Edmund Richardson
0 
5094
1085
Без сомнения, для блога WordPress WordPress - лучшая CMS для блогов, которую вы можете получить. Однако, будучи популярным программным обеспечением с открытым исходным кодом, это также означает, что хакеры имеют полный доступ к коду, который они могут исследовать, чтобы найти любые эксплойты, которые они могут использовать для взлома любого сайта с WordPress..
С другой стороны, одним из лучших преимуществ WordPress является его система плагинов, которая позволяет любому устанавливать любые плагины или создавать свои собственные плагины для расширения его функциональности, включая повышение безопасности..
Здесь я перечислил некоторые плагины безопасности WordPress (и несколько хитростей), которые вы можете использовать для защиты блога WordPress..
Все перечисленные ниже плагины и приемы предназначены для WP 2.7 и выше. Если вы все еще используете старую версию WordPress, пришло время обновить ваш блог.
Защита вашего логина
1. CHAP Безопасный вход
Этот плагин использует протокол CHAP для шифрования вашего пароля. Сначала в пароль вводится случайное число (nonce), сгенерированное сеансом, за которым следует алгоритм преобразования md5. Этот результат затем отправляется на сервер, где он расшифровывается и аутентифицируется. Это плагин с нулевой конфигурацией, что означает, что вы можете использовать его сразу после активации.
2. Stealth Логин
Stealth Login запутывает вашу страницу входа, позволяя вам определить пользовательскую страницу входа, а не wp-login.php по умолчанию. В случае утечки вашего пароля хакеру также будет сложно найти правильный URL-адрес для входа. Полезно использовать это для предотвращения доступа любых вредоносных ботов к вашему файлу wp-login.php и попыток взлома.
3. Вход в систему заблокирован
Блокировка входа полезна для предотвращения атаки методом перебора. То, что делает LockDown при входе, - это запись IP-адреса и отметки времени каждой неудачной попытки входа. Если в течение короткого периода времени из одного и того же диапазона IP-адресов обнаруживается более определенного количества попыток, это заблокирует функцию входа в систему и не позволит всем пользователям из этого диапазона IP-адресов войти в систему..
4. AskApache Защита паролем
Этот плагин добавляет дополнительную HTTP-аутентификацию, чтобы обеспечить второй уровень защиты для вашего блога. Вы можете настроить защиту паролем для своего блога, используя базовую аутентификацию HTTP, или выбрать более безопасную дайджест-аутентификацию HTTP..
Обратите внимание, что этот плагин может / не может работать в зависимости от возможностей вашего сервера. Если ваш сайт не проходит тесты конфигурации AskApache (тесты, запускаемые плагином для определения возможностей вашего сервера), свяжитесь с вашим веб-хостом и посмотрите, могут ли они внести изменения на стороне сервера..
5. Semisecure Логин переосмыслен
Этот плагин обеспечивает “semisecure” среда входа в систему путем шифрования вашего пароля с помощью криптографии RSA
Защита вашей базы данных
6. WP-DB-Backup
Возможно, для некоторых из вас резервное копирование базы данных может быть сложной технической задачей. С WP-DB-Backup вам просто нужно настроить его один раз и заставить его автоматически запускаться через равные промежутки времени.
Этот плагин автоматизирует резервное копирование вашей базы данных и отправляет ее на ваш почтовый ящик. Помимо таблицы по умолчанию, созданной в WordPress, вы также можете создавать резервные копии пользовательских таблиц, создаваемых плагинами. В случае сбоя вашей учетной записи вы можете легко импортировать и восстанавливать базу данных с помощью резервной копии..
7. WP-DBManager
Wp-DBManager похож на phpmyadmin в вашей панели. Вы можете легко управлять своей базой данных прямо на панели инструментов. Есть полезные функции, такие как оптимизация / восстановление / резервное копирование / восстановление вашей базы данных, и если вы достаточно технически, вы даже можете запустить свой собственный запрос SQL со страницы параметров.
С другой стороны, если каким-либо хакерам удастся войти на ваш сайт, этот плагин станет для них шлюзом для создания хаоса в вашей базе данных..
8. Изменить префикс таблицы базы данных
Префикс по умолчанию, используемый WordPress: “в.ч.”. Вы можете легко изменить префикс на другие термины, которые трудно угадать, используя WP-Security-Scan. Подробнее об этом плагине ниже.
9. Защитите ваш файл wp-config.php
Ваш файл wp-config.php содержит все ваши учетные данные для входа в базу данных, и он должен быть скрыт от публичного просмотра при любых обстоятельствах. В вашем файле htaccess введите следующую строку:
порядок разрешить, отрицать, отрицать от всех
запретить кому-либо просматривать файл wp-config.php.
Защита вашей страницы администратора
10. Admin SSL
Этот плагин активирует SSL на всех страницах, где можно вводить пароли, чтобы вся передаваемая информация была зашифрована.
Одна вещь, однако, вы должны иметь сертификат SSL, прежде чем вы сможете сделать это. Если вы не хотите тратить лишние деньги на покупку частного SSL-сертификата, вы можете спросить своего веб-хоста о Shared SSL. Большинство веб-хостов предоставляют общий SSL для всех своих клиентов, и его легко настроить.
11. Изменить логин
С помощью “админ” так как ваш логин - последнее, что вы хотите сделать. Когда вы впервые установили WordPress, вы должны немедленно создать другую учетную запись администратора с вашим собственным именем пользователя и паролем и удалить “админ” учетная запись.
Запретить другим просмотр вашей внутренней файловой структуры
12. Скрытие версии WP
В большинстве тем WordPress в разделе всегда есть строка кода, показывающая версию WordPress, которую вы используете. Раздать номер версии WordPress - значит сообщить хакеру, что использовать для взлома вашего сайта..
Начиная с WP2.6.5, WordPress усложнил удаление версии wp, так как встраивает эту информацию в wp_header тег. Плагин, который вы можете использовать для удаления этой информации - WP-Security-Scan.
13. Скрытие WP-контента
В папке WP-контента хранятся все ваши плагины и файлы тем. Это место, где вы хотите, чтобы другие люди не заглядывали в него. Вы можете загрузить пустую index.html файл в папку wp-content или создайте файл .htaccess в папке wp-content и добавьте следующую строку:
Опции Все Индексы14. Заблокировать wp-папку от индексации поисковыми системами
В то время как вы хотите, чтобы поисковые системы индексировали ваш блог и приносили много трафика, последнее, что вы хотите увидеть, - это позволить поисковым системам предоставить доступ к вашей внутренней файловой структуре. Что вы можете сделать, это заблокировать все ваши wp-папки от индексации поисковой системой, добавив следующие записи в robot.txt:
Disallow: / wp- *техническое обслуживание
15. WP Security Scan
Я упоминал этот плагин несколько раз, так что пришло время объяснить, что он делает. WP-Security-Scan проверяет ваш WordPress на наличие уязвимостей и предлагает / предлагает корректирующие действия. Корректирующие действия включают в себя изменение префикса вашей базы данных, скрытие номера версии WordPress от заголовка и позволяет проверить надежность вашего пароля..
Время от времени рекомендуется запускать встроенный сканер безопасности и проверять свой блог на наличие уязвимостей.
16. Регулярно меняйте пароль
Вы должны не только регулярно менять свой пароль, но и убедиться, что он надежный. Если у вас возникли трудности с его созданием, найдите способ создания надежных паролей, которые вы легко сможете запомнить. Как создать надежные пароли, которые можно легко запомнить Как создать надежные пароли, которые можно легко запомнить .
17. Обновите WordPress и все плагины до последней версии.
Излишне говорить, что обновление до последней версии WordPress и плагинов - лучший способ защитить себя.
Защита вашей связи
18. SFTP
Передача файлов на ваш онлайн-счет - обычное дело. Однако вместо использования незащищенного FTP вы должны использовать SFTP (безопасный FTP). Это создаст SSH-соединение и отправит все ваши файлы в зашифрованном виде на сервер. Если вам нужна помощь в создании SFTP-соединения, вот руководство.
Приведенной выше информации должно быть достаточно для создания безопасного блога WordPress. Если вы не реализовали ничего из этого, я настоятельно призываю вас сделать это сейчас.
Какие другие методы вы используете для защиты вашего блога WordPress?