5 עצות אבטחה WordPress אתה צריך ליישם עכשיו
אתה בטח כבר יודע את אמצעי האבטחה ברור לנקוט בהגנה על אתר וורדפרס שלך.
אולי אתה יודע שאתה צריך לעשות את הסיסמה של האתר שלך "חזקה" (שילוב של תווים מיוחדים, אותיות רישיות, אותיות קטנות, מספרים). אתה לא צריך להשתמש "מנהל" כשם משתמש, ואתה צריך לשנות את הסיסמאות לעתים קרובות. אתה כנראה כבר משתמש אימות שני גורמים באתר וורדפרס שלך יש האתר שלך מגובה. ואתה אף פעם לא להוריד plugins פרמיה בחינם או ממקורות לא ידועים. אז מה עוד יש?
כאן נדון עוד כמה עצות אבטחה וורדפרס באמצעות שיטות ידוע, אבל יעיל מאוד, כי אתה יכול, וצריך, להשתמש כדי להגן על האתר שלך וורדפרס.
1. שנה או שנה מחדש את דף הכניסה שלך
דף הכניסה המשמש כברירת מחדל עבור האתר שלך הוא "www.websitename.com/wp-login.php" (או "www.websitename.com/wp-admin"). אחת הדרכים להגן על האתר שלך היא להסתיר או להסתיר את דף הכניסה כך האקרים לא יכול למצוא את זה בקלות. שליטה בגישת הכניסה שלך על ידי הגבלת מספר ניסיונות הכניסה בכל פעם והזמן בין ניסיונות ההתחברות תשפר גם את האבטחה.
אם כבר מותקן ברשותך Jetpack, באפשרותך להפעיל את מודול "Protect Force Protection". עם מודול זה הופעל, Jetpack יעדכן את Dashboad עם מספר ניסיונות כניסה זדוניים לאתר האינטרנט שלך. יש לך גם את האפשרות של whitelisting מספר כתובות IP. מ Jetpack ללכת "הגדרות" ולאחר מכן "הגנה", ואחריו "תצורה", ותראה מה נראה כמו התמונה למטה.
אבטחה Cerber ו הגבלת כניסה ניסיון הוא תוסף חלופי Jetpack. אם אתה מעדיף לא להשתמש Jetpack, Limit כניסה היא אפשרות. נכון למועד הכתיבה, התוסף הותקן מעל 40, 000 פעמים ושומר על מוניטין כמעט וטהור כמו 108 מתוך 111 משתמשים דירגו את זה חמישה כוכבים.
הגבלה כניסה קלה למדי לשימוש, אך הגדרת הקטע "הקשחת" משפר את האבטחה של האתר שלך. כל הגישה לשרת XML-RPC, הכוללת trackbacks ו- pingbacks, חסומה כברירת מחדל. אם מסיבה כלשהי תהיה גישה לממשק ה- API של וורדפרס (לדוגמה, אפליקציית Android או iOS של הבלוג שלך זקוקה לו), ולאחר מכן תוכל לאפשר ל- WP לנוח את ה- API ו- XML-RPC.
2. מארח היכן זה בטוח
מאז ארבעים ואחד אחוז עצום של וורדפרס "הפרות האבטחה של האתר נובעים סוף המארח ולא את האתר עצמו, זה השכל הישר כדי לוודא כי המארח שלך מאובטח. למעשה, אירוח נושאת את המשקל הרב ביותר כשמדובר אבטחה. רק שמונה אחוזים של פריצות לקרות עקב סיסמאות חלשות, עשרים ותשעה אחוזים עקב הנושא, ועשרים ושניים אחוזים עקב plugins. אז בערך מחצית מהאתר שלך מסתמך על אירוח.
ודא שהחשבון שלך כולל בידוד חשבון אם אתה משתמש באירוח משותף. החשבון שלך יהיה מוגן מכל מה שקורה באתרים של אנשים אחרים. עם זאת, מומלץ להשתמש בשירות שתוכנן עם משתמשי וורדפרס. שירותים אלה יכללו את חומת האש של וורדפרס, הגנה על התקפות זדוניות של יום אפס, עדכון MySQL ו- PHP, שרתי וורדפרס מיוחדים ושירות לקוחות של WordPress. Hosts כמו WP מנוע, Siteground, ו Pagely יש חזק לעקוב אחר רשומות בטיחות.
3. הישאר מעודכן ולהשתמש רק תוכנה מעודכנת
אתה יודע שאתה צריך להשתמש אנטי וירוס מעודכן והגנה רלוונטיות אחרות נגד תוכנות זדוניות עבור המחשב שלך. זהירות זה גם הולך plugins וערכות נושא. שמור אותם מעודכנים, ואם יש לך נושאים או תוספים במאגר שלך שאינם בשימוש, הסר אותם. אם הדבר מתאים לאתר שלך, שקול להגדיר את הפלאגין ואת העיצובים שלך באופן אוטומטי. כדי להגדיר עדכונים אוטומטיים, לשים כמה קוד שלך wp-config.php. להלן הקוד עבור יישומי פלאגין:
add_filter ('auto_update_plugin', '__return_true');
ועבור נושאים, השתמש בקוד זה:
add_filter ('auto_update_theme', '__return_true');
אם אתה רוצה גישה הידיים על תחזוקת האתר, אז אתה יכול לשקול אוטומציה עדכונים וורדפרס. עם זאת, שים לב שהגדרת עדכון אוטומטי עלולה לשבור את האתר שלך, במיוחד אם יישומי פלאגין שאינם תואמים את העדכון האחרון של WordPress שמופעל באתר שלך. כדי להגדיר עדכון אוטומטי עבור אתר וורדפרס, הכנס את הקוד הבא לקובץ wp-config.php שלך :
# הפעל את כל עדכוני הליבה, כולל קטין ומרכזי: הגדר ('WP_AUTO_UPDATE_CORE', true);
4. הסר תוסף נושא עורך ודיווח שגיאת PHP
השבת את עורך מובנה עבור plugins וערכות נושא אם אתה לא שגרתי לשנות ולשנות את ההגדרות (או להפעיל כל תחזוקה אחרת על plugins שלך וערכות נושא). זה עבור האבטחה של האתר שלך.
למשתמשי WordPress המורשים יש גישה לעורך זה, מה שהופך את האתר שלך לפגיע להפרת אבטחה אם החשבונות שלהם נפרצים. למעשה, האקרים יכולים להוריד את האתר שלך על ידי שינוי הקוד בעורך זה. כדי להשבית את העורך, הכנס את הקוד הבא לתוך wp-config.php שלך :
הגדר ('DISALLOW_FILE_EDIT', true);
שגיאה בדיווח היא טובה. זה עוזר לך עם פתרון בעיות. הבעיה היחידה (וזה בעיה גדולה) היא כי הודעות שגיאה גם לשאת איתם את נתיב השרת שלך. האקרים יכולים להסתכל על נתיב השרת שלך בקלות לקבל הבנה ברורה של מבנה האתר שלך. למרות דיווח שגיאות PHP הוא טוב, זה הטוב ביותר נכים לחלוטין. השתמש בקטע הקוד להלן לקובץ wp-config.php :
error_reporting (0); @ini_set ('display_errors', 0);
5. השתמש. Htaccess כדי להגן על קבצים ייעודיים
קובץ ה- htaccess חשוב כי זה הלב של אתר וורדפרס שלך. קובץ זה אחראי למבנה ולאבטחה של האתר שלך. מחוץ #BEGIN WordPress
ו- #END WordPress
, אין הגבלה על מספר קטעי הקוד שתוכל להוסיף לקובץ ה- htaccess שלך כדי לשנות את החשיפה של קבצים בתוך ספריית האתר שלך.
אם עדיין לא עשית זאת, הסתר את הקובץ wp-config.php של האתר שלך. קובץ זה הוא מרכזי בפעילות האתר שלך ומכיל את הפרטים האישיים שלך וכן פרטים חשובים אחרים הרלוונטיים לאתר שלך. תוכל להשתמש בקטע הקוד להלן כדי להסתיר אותו.
כדי לאפשר, להכחיש להכחיש מכל
כדי להגביל את גישת המנהל, פשוט צור קובץ .htaccess חדש והעלה אותו לספריית "wp-admin" שלך. לאחר מכן, הכנס את הקוד הבא:
כדי למנוע, לאפשר לאפשר מ 192.168.5.1 להכחיש מכולם
הזן את כתובת ה- IP שלך במקום הנכון. כדי לאפשר גישה ל- wp-admin שלך מכתובות IP מרובות, רשום את כתובות ה- IP האלה, כל אחת מהן בשורה נפרדת, כפי allow from IP Address
. אתה יכול להגביל את הגישה שלך wp-login.php בערך באותה דרך. פשוט הוסף קטע קוד זה ל- .htaccess שלך:
כדי למנוע, לאפשר לדחות מכל # לאפשר גישה מכתובת ה- IP שלי לאפשר מ 192.168.5.1
אם אתה מעדיף לא לחסום את כל כתובות ה- IP, רק כתובות IP ספציפיות שברצונך לקבל גישה ל- wp-admin או ל- wp-login.php, תוכל לחסום כתובות IP בודדות באמצעות הקוד הבא:
כדי לאפשר, למנוע הכחשה מ 456.123.8.9 לאפשר מכל
תוכל גם לחסום אנשים מלראות את ספריית האתר שלך על ידי כך שאינך יכול לגלוש בה. תוכל להשתמש בקטע קוד זה כדי לעשות זאת:
אפשרויות כל - אינדקס
סיכום
זה היה מדריך מעשי כדי לעזור לך לשפר את האבטחה של האתר שלך וורדפרס. המכריע ביותר של אפשרויות אלה הוא אחד זה די פשוט ליישם עכשיו - למצוא מארח עם מוניטין וטהור אבטחה, כמחצית האבטחה של האתר שלך מוטלת על המארח שלך.
איזה טיפ אבטחה היה שימושי ביותר עבורך ומדוע? האם יש לך עצות אבטחה אחרות שאינן מופיעות כאן? להזכיר את זה (או אותם) את ההערות.