Share
Het is een gevreesde nachtmerrie: op een dag maak je je website open en zie je dat je bent gehackt. Als u een eenvoudige persoonlijke blog gebruikt, is dit misschien een vervelend incident. Als u een website van een klant host, kan uw dag veranderen in een zware, stressvolle dag. Als u een goed verkopende e-commercewebsite gebruikt, kan dit een paniekaanval veroorzaken. Hoe het ook zij, je zult geen blije emoji's gebruiken om het nieuws te delen. Dus je hebt een plan nodig om de aanvallen te voorkomen voordat ze gebeuren.
En je bent op de juiste plek. In deze tweedelige miniserie laat ik je zien hoe je je WordPress-projecten zo veilig mogelijk kunt maken.
Denk je dat WordPress veilig is? Het is goed als je dat niet doet, omdat veel mensen denken dat WordPress een onveilig contentbeheersysteem is, maar toch is het heel ver van de waarheid ... tenminste vandaag.
Wat hebben Microsoft Windows, Android, Google Chrome en WordPress gemeen? Ze zijn allemaal extreem populaire software en mensen vinden voortdurend gaten in de beveiliging. Hoewel ze allemaal regelmatig worden gepatcht tegen bugs en beveiligingsfouten, maakt veiligheidscontrolegaten ze onveilig?
Het spijt me als je de andere kant op denkt, maar dat doet het niet. Frequente patches betekenen niet noodzakelijkerwijs dat een stuk software slecht gecodeerd is tegen beveiligingsbedreigingen. Het spel van kat en muis tussen ontwikkelaars en hackers zal altijd doorgaan en hackers zullen altijd een manier vinden om software te hacken. En als de software uitbreidbaar is, zoals WordPress, zullen ook de kansen van hackers toenemen.
Het belangrijkste hier is om responsief en preventief te zijn, en dat is iets waar WordPress in uitblinkt. U moet een paar dagen wachten voordat Google Chrome een beveiligingslek of zelfs weken voor een beveiligingsfix heeft opgelost, maar de enorme community van WordPress-ontwikkelaars kunnen voor het einde van de dag zero-day beveiligingsfouten oplossen dag een. Bovendien werkt een heel team aan het beveiligen van de WordPress-kern, dus we zijn ook in goede handen. Wat betreft thema's en plug-ins is het misschien een beetje eenvoudiger om fouten en fouten te vinden en het kan meer tijd kosten om ze op te lossen, maar de gemeenschap heeft de ruggen van ontwikkelaars.
Maar toch is niets honderd procent veilig. We leven in tijden waarin wetenschappers op het punt staan de code in onze hersenen te kraken! Niets is ondoordringbaar, inclusief onze hersenen blijkbaar, en WordPress is geen uitzondering. Maar de onmogelijkheid van 100% beveiliging betekent niet dat we niet voor 99.999% moeten gaan.
Uit persoonlijke ervaring en wat verder onderzoek heb ik verschillende beveiligingsmaatregelen samengesteld die u zou moeten nemen, als u dat nog niet hebt gedaan. Zonder verder oponthoud, laten we ze nu meteen leren kennen!
Accentsconagua
.htaccess het dossierLaten we gemakkelijk beginnen.
Als uw WordPress-website wordt gehost op een webserver die wordt aangedreven door Apache en u "mooie permalinks" hebt ingeschakeld in instellingen, WordPress genereert een bestand met de naam .htaccess om de basisinstructies van WordPress permalink op te slaan. Als u geen mooie permalinks inschakelt, is de .htaccess bestand wordt niet door de kern gegenereerd, maar de tips die ik ga laten zien, zijn nog steeds van toepassing - je hoeft alleen maar het bestand zelf te maken.
Nano-tip: als je de .htaccess bestand op zichzelf, maar het is moeilijk om een bestand zonder naam te maken, maar met de .htaccess extensie, upload eenvoudig een leeg bestand met een willekeurige naam (zoals Untitled.txt) en wijzig de naam en de extensie binnen uw FTP-client.
Het eerste dat me te binnen schiet, is het beschermen van de htaccess het dossier. En het is het gemakkelijkste om te doen tussen de tips en trucs die ik je ga laten zien. Het enige wat u hoeft te doen is de volgende regels aan het bestand toevoegen:
# protect .htaccessBestelling toestaan, ontkennen van iedereen
Het is een onschuldige truc om het te beschermen htaccess bestand van iemand (of iets) die er toegang toe wil hebben.
Laten we vervolgens de weergave van de inhoud van mappen uitschakelen:
# directory bladeren deactiveren Opties Alles -Indexen
Dit voorkomt dat onbekenden de inhoud van uw mappen kunnen zien wanneer ze toegang willen, bijvoorbeeld, myblog.com/wp-content/uploads/. Normaal gesproken zouden ze de geüploade bestanden kunnen zien of door de submappen in de / Uploads / map, maar met deze kleine truc, zullen ze een zien 403 verboden reactie van de server.
En tot slot wil ik verwijzen naar een geweldige "zwarte lijst" van Perishable Press: The 5G Blacklist. Deze zwarte lijst beschermt uw website tegen vele soorten kwaadwillige activiteiten, van schadelijke query-strings tot slechte user-agents.
Dat is het voor de htaccess trucs. Laten we verder gaan naar wp-config.php trucs.
wp-config.php het dossier en De inhoudDe wp-config.php bestand is waarschijnlijk het belangrijkste bestand in uw hele WordPress-installatie, in termen van beveiliging. En je kunt er veel mee doen om je website te verbeteren.
Laten we beginnen met een interessante truc: Wist u dat u uw kunt plaatsen wp-config.php een niveau hoger opslaan in je WordPress-root? Als het je niet in verwarring brengt, ga je gang en doe het nu meteen. Meestal installeer ik WordPress in public_html mappen en ik vind het plaatsen van de wp-config.php bestand in de root-map van de gebruiker. Niet zeker of het een slang-olie recept is of niet, maar het tenminste voelt veiliger. Sommige mensen bij Stack Exchange hadden een goed debat over dit onderwerp.
Laten we trouwens teruggaan naar de root .htacccess bestand en voeg de volgende regels toe om de toegang tot de te weigeren wp-config.php het dossier:
# bescherm wpconfig.phpBestelling toestaan, ontkennen van iedereen
Hier is een interessant idee: hoe zit het met het verwijderen van de toestemming om thema- en plug-inbestanden te bewerken? Het enige dat nodig is, is om de volgende regel toe te voegen aan de wp-config.php het dossier:
define ('DISALLOW_FILE_EDIT', true); Heb je nog meer paranoïde? Plak de volgende regel onder de bovenstaande regel om installatie- en verwijderingshulpprogramma's en verwijderingen volledig uit te schakelen:
define ('DISALLOW_FILE_MODS', true); Nog twee tips voor het verharden van WordPress: verander de databasevoorvoegsel en voeg beveiligingssleutels toe (of zout toetsen) in de wp-config.php het dossier.
De eerste is eenvoudig: controleer of u de databasevoorvoegsel als standaardwaarde instelt door deze regel te vinden:
$ table_prefix = 'wp_';
Als het is ingesteld op wp_, je zou het moeten veranderen in iets anders dan deze standaardwaarde. U hoeft het niet te onthouden, dus u kunt alles typen. Ik gebruik graag combinaties zoals wp_fd884vg_ om het zowel veilig als leesbaar te houden.
Het veranderen van de beveiligingssleutels is ook erg gemakkelijk. Kijk of de sleutels leeg zijn door de volgende regels te vinden:
/ ** # @ + * Authenticatie Unieke sleutels en zouten. * * Verander deze in verschillende unieke zinnen! * U kunt deze genereren met behulp van de @link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org geheime-sleutelservice * U kunt deze op elk moment wijzigen om alle bestaande ongeldig te maken cookies. Dit zal alle gebruikers dwingen om opnieuw in te loggen. * * @since 2.6.0 * / define ('AUTH_KEY', 'plaats hier je unieke zin'); define ('SECURE_AUTH_KEY', 'plaats hier je unieke zin'); define ('LOGGED_IN_KEY', 'plaats hier je unieke zin'); define ('NONCE_KEY', 'plaats hier je unieke zin'); define ('AUTH_SALT', 'plaats hier je unieke zin'); define ('SECURE_AUTH_SALT', 'plaats hier je unieke zin'); define ('LOGGED_IN_SALT', 'plaats hier je unieke zin'); define ('NONCE_SALT', 'plaats hier je unieke zin'); Als ze allemaal zeggen 'zet hier je unieke zin', het betekent dat ze nog niet zijn ingesteld. Ga in dat geval gewoon naar deze URL (waarnaar ook wordt verwezen in de opmerkingen over de code) en wijzig de regels die op die pagina zijn gegenereerd met de bovenstaande regels.
Nano-tip: als u zich afvraagt wat deze "zoutsleutels" zijn, heeft WPBeginner een geweldig artikel over de voordelen van deze beveiligingsmaatregel.
Dat is het voor de wp-config.php trucs! Laten we het vandaag een dag noemen.
Ik hoop dat je deze hebt genoten .htaccess en wp-config.php trucs vandaag. In het volgende deel van deze miniserie bekijken we enkele beveiligingsinvoegtoepassingen en andere cruciale tips voor het verharden van WordPress. Als u vragen of opmerkingen heeft, kunt u deze opnemen in het gedeelte Opmerkingen hieronder.
Zie je in het volgende deel!
