10 Tips Berkesan yang Super Dikenali untuk Selamat Blog WordPress Anda
Mendapatkan blog yang digodam dan kehilangan tahun setelah bertahun-tahun kerja blog semalaman adalah realiti yang menyedihkan yang orang ramai telah melalui. Malah, penyelidikan menunjukkan bahawa 37,000 laman web digodam setiap hari, dan dengan WordPress menyebarkan kira-kira 25.4% daripada semua laman web, anda boleh yakin bahawa banyak blog WordPress digodam setiap hari.
Keselamatan WordPress adalah bola sepak yang sama sekali berbeza; sebaik sahaja anda memiliki blog WordPress, tips seperti mempunyai nama pengguna yang sukar ditebak dan kata laluan yang keras seperti batu tidak lagi mencukupi. A tema kereta tunggal, plugin salah, atau fail yang dilindungi dengan betul boleh menyebabkan blog anda diretas semalaman.
Sama ada anda tidak berpengalaman dengan WordPress, atau anda telah menggunakan platform sejak kewujudannya, artikel ini ada 10 cara praktikal dan makan malam yang berkesan untuk mendapatkan blog WordPress anda bahawa sesiapa pun boleh melaksanakannya. Anda tidak akan menemui kebanyakan tip ini dalam artikel "cara mengamankan blog anda", tetapi mereka boleh menyimpan blog anda satu hari!
1. Lumpuhkan Tema WordPress & Editor Plugin
WordPress mempunyai ciri berguna yang memberi pemilik laman web lebih fleksibiliti dengan membenarkan mereka menyesuaikan dan mengedit tema dan plugin mereka terus dari papan pemuka WordPress, tetapi ciri ini telah membuang kebanyakan blog.
Dengan ciri ini, a Kesalahan sedikit boleh merosakkan tapak anda dan mengunci anda dari laman web anda sendiri. Hacker dengan mudah boleh memasukkan kod berniat jahat ke dalam tema anda untuk memberi mereka akses backdoor ke laman web anda, atau bahkan mengambil alih laman web anda sepenuhnya, dengan memperoleh kawalan akaun yang mempunyai keistimewaan yang cukup untuk menggunakan tema dan editor plugin.
Anda boleh melindungi diri anda dengan melumpuhkan plugin dan editor tema, menjadikannya mustahil untuk mengubah tema dan plugin anda tanpa akses FTP.
Lakukan ini dengan menambah kod berikut ke fail wp-config.php anda:
mentakrifkan ('DISALLOW_FILE_EDIT', benar);
2. Membolehkan Pengesahan Dua Faktor
Pengesahan dua faktor dengan cepat menjadi salah satu cara yang paling boleh dipercayai untuk melindungi akaun dalam talian anda, dan laman web yang paling dipercayai akan menegaskan bahawa pengguna mereka membolehkannya.
Walaupun WordPress tidak semestinya mempunyai pengesahan dua faktor yang dibina ke dalamnya, anda boleh mendayakan pengesahan dua faktor di blog anda dengan memasang pemalam berikut:
- Pengesah Google
- Pengarang
- Clef
- Rublon
3. Batasi Masuk Mengikut Bilangan Percubaan Gagal
Terdapat banyak cara penggodam cuba mendapatkan akses ke blog anda, dan salah satu teknik yang paling biasa digunakan ialah serangan bruteforce: penggodam mencuba gabungan nama pengguna dan kata laluan, berulang-ulang, sehingga dia boleh berjaya mengakses blog anda.
Secara lalai, WordPress tidak dilindungi daripada serangan ini. Dengan memasang plugin yang mengehadkan log masuk selepas beberapa percubaan gagal dari IP tertentu, anda boleh membuat lebih sukar bagi penggodam untuk mendapatkan akses ke blog anda.
Plugin Perlindungan Modul Jetpack juga boleh melindungi anda dari serangan bruteforce.
4. Selalu Imbas Blog Anda
Fail tema, plugin, pautan, dan unsur-unsur yang kelihatan tidak berbahaya boleh digunakan untuk mendapatkan akses ke blog anda. Jangan tunggu sehingga laman web anda dijangkiti sepenuhnya sebelum anda mengambil langkah. Sebaliknya, pasang pemalam pengimbasan keselamatan untuk mengimbas tapak web anda secara teratur dan memberitahu anda jika fail anda berubah.
Contoh yang baik dari plugin pengimbasan keselamatan ialah Wordfence. Selain memberikan anda pilihan untuk secara manual / mengimbas secara automatik blog WordPress anda, ia serta-merta memberitahu anda apabila aktiviti mencurigakan berlaku di blog anda.
Ia juga menghantar maklumat tentang komen yang berpotensi berbahaya, dan ia membandingkan tema dan fail plugin anda dengan repositori WordPress kepada beritahu anda jika versi plugin atau tema anda telah diubahsuai dan berpotensi berfungsi sebagai pintu belakang untuk penggodam ke laman web anda.
Plugin keselamatan lain yang boleh membantu anda mengimbas blog anda untuk perisian hasad dan eksploitasi adalah:
- Pengimbas Keselamatan Sucuri
- Acunetix WP Security
- iThemes Security (dahulunya dikenali sebagai "Lebih Baik WP Security")
5. Tukar Host anda
Walaupun ini seperti nasihat ringkas, ia sebenarnya mempunyai banyak berat. Penyelidikan menunjukkan bahawa 41% daripada laman web WordPress yang digodam adalah digodam melalui kerentanan keselamatan pada platform hosting mereka. Ini lebih daripada daripada sumber lain, termasuk kata laluan yang lemah.
Hos anda boleh memainkan peranan utama sama ada anda akan digodam atau tidak; pastikan anda sahaja pergi untuk tuan rumah web yang boleh dipercayai yang telah menguji masa dan itu mematuhi amalan terbaik industri.
6. Sembunyikan Nombor Versi WordPress anda
Secara lalai, WordPress memaparkan nombor versi WordPress anda; ini memudahkan WordPress untuk mengesan berapa banyak blog WordPress yang aktif di seluruh dunia. Walau bagaimanapun, ini juga boleh menjadi masalah besar; penggodam dan bot boleh imbas web untuk blog menggunakan nombor versi WordPress dengan kelemahan yang diketahui, menjadikan anda sasaran mudah.
Anda boleh menyelesaikan masalah ini dengan mudah menyembunyikan nombor versi WordPress anda. Untuk menyembunyikan nombor versi WordPress anda, cukup tambah kod berikut ke fail functions.php anda:
add_filter ('the_generator', '__return_null');
7. Matikan Laporan Ralat PHP
Apabila plugin atau tema tidak berfungsi dengan baik di blog WordPress anda, laporan ralat PHP boleh membantu dengan menunjukkan mesej yang mendedahkan penyebab ralat. Walau bagaimanapun, dalam kelebihan ini terdapat kelemahan: apabila ralat PHP dilaporkan, ia termasuk laluan pelayan penuh kesilapan, mendedahkan maklumat bahawa penggodam boleh digunakan terhadap anda.
Anda boleh melindungi diri sendiri melumpuhkan pelaporan ralat PHP. Cuma tambahkan kod berikut ke fail wp-config.php anda:
error_reporting (0); @ini_set ('display_errors', 0);
8. Bekerja pada Kebenaran Fail WordPress Anda
Apabila ia datang untuk menghalang laman web WordPress anda daripada eksploit keselamatan, penting untuk pastikan anda mempunyai keizinan fail yang betul. Ini menjadikan sukar bagi penggodam untuk memanipulasi plugin, tema, atau fail pada pelayan anda untuk mengambil alih tapak web anda.
Pastikan bahawa WordPress folder keizinan ditetapkan kepada 755 atau 750; fail keizinan ditetapkan kepada 640 atau 644; dan kebenaran wp-config.php ditetapkan kepada 600.
9. Pastikan Backup Biasa
Malah laman web besar dengan pasukan pakar keselamatan dan perunding akan digodam, dan ketika mengikuti amalan terbaik dapat membuat laman web Anda lebih kuat dari 99.9% dari laman web, hal-hal masih dapat dipecahkan.
Keselamatan terbaik yang anda miliki terhadap serangan hack WordPress adalah sandaran yang baik; pastikan anda membuat sandaran laman web anda secara tetap - jika boleh, setiap hari. Dengan cara ini, jika tapak web anda digodam, anda mempunyai fail anda di tempat dan boleh memulihkan perkara dengan segera.
Berikut adalah beberapa plugin sandaran WordPress terbaik:
- BackUpWordPress
- Sedia! Sandaran
- VaultPress
- BackupBuddy
10. Hadkan Akses ke Halaman Masuk Anda
Apabila menolak datang untuk mendorong, anda mungkin perlu mengambil beberapa tindakan drastik. Cara yang sangat boleh dipercayai untuk melindungi blog anda dari percubaan hack adalah dengan sepenuhnya menyekat akses ke halaman wp-admin dan wp-login.php anda.
Ini hanya disyorkan jika anda gunakan satu alamat IP yang tidak berubah (anda tidak mahu mengunci diri anda dari blog anda!). Anda masih boleh menggunakan pilihan ini jika anda menggunakan lebih daripada satu alamat IP tetapi menjejaki alamat tersebut.
Untuk mengehadkan akses ke halaman log masuk anda, tambahkan kod berikut ke fail .htaccess anda:
RewriteEngine pada RewriteCond% REQUEST_URI ^ (. *)? Wp-login \ .php (. *) $ [OR] RewriteCond% REQUEST_URI ^ (. *)? Wp-admin $ RewriteCond% REMOTE_ADDR Alamat IP $ RewriteCond% REMOTE_ADDR! ^ Alamat IP anda $ RewriteCond% REMOTE_ADDR! ^ Alamat IP anda $ RewriteCond% REMOTE_ADDR! ^ Alamat IP anda $ RewriteCond% REMOTE_ADDR 5 $ RewriteRule ^ (. *) $ - [R = 403, L]
Pastikan anda mengeditnya Alamat IP anda 1 melalui Alamat IP anda 5 dengan alamat IP yang berbeza yang anda mahu memberi akses kepada; anda hanya boleh menambah atau mengeluarkan garisan untuk membenarkan atau mencegah lebih banyak IP daripada mengakses laman web anda.
Kesimpulannya
Sudah tentu, anda tidak harus mengabaikan tip keselamatan asas seperti tidak menggunakan nama pengguna yang boleh diramalkan, mempunyai kata laluan yang kuat, mengemas kini pemasangan WordPress anda secara teratur, dan lain-lain. Walau bagaimanapun, di atas adalah beberapa tip keselamatan yang sering diketahui, yang sering diabaikan Blog WordPress hanya sedikit lebih selamat.
Nota editor: Jawatan tetamu ini ditulis untuk Hongkiat.com oleh John Stevens. John adalah pakar WordPress dan hosting. Beliau adalah pengasas dan Ketua Pegawai Eksekutif HostingFacts.com, sebuah portal di mana beliau meninjau dan menilai tuan rumah berdasarkan prestasi.