Share
WordPress is open source, wat betekent dat iedereen, inclusief hackers met een kwaadwillige bedoeling, de broncode kan doorzoeken op zoek naar gaten in de beveiliging ervan. Dat is waarom ik je enkele goede voorzorgsmaatregelen zal laten nemen om je, je WordPress en vooral je gebruikers te beschermen.
Waarschijnlijk is het gemakkelijkste dat u kunt doen om uzelf te beschermen, begint door de beheerders-superuser te wijzigen / verwijderen. Iedereen die WordPress gebruikt, weet dat er een gebruiker is genaamd admin met een beveiligingsmogelijkheid op het hoogste niveau, met name hackers. Als de gebruikersnaam admin is, hoe moeilijk kan het zijn om het wachtwoord te kraken. Maak een nieuw beheerdersaccount maar dit keer met een andere naam en verwijder vervolgens het beheerdersaccount.
In feite zou ik persoonlijk aanbevelen om een beheerdersaccount te maken met een zeer complexe gebruikersnaam en wachtwoord (zoiets als x7duEls91 *), ergens op te slaan en een ander account te maken om inhoud te publiceren die je naam heeft die geen uitvoerende macht heeft bevoegdheden. Het beheerdersaccount is in feite alleen nodig om thema's, plug-ins en andere aspecten van de site te beheren die niet dagelijks hoeven te worden gewijzigd - een redacteursaccount zou voldoende zijn.
?Behandel je wachtwoord zoals je tandenborstel. Laat niemand anders het gebruiken en elke zes maanden een nieuwe kopen.?
~ Clifford Stoll
Ongeacht het type site dat u gebruikt, loopt u mogelijk het risico op een brute-kracht aanval. In de eerste stap toen we de gebruikersnaam voor de beheerder verwijderden, hebben de meeste hackers waarschijnlijk afgeschrikt, maar er zijn er altijd die erg persistent zijn of al je gebruikersnaam kennen. De volgende stap is om een heel moeilijk wachtwoord en een gevarieerd wachtwoord te kiezen. Een goede manier om vast te stellen of uw wachtwoord veilig is, is door het in te voeren in een online wachtwoordchecker zoals passwordmeter.com of om een willekeurig wachtwoord te genereren.
Ook neem ik er de voorkeur aan extra voorzorgsmaatregelen te nemen bij het beschermen van mijn blog, het installeren van plug-ins kan een extra beveiligingslaag toevoegen. Er zijn tal van plug-ins die wachtwoorden en inlog-aspecten van WordPress kunnen verwerken. Eén plug-in die ik erg handig vind, is Login LockDown; het registreert het IP-adres en tijdstempel van alle mislukte aanmeldingen, naast IP-blokkering na een bepaald aantal mislukte aanmeldingen. Deze plug-in is vooral handig als het gaat om het verdedigen van jezelf tegen een brute force-aanval - de meeste aanvallers geven een site op als ze elke 5 minuten IP verbannen terwijl ze hun brute force-programma uitvoeren.
Zoals ik al zei, is WordPress open source, waardoor het een gemakkelijker doelwit is voor hackers. Bijna 60 miljoen sites gebruiken WordPress, wanneer Automattic een update pompt, hoe eerder u uw site bijwerkt, des te beter omdat ze bij het maken van een nieuwe update ook de beveiligingslekken plaatsen die zij hebben opgelost. Ook duurt het niet lang om uw WordPress-installatie bij te werken, volgens WordPress duurt het 5 minuten om te voltooien.
Laten we zeggen dat je vergeet om je WordPress-installatie bij te werken, of dat je gewoon geen 5 minuten over hebt. Uw WordPress-versie geeft hackers een goed beeld van hoe ze uw site kunnen hacken, vooral als deze verouderd is.
WordPress geeft standaard de versie weer, omdat ze het voor statistieken willen laten zien hoeveel mensen welke versie gebruiken, enzovoort? Dit is echter hetzelfde als een helder rood bord op uw site plaatsen om hackers te vertellen wat ze moeten doen.
Als u een premium-thema gebruikt, is de kans groot dat de ontwikkelaar de vrijheid heeft genomen om u uit te schakelen, maar het is altijd beter om er zeker van te zijn. Open uw function.php-bestand en plaats deze regel met code.
Het is erg belangrijk dat u over de juiste bestandsmachtigingen beschikt om de veiligheid van uw site te waarborgen. Ik raad u aan om uw bestandsrechten te beperken tot de kale CHMOD-waarde van 744, waardoor deze in feite alleen-lezen is voor iedereen behalve u.
Open gewoon uw FTP-programma en klik met de rechtermuisknop op de map of het bestand en klik op "File Permissions". Als het 777 is, heb je veel geluk dat je nog niet bent gehackt. Je zou de CHMOD-waarde moeten veranderen in 744, waardoor de "eigenaar" volledige toegang krijgt.
Met witte lijsten kunt u beheren wie toegang heeft tot bepaalde delen van uw website. Het is alsof je de Grote Muur van China rond je beheerdersmap bouwt, zodat niemand, behalve jij, toegang heeft tot de map. We doen dit met behulp van het .htaccess-bestand.
Navigeer naar uw / wp-admin / map en controleer of er al een .htaccess-bestand is. Als er geen is, maakt u er gewoon een. Als er al een is, raad ik aan er een back-up van te maken voordat u bewerkingen uitvoert. Zorg ervoor dat u zich in de map wp-admin bevindt en niet in de hoofdmap.
Plak de volgende code in het .htaccess-bestand:
AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress Admin Access Control" AuthType Basicontkennen, toestaan ontkennen van alle # Witte lijst Uw IP-adres toestaan van xx.xx.xx.xxx # Witte lijst Het IP-adres van uw kantoor toestaan van xx.xx.xx.xxx # Witte lijst Uw IP-adres tijdens uw reis (Verwijderen wanneer u terugkomt Home) toestaan vanaf xx.xx.xx.xxx
Vervang de xx's door uw IP-adres, dat u kunt vinden op WhatsMyIP.org. Nu moet je elke keer dat je inlogt vanuit een aantal andere plaatsen dan de plaatsen die je hebt toegevoegd aan je .htaccess-bestand, het nieuwe IP-adres toevoegen voordat je het kunt gebruiken.
Ongeacht het beveiligingsniveau van uw WordPress-site, is het een goede gewoonte om altijd een back-up van uw site te maken. Er zijn veel manieren om dit te doen. Als u deze opdracht gebruikt, kunt u profiteren van cron-taken, als uw hostingbedrijf deze biedt:
DBNAME = DB_NAME DBPASS = DB_PASSWORD DBUSER = DB_USER EMAIL = "you@your_email.com" mysqldump --opt -u $ DBUSER -p $ DBPASS $ DBNAME> backup.sql gzip backup.sql DATE = "date +% Y% m% d "; mv backup.sql.gz $ DBNAME-backup- $ DATE.sql.gz echo 'BLOG BACKUP: Your Backup is attached' | mutt -a $ DBNAME-backup- $ DATE.sql.gz $ EMAIL -s "MySQL Backup" rm $ DBNAME-backup- $ DATE.sql.gz
U kunt ook VaultPress gebruiken, een service van Automattic. Als u meer wilt weten over VaultPress, raad ik u aan deze zelfstudie te bekijken.
De eenvoudigste manier om te gaan is om in te loggen in het admin panel, ga naar Tools en klik vervolgens op Exporteren. Dit maakt uw leven gemakkelijker, vooral wanneer u uw WordPress opnieuw moet instellen.
Als u een leeg indexbestand in uw / wp-content / plugins / map plaatst, worden al uw plug-ins verborgen. Sommigen van jullie denken waarschijnlijk: "Who cares of iemand mijn plug-ins kan zien?". Welnu, plug-ins kunnen hackers vertellen hoe ze uw site moeten hacken, of op zijn minst als deze hackbaar is.
Zoals u kunt zien, zijn de plug-ins duidelijk zichtbaar voor iedereen die naar de map / wp-content / plugins navigeert. Als een hacker geen beveiligingsplug-ins ziet, weten ze meteen dat dit een eenvoudige klus zal zijn. Het toevoegen van lege index.html in de map plug-ins is net als het plaatsen van een veiligheidsteken in uw gazon, het maakt niet uit of u het beveiligingssysteem wel hebt, maar zolang de hacker het niet weet, zal hij minder geneigd zijn om het te proberen iets.
De beste beveiligingstool, ongeacht de plug-in / software die u installeert, is u. Om er zeker van te zijn dat u volledig beschermd bent, moet u de beveiliging van uw website proactief benaderen. Drie keer per dag controleer ik mijn serverlogboeken en webanalyses om te zien of er ongewoon gedrag is.
Nu met een veilige en veilige WordPress-installatie, bent u klaar om uw inhoud vrij te posten zonder bang te hoeven zijn als u kwetsbaar bent om te worden gehackt.
Als je vragen hebt over deze tutorial, WordPress-beveiliging of beveiliging in het algemeen, laat dan een reactie achter en ik neem zo snel mogelijk contact met je op.
Accentsconagua