UneDose | Kako zaštititi WordPress od provale u svoj popis za obavezno čitanje

Peter Holmes
6
1434
199

Oglas

Boneti širom svijeta skrenuli su pažnju sa slanja neželjene e-pošte na sustavno hakiranje u WordPress instalacije; to je unosan posao s obzirom na to da WordPress pokreće 40% svih blogova. Pogotovo uzevši u obzir da smo i mi postali žrtva ovog vremena, došlo je vrijeme da napravimo sveobuhvatan post o tome kako točno zaštititi instalaciju WordPress-a koju hostirate sam.

Napomena: ovaj se savjet odnosi samo na Instalira se WordPress koji je domaćin. Ako koristite WordPress.com, uglavnom ne trebate brinuti o sigurnosti, jer oni sve to podnose umjesto vas. Kakva je razlika između WordPress.com i WordPress.org? Koja je razlika između pokretanja vašeg bloga na Wordpress.com i Wordpress.org? Koja je razlika između pokretanja vašeg bloga na Wordpress.com i Wordpress.org? Budući da Wordpress sada napaja 1 na svakih 6 web mjesta, moraju raditi nešto kako treba. I za iskusne programere i za krajnje novakinje Wordpress može vam ponuditi nešto. Ali baš kad počnete…

Instalirajte Google provjerivač u dva koraka

Ako već imate omogućeno provjeru autentičnosti u dva koraka za vaš Gmail račun ili druge usluge, možete upotrijebiti istu aplikaciju za provjeru autentičnosti s ovim dodatkom za WordPress.

Srećom, možete ograničiti dvostupanjsku provjeru autentičnosti da se koristi samo na računima više razine tako da ne morate nervirati sve svoje korisnike.

Zaključavanje prijave

Stari dodatak, ali još uvijek radi kako je predviđeno; Zaključavanje prijave provjerava IP pokušaje prijave i blokira IP raspon na sat vremena ako ne uspije 3 puta u roku od 5 minuta. Jednostavno, učinkovito.

Pravite redovne sigurnosne kopije

Hakeri ne samo da će mijenjati jednu datoteku, već će svoju vlastitu upravljačku ploču staviti negdje skrivenu i ostale skrivene pozadine - tako da čak i ako popravite izvorni hack, oni se vraćaju pravo i rade sve opet. Pravite dnevne ili tjedne sigurnosne kopije kako biste se lako vratili natrag na mjestu gdje nije bilo ni traga od hakera - i budite sigurni da zakrpite sve što su napravili za ulazak. Osobno sam samo uložio u licencu za razvojne programere Backup Buddy od 150 dolara - to je najlakše i najcjelovitije sigurnosno rješenje koje sam još pronašao.

Sprječite indeksiranje mapa

Provjerite korijen svoje WordPress instalacije za .htaccess datoteku (primijetite razdoblje na početku - možda ćete trebati pokazati nevidljive datoteke da biste ih vidjeli) i uvjerite se da sadrži sljedeći redak. Ako ne, dodajte ga - ali prvo napravite sigurnosnu kopiju, jer je ova datoteka prilično ključna.

Opcije Sve -Indexes

Ostanite ažurirani

Ne pravite istu pogrešku kao mi: uvijek nadogradite WordPress čim bude dostupno ažuriranje. Ponekad ažuriranja sadrže manje ispravke programskih pogrešaka, a ne sigurnosne ispravke, ali uđite u naviku i nećete imati problema. Ako imate više instaliranih WordPress-a i ne možete ih sve pratiti, pogledajte ManageWp.com, vrhunsku nadzornu ploču za sve vaše blogove koja uključuje sigurnosno skeniranje.

Ne samo osnovne WordPress datoteke, već i dodaci: jedan od najvećih WordPress hakova iz prošlosti uključivao je ranjivost u zajedničkoj skripti generatora sličica pod nazivom timthumb.php, a još uvijek postoje teme koje koriste staru verziju. Iako su dodaci brzo ažurirani, naravno, ažuriranje tema je teže, naravno - WordPress neće vam reći je li vaša tema ranjiva i za to ćete se nekako zaštititi putem skeniranja - pomaknite se prema dolje do Sigurnosni dodaci odjeljak ispod za neke prijedloge.

Nikada ne preuzimajte nasumične teme

Ako ne znate što radite s PHP kodom, vrlo je lako upasti u zamku za preuzimanje drage slučajne teme odnekud, samo da biste pronašli tamo neki gadan kôd - najčešće povratne veze koje ne možete ukloniti, ali još gore može se naći. Držite se vrhunskih i poznatih dizajnera tema (kao što je Smashing Magazine ili WPShower), ili za besplatne teme koristite samo direktorij WordPress tema.

Izbrišite neiskorištene dodatke i teme

Što manje kôda imate na svom poslužitelju, to je bolje - uklonite mogućnost da imate stari, ranjivi kôd brisanjem tema i dodataka koje više ne koristite. Onemogućivanjem njih će se jednostavno zaustaviti učitavanje funkcionalnosti WordPressom, ali sam kôd možda i izvršava haker.

Uklonite Meta pripovjedača u zaglavlju

WordPress je, prema zadanim postavkama, svoju verziju svijetu objavio u kodu zaglavne datoteke - lakši način na koji će hakeri prepoznati starije instalacije. Dodajte sljedeće retke svojim temama functions.php datoteka za uklanjanje verzije WordPressa, informacije o programu Windows Live Writer i redak koji pomaže udaljenim klijentima da pronađu vašu XML-RPC datoteku.

ukloniti prijenos ('wp_head', 'wp_generator'); ukloniti prijenos ('wp_head', 'wlwmanifest_link'); ukloniti prijenos ('wp_head', 'rsd_link');

Uklonite “admin” Račun

Većina napada brutalnosti na WordPress uključuje opetovano pokušavanje admin računa - zadani naziv za sve instalacije WordPressa - i rječnika uobičajenih lozinki. Ako se prijavite kod administratora ili imate administracijski račun naveden u vašoj korisničkoj tablici, ranjivi ste zbog toga.

Dva načina da to popravite: ili koristite wp-optimiziranje dodatka - sjajan dodatak koji vam između ostalog omogućava onemogućavanje revizija posta i provođenje optimizacije baze podataka - za preimenovanje administrativnog računa. Ili jednostavno stvorite drugi račun s povlasticama administratora, prijavite se kao novi korisnik, a zatim izbrišite “admin” račun dodijeli sve postove svom novom korisniku.

Sigurne lozinke

Čak i ako ste onemogućili administratorski račun, možda ćete moći identificirati korisničko ime vašeg administracijskog računa - u tom ćete trenutku ponovno biti podložni napadima brutalne sile. Provedite strogu politiku lozinke od 16 ili više slučajnih znakova koji se sastoje od malih i malih slova, interpunkcijskih brojeva i brojeva.

Ili samo koristite stvarnoLongSentenceThatsEasyToRememberMethod.

Onemogućite uređivanje datoteka unutar WordPressa

Za one koji se ne vole prijavljivati putem FTP-a, WordPress uključuje jednostavni uređivač na administracijskoj ploči za teme i dodavanje PHP datoteka - ali to čini vašu instalaciju ranjivom ako netko dobije pristup. Zapravo, ovako je netko uspio ubaciti preusmjeravanje zlonamjernog softvera u naše zaglavlje. Na dnu vaše slike dodajte sljedeći redak wp-config.php (u korijenskoj mapi) da biste onemogućili sve značajke uređivanja datoteka - i upotrijebite SFTP Što je SSH i kako se razlikuje od FTP [Objasnio je tehnologiju] Što je SSH i kako se razlikuje od FTP [Objasnio je tehnologiju]?.

define ('DISALLOW_FILE_EDIT', istina);

Sakrij pogreške u prijavi

Pogrešna lozinka ili pogrešno korisničko ime mogu se prepoznati po pogreškama pri prijavi, koje se mogu upotrijebiti za identificiranje računa za prisiljavanje. Ovo nije dobro, očito, zato ubijte pogreške dodatkom tema functions.php datoteka

funkcija no_errors_please () return 'Nope';  add_filter ('login_errors', 'no_errors_please');

Aktivirajte Cloudflare

Osim što ubrzava vašu web lokaciju, CloudFlare ublažava mnoge poznate robote i skenere od čak i dolaska na vaš blog. Pročitajte sve o CloudFlare Protect & Speed Up Your Website Free with CloudFlare Protect & Speed Up Your Website for Free with CloudFlare CloudFlare je intrigantan start od autora kreatora Project Honey Pot koji tvrdi da vašu web stranicu štite od neželjene pošte, botova i ostalih zla web čudovišta - kao i donekle ubrzati web mjesto ... ovdje. Instalacija je jednim klikom ako se hostuje na MediaTempleu, inače će vam trebati pristup upravljačkoj ploči domene da biste promijenili poslužitelje imena.

Sigurnosni dodaci

Better WP Security implementira mnoge od ovih ispravka za vas i najopsežnije je besplatno rješenje.
WordFence je vrhunski paket koji aktivno skenira vaše datoteke na veze sa zlonamjernim softverom, preusmjeravanja, poznate ranjivosti itd. - i popravlja ih. Cijena počinje od 18 USD / godišnje za 1 mjesto.
Sigurnosno rješenje za prijavu ograničava pokušaje prijave i provodi sigurne lozinke.
Sigurnost BulletProof je sveobuhvatan, ali složen dodatak koji se bavi nekim od tehničkih aspekata poput XSS ubrizgavanja i .htaccess problema. Dostupna je i pro verzija dodatka koja automatizira veći dio procesa.

Mislim da ćete se složiti da je ovo opsežan popis koraka za očvrsnuće WordPressa, ali ne predlažem vam da primijenite svi od njih. Da sam sve to morao učiniti na svim stranicama koje sam ikad postavio, sad bih ih postavljao. Uključivanje bilo kojeg sustava predstavlja rizik, a na vama je da nađete ravnotežu između razine sigurnosti koju želite i truda koji želite uložiti u njezino osiguranje - nikada ništa ne postaje 100% sigurno. Ovdje nisko viseće voće su:

Ažuriranje WordPress-a
Onemogućavanje administrativnog računa
Dodavanje autentičnosti u dva koraka
Instaliranje sigurnosnog dodatka

Ako ih napravite sami, trebalo bi vas staviti na više od 99% svih ostalih blogova vani, što je dovoljno da potencijalni hakeri pređu na lakše ciljeve.

Mislite li da sam nešto propustila? Recite mi u komentarima.

Wheeslpaw ([email protected])

12.10.23 05:51

saxophone porn scarlett johansson black widow porn princess peach rape porn porn veronica avluv tiny teen porn tumblr couple watching porn together humiliated porn tube amazon prime porn life is strange sfm porn camryn cross porn sissy boy porn janet porn dom rystan porn hunter x hunter gay porn elsa jean porn videos <a href=http://vslibrary.ru/besplatno-more-lucky-wild-monro.html>new college porn </a> young thai porn heather brooks porn sex for money porn onlyfans porn leak dc gay porn aj applegate hd porn stiletto porn gay porn cock monique fuentes porn pics stepmom hot porn emo porn hd big ass and tits porn personal porn step mother porn brandi love porn gifs <a href=http://childrens-uni.ru/slot-demoversia-dead-or-alive-monro.html>overwatch doomfist porn </a> brazil porn com thigh gap porn slave porn mobile porn gif selina 18 porn porn sexy leander porn japanese rape porn 3d game porn lesbian porn clips fake taxi porn video porn hogtie asian wife porn fast food worker porn teacher porn hd <a href=http://zapad5.ru/avtomat-grace-of-cleopatra-v-monro-casino.html>public pool porn </a> porn young sex porn belle delphine free hd porn 1080 family party porn oiled ass porn big ass asian porn ladyboy thai porn public agent porn videos free sexy hd porn sheila ortega porn luke adams porn jenna sativa lesbian porn blonde small tits porn marisa carlo porn reality kings new porn <a href=http://brhk03.ru/azartnaya-igra-yutu.html>zone sama porn </a> porn games gameplay porn hub big dick porn gay orgy officer jenny porn free sexy bbw porn жЎҐ жњ¬ жњ‰ иЏњ porn night shift nurses porn jared scott porn tom holland gay porn drawn together porn how to help someone with a porn addiction porn types large porn film porn search site porn monkeys <a href=http://popkovrobotics.ru/slotigra-zhuge-liang.html>savannah thorne porn </a> apex porn soft porn photo jackson o doherty porn athina love porn menstration porn selina porn travestis porn yakuza porn gay molestation porn girls who watch porn hentai porn sex porn pet play pc porn tiny hole porn j porn meta porn mature asian women porn sad mom porn molly marie porn big beautiful woman porn tiny asian porn whitehouse porn site cartoon lesbians porn kkvsh porn video markie more gay porn maddie fenton porn thick black girls porn blacksonblondes porn black teen hood porn free black porn movies porn need money hong kong porn movie asian mom and son porn wetsuit porn relaxing porn littlelanacat porn new indian porn new free porn tubes tamari porn free mom and daughter porn www.free hamster porn 2019.com forbidden incest porn julie skyhigh porn megan rain vr porn please dont porn teens swallow porn r food porn free porn xxx video tron legacy porn porn hub sara jay kacey kox porn hennessie porn mature ass porn plushophilia porn colt 45 porn