WordPress Security – 24 խորհուրդներ ՝ ձեր կայքը հաքերներից ապահովելու համար

04.06.2020
نکات و ترفندهای سرعت وردپرس 'WordPress Security – 24 խորհուրդներ ՝ ձեր կայքը հաքերներից ապահովելու համար
0 171 мин.

WordPress- ի անվտանգությունը պետք է լինի առաջին գերակայությունը վեբ-կայքի կառավարման ժամանակ: Դուք ձևավորում եք ձեր վեբ կայքը, հրապարակում բովանդակություն, վաճառում ապրանքներ առցանց, բայց եթե Դուք WordPress- ի անվտանգությունը լուրջ չեք ընդունում, ձեր կայքը ցանկացած պահի կարող է թալանվել. 


Ամեն օր 30,000 կայքեր թալանվում են, և Google- ի կողմից սև ցուցակում ընդգրկվում է ավելի քան 2000 կայք: Դուք բացառություն չեք: Եթե ​​կառավարության կայքէջը կարող է թալանել, ապա ինչու՞ ոչ ձեր?

Մի առավոտ արթնացաք և տեսնեք, որ ձեր WordPress կայքը անհասանելի է և տեսնում եք, թե ինչպես են պատահական հաղորդագրություններ,

«Ձեր վեբ կայքը խաբվել է xyz– ով», կայքը հակերված է

«Առջևի կայքը վնասակար ծրագիր է պարունակում». Google- ի սև ցուցակի մեջ

Սա ամենավատ բանն է, որի հետ դուք երբևէ կարող եք բախվել ձեր կայքի հետ.

Բայց ինչու WordPress- ը?

WordPress- ն իրավասու է համացանցի ընդհանուր կայքերի 31% -ից ավելին (80 միլիոն): Համաձայն W3Techs, WordPress- ն ունի CMS շուկայի մասնաբաժնի 60% -ը ավելի շատ, քան մյուս պլատֆորմները, ինչը հիանալի պատճառ է հակերների ներգրավման համար.

Բայց մի խուճապի մատնվիր: WordPress- ի անվտանգության կարծրացումը շատ հեշտ է, և դուք նույնպես կարող եք դա անել.

Այս հոդվածում ես կկիսեմ WordPress- ի անվտանգության 24 լավագույն խորհուրդներ `ձեր կայքը հակերներից և չարամիտներից պաշտպանելու համար.

«Ինչու՞ չփորձել ձեր պալատի դարպասը անհետանալ նախքան այն հայտնաբերելը»: – WPMyWeb

Contents

WordPress- ի անվտանգության ընդհանուր խնդիրներ

Նախքան խորանալով WordPress- ի անվտանգության լավագույն փորձի մեջ, եկեք նախ հասկանանք WordPress- ի անվտանգության մի քանի ընդհանուր խնդիրներ.

Շատ օգտվողներ կարծում են, որ WordPress- ը բիզնեսի համար օգտագործելու համար անվտանգ պլատֆորմ չէ, որն ամենևին էլ ճիշտ չէ: Դա կապված է WordPress- ի անվտանգության, համակարգի վատ կառավարման մասին, հնացած WordPress ծրագրի և հավելվածների օգտագործման և այլնի իմացության պակասի հետ:.

WordPress- ի շատ սկսնակներ ենթադրում են, որ վեբ կայք ստեղծելն ավարտված է, և դա անվտանգության կարիք չունի: Այսպիսով դուք ձեր կայքը խոցելի եք թողնում.

Հակերները ձեր կայքում խոցելի գտնվելուց հետո նրանք կարող են հեշտությամբ շահագործել ձեր կայքը.

Եկեք ստուգենք WordPress- ի անվտանգության մի քանի ընդհանուր խնդիրներ.

1. Դաժան ուժային գրոհներ. 

Դաժան ուժային հարձակման ժամանակ ավտոմատացված սցենարն օգտագործվում է օգտանունների և գաղտնաբառերի տարբեր համակցություններ ստեղծելու համար: Հաքերը օգտագործում է WordPress- ի մուտքի էջը ՝ դաժան ուժային հարձակումը գործադրելու համար. 

Եթե ​​դուք օգտագործում եք պարզ օգտվողի անուն և գաղտնաբառ, ապա կարող եք լինել այս հարձակման հաջորդ զոհը.

2. Խաչի կայքի սցենար (XSS).

Cross Site Scriptting- ը հարձակման մի տեսակ է, երբ հարձակվողները վնասակար կոդ / գրություն են ներարկում վստահելի կայքում: Հակերության այս մեթոդը ամբողջովին անտեսանելի է այն օգտվողների համար, ովքեր վեբ կայք են վարում.

Այս չարամիտ գրությունները բեռնում են անանուն կերպով և գողանում են տեղեկատվություն օգտագործողների զննարկչից: Նույնիսկ եթե օգտագործողը որևէ տվյալ մուտքագրում է որևէ ձև, տվյալները կարող են գողացվել.

3. SQL ներարկումներ.

Բլոգի տեղեկատվությունը պահելու համար WordPress- ը օգտագործում է MySQL տվյալների բազա.

SQL ներարկումը տեղի է ունենում այն ​​ժամանակ, երբ հակերները մուտք են գործում WordPress տվյալների բազայում: WordPress տվյալների բազան թալանելով ՝ հակերները կարող են ստեղծել ձեր նոր կայք ՝ ամբողջ կայքի միջոցով հասանելի կառավարիչ հաշիվ.

Նրանք կարող են նաև տվյալներ մտցնել ձեր MySQL տվյալների բազայում և հղումներ ավելացնել վնասակար կամ սպամ կայքերի համար.

4. Backdoors:

«Դռնապան» անունով դուք կարող եք հասկանալ, թե ինչ է նշանակում. 

Backdoor- ը հակերության մեթոդ է, որը թույլ է տալիս հակերներին մուտք գործել կայք ՝ շրջանցելով նորմալ վավերացման գործընթացը և նույնիսկ չհայտնվելով կայքի սեփականատիրոջից:.

Կայքը հակերելուց հետո հաքերները սովորաբար թողնում են իրենց հետքը, որպեսզի նրանք կարողանան կայք վերահասանել նույնիսկ հաքը հանվում է.

5. Pharma Hacks:

WordPress Pharma hacks- ը մի տեսակ վեբ կայքի սպամ է, որը լրացնում է որոնիչների արդյունքները սպամ դեղագործական պարունակությամբ, որոնք արգելված են համացանցում, ինչպիսիք են Viagra, Nexium, Cialis և այլն:.

Ի տարբերություն WordPress- ի այլ հաքերի, դեղագործական հաքերի արդյունքները տեսանելի են միայն որոնիչների համար: Այսպիսով, դուք չեք կարող գտնել հաքը պարզապես դիտելով ձեր կայքը կամ սկզբնաղբյուրը.

Գնացեք Google- ին և տպեք կայք ՝ domain.com. Եթե ​​որոնման արդյունքները ցույց են տալիս ձեր վեբ կայքի պարունակությունը (ոչ թե դեղատնային պարունակությունը), ապա ձեր կայքը չի ազդում դեղատնային հակերների վրա.

Այս հաքի նպատակը ձեր առավել արժեքավոր էջերը շահագործելն է ՝ վերնագրի պիտակը վնասակար հղումներով գերակշռելով: Էլ չենք ասում, որ եթե շուտ չեք զննում այդ գործը, Google- ի նման որոնիչները, Bing- ը կարող է սև ցուցակում տեղադրել ձեր վեբ կայքը վնասակար բովանդակություն ապահովելու համար.

6. Վնասակար վերահղումներ.

WordPress- ի չարամիտ վերահղումը մի տեսակ հակեր է, որտեղ ձեր կայքի այցելուներն ինքնաբերաբար վերահղվում են սպամային կայքեր, ինչպիսիք են խաղային, պոռնո, ժամադրման կայքերը: Այս հաքը տեղի է ունենում այն ​​ժամանակ, երբ չարամիտ կոդ է ներարկվում ձեր կայքի ֆայլի կամ տվյալների բազայի մեջ.

Եթե ​​ձեր կայքը այցելուներին ուղղորդի ապօրինի կամ վնասակար կայքեր, ձեր կայքը հնարավոր է, որ Google- ի կողմից սև ցուցակ ստացվի.

Ինչու է կարևոր WordPress- ի անվտանգությունը?

Ձեր կայքը ներկայացնում է ձեր ապրանքանիշը, ձեր բիզնեսը և ամենակարևորը `առաջին շփումը ձեր հաճախորդների հետ.

Դա, հավանաբար, ձեզ տևեց մի քանի տարի ՝ ձեր բիզնեսը կանգնելու և ձեր երթևեկությունը մեծացնելու բազմաթիվ ջանքերով: Ձեր լսարանը սիրում է ձեր հոդվածները և վստահում ձեր ապրանքներին, այդ իսկ պատճառով նրանք կապ են պահպանում ձեզ հետ.

Եթե ​​ձեր WordPress կայքը ապահովված չէ, ձեր կայքի և ձեր հաճախորդների վրա կազդեն բազմաթիվ եղանակներ: Հակերները կարող են գողանալ օգտագործողի անձնական տեղեկությունները, գաղտնաբառերը, կրեդիտ քարտի տվյալները, գործարքի մասին տեղեկությունները և կարող են չարամիտ բաշխել ձեր օգտվողներին.

Եթե ​​ձեր կայքը կոտրված է, կնկատեք, որ ձեր երթևեկությունը կտրուկ անկում է ապրում: Ավելին, Google- ը սև ցուցակի կդնի ձեր կայքը.

Ըստ Google բլոգ, 2016 թվականին 2015-ի համեմատ հաքերային կայքերի թիվը աճում է մոտավորապես 20% -ով.

Սեկուրին ուսումնասիրության մեջ զեկույցներ որ Google- ն ամեն օր սևացնում է ավելի քան 10,000 կայք.

Եթե ​​դուք լրջորեն վերաբերվում եք ձեր բիզնեսին, ապա պետք է լրացուցիչ ուշադրություն դարձնեք ձեր WordPress- ի անվտանգությանը.

WordPress անվտանգության

WordPress- ի անվտանգության լավագույն ուղեցույց

  1. Ստացեք լավ WordPress հոստինգ
  2. Պահեք WordPress- ի տարբերակը թարմացված
  3. Մի օգտագործեք Nulled / Cracked Theme կամ Plugin
  4. Օգտագործեք ուժեղ գաղտնաբառեր
  5. Ավելացնել (2FA) Երկու գործոնի վավերացում
  6. Փոխեք WordPress- ի մուտքի URL- ը
  7. Սահմանափակել մուտքի փորձերը
  8. Պարբերաբար կրկնօրինակեք ձեր կայքը
  9. Օգտագործեք WordPress անվտանգության plugin
  10. Ավտոմատ կերպով դուրս գալով պարապ օգտվողներ
  11. Անվտանգության հարցեր ավելացնել WordPress- ի մուտքի էջին
  12. Փոխեք ստանդարտ «admin» Մականուն
  13. Օգտագործողներին հանձնեք ամենացածր դերին հնարավորինս
  14. Դիտեք ֆայլի փոփոխությունները և օգտագործողի գործողությունները
  15. Տեղադրեք SSL վկայագիր
  16. Deleteնջել չօգտագործված թեմաները և հավելվածները
  17. Անջատեք ֆայլի խմբագրումը WordPress վահանակում
  18. WordPress մուտքի էջը պաշտպանում է գաղտնաբառով
  19. Անջատեք գրացուցակի զննումը
  20. Հեռացրեք ձեր WordPress տարբերակի համարը
  21. Փոխեք WordPress տվյալների շտեմարանի աղյուսակի նախածանցը
  22. Օգտագործեք միայն վստահելի WordPress թեմաներ և plugins
  23. Անջատեք PHP սխալի մասին հաղորդումը
  24. WordPress- ին ավելացնել HTTP անվտանգ վերնագրեր

Պատրա՞ստ Եկ սկսենք.

1. Ձեռք բերեք WordPress- ի լավ հոստինգ

WordPress- ի հոստինգը մեծ դեր է խաղում WordPress- ի անվտանգության բարելավման հարցում.

Դուք վճարում եք հոստինգի ծառայության համար, և ձեր կայքը մնում է նրանց հսկողության տակ: Այսպիսով, դուք պետք է զգույշ լինեք ձեր WordPress- ի լավ հոստինգ ընտրելու համար ձեր կայքի համար.

A2Hosting- ի, Bluehost- ի նման համացանցային հոսթինգը ցածր հոսքի բլոգ վարելու լավագույն հոստինգ տարբերակն է: Բայց ընդհանուր համացանցային հոսթինգում միշտ հնարավոր կլինի խաչմերուկում աղտոտել.

Խաչաձև կայքի աղտոտումը տեղի է ունենում այն ​​ժամանակ, երբ հակերը կարողանում է մուտք գործել վեբ սերվեր խոցելի կայքի միջոցով, այնուհետև շահագործել նույն վեբ սերվերի բոլոր մյուս կայքերը.

Մենք խորհուրդ ենք տալիս օգտագործել կառավարված WordPress հոստինգի մատակարար: Կառավարվող WordPress հոստինգ ընկերությունները վեբ կայքերի համար ապահովում են բազմաշերտ անվտանգության տարբերակներ: Նրանց հոստինգի պլատֆորմները շատ ապահովված են, և նրանք առաջարկում են ամեն օր չարամիտ սկանավորում և կանխում են արտաքին հարձակումները: Համենայն դեպս, նրանք գտնում են չարամիտ իրենց սերվերի վրա, նրանք պատասխանատվություն են վերցնում և անմիջապես հեռացնում են այն.

Նրանք նաև առաջարկում են ամենօրյա պահուստավորում, անվճար SSL վկայագիր, 24 × 7 փորձագիտական ​​աջակցություն.

Առաջարկում ենք WordPress- ի կողմից կառավարվող WPEngine կառավարվող ընկերությունը: Նրանք առաջարկում են բազմաթիվ անվտանգության շերտեր ՝ ձեր WordPress կայքը պաշտպանելու համար: Նրանց ծրագրով դուք կստանաք ամենօրյա կրկնօրինակում, անվճար SSL, գլոբալ CDN և 24 × 7 փորձագիտական ​​աջակցություն.

Այցելություն WPEngine. [Այս հղմանը ավելացված զեղչի կոդը]

Վերադառնալ սկիզբ

2. Շարունակեք WordPress- ի տարբերակը թարմացված

Ձեր WordPress կայքի թարմացումը պահպանում է անվտանգության լավ պրակտիկա `ձեր WordPress- ի անվտանգությունը խստացնելու համար: Այս թարմացումը ներառում է WordPress- ի տարբերակը, plugin- ը և թեմաները.

Վերջերս կատարված ուսումնասիրության մեջ, Սեկուրին վերլուծեց որ WordPress- ով վարակված վեբ կայքերի ընդհանուր 56% -ը դեռևս թարմացված էր: Եթե ​​նրանցից մեկն եք, ձեզ վտանգ են սպառնում.

Ամեն օր նոր խոցելիություններ են հայտնաբերվում, և դրանց դադարեցման ճանապարհ չկա: Հնացած ծրագրաշարերը և հավելվածները կարող են պարունակել խոցելիություններ, որոնք հաքերը կարող է օգտագործել կայքը շահագործելու համար.

Յուրաքանչյուր թարմացումով ծրագրավորողները ներառում են նոր հնարավորություններ, կուտակել անվտանգության անցքերը, շտկել վրիպակները և այլն, ինչպես WordPress ծրագիրը, դուք պետք է նաև թարմացնեք ձեր WordPress թեմաները և հավելվածները.

Լավն այն է, որ WordPress- ը ինքնաբերաբար դուրս է մղում իր թարմացումները և տեղեկացնում է իր օգտագործողներին.

WordPress- ի վարկածի տարբերակը, plugins- ը և թեմաները շատ հեշտ են, և դուք կարող եք դա անել ձեր WordPress- ի ադմինիստրատորի միջոցով:.

Ինչպես թարմացնել WordPress- ը, Plugins- ը և թեմաները?

Նախ մուտք գործեք ձեր WordPress վահանակ և գնացեք Գրասեղան> Թարմացումներ. Այնտեղ կարող եք տեսնել, արդյո՞ք նոր թարմացում կա.

Նշում: Նախքան ձեր WordPress տարբերակը թարմացնելը, վերցրեք ձեր ֆայլերի և տվյալների բազայի ամբողջ կրկնօրինակը: Սխալ առաջանալու դեպքում կարող եք հեշտությամբ վերականգնել ձեր կայքը նախորդ տարբերակին: Դուք կարող եք հեշտությամբ կրկնօրինակել և վերականգնել ձեր կայքը BlogVault- ով ՝ օգտագործելով ընդամենը մեկ կտտոց.

Էջից կարող եք տեսնել «WordPress- ի թարմացված տարբերակը հասանելի է»: Կտտացրեք Թարմացրեք հիմա կոճակը `ձեր WordPress- ի տարբերակը թարմացնելու համար, այս գործընթացը կարող է տևել մի քանի վայրկյան.

Թարմացումը ավարտվելուց հետո ոլորեք ներքև ՝ ձեր WordPress հավելվածները թարմացնելու համար: Խորհուրդ ենք տալիս plugin- ները մեկ առ մեկ թարմացնել: Նախ ընտրեք մի plugin և կտտացրեք Թարմացրեք Plugins.

Նմանապես, թարմացրեք ձեր թեմաները ներքևում.

Թարմացրեք WordPress- ը Dashboard- ից

Այնուամենայնիվ, թարմացման գործընթացը որոշ օգտագործողների համար մի փոքր բարդ է, հատկապես նրանց համար, ովքեր տեխնիական չեն խնայում.

WordPress- ի որոշ հյուրընկալող պրովայդերներ, ինչպիսիք են SiteGround, Kinsta, FlyWheel- ը, ապահովում են ավտոմատ թարմացում առանձնահատկություն Այսպիսով, եթե զբաղված եք աշխատանքային գրաֆիկով կամ ծույլ եք թարմացնելու համար, դա կարող է օգտակար լինել.

Կարդացեք նաև ՝ «Ինչպես ձեռքով թարմացնել WordPress տարբերակը, plugin- ը և թեմաները

Վերադառնալ սկիզբ

3. Մի օգտագործեք երբևէ անվավեր / ճեղքված թեմաներ և plugins

Զարմանալի չէ, որ պրեմիում հավելվածներն ու թեմաները ներառում են ավելի շատ ֆունկցիոնալություն և պրոֆեսիոնալ տեսք ունեն: Բայց պրեմիում ապրանքներից ոչ մեկը անվճար է: Դա գին է գալիս, և պրեմիում ապրանքատեսակներ ձեռք բերելուց հետո օգտվողները պետք է մուտքագրեն ապրանքի բանալին ՝ ապրանքը ակտիվացնելու համար.

Բայց կան շատ չարամիտ կայքեր, որոնք անվճար ապահովում են պրեմիում թեմաներ և հավելվածներ: Այդ կոտրված թեմաները և plugin- ները սերիական բանալին չեն պահանջում `ակտիվացնելու և երբեք չի թարմացվում.

Ահա թե ինչ նկատի ունեմ.

Չեղյալ WordPress Plugin- ի օրինակ

Այդ անվավեր թեմաներն ու հավելվածները շատ վտանգավոր են ձեր կայքի համար: Հաքերները հատուկ ներարկում են դրա մեջ վնասակար կոդերը և ձեր կայքի հետևի մաս են կազմում: Այսպիսով, նրանք հեշտությամբ կարող են մուտք գործել ձեր կայք և թալանել ձեր կայքը ՝ ներառյալ տվյալների բազան.

Այսպիսով, երբեք մի օգտագործեք WordPress- ի անվավեր կամ ճեղքված թեմաներ և հավելվածներ.

Մենք խստորեն խորհուրդ ենք տվել, որ ներբեռնեք անվճար թեմաներ կամ հավելվածներ միայն WordPress.org- ից.

Մենք հասկանում ենք, որ անվճար թեման կամ հավելվածը շատ սահմանափակ գործառույթներ ունի: Բայց այդ անվճար թեմաները կամ plugin- ը անվտանգ են օգտագործման և պարբերաբար թարմացման համար.

Կարդացեք նաև ՝ WordPress- ի համար 7 լավագույն պրեմիում բլոգերի թեմաները

Վերադառնալ սկիզբ

4. Օգտագործեք ուժեղ գաղտնաբառեր

Գաղտնաբառը հիմնական բանալին է ձեր WordPress կայքին մուտք գործելու համար: Եթե ​​դա պարզ և կարճ է, ապա հակերները կարող են հեշտությամբ կոտրել ձեր գաղտնաբառը: Ավարտվեց 80% տեղի են ունենում հակերության հետ կապված խախտումներ թույլ գաղտնաբառի կամ գողացված գաղտնաբառի պատճառով.

Վերջերս կատարված ուսումնասիրության մեջ, SplashData- ն բացահայտեց 2017-ի 100 ամենավատ գաղտնաբառ.

Ահա դրանցից մի քանիսը.

  1. 123456
  2. գաղտնաբառ
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. լեյմին
  8. 1234567
  9. ֆուտբոլ
  10. Ես քեզ սիրում եմ
  11. կառավարիչ
  12. բարի գալուստ
  13. կապիկ (լոլ)

Եթե ​​ձեր գաղտնաբառը պարզ է վերևի նման, ապա անմիջապես փոխեք այն: Լավ ամրության գաղտնաբառ պետք է լինի առնվազն 10 թվանշան և պարունակի վերին դեպք, ստորին գործ, համար և հատուկ նիշ.

Դուք կարող եք օգտագործել an առցանց գաղտնաբառ գեներատոր գործիք ակնթարթորեն ստեղծել հազարավոր ապահով գաղտնաբառեր.

Անհրաժեշտ է նաև, որ գաղտնաբառը պահեք ձեր համակարգչին.

Այն ավելի դյուրին դարձնելու համար կարող եք օգտագործել գաղտնաբառի կառավարիչի ծրագրակազմ ՝ ձեր բոլոր գաղտնաբառերը կառավարելու համար, ինչպիսիք են LastPass- ը, Dashlane- ը և այլն.

Ուժ օգտագործեք գաղտնաբառ օգտագործողներին

Լռելյայն, WordPress- ը չունի այնպիսի գործառույթ, որը թույլ է տալիս օգտվողներին թույլ գաղտնաբառեր մուտքագրել: Ժամանակի մեծ մասը օգտագործողները թույլ գաղտնաբառ են սահմանում իրենց հաշվի համար և դժվար թե այն փոխեն.

Եթե ​​վարում եք WordPress- ի բազմաբնույթ բլոգ, ապա դուք պետք է ստիպեք օգտվողներին օգտագործել ուժեղ գաղտնաբառ.

Այս գործընթացը ավելի դյուրին դարձնելու համար կարող եք օգտագործել plugin: Տեղադրեք և ակտիվացրեք Ստիպեք ուժեղ գաղտնաբառեր plugin- ը և ավարտվել ես: Դա կանխելու է օգտվողներին և նույնիսկ ադմիններին թույլ գաղտնաբառ մուտքագրել.

Վերադառնալ սկիզբ

5. Ավելացնել երկու գործոնի վավերացում (2FA) 

Ձեր WordPress- ի անվտանգությունը կարծրացնելու ևս մեկ պարզ մեթոդ ՝ ձեր WordPress- ի մուտքի էջում ավելացնելով երկու գործոն վավերացում (2FA): Ըստ էության, երկկողմանի վավերացումը կամ երկաստիճան հաստատումը անվտանգության գործընթաց է, որը պահանջում է երկու եղանակ ՝ ձեր ինքնությունը ստուգելու համար.

Լռելյայն, մենք սովորաբար մուտքագրում ենք օգտվողի անուն և գաղտնաբառ ՝ կայք մուտք գործելու համար: Երկու գործոնով վավերացումը ավելացնելով ձեզանից կպահանջվի լրացուցիչ ստուգման գործընթաց `սմարթֆոնի հավելվածի նման, հաստատելու վավերացման գործընթացը.

Այսպիսով, եթե ինչ-որ մեկը գիտի ձեր օգտվողի անունը և գաղտնաբառը, ապա նրանց պետք է ձեր սմարթֆոնը ՝ ձեր կայքը մուտք գործելու համար հաստատման կոդ ստանալու համար.

Երկու գործոնով նույնականացնելը ավելացնելով ՝ դուք ոչ միայն ապահովում եք ձեր WordPress մուտքի էջը, այլև կանխում եք կոպիտ ուժային հարձակումները.

Կարող եք հեշտությամբ միացնել երկու գործոնով վավերացումը `օգտագործելով Google- ի երկու գործոնով նույնականացման WordPress plugin- ը.

Ակտիվացնելուց հետո գնացեք Օգտագործողներ> Օգտվողի պրոֆիլ և ակտիվացրեք plugin- ը.

Google Նույնականացման կարգավորումներ

Այնուհետև ներբեռնեք Google նույնականացման ծրագիրը ձեր հեռախոսից և սկանավորեք Շտրիխ կամ մուտքագրեք Գաղտնի ծածկագիր (տես վերը նշված սքրինշոթը) ձեր կայքից `ձեր վեբ կայքը ավելացնելու համար.

Մեկ անգամ ավելացնելուց հետո դուրս եկեք ձեր կայքից: Մուտքի էջում կտեսնեք լրացուցիչ դաշտ, որտեղ դուք պետք է մուտքագրեք հաստատման ծածկագիրը Google Authenticator բջջային հավելվածից.

Google Authenticator դաշտը

Մանրամասն հրահանգների համար տե՛ս ուղեցույցը, թե ինչպես կարելի է ավելացնել Google- ի երկու գործոն վավերացումը WordPress մուտքի էջում.

Վերադառնալ սկիզբ

6. Փոխեք WordPress- ի մուտքի էջի URL- ը

Լռելյայնորեն, յուրաքանչյուր ոք կարող է մուտք գործել ձեր մուտքի էջ `պարզապես ձեր տիրույթի անվան վերջում ավելացնելով« wp-admin »կամ« wp-login.php », ինչպիսիք են ՝« domain.com/wp-admin »կամ« domain.com/ wp-login.php ».

Գուշակիր ինչ! Հակերները կարող են գործադրել կոպիտ ուժային հարձակումը ՝ օգտագործելով ձեր մուտքի էջը: Եթե ​​դուք օգտագործում եք շատ պարզ գաղտնաբառ, ապա հակերները կարող են հեշտությամբ կոտրել ձեր գաղտնաբառն ու մուտք գործել ձեր կայք.

Բայց ի՞նչ անել, եթե չգիտեն, թե որտեղ պետք է հարձակվեն: Այո, ճիշտ եք կռահել.

Եթե ​​դուք թաքցնեք կամ վերանվանեք ձեր մուտքի էջի URL- ը, ապա հակերները չեն կարողանա իրականացնել կոպիտ ուժի հարձակումը.

WordPress- ում դուք կարող եք հեշտությամբ թաքցնել կամ վերանվանել ձեր մուտքի էջը `օգտագործելով plugin: WordPress plugin պատկերասրահից տեղադրեք և ակտիվացրեք WPS թաքցնել մուտքը միացնել.

Ակտիվացնելուց հետո գնացեք Կարգավորումներ> Գեներալ իսկ ներքևում կարող եք գտնել այն WP Թաքցնել Մուտքի տարբերակը.

WPS Թաքցնել մուտքի պարամետրերը

Պարզապես փոխեք մուտքի URL- ը «Մուտք» մի այլ բանի, որը դժվար է կռահել և սեղմել Պահպանել փոփոխությունները.

Ավարտելուց հետո էջանշեք նոր մուտքի էջը, և դուք ավարտվել եք.

Վերադառնալ սկիզբ

7. Սահմանափակել մուտքի փորձերը

Լռելյայն, WordPress- ը չի սահմանափակում մուտքի փորձի քանակը մուտքի ձևով: Դա նշանակում է, որ որևէ մեկը գիտի, որ ձեր մուտքի URL- ը կարող է փորձել մուտքի գործառույթը այնքան ժամանակ, որքան ցանկանում են: Այս եղանակով հակերները դաժան ուժային գրոհ են իրականացնում ՝ ձեր «օգտանուն» և «գաղտնաբառ» կոտրելու համար `ձեր կայք մուտք գործելու համար.

Սահմանափակելով մուտքի փորձերը, կարող եք խստացնել WordPress- ի անվտանգությունը և պաշտպանել ձեր մուտքի էջը դաժան ուժային հարձակումներից.

Կարող եք սահմանել առավելագույն սխալ սխալ մուտքի փորձեր, որոնք կարող է օգտագործողը կատարել նույն IP հասցեից: Եթե ​​օգտագործողը գերազանցում է սահմանները, օգտագործողի IP- ն արգելափակվում է որոշակի ժամանակով.

WordPress- ում մուտքի փորձերը սահմանափակելու համար տեղադրեք Մուտք LockDown միացնել. Ակտիվացնելուց հետո գնացեք Կարգավորումներ> Մուտք LockDown plugin- ը կարգաբերելու համար.

Մուտք գործեք LockDown- ի կարգավորումներ

Մանրամասն հրահանգների համար տես մեր ուղեցույցը, թե ինչպես սահմանափակել WordPress- ում մուտքի փորձերը

Վերադառնալ սկիզբ

8. Կրկնօրինակեք ձեր կայքը կանոնավոր կերպով

Կրկնօրինակները նման են Time Machine- ին. Եթե ​​այն ունեք, ձեր կայքը անվտանգ է.

Այնուամենայնիվ, կայքի կրկնօրինակումները չեն պաշտպանում ձեր կայքը հակերներից, բայց դա օգնում է ձեզ վերականգնել ձեր կայքը.

Օրինակ, եթե թարմացում կատարելու ընթացքում ձեր կայքի հետ ինչ-որ բան սխալ է, կամ ձեր կայքը թալանված է, ինչպե՞ս եք նորից շտկելու ձեր կայքը: Դուք հավանաբար կորցնում եք ձեր կայքը.

Բայց եթե ձեր կայքի կրկնօրինակում ունեք, ապա կարող եք հեշտությամբ վերականգնել ձեր կայքը նախքան այն հաքի կամ վթարի ենթարկված կետը.

Այդ իսկ պատճառով մենք խորհուրդ ենք տալիս օգտագործել հուսալի WordPress կրկնօրինակային հավելված: Այնուամենայնիվ, շատ հյուրընկալող ընկերություններ առաջարկում են անվճար կայքի կրկնօրինակում, բայց դրանք կարող են երաշխավորել ձեր կայքի առկայությունը, եթե կա աղետալի ձախողում: Այսպիսով, դուք պետք է պահեք կրկնօրինակումները հեռավոր վայրում, ինչպիսիք են Google Drive- ը, Amazon S3- ը, Dropbox- ը և այլն.

Բարեբախտաբար, դա կարող է իրականացվել ՝ օգտագործելով BlogVault կամ BackUpBuddy WordPress պահուստային պլյուս: Նրանք երկուսն էլ առաջարկում են ամենօրյա պահուստավորում և մեկ սեղմումով վերականգնում: Կարող եք նաև ստեղծել բեմական կայք ՝ առանց հավելյալ ծախսերի.

Վերադառնալ սկիզբ

9. Օգտագործեք WordPress Security Plugin

Հաջորդ բանը, որ ձեզ հարկավոր է ձեր կարծրացման համար WordPress- ի անվտանգություն անվտանգության plugin է: Կան բազմաթիվ WordPress անվտանգության plugins, որոնք կփակեն ձեր կայքը հաքերներից և չարամիտ ծրագրերից.

WordPress- ի անվտանգության plugins- ը հայտնաբերում և վերացնում է չարամիտ ծրագիրը, եթե այն առկա է ձեր կայքում: Բացի այդ, նրանք իրական ժամանակում վերահսկում են օգտագործողի գործունեությունը, տեղեկացնում են ձեզ, եթե ինչ-որ բան փոխվել է, եթե plugin- ը պարունակում է չարամիտ ծրագիր, արգելափակում է սպամի տրաֆիկը և շատ ավելին.

Մենք խորհուրդ ենք տալիս Securi WordPress Security Plugin: Securi Security- ն առաջարկում է տարբեր տեսակի անվտանգության առանձնահատկություններ ՝ անվտանգության գործունեության աուդիտ, վեբ կայքի մոնիտորինգ, կայքի firewall,  եւ շատ ավելի.

Սեկուրի

Securi- ի մասին ամենալավն այն է, որ եթե ձեր կայքը Google- ի կողմից իրենց ծառայությունն օգտագործելիս հաքերվի կամ սև ցուցակում հայտնվի, նրանք երաշխավորում են, որ դրանք կկարգավորեն ձեր կայքը.

WordPress- ի անվտանգության փորձագետների մեծ մասը թալանված կայքը շտկելու համար գանձում է ավելի քան 300 դոլար, մինչդեռ դուք կստանաք բոլոր անվտանգության ծառայությունները միայն 199 դոլար տարում. Դա լավ ներդրում է ձեր WordPress- ի անվտանգությունը խստացնելու համար.

Վերադառնալ սկիզբ

10. Ավտոմատ կերպով դուրս գալ պարապ օգտվողներից

Եթե ​​օգտագործողը երկար ժամանակ պարապ կամ անգործ է մնում ձեր կայքում, դա կարող է հանգեցնել դաժան ուժային հարձակման.

Երբ օգտագործողը երկար ժամանակ մնում է անգործուն, հակերները կարող են օգտագործել cookie- ն կամ նստաշրջանի առևանգման մեթոդը ՝ ձեր կայքէջը չթույլատրված մուտք ստանալու համար: Ահա թե ինչու կրթության և ֆինանսական հետ կապված կայքերի մեծ մասը, ինչպիսիք են բանկային և վճարային դարպասի կայքերը, օգտագործում են օգտագործողների նստաշրջանի դադարեցման գործառույթը: Այսպիսով, երբ օգտագործողը նավարկվում է էջից և չի շփվում որոշակի ժամանակահատվածից հետո, կայքը ինքնաբերաբար դուրս է գալիս անգործուն օգտագործողից.

Նույն գործառույթը, որը կարող եք ավելացնել ձեր WordPress կայքում `ձեր WordPress- ի անվտանգությունը բարելավելու համար: WordPress- ով ինքնաբերաբար դուրս մնալով պարապ օգտվողներին ավելացնելը չափազանց պարզ է: Ձեզ անհրաժեշտ է ընդամենը մի plugin տեղադրել.

Նախ ներբեռնեք և տեղադրեք այն Ոչ ակտիվ ելք WordPress plugin: Դրանից հետո ակտիվացրեք այն և գնացեք Կարգավորումներ> Ոչ ակտիվ ելք plugin- ը կարգաբերելու համար.

Ոչ ակտիվ դուրս գալու Plugin- ի կարգավորումներ

Պարամետրերից կարող եք փոխել պարապ ժամանակի դադարեցումը: Այսպիսով, ժամանակից հետո ձեր կայքի բոլոր օգտվողները ինքնաբերաբար դուրս կգան.

Կարող եք նաև փոխել պարապ ժամանակի հաղորդագրությունը և անհրաժեշտության դեպքում փոփոխել այլ պարամետրեր.

Ավարտելուց հետո կտտացրեք Պահպանել փոփոխությունները պարամետրերը պահելու համար.

Ավելի մանրամասն հրահանգների համար տես մեր ուղեցույցը, թե ինչպես ինքնաբերաբար դուրս գալ պարապ օգտվողներից WordPress- ում

Վերադառնալ սկիզբ

11. Անվտանգության հարցեր ավելացնել WordPress- ի մուտքի էջին

Ձեր WordPress մուտքի էջին ավելացնելով անվտանգության հարցեր, դուք ոչ միայն կպաշտպանեք ձեր WordPress մուտքի էջը, այլև կխստացնեք WordPress- ի անվտանգությունը.

Անվտանգության հարցն անվտանգության լրացուցիչ շերտ է ավելացնում ՝ մուտք գործելու ընթացքում ձեր ինքնությունը հետագա հաստատելու համար: Սա շատ օգտակար է, եթե դուք աշխատում եք WordPress բլոգի բազմահեղինակ բլոգով:.

Եթե ​​ձեր օգտագործողի կամ ձեր գաղտնաբառի որևէ մեկը գողացել են, ապա անվտանգության հարցը կարող է փրկել կյանքը.

Քանի որ օգտագործողի անունը և գաղտնաբառ կարելի է հեշտությամբ թալանել, բայց անվտանգության ճիշտ հարցի և պատասխանի ընտրությունը անհնարին է: Այս կերպ Դուք կարող եք պահպանել ձեր WordPress մուտքի էջը հակերներից և դաժան ուժային հարձակումներից.

WordPress մուտքի էջում Անվտանգության հարց ավելացնելու համար տեղադրեք WP անվտանգության հարց միացնել.

WP անվտանգության հարցերի կարգավորումներ

Ակտիվացնելուց հետո գնացեք WP անվտանգության հարցեր > Plugin- ի պարամետրերը plugin- ը կարգաբերելու համար.

Լռելյայն, plugin- ն ավելացված է շատ ընդհանուր հարցեր: Բայց ցանկից կարող եք ավելացնել կամ հեռացնել անվտանգության ցանկացած հարց.

Ներքեւի մասում կարող եք միացնել անվտանգության հարցը մուտքի էջում, գրանցում և գաղտնաբառի մոռացված էջում: Լրացուցիչի կազմաձևումից հետո մի մոռացեք սեղմել Պահել կարգավորումը.

Նշում: Միայն նոր օգտվողները կարող են գրանցել գրանցման ընթացքում իրենց անվտանգության հարցը և պատասխանը: Այսպիսով, գրանցված օգտվողները պետք է ձեռքով սահմանեն իրենց սեփական անվտանգության հարցը և պատասխանը: Կարող եք նաև անվտանգության հարց և պատասխան տալ նրանց համար: Դա կարելի է անել Օգտագործողի պրոֆիլ էջ.

Բազմաթիվ ավելացնել WP անվտանգության հարցերը

Մանրամասն հրահանգների համար տես մեր ուղեցույցը, թե ինչպես ավելացնել անվտանգության հարցեր WordPress- ի մուտքի էջում

Վերադառնալ սկիզբ

12. Փոխեք «Ադմին» ստանդարտ օգտվողի անունը

WordPress- ը տեղադրելուց հետո կարող եք փոխել ձեր գաղտնաբառն այնքան ժամանակ, որքան ցանկանում եք: Բայց կարո՞ղ եք փոխել ձեր օգտվողի անունը այն սահմանելուց հետո: Ոչ, ճիշտ է?

Լռելյայն, WordPress- ը թույլ չի տալիս օգտվողներին փոխել օգտվողի անունը: Բայց ինչու պետք է փոխել այն?

Եթե ​​դուք օգտագործում եք շատ տարածված օգտվողի անուն, ինչպիսին է «admin», ապա հակերները կարող են կոպիտ ուժ կիրառել ձեր օգտագործողի անունով:.

Բայց մի խուճապի մատնվիր: Կան մի քանի եղանակներ, որոնց միջոցով հեշտությամբ կարող եք փոխել ձեր WordPress- ը.

Այնուամենայնիվ, գործընթացը հեշտացնելու համար մենք կօգտագործենք plugin: Նախ ներբեռնեք և տեղադրեք այն օգտվողի անվանափոխիչ միացնել. Հետո գնացեք Օգտագործողներ> Քո պրոֆիլը և գտեք օգտվողի անվան տարբերակը: Այնտեղ կգտնեք «Փոխել Մականուն» տարբերակը.

Փոխեք WordPress Մականուն

Կտտացրեք Փոխել Մականուն կոճակը և մուտքագրեք ձեր նոր օգտանունը: Ավարտելուց հետո կտտացրեք Թարմացրեք պրոֆիլը.

Եթե ​​ցանկանում եք ձեր օգտվողի անունը ձեռքով փոխել (առանց plugin), ստուգեք հոդվածը 3 WordPress օգտվողի անունը փոխելու տարբեր եղանակներով.

Վերադառնալ սկիզբ

13. Օգտագործողներին նշանակեք ամենացածր դերը հնարավորինս

Եթե ​​դուք աշխատում եք WordPress- ի բազմահեղինակային կայք, ուրեմն պետք է զգույշ լինել նախքան օգտագործողի դերը փոխանցելը.

Բազմաթիվ անգամ WordPress կայքի սեփականատերերը ավելի բարձր դերակատարում են վերագրում նոր օգտվողներին, այս կերպ դուք բոլոր արտոնությունները տալիս եք օգտվողներին, և արդյունքում ցանկացած օգտվող կարող է ի վիճակի լինել կատարել ցանկացած խնդիր, ինչ ուզում է:.

Օրինակ, եթե չգիտեք, թե ինչ է Խմբագրողի օգտագործողի դերը կարողանում կատարել, և դուք դերը հանձնում եք սովորական օգտագործողին, ապա օգտագործողը կարող է ջնջել ձեր բոլոր հաղորդագրությունները, խմբագրել հղումները, ստեղծել սպամ հաղորդագրություններ, ավելացնել վնասակար հղումներ ձեր բլոգում: գրառումներ Այսպիսով, օգտագործողը կարող է հեշտությամբ ոչնչացնել ձեր կայքը.

Լռելյայն, WordPress- ը գալիս է օգտագործողի 5 տարբեր դերերով.

  • Ադմինիստրատոր
  • Խմբագիր
  • Հեղինակ
  • Աջակից
  • Բաժանորդ
  1. Ադմինիստրատոր Ադմինիստրատորները WordPress կայքի ամենաուժեղ օգտագործողի դերն են: Նրանք կարող են ստեղծել, խմբագրել և ջնջել օգտվողի հաշիվը, կարող են կատարել ցանկացած խնդիր WordPress- ի ադմինիստրատորի ողջ ընթացքում, վերահսկողություն ունենալ բովանդակության ամբողջ տարածքում և նաև չափավոր մեկնաբանություններ:. 
  2. Խմբագիր Խմբագիր դերի օգտագործողներն ամբողջությամբ վերահսկում են բովանդակությունը: Նրանք կարող են ստեղծել, խմբագրել և ջնջել ցանկացած հաղորդագրություններ, ներառյալ այլ օգտվողների կողմից ստեղծված գրառումները: Նրանք կարող են նաև չափավոր մեկնաբանություններ անել և հղումներ փոփոխել.
  3. Հեղինակ: Հեղինակները կարող են հրապարակել, խմբագրել կամ ջնջել միայն իրենց սեփական հաղորդագրությունները: Նրանք կարող են վերբեռնել մեդիա ֆայլերը `իրենց գրառումների մեջ օգտագործելու համար: Նրանք կարող են դիտել մեկնաբանությունները, բայց չեն կարող հաստատել կամ ջնջել որևէ մեկնաբանություն.
  4. Contributor: Մասնակից դեր ունեցող օգտվողները կարող են գրել, խմբագրել կամ ջնջել միայն իրենց չհրապարակված հաղորդագրությունը, բայց նրանք չեն կարող հրապարակել իրենց սեփական հաղորդագրությունը.
  5. Բաժանորդ. Բաժանորդները կարող են փոփոխել միայն իրենց հաշվի տեղեկությունները, ներառյալ գաղտնաբառը, բայց նրանք բովանդակության կամ կայքի կայանքների մուտք չունեն: Նրանք ունեն ամենացածր հնարավորությունները WordPress կայքում.

Հասկանալով WordPress- ի օգտագործողի դերերը, դուք կարող եք հեշտությամբ ղեկավարել դրանք ՝ առանց որևէ ռիսկի.

Մենք նաև խորհուրդ ենք տալիս որպես բաժանորդ բաժանորդագրել Նոր օգտվողի կանխադրված դերը: Անցեք Կարգավորումներ> Ընդհանուր պարամետրեր և դրանց հավաքածու Օգտագործողի նոր կանխադրված դերը Բաժանորդ և կտտացրեք Պահպանել փոփոխությունները.

WordPress- ի նոր օգտագործողի կանխադրված դերը

Լրացուցիչ մանրամասների համար կարդացեք սկսնակ ուղեցույցը WordPress- ի օգտագործողի դերի և հնարավորությունների վերաբերյալ

Վերադառնալ սկիզբ

14. Դիտեք ֆայլի փոփոխությունները և օգտագործողի գործունեությունը

WordPress- ի անվտանգությունը խստացնելու ևս մեկ խելացի միջոց ՝ օգտագործողների գործունեության մշտադիտարկումն ու ֆայլերի փոփոխությունները. 

Եթե ​​դուք WordPress բազմապրոֆիլ կայք եք վարում, ապա դուք պետք է հետևեք օգտագործողի վարքագծին, որպեսզի ավելի լավ հասկանաք, թե որոնք են իրենց գործողությունները ձեր WordPress կայքում:.

Ո՞վ գիտի, եթե օգտագործողը ինչ-որ կասկածելի աշխատանք է կատարում կամ փորձում է թալանել ձեր կայքը: Ինչպե՞ս կարող ես դա իմանալ?

Օգտագործողի գործողությունները և ֆայլերի փոփոխությունները հետևելու միակ ձևը օգտագործողի գործունեության WordPress plugin- ի օգտագործումն է: WordPress- ում օգտագործողի գործունեության plugin օգտագործելով ՝ կարող եք.

  • տեսեք, թե ովքեր են մուտք գործել և ինչ են անում իրական ժամանակում
  • երբ օգտագործողը մուտք է գործում և դուրս է գալիս
  • քանի անգամ օգտվողը փորձել է մուտք գործել, բայց չի հաջողվել

Բացի այդ, եթե խմբագիրն առանց ձեր թույլտվության որևէ փոփոխություն կատարեց գրառման կամ էջի մեջ, ապա կարող եք հեշտությամբ գտնել այն և վերադառնալ այն: Օգտագործողի գործունեության հավելվածի լավն այն է, որ այն անմիջապես ձեզ էլեկտրոնային ծանուցում է ուղարկում, եթե ինչ-որ բան սխալ ընթանա.

WP Security Audit Log- ը լավագույն plugin- ն է `իրական ժամանակում օգտագործողների գործունեությունը վերահսկելու և փոփոխություններ կատարելու համար: Ահա ներքևում գտնվող սքրինշոթը, թե ինչպես է աշխատում plugin- ը.

WordPress աուդիտի մատյանների դիտում

Կարդացեք նաև, WordPress- ում օգտագործողի ակտիվությունը դիտարկելու համար 5 լավագույն plugin (այլընտրանքային plugin)

Վերադառնալ սկիզբ

15. Իրականացրեք SSL և HTTPS

WordPress- ի անվտանգություն հնարավոր չէ կատարելագործվել առանց SSL վկայագրի: SSL (Secure Socket Layer) կայքը կայքի անվտանգության ողնաշարն է.

SSL- ը անվտանգության ստանդարտ տեխնոլոգիա է, որն ստեղծում է գաղտնագրված հղումներ սերվերի և վեբ զննարկչի միջև առցանց հաղորդակցության մեջ, ինչպիսիք են առցանց գործարքը: Այսպիսով, գաղտնաբառերը, վարկային քարտի տվյալները և այլն, բոլոր զգայուն տվյալներն անցնում են գաղտնագրված հղումների միջոցով.

Եթե ​​վարում եք առցանց բիզնես կամ բլոգ, որտեղ դուք ընդունում եք վճարումը, ապա SSL վկայագիրը պարտադիր է: Դա կպահպանի ձեր հաճախորդի տվյալները հաքերներից: Առցանց խանութների կամ WooCommerce կայքերի համար SSL վկայականի արժեքը կարժենա $ 20 – $ 170.

Եթե ​​դուք WordPress բլոգ եք վարում, ապա ձեզ հարկավոր չէ վճարովի SSL վկայագիր: Եթե ​​դուք օգտագործում եք cPanel հոստինգ, ինչպիսին է SiteGround- ը, WPEngine- ը, ապա կարող եք անվճար տեղադրել ընդամենը մեկ կտտոցով SSL վկայագիր:.

Նախ, մուտք գործեք ձեր հոստինգ cPanel հաշիվ և նավարկեք դեպի Անվտանգություն.  (Ահա ներքևում գտնվող սքրինշոթը ՝ SiteGround- ի հոստինգ cPanel- ից:)

SG SSL

Գնալ դեպի SSL / TLS մենեջեր և կտտացրեք Տեղադրեք SSL վկայագիր. Էջից ընտրեք ձեր տիրույթը և կտտացրեք Դոմեյնի ինքնալրացումը. Գործընթացը ավտոմատ է, այնպես որ ձեզ հարկավոր չէ որևէ բան փոփոխել կամ փոփոխել.

Կայքի հիմքի վրա տեղադրեք SSL վկայագիր

Այժմ կտտացրեք այն Տեղադրեք վկայագիր կոճակը `կարգավորելու գործընթացը ավարտելու համար.

Ավարտելուց հետո մուտք գործեք ձեր WordPress կառավարման վահանակ ՝ ձեր կայքի URL- ն փոփոխելու համար: Գնալ Կարգավորումներ> Գեներալ և ավելացրեք HTTP- ը փոխարինել HTTPS- ով ՝ նախքան ձեր կայքի URL- ն: Ահա ներքևում գտնվող սքրինշոթը.

WP HTTPS

Նորացնելուց հետո կտտացրեք Պահպանել փոփոխությունները.

Ինչպես վերափոխել HTTP- ը HTTPS- ին WordPress- ում

Եթե ​​պատշաճ կերպով տեղադրել եք SSL վկայագիր, ապա ձեր կայքը հասանելի է HTTPS- ի միջոցով.

Բայց եթե ինչ-որ մեկը մուտքագրում է ձեր վեբ կայքի անունը (այսինքն ՝ domain.com) զննարկչի հասցեի բարում, ապա կայքը կարող է ցույց տալ «Միացումը անվտանգ չէ» հաղորդագրությունը: Դա նշանակում է, որ ձեր կայքը հասանելի է HTTP- ի միջոցով.

Խնդիրը շտկելու համար հարկավոր է ստիպել HTTPS- ը WordPress- ում, այնպես որ ձեր կայքը կբեռնվի միայն HTTPS- ով: Դուք կարող եք հեշտությամբ ստիպել HTTPS- ը WordPress- ում.

Նախ մուտք գործեք ձեր հոստինգ cPanel- ը և անցեք ձեր կայքի արմատային թղթապանակին և գտնեք .htaccess ֆայլ: Փոփոխեք .htaccess ֆայլը և վերջում ավելացրեք հետևյալ կոդը.

RewriteEngine միացված
Վերաշարադրել%% HTTPS} անջատված
Վերաշարադրել Rule ^ (. *) $ Https: //% {HTTP_HOST}% {REQUEST_URI} [L, R = 301]

Պահպանեք ֆայլը, և դուք ավարտվել եք: Այժմ ձեր վեբ կայքը հասանելի է միայն HTTPS- ով.

Եթե ​​ձեր վեբ հոստինգի մատակարարը SSL անվճար վկայական չի տրամադրում, ապա կարող եք ձեռքով տեղադրել SSL վկայագիր: Ահա ուղեցույցը, թե ինչպես տեղադրել անվճար SSL վկայագիր.

Վերադառնալ սկիզբ

16. Deleteնջել չօգտագործված թեմաները և հավելվածները

Երբ խոսքը վերաբերում է WordPress- ի անվտանգության խստացմանը, մենք չպետք է անտեսենք որևէ փոքր քայլ, որը կարող է ձեր կայքը խոցելի դարձնել. 

Ժամանակի մեծ մասի WordPress կայքի սեփականատերերը տեղադրում են տարբեր թեմաներ և հավելվածներ ՝ ստուգելու համար, թե որ թեման ավելի լավ է թվում իրենց կայքում, թե որ հավելվածն ունի ավելի շատ գործառույթներ: Դա նորմալ է. Բայց այդ չօգտագործված թեմաներն ու plugins- ը պահելը ձեր կայքը խոցելի է դարձնում.

Քանի որ WordPress- ի շատ թեմաների և հավելվածների պահպանումը պետք է պարբերաբար թարմացվի, ինչպես ձեր օգտագործածը: Եթե ​​դուք չեք թարմացնում դրանք, նրանք դարձել են խոցելի, և հակերները կարող են հեշտությամբ շահագործել ձեր կայքը խոցելի թեմաների և հավելվածների միջոցով: Բացի այդ, այդքան շատ թեմաներ և plugin պահելը WordPress- ի կայքը դանդաղեցնում է.

Այսպիսով, դուք միշտ պետք է ջնջեք չօգտագործված թեմաները և plugin- ը `կայքի աշխատանքի և WordPress- ի անվտանգության բարելավման համար.

Չօգտագործված plugin- ը ջնջելու համար անցեք Խրոցակներ> Տեղադրված Plugins. Ապա գտեք այն plugin- ը, որն այլևս ձեզ հարկավոր չէ: Նախ, անջատեք plugin- ը և կտտացրեք Նջել.

WordPress plugin- ի ջնջում

Նմանապես, թեմա ջնջելու համար անցեք Արտաքին տեսք> Թեմաներ և կտտացրեք Թեմայի մանրամասները. Այնուհետև աջ կողմի ներքևում կտտացրեք Նջել.

Deleteնջել թեման

Վերադառնալ սկիզբ

17. Անջատեք ֆայլերի խմբագրումը WordPress- ի վահանակում

Լռելյայն, WordPress- ը օգտվողներին հնարավորություն է տալիս խմբագրել թեման և plugin ֆայլը անմիջապես WordPress վահանակից: Սա օգտակար տարբերակ է այն օգտվողների համար, ովքեր հաճախ անհրաժեշտ է խմբագրել թեման և plugin ֆայլը.

WordPress թեման խմբագիր

Այնուամենայնիվ, այս գործառույթը միանգամայն պահելը կարող է լինել անվտանգության լուրջ խնդիր: Եթե ​​հակերները մուտք են գործում ձեր վեբ կայք, նրանք սովորաբար թողնում են իրենց հետքը `վնասաբեր կոդ ներարկելով վեբ կայքի ֆայլեր: Եթե ​​ձեր WordPress ֆայլերի խմբագրման գործառույթը միացված է, ապա հակերները կարող են հեշտությամբ վնասակար կոդ ներարկել ձեր թեման կամ plugin ֆայլը, որը ձեզ համար անհայտ կլինի:.

WordPress- ի անվտանգությունը բարելավելու համար հարկավոր է անջատել ֆայլերի խմբագրման գործառույթը ձեր WordPress վահանակից: WordPress- ի թեմաների և plugin- ի խմբագրիչի անջատումը շատ հեշտ գործընթաց է.

Նախ, դուք պետք է մուտք գործեք ձեր հոստինգ cPanel հաշիվ և անցեք ձեր WordPress կայքի արմատային թղթապանակին: Այստեղից ՝ գտիր wp-config.php. Կտտացրեք խմբագրմանը և վերջում ավելացրեք հետևյալ կոդը.

սահմանել (‘DISALLOW_FILE_EDIT’, ճշմարիտ);

Այժմ պահեք ֆայլը և թարմացրեք ձեր WordPress վահանակը: Դուք կտեսնեք, որ թեման և plugin- ի խմբագրիչի տարբերակն անցել է: Այս փոքրիկ հնարքով դուք կարող եք հեշտությամբ բարելավել WordPress- ի անվտանգությունը.

Կարդացեք մանրամասն ուղեցույցը, թե ինչպես անջատել թեման և plugin- ի խմբագրիչը WordPress- ում

Վերադառնալ սկիզբ

18. Գաղտնաբառ պաշտպանեք WordPress- ի մուտքի էջը

WordPress- ի անվտանգությունը բարելավելու ևս մեկ հիանալի տարբերակ `WordPress- ի մուտքի էջը գաղտնաբառով պաշտպանելը.

Ձեր WordPress մուտքի (/wp-login.php) կամ ադմինիստրատորի (https://cdn.wpmyweb.com/wp-admin) էջը պաշտպանող գաղտնաբառով, կարող եք կանխել հակերներին մուտք գործել ձեր մուտքի էջ, քանի որ այն գաղտնաբառ է պահանջում ՝ մուտք դեպի մուտքի էջ. Նույնականացման պահանջվող թռուցիկ տուփԱյս գործառույթը միացնելուց հետո ձեր կայքը հուշում է բոլոր օգտվողներին, ովքեր մուտք են գործել մուտքի էջը օգտվողի անունով և գաղտնաբառով պատուհանի միջոցով: Մի խոսքով, բոլոր օգտվողները պետք է երկու անգամ մուտք գործեն տարբեր օգտվողի անունով և գաղտնաբառով նախքան ձեր WordPress- ի ադմինիստրատորի մուտք գործելը.

Դրանով դուք կարող եք ուժեղացնել ձեր WordPress- ի անվտանգությունը և ձեր մուտքի էջին ավելացնել անվտանգության լրացուցիչ շերտ.

Կարդացեք մեր խորը ուղեցույցը, թե ինչպես գաղտնաբառով պաշտպանել WordPress մուտքի էջը.

Վերադառնալ սկիզբ

19. Անջատեք տեղեկատուի զննարկումը WordPress- ում

Լռելյայնորեն, Apache- ի, NGINX- ի և LiteSpeed- ի նման վեբ սերվերների մեծ մասը թույլ է տալիս ցանկացած օգտվող թերթել այն դիրեկտորիաները, որոնք պարունակում են WordPress ֆայլեր և պանակներ: Նրանք կարող են նաև տեսնել, թե որ թեման և հավելվածներն եք օգտագործում և ավելին իմանալ ձեր վեբ կայքի կառուցվածքի մասին.

WordPress կայքի ինդեքսի էջը

Այս տեղեկատվությունը կարող է ձեր WordPress կայքի խոցելի տանել և օգնել հակերին ՝ փորձելով վարկաբեկել ձեր կայքը.

WordPress- ի անվտանգությունը բարձրացնելու համար խորհուրդ ենք տալիս անջատել այս տարբերակը: WordPress- ում գրացուցակի զննումը անջատելու համար պարզապես ավելացրեք հետևյալ տողը ձեր վրա .htacces ֆայլ.

Ընտրանքներ Բոլորը-Ինդեքսներ

Մանրամասն հրահանգների համար կարդացեք մեր ուղեցույցը, թե ինչպես անջատել գրացուցակը զննարկել WordPress- ում

Վերադառնալ սկիզբ

20. Հեռացրեք ձեր WordPress տարբերակը

Լռելյայն, WordPress- ը ավտոմատ կերպով ավելացնում է մետա-պիտակները տարբեր վայրերում, որոնք ցուցադրում են ձեր կողմից օգտագործված WordPress- ի տարբերակը.

Ահա բանը. Եթե հակերները գիտեն, որ դուք աշխատում եք WordPress- ի հնացած տարբերակ, նրանք կարող են շահագործել ձեր կայքը այն հայտնի խոցելիությունների միջոցով, որոնք առկա են WordPress- ի հին տարբերակում.

Այսպիսով, ավելի լավ է հեռացնել ձեր WordPress տարբերակը ՝ բարելավելու WordPress- ը: Կան մի քանի տեղեր, որտեղ WordPress- ը ավելացնում է մետա-պիտակները, ինչպիսիք են WordPress- ի վահանակում, վերնագրում, ոճում և Javascript- ում և RSS հոսքում:.

WordPress- ի տարբերակը հանելով վերնագրից և RSS- ից

Գլուխից և RSS- ից տարբերակը հանելու համար ձեր վերջում ավելացրեք հետևյալ տողը գործառույթները.php ֆայլ.

գործառույթը remove_wordpress_version ()
վերադարձ ”;
}
add_filter (‘the_generator’, ‘remove_wordpress_version’);

WordPress- ի տարբերակի համարը հանելով Scripts- ից և CSS- ից

WordPress- ի տարբերակը CSS- ից և գրություններից հանելու համար ձեր վերջում ավելացրեք հետևյալ տողը գործառույթները.php ֆայլ.

// Ընտրեք տարբերակի համարը սցենարներից և ոճերից
գործառույթը remove_version_from_style_js ($ src) {
if (strpos ($ src, ‘ver =’. get_bloginfo (‘տարբերակը’)))
$ src = remove_query_arg (‘ver’, $ src);
վերադարձնել $ src;
}
add_filter (‘style_loader_src’, ‘remove_version_from_style_js’);
add_filter (‘script_loader_src’, ‘remove_version_from_style_js’);

Ավարտելուց հետո պահեք գործառույթները.php ֆայլը.

Դա է Այս պարզ հնարքով դուք կարող եք, անշուշտ, բարելավել ձեր WordPress- ի անվտանգությունը: Այնուամենայնիվ, մենք միշտ խորհուրդ ենք տալիս պարբերաբար թարմացնել ձեր WordPress տարբերակը, ինչպես նաև թեման և հավելվածները.

Մանրամասն հրահանգների համար կարդացեք մեր ուղեցույցը, թե ինչպես թաքցնել կամ հեռացնել WordPress տարբերակը

Վերադառնալ սկիզբ

21. Փոխեք WordPress տվյալների շտեմարանի աղյուսակի նախածանցը

WordPress- ի տեղադրման ընթացքում այն ​​հարցնում է, թե արդյոք ցանկանում եք օգտագործել տվյալների բազայի այլ նախածանց: Մենք սովորաբար բաց ենք թողնում այս քայլը, այնպես որ WordPress- ը ինքնաբերաբար օգտագործում է (WP_) որպես տվյալների բազայի նախնական աղյուսակի նախածանց: Խորհուրդ ենք տալիս փոխել այն ինչ-որ ուժեղ և յուրօրինակ բան.

Լռելյայն (WP_) նախածանց օգտագործելը ձեր WordPress բազան ենթակա է SQL ներարկման գրոհների համար: Նման գրոհները հնարավոր է կանխել ՝ փոխելով տվյալների բազայի նախածանցը (WP_) եզակի բանի.

WordPress- ը տեղադրելուց հետո հեշտությամբ կարող եք փոխել տվյալների բազայի նախնական աղյուսակի նախածանցը `օգտագործելով plugins կամ ձեռքով: Ծրագրեր, ինչպիսիք են BackupBuddy- ը, Brozzme DB- ի նախածանցը թույլ է տալիս փոխել սեղանի նախածանցը ընդամենը մեկ կտտոցով.

Հանուն ձեռնարկի, ես ցույց եմ տալիս, թե ինչպես կարելի է այն փոխել ՝ օգտագործելով Brozzme DB prefix plugin.

Նշում: Նախքան ձեր տվյալների բազայի հետ որևէ բան անելը, համոզվեք, որ ձեր կայքի և տվյալների բազայի կրկնօրինակում եք վերցնում: Եթե ​​ինչ-որ բան սխալ լինի, կարող եք վերականգնել ձեր կայքը.

Նախ տեղադրեք և ակտիվացրեք Brozzme DB նախածանց միացնել. Ձեր WordPress վահանակից գնացեք Գործիքներ> DB նախածանց և մուտքագրեք տվյալների բազայի նախածանցի նոր եզակի անուն.

Brozzme DB նախածանց

Մուտքագրեք ձեր նոր նախածանցը, կտտացրեք Փոխել DB նախածանցը.

Ձեռնարկի ընթացքի համար կարդացեք, թե ինչպես փոխել տվյալների բազայի աղյուսակի նախածանցը `օգտագործելով phpMyAdmin

Վերադառնալ սկիզբ

22. Օգտագործեք միայն վստահելի WordPress հավելվածներ

WordPress- ը գալիս է ավելի քան 48,000 հավելյալ: Դա չի նշանակում, որ բոլոր հավելվածները օգտակար և անվտանգ են օգտագործման համար.

Քանի որ WordPress plugin պատկերասրահում կան շատ plugins, որոնք երկար ժամանակ չեն թարմացվում և սովորաբար դրանք դառնում են խոցելի: Բացի այդ, դուք չեք ստանա որևէ աջակցություն, եթե հավելվածը կոտրում է ձեր կայքը.

Նախքան ցանկացած անվճար plugin օգտագործելը, երկու կարևոր բան, որ դուք պետք է ստուգեք,

  • Ստուգեք, երբ plugin- ը վերջին անգամ թարմացվել է. Եթե ​​plugin- ը հաճախակի չի թարմացվում կամ այլևս չի պահպանվում plugin- ի մշակողի կողմից, ապա պետք է խուսափել plugin- ից.

WordPress Plugin- ի հնացած տարբերակ

  • Ստուգեք արդյո՞ք plugin- ը ունի առավելագույն դրական վարկանիշներ. Հաջորդ բանը, որ դուք պետք է ստուգեք `արդյո՞ք plugin- ն ունի առավելագույն դրական կամ բացասական վարկանիշներ: Եթե ​​plugin- ը ունի առավելագույն բացասական վարկանիշներ, ապա չպետք է այն օգտագործել.

WordPress- ի ցածր գնահատված Plugin

Կարող եք նաև ստուգել plugin- ի Կարծիքների և աջակցության էջը `տեսնելու, թե ինչ են ասում այլ օգտվողներ plugin- ի վերաբերյալ.

Բայց մի անհանգստացեք: Կան շատ նման այլ plugins, որոնք կարող եք գտնել WordPress plugin պատկերասրահից.

Եթե ​​ցանկանում եք օգտագործել պրեմիում հավելված, ապա կարիք չկա անհանգստանալու դրա մասին: Պրեմիում հավելվածները պարբերաբար թարմացվում են, և դուք կստանաք 24x աջակցություն plugin- ի մշակողի կողմից.

Վերադառնալ սկիզբ

23. Անջատեք PHP- ի սխալի մասին հաշվետվությունը

WordPress- ի անվտանգությունը խստացնելու ևս մեկ հիանալի միջոց է WordPress- ում PHP սխալի մասին զեկույցն անջատելը: Շատ անգամ, երբ հնացած plugin կամ թեմա եք տեղադրում, կարող եք տեսնել PHP սխալի նախազգուշացումը.

WordPress PHP- ի սխալի նախազգուշացումԱյնուամենայնիվ, այն կարող է ձեր կայքը խոցելի դարձնել, եթե հակերները ձեռք են բերում այն, քանի որ այն ցույց է տալիս ծածկագիրը և ֆայլի գտնվելու վայրը: Ռիսկը նվազագույնի հասցնելու համար կարող եք անջատել PHP սխալի մասին զեկույցները WordPress- ում.

WordPress- ում PHP- ի սխալի նախազգուշացման անջատումը շատ հեշտ է: Նախ ՝ խմբագրեք ձեր wp-config.php ֆայլ և գտնեք այն տողը, որն ունի այս ծածկագիրը.

սահմանել (‘WP_DEBUG’, կեղծ);

Դուք կարող եք տեսնել «ճշմարիտ» ՝ «կեղծ» -ի փոխարեն: Հիմա տողը փոխարինեք հետևյալ կոդով.

ini_set («Display_errors», «Off»);
ini_set (‘error_reporting’, E_ALL);
սահմանել (“WP_DEBUG”, կեղծ);
սահմանել (“WP_DEBUG_DISPLAY”, կեղծ);

Պահպանեք ֆայլը, և դուք ավարտվել եք.

Մենք նաև խորհուրդ ենք տալիս օգտագործել արդիական և լավ գնահատված պլագիններ ՝ այսպիսի խնդրից խուսափելու համար.

Վերադառնալ սկիզբ

24. WordPress- ին ավելացնել HTTP անվտանգ վերնագրեր

WordPress- ի անվտանգությունը խստացնելու ևս մեկ հիանալի տարբերակ `ձեր WordPress կայքի HTTP- ի անվտանգ վերնագրեր ավելացնել.

Երբ ինչ-որ մեկը մուտք է գործում ձեր կայք, զննարկիչը հարցում է անում ձեր վեբ սերվերին: Այնուհետև վեբ սերվերը պատասխանում է հարցումներին ՝ HTTP վերնագրերի հետ միասին: Այս HTTP վերնագրերը փոխանցում են այնպիսի տեղեկատվություն, ինչպիսիք են բովանդակության կոդավորումը, քեշի վերահսկումը, բովանդակության տեսակը, կապը և այլն.

HTTP արձագանքման անվտանգ վերնագրեր ավելացնելով ՝ կարող եք բարելավել ձեր WordPress անվտանգությունը, ինչպես նաև կանխել հարձակման մեղմացումը և անվտանգության խոցելիությունները.

Ահա ստորև նշված HTTP վերնագրերը.

  • HTTP խիստ տրանսպորտային անվտանգություն (HSTS): HTTP խիստ տրանսպորտային անվտանգությունը (HSTS) վեբ զննարկչին պարտադրում է օգտագործել միայն անվտանգ կապեր (HTTPS) `կայքի հետ շփվելիս: Սա կանխում է SSL արձանագրության հաքերը, cookie- ի առևանգումը, SSL- ի հեռացումը և այլն.
  • X-Frame- ընտրանքներ. X-Frame- ընտրանքները HTTP- ի վերնագիր է, որում նշվում է, թե արդյոք զննարկիչը թույլատրվում է կայքէջը մեկ շրջանակում մատուցել: Սա կանխում է clickjacking- ի գրոհները և ապահովում է, որ ձեր վեբ կայքը ներառված չէ այլ կայքերի մեջ .
  • X-XSS- պաշտպանություն. X-XSS- պաշտպանությունը համացանցային Explorer- ի, Google Chrome- ի, Firefox- ի և Safari բրաուզերների ներկառուցված առանձնահատկություն է, որոնք արգելափակում են էջերը բեռնումից, եթե վնասակար գրությունը տեղադրվել է օգտագործողի մուտքից:.
  • X- բովանդակության տիպի ընտրանքներ. X-Content-Type- ի ընտրանքները HTTP արձագանքման վերնագիր են `անվանյալ արժեքային nosniff- ով, որը թույլ է տալիս վեբ դիտարկիչներին MIME- ով խորտակել պատասխան հայտարարված բովանդակության տիպից:.
  • Հղում-քաղաքականություն. Հայտարարող քաղաքականությունը HTTP արձագանքման վերնագիր է, որը կանխում է խաչաձև տիրույթում անդրադարձողների արտահոսքը.

WordPress- ում HTTP անվտանգ վերնագրեր ավելացնելու համար պարզապես ավելացրեք կոդերի հետևյալ տողերը ձեր մեջ .htaccess ֆայլ.

Վերնագիրը սահմանեց Խիստ տրանսպորտ-անվտանգություն "առավելագույն տարիքը = 31536000" env = HTTPS
Վերնագիրը միշտ հավելում է X-Frame- ի Ընտրանքներ SAMEORIGIN
Վերնագիր սահմանեց X-XSS- պաշտպանություն "1; ռեժիմ = բլոկ"
Վերնագիր սահմանեց X-Content-Type- Ընտրանքներ nosniff
Header Referrer-Policy. No-referrer-when-downgrade

Անվտանգության ղեկավարների ստուգում

Հիմա գնացեք Securityheaders.com ստուգել ՝ կոդերն աշխատում են, թե ոչ: Մենք չենք ավելացրել «Բովանդակության անվտանգության քաղաքականություն», քանի որ այն կարող է կոտրել ձեր կայքը: Այնուամենայնիվ, բավական է ձեր WordPress կայքը անվտանգ դարձնել.

Վերադառնալ սկիզբ

Եզրակացություն

Կան շատ եղանակներ, որոնցով կարող եք կարծրացնել WordPress- ի անվտանգություն ինչպիսիք են ՝ WordPress- ի կողմից կառավարվող հոստինգ օգտագործելը, հաշիվների համար գաղտնաբառեր օգտագործելը, օգտագործողի գործունեությունը վերահսկելը, WordPress անվտանգության հավելվածի օգտագործումը, SSL և HTTPS ներդրումը և այլն.

WordPress- ի անվտանգությունը կարծես թե հրթիռային գիտություն չէ: Դուք կարող եք հեշտությամբ ապահովել ձեր WordPress կայքը `իրականացնելով WordPress- ի անվտանգության լավագույն փորձերը, որոնք մենք կիսեցինք այս հոդվածում: Իրականացնելով դրանք, դուք ոչ միայն կապահովեք ձեր WordPress կայքը, այլև կխանգնեք հակերներին մուտք գործել ձեր կայք.

Ավարտելուց հետո ձեզ հարկավոր չէ անհանգստանալ ձեր WordPress- ի անվտանգության վերաբերյալ: Ավելին, դուք կարող եք լինել ավելի արդյունավետ և ազատ լարումից.

Այժմ հերթը ձերն է: Կարդացեք հոդվածը մանրակրկիտ և կատարեք դրանք ձեր կայքում: Դուք երջանիկ կլինեք, որ դա արեցիք: ��

Մենք կարոտե՞լ ենք WordPress- ի անվտանգության որևէ կարևոր հուշում ՝ այստեղ նշելու համար: ազատ զգալ մեզ մեզ մեկնաբանությունների բաժնում.

WordPress անվտանգության ինֆոգրաֆիա

WordPress-Security-Infographic- փոքր չափի

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Понравилась статья?
    Комментарии (0)
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector