WordPress drošība – 24 padomi, kā nodrošināt jūsu vietnes aizsardzību no hakeriem

Pārvaldot vietni, pirmajai prioritātei vajadzētu būt WordPress drošībai. Jūs izstrādājat savu vietni, publicējat saturu, pārdodat produktus tiešsaistē, bet, ja jūs nopietni neuztverat WordPress drošību, jūsu vietne var tikt uzlauzta jebkurā laikā. 


Katru dienu 30 000 vietņu tiek uzlauztas, un vairāk nekā 2000 vietņu Google iekļauj melnajā sarakstā. Jūs neesat izņēmums. Ja valdības vietne var tikt uzlauzta, kāpēc gan ne jūsu?

Kādu rītu jūs pamodāties un redzat, ka jūsu WordPress vietne nav pieejama, un redzat gadījuma ziņojumus, piemēram,

“Xyz ir uzlauzis jūsu vietni” – uzlauzta vietne

“Vietne, kas atrodas priekšā, satur ļaunprātīgu programmatūru” – melnajā sarakstā iekļauts Google

Tas ir vissliktākais, ar ko jūs varētu saskarties savā vietnē.

Bet kāpēc WordPress?

WordPress pārvalda vairāk nekā 31% (80 miljoni) no visām tīmekļa vietnēm tīklā. Saskaņā ar W3Techs, WordPress ir par 60% CMS tirgus daļas vairāk nekā citās platformās, kas ir diezgan drošs iemesls hakeru piesaistīšanai..

Bet nevajag paniku. Sacietēt WordPress drošību ir ļoti viegli, un jūs to varat arī izdarīt.

Šajā rakstā es dalīšos ar 24 labākajiem WordPress drošības padomiem, lai aizsargātu jūsu vietni no hakeriem un ļaunprātīgas programmatūras.

“Kāpēc gan lai jūsu pils vārti nepazustu, pirms viņi tos atklāj?” – WPMyWeb

Contents

Biežākās WordPress drošības problēmas

Pirms mēs dziļi padziļināmies WordPress drošības paraugpraksē, vispirms izprotam dažas izplatītas WordPress drošības problēmas.

Daudzi lietotāji uzskata, ka WordPress nav droša platforma, ko izmantot uzņēmējdarbībai, kas nepavisam nav taisnība. Tas ir saistīts ar zināšanu trūkumu par WordPress drošību, sliktu sistēmas administrēšanu, novecojušas WordPress programmatūras un spraudņu izmantošanu utt..

Daudzi WordPress iesācēji pieņem, ka vietnes izveidošana ir beigas un tai nav nepieciešama nekāda drošības uzturēšana. Tādējādi jūs vietni atstājat neaizsargātu.

Kad hakeri jūsu vietnē ir kļuvuši neaizsargāti, viņi var viegli izmantot jūsu vietni.

Apskatīsim dažas no izplatītākajām WordPress drošības problēmām.

1. Brutālie spēka uzbrukumi: 

Brutālā spēka uzbrukumā automatizētu skriptu izmanto, lai ģenerētu dažādas lietotājvārdu un paroļu kombinācijas. Hakeris izmanto WordPress pieteikšanās lapu, lai vadītu brutālu spēku uzbrukumu. 

Ja izmantojat vienkāršu lietotājvārdu un paroli, jūs varētu būt nākamais šī uzbrukuma upuris.

2. Vietņu šķērsskripcija (XSS):

Vietņu savstarpējā skriptēšana ir uzbrukuma veids, kurā uzbrucēji uzticamā vietnē ievada ļaunprātīgu kodu / skriptu. Šī uzlaušanas metode ir pilnīgi neredzama lietotājiem, kas sērfo.

Šie ļaunprātīgie skripti anonīmi tiek ielādēti un zog informāciju no lietotāju pārlūka. Pat ja lietotājs ievadīs datus jebkādā formā, tos var nozagt.

3. SQL injekcijas:

Lai saglabātu emuāru informāciju, WordPress izmanto MySQL datu bāzi.

SQL injekcija notiek, kad hakeri iegūst piekļuvi WordPress datu bāzei. Uzlaužot WordPress datu bāzi, hakeri var izveidot jaunu administratora kontu ar pilnu piekļuvi jūsu vietnei.

Viņi var arī ievietot datus jūsu MySQL datu bāzē un pievienot saites uz ļaunprātīgām vai surogātpastu vietnēm.

4. Aizmugurējās durvis:

Ar vārdu “sētas durvis” jūs varat saprast, ko tas nozīmē. 

Aizmugures durvis ir uzlaušanas metode, kas ļauj hakeriem iekļūt vietnē, apejot parasto autentifikācijas procesu un pat paliekot nepamanītam no vietnes īpašnieka..

Pēc vietnes uzlaušanas hakeri parasti atstāj savu pēdu, lai viņi varētu piekļūt vietnei, pat uzlauzums tiek noņemts.

5. Farmaceitiskie haki:

WordPress Pharma hacks ir sava veida vietņu surogātpasts, kas piepilda meklētājprogrammu rezultātus ar surogātpastu aptieku saturu, kas ir aizliegts tīmeklī, piemēram, Viagra, Nexium, Cialis utt..

Atšķirībā no citiem WordPress hackiem, pharma hack rezultāti ir redzami tikai meklētājprogrammās. Tātad jūs nevarat pamanīt uzlauzšanu, vienkārši apskatot savu vietni vai avota kodu.

Dodieties uz Google un ierakstiet vietne: domain.com. Ja meklēšanas rezultātos tiek parādīts jūsu vietnes saturs (nevis aptieku saturs), tad jūsu vietni neietekmē farmaceitiskās hakeri.

Šī hakera mērķis ir izmantot jūsu visvērtīgākās lapas, ignorējot nosaukuma tagu ar kaitīgām saitēm. Nemaz nerunājot, ja jūs savlaicīgi nepārbaudāt lietu, tādas meklētājprogrammas kā Google, Bing var melnajā sarakstā iekļaut jūsu vietni ļaunprātīga satura nodrošināšanai.

6. Ļaunprātīga novirzīšana:

Ļaunprātīga WordPress novirzīšana ir sava veida hakeris, kurā jūsu vietnes apmeklētāji tiek automātiski novirzīti uz nevēlamām vietnēm, piemēram, azartspēlēm, porno, iepazīšanās vietnēm. Šis uzlauzums rodas, ja ļaunprātīgs kods tiek ievadīts jūsu vietnes failā vai datu bāzē.

Ja jūsu vietne novirza apmeklētājus uz nelikumīgām vai ļaunprātīgām vietnēm, iespējams, Google vietni iekļaus melnajā sarakstā.

Kāpēc WordPress drošība ir svarīga?

Jūsu vietne atspoguļo jūsu zīmolu, jūsu biznesu un, pats galvenais, pirmo kontaktu ar klientiem.

Droši vien jums vajadzēja vairākus gadus, pieliekot daudz pūļu, lai aizstāvētu savu biznesu un palielinātu datplūsmu. Jūsu auditorija mīl jūsu rakstus un uzticas jūsu produktiem, tāpēc viņi turpina kontaktēties ar jums.

Ja jūsu WordPress vietne nav droša, tiek ietekmēti gan jūsu vietne, gan klienti dažādos veidos. Hakeri var nozagt lietotāja personisko informāciju, paroles, kredītkaršu datus, informāciju par darījumiem un var izplatīt ļaunprātīgu programmatūru jūsu lietotājiem.

Ja jūsu vietne tiek uzlauzta, pamanīsit, ka jūsu trafiks krasi samazinās. Turklāt Google melnajā sarakstā iekļaus jūsu vietni.

Saskaņā ar Google emuārs, uzlauzto vietņu skaits 2016. gadā palielinās par aptuveni 20%, salīdzinot ar 2015. gadu.

Pētījumā Securi ziņojumi ka Google katru dienu melnajā sarakstā iekļauj vairāk nekā 10 000 vietņu.

Ja jūs nopietni domājat par savu biznesu, jums jāpievērš īpaša uzmanība jūsu WordPress drošībai.

WordPress drošība

Labākais WordPress drošības ceļvedis

  1. Iegūstiet labu WordPress mitināšanu
  2. Atjauniniet WordPress versiju
  3. Nelietojiet nevienu izslēgtu / sašķeltu motīvu vai spraudni
  4. Izmantojiet spēcīgas paroles
  5. Pievienojiet (2FA) divu faktoru autentifikāciju
  6. Mainiet WordPress pieteikšanās URL
  7. Ierobežojiet pieteikšanās mēģinājumus
  8. Regulāri dublējiet savu vietni
  9. Izmantojiet WordPress drošības spraudni
  10. Automātiski atteikties no tukšgaitas lietotājiem
  11. Pievienojiet drošības jautājumus WordPress pieteikšanās lapai
  12. Mainiet noklusējuma “admin” lietotājvārdu
  13. Piešķirt lietotājiem iespējami mazāko lomu
  14. Monitor failu izmaiņas un lietotāja darbības
  15. Instalējiet SSL sertifikātu
  16. Dzēsiet neizmantotos motīvus un spraudņus
  17. Atspējot failu rediģēšanu WordPress informācijas panelī
  18. Ar paroli aizsargāta WordPress pieteikšanās lapa
  19. Atspējot direktoriju pārlūkošanu
  20. Noņemiet WordPress versijas numuru
  21. Mainiet WordPress datu bāzes tabulas prefiksu
  22. Izmantojiet tikai uzticamas WordPress tēmas un spraudņus
  23. Atspējot PHP kļūdu ziņošanu
  24. Pievienojiet WordPress HTTP drošās galvenes

Gatavs? Sāksim.

1. Iegūstiet labu WordPress mitināšanu

WordPress mitināšanai ir liela loma, ja runa ir par WordPress drošības uzlabošanu.

Jūs maksājat par mitināšanas pakalpojumu, un jūsu vietne paliek viņu kontrolē. Tāpēc jums vajadzētu būt uzmanīgiem, pirms izvēlēties labu WordPress mitināšanas vietni savai vietnei.

Kopīgotā mitināšana, piemēram, A2Hosting, Bluehost utt., Ir labākā mitināšanas iespēja mazas datplūsmas emuāru uzturēšanai. Bet dalītajā mitināšanā vienmēr būs iespēja inficēties dažādās vietās.

Piesārņojums dažādās vietās notiek, ja hakeris var piekļūt tīmekļa serverim caur neaizsargātu vietni un pēc tam izmantot visas pārējās vietnes tajā pašā tīmekļa serverī..

Mēs iesakām izmantot pārvaldītu WordPress mitināšanas pakalpojumu sniedzēju. Pārvaldītie WordPress mitināšanas uzņēmumi vietnēm nodrošina daudzslāņu drošības iespējas. Viņu mitināšanas platformas ir ļoti drošas, un tās katru dienu piedāvā skenēt ļaunprātīgu programmatūru un novērš jebkādus ārējus uzbrukumus. Jebkurā gadījumā viņi savā serverī atrod ļaunprātīgu programmatūru, viņi uzņemas atbildību un nekavējoties to noņem.

Viņi arī piedāvā ikdienas dublējumus, bezmaksas SSL sertifikātu, 24×7 ekspertu atbalstu.

Mēs iesakām WPEngine pārvaldītu WordPress mitināšanas uzņēmumu. Viņi piedāvā vairākus drošības slāņus, lai aizsargātu jūsu WordPress vietni. Izmantojot viņu plānu, jūs katru dienu iegūsit dublējumus, bezmaksas SSL, globālu CDN un 24×7 ekspertu atbalstu.

Apmeklējums WPEngine. [Šajā saitē pievienots atlaides kods]

Atpakaļ uz augšu

2. Atjauniniet WordPress versiju

WordPress vietnes atjaunināšana ir laba drošības prakse, lai pastiprinātu jūsu WordPress drošību. Šajā atjauninājumā ir WordPress versija, spraudņi un motīvi.

Nesenā pētījumā, Securi analizēja ka 56% no visām WordPress inficētajām vietnēm joprojām bija novecojušas. Ja jūs esat viens no viņiem, jums draud briesmas.

Katru dienu tiek atklātas jaunas ievainojamības, un nav iespēju tās apturēt. Novecojusi programmatūra un spraudņi var saturēt ievainojamības, kuras hakeris var izmantot vietnes izmantošanai.

Ar katru atjauninājumu izstrādātāji iekļauj jaunas funkcijas, izlabo drošības caurumus, novērš kļūdas utt. Tāpat kā programmatūra WordPress, jums ir arī jāatjaunina WordPress motīvi un spraudņi..

Labi ir tas, ka WordPress automātiski izvērš savus atjauninājumus un paziņo par tiem lietotājiem.

WordPress versijas, spraudņu un motīvu atjaunināšana ir ļoti vienkārša, un jūs to varat izdarīt, izmantojot WordPress administratora informācijas paneli.

Kā atjaunināt WordPress, spraudņus un motīvus?

Vispirms piesakieties savā WordPress informācijas panelī un dodieties uz Mērinstrumentu panelis> Atjauninājumi. Tur jūs varat redzēt, vai ir pieejams jauns atjauninājums.

Piezīme: Pirms atjaunināt WordPress versiju, pilnībā izveidojiet failu un datu bāzes dublējumu. Ja rodas kļūda, varat viegli atjaunot savu vietni iepriekšējā versijā. Izmantojot BlogVault, ar vienu klikšķi varat viegli dublēt un atjaunot savu vietni.

Lapā varat redzēt “Ir pieejama atjaunināta WordPress versija”. Klikšķiniet uz Atjaunināt tagad lai atjauninātu WordPress versiju, šis process var ilgt dažas sekundes.

Kad atjaunināšana ir pabeigta, ritiniet uz leju zemāk, lai atjauninātu savus WordPress spraudņus. Mēs iesakām atjaunināt spraudņus pa vienam. Vispirms atlasiet spraudni un noklikšķiniet uz Atjaunināt spraudņus.

Līdzīgi atjauniniet zemāk esošās tēmas.

Atjauniniet WordPress no informācijas paneļa

Tomēr atjaunināšanas process ir nedaudz grūts dažiem lietotājiem, īpaši tiem, kuri nav prasmīgi.

Daži pārvaldīti WordPress mitināšanas pakalpojumu sniedzēji, piemēram, SiteGround, Kinsta, FlyWheel automātiskā atjaunināšana iezīme. Tātad, ja jums ir aizņemts grafiks vai esat slinks, lai atjauninātu, tas varētu būt noderīgs.

Izlasiet arī sadaļu Kā manuāli atjaunināt WordPress versiju, spraudņus un motīvus

Atpakaļ uz augšu

3. Nekad nelietojiet nevienu nullētu / sašķeltu motīvu un spraudni

Nav brīnums, ka premium spraudņos un motīvos ir vairāk funkcionalitātes un tie izskatās profesionāli. Bet neviens no augstākās kvalitātes produktiem nav bezmaksas. Tā tiek noteikta ar cenu, un, iegādājoties jebkādus premium produktus, lietotājiem jāievada produkta atslēga, lai produktu aktivizētu.

Bet ir pieejamas daudzas ļaunprātīgas vietnes, kas bez maksas nodrošina augstākās klases tēmas un spraudņus. Šiem uzlauztiem motīviem un spraudņiem nav nepieciešama seriālā atslēga, lai tos aktivizētu, un tie nekad netiek atjaunināti.

Lūk, ko es domāju:

Nulled WordPress spraudņa piemērs

Šīs nulles motīvi un spraudņi ir ļoti bīstami jūsu vietnei. Hakeri tajā speciāli iepludina ļaunprātīgus kodus un jūsu vietnei rada aizmugures durvis. Tāpēc viņi var viegli piekļūt jūsu vietnei un uzlauzēt jūsu vietni, ieskaitot datu bāzi.

Tāpēc nekad nelietojiet nevienu nullētu vai sašķeltu WordPress motīvu un spraudņu.

Mēs ļoti iesakām lejupielādēt bezmaksas motīvus vai spraudņus tikai no WordPress.org.

Mēs saprotam, ka bezmaksas motīvam vai spraudnim ir ļoti ierobežotas funkcijas. Bet šīs bezmaksas tēmas vai spraudņus ir droši lietot un regulāri atjaunināt.

Izlasiet arī 7 labākās WordPress labākās emuāru veidošanas tēmas

Atpakaļ uz augšu

4. Izmantojiet spēcīgas paroles

Parole ir galvenā atslēga, lai piekļūtu jūsu WordPress vietnei. Ja tas ir vienkāršs un īss, tad hakeri var viegli uzlauzt jūsu paroli. Beigās 80% notiek ar uzlauzšanu saistīti pārkāpumi vājas paroles vai nozagtas paroles dēļ.

Nesenā pētījumā, SplashData atklāts 100 sliktākās paroles 2017. gadā.

Šeit ir daži no tiem:

  1. 123456
  2. paroli
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. Ielaid mani
  8. 1234567
  9. futbols
  10. Es mīlu Tevi
  11. admin
  12. laipni gaidīti
  13. pērtiķis (lol)

Ja jūsu parole ir vienkārša kā iepriekš, tad nekavējoties nomainiet to. Labas izturības parolei jābūt vismaz 10 cipariem, un tajā jābūt lielajiem, mazajiem burtiem, skaitlim un īpašajām rakstzīmēm.

Jūs varat izmantot tiešsaistes paroļu ģeneratora rīks lai uzreiz izveidotu tūkstošiem drošu paroļu.

Parole ir jāsaglabā arī datorā.

Lai to padarītu vieglāku, paroļu pārvaldnieka programmatūru varat izmantot, lai pārvaldītu visas savas paroles, piemēram, LastPass, Dashlane utt.

Piesaistiet lietotājiem spēcīgu paroli

Pēc noklusējuma WordPress nenodrošina funkciju, kas neļauj lietotājiem ievadīt vājas paroles. Lielākoties lietotāji savam kontam iestata vāju paroli un gandrīz to nemaina.

Ja izmantojat vairāku lietotāju WordPress emuāru, jums vajadzētu piespiest lietotājus izmantot spēcīgu paroli.

Lai atvieglotu šo procesu, varat izmantot spraudni. Instalējiet un aktivizējiet Spēks Spēcīgas paroles spraudnis un esat pabeidzis. Tas neļaus lietotājiem un pat administratoram ievadīt vāju paroli.

Atpakaļ uz augšu

5. Pievienojiet divu faktoru autentifikāciju (2FA). 

Vēl viena vienkārša metode, lai pastiprinātu jūsu WordPress drošību, ir divu faktoru autentifikācijas (2FA) pievienošana WordPress pieteikšanās lapai. Divfaktoru autentifikācija vai divpakāpju verifikācija būtībā ir drošības process, kurā jūsu identitātei ir vajadzīgas divas metodes.

Pēc noklusējuma parasti mēs ievadām lietotājvārdu un paroli, lai pieteiktos vietnē. Pievienojot divu faktoru autentifikāciju, jums būs nepieciešams papildu verifikācijas process, piemēram, viedtālruņa lietotne, lai apstiprinātu autentifikācijas procesu.

Tātad, ja kāds zina jūsu lietotājvārdu un paroli, viņam ir nepieciešams jūsu viedtālrunis, lai saņemtu verifikācijas kodu, lai pieteiktos savā vietnē.

Pievienojot divu faktoru autentifikāciju, jūs ne tikai nodrošināsit savu WordPress pieteikšanās lapu, bet arī novērsīsit brutālu spēku uzbrukumus.

Varat ērti iespējot divu faktoru autentifikāciju, izmantojot Google divfaktoru autentifikatora WordPress spraudni.

Pēc aktivizēšanas dodieties uz Lietotāji> Lietotāja profils un aktivizējiet spraudni.

Google autentifikatora iestatījumi

Pēc tam no tālruņa lejupielādējiet lietotni Google autentifikators un skenējiet Svītrkods vai ievadiet Slepenais kods (skatiet ekrānuzņēmumu iepriekš) no savas vietnes, lai pievienotu savu vietni.

Pēc pievienošanas izrakstieties no savas vietnes. Pieteikšanās lapā jūs redzēsit papildu lauku, kurā jums jāievada verifikācijas kods no mobilās lietotnes Google Authenticator.

Google autentifikatora lauks

Lai iegūtu detalizētus norādījumus, skatiet rokasgrāmatu par to, kā pievienot Google divfaktoru autentifikāciju WordPress pieteikšanās lapā.

Atpakaļ uz augšu

6. Mainiet WordPress pieteikšanās lapas URL

Pēc noklusējuma ikviens var piekļūt jūsu pieteikšanās lapai, jūsu domēna vārda beigās vienkārši pievienojot “wp-admin” vai “wp-login.php”, piemēram: “domain.com/wp-admin” vai “domain.com/ wp-login.php ”.

Uzmini kas! Hakeri var vadīt brutālu spēku uzbrukumu, izmantojot jūsu pieteikšanās lapu. Ja jūs izmantojat ļoti vienkāršu paroli, hakeri var viegli uzlauzt jūsu paroli un ieiet jūsu vietnē.

Bet ko darīt, ja viņi nezina, kur uzbrukt? Jā, jūs pareizi uzminējāt.

Ja slēpjat vai pārdēvējat savas pieteikšanās lapas URL, hakeri nevarētu vadīt brutāla spēka uzbrukumu.

Izmantojot WordPress, jūs varat viegli paslēpt vai pārdēvēt savu pieteikšanās lapu, izmantojot spraudni. No WordPress spraudņu galerijas instalējiet un aktivizējiet WPS paslēpt pieteikšanos iespraust.

Pēc aktivizēšanas dodieties uz Iestatījumi> Vispārīgi un apakšā jūs varat atrast WP Slēpt pieteikšanās iespēju.

WPS paslēpt pieteikšanās iestatījumus

Vienkārši mainiet pieteikšanās URL “Pieslēgties” uz kaut ko citu, ko ir grūti uzminēt un uzklikšķināt Saglabāt izmaiņas.

Kad esat pabeidzis, pievienojiet grāmatzīmi jaunajai pieteikšanās lapai un esat pabeidzis.

Atpakaļ uz augšu

7. Ierobežojiet pieteikšanās mēģinājumus

Pēc noklusējuma WordPress neierobežo pieteikšanās mēģinājumu skaitu, izmantojot pieteikšanās formu. Tas nozīmē, ka ikviens zina jūsu pieteikšanās URL var izmēģināt pieteikšanās funkciju tik ilgi, cik vēlas. Tādā veidā hakeri rīko brutālu spēku uzbrukumu, lai uzlauztu jūsu “lietotājvārdu” un “paroli”, lai piekļūtu jūsu vietnei.

Ierobežojot pieteikšanās mēģinājumus, jūs varat pastiprināt WordPress drošību un aizsargāt savu pieteikšanās lapu no brutālu spēku uzbrukumiem.

Jūs varat iestatīt maksimālo nepareizu pieteikšanās mēģinājumu skaitu, ko lietotājs var veikt no tās pašas IP adreses. Ja lietotājs pārsniedz noteiktos ierobežojumus, lietotāja IP tiek bloķēts uz noteiktu laiku.

Lai ierobežotu pieteikšanās mēģinājumus WordPress, instalējiet Pieteikšanās LockDown iespraust. Pēc aktivizēšanas dodieties uz Iestatījumi> Pieteikšanās LockDown lai konfigurētu spraudni.

Piesakieties LockDown iestatījumi

Lai iegūtu detalizētus norādījumus, skatiet mūsu rokasgrāmatu par to, kā ierobežot pieteikšanās mēģinājumus WordPress

Atpakaļ uz augšu

8. Regulāri dublējiet savu vietni

Dublējumi ir kā Time Machine. Ja jums tas ir, jūsu vietne ir droša.

Vietņu dublējumi tomēr neaizsargā jūsu vietni no hakeriem, bet tas palīdz jums vietni atgūt.

Piemēram, ja atjaunināšanas laikā jūsu vietnē notiek kaut kas nepareizs vai jūsu vietne tiek uzlauzta, kā jūs atkal salabosit savu vietni? Jūs, iespējams, pazaudējat savu vietni.

Bet, ja jums ir savas vietnes dublējumi, varat to viegli atjaunot pirms vietas, kurā tā tika uzlauzta vai avarēja.

Tāpēc mēs ļoti iesakām izmantot uzticamu WordPress rezerves spraudni. Tomēr daudzi mitināšanas uzņēmumi piedāvā bezmaksas vietņu dublēšanu, taču tie var garantēt vietnes pieejamību, ja notiek katastrofāla kļūme. Tāpēc jums ir jāsaglabā dublējumi attālā vietā, piemēram, Google Drive, Amazon S3, Dropbox utt.

Par laimi, to var izdarīt, izmantojot BlogVault vai BackUpBuddy WordPress dublējuma spraudni. Viņi abi piedāvā ikdienas dublējumus un atjaunošanu ar vienu klikšķi. Varat arī izveidot pieturvietu vietni bez papildu maksas.

Atpakaļ uz augšu

9. Izmantojiet WordPress drošības spraudni

Nākamā lieta, kas nepieciešama jūsu sacietēšanai WordPress drošība ir drošības spraudnis. Ir pieejami daudzi WordPress drošības spraudņi, kas bloķēs jūsu vietni no hakeriem un ļaunprātīgas programmatūras.

WordPress drošības spraudņi noteiks un novērsīs ļaunprātīgu programmatūru, ja tā atrodas jūsu vietnē. Turklāt viņi reālā laikā uzrauga lietotāju aktivitātes, paziņo jums, ja kaut kas ir mainījies, ja spraudnis satur ļaunprogrammatūru, bloķē surogātpasta datplūsmu un daudz ko citu.

Mēs iesakām Securi WordPress drošības spraudni. Securi Security piedāvā cita veida drošības elementus, piemēram, drošības darbību auditu, vietnes uzraudzību, vietnes ugunsmūris,  un vēl daudz vairāk.

Securi

Pats labākais par Securi ir tas, ka, ja jūsu vietne tiek uzlauzta vai melnajā sarakstā iekļauta Google, izmantojot viņu pakalpojumu, viņi garantē, ka jūsu vietne tiks labota.

Lielākā daļa WordPress drošības ekspertu iekasētās vietnes labošanai iekasē vairāk nekā 300 USD, turpretī visus drošības pakalpojumus jūs iegūsit tikai 199 USD gadā. Tas ir labs ieguldījums WordPress drošības uzlabošanai.

Atpakaļ uz augšu

10. Automātiski atteikties no tukšgaitas lietotājiem

Ja lietotājs pārāk ilgi jūsu vietnē atrodas dīkstāvē vai neaktīvs, tas var izraisīt brutāla spēka uzbrukumu.

Ja lietotājs pārāk ilgi paliek neaktīvs, hakeri var izmantot sīkfailu vai sesiju nolaupīšanas metodi, lai iegūtu neatļautu piekļuvi jūsu vietnei. Tāpēc lielākajā daļā izglītības un finanšu vietņu, piemēram, banku un maksājumu vārteju vietnēs, tiek izmantota lietotāja sesijas noildzes funkcija. Tātad, ja lietotājs novirzās no lapas un pēc noteikta laika nedarbojas, vietne automātiski izslēdz neaktīvo lietotāju.

Tā pati funkcija, kuru varat pievienot savai WordPress vietnei, lai uzlabotu WordPress drošību. Automātiski izslēgt tukšgaitas lietotājus WordPress ir ļoti vienkārši. Viss, kas nepieciešams spraudņa instalēšanai.

Vispirms lejupielādējiet un instalējiet Neaktīva atteikšanās WordPress spraudnis. Pēc tam aktivizējiet to un dodieties uz Iestatījumi> Neaktīva atteikšanās lai konfigurētu spraudni.

Neaktīvi spraudņa iestatījumi

Izmantojot iestatījumus, varat mainīt dīkstāves taimautu. Tātad pēc laika visi jūsu vietnes lietotāji tiks automātiski izslēgti.

Varat arī mainīt dīkstāves noildzes ziņojumu un, ja nepieciešams, modificēt citus iestatījumus.

Kad tas izdarīts, noklikšķiniet uz Saglabāt izmaiņas lai saglabātu iestatījumus.

Lai iegūtu detalizētus norādījumus, skatiet mūsu rokasgrāmatu par to, kā WordPress automātiski izslēgt dīkstāves lietotājus

Atpakaļ uz augšu

11. Pievienojiet drošības jautājumus WordPress pieteikšanās lapai

Pievienojot WordPress pieteikšanās lapai drošības jautājumus, jūs ne tikai aizsargāsit savu WordPress pieteikšanās lapu, bet arī sacietēsit WordPress.

Drošības jautājums pievieno papildu drošības pakāpi, lai vēl vairāk autentificētu savu identitāti, piesakoties. Tas ir ļoti noderīgi, ja jūs izmantojat vairāku autoru WordPress emuāru.

Ja kāda jūsu lietotāja vai parole ir nozagta, drošības jautājums var glābt dzīvību.

Tā kā lietotājvārdu un paroli var viegli uzlauzt, bet izvēlēties pareizo drošības jautājumu un atbildi ir gandrīz neiespējami. Tādā veidā jūs varat saglabāt savu WordPress pieteikšanās lapu no hakeru un brutālu spēku uzbrukumiem.

Lai WordPress pieteikšanās lapā pievienotu drošības jautājumu, instalējiet WP drošības jautājums iespraust.

WP drošības jautājumu iestatījumi

Pēc aktivizēšanas dodieties uz WP drošības jautājumi > Spraudņa iestatījumi lai konfigurētu spraudni.

Pēc noklusējuma spraudnim ir pievienoti daudzi bieži sastopami jautājumi. Bet jūs varat pievienot vai noņemt visus drošības jautājumus no saraksta.

Apakšā varat iespējot drošības jautājumu pieteikšanās lapā, reģistrēšanās un aizmirstās paroles lapā. Pēc spraudņa konfigurēšanas neaizmirstiet noklikšķināt uz Saglabāt iestatījumu.

Piezīme: Tikai jauni lietotāji reģistrācijas laikā var uzstādīt drošības jautājumu un atbildi. Tātad reģistrētiem lietotājiem manuāli jāiestata pats drošības jautājums un atbilde. Jūs varat arī uzstādīt drošības jautājumu un atbildēt uz tiem. To var izdarīt no Lietotāja profils lappuse.

Daudzveidīgi pievienojiet WP drošības jautājumus

Lai iegūtu detalizētus norādījumus, skatiet mūsu ceļvedi par drošības jautājumu pievienošanu WordPress pieteikšanās lapai

Atpakaļ uz augšu

12. Mainiet noklusējuma “Administrator” lietotājvārdu

Pēc WordPress instalēšanas jūs varat mainīt savu paroli tik ilgi, cik vēlaties. Bet vai jūs varat mainīt savu lietotājvārdu, kad tas ir iestatīts? Nē, pareizi?

Pēc noklusējuma WordPress neļauj lietotājiem mainīt lietotājvārdu. Bet kāpēc jums tas būtu jāmaina?

Ja jūs izmantojat ļoti izplatītu lietotājvārdu, piemēram, “admin”, tad hakeri ar sava lietotājvārda palīdzību var palaist brutālu spēku..

Bet nevajag paniku. Ir vairāki veidi, kā viegli mainīt savu WordPress.

Tomēr, lai procesu padarītu vieglāku, mēs izmantosim spraudni. Vispirms lejupielādējiet un instalējiet lietotājvārda mainītājs iespraust. Pēc tam dodieties uz Lietotāji> Tavs profils un atrodiet lietotājvārda opciju. Tur jūs atradīsit opciju Mainīt lietotājvārdu.

Mainiet WordPress lietotājvārdu

Klikšķiniet uz Mainīt lietotājvārdu un ievadiet jauno lietotājvārdu. Kad tas izdarīts, noklikšķiniet uz Atjaunot profilu.

Ja vēlaties mainīt savu lietotājvārdu manuāli (bez spraudņa), iepazīstieties ar rakstu 3 dažādi veidi, kā mainīt WordPress lietotājvārdu.

Atpakaļ uz augšu

13. Piešķiriet lietotājiem iespējami zemāko lomu

Ja jūs izmantojat vairāku autoru WordPress vietni, tad pirms lomu piešķiršanas lietotājam jums jābūt uzmanīgam.

Daudzkārt WordPress vietņu īpašnieki piešķir jauniem lietotājiem augstāku lietotāja lomu, tādējādi jūs visām lietotājiem piešķirat visas privilēģijas, kā rezultātā jebkurš lietotājs var veikt jebkuru uzdevumu neatkarīgi no tā, ko vēlas.

Piemēram, ja jūs nezināt, ko var veikt redaktora lietotāja loma, un jūs piešķirat lomu parastajam lietotājam, tad lietotājs var izdzēst visas jūsu ziņas, rediģēt saites, izveidot surogātpastu ziņas, pievienot ļaunprātīgas saites savā emuārā ziņas. Tādējādi lietotājs var viegli sagraut jūsu vietni.

Pēc noklusējuma WordPress nāk ar 5 dažādām lietotāju lomām.

  • Administrators
  • Redaktors
  • Autore
  • Līdzautors
  • Abonents
  1. Administrators: Administratori ir visspēcīgākā lietotāja loma WordPress vietnē. Viņi var izveidot, rediģēt un izdzēst lietotāja kontu, var veikt jebkuru uzdevumu visā WordPress administratora panelī, kontrolēt visu satura zonu un arī regulēt komentārus. 
  2. Redaktors: Lietotāji ar lomu redaktorā pilnībā kontrolē visu saturu. Viņi var izveidot, rediģēt un izdzēst visas ziņas, ieskaitot citu lietotāju izveidotās ziņas. Viņi var arī regulēt komentārus un modificēt saites.
  3. Autors: Autori var publicēt, rediģēt vai izdzēst tikai savas ziņas. Viņi var augšupielādēt multivides failus, kurus izmantot savās ziņās. Viņi var skatīt komentārus, bet nevar tos apstiprināt vai izdzēst.
  4. Atbalstītājs: Lietotāji ar līdzautora lomu var rakstīt, rediģēt vai izdzēst tikai savu nepublicēto ziņu, bet viņi nevar publicēt savu ziņu.
  5. Abonents: Abonenti var rediģēt tikai sava konta informāciju, ieskaitot paroli, bet viņiem nav piekļuves saturam vai vietnes iestatījumiem. Viņiem ir viszemākās iespējas WordPress vietnē.

Izprotot WordPress lietotāja lomas, jūs varat tos viegli pārvaldīt, neriskējot.

Mēs arī iesakām kā abonentu iestatīt jaunu lietotāja noklusējuma lomu. Atveriet sadaļu Iestatījumi> Vispārīgie iestatījumi un no to kopas Jauna lietotāja noklusējuma loma Abonents un noklikšķiniet uz Saglabāt izmaiņas.

WordPress jaunā lietotāja noklusējuma loma

Lai iegūtu sīkāku informāciju, izlasiet Iesācēja rokasgrāmatu par WordPress lietotāja lomām un iespējām

Atpakaļ uz augšu

14. Monitor failu izmaiņas un lietotāju darbības

Vēl viens gudrs veids, kā pastiprināt WordPress drošību, ir lietotāja darbību un failu izmaiņu uzraudzība. 

Ja jūs izmantojat vairāku lietotāju WordPress vietni, jums vajadzētu izsekot lietotāju rīcībai, lai labāk izprastu, kādas ir viņu darbības visā jūsu WordPress vietnē.

Kas zina, ja lietotājs veic kādu aizdomīgu darbu vai mēģina uzlauzt jūsu vietni? Kā jūs to varat zināt??

Vienīgais veids, kā izsekot lietotāja darbībām un failu izmaiņām, ir lietotāja aktivitātes WordPress spraudņa izmantošana. Izmantojot WordPress lietotāja darbības spraudni, jūs varat:

  • redzēt, kurš ir pieteicies un ko viņi dara reālajā laikā
  • kad lietotājs piesakās un izrakstās
  • cik reizes lietotājs mēģināja pieteikties, bet neizdevās

Turklāt, ja redaktors bez jūsu atļaujas ir izdarījis kādas izmaiņas ziņojumā vai lapā, tad varat to viegli atrast un atgriezt. Lietotāju aktivitātes spraudņa laba lieta ir tā, ka, ja kaut kas noiet greizi, tas uzreiz jums nosūta e-pasta paziņojumu.

WP drošības audita žurnāls ir labākais spraudnis, lai reāllaikā uzraudzītu lietotāju aktivitātes un failu izmaiņas. Zemāk ir ekrānuzņēmums, kā darbojas spraudnis.

WordPress audita žurnāla skatītājs

Arī lasīt, 5 labākie spraudņi, lai uzraudzītu lietotāju aktivitātes WordPress (alternatīvi spraudņi)

Atpakaļ uz augšu

15. Ieviesiet SSL un HTTPS

WordPress drošība nevar uzlabot bez SSL sertifikāta. Vietņu drošības pamats ir SSL (Secure Socket Layer).

SSL ir standarta drošības tehnoloģija, kas tiešsaistes komunikācijā, piemēram, tiešsaistes darījumā, izveido šifrētas saites starp serveri un tīmekļa pārlūku. Tātad visi sensitīvie dati, piemēram, paroles, kredītkartes informācija utt., Caur šifrētām saitēm.

Ja jums ir tiešsaistes bizness vai emuārs, kurā jūs pieņemat maksājumu, tad obligāti ir jāiegūst SSL sertifikāts. Tas pasargās jūsu klienta datus no hakeriem. Tiešsaistes veikalos vai WooCommerce vietnēs SSL sertifikāta izmaksas maksā apmēram no 20 līdz 170 USD.

Ja jums ir WordPress emuārs, jums nav nepieciešams apmaksāts SSL sertifikāts. Ja jūs izmantojat cPanel mitināšanu, piemēram, SiteGround, WPEngine, tad ar vienu klikšķi varat bez maksas instalēt SSL sertifikātu..

Vispirms piesakieties savā hostinga cPanel kontā un dodieties uz vietni Drošība.  (Tālāk ir redzams ekrānuzņēmums no vietnes SiteGround hostinga cPanel.)

SG SSL

Iet uz SSL / TLS pārvaldnieks un noklikšķiniet uz Instalējiet SSL sertifikātu. Lapā atlasiet savu domēnu un noklikšķiniet uz Automātiska aizpildīšana pēc domēna. Process notiek automātiski, tāpēc jums nekas nav jārediģē vai jāpārveido.

Vietnes zemes instalēšanas SSL sertifikāts

Tagad noklikšķiniet uz Instalēt sertifikātu pogu, lai pabeigtu iestatīšanas procesu.

Kad tas ir izdarīts, piesakieties sava WordPress administratora informācijas panelī, lai modificētu vietnes URL. Iet uz Iestatījumi> Vispārīgi un pievienojiet aizstāt HTTP ar HTTPS pirms jūsu vietnes URL. Tālāk ir ekrānuzņēmums.

WP HTTPS

Pēc atjaunināšanas noklikšķiniet uz Saglabāt izmaiņas.

Kā novirzīt HTTP uz HTTPS WordPress

Ja esat pareizi instalējis SSL sertifikātu, jūsu vietnei ir pieejama HTTPS.

Bet, ja kāds pārlūkprogrammas adreses joslā ierakstīs tikai jūsu vietnes nosaukumu (t.i., domēns.com), vietne var parādīt ziņojumu “Savienojums nav drošs”. Tas nozīmē, ka jūsu vietne ir pieejama ar HTTP.

Lai novērstu problēmu, WordPress jāpiespiež HTTPS, tāpēc jūsu vietne tiks ielādēta tikai ar HTTPS. Jūs varat viegli piespiest HTTPS programmā WordPress.

Vispirms piesakieties savā hostinga cPanel un dodieties uz savas vietnes saknes mapi un atrodiet .htaccess failu. Rediģējiet .htaccess failu un beigās pievienojiet šo kodu.

RewriteEngine Ieslēgts
RewriteCond% {HTTPS} ir izslēgts
RewriteRule ^ (. *) $ Https: //% {HTTP_HOST}% {REQUEST_URI} [L, R = 301]

Saglabājiet failu un esat pabeidzis. Tagad jūsu vietne ir pieejama tikai ar HTTPS.

Ja jūsu tīmekļa mitināšanas pakalpojumu sniedzējs nenodrošina bezmaksas SSL sertifikātu, SSL sertifikātu varat instalēt manuāli. Šis ir ceļvedis par bezmaksas SSL sertifikāta instalēšanu.

Atpakaļ uz augšu

16. Dzēsiet neizmantotos motīvus un spraudņus

Runājot par WordPress drošības pastiprināšanu, mēs nedrīkstam ignorēt nevienu nelielu soli, kas var padarīt jūsu vietni neaizsargātu. 

Lielāko daļu laika WordPress vietņu īpašnieki instalē dažādas tēmas un spraudņus, lai pārbaudītu, kura tēma viņu vietnē izskatās labāk, vai kuram spraudnim ir vairāk funkcionalitātes. Tas ir labi. Bet šo neizmantoto motīvu un spraudņu saglabāšana padara jūsu vietni neaizsargātu.

Tā kā daudzu WordPress motīvu un spraudņu uzturēšana regulāri jāatjaunina, tāpat kā jūs izmantojat. Ja jūs tos neatjaunināsit, viņi kļuva neaizsargāti, un hakeri var viegli izmantot jūsu vietni, izmantojot neaizsargātas tēmas un spraudņus. Turklāt, saglabājot tik daudz motīvu un spraudni, WordPress vietne kļūst lēnāka.

Tāpēc vietnes veiktspējas un WordPress drošības uzlabošanai vienmēr jāizdzēš neizmantotās tēmas un spraudnis.

Lai izdzēstu neizmantotu spraudni, dodieties uz Spraudņi> Instalētie spraudņi. Pēc tam atrodiet spraudni, kas jums vairs nav vajadzīgs. Vispirms deaktivizējiet spraudni un noklikšķiniet uz Dzēst.

WordPress spraudņa dzēšana

Līdzīgi, lai izdzēstu motīvu, dodieties uz Izskats> Motīvi un noklikšķiniet uz Sīkāka informācija par tēmu. Pēc tam labajā pusē noklikšķiniet uz Dzēst.

Dzēst motīvu

Atpakaļ uz augšu

17. Atspējojiet failu rediģēšanu WordPress informācijas panelī

Pēc noklusējuma WordPress ļauj lietotājiem rediģēt motīvu un spraudņu failu tieši no WordPress informācijas paneļa. Šī ir noderīga opcija lietotājiem, kuriem bieži ir jārediģē motīvs un spraudņa fails.

WordPress motīvu redaktors

Tomēr šīs funkcijas uzturēšana var būt nopietna drošības problēma. Ja hakeri piekļūst jūsu vietnei, viņi parasti atstāj pēdas, vietnes failos ievadot ļaunprātīgu kodu. Ja ir iespējota jūsu WordPress failu rediģēšanas funkcija, hackeri var viegli ievadīt jūsu motīvā vai spraudņa failā ļaunprātīgu kodu, kas jums nebūs zināms..

Lai uzlabotu WordPress drošību, WordPress informācijas panelī ir jāatspējo failu rediģēšanas funkcija. WordPress tēmas un spraudņu redaktora atspējošana WordPress ir ļoti vienkāršs process.

Pirmkārt, jums jāpiesakās savā hostinga cPanel kontā un dodieties uz savas WordPress vietnes saknes mapi. No turienes atrodiet wp-config.php. Noklikšķiniet uz rediģēt un beigās pievienojiet šo kodu.

definēt (‘DISALLOW_FILE_EDIT’, taisnība);

Tagad saglabājiet failu un atsvaidziniet WordPress informācijas paneli. Jūs redzēsit, ka motīvu un spraudņu redaktora opcija vairs nav pieejama. Izmantojot šo mazo triku, jūs varat viegli uzlabot WordPress drošību.

Izlasiet detalizētu rokasgrāmatu par to, kā WordPress atspējot motīvu un spraudņu redaktoru

Atpakaļ uz augšu

18. WordPress pieteikšanās lapa ar paroli aizsargāta

Vēl viens lielisks veids, kā uzlabot WordPress drošību, ir WordPress pieteikšanās lapas aizsardzība ar paroli.

Ar paroli aizsargājot savu WordPress pieteikumvārdu (/wp-login.php) vai administratora (https://cdn.wpmyweb.com/wp-admin) lapu, jūs varat neļaut hakeriem piekļūt jūsu pieteikšanās lapai, jo tai nepieciešama parole, lai piekļūtu pieteikšanās lapa. Nepieciešams uznirstošais uznirstošais logsKad šī funkcija ir iespējota, jūsu vietne visiem lietotājiem liks piekļūt pieteikšanās lapai ar lietotājvārda un paroles logu. Īsi sakot, visiem lietotājiem pirms piekļuves jūsu WordPress administratora informācijas panelim ir divreiz jāpiesakās, izmantojot atšķirīgu lietotājvārdu un paroli.

To darot, jūs varat stiprināt savu WordPress drošību un pieteikšanās lapai pievienot papildu drošības līmeni.

Izlasiet mūsu padziļināto ceļvedi par to, kā ar paroli aizsargāt WordPress pieteikšanās lapu.

Atpakaļ uz augšu

19. Atspējojiet direktoriju pārlūkošanu programmā WordPress

Pēc noklusējuma vairums tīmekļa serveru, piemēram, Apache, NGINX un LiteSpeed, ļauj jebkuram lietotājam pārlūkot direktorijus, kas satur WordPress failus un mapes. Viņi var arī redzēt, kuru motīvu un spraudņus jūs izmantojat, un uzzināt vairāk par vietnes struktūru.

WordPress vietnes rādītāja lapa

Šī informācija var padarīt jūsu WordPress vietni neaizsargātu un palīdzēt hakerim, mēģinot apdraudēt jūsu vietni.

Lai uzlabotu WordPress drošību, mēs iesakām atspējot šo opciju. Lai atspējotu direktoriju pārlūkošanu WordPress, vienkārši pievienojiet šai rindai savu .htacces failu.

Iespējas Visas -Indexes

Lai iegūtu detalizētus norādījumus, izlasiet mūsu ceļvedi par to, kā WordPress atspējot direktoriju pārlūkošanu

Atpakaļ uz augšu

20. Noņemiet savu WordPress versiju

Pēc noklusējuma WordPress automātiski pievieno meta tagus dažādās vietās, kurās tiek parādīta jūsu izmantotā WordPress versija.

Šeit ir runa: ja hakeri zina, ka izmantojat novecojušu WordPress versiju, viņi var izmantot jūsu vietni, izmantojot zināmās ievainojamības, kas ir vecākajā WordPress versijā.

Tāpēc labāk ir noņemt WordPress versiju, lai uzlabotu WordPress drošību. Ir vairākas vietas, kur WordPress pievieno metatagus, piemēram, WordPress informācijas panelī, galvenē, stilā un javascript un RSS plūsmā.

WordPress versijas noņemšana no galvenes un RSS

Lai noņemtu versiju no galvenes un RSS, sava saraksta beigās pievienojiet šo rindu funkcijas.php failu.

funkcija remove_wordpress_version () {
atgriezties ”;
}
add_filter (‘the_generator’, ‘remove_wordpress_version’);

WordPress versijas numura noņemšana no skriptiem un CSS

Lai noņemtu WordPress versiju no CSS un skriptiem, saraksta beigās pievienojiet šo rindu funkcijas.php failu.

// Izvēlieties skriptu un stilu versijas numuru
funkcija remove_version_from_style_js ($ src) {
if (strpos ($ src, ‘ver =’. get_bloginfo (‘version’)))
$ src = remove_query_arg (‘ver’, $ src);
atgriezt $ src;
}
add_filter (‘style_loader_src’, ‘remove_version_from_style_js’);
add_filter (‘script_loader_src’, ‘remove_version_from_style_js’);

Kad tas ir izdarīts, saglabājiet failu function.php.

Tieši tā. Izmantojot šo vienkāršo triku, jūs noteikti varat uzlabot savu WordPress drošību. Tomēr mēs vienmēr iesakām regulāri atjaunināt WordPress versiju, kā arī motīvu un spraudņus.

Lai iegūtu detalizētus norādījumus, izlasiet mūsu ceļvedi par WordPress versijas paslēpšanu vai noņemšanu

Atpakaļ uz augšu

21. Mainiet WordPress datu bāzes tabulas prefiksu

WordPress instalēšanas laikā tas jautā, vai vēlaties izmantot citu datu bāzes prefiksu. Mēs parasti izlaižam šo darbību, tāpēc WordPress to automātiski izmanto (WP_) kā noklusējuma datu bāzes tabulas prefikss. Mēs iesakām to mainīt kaut ko spēcīgu un unikālu.

Izmantojot noklusējuma (WP_) prefiksu, jūsu WordPress datu bāze kļūst jutīga pret SQL injekcijas uzbrukumiem. Šādus uzbrukumus var novērst, mainot datu bāzes prefiksu (WP_) uz kaut ko unikālu.

Pēc WordPress instalēšanas jūs varat viegli mainīt noklusējuma datu bāzes tabulas prefiksu, izmantojot spraudņus vai manuāli. Spraudņi, piemēram, BackupBuddy, Brozzme DB Prefix ļauj mainīt tabulas prefiksu tikai ar vienu klikšķi.

Apmācības nolūkos es parādīju, kā to mainīt, izmantojot spraudni Brozzme DB Prefix.

Piezīme: Pirms kaut ko darāt ar savu datu bāzi, pārliecinieties, vai esat izveidojis savas vietnes un datu bāzes dublējumu. Ja kaut kas noiet greizi, varat atjaunot savu vietni.

Vispirms instalējiet un aktivizējiet Brozzme DB prefikss iespraust. No WordPress informācijas paneļa dodieties uz Rīki> DB prefikss un ievadiet jaunu unikālu datu bāzes prefiksa nosaukumu.

Brozzme DB prefikss

Kad esat ievadījis jauno prefiksu, noklikšķiniet uz Mainīt DB prefiksu.

Manuālajam procesam lasiet par to, kā mainīt datu bāzes tabulas prefiksu, izmantojot phpMyAdmin

Atpakaļ uz augšu

22. Izmantojiet tikai uzticamus WordPress spraudņus

WordPress komplektā ir vairāk nekā 48 000 spraudņu. Tas nenozīmē, ka visi spraudņi ir noderīgi un droši lietojami.

Tā kā WordPress spraudņu galerijā ir pieejami daudzi spraudņi, kas ilgstoši netiek atjaunināti, un parasti tie kļūst neaizsargāti. Turklāt jūs nesaņemtu atbalstu, ja spraudnis pārkāpj jūsu vietni.

Pirms izmantojat jebkuru bezmaksas spraudni, divas svarīgas lietas, kas jums jāpārbauda,

  • Pārbaudiet, kad spraudnis pēdējo reizi tika atjaunināts: Ja spraudnis netiek bieži atjaunināts vai spraudņa izstrādātājs to vairs neuztur, jums vajadzētu izvairīties no spraudņa.

Novecojusi WordPress spraudņa versija

  • Pārbaudiet, vai spraudnim ir maksimāli pozitīvi vērtējumi: Nākamā lieta, kas jums jāpārbauda, ​​vai spraudnim ir maksimāli pozitīvs vai negatīvs vērtējums. Ja spraudnim ir maksimāli negatīvs vērtējums, jums to nevajadzētu izmantot.

WordPress mazvērtēts spraudnis

Varat arī pārbaudīt spraudņa lapu Atsauksmes un atbalsts, lai redzētu, ko citi lietotāji saka par spraudni.

Bet neuztraucieties. Ir pieejami daudzi līdzīgi spraudņi, kurus varat atrast WordPress spraudņu galerijā.

Ja vēlaties izmantot premium spraudni, jums par to nav jāuztraucas. Premium spraudņi tiek regulāri atjaunināti, un jūs saņemsit 24x atbalstu no spraudņu izstrādātāja.

Atpakaļ uz augšu

23. Atspējojiet PHP kļūdu ziņošanu

Vēl viens lielisks veids, kā pastiprināt WordPress drošību, ir PHP kļūdu ziņojuma atspējošana WordPress. Daudzas reizes, instalējot novecojušu spraudni vai motīvu, jūs varat redzēt PHP kļūdas brīdinājumu.

Brīdinājums par WordPress PHP kļūduTomēr tas var padarīt jūsu vietni neaizsargātu, ja hakeri to iegūs, jo tas parāda kodu un faila atrašanās vietu. Lai samazinātu risku, WordPress varat atspējot PHP kļūdu ziņošanu.

PHP kļūdas brīdināšanas atspējošana WordPress ir ļoti vienkārša. Vispirms rediģējiet wp-config.php failu un atrodiet to rindu, kurai ir šis kods:

definēt (‘WP_DEBUG’, nepatiess);

Jūs, iespējams, redzat “patiess”, nevis “nepatiess”. Tagad nomainiet līniju ar šādu kodu.

ini_set (“display_errors”, “Off”);
ini_set (‘kļūda_ziņošana’, E_ALL);
definēt (‘WP_DEBUG’, nepatiess);
definēt (‘WP_DEBUG_DISPLAY’, nepatiess);

Saglabājiet failu un esat pabeidzis.

Mēs arī iesakām izmantot atjauninātus un labi novērtētus spraudņus, lai izvairītos no šāda veida problēmām.

Atpakaļ uz augšu

24. Pievienojiet WordPress HTTP drošās galvenes

Vēl viens lielisks veids, kā pastiprināt WordPress drošību, ir pievienot HTTP drošās galvenes savai WordPress vietnei.

Kad kāds piekļūst jūsu vietnei, pārlūks iesniedz pieprasījumu jūsu tīmekļa serverim. Tad tīmekļa serveris atbild ar pieprasījumiem kopā ar HTTP galvenēm. Šīs HTTP galvenes nodod informāciju, piemēram, satura kodējumu, kešatmiņas kontroli, satura tipu, savienojumu utt.

Pievienojot drošas HTTP atbildes galvenes, jūs varat uzlabot savu WordPress drošību un arī novērst mazināt uzbrukumus un drošības ievainojamības.

Tālāk ir parādītas HTTP galvenes:

  • HTTP stingrā transporta drošība (HSTS): HTTP stingrā transporta drošība (HSTS) piespiež tīmekļa pārlūku saziņai ar vietni izmantot tikai drošus savienojumus (HTTPS). Tas novērš SSL protokolu hakerus, sīkdatņu nolaupīšanu, SSL noņemšanu utt.
  • X-Frame iespējas: X-Frame-Options ir sava veida HTTP galvene, kas norāda, vai pārlūkam ir atļauts tīmekļa vietni attēlot rāmī. Tas novērš klikšķu uzbrukumus un nodrošina, ka jūsu vietne netiek iegulta citās vietnēs, kuras izmanto .
  • X-XSS aizsardzība: X-XSS aizsardzība ir iebūvēta pārlūkprogrammu Internet Explorer, Google Chrome, Firefox un Safari funkcija, kas bloķē lapu ielādi, ja no lietotāja ievades ir ievietots ļaunprātīgs skripts.
  • X-Content-Type-Opcijas: X-Content-Type-Options ir sava veida HTTP atbildes galvene ar vērtību nosniff, kas neļauj tīmekļa pārlūkprogrammām MIME šifrēt atbildi no deklarētā satura tipa.
  • Referrer-Policy: Referenta politika ir HTTP atbildes galvene, kas novērš starpdomēnu novirzīšanu.

Lai WordPress pievienotu HTTP drošās galvenes, vienkārši pievienojiet tālāk norādītās koda rindas .htaccess failu.

Galvenes komplekts Stingri-Transport-Security "maksimālais vecums = 31536000" env = HTTPS
Header vienmēr pievieno X-Frame-Options SAMEORIGIN
Galvenes komplekts X-XSS-Protection "1; režīms = bloķēt"
Galvenes komplekts X-Content-Type-Options nosniff
Header Referrer-Policy: no-referrer-down -grade

Drošības galvenes pārbaude

Tagad dodieties uz securityheaders.com lai pārbaudītu, vai kodi darbojas vai nedarbojas. Mēs neesam pievienojuši “Satura drošības politiku”, jo tā var sagraut jūsu vietni. Tomēr ar to ir pietiekami, lai jūsu WordPress vietne būtu droša.

Atpakaļ uz augšu

Secinājums

Ir daudz veidu, kā jūs varat sacietēt WordPress drošība piemēram: pārvaldīta WordPress mitināšanas izmantošana, kontu spēcīgu paroļu izmantošana, lietotāju darbību uzraudzība, WordPress drošības spraudņa izmantošana, SSL un HTTPS ieviešana un daudz kas cits.

WordPress drošības nodrošināšana nav raķešu zinātne. Jūs varat viegli nodrošināt savu WordPress vietni, ieviešot WordPress drošības paraugpraksi, par kuru mēs dalījāmies šajā rakstā. Ieviešot tos, jūs ne tikai nodrošināsit savu WordPress vietnes aizsardzību, bet arī neļausit hakeriem piekļūt jūsu vietnei.

Kad tas būs izdarīts, jums nevajadzēs uztraukties par savu WordPress drošību. Turklāt jūs varat būt produktīvāks un bez slodzes.

Tagad ir tava kārta. Rūpīgi izlasiet rakstu un ieviesiet tos savā vietnē. Jums būs prieks, ka jūs to izdarījāt. ��

Vai mēs esam palaiduši garām nevienu svarīgu WordPress drošības padomu, ko šeit pieminēt? nekautrējieties paziņot mums komentāru sadaļā.

WordPress drošības infografika

WordPress-Security-Infographic-Small-Size

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map