_js’);

Kun olet valmis, tallenna function.php-tiedosto.

Se siitä. Tämän yksinkertaisen tempun avulla voit varmasti parantaa WordPress-tietoturvaa. Suosittelemme kuitenkin, että päivität säännöllisesti WordPress-version sekä teeman ja laajennukset.

Lue yksityiskohtaiset ohjeet WordPress-version piilottamisen tai poistamisen oppaastamme

Takaisin alkuun

21. Muuta WordPress-tietokannan taulukon etuliitettä

WordPress-asennuksen aikana se kysyy, haluatko käyttää toista tietokannan etuliitettä. Ohitetaan yleensä tämä vaihe, joten WordPress käyttää sitä automaattisesti (Wp_) oletus tietokantataulukon etuliitteenä. Suosittelemme, että vaihdat sen vahvaksi ja ainutlaatuiseksi.

Oletusetuliitteen (WP_) käyttäminen tekee WordPress-tietokannastasi alttiita SQL-injektiohyökkäyksille. Tällaiset hyökkäykset voidaan estää muuttamalla tietokannan etuliite (WP_) jotain ainutlaatuista.

Asennuksen jälkeen WordPress, voit helposti muuttaa oletusetietokantataulukon etuliitettä laajennuksilla tai manuaalisesti. Lisäosien, kuten BackupBuddy, Brozzme DB Prefix avulla voit muuttaa taulukon etuliitteen yhdellä napsautuksella.

Oppitunnin vuoksi näytän kuinka muuttaa sitä Brozzme DB Prefix -laajennuksella.

merkintä: Ennen kuin teet mitään tietokannasi kanssa, varmista, että olet varmuuskopio sivustostasi ja tietokannastasi. Jos jokin menee pieleen, voit palauttaa sivustosi.

Asenna ensin ja aktivoi Brozzme DB -liite kytkeä. Siirry WordPress-hallintapaneelista kohtaan Työkalut> DB-etuliite ja kirjoita uusi yksilöllinen nimi tietokannan etuliitteelle.

Brozzme DB -liite

Kun olet kirjoittanut uuden etuliitteen, napsauta Vaihda DB-etuliite.

Lue manuaalista prosessia varten kuinka muuttaa tietokantataulukon etuliitettä phpMyAdminilla

Takaisin alkuun

22. Käytä vain luotettuja WordPress-laajennuksia

WordPress sisältää yli 48 000 laajennusta. Tämä ei tarkoita, että kaikki laajennukset ovat hyödyllisiä ja turvallisia käyttää.

Koska WordPress-laajennusgalleriassa on saatavilla monia laajennuksia, joita ei päivitetä pitkään aikaan, ja yleensä niistä tuli haavoittuvia. Et myöskään saisi tukea, jos laajennus hajottaa sivustosi.

Ennen kuin käytät mitään ilmaista laajennusta, tarkista kaksi tärkeää asiaa,

  • Tarkista, milloin laajennus viimeksi päivitettiin: Jos laajennusta ei päivitetä usein tai laajennuskehittäjä ei enää ylläpitä sitä, sinun tulee välttää laajennusta.

Vanhentunut WordPress-laajennusversio

  • Tarkista, onko laajennuksella korkein positiivinen luokitus: Seuraava asia, sinun on tarkistettava, onko laajennuksella enimmäisarvo positiivisia vai negatiivisia. Jos laajennuksella on suurin negatiivinen luokitus, sinun ei pitäisi käyttää sitä.

WordPressin matalalaajuinen laajennus

Voit tarkistaa myös laajennuksen arvostelu- ja tukisivun nähdäksesi, mitä muut käyttäjät sanovat laajennuksesta.

Mutta älä huoli. Saatavana on monia samanlaisia ​​laajennuksia, jotka löydät WordPress-laajennusgalleriasta.

Jos haluat käyttää premium-laajennusta, sinun ei tarvitse huolehtia siitä. Premium-laajennuksia päivitetään säännöllisesti ja saat laajennuksen kehittäjältä 24-kertaisen tuen.

Takaisin alkuun

23. Poista PHP-virheraportointi käytöstä

Toinen hieno tapa parantaa WordPress-tietoturvaa on poistaa PHP-virheraportti käytöstä WordPressissä. Monta kertaa, kun asennat vanhentunutta laajennusta tai teemaa, saatat nähdä PHP-virhevaroituksen.

WordPress PHP -virhevaroitusSe voi kuitenkin johtaa sivustosi haavoittuvuuteen, jos hakkerit saavat sen, koska se näyttää koodin ja tiedoston sijainnin. Riskin minimoimiseksi voit poistaa PHP-virheraportoinnin käytöstä WordPressissä.

PHP-virhevaroituksen poistaminen käytöstä WordPressissä on erittäin helppoa. Muokkaa ensin wp-config.php tiedosto ja etsi rivi, jolla on tämä koodi:

define (‘WP_DEBUG’, epätosi);

Saatat nähdä “tosi” väärän sijaan. Korvaa nyt rivi seuraavalla koodilla.

ini_set (display_errors ‘,’Off’);
ini_set (‘virhe_raportointi’, E_ALL);
define (‘WP_DEBUG’, false);
määritä (‘WP_DEBUG_DISPLAY’, väärä);

Tallenna tiedosto ja olet valmis.

Suosittelemme myös käyttämään ajan tasalla olevia ja arvostettuja laajennuksia tällaisen ongelman välttämiseksi.

Takaisin alkuun

24. Lisää HTTP-suojatut otsikot WordPressiin

Toinen hieno tapa parantaa WordPress-tietoturvaa on lisätä HTTP-suojatut otsikot WordPress-sivustoosi.

Kun joku käyttää verkkosivustoasi, selain tekee pyynnön Web-palvelimellesi. Sitten verkkopalvelin vastaa pyyntöihin sekä HTTP-otsikoihin. Nämä HTTP-otsikot välittävät tietoja, kuten sisällön koodausta, välimuistin hallintaa, sisältötyyppiä, yhteyttä jne.

Lisäämällä suojattuja HTTP-vastausotsikoita voit parantaa WordPress-tietoturvaa ja estää myös lieventämään hyökkäyksiä ja suojausheikkouksia.

Tässä ovat alla olevat HTTP-otsikot:

  • HTTP-tiukka kuljetusturva (HSTS): HTTP Strict Transport Security (HSTS) pakottaa verkkoselaimen käyttämään vain suojattuja yhteyksiä (HTTPS) kommunikoidessaan verkkosivuston kanssa. Tämä estää SSL – protokolla hakkerointia, evästeiden kaappausta, SSL: n poistoa jne.
  • X-Frame-Options: X-Frame-Options on eräänlainen HTTP-otsikko, joka määrittelee, sallitaanko selaimen tuottaa verkkosivusto kehyksessä vai ei. Tämä estää napsautuksen hyökkäykset ja varmistaa, että verkkosivustosi ei ole upotettu muihin käyttäviin verkkosivustoihin .
  • X-XSS-suojaus: X-XSS-Protection on Internet Explorer-, Google Chrome-, Firefox- ja Safari-selainten sisäänrakennettu ominaisuus, joka estää sivujen lataamisen, jos käyttäjän syötteestä on lisätty haittaohjelma..
  • X-Content-Type-vaihtoehdot: X-Content-Type-Options on eräänlainen HTTP-vastausotsikko, jolla on arvo nosniff ja joka estää selaimia MIME-nuuskimasta vastausta ilmoitetusta sisältötyypistä.
  • Referrer-politiikka: Viittauskäytäntö on HTTP-vastausotsikko, joka estää verkkotunnusten välisiä viittauksia.

Lisää HTTP-suojatut otsikot WordPressiin lisäämällä seuraavat koodirivit .htaccess tiedosto.

Otsikko asetettu tiukka-kuljetus-turvallisuus "max-ikä = 31536000" env = HTTPS
Otsikko lisää aina X-Frame-Options SAMEORIGIN -sovelluksen
Otsikko asetettu X-XSS-Protection "1; mode = lohko"
Otsikko asetettu X-sisältö-tyyppi-asetukset nosniff
Otsikon viittauskäytäntö: ei viitettä, kun sitä aletaan

Suojausotsikoiden tarkistus

Mene nyt securityheaders.com tarkistaa toimivatko koodit vai eivät. Emme ole lisänneet sisältöturvakäytäntöä, koska se saattaa rikkoa sivustosi. Se riittää kuitenkin WordPress-sivustosi suojaamiseen.

Takaisin alkuun

johtopäätös

Kovettamiseen on monia tapoja WordPress-tietoturva kuten: hallitun WordPress-isäntäpalvelun käyttäminen, vahvojen salasanojen käyttäminen tilille, käyttäjän toimintojen seuranta, WordPress-tietoturvalaajennuksen käyttäminen, SSL- ja HTTPS-järjestelmien käyttöönotto ja monet muut.

WordPress-tietoturvan vaikeuttaminen ei ole rakettitiede. Voit suojata WordPress-sivustosi helposti toteuttamalla tässä artikkelissa jaetut WordPress-tietoturvan parhaat käytännöt. Toteuttamalla ne, sinun ei vain suojata WordPress-sivustoasi, vaan estetään myös hakkereita pääsemästä sivustoosi.

Kun olet valmis, sinun ei tarvitse murehtia WordPress-tietoturvastasi. Lisäksi voit olla tuottavampi ja vailla rasitusta.

Nyt on sinun vuorosi. Lue artikkeli huolellisesti ja ota ne käyttöön sivustossasi. Tulet onnelliseksi, että teit sen. ��

Olemmeko unohtaneet mitään tärkeitä WordPress-tietoturvavinkkejä, jotka mainittakoon täällä? ota meihin yhteyttä kommenttiosassa.

WordPress-tietoturvatiedot

WordPress-Security-Infographic-pienikokoisiin

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map