Ασφάλεια WordPress – 24 συμβουλές για την ασφάλεια του ιστότοπού σας από χάκερ

Η ασφάλεια του WordPress πρέπει να είναι η πρώτη προτεραιότητα κατά τη διαχείριση ενός ιστότοπου. Σχεδιάζετε τον ιστότοπό σας, δημοσιεύετε περιεχόμενο, πουλάτε προϊόντα στο διαδίκτυο, αλλά αν δεν λάβετε σοβαρά υπόψη την ασφάλεια του WordPress, ο ιστότοπός σας μπορεί να παραβιαστεί ανά πάσα στιγμή. 


Κάθε μέρα 30.000 ιστότοποι παραβιάζονται και περισσότεροι από 2.000 ιστότοποι εισάγονται στη μαύρη λίστα από την Google. Δεν είστε εξαίρεση. Εάν ένας κυβερνητικός ιστότοπος μπορεί να παραβιαστεί, τότε γιατί όχι ο δικός σας?

Ένα πρωί, ξυπνήσατε και δείτε ότι ο ιστότοπός σας στο WordPress δεν είναι προσβάσιμος και βλέπετε τυχαία μηνύματα όπως,

«Ο ιστότοπός σας έχει παραβιαστεί από το xyz» – ο ιστότοπος έχει παραβιαστεί

“Ο ιστότοπος που βρίσκεται μπροστά περιέχει κακόβουλο λογισμικό” – μαύρη λίστα από την Google

Αυτό είναι το χειρότερο πράγμα που θα μπορούσατε ποτέ να αντιμετωπίσετε με τον ιστότοπό σας.

Αλλά, γιατί το WordPress?

Το WordPress διαθέτει πάνω από το 31% (80 εκατομμύρια) των συνολικών ιστότοπων στον Ιστό. Σύμφωνα με W3Techs, Το WordPress έχει το 60% του μεριδίου αγοράς του CMS περισσότερο από άλλες πλατφόρμες, κάτι που είναι ένας αρκετά ισχυρός λόγος για την προσέλκυση χάκερ.

Αλλά μην πανικοβληθείτε. Η σκλήρυνση της ασφάλειας του WordPress είναι πολύ εύκολη και μπορείτε επίσης να το κάνετε.

Σε αυτό το άρθρο, θα μοιραστώ 24 καλύτερες συμβουλές ασφαλείας του WordPress για την προστασία του ιστότοπού σας από εισβολείς και κακόβουλα προγράμματα.

«Γιατί να μην εξαφανιστεί η πύλη προς το παλάτι σας πριν το ανακαλύψουν;» – WPMyWeb

Contents

Συνηθισμένα θέματα ασφάλειας του WordPress

Προτού εμβαθύνουμε στις βέλτιστες πρακτικές ασφάλειας του WordPress, ας καταλάβουμε πρώτα μερικά κοινά ζητήματα ασφάλειας του WordPress.

Πολλοί χρήστες πιστεύουν ότι το WordPress δεν είναι μια ασφαλής πλατφόρμα για χρήση σε μια επιχείρηση, κάτι που δεν ισχύει καθόλου. Αυτό οφείλεται στην έλλειψη γνώσεων σχετικά με την ασφάλεια του WordPress, την κακή διαχείριση του συστήματος, τη χρήση ξεπερασμένου λογισμικού WordPress και προσθηκών κ.λπ..

Πολλοί αρχάριοι WordPress υποθέτουν ότι η δημιουργία ενός ιστότοπου είναι το τέλος και δεν απαιτεί καμία συντήρηση ασφαλείας. Έτσι αφήνετε τον ιστότοπό σας ευάλωτο.

Μόλις οι χάκερ βρουν ευάλωτα στον ιστότοπό σας, μπορούν εύκολα να εκμεταλλευτούν τον ιστότοπό σας.

Ας δούμε μερικά από τα συνηθισμένα ζητήματα ασφαλείας του WordPress.

1. Επιθέσεις Brute Force: 

Στην επίθεση brute force, χρησιμοποιείται ένα αυτοματοποιημένο σενάριο για τη δημιουργία διαφόρων συνδυασμών ονομάτων χρήστη και κωδικών πρόσβασης. Ο Hacker χρησιμοποιεί τη σελίδα σύνδεσης του WordPress για να εκτελέσει βίαια επίθεση. 

Εάν χρησιμοποιείτε ένα απλό όνομα χρήστη και κωδικό πρόσβασης, τότε θα μπορούσατε να είστε το επόμενο θύμα αυτής της επίθεσης.

2. Σενάριο Cross Site (XSS):

Το Cross Site Scripting είναι ένας τύπος επίθεσης όπου οι εισβολείς εισάγουν κακόβουλο κώδικα / σενάριο σε έναν αξιόπιστο ιστότοπο. Αυτή η μέθοδος πειρατείας είναι εντελώς αόρατη για τους χρήστες που περιηγούνται στον ιστότοπο.

Αυτά τα κακόβουλα σενάρια φορτώνουν ανώνυμα και κλέβουν πληροφορίες από το πρόγραμμα περιήγησης των χρηστών. Ακόμα κι αν ένας χρήστης εισάγει δεδομένα σε οποιαδήποτε μορφή, τα δεδομένα θα μπορούσαν να κλαπούν.

3. SQL Injections:

Το WordPress χρησιμοποιεί μια βάση δεδομένων MySQL για την αποθήκευση πληροφοριών ιστολογίου.

Η έγχυση SQL συμβαίνει όταν οι χάκερ έχουν πρόσβαση στη βάση δεδομένων του WordPress. Με την παραβίαση της βάσης δεδομένων του WordPress, οι εισβολείς μπορούν να δημιουργήσουν έναν νέο λογαριασμό διαχειριστή με πλήρη πρόσβαση στον ιστότοπό σας.

Μπορούν επίσης να εισαγάγουν δεδομένα στη βάση δεδομένων MySQL και να προσθέσουν συνδέσμους σε κακόβουλους ή ανεπιθύμητους ιστότοπους.

4. Υπαίθριοι χώροι:

Με το όνομα “Back-door”, μπορείτε να καταλάβετε τι σημαίνει. 

Το Backdoor είναι μια μέθοδος εισβολής που επιτρέπει στους εισβολείς να εισέλθουν σε έναν ιστότοπο παρακάμπτοντας την κανονική διαδικασία ελέγχου ταυτότητας και ακόμη και παραμένοντας απαρατήρητοι από τον κάτοχο του ιστότοπου.

Μετά την παραβίαση ενός ιστότοπου, οι χάκερ αφήνουν συνήθως το αποτύπωμά τους, έτσι ώστε να μπορούν να έχουν ξανά πρόσβαση στον ιστότοπο, ακόμη και όταν το hack αφαιρείται.

5. Pharma Hacks:

Το WordPress Pharma hacks είναι ένα είδος ανεπιθύμητου περιεχομένου ιστότοπου που γεμίζει τα αποτελέσματα της μηχανής αναζήτησης με ανεπιθύμητο περιεχόμενο φαρμακείου που απαγορεύεται στον Ιστό όπως Viagra, Nexium, Cialis κ.λπ..

Σε αντίθεση με άλλες παραβιάσεις WordPress, τα αποτελέσματα χάραξης φαρμακευτικών προϊόντων είναι ορατά μόνο στις μηχανές αναζήτησης. Επομένως, δεν μπορείτε να εντοπίσετε το χάκερ απλώς βλέποντας τον ιστότοπό σας ή τον πηγαίο κώδικα.

Μεταβείτε στο Google και πληκτρολογήστε ιστότοπος: domain.com. Εάν τα αποτελέσματα αναζήτησης εμφανίζουν το περιεχόμενο του ιστότοπού σας (όχι περιεχόμενο φαρμακείου), τότε ο ιστότοπός σας δεν επηρεάζεται από παραβιάσεις φαρμακευτικών προϊόντων.

Ο στόχος αυτής της εισβολής είναι να εκμεταλλευτείτε τις πολύτιμες σελίδες σας παρακάμπτοντας την ετικέτα τίτλου με επιβλαβείς συνδέσμους. Για να μην αναφέρουμε, εάν δεν επιθεωρήσετε το ζήτημα νωρίς, οι μηχανές αναζήτησης όπως το Google, το Bing μπορούν να κάνουν μαύρη λίστα στον ιστότοπό σας για την παροχή κακόβουλου περιεχομένου.

6. Κακόβουλες ανακατευθύνσεις:

Η κακόβουλη ανακατεύθυνση του WordPress είναι ένα είδος παραβίασης όπου οι επισκέπτες του ιστότοπού σας ανακατευθύνονται αυτόματα σε ανεπιθύμητους ιστότοπους όπως τζόγο, πορνό, ιστότοπους γνωριμιών. Αυτή η παραβίαση συμβαίνει όταν ένας κακόβουλος κωδικός εισάγεται στο αρχείο ή τη βάση δεδομένων του ιστότοπού σας.

Εάν ο ιστότοπός σας ανακατευθύνει τους επισκέπτες σε παράνομους ή κακόβουλους ιστότοπους, ο ιστότοπός σας πιθανότατα θα παραπεμφθεί από τη Google.

Γιατί το WordPress Security είναι σημαντικό?

Ο ιστότοπός σας αντιπροσωπεύει την επωνυμία σας, την επιχείρησή σας, και το πιο σημαντικό είναι η πρώτη επαφή με τους πελάτες σας.

Πιθανότατα χρειάστηκαν αρκετά χρόνια με πολλές προσπάθειες για να σταθεί η επιχείρησή σας και να αυξηθεί η επισκεψιμότητά σας. Το κοινό σας λατρεύει τα άρθρα σας και εμπιστεύεται τα προϊόντα σας, γι ‘αυτό διατηρούν επαφή μαζί σας.

Εάν ο ιστότοπός σας στο WordPress δεν είναι ασφαλής, υπάρχουν πολλοί τρόποι που επηρεάζονται τόσο ο ιστότοπός σας όσο και οι πελάτες σας. Οι χάκερ μπορούν να κλέψουν τα προσωπικά στοιχεία του χρήστη, τους κωδικούς πρόσβασης, τα στοιχεία της πιστωτικής κάρτας, τα στοιχεία συναλλαγών και να διανείμουν κακόβουλα προγράμματα στους χρήστες σας.

Εάν ο ιστότοπός σας έχει παραβιαστεί, θα παρατηρήσετε ότι η επισκεψιμότητά σας μειώνεται δραστικά. Επιπλέον, η Google θα κάνει μαύρη λίστα στον ιστότοπό σας.

Σύμφωνα με την Ιστολόγιο Google, ο αριθμός των παραβιασμένων ιστότοπων αυξάνεται κατά περίπου 20% το 2016 σε σύγκριση με το 2015.

Σε μια μελέτη, ο Securi Αναφορές ότι η Google κάνει μαύρες λίστες πάνω από 10.000 ιστότοπους κάθε μέρα.

Εάν είστε σοβαροί για την επιχείρησή σας, πρέπει να δώσετε ιδιαίτερη προσοχή στην ασφάλεια του WordPress.

Ασφάλεια WordPress

Ο καλύτερος οδηγός ασφαλείας του WordPress

  1. Αποκτήστε μια καλή φιλοξενία WordPress
  2. Διατηρήστε την έκδοση WordPress ενημερωμένη
  3. Μην χρησιμοποιείτε κανένα μηδενικό / ραγισμένο θέμα ή προσθήκη
  4. Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης
  5. Προσθήκη (2FA) Έλεγχος ταυτότητας δύο παραγόντων
  6. Αλλαγή διεύθυνσης URL σύνδεσης WordPress
  7. Περιορίστε τις προσπάθειες σύνδεσης
  8. Δημιουργήστε αντίγραφα ασφαλείας του ιστότοπού σας τακτικά
  9. Χρησιμοποιήστε μια προσθήκη ασφαλείας WordPress
  10. Αυτόματη αποσύνδεση αδρανείς χρήστες
  11. Προσθέστε ερωτήσεις ασφαλείας στη σελίδα σύνδεσης του WordPress
  12. Αλλάξτε το προεπιλεγμένο όνομα χρήστη “διαχειριστής”
  13. Αντιστοίχιση χρηστών στον χαμηλότερο δυνατό ρόλο
  14. Παρακολούθηση αλλαγών αρχείων και δραστηριοτήτων χρήστη
  15. Εγκατάσταση πιστοποιητικού SSL
  16. Διαγραφή αχρησιμοποίητων θεμάτων και προσθηκών
  17. Απενεργοποιήστε την επεξεργασία αρχείων στον πίνακα ελέγχου του WordPress
  18. Προστασία με κωδικό πρόσβασης σελίδα σύνδεσης WordPress
  19. Απενεργοποίηση περιήγησης καταλόγου
  20. Καταργήστε τον αριθμό έκδοσης του WordPress
  21. Αλλαγή προθέματος πίνακα βάσης δεδομένων WordPress
  22. Χρησιμοποιείτε μόνο αξιόπιστα θέματα και προσθήκες WordPress
  23. Απενεργοποίηση αναφοράς σφαλμάτων PHP
  24. Προσθέστε HTTP Secure Headers στο WordPress

Ετοιμος? Ας αρχίσουμε.

1. Αποκτήστε μια καλή φιλοξενία WordPress

Η φιλοξενία WordPress παίζει σημαντικό ρόλο όσον αφορά τη βελτίωση της ασφάλειας του WordPress.

Πληρώνετε για την υπηρεσία φιλοξενίας και ο ιστότοπός σας παραμένει υπό τον έλεγχό τους. Επομένως, πρέπει να είστε προσεκτικοί προτού επιλέξετε μια καλή φιλοξενία WordPress για τον ιστότοπό σας.

Η κοινή φιλοξενία όπως το A2Hosting, το Bluehost κ.λπ. είναι η καλύτερη επιλογή φιλοξενίας για την εκτέλεση ιστολογίου χαμηλής κυκλοφορίας. Αλλά στην κοινή φιλοξενία, πάντα θα υπάρχει πιθανότητα μόλυνσης μεταξύ ιστότοπων.

Η μόλυνση μεταξύ ιστότοπων συμβαίνει όταν ένας εισβολέας μπορεί να αποκτήσει πρόσβαση στον διακομιστή ιστού μέσω ενός ευάλωτου ιστότοπου και, στη συνέχεια, να εκμεταλλευτεί όλους τους άλλους ιστότοπους στον ίδιο διακομιστή ιστού.

Συνιστούμε τη χρήση ενός διαχειριζόμενου παρόχου φιλοξενίας WordPress. Οι διαχειριζόμενες εταιρείες φιλοξενίας WordPress παρέχουν επιλογές ασφάλειας πολλαπλών επιπέδων για ιστότοπους. Οι πλατφόρμες φιλοξενίας τους είναι εξαιρετικά ασφαλείς και προσφέρουν καθημερινή σάρωση κακόβουλου λογισμικού και αποτρέπει τυχόν εξωτερικές επιθέσεις. Σε κάθε περίπτωση, βρίσκουν κακόβουλο λογισμικό στον διακομιστή τους, αναλαμβάνουν την ευθύνη και το καταργούν αμέσως.

Προσφέρουν επίσης καθημερινά αντίγραφα ασφαλείας, δωρεάν πιστοποιητικό SSL, υποστήριξη ειδικών 24 × 7.

Συνιστούμε την εταιρεία φιλοξενίας WordPress που διαχειρίζεται το WPEngine. Προσφέρουν πολλαπλά επίπεδα ασφαλείας για την προστασία του ιστότοπού σας στο WordPress. Με το σχέδιό τους, θα λαμβάνετε καθημερινά αντίγραφα ασφαλείας, δωρεάν SSL, παγκόσμιο CDN και 24 × 7 ειδική υποστήριξη.

Επίσκεψη WPEngine. [Προστέθηκε κωδικός έκπτωσης σε αυτόν τον σύνδεσμο]

Επιστροφή στην κορυφή

2. Διατηρήστε την έκδοση WordPress ενημερωμένη

Η ενημέρωση του ιστότοπού σας στο WordPress είναι μια καλή πρακτική ασφάλειας για την ενίσχυση της ασφάλειας του WordPress. Αυτή η ενημέρωση περιλαμβάνει την έκδοση, τις προσθήκες και τα θέματα του WordPress.

Σε μια πρόσφατη μελέτη, Ο Securi ανέλυσε ότι το 56% των συνολικών ιστότοπων που έχουν μολυνθεί από το WordPress ήταν ακόμη ενημερωμένο. Εάν είστε ένας από αυτούς, είστε σε κίνδυνο.

Κάθε μέρα ανακαλύπτονται νέες ευπάθειες και δεν υπάρχει τρόπος να τις σταματήσουμε. Το ξεπερασμένο λογισμικό και προσθήκες μπορεί να περιέχει ευπάθειες που μπορεί να χρησιμοποιήσει ο χάκερ για να εκμεταλλευτεί έναν ιστότοπο.

Με κάθε ενημέρωση, οι προγραμματιστές περιλαμβάνουν νέες δυνατότητες, διόρθωση τρυπών ασφαλείας, διόρθωση σφαλμάτων κ.λπ. Όπως το λογισμικό WordPress, πρέπει επίσης να ενημερώσετε τα θέματα και τις προσθήκες του WordPress.

Το καλό είναι ότι το WordPress κυκλοφορεί αυτόματα τις ενημερώσεις του και ενημερώνει τους χρήστες του.

Η ενημέρωση της έκδοσης WordPress, των προσθηκών και των θεμάτων είναι πολύ εύκολη και μπορείτε να το κάνετε μέσω του πίνακα ελέγχου διαχειριστή WordPress.

Πώς να ενημερώσετε το WordPress, τα πρόσθετα και τα θέματα?

Πρώτα συνδεθείτε στον πίνακα ελέγχου του WordPress και μεταβείτε στο Ταμπλό> Ενημερώσεις. Εκεί μπορείτε να δείτε αν υπάρχει διαθέσιμη νέα ενημέρωση.

Σημείωση: Πριν ενημερώσετε την έκδοση WordPress, πάρτε ένα πλήρες αντίγραφο ασφαλείας των αρχείων και της βάσης δεδομένων σας. Σε περίπτωση σφάλματος, μπορείτε εύκολα να επαναφέρετε τον ιστότοπό σας στην προηγούμενη έκδοση. Μπορείτε εύκολα να δημιουργήσετε αντίγραφα ασφαλείας και να επαναφέρετε τον ιστότοπό σας χρησιμοποιώντας το BlogVault με ένα μόνο κλικ.

Από τη σελίδα, μπορείτε να δείτε “Διατίθεται μια ενημερωμένη έκδοση του WordPress”. Κάντε κλικ στο Ενημέρωση τώρα για να ενημερώσετε την έκδοση WordPress, αυτή η διαδικασία μπορεί να διαρκέσει μερικά δευτερόλεπτα.

Μόλις ολοκληρωθεί η ενημέρωση, κάντε κύλιση προς τα κάτω για να ενημερώσετε τις προσθήκες WordPress. Σας προτείνουμε να ενημερώσετε τα πρόσθετα ένα προς ένα. Αρχικά, επιλέξτε ένα πρόσθετο και κάντε κλικ στο Ενημέρωση προσθηκών.

Με παρόμοιο τρόπο, ενημερώστε τα θέματα σας παρακάτω.

Ενημερώστε το WordPress από τον Πίνακα ελέγχου

Ωστόσο, η διαδικασία ενημέρωσης είναι λίγο δύσκολη για ορισμένους χρήστες, ειδικά για εκείνους που δεν είναι τεχνολογικοί.

Ορισμένοι διαχειριζόμενοι πάροχοι φιλοξενίας WordPress όπως το SiteGround, το Kinsta, το FlyWheel παρέχουν αυτόματη ενημέρωση χαρακτηριστικό. Επομένως, εάν είστε σε απασχολημένο πρόγραμμα ή θέλετε να ενημερώσετε, αυτό θα μπορούσε να είναι χρήσιμο.

Διαβάστε επίσης, Τρόπος μη αυτόματης ενημέρωσης έκδοσης WordPress, προσθηκών και θεμάτων

Επιστροφή στην κορυφή

3. Μην χρησιμοποιείτε ποτέ κανένα μηδενικό / ραγισμένο θέμα και προσθήκες

Δεν υπάρχει αμφιβολία ότι τα premium plugins και τα θέματα περιλαμβάνουν περισσότερη λειτουργικότητα και εμφάνιση επαγγελματικό. Όμως, κανένα από τα premium προϊόντα δεν είναι δωρεάν. Έρχεται με μια τιμή και μετά την αγορά οποιωνδήποτε προϊόντων premium, οι χρήστες πρέπει να εισαγάγουν τον αριθμό-κλειδί προϊόντος για να ενεργοποιήσουν το προϊόν.

Ωστόσο, υπάρχουν πολλοί κακόβουλοι ιστότοποι που παρέχουν δωρεάν premium θέματα και προσθήκες. Αυτά τα σπασμένα θέματα και προσθήκες δεν απαιτούν σειριακό κλειδί για ενεργοποίηση και δεν ενημερώνονται ποτέ.

Να τι εννοώ:

Παράδειγμα Nulled WordPress Plugin

Αυτά τα μηδενικά θέματα και προσθήκες είναι πολύ επικίνδυνα για τον ιστότοπό σας. Οι εισβολείς εισάγουν ειδικά κακόβουλους κωδικούς σε αυτόν και δημιουργούν μια πίσω πόρτα στον ιστότοπό σας. Έτσι, μπορούν εύκολα να αποκτήσουν πρόσβαση στον ιστότοπό σας και να χαράξουν τον ιστότοπό σας, συμπεριλαμβανομένης της βάσης δεδομένων.

Επομένως, μην χρησιμοποιείτε ποτέ μηδενικά ή σπασμένα θέματα και προσθήκες WordPress.

Συνιστούμε ανεπιφύλακτα να κατεβάζετε μόνο δωρεάν θέματα ή προσθήκες μόνο από το WordPress.org.

Κατανοούμε ότι το δωρεάν θέμα ή η προσθήκη έχει πολύ περιορισμένες λειτουργίες. Ωστόσο, αυτά τα δωρεάν θέματα ή προσθήκες είναι ασφαλή στη χρήση και ενημερώνονται τακτικά.

Διαβάστε επίσης, 7 καλύτερα θέματα Premium Blogging για WordPress

Επιστροφή στην κορυφή

4. Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης

Ο κωδικός πρόσβασης είναι το κύριο κλειδί για την πρόσβαση στον ιστότοπό σας στο WordPress. Εάν είναι απλό και σύντομο, τότε οι χάκερ μπορούν εύκολα να σπάσουν τον κωδικό πρόσβασής σας. Πάνω από 80% συμβαίνουν παραβιάσεις που σχετίζονται με πειρατεία λόγω αδύναμου κωδικού πρόσβασης ή κλεμμένου κωδικού πρόσβασης.

Σε μια πρόσφατη μελέτη, Αποκαλύφθηκε το SplashData 100 χειρότεροι κωδικοί πρόσβασης του 2017.

Εδώ είναι μερικά από αυτά:

  1. 123456
  2. Κωδικός πρόσβασης
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. άσε με να μπω
  8. 1234567
  9. ποδόσφαιρο
  10. Σε αγαπώ
  11. διαχειριστής
  12. καλως ΗΡΘΑΤΕ
  13. μαϊμού (lol)

Εάν ο κωδικός πρόσβασής σας είναι απλός όπως παραπάνω, αλλάξτε τον αμέσως. Ένας καλός κωδικός πρόσβασης πρέπει να είναι τουλάχιστον 10 ψηφία και να περιέχει κεφαλαία, πεζά, αριθμούς και ειδικούς χαρακτήρες.

Μπορείτε να χρησιμοποιήσετε ένα διαδικτυακό εργαλείο δημιουργίας κωδικών πρόσβασης για να δημιουργήσετε αμέσως χιλιάδες ασφαλείς κωδικούς πρόσβασης.

Είναι επίσης απαραίτητο να αποθηκεύσετε τον κωδικό πρόσβασης στον υπολογιστή σας.

Για να το κάνετε πιο εύκολο, μπορείτε να χρησιμοποιήσετε λογισμικό διαχείρισης κωδικών πρόσβασης για τη διαχείριση όλου του κωδικού πρόσβασής σας όπως LastPass, Dashlane κ.λπ..

Επιβολή ισχυρού κωδικού πρόσβασης στους χρήστες

Από προεπιλογή, το WordPress δεν συνοδεύεται από μια λειτουργία που εμποδίζει τους χρήστες να εισάγουν αδύναμους κωδικούς πρόσβασης. Τις περισσότερες φορές οι χρήστες ορίζουν έναν αδύναμο κωδικό πρόσβασης για τον λογαριασμό τους και δύσκολα τον αλλάζουν.

Εάν εκτελείτε ένα blog WordPress πολλαπλών χρηστών, τότε θα πρέπει να αναγκάσετε τους χρήστες να χρησιμοποιούν έναν ισχυρό κωδικό πρόσβασης.

Για να διευκολύνετε αυτήν τη διαδικασία, μπορείτε να χρησιμοποιήσετε μια προσθήκη. Εγκατάσταση και ενεργοποίηση Δύναμη ισχυρών κωδικών πρόσβασης plugin και τελειώσατε. Αυτό θα αποτρέψει τους χρήστες και ακόμη και τον διαχειριστή από την εισαγωγή αδύναμου κωδικού πρόσβασης.

Επιστροφή στην κορυφή

5. Προσθέστε έλεγχο ταυτότητας δύο παραγόντων (2FA) 

Μια άλλη απλή μέθοδος για να σκληρύνει την ασφάλεια του WordPress είναι να προσθέσετε έλεγχο ταυτότητας δύο παραγόντων (2FA) στη σελίδα σύνδεσης του WordPress. Βασικά, ο έλεγχος ταυτότητας δύο παραγόντων ή η επαλήθευση δύο βημάτων είναι μια διαδικασία ασφαλείας που απαιτεί δύο μεθόδους για την επαλήθευση της ταυτότητάς σας.

Από προεπιλογή, συνήθως εισάγουμε το όνομα χρήστη και τον κωδικό πρόσβασης για να συνδεθούμε σε έναν ιστότοπο. Με την προσθήκη ελέγχου ταυτότητας δύο παραγόντων, θα χρειαστεί μια επιπλέον διαδικασία επαλήθευσης, όπως μια εφαρμογή smartphone για την έγκριση της διαδικασίας ελέγχου ταυτότητας.

Έτσι, εάν κάποιος γνωρίζει το όνομα χρήστη και τον κωδικό πρόσβασής σας, χρειάζονται το smartphone σας για να λάβουν τον κωδικό επαλήθευσης για σύνδεση στον ιστότοπό σας.

Προσθέτοντας έλεγχο ταυτότητας δύο παραγόντων, δεν διασφαλίζετε μόνο τη σελίδα σύνδεσης στο WordPress, αλλά και αποτρέπετε τις επιθέσεις brute-force.

Μπορείτε να ενεργοποιήσετε τον έλεγχο ταυτότητας δύο παραγόντων εύκολα χρησιμοποιώντας την προσθήκη ελέγχου ταυτότητας δύο παραγόντων Google.

Μόλις ενεργοποιηθεί, μεταβείτε στο Χρήστες> Προφίλ χρήστη και ενεργοποιήστε την προσθήκη.

Ρυθμίσεις Επαληθευτή Google

Στη συνέχεια, κατεβάστε την εφαρμογή ελέγχου ταυτότητας Google από το τηλέφωνό σας και σαρώστε το Γραμμικός κώδικας ή εισάγετε το Μυστικός κωδικός (δείτε το παραπάνω στιγμιότυπο οθόνης) από τον ιστότοπό σας για να προσθέσετε τον ιστότοπό σας.

Μόλις προστεθεί, αποσυνδεθείτε από τον ιστότοπό σας. Στη σελίδα σύνδεσης, θα δείτε ένα επιπλέον πεδίο όπου πρέπει να εισαγάγετε τον κωδικό επαλήθευσης από την εφαρμογή Google Authenticator για κινητά.

Πεδίο Επαληθευτής Google

Για λεπτομερείς οδηγίες, ανατρέξτε στον οδηγό σχετικά με τον τρόπο προσθήκης ελέγχου ταυτότητας δύο παραγόντων της Google στη σελίδα σύνδεσης του WordPress.

Επιστροφή στην κορυφή

6. Αλλαγή διεύθυνσης URL σελίδας σύνδεσης WordPress

Από προεπιλογή, οποιοσδήποτε μπορεί να έχει πρόσβαση στη σελίδα σύνδεσής σας προσθέτοντας απλώς “wp-admin” ή “wp-login.php” στο τέλος του ονόματος domain σας, όπως: “domain.com/wp-admin” ή “domain.com/ wp-login.php “.

Μάντεψε! Οι εισβολείς μπορούν να εκτελέσουν βίαια επίθεση χρησιμοποιώντας τη σελίδα σύνδεσής σας. Εάν χρησιμοποιείτε έναν πολύ απλό κωδικό πρόσβασης, τότε οι εισβολείς μπορούν εύκολα να σπάσουν τον κωδικό πρόσβασής σας και να εισέλθουν στον ιστότοπό σας.

Τι γίνεται όμως αν δεν ξέρουν πού να επιτεθούν; Ναι, το μαντέψατε σωστά.

Εάν αποκρύψετε ή μετονομάσετε τη διεύθυνση URL της σελίδας σύνδεσής σας, τότε οι εισβολείς δεν θα μπορούσαν να εκτελέσουν βίαια επίθεση.

Στο WordPress, μπορείτε εύκολα να αποκρύψετε ή να μετονομάσετε τη σελίδα σύνδεσής σας χρησιμοποιώντας μια προσθήκη. Από τη συλλογή προσθηκών WordPress, εγκαταστήστε και ενεργοποιήστε Απόκρυψη σύνδεσης WPS συνδέω.

Μόλις ενεργοποιηθεί, μεταβείτε στο Ρυθμίσεις> Γενικός και στο κάτω μέρος, μπορείτε να βρείτε το Επιλογή απόκρυψης σύνδεσης WP.

WPS Απόκρυψη ρυθμίσεων σύνδεσης

Απλώς αλλάξτε τη διεύθυνση URL σύνδεσης “Σύνδεση” σε κάτι άλλο που είναι δύσκολο να μαντέψετε και να κάνετε κλικ Αποθήκευσε τις αλλαγές.

Μόλις τελειώσετε, προσθέστε σελιδοδείκτη στη νέα σελίδα σύνδεσης και τελειώσετε.

Επιστροφή στην κορυφή

7. Περιορίστε τις προσπάθειες σύνδεσης

Από προεπιλογή, το WordPress δεν περιορίζει τον αριθμό των προσπαθειών σύνδεσης μέσω της φόρμας σύνδεσης. Αυτό σημαίνει ότι όλοι γνωρίζουν ότι η διεύθυνση URL σύνδεσης μπορεί να δοκιμάσει τη λειτουργία σύνδεσης όσες φορές θέλει. Με αυτόν τον τρόπο οι χάκερ εκτελούν επίθεση ωμής βίας για να σπάσουν το «όνομα χρήστη» και τον «κωδικό πρόσβασής σας» για να αποκτήσουν πρόσβαση στον ιστότοπό σας.

Περιορίζοντας τις προσπάθειες σύνδεσης, μπορείτε να σκληρύνετε την ασφάλεια του WordPress και να προστατεύσετε τη σελίδα σύνδεσής σας από βίαιες επιθέσεις.

Μπορείτε να ορίσετε έναν μέγιστο αριθμό λανθασμένων προσπαθειών σύνδεσης που μπορεί να κάνει ένας χρήστης από την ίδια διεύθυνση IP. Εάν ο χρήστης υπερβεί τα όρια, η IP του χρήστη θα αποκλειστεί για συγκεκριμένο χρονικό διάστημα.

Για να περιορίσετε τις προσπάθειες σύνδεσης στο WordPress, εγκαταστήστε Σύνδεση LockDown συνδέω. Μόλις ενεργοποιηθεί, μεταβείτε στο Ρυθμίσεις> Σύνδεση LockDown για να διαμορφώσετε την προσθήκη.

Ρυθμίσεις LockDown σύνδεσης

Για λεπτομερείς οδηγίες, ανατρέξτε στον οδηγό μας σχετικά με τον τρόπο περιορισμού των προσπαθειών σύνδεσης στο WordPress

Επιστροφή στην κορυφή

8. Δημιουργήστε αντίγραφα ασφαλείας του ιστότοπού σας τακτικά

Τα αντίγραφα ασφαλείας είναι σαν το Time Machine. Εάν το έχετε, ο ιστότοπός σας είναι ασφαλής.

Ωστόσο, τα αντίγραφα ασφαλείας ιστότοπων δεν προστατεύουν τον ιστότοπό σας από εισβολείς, αλλά σας βοηθά να ανακτήσετε τον ιστότοπό σας.

Για παράδειγμα, εάν κάτι πάει στραβά με τον ιστότοπό σας κατά τη διάρκεια της ενημέρωσης ή έχει παραβιαστεί ο ιστότοπός σας, πώς θα διορθώσετε ξανά τον ιστότοπό σας; Πιθανότατα χάνετε τον ιστότοπό σας.

Ωστόσο, εάν έχετε αντίγραφα ασφαλείας του ιστότοπού σας, μπορείτε εύκολα να επαναφέρετε τον ιστότοπό σας πριν από το σημείο παραβίασης ή κατάρρευσης.

Γι ‘αυτό σας συνιστούμε να χρησιμοποιήσετε μια αξιόπιστη προσθήκη αντιγράφων ασφαλείας WordPress. Ωστόσο, πολλές εταιρείες φιλοξενίας προσφέρουν δωρεάν δημιουργία αντιγράφων ασφαλείας ιστότοπων, αλλά μπορούν να εγγυηθούν τη διαθεσιμότητα του ιστότοπού σας εάν υπάρχει καταστροφική αποτυχία. Επομένως, πρέπει να αποθηκεύσετε τα αντίγραφα ασφαλείας σε μια απομακρυσμένη τοποθεσία όπως το Google Drive, το Amazon S3, το Dropbox κ.λπ..

Ευτυχώς, αυτό μπορεί να γίνει χρησιμοποιώντας το BlogVault ή το BackUpBuddy WordPress Backup Plugin. Και οι δύο προσφέρουν καθημερινά αντίγραφα ασφαλείας και επαναφορά με ένα κλικ. Μπορείτε επίσης να δημιουργήσετε έναν ιστότοπο σταδιοποίησης χωρίς επιπλέον κόστος.

Επιστροφή στην κορυφή

9. Χρησιμοποιήστε το WordPress Security Plugin

Το επόμενο πράγμα που χρειάζεστε για τη σκλήρυνσή σας Ασφάλεια WordPress είναι ένα πρόσθετο ασφαλείας. Υπάρχουν πολλές διαθέσιμες προσθήκες ασφαλείας WordPress που θα κλειδώσουν τον ιστότοπό σας από χάκερ και κακόβουλο λογισμικό.

Οι προσθήκες ασφαλείας του WordPress θα εντοπίσουν και θα εξαλείψουν κακόβουλο λογισμικό εάν υπάρχει στον ιστότοπό σας. Εκτός αυτού, παρακολουθούν τη δραστηριότητα των χρηστών σε πραγματικό χρόνο, σας ενημερώνουν εάν έχει αλλάξει κάτι, εάν μια προσθήκη περιέχει κακόβουλο λογισμικό, αποκλείει την κίνηση ανεπιθύμητων μηνυμάτων και πολλά άλλα.

Συνιστούμε το Securi WordPress Security Plugin. Το Securi Security προσφέρει έναν διαφορετικό τύπο λειτουργιών ασφαλείας, όπως έλεγχο δραστηριοτήτων ασφαλείας, παρακολούθηση ιστότοπου, τείχος προστασίας ιστότοπου,  και πολλά άλλα.

Σεκούρι

Το καλύτερο πράγμα για το Securi είναι ότι εάν ο ιστότοπός σας παραβιαστεί ή μαύρη λίστα από τη Google κατά τη χρήση της υπηρεσίας τους, εγγυώνται ότι θα διορθώσουν τον ιστότοπό σας.

Οι περισσότεροι από τους ειδικούς του WordPress χρεώνουν περισσότερα από 300 $ για να διορθώσουν έναν παραβιασμένο ιστότοπο, ενώ θα λάβετε όλες τις υπηρεσίες ασφαλείας μόνο 199 $ ανά έτος. Είναι μια καλή επένδυση για την ενίσχυση της ασφάλειας του WordPress.

Επιστροφή στην κορυφή

10. Αυτόματη αποσύνδεση αδρανείς χρήστες

Εάν ένας χρήστης παραμείνει αδρανής ή ανενεργός στον ιστότοπό σας για πολύ καιρό, αυτό μπορεί να προκαλέσει βίαια επίθεση.

Όταν ένας χρήστης παραμένει ανενεργός για πολύ καιρό, οι χάκερ μπορούν να χρησιμοποιήσουν τη μέθοδο παραβίασης cookie ή περιόδου σύνδεσης για να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στον ιστότοπό σας. Αυτός είναι ο λόγος για τον οποίο οι περισσότεροι ιστότοποι που σχετίζονται με την εκπαίδευση και την οικονομία, όπως οι ιστότοποι τραπεζών και πύλης πληρωμών, χρησιμοποιούν τη λειτουργία χρονικού ορίου περιόδου λειτουργίας χρήστη. Έτσι, όταν ένας χρήστης πλοηγείται μακριά από τη σελίδα και δεν αλληλεπιδρά μετά από ένα χρονικό διάστημα, ο ιστότοπος αποσυνδέει αυτόματα τον ανενεργό χρήστη.

Η ίδια λειτουργία που μπορείτε να προσθέσετε στον ιστότοπό σας WordPress για τη βελτίωση της ασφάλειας του WordPress. Η αυτόματη προσθήκη απενεργοποιημένων χρηστών στο WordPress είναι εξαιρετικά απλή. Το μόνο που χρειάζεστε για να εγκαταστήσετε μια προσθήκη.

Πρώτα, κατεβάστε και εγκαταστήστε το Ανενεργή αποσύνδεση Πρόσθετο WordPress. Στη συνέχεια, ενεργοποιήστε το και μεταβείτε στο Ρυθμίσεις> Ανενεργή αποσύνδεση για να διαμορφώσετε την προσθήκη.

Ανενεργές ρυθμίσεις προσθηκών αποσύνδεσης

Από τις ρυθμίσεις, μπορείτε να αλλάξετε το χρονικό όριο αδράνειας. Έτσι, μετά την πάροδο του χρόνου, όλοι οι χρήστες στον ιστότοπό σας θα αποσυνδεθούν αυτόματα.

Μπορείτε επίσης να αλλάξετε το μήνυμα αδράνειας χρονικού ορίου και να τροποποιήσετε άλλες ρυθμίσεις εάν χρειάζεται.

Μόλις τελειώσετε, κάντε κλικ στο Αποθήκευσε τις αλλαγές για να αποθηκεύσετε τις ρυθμίσεις.

Για λεπτομερείς οδηγίες, ανατρέξτε στον οδηγό μας σχετικά με τον τρόπο αυτόματης αποσύνδεσης αδρανών χρηστών στο WordPress

Επιστροφή στην κορυφή

11. Προσθέστε ερωτήσεις ασφαλείας στη σελίδα σύνδεσης του WordPress

Προσθέτοντας ερωτήσεις ασφαλείας στη σελίδα σύνδεσης στο WordPress, όχι μόνο θα προστατεύσετε τη σελίδα σύνδεσης στο WordPress, αλλά θα ενισχύσετε και την ασφάλεια του WordPress.

Η ερώτηση ασφαλείας προσθέτει ένα επιπλέον επίπεδο ασφάλειας για τον περαιτέρω έλεγχο ταυτότητας της ταυτότητάς σας κατά τη σύνδεση. Αυτό είναι πολύ χρήσιμο εάν εκτελείτε ένα blog WordPress πολλαπλών συγγραφέων.

Εάν κάποιος από τους χρήστες ή τον κωδικό πρόσβασής σας έχει κλαπεί, τότε η ερώτηση ασφαλείας μπορεί να σώσει τη ζωή.

Επειδή το όνομα χρήστη και ο κωδικός πρόσβασης μπορούν εύκολα να παραβιαστούν, αλλά η επιλογή της σωστής ερώτησης και απάντησης είναι σχεδόν αδύνατη. Με αυτόν τον τρόπο μπορείτε να αποθηκεύσετε τη σελίδα σύνδεσης στο WordPress από εισβολείς και επιθέσεις με βίαιες δυνάμεις.

Για να προσθέσετε την ερώτηση ασφαλείας στη σελίδα σύνδεσης του WordPress, εγκαταστήστε το Ερώτηση ασφαλείας WP συνδέω.

Ρυθμίσεις ερωτήσεων ασφαλείας WP

Μόλις ενεργοποιηθεί, μεταβείτε στο Ερωτήσεις ασφαλείας WP > Ρυθμίσεις προσθηκών για να διαμορφώσετε την προσθήκη.

Από προεπιλογή, η προσθήκη έχει προσθέσει πολλές κοινές ερωτήσεις. Ωστόσο, μπορείτε να προσθέσετε ή να καταργήσετε τυχόν ερωτήσεις ασφαλείας από τη λίστα.

Στο κάτω μέρος, μπορείτε να ενεργοποιήσετε την ερώτηση ασφαλείας στη σελίδα σύνδεσης, τη σελίδα εγγραφής και τον κωδικό πρόσβασης που ξεχάσατε. Αφού διαμορφωθεί η προσθήκη, μην ξεχάσετε να κάνετε κλικ Αποθήκευση ρύθμισης.

Σημείωση: Μόνο οι νέοι χρήστες μπορούν να ορίσουν την ερώτηση και απάντηση ασφαλείας κατά την εγγραφή. Έτσι, οι εγγεγραμμένοι χρήστες πρέπει να ορίσουν χειροκίνητα τη δική τους ερώτηση και απάντηση ασφαλείας. Μπορείτε επίσης να ορίσετε μια ερώτηση και απάντηση ασφαλείας για αυτούς. Αυτό μπορεί να γίνει από το Προφίλ χρήστη σελίδα.

Προσθέστε πολλές ερωτήσεις ασφαλείας WP

Για λεπτομερείς οδηγίες, ανατρέξτε στον οδηγό μας σχετικά με τον τρόπο προσθήκης ερωτήσεων ασφαλείας στη σελίδα σύνδεσης του WordPress

Επιστροφή στην κορυφή

12. Αλλάξτε το προεπιλεγμένο όνομα χρήστη “Διαχειριστής”

Μετά την εγκατάσταση του WordPress, μπορείτε να αλλάξετε τον κωδικό πρόσβασής σας όσες φορές θέλετε. Αλλά μπορείτε να αλλάξετε το όνομα χρήστη σας μόλις οριστεί; Δεν έχει δικαίωμα?

Από προεπιλογή, το WordPress δεν επιτρέπει στους χρήστες να αλλάζουν όνομα χρήστη. Αλλά γιατί πρέπει να το αλλάξετε?

Εάν χρησιμοποιείτε ένα πολύ κοινό όνομα χρήστη όπως “διαχειριστής”, τότε οι εισβολείς μπορούν να εκτελέσουν brute force attach με τη βοήθεια του ονόματος χρήστη σας.

Αλλά μην πανικοβληθείτε. Υπάρχουν διάφοροι τρόποι με τους οποίους μπορείτε να αλλάξετε το WordPress σας εύκολα.

Ωστόσο, για να διευκολύνουμε τη διαδικασία, θα χρησιμοποιήσουμε ένα πρόσθετο. Πρώτα, κατεβάστε και εγκαταστήστε το αλλαγής ονόματος χρήστη συνδέω. Μετά πηγαίνετε στο Χρήστες> Το προφίλ σου και βρείτε την επιλογή ονόματος χρήστη. Εκεί θα βρείτε την επιλογή “Αλλαγή ονόματος χρήστη”.

Αλλαγή ονόματος χρήστη WordPress

Κάντε κλικ στο Αλλαγή ονόματος χρήστη και εισαγάγετε το νέο σας όνομα χρήστη. Μόλις τελειώσετε, κάντε κλικ στο Ανανέωση προφίλ.

Εάν θέλετε να αλλάξετε το όνομα χρήστη σας με μη αυτόματο τρόπο (χωρίς προσθήκη), ανατρέξτε στο άρθρο 3 διαφορετικοί τρόποι αλλαγής του ονόματος χρήστη WordPress.

Επιστροφή στην κορυφή

13. Ορίστε τους χρήστες στον χαμηλότερο δυνατό ρόλο

Εάν εκτελείτε έναν ιστότοπο WordPress πολλαπλών συγγραφέων, τότε πρέπει να είστε προσεκτικοί πριν αναθέσετε έναν ρόλο σε έναν χρήστη.

Πολλές φορές οι κάτοχοι ιστότοπων WordPress εκχωρούν υψηλότερο ρόλο χρήστη σε νέους χρήστες, με αυτόν τον τρόπο δίνετε όλα τα προνόμια στους χρήστες και, ως εκ τούτου, οποιοσδήποτε χρήστης μπορεί να εκτελέσει οποιαδήποτε εργασία ό, τι θέλει.

Για παράδειγμα, εάν δεν γνωρίζετε τι μπορεί να εκτελέσει ένας ρόλος χρήστη του Editor και εκχωρήσετε τον ρόλο σε έναν κανονικό χρήστη, τότε ο χρήστης μπορεί να διαγράψει όλες τις αναρτήσεις σας, να επεξεργαστεί συνδέσμους, να δημιουργήσει ανεπιθύμητες αναρτήσεις, να προσθέσει κακόβουλους συνδέσμους στο ιστολόγιό σας δημοσιεύσεις. Με αυτόν τον τρόπο ένας χρήστης μπορεί εύκολα να καταστρέψει τον ιστότοπό σας.

Από προεπιλογή, το WordPress διαθέτει 5 διαφορετικούς ρόλους χρήστη.

  • Διαχειριστής
  • Συντάκτης
  • Συντάκτης
  • Συνεισφέρων
  • Συνδρομητής
  1. Διαχειριστής: Οι διαχειριστές είναι ο πιο ισχυρός ρόλος χρήστη σε έναν ιστότοπο WordPress. Μπορούν να δημιουργήσουν, να επεξεργαστούν και να διαγράψουν έναν λογαριασμό χρήστη, να εκτελέσουν οποιαδήποτε εργασία σε ολόκληρο τον πίνακα διαχείρισης του WordPress, να έχουν έλεγχο σε όλη την περιοχή περιεχομένου και επίσης να ελέγχουν τα σχόλια. 
  2. Συντάκτης: Οι χρήστες με το ρόλο του Editor έχουν τον πλήρη έλεγχο σε όλο το περιεχόμενο. Μπορούν να δημιουργήσουν, να επεξεργαστούν και να διαγράψουν τυχόν αναρτήσεις, συμπεριλαμβανομένων των δημοσιεύσεων που έχουν δημιουργηθεί από άλλους χρήστες. Μπορούν επίσης να εποπτεύουν σχόλια και να τροποποιούν συνδέσμους.
  3. Συντάκτης: Οι συγγραφείς μπορούν να δημοσιεύουν, να επεξεργάζονται ή να διαγράφουν μόνο τις δικές τους αναρτήσεις. Μπορούν να ανεβάσουν αρχεία πολυμέσων για χρήση στις αναρτήσεις τους. Μπορούν να δουν τα σχόλια αλλά δεν μπορούν να εγκρίνουν ή να διαγράψουν σχόλια.
  4. Συνεισφέρων: Οι χρήστες με το ρόλο του Συντελεστή μπορούν μόνο να γράψουν, να επεξεργαστούν ή να διαγράψουν τη δική τους μη δημοσιευμένη ανάρτηση, αλλά δεν μπορούν να δημοσιεύσουν τη δική τους ανάρτηση.
  5. Συνδρομητής: Οι συνδρομητές μπορούν να επεξεργαστούν μόνο τα στοιχεία του λογαριασμού τους, συμπεριλαμβανομένου του κωδικού πρόσβασης, αλλά δεν έχουν πρόσβαση στο περιεχόμενο ή τις ρυθμίσεις ιστότοπου. Έχουν τις χαμηλότερες δυνατότητες σε έναν ιστότοπο WordPress.

Με την κατανόηση των ρόλων χρήστη του WordPress, μπορείτε εύκολα να τους διαχειριστείτε χωρίς κανένα κίνδυνο.

Σας προτείνουμε επίσης να ορίσετε τον νέο προεπιλεγμένο ρόλο χρήστη ως συνδρομητή. Μεταβείτε στις Ρυθμίσεις> Γενικές ρυθμίσεις και από το σετ τους Προεπιλεγμένος ρόλος νέου χρήστη Συνδρομητής και κάντε κλικ στο Αποθήκευσε τις αλλαγές.

Προεπιλεγμένος ρόλος νέου χρήστη WordPress

Για περισσότερες λεπτομέρειες, διαβάστε τον Οδηγό για αρχάριους για τους ρόλους και τις δυνατότητες χρηστών του WordPress

Επιστροφή στην κορυφή

14. Παρακολούθηση αλλαγών αρχείων και δραστηριοτήτων χρήστη

Ένας άλλος έξυπνος τρόπος για να σκληρύνει την ασφάλεια του WordPress είναι η παρακολούθηση των δραστηριοτήτων των χρηστών και των αλλαγών αρχείων. 

Εάν χρησιμοποιείτε έναν ιστότοπο WordPress πολλαπλών χρηστών, τότε θα πρέπει να παρακολουθείτε τη συμπεριφορά των χρηστών για να κατανοήσετε καλύτερα ποιες είναι οι δραστηριότητές τους σε ολόκληρο τον ιστότοπό σας στο WordPress.

Ποιος ξέρει, εάν ένας χρήστης κάνει κάποια ύποπτη εργασία ή προσπαθεί να χαράξει τον ιστότοπό σας; Πώς μπορείτε να το ξέρετε αυτό?

Ο μόνος τρόπος παρακολούθησης των δραστηριοτήτων των χρηστών και των αλλαγών αρχείων είναι η χρήση μιας προσθήκης WordPress δραστηριότητας χρήστη. Χρησιμοποιώντας μια προσθήκη δραστηριότητας χρήστη στο WordPress, μπορείτε να:

  • δείτε ποιος είναι συνδεδεμένος και τι κάνουν σε πραγματικό χρόνο
  • όταν ένας χρήστης συνδέεται και αποσυνδέεται
  • πόσες φορές ένας χρήστης προσπάθησε να συνδεθεί αλλά απέτυχε

Εκτός αυτού, εάν ένας συντάκτης έκανε οποιεσδήποτε αλλαγές σε μια ανάρτηση ή σελίδα χωρίς την άδειά σας, τότε μπορείτε εύκολα να την βρείτε και να την επαναφέρετε. Το καλό πράγμα για μια προσθήκη δραστηριότητας χρήστη είναι ότι σας στέλνει αμέσως μια ειδοποίηση μέσω email εάν κάτι πάει στραβά.

Το αρχείο καταγραφής ελέγχου ασφάλειας WP είναι το καλύτερο πρόσθετο για την παρακολούθηση των δραστηριοτήτων των χρηστών και των αλλαγών αρχείων σε πραγματικό χρόνο. Ακολουθεί ένα στιγμιότυπο οθόνης παρακάτω πώς λειτουργεί η προσθήκη.

Πρόγραμμα προβολής καταγραφής ελέγχου WordPress

Διαβάστε επίσης, 5 καλύτερες προσθήκες για την παρακολούθηση της δραστηριότητας του χρήστη στο WordPress (εναλλακτικές προσθήκες)

Επιστροφή στην κορυφή

15. Εφαρμόστε SSL και HTTPS

Ασφάλεια WordPress δεν μπορεί να βελτιωθεί χωρίς πιστοποιητικό SSL. Ένα SSL (Secure Socket Layer) είναι η ραχοκοκαλιά της ασφάλειας του ιστότοπου.

Το SSL είναι μια τυπική τεχνολογία ασφαλείας που δημιουργεί κρυπτογραφημένους συνδέσμους μεταξύ ενός διακομιστή και ενός προγράμματος περιήγησης ιστού σε μια διαδικτυακή επικοινωνία, όπως μια ηλεκτρονική συναλλαγή. Έτσι, όλα τα ευαίσθητα δεδομένα όπως κωδικοί πρόσβασης, στοιχεία πιστωτικής κάρτας κ.λπ. περνούν από κρυπτογραφημένους συνδέσμους.

Εάν διευθύνετε μια διαδικτυακή επιχείρηση ή ένα ιστολόγιο όπου αποδέχεστε την πληρωμή, τότε ένα πιστοποιητικό SSL είναι απαραίτητο. Θα διατηρήσει τα δεδομένα των πελατών σας ασφαλή από χάκερ. Για διαδικτυακά καταστήματα ή ιστότοπους WooCommerce, το κόστος πιστοποιητικού SSL κοστίζει περίπου $ 20- $ 170.

Σε περίπτωση που εκτελείτε ένα ιστολόγιο WordPress, τότε δεν χρειάζεστε πιστοποιητικό SSL επί πληρωμή. Εάν χρησιμοποιείτε τη φιλοξενία cPanel όπως το SiteGround, το WPEngine, τότε μπορείτε να εγκαταστήσετε το πιστοποιητικό SSL δωρεάν με ένα μόνο κλικ.

Πρώτα, συνδεθείτε στον λογαριασμό σας στο cPanel που φιλοξενεί και μεταβείτε στο Ασφάλεια.  (Ακολουθεί ένα στιγμιότυπο οθόνης παρακάτω από το SiteGround hosting cPanel.)

SG SSL

μεταβείτε στο Διαχειριστής SSL / TLS και κάντε κλικ στο Εγκατάσταση πιστοποιητικού SSL. Από τη σελίδα, επιλέξτε τον τομέα σας και κάντε κλικ στο Αυτόματη συμπλήρωση ανά τομέα. Η διαδικασία είναι αυτόματη, επομένως δεν χρειάζεται να επεξεργαστείτε ή να τροποποιήσετε τίποτα.

Πιστοποιητικό SSL εγκατάστασης στο έδαφος

Τώρα κάντε κλικ στο Εγκατάσταση πιστοποιητικού για να ολοκληρώσετε τη διαδικασία εγκατάστασης.

Μόλις τελειώσετε, συνδεθείτε στον πίνακα ελέγχου διαχειριστή WordPress για να τροποποιήσετε τη διεύθυνση URL του ιστότοπού σας. Παω σε Ρυθμίσεις> Γενικός και προσθέστε αντικαταστήστε το HTTP με HTTPS πριν από τη διεύθυνση URL του ιστότοπού σας. Ακολουθεί ένα στιγμιότυπο οθόνης παρακάτω.

WP HTTPS

Μόλις ενημερωθεί, κάντε κλικ στο Αποθήκευσε τις αλλαγές.

Τρόπος ανακατεύθυνσης HTTP σε HTTPS στο WordPress

Εάν έχετε εγκαταστήσει σωστά το πιστοποιητικό SSL, τότε ο ιστότοπός σας είναι προσβάσιμος με HTTPS.

Αλλά αν κάποιος πληκτρολογήσει μόνο το όνομα του ιστότοπού σας (δηλ. Domain.com) στη γραμμή διευθύνσεων του προγράμματος περιήγησης, τότε ο ιστότοπος ενδέχεται να εμφανίζει το μήνυμα “Η σύνδεση δεν είναι ασφαλής”. Αυτό σημαίνει ότι ο ιστότοπός σας είναι προσβάσιμος με HTTP.

Για να επιλύσετε το πρόβλημα, πρέπει να επιβάλλετε HTTPS στο WordPress, οπότε ο ιστότοπός σας θα φορτώνεται μόνο με HTTPS. Μπορείτε εύκολα να αναγκάσετε HTTPS στο WordPress.

Πρώτα συνδεθείτε στο cPanel φιλοξενίας σας και μεταβείτε στον ριζικό φάκελο του ιστότοπού σας και βρείτε .htaccess αρχείο. Επεξεργαστείτε το αρχείο .htaccess και στο τέλος προσθέστε τον ακόλουθο κώδικα.

Ενεργοποίηση επανεγγραφής
Έκπτωση στο RewriteCond% {HTTPS}
RewriteRule ^ (. *) $ Https: //% {HTTP_HOST}% {REQUEST_URI} [L, R = 301]

Αποθηκεύστε το αρχείο και τελειώσατε. Τώρα ο ιστότοπός σας είναι προσβάσιμος μόνο με HTTPS.

Εάν ο πάροχος φιλοξενίας ιστού σας δεν παρέχει δωρεάν πιστοποιητικό SSL, τότε μπορείτε να εγκαταστήσετε ένα πιστοποιητικό SSL μη αυτόματα. Ακολουθεί ο οδηγός για τον τρόπο εγκατάστασης δωρεάν πιστοποιητικού SSL.

Επιστροφή στην κορυφή

16. Διαγραφή αχρησιμοποίητων θεμάτων και προσθηκών

Όταν πρόκειται για την ενίσχυση της ασφάλειας του WordPress, δεν πρέπει να αγνοούμε κανένα μικρό βήμα που μπορεί να κάνει τον ιστότοπό σας ευάλωτο. 

Τις περισσότερες φορές οι κάτοχοι ιστότοπων WordPress εγκαθιστούν διαφορετικά θέματα και προσθήκες για να ελέγξουν ποιο θέμα φαίνεται καλύτερα στον ιστότοπό τους ή ποιο πρόσθετο έχει περισσότερη λειτουργικότητα. Εντάξει. Ωστόσο, η διατήρηση αυτών των αχρησιμοποίητων θεμάτων και προσθηκών καθιστά τον ιστότοπό σας ευάλωτο.

Επειδή η διατήρηση πολλών θεμάτων και προσθηκών WordPress πρέπει να ενημερώνεται τακτικά όπως αυτή που χρησιμοποιείτε. Εάν δεν τα ενημερώσετε, γίνονται ευάλωτα και οι εισβολείς μπορούν εύκολα να εκμεταλλευτούν τον ιστότοπό σας μέσω των ευπαθών θεμάτων και προσθηκών. Εκτός αυτού, η διατήρηση τόσων θεμάτων και προσθηκών καθιστά τον ιστότοπο WordPress πιο αργό.

Επομένως, πρέπει πάντα να διαγράφετε αχρησιμοποίητα θέματα και προσθήκες για τη βελτίωση της απόδοσης του ιστότοπου και της ασφάλειας του WordPress.

Για να διαγράψετε μια αχρησιμοποίητη προσθήκη, μεταβείτε στο Πρόσθετα> Εγκατεστημένα πρόσθετα. Στη συνέχεια, βρείτε το πρόσθετο που δεν το χρειάζεστε πια. Αρχικά, απενεργοποιήστε την προσθήκη και κάντε κλικ στο Διαγράφω.

Διαγραφή προσθήκης WordPress

Ομοίως, για να διαγράψετε ένα θέμα, μεταβείτε στο Εμφάνιση> Θέματα και κάντε κλικ στο Λεπτομέρειες θέματος. Στη συνέχεια, στο κάτω μέρος της δεξιάς πλευράς, κάντε κλικ στο Διαγράφω.

Διαγραφή θέματος

Επιστροφή στην κορυφή

17. Απενεργοποιήστε την επεξεργασία αρχείων στον Πίνακα ελέγχου του WordPress

Από προεπιλογή, το WordPress επιτρέπει στους χρήστες να επεξεργάζονται το θέμα και το αρχείο προσθηκών απευθείας από τον πίνακα ελέγχου του WordPress. Αυτή είναι μια χρήσιμη επιλογή για χρήστες που συχνά χρειάζεται να επεξεργάζονται το θέμα και το αρχείο προσθηκών.

Πρόγραμμα επεξεργασίας θεμάτων WordPress

Ωστόσο, η διατήρηση αυτής της λειτουργίας μπορεί να είναι ένα σοβαρό ζήτημα ασφάλειας. Εάν οι χάκερ έχουν πρόσβαση στον ιστότοπό σας, συνήθως αφήνουν το αποτύπωμά τους εισάγοντας κακόβουλο κώδικα σε αρχεία ιστότοπου. Εάν η λειτουργία επεξεργασίας αρχείων WordPress είναι ενεργοποιημένη, τότε οι εισβολείς μπορούν εύκολα να εισάγουν κακόβουλο κώδικα στο θέμα ή στο αρχείο προσθηκών που θα είναι άγνωστο σε εσάς.

Για να βελτιώσετε την ασφάλεια του WordPress, πρέπει να απενεργοποιήσετε τη λειτουργία επεξεργασίας αρχείων από τον πίνακα ελέγχου του WordPress. Η απενεργοποίηση του θέματος WordPress και του προγράμματος επεξεργασίας προσθηκών στο WordPress είναι πολύ εύκολη διαδικασία.

Αρχικά, πρέπει να συνδεθείτε στον λογαριασμό σας φιλοξενίας cPanel και να μεταβείτε στον ριζικό φάκελο του ιστότοπού σας WordPress. Από εκεί, βρείτε το wp-config.php. Κάντε κλικ στην επεξεργασία και προσθέστε τον ακόλουθο κώδικα στο τέλος.

καθορισμός (‘DISALLOW_FILE_EDIT’, true);

Τώρα αποθηκεύστε το αρχείο και ανανεώστε τον πίνακα ελέγχου του WordPress. Θα δείτε ότι η επιλογή επεξεργασίας θέματος και προσθηκών έχει φύγει. Με αυτό το μικρό κόλπο, μπορείτε εύκολα να βελτιώσετε την ασφάλεια του WordPress.

Διαβάστε τον αναλυτικό οδηγό σχετικά με τον τρόπο απενεργοποίησης του προγράμματος επεξεργασίας θέματος και προσθηκών στο WordPress

Επιστροφή στην κορυφή

18. Προστασία με κωδικό πρόσβασης Σελίδα σύνδεσης WordPress

Ένας άλλος πολύ καλός τρόπος για να βελτιώσετε την ασφάλεια του WordPress είναι να προστατεύσετε με κωδικό πρόσβασης τη σελίδα σύνδεσης του WordPress.

Με τον κωδικό πρόσβασης που προστατεύει τη σελίδα σύνδεσής σας στο WordPress (/wp-login.php) ή τον διαχειριστή (https://cdn.wpmyweb.com/wp-admin), μπορείτε να αποτρέψετε την πρόσβαση των εισβολέων στη σελίδα σύνδεσής σας, επειδή απαιτείται κωδικός πρόσβασης για την πρόσβαση στο σελίδα σύνδεσης. Απαιτείται έλεγχος ταυτότητας αναδυόμενο πλαίσιοΜόλις ενεργοποιηθεί αυτή η δυνατότητα, ο ιστότοπός σας θα ζητήσει από όλους τους χρήστες να έχουν πρόσβαση στη σελίδα σύνδεσης με ένα όνομα χρήστη και ένα παράθυρο κωδικού πρόσβασης. Με λίγα λόγια, όλοι οι χρήστες πρέπει να συνδεθούν δύο φορές με διαφορετικό όνομα χρήστη και κωδικό πρόσβασης πριν από την πρόσβαση στον πίνακα ελέγχου διαχειριστή WordPress.

Με αυτόν τον τρόπο, μπορείτε να ενισχύσετε την ασφάλεια του WordPress και να προσθέσετε ένα επιπλέον επίπεδο ασφάλειας στη σελίδα σύνδεσης.

Διαβάστε τον αναλυτικό οδηγό μας για το πώς να προστατεύσετε με κωδικό πρόσβασης τη σελίδα σύνδεσης του WordPress.

Επιστροφή στην κορυφή

19. Απενεργοποιήστε την Αναζήτηση καταλόγου στο WordPress

Από προεπιλογή, οι περισσότεροι διακομιστές ιστού όπως το Apache, το NGINX και το LiteSpeed ​​επιτρέπουν σε οποιονδήποτε χρήστη να περιηγηθεί στους καταλόγους που περιέχουν αρχεία και φακέλους WordPress. Μπορούν επίσης να δουν ποιο θέμα και πρόσθετα χρησιμοποιείτε και γνωρίζουν περισσότερα για τη δομή του ιστότοπού σας.

Ευρετήριο σελίδας ενός ιστότοπου WordPress

Αυτές οι πληροφορίες μπορούν να οδηγήσουν τον ιστότοπό σας στο WordPress ευάλωτο και να βοηθήσουν έναν χάκερ όταν προσπαθεί να θέσει σε κίνδυνο τον ιστότοπό σας.

Για να βελτιώσετε την ασφάλεια του WordPress, σας συνιστούμε να απενεργοποιήσετε αυτήν την επιλογή. Για να απενεργοποιήσετε την περιήγηση καταλόγου στο WordPress, απλώς προσθέστε την ακόλουθη γραμμή στο δικό σας .htacces αρχείο.

Επιλογές Όλα -Indexes

Για λεπτομερείς οδηγίες, διαβάστε τον οδηγό μας σχετικά με τον τρόπο απενεργοποίησης της περιήγησης καταλόγου στο WordPress

Επιστροφή στην κορυφή

20. Καταργήστε την έκδοση WordPress

Από προεπιλογή, το WordPress προσθέτει αυτόματα μετα-ετικέτες σε διαφορετικές τοποθεσίες που εμφανίζουν την έκδοση WordPress που χρησιμοποιείτε.

Εδώ είναι το πράγμα: εάν οι χάκερ γνωρίζουν ότι χρησιμοποιείτε μια παλιά έκδοση του WordPress, μπορούν να εκμεταλλευτούν τον ιστότοπό σας μέσω των γνωστών τρωτών σημείων που υπάρχουν στην παλαιότερη έκδοση του WordPress.

Επομένως, είναι καλύτερα να καταργήσετε την έκδοση WordPress για να βελτιώσετε την ασφάλεια του WordPress. Υπάρχουν πολλά μέρη όπου το WordPress προσθέτει τις μετα-ετικέτες όπως, στον πίνακα εργαλείων του WordPress, στην κεφαλίδα, στο στυλ και τη javascript και στη ροή RSS.

Κατάργηση της έκδοσης WordPress από την κεφαλίδα και το RSS

Για να καταργήσετε την έκδοση από την κεφαλίδα και το RSS, προσθέστε την ακόλουθη γραμμή στο τέλος του functions.php αρχείο.

συνάρτηση remove_wordpress_version () {
ΕΠΙΣΤΡΟΦΗ ”;
}
add_filter (‘the_generator’, ‘remove_wordpress_version’);

Κατάργηση αριθμού έκδοσης WordPress από σενάρια και CSS

Για να αφαιρέσετε την έκδοση WordPress από το CSS και τα σενάρια, προσθέστε την ακόλουθη γραμμή στο τέλος του functions.php αρχείο.

// Διαλέξτε τον αριθμό έκδοσης από σενάρια και στυλ
συνάρτηση remove_version_from_style_js ($ src) {
εάν (strpos ($ src, ‘ver =’. get_bloginfo (‘version’)))
$ src = remove_query_arg (‘ver’, $ src);
επιστροφή $ src;
}
add_filter (‘style_loader_src’, ‘remove_version_from_style_js’);
add_filter (‘script_loader_src’, ‘remove_version_from_style_js’);

Μόλις τελειώσετε, αποθηκεύστε το αρχείο functions.php.

Αυτό είναι. Με αυτό το απλό τέχνασμα, μπορείτε σίγουρα να βελτιώσετε την ασφάλεια του WordPress. Ωστόσο, σας συνιστούμε πάντα να ενημερώνετε τακτικά την έκδοση WordPress καθώς και το θέμα και τις προσθήκες.

Για λεπτομερείς οδηγίες, διαβάστε τον οδηγό μας σχετικά με τον τρόπο απόκρυψης ή κατάργησης της έκδοσης WordPress

Επιστροφή στην κορυφή

21. Αλλαγή προθέματος πίνακα βάσης δεδομένων WordPress

Κατά την εγκατάσταση του WordPress, ρωτά αν θέλετε να χρησιμοποιήσετε διαφορετικό πρόθεμα βάσης δεδομένων. Συνήθως παραλείπουμε αυτό το βήμα, έτσι το WordPress χρησιμοποιεί αυτόματα (ΠΕ_) ως προεπιλεγμένο πρόθεμα πίνακα βάσης δεδομένων. Σας προτείνουμε να το αλλάξετε κάτι δυνατό και μοναδικό.

Η χρήση του προεπιλεγμένου προθέματος (WP_) καθιστά τη βάση δεδομένων σας WordPress ευαίσθητη σε επιθέσεις με ένεση SQL. Τέτοιες επιθέσεις μπορούν να προληφθούν αλλάζοντας το πρόθεμα της βάσης δεδομένων (WP_) σε κάτι μοναδικό.

Μετά την εγκατάσταση του WordPress, μπορείτε εύκολα να αλλάξετε το προεπιλεγμένο πρόθεμα πίνακα βάσης δεδομένων χρησιμοποιώντας πρόσθετα ή χειροκίνητα. Πρόσθετα όπως το BackupBuddy, το πρόθεμα Brozzme DB σάς επιτρέπει να αλλάξετε το πρόθεμα πίνακα με ένα μόνο κλικ.

Για χάρη του σεμιναρίου, δείχνω πώς να το αλλάξω χρησιμοποιώντας την προσθήκη Brozzme DB Prefix.

Σημείωση: Πριν κάνετε οτιδήποτε με τη βάση δεδομένων σας, βεβαιωθείτε ότι έχετε δημιουργήσει αντίγραφο ασφαλείας του ιστότοπου και της βάσης δεδομένων σας. Σε περίπτωση που κάτι πάει στραβά, μπορείτε να επαναφέρετε τον ιστότοπό σας.

Πρώτα, εγκαταστήστε και ενεργοποιήστε Πρόθεμα Brozzme DB συνδέω. Από τον πίνακα ελέγχου του WordPress, μεταβείτε στο Εργαλεία> Πρόθεμα DB και εισαγάγετε ένα νέο μοναδικό όνομα για το πρόθεμα της βάσης δεδομένων.

Πρόθεμα Brozzme DB

Μόλις εισαγάγετε το νέο πρόθεμά σας, κάντε κλικ στο Αλλαγή προθέματος DB.

Για τη μη αυτόματη διαδικασία, διαβάστε πώς μπορείτε να αλλάξετε το πρόθεμα πίνακα βάσης δεδομένων χρησιμοποιώντας το phpMyAdmin

Επιστροφή στην κορυφή

22. Χρησιμοποιήστε μόνο αξιόπιστες προσθήκες WordPress

Το WordPress διαθέτει περισσότερα από 48.000 πρόσθετα. Αυτό δεν σημαίνει ότι όλες οι προσθήκες είναι χρήσιμες και ασφαλείς στη χρήση.

Επειδή υπάρχουν πολλές προσθήκες στη συλλογή προσθηκών WordPress που δεν ενημερώνονται από πολύ καιρό και συνήθως έγιναν ευάλωτες. Εκτός αυτού, δεν θα λάβετε υποστήριξη εάν η προσθήκη σπάσει τον ιστότοπό σας.

Πριν χρησιμοποιήσετε οποιοδήποτε δωρεάν πρόσθετο, δύο σημαντικά πράγματα που πρέπει να ελέγξετε,

  • Ελέγξτε πότε ενημερώθηκε τελευταία η προσθήκη: Εάν η προσθήκη δεν ενημερώνεται συχνά ή δεν συντηρείται πλέον από τον προγραμματιστή προσθηκών, τότε θα πρέπει να αποφύγετε την προσθήκη.

Ξεπερασμένη έκδοση Plugin WordPress

  • Ελέγξτε εάν η προσθήκη έχει μέγιστες θετικές αξιολογήσεις: Το επόμενο πράγμα που πρέπει να ελέγξετε αν η προσθήκη έχει μέγιστη θετική ή αρνητική βαθμολογία. Εάν η προσθήκη έχει μέγιστες αρνητικές αξιολογήσεις, δεν πρέπει να τη χρησιμοποιείτε.

Πρόσθετο WordPress με χαμηλή βαθμολογία

Μπορείτε επίσης να ελέγξετε τη σελίδα Κριτικές και υποστήριξη της προσθήκης για να δείτε τι λένε άλλοι χρήστες σχετικά με την προσθήκη.

Αλλά μην ανησυχείτε. Υπάρχουν πολλές παρόμοιες προσθήκες που μπορείτε να βρείτε από τη συλλογή προσθηκών WordPress.

Εάν θέλετε να χρησιμοποιήσετε ένα premium πρόσθετο, τότε δεν χρειάζεται να ανησυχείτε για αυτό. Τα premium πρόσθετα ενημερώνονται τακτικά και θα λάβετε υποστήριξη 24 φορές από τον προγραμματιστή προσθηκών.

Επιστροφή στην κορυφή

23. Απενεργοποιήστε την αναφορά σφαλμάτων PHP

Ένας άλλος πολύ καλός τρόπος για να σκληρύνει την ασφάλεια του WordPress είναι απενεργοποιώντας την αναφορά σφάλματος PHP στο WordPress. Πολλές φορές, όταν εγκαθιστάτε ένα ξεπερασμένο plugin ή θέμα, ενδέχεται να δείτε την προειδοποίηση σφάλματος PHP.

Προειδοποίηση σφάλματος PHP WordPressΩστόσο, μπορεί να οδηγήσει τον ιστότοπό σας σε ευάλωτη θέση εάν οι χάκερ τον αποκτήσουν καθώς δείχνει τον κώδικα και τη θέση του αρχείου. Για να ελαχιστοποιήσετε τον κίνδυνο, μπορείτε να απενεργοποιήσετε την αναφορά σφαλμάτων PHP στο WordPress.

Η απενεργοποίηση της προειδοποίησης σφάλματος PHP στο WordPress είναι πολύ εύκολη. Πρώτα, επεξεργαστείτε το δικό σας wp-config.php αρχείο και βρείτε τη γραμμή που έχει αυτόν τον κωδικό:

καθορισμός (‘WP_DEBUG’, false);

Μπορεί να δείτε «αληθινό» αντί «ψευδές». Τώρα αντικαταστήστε τη γραμμή με τον ακόλουθο κωδικό.

ini_set (“display_errors”, “Off”);
ini_set (‘error_reporting’, E_ALL) ·
καθορισμός («WP_DEBUG», false);
καθορισμός (“WP_DEBUG_DISPLAY”, false);

Αποθηκεύστε το αρχείο και τελειώσατε.

Σας προτείνουμε επίσης να χρησιμοποιείτε ενημερωμένες και καλά βαθμολογημένες προσθήκες για να αποφύγετε τέτοιου είδους προβλήματα.

Επιστροφή στην κορυφή

24. Προσθέστε HTTP Secure Headers στο WordPress

Ένας άλλος πολύ καλός τρόπος για να σκληρύνει την ασφάλεια του WordPress είναι να προσθέσετε HTTP ασφαλείς κεφαλίδες στον ιστότοπό σας στο WordPress.

Όταν κάποιος αποκτά πρόσβαση στον ιστότοπό σας, το πρόγραμμα περιήγησης υποβάλλει ένα αίτημα στον διακομιστή ιστού σας. Στη συνέχεια, ο διακομιστής ιστού αποκρίνεται με τα αιτήματα μαζί με κεφαλίδες HTTP. Αυτές οι κεφαλίδες HTTP μεταβιβάζουν πληροφορίες όπως κωδικοποίηση περιεχομένου, έλεγχο προσωρινής μνήμης, τύπος περιεχομένου, σύνδεση κ.λπ..

Προσθέτοντας ασφαλείς κεφαλίδες απόκρισης HTTP, μπορείτε να βελτιώσετε την ασφάλεια του WordPress και επίσης να αποτρέψετε τον μετριασμό των επιθέσεων και των τρωτών σημείων ασφαλείας.

Ακολουθούν οι κεφαλίδες HTTP παρακάτω:

  • Αυστηρή ασφάλεια μεταφοράς HTTP (HSTS): Το HTTP Strict Transport Security (HSTS) επιβάλλει στο πρόγραμμα περιήγησης ιστού να χρησιμοποιεί μόνο ασφαλείς συνδέσεις (HTTPS) κατά την επικοινωνία με έναν ιστότοπο. Αυτό αποτρέπει τις εισβολές πρωτοκόλλου SSL, την παραβίαση cookie, την απογύμνωση SSL κ.λπ..
  • Επιλογές X-Frame: Το X-Frame-Options είναι ένα είδος κεφαλίδας HTTP που καθορίζει εάν επιτρέπεται ή όχι σε ένα πρόγραμμα περιήγησης να αποδίδει έναν ιστότοπο σε ένα πλαίσιο. Αυτό αποτρέπει τις επιθέσεις με κλικ και διασφαλίζει ότι ο ιστότοπός σας δεν είναι ενσωματωμένος σε άλλους ιστότοπους που χρησιμοποιούν .
  • X-XSS-Προστασία: Το X-XSS-Protection είναι ένα ενσωματωμένο χαρακτηριστικό των προγραμμάτων περιήγησης Internet, Google Chrome, Firefox και Safari που εμποδίζουν τη φόρτωση των σελίδων εάν έχει εισαχθεί κακόβουλο σενάριο από μια είσοδο χρήστη.
  • X-Content-Type-Options: Το X-Content-Type-Options είναι ένα είδος κεφαλίδας απόκρισης HTTP με την τιμή nosniff που αποτρέπει τα προγράμματα περιήγησης από το MIME να εισπράξουν απόκριση από τον δηλωμένο τύπο περιεχομένου.
  • Πολιτική παραπομπής: Η πολιτική παραπομπών είναι μια κεφαλίδα απόκρισης HTTP που αποτρέπει τη διαρροή παραπομπών μεταξύ τομέων.

Για να προσθέσετε ασφαλείς κεφαλίδες HTTP στο WordPress, απλώς προσθέστε τις ακόλουθες γραμμές κώδικα στο δικό σας .htaccess αρχείο.

Σετ κεφαλίδας Strict-Transport-Security "μέγιστη ηλικία = 31536000" env = HTTPS
Η κεφαλίδα προσαρτά πάντα τις επιλογές X-Frame-SAMEORIGIN
Σετ κεφαλίδας X-XSS-Protection "1; λειτουργία = μπλοκ"
Σετ κεφαλίδας X-Content-Type-Options nosniff
Πολιτική παραπομπής κεφαλίδας: no-referrer-when-downgrade

Έλεγχος κεφαλίδων ασφαλείας

Τώρα πηγαίνετε στο securityheaders.com για να ελέγξετε αν οι κωδικοί λειτουργούν ή όχι. Δεν έχουμε προσθέσει την “Πολιτική ασφάλειας περιεχομένου” επειδή ενδέχεται να καταστρέψει τον ιστότοπό σας. Ωστόσο, αρκεί να κάνετε τον ιστότοπό σας WordPress ασφαλή.

Επιστροφή στην κορυφή

συμπέρασμα

Υπάρχουν πολλοί τρόποι που μπορείτε να σκληρύνετε Ασφάλεια WordPress όπως: η χρήση μιας διαχειριζόμενης φιλοξενίας WordPress, η χρήση ισχυρών κωδικών πρόσβασης για λογαριασμούς, η παρακολούθηση των δραστηριοτήτων των χρηστών, η χρήση ενός πρόσθετου ασφαλείας WordPress, η εφαρμογή SSL και HTTPS και πολλά άλλα.

Η σκληρότητα της ασφάλειας του WordPress δεν είναι επιστήμη πυραύλων. Μπορείτε εύκολα να ασφαλίσετε τον ιστότοπό σας WordPress εφαρμόζοντας τις βέλτιστες πρακτικές ασφάλειας του WordPress που κοινοποιήσαμε σε αυτό το άρθρο. Εφαρμόζοντάς τα, δεν θα ασφαλίσετε μόνο τον ιστότοπό σας στο WordPress, αλλά θα εμποδίσετε και τους εισβολείς να έχουν πρόσβαση στον ιστότοπό σας.

Μόλις τελειώσετε, δεν θα χρειαστεί να ανησυχείτε για την ασφάλειά σας στο WordPress. Επιπλέον, μπορείτε να είστε πιο παραγωγικοί και απαλλαγμένοι από πίεση.

Τωρα ειναι η σειρα σου. Διαβάστε προσεκτικά το άρθρο και εφαρμόστε το στον ιστότοπό σας. Θα είσαι χαρούμενος που το έκανες. ��

Έχουμε χάσει σημαντικές συμβουλές ασφαλείας του WordPress για να αναφέρουμε εδώ; μη διστάσετε να μας ενημερώσετε στην ενότητα σχολίων.

Infographic ασφάλειας WordPress

WordPress-Ασφάλεια-Infographic-Μικρό μέγεθος

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map