Michael Cain
0 
4128
296
Bez sumnje, za blog koji je domaćin, WordPress je najbolji CMS blog koji možete dobiti. Međutim, budući da je popularan i otvoren izvorni softver, to također znači da hakeri imaju potpuni pristup kodu koji mogu pregledati kako bi pronašli bilo kakve podvige koje mogu koristiti za hakiranje na bilo koju web lokaciju s WordPressom.
S dobre strane, jedna od najboljih stvari o WordPressu je njegov dodatak koji omogućuje svakome da instalira bilo koji dodatak ili stvori vlastite dodatke kako bi proširio njegovu funkcionalnost, uključujući poboljšanje sigurnosti.
Ovdje sam nabrojao neke Wordpress sigurnosne dodatke (i nekoliko trikova) koje možete koristiti za osiguranje WordPress bloga.
Svi dolje navedeni dodaci i trikovi namijenjeni su za WP 2.7 i novije verzije. Ako i dalje koristite stariju verziju WordPressa, vrijeme je da nadogradite svoj blog.
Zaštita prijave
1. CHAP Sigurna prijava
Ovaj dodatak koristi CHAP protokol za šifriranje zaporke. Zaporka se prvo slanje sa slučajnim brojem (ne), generiranim sesijom, nakon čega slijedi algoritam transformacije md5. Zatim se taj rezultat šalje poslužitelju gdje se dešifrira i provjerava. Ovo je dodatak nulte konfiguracije, što znači da ga možete koristiti odmah nakon aktiviranja.
2. Stealth prijava
Stealth prijava obrukira vašu stranicu za prijavu omogućavajući vam definirati prilagođenu stranicu za prijavu umjesto zadane wp-login.php. U slučaju da vam lozinka procuri, haker će također teško pronaći točan URL za prijavu. Dobra upotreba ovoga je da spriječite bilo kakve zlonamjerne botove da pristupe vašoj wp-login.php datoteci i pokušaju provale..
3. Zaključavanje prijave
Zaključavanje prijave korisno je u sprječavanju brutalnog napada. LockDown za prijavu je zabilježiti IP adresu i vremensku oznaku svakog neuspjelog pokušaja prijave. Ako se u kratkom vremenu od istog raspona IP-a otkrije više od određenog broja pokušaja, blokirat će funkciju prijave i spriječiti ljude iz tog raspona IP-a da se prijave.
4. AskApache Zaštita lozinkom
Ovaj dodatak dodaje dodatnu HTTP provjeru autentičnosti za pružanje drugog sloja obrane za vaš blog. Zaštitu lozinke za svoj blog možete postaviti pomoću HTTP Basic Authentication, ili možete koristiti sigurniju HTTP Digest Authentication.
Imajte na umu da ovaj dodatak možda / neće raditi ovisno o mogućnosti vašeg poslužitelja. Ako vaša web lokacija ne prođe testove konfiguracije AskApache (testovi koje pokreće dodatak za otkrivanje mogućnosti vašeg poslužitelja), obratite se svom web domaćinu i provjerite mogu li napraviti promjene na strani poslužitelja.
5. Semisecure prijava ponovno osmišljena
Ovaj dodatak nudi a “semisecure” okruženje za prijavu šifriranjem svoje lozinke s RSA kriptografijom
Zaštita vaše baze podataka
6. WP-DB-sigurnosna kopija
Možda će za neke od vas sigurnosno kopiranje baze podataka značiti problematičnu tehničku sitnicu. Uz WP-DB-Backup, samo ga morate konfigurirati jednom i natjerati da se automatski pokreće u redovitim intervalima.
Ono što ovaj dodatak čini jest automatizirati izradu sigurnosne kopije vaše baze podataka i poslati je u mapu za poštu. Osim zadane tablice koju je stvorio WordPress, možete i sigurnosno kopirati prilagođene tablice stvorene dodacima. U slučaju da se vaš račun sruši, bazu podataka možete lako uvesti i obnoviti pomoću sigurnosne kopije.
7. WP-DBManager
Wp-DBManager je baš kao phpmyadmin unutar vaše nadzorne ploče. Bazom podataka možete jednostavno upravljati izravno unutar nadzorne ploče. Postoje korisne značajke kao što su optimizacija / popravak / izrada sigurnosne kopije / vraćanje baze podataka, a ako ste dovoljno tehnički, možete pokrenuti i vlastiti SQL upit s stranice s mogućnostima.
S loše strane, ako se bilo koji haker uspije prijaviti na vašu web lokaciju, ovaj će dodatak za njih biti gateway za stvaranje haosa u vašoj bazi podataka.
8. Promijenite prefiks tablice baze podataka
Zadani prefiks koji koristi WordPress je “wp”. Prefiks lako možete promijeniti u druge izraze koje je teško pogoditi koristeći WP-Security-Scan. Više detalja o ovom dodatku nalazi se u nastavku.
9. Zaštitite svoju wp-config.php datoteku
Vaša datoteka wp-config.php sadrži sve vjerodajnice za prijavu u vašu bazu podataka i trebala bi biti skrivena od javnog pregleda u svim okolnostima. U svoju htaccess datoteku stavite ovu liniju:
narediti dopustiti, uskratiti zanijekati od svih
kako biste spriječili da itko pogleda datoteku wp-config.php.
Zaštita vaše stranice administratora
10. Administrator SSL
Ovaj dodatak forsira SSL na sve stranice na kojima se mogu unijeti lozinke tako da se svi preneseni podaci kriptiraju.
Jedna stvar, međutim, morate posjedovati SSL certifikat prije nego što to možete učiniti. Ako niste spremni izdvojiti dodatni novac za kupnju privatnog SSL certifikata, možete pitati svog web domaćina o zajedničkom SSL-u. Većina web-domaćina nudi zajednički SSL za sve svoje klijente i lako je to konfigurirati.
11. Promijenite korisničko ime za prijavu
koristeći “admin” jer je vaše korisničko ime za prijavu posljednja stvar koju želite učiniti. Kada prvi put instalirate WordPress, trebali biste odmah stvoriti drugi administratorski račun s vlastitim korisničkim imenom i lozinkom i izbrisati “admin” račun.
Spriječite drugima da pregledavaju vašu unutarnju strukturu datoteka
12. Sakrivanje verzije WP-a
U većini WordPress tema u odjeljku, uvijek postoji redak koda koji prikazuje WordPress verziju koju koristite. Davanje vašeg broja verzije WordPressa znači hakeru što iskoristiti za hakiranje na vašu web lokaciju.
Od WP2.6.5, WordPress je još teže uklonio wp verziju jer ugrađuje te podatke u wp_header označiti. Dodatak koji možete koristiti za uklanjanje tih podataka je WP-Security-Scan.
13. Sakrivanje WP sadržaja
U mapu sa sadržajem WP možete pohraniti sve svoje dodatke i datoteke tema. Ovo je mjesto na koje želite spriječiti da drugi ljudi gledaju. Možete dodati bilo koji prazan index.html datoteku u mapu wp-content ili stvorite .htaccess datoteku u mapi wp-content i dodajte ovaj redak:
Opcije Sve -Indexes14. Blokirajte wp-mapu od indeksiranja po tražilicama
Iako želite da tražilice indeksiraju vaš blog i dovedu puno prometa, posljednja stvar koju želite vidjeti je da omoguće tražilicama da izlože svoju unutarnju datotečnu strukturu javnosti. Ono što možete učiniti je blokirati sve svoje wp-mape od indeksiranja po pretraživačima dodavanjem sljedećih unosa u robot.txt:
Onemogući: / wp- *Održavanje
15. Sigurnosno skeniranje WP-a
Nekoliko puta sam spominjao ovaj dodatak, pa je vrijeme da objasnim što čini. WP-Security-Scan provjerava vaš WordPress na sigurnosne ranjivosti i predlaže / pruža korektivne radnje. Korektivne radnje uključuju promjenu prefiksa baze podataka, skrivanje broja verzije WordPress-a iz zaglavlja i omogućava vam da provjerite snagu svoje lozinke.
Povremeno je dobra ideja pokrenuti ugrađeni sigurnosni skener i provjeriti na blogu ima li sigurnosnih propusta..
16. Mijenjajte lozinku redovito
Ne samo da trebate redovito mijenjati zaporku, već se morate pobrinuti i za jaku lozinku. Ako imate poteškoće u stvaranju lozinke, pronađite jednu kako možete stvoriti jake lozinke kojih se lako sjećate Kako stvoriti jake lozinke kojih se lako sjećate Kako stvoriti jake lozinke kojih se lako možete sjetiti .
17. Ažurirajte WordPress i sve dodatke na najnoviju verziju
Ne treba reći da je nadogradnja na najnoviju verziju WordPress-a i dodataka najbolji način da se zaštitite.
Zaštita vaše veze
18. SFTP
Prijenos datoteka na vaš mrežni račun uobičajena je stvar. Međutim, umjesto korištenja nezaštićenog FTP-a, trebali biste koristiti SFTP (Secure FTP). Ovo će stvoriti SSH vezu i sve vaše datoteke šifrirane poslati na poslužitelj. Ako vam je potrebna pomoć za stvaranje SFTP veze, evo vodiča.
Gore navedene informacije trebale bi vam biti dovoljne za stvaranje sigurnog bloga za WordPress. Ako niste implementirali nijedno od ovih, molio bih vas da to učinite sada.
Koje druge metode koristite za osiguranje svog WordPress bloga?