Startseite Wordpress a vývoj webových aplikací Jak chránit WordPress před vniknutím do kontrolního seznamu, který musíte přečíst

Jak chránit WordPress před vniknutím do kontrolního seznamu, který musíte přečíst

  • Joseph Goodman
  • 0
  • 3380
  • 65
reklama

Botnety z celého světa obrátily pozornost od odesílání nevyžádaných e-mailů k systematickému hackování do instalací WordPress; je to lukrativní záležitost vzhledem k tomu, že WordPress ovládá 40% všech blogů. Zejména vzhledem k tomu, že jsme se toho stali oběťmi, je na čase, abychom udělali komplexní příspěvek o tom, jak přesně chránit vaši vlastní instalaci WordPress..

Poznámka: Tato rada se vztahuje pouze na instalace hostované WordPress. Pokud používáte WordPress.com, obvykle se nemusíte starat o zabezpečení, protože to vše zvládnou za vás. Jaký je rozdíl mezi WordPress.com a WordPress.org? Jaký je rozdíl mezi spuštěním blogu na Wordpress.com a Wordpress.org? Jaký je rozdíl mezi spuštěním blogu na Wordpress.com a Wordpress.org? Když Wordpress nyní napájí 1 na každých 6 webových stránek, musí dělat něco v pořádku. Pro zkušené vývojáře i pro úplného nováčka má Wordpress co nabídnout. Ale stejně jako začnete…

Nainstalujte dvoufázový ověřovač Google

Pokud již máte povoleno dvoufázové ověření pro svůj účet Gmail nebo jiné služby, můžete s tímto pluginem pro WordPress použít stejnou aplikaci ověřovatele..

Naštěstí můžete omezit použití dvoufázového ověřování pouze na účty vyšší úrovně, takže nemusíte obtěžovat všechny své uživatele.

Uzamčení přihlášení

Starý plugin, ale stále pracuje podle plánu; Uzamčení přihlášení kontroluje IP pokusů o přihlášení a blokuje rozsah IP po dobu jedné hodiny, pokud selže 3krát do 5 minut. Jednoduché, efektivní.

Vezměte pravidelné zálohy

Hackeři nezmění pouze jeden soubor, ale umístí svůj vlastní ovládací panel někde skrytý a další skrytý zadní vrátka - takže i když opravíte původní hack, vrátí se zpět a udělají to znovu. Vezměte si denní nebo týdenní zálohy, takže můžete snadno obnovit zpět do bodu, kdy hacker nenašel žádnou stopu - a nezapomeňte napravit, co se stalo, aby se dostali dovnitř. Osobně jsem jen investoval do vývojářské licence 150 $ Backup Buddy - je to nejjednodušší a nejkomplexnější řešení zálohování, které jsem dosud našel.

Zabraňte indexaci složek

Zkontrolujte kořen vaší instalace WordPress pro soubor .htaccess (všimněte si období na začátku - možná budete muset zobrazit neviditelné soubory, abyste si toto mohli prohlédnout) a ujistěte se, že má následující řádek. Pokud ne, přidejte jej - ale nejprve vytvořte zálohu, protože tento soubor je velmi důležitý.

Možnosti Všechny - Indexy

Zůstaňte aktualizováni

Nerobte stejnou chybu jako my: vždy aktualizujte WordPress, jakmile bude aktualizace k dispozici. Aktualizace někdy obsahují drobné opravy chyb, nikoli opravy zabezpečení, ale dostanou se do zvyku a nebudete mít problém. Pokud máte více než jednu instalaci WordPress a nemůžete je sledovat všechny, podívejte se na ManageWp.com, prémiový panel pro všechny vaše blogy, který zahrnuje bezpečnostní kontrolu.

Nejen základní soubory WordPress, ale i pluginy: jeden z největších hacků WordPress v minulosti zahrnoval zranitelnost v běžném skriptu generátoru miniatur nazvaném timthumb.php, a stále existují témata, která používají starou verzi. Ačkoli byly pluginy rychle aktualizovány, udržování aktuálnosti témat je samozřejmě těžší - WordPress vám však neřekne, zda je vaše téma zranitelné, a za to budete mít nějaký plugin pro bezpečnostní skenování - přejděte dolů na Bezpečnostní pluginy část níže pro některé návrhy.

Nikdy nestahujte náhodná témata

Pokud nevíte, co děláte s PHP kódem, je velmi snadné spadnout do pasti stáhnutí krásného náhodného tématu odněkud, jen když zjistíte, že tam je nějaký ošklivý kód - nejčastěji zpětné odkazy, které nemůžete odstranit, ale horší lze najít. Držte se prémiových a známých návrhářů motivů (například Smashing Magazine nebo WPShower), nebo pro bezplatná témata používejte pouze adresář motivů WordPress.

Odstranit nepoužité doplňky a motivy

Čím méně spustitelného kódu máte na serveru, tím lépe - odstraníte šanci na starý a zranitelný kód odstraněním témat a pluginů, které již nepoužíváte. Pokud je deaktivujete, jednoduše se zastaví načítání jejich funkcí pomocí WordPress, ale samotný kód může být stále spuštěn hackerem.

Odstraňte kontrolku Meta v záhlaví

Ve výchozím nastavení WordPress vysílá svou verzi do světa v kódu souboru záhlaví - snadný způsob, jak hackeři identifikují starší instalace. Přidejte k řádkům následující řádky function.php soubor k odstranění verze WordPress, informací o programu Windows Live Writer a řádku, který pomáhá vzdáleným klientům najít váš soubor XML-RPC.

remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'rsd_link');

Odstranit “admin” Účet

Většina útoků hrubou silou na WordPress zahrnuje opakované vyzkoušení admin účet - výchozí pro všechny instalace WordPress - a slovník běžných hesel. Pokud se přihlásíte pomocí účtu admin nebo máte účet admin uveden ve své uživatelské tabulce, jste na to zranitelní.

Dva způsoby, jak to opravit: buď použít wp-optimalizovat plugin - skvělý plugin, který mimo jiné umožňuje zakázat revize a provádět optimalizaci databáze - přejmenovat administrátorský účet. Nebo jednoduše vytvořte jiný účet s oprávněními správce, přihlaste se jako nový uživatel a poté smažte “admin” účet přiřadí všechny příspěvky vašemu novému uživateli.

Zabezpečená hesla

I když jste deaktivovali administrátorský účet, bude možné identifikovat uživatelské jméno vašeho administrátorského účtu - v tom okamžiku jste opět zranitelní útokem brutální síly. Vynucujte přísnou politiku hesla 16 nebo více náhodných znaků, které se skládají z malých a velkých písmen, interpunkčních znamének a čísel.

Nebo prostě použijte opravduLongSentenceThatsEasyToRememberMethod.

Zakázat úpravy souborů v rámci WordPress

Pro ty, kteří se neradi přihlašují přes FTP, obsahuje WordPress snadný editor na hlavním panelu administrátora pro soubory PHP a tematických a zásuvných modulů - to však činí vaši instalaci zranitelnou, pokud někdo získá přístup. Ve skutečnosti se tak někomu podařilo vložit přesměrování malwaru do naší hlavičky. Přidejte následující řádek na konec svého wp-config.php (v kořenové složce) zakážete všechny funkce pro úpravy souborů - a použijte SFTP Co je SSH a jak se liší od FTP [vysvětlení technologie] Co SSH je a jak se liší od FTP [vysvětlení technologie] pro přihlášení k serveru.

define ('DISALLOW_FILE_EDIT', true);

Skrýt chyby přihlášení

Nesprávné heslo nebo nesprávné uživatelské jméno lze identifikovat na základě chyb při přihlášení, které by mohly být použity k identifikaci účtů pro násilné nucení. To samozřejmě není dobré, takže zabijte chyby tím, že doplníte téma vašeho tématu function.php soubor

function no_errors_please () návrat 'Ne';  add_filter ('login_errors', 'no_errors_please');

Aktivujte Cloudflare

Kromě zrychlení vašeho webu CloudFlare také zmiňuje mnoho známých botnetů a skenerů, aby se vůbec nedostali na váš blog. Přečtěte si vše o CloudFlare Chraňte a zrychlete web zdarma pomocí CloudFlare Chraňte a zrychlete web zdarma pomocí CloudFlare CloudFlare je zajímavý úvod od tvůrců projektu Honey Pot, který tvrdí, že chrání váš web před spammery, roboty a dalšími. zlé webové monstra - a také trochu zrychlete svůj web ... zde. Instalace je jedním kliknutím, pokud jste hostitelem MediaTemple, jinak budete potřebovat přístup k ovládacímu panelu domény, abyste mohli změnit jmenné servery.

Bezpečnostní pluginy

  • Lepší zabezpečení WP implementuje mnoho z těchto oprav za vás a je nejkomplexnějším bezplatným řešením, jaké existuje.
  • WordFence je prémiový balíček, který aktivně prohledává vaše soubory na odkazy na malware, přesměrování, známé zranitelnosti atd. - a opravuje je. Cena začíná na 18 USD / rok za 1 web.
  • Řešení zabezpečení přihlášení omezuje pokusy o přihlášení a vynucuje zabezpečená hesla.
  • Zabezpečení BulletProof je komplexní, ale složitý plugin, který se zabývá některými technickými aspekty, jako jsou injekce XSS a problémy s htaccessem. K dispozici je také verze Pro pluginu, která automatizuje většinu procesu.

Myslím, že budete souhlasit, že je to docela obsáhlý seznam kroků, jak zpřísnit WordPress, ale nenavrhuji, abyste implementovali Všechno z nich. Kdybych to všechno musel udělat na všech stránkách, které jsem kdy vytvořil, pořád bych je nastavoval hned teď. Provozování jakéhokoli systému představuje riziko a nakonec je jen na vás, abyste našli rovnováhu mezi úrovní bezpečnosti, kterou chcete, a úsilím, které chcete vynaložit na její zabezpečení - nic není nikdy 100% bezpečné. Plody s nízkým zavěšením jsou:

  • Udržujte WordPress aktuální
  • Zakázání účtu správce
  • Přidání dvoufázového ověření
  • Instalace doplňku zabezpečení

Pokud to uděláte sami, měli byste se dostat nad 99% všech ostatních blogů tam, což je dost, aby se potenciální hackeři přesunuli k snadnějším cílům.

Myslíš si, že mi něco uniklo? Řekněte mi to v komentářích.




Bisher hat noch niemand einen Kommentar zu diesem Artikel abgegeben.

Rozdělovací tabulky Co znamenají chyby a jak se jim vyhnout
Vysvětlená technologie
Proč jsou některé programovací jazyky rychlejší než jiné?
Vysvětlená technologie
Jaká rozšíření domén URL stojí a proč jsou potřebná
Vysvětlená technologie
O moderní technologii, jednoduché a cenově dostupné.
Váš průvodce ve světě moderních technologií. Naučte se, jak používat technologie a pomůcky, které nás každý den obklopují, a naučte se, jak objevovat na internetu zajímavé věci.