Peter Holmes
0 
3070
2
Bezpochyby je pro blog s vlastním hostitelem WordPress nejlepším blogovým redakčním systémem, který můžete získat. Nicméně, protože je populární a open source software, znamená to také, že hackeři mají plný přístup k kódu, který mohou kontrolovat, aby našli jakékoli exploity, které mohou použít k proniknutí na libovolný web podporující WordPress..
Na druhou stranu, jedna z nejlepších věcí na WordPress je jeho plugin systém, který umožňuje komukoli nainstalovat jakékoli pluginy nebo vytvořit vlastní pluginy pro rozšíření jeho funkčnosti, včetně zlepšení bezpečnosti.
Zde jsem uvedl některé pluginy zabezpečení Wordpress (a pár triků), které můžete použít k zabezpečení blogu WordPress.
Všechny níže uvedené pluginy a triky jsou určeny pro WP 2.7 a vyšší. Pokud stále používáte starší verzi WordPress, je čas upgradovat váš blog.
Ochrana vašeho přihlášení
1. CHAP Zabezpečené přihlášení
Tento plugin používá k šifrování hesla protokol CHAP. Heslo je nejprve nasoleno náhodným číslem (nonce) generovaným relací, následovaným algoritmem transformace md5. Tento výsledek je poté odeslán na server, kde je dešifrován a ověřen. Jedná se o plugin pro nulovou konfiguraci, což znamená, že jej můžete použít okamžitě po jeho aktivaci.
2. Stealth Login
Stealth Login zatemní vaši přihlašovací stránku tím, že vám umožní definovat vlastní přihlašovací stránku, nikoli výchozí wp-login.php. V případě úniku hesla bude mít hacker také těžké najít správnou přihlašovací adresu URL. Dobrým využitím je zabránění všem škodlivým robotům v přístupu k vašemu souboru wp-login.php a pokusu o vloupání.
3. Uzamčení přihlášení
Uzamčení přihlášení je užitečné při prevenci útoku brutální síly. LockDown přihlášení znamená zaznamenat IP adresu a časové razítko každého neúspěšného pokusu o přihlášení. Pokud je během krátké doby detekováno více než určitý počet pokusů ze stejného rozsahu IP, zablokuje se přihlašovací funkce a znemožní se všem lidem z tohoto rozsahu IP přihlásit se.
4. AskApache Password Protect
Tento plugin přidává další autentizaci HTTP a poskytuje druhou vrstvu obrany pro váš blog. Ochranu heslem pro svůj blog můžete nastavit pomocí základního ověření HTTP, nebo můžete použít bezpečnější ověřování HTTP Digest.
Tento plugin může / nemusí fungovat v závislosti na schopnosti vašeho serveru. Pokud váš web neprošel konfiguračními testy AskApache (testy prováděné pluginem, aby se zjistily možnosti vašeho serveru), kontaktujte svého hostitele a zjistěte, zda mohou na straně serveru provádět změny..
5. Opětovné přihlášení semisecure
Tento plugin poskytuje “polořadovka” přihlašovací prostředí šifrováním hesla pomocí kryptografie RSA
Ochrana vaší databáze
6. Zálohování WP-DB
Možná pro některé z vás, zálohování databáze může znamenat nepříjemné technické práce. S WP-DB-Backup stačí nakonfigurovat jednou a nechat ji běžet automaticky v pravidelných intervalech.
Tento plugin slouží k automatizaci zálohování databáze a jejímu odeslání do vaší e-mailové schránky. Kromě výchozí tabulky vytvořené programem WordPress můžete také zálohovat vlastní tabulky vytvořené zásuvnými moduly. V případě selhání vašeho účtu můžete databázi snadno importovat a obnovit pomocí zálohy.
7. WP-DBManager
Wp-DBManager je jako phpmyadmin na hlavním panelu. Databázi můžete snadno spravovat přímo na hlavním panelu. Existují užitečné funkce, jako je optimalizace / oprava / zálohování / obnovení databáze a pokud jste dostatečně technický, můžete dokonce spustit vlastní dotaz SQL ze stránky možností..
Na druhou stranu, pokud se některým hackerům podaří přihlásit k vašemu webu, tento plugin pro ně bude bránou k vytvoření zmatku ve vaší databázi..
8. Změňte předponu tabulky databáze
Výchozí předpona používaná WordPress je “wp”. Pomocí WP-Security-Scan můžete snadno změnit předponu na jiné výrazy, které je obtížné odhadnout. Více podrobností o tomto pluginu níže.
9. Chraňte svůj soubor wp-config.php
Váš soubor wp-config.php obsahuje všechna vaše přihlašovací údaje k databázi a za všech okolností by měl být před veřejným zobrazením skrytý. Do souboru htaccess vložte tento řádek:
objednávka dovolit, popřít popřít od všech
zabránit komukoli v prohlížení souboru wp-config.php.
Ochrana vaší stránky správce
10. Správce SSL
Tento plugin vynutí SSL na všech stránkách, kde lze zadat hesla, takže všechny přenášené informace budou šifrovány.
Jedna věc však musíte vlastnit SSL certifikát, než to budete moci udělat. Pokud nejste ochotni vydělat peníze navíc na zakoupení soukromého certifikátu SSL, můžete požádat svého webového hostitele o sdílený SSL. Většina webových hostitelů poskytuje sdílený SSL pro všechny své klienty a lze jej snadno nakonfigurovat.
11. Změňte přihlašovací uživatelské jméno
Použitím “admin” protože přihlašovací uživatelské jméno je poslední věc, kterou chcete udělat. Při první instalaci WordPress byste měli okamžitě vytvořit další účet správce s vlastním uživatelským jménem a heslem a odstranit “admin” účet.
Zabraňte ostatním v prohlížení vaší vnitřní struktury souborů
12. Skrytí verze WP
Ve většině témat WordPress v části je vždy řádek kódu zobrazující verzi WordPress, kterou používáte. Poskytnutí čísla verze WordPress znamená, že hackerovi sdělíte, co zneužít k proniknutí na váš web.
Od verze WP2.6.5 bylo WordPress ještě obtížnější odebrat verzi wp, protože tyto informace vkládá do wp_header štítek. Plugin, který můžete použít k odstranění těchto informací, je WP-Security-Scan.
13. Skrytí obsahu WP
Složka s obsahem WP je místem, kde jste uložili všechny své pluginy a soubory motivů. To je místo, kam chcete zabránit tomu, aby se ostatní lidé dívali. Můžete buď nahrát prázdné index.html soubor do složky wp-content nebo vytvořte soubor .htaccess ve složce wp-content a přidejte tento řádek:
Možnosti Všechny - Indexy14. Blokujte složku wp z indexování pomocí vyhledávačů
I když chcete, aby vyhledávače indexovaly váš blog a přinášely hodně provozu, poslední věcí, kterou chcete vidět, je nechat vyhledávací nástroje vystavit vaši interní strukturu souborů veřejnosti. Co můžete udělat, je zablokovat indexování ve všech složkách wp pomocí vyhledávače přidáním následujících položek do souboru rob.txt:
Disallow: / wp- *Údržba
15. Bezpečnostní skenování WP
Tento plugin jsem již několikrát zmínil, takže je čas vysvětlit, co dělá. WP-Security-Scan zkontroluje vaše WordPress z hlediska bezpečnostních chyb a navrhuje / poskytuje nápravná opatření. Nápravné akce zahrnují změnu předpony databáze, skrytí čísla verze WordPress před hlavičkou a umožní vám vyzkoušet sílu vašeho hesla.
Jednou za čas je vhodné spustit vestavěný bezpečnostní skener a zkontrolovat na svém blogu, zda neobsahuje bezpečnostní chyby..
16. Pravidelně měňte heslo
Nejen, že byste měli pravidelně měnit své heslo, musíte se také ujistit, že je silné. Pokud máte potíže s vytvořením jednoho, najděte si, jak můžete vytvořit silná hesla, která si snadno zapamatujete. Jak vytvořit silná hesla, která si snadno pamatujete Jak vytvořit silná hesla, která si snadno zapamatujete .
17. Aktualizujte WordPress a všechny pluginy na nejnovější verzi
Netřeba dodávat, že upgrade na nejnovější verzi WordPress a pluginů je nejlepší způsob, jak se chránit.
Ochrana připojení
18. SFTP
Přenos souborů na váš online účet je běžnou věcí. Namísto použití nezabezpečeného FTP byste však měli použít SFTP (zabezpečený FTP). Tím vytvoříte připojení SSH a odešlete všechny vaše soubory zašifrované na server. Pokud potřebujete pomoc s vytvořením připojení SFTP, zde je průvodce.
Výše uvedené informace by měly stačit k vytvoření bezpečného blogu WordPress. Pokud jste nic z toho neimplementovali, vyzval bych vás, abyste to nyní udělali.
Jaké další metody používáte k zabezpečení blogu WordPress?