Michael Fisher
0 
3170
343
Ботнеты по всему миру переключили свое внимание с рассылки спам-писем на систематический взлом установок WordPress; Это прибыльный бизнес, учитывая, что WordPress поддерживает 40% всех блогов. Особенно учитывая, что даже мы стали жертвами этого, пришло время написать исчерпывающую статью о том, как именно защитить вашу установку WordPress..
Примечание: этот совет относится только к WordPress устанавливает самостоятельно. Если вы пользуетесь WordPress.com, вам, как правило, не нужно заботиться о безопасности, потому что они справляются со всем за вас.. В чем разница между WordPress.com и WordPress.org? Какая разница между ведением блога на Wordpress.com и Wordpress.org? Какая разница между ведением блога на Wordpress.com и Wordpress.org? Теперь, когда Wordpress работает на 1 на каждые 6 сайтов, они должны делать что-то правильно. Как опытным разработчикам, так и начинающим разработчикам, Wordpress может предложить вам кое-что. Но так же, как вы начинаете ...
Установите Google двухступенчатый аутентификатор
Если у вас уже включена двухэтапная аутентификация для вашей учетной записи Gmail или других сервисов, вы можете использовать то же приложение для аутентификации с этим плагином для WordPress..
К счастью, вы можете ограничить двухэтапную аутентификацию только для учетных записей верхнего уровня, поэтому вам не нужно раздражать всех пользователей.
Блокировка входа
Старый плагин, но все еще работает как задумано; Блокировка входа в систему проверяет IP-адрес попыток входа в систему и блокирует диапазон IP-адресов на час, если он не проходит 3 раза в течение 5 минут. Простой, эффективный.
Регулярно делайте резервные копии
Хакеры не просто изменят один файл, но разместят собственную панель управления где-нибудь скрытым и другие скрытые бэкдоры - так что даже если вы исправите первоначальный взлом, они вернутся и сделают все снова. Делайте ежедневные или еженедельные резервные копии, чтобы вы могли легко восстановить их до того уровня, когда хакера не было видно - и обязательно исправьте все, что они сделали, чтобы войти. Лично я только что вложил в лицензию Backup Buddy разработчика стоимостью 150 долларов - это самое простое и полное решение для резервного копирования, которое я нашел.
Запрет индексирования папок
Проверьте корневой каталог вашей установки WordPress на наличие файла .htaccess (обратите внимание на точку в начале - вам может потребоваться показать невидимые файлы, чтобы просмотреть это), и убедитесь, что он имеет следующую строку. Если нет, добавьте его - но сначала сделайте резервную копию, так как этот файл очень важен.
Опции Все Индексы
Оставаться в курсе
Не делайте ту же ошибку, что и мы: всегда обновляйте WordPress, как только доступно обновление. Иногда обновления содержат незначительные исправления ошибок, а не исправления безопасности, но входят в привычку, и у вас не будет проблем. Если у вас более одной установки WordPress и вы не можете отслеживать их все, проверьте ManageWp.com, панель инструментов премиум-класса для всех ваших блогов, которая включает сканирование безопасности.
Не только основные файлы WordPress, но и плагины: один из крупнейших взломов WordPress в прошлом заключался в уязвимости в общем скрипте генератора миниатюр, называемом timthumb.php, и есть еще темы, которые используют старую версию. Хотя плагины были быстро обновлены, поддерживать актуальность тем сложнее, конечно - WordPress не скажет вам, уязвима ли ваша тема, и для этого вам понадобится какой-нибудь плагин для сканирования безопасности - прокрутите вниз до Плагины безопасности раздел ниже для некоторых предложений.
Никогда не скачивайте случайные темы
Если вы не знаете, что делаете с PHP-кодом, очень легко попасть в ловушку загрузки прекрасной случайной темы откуда-то, только чтобы обнаружить, что там есть какой-то неприятный код - чаще всего обратные ссылки, которые вы не можете удалить, но хуже можно найти. Придерживайтесь премиум и известных дизайнеров темы (например, Smashing Magazine или WPShower), или для бесплатных тем используйте только каталог тем WordPress.
Удалить неиспользуемые плагины и темы
Чем меньше исполняемого кода у вас на сервере, тем лучше - исключите возможность наличия старого, уязвимого кода, удалив темы и плагины, которые вы больше не используете. Отключение их просто остановит загрузку их функциональности с помощью WordPress, но сам код все еще может быть выполнен хакером.
Удалите контрольную мету в заголовке
По умолчанию WordPress транслирует свою версию миру в коде вашего заголовочного файла - простой способ для хакеров идентифицировать более старые установки. Добавьте следующие строки к вашей теме functions.php файл для удаления версии WordPress, информации Windows Live Writer и строки, которая помогает удаленным клиентам найти ваш файл XML-RPC.
remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'rsd_link');Удалить “админ” учетная запись
Большинство грубых атак на WordPress включают в себя многократные попытки админ account - по умолчанию для всех установок WordPress - и словарь общих паролей. Если вы либо авторизуетесь с учетной записью администратора, либо у вас есть учетная запись администратора в таблице пользователей, вы уязвимы для этого.
Есть два способа исправить это: либо использовать плагин wp-optimize - отличный плагин, который, помимо прочего, позволяет отключать пост-ревизии и выполнять оптимизацию базы данных - чтобы переименовать учетную запись администратора. Или просто создайте другую учетную запись с правами администратора, войдите в систему как новый пользователь, затем удалите “админ” Аккаунт назначить все сообщения для вашего нового пользователя.
Безопасные пароли
Даже если вы отключили учетную запись администратора, возможно, будет возможно идентифицировать имя пользователя вашей учетной записи администратора - в этот момент вы снова уязвимы для атаки методом перебора. Принять строгую политику паролей из 16 или более случайных символов, состоящих из прописных и строчных букв, знаков препинания и цифр.
Или просто используйте действительно длинную привязку, то есть легкую, запоминающуюся метод.
Отключить редактирование файлов в WordPress
Для тех, кто не любит входить через FTP, WordPress включает в панель администратора легкий редактор для тем и плагинов PHP-файлов - но это делает вашу установку уязвимой, если кто-то получит доступ. Фактически, именно так кому-то удалось внедрить перенаправление вредоносных программ в наш заголовок. Добавьте следующую строку в нижней части вашего WP-config.php (в корневой папке), чтобы отключить все функции редактирования файлов и использовать SFTP Что такое SSH и чем он отличается от FTP [Технология объяснена] Что такое SSH и чем он отличается от FTP [Технология объяснена] для входа на сервер вместо этого.
define ('DISALLOW_FILE_EDIT', true);Скрыть ошибки входа
Неправильный пароль или неправильное имя пользователя могут быть идентифицированы по ошибкам, указанным при входе в систему, которые могут быть использованы для идентификации учетных записей для перебора. Очевидно, это нехорошо, поэтому исправьте ошибки с помощью этого дополнения к вашей теме. functions.php файл
function no_errors_please () return 'Nope'; add_filter ('login_errors', 'no_errors_please');Активировать Cloudflare
Обладая не только ускорением вашего сайта, CloudFlare предотвращает даже попадание в ваш блог многих известных ботнетов и сканеров. Узнайте больше о CloudFlare Защита и ускорение вашего сайта бесплатно с CloudFlare Защита и ускорение вашего сайта бесплатно с CloudFlare CloudFlare - интригующий запуск от создателей Project Honey Pot, который утверждает, что защищает ваш сайт от спамеров, ботов и других злые веб-монстры - а также несколько ускорить ваш сайт ... здесь. Установка выполняется одним щелчком мыши, если вы находитесь на MediaTemple, в противном случае вам потребуется доступ к панели управления доменом для изменения серверов имен..
Плагины безопасности
- Better WP Security реализует многие из этих исправлений для вас и является наиболее полным бесплатным решением, которое есть.
- WordFence - это премиум-пакет, который активно сканирует ваши файлы на наличие вредоносных ссылок, перенаправлений, известных уязвимостей и т. Д. И исправляет их. Цена начинается с $ 18 / год за 1 сайт.
- Решение для безопасности входа в систему ограничивает попытки входа в систему и обеспечивает безопасные пароли.
- BulletProof security - это комплексный, но сложный плагин, который имеет дело с некоторыми более техническими аспектами, такими как внедрение XSS и проблемы .htaccess. Также доступна версия Pro плагина, которая автоматизирует большую часть процесса.
Я думаю, вы согласитесь, что это довольно полный список шагов по укреплению WordPress, но я не предлагаю вам реализовать все из них. Если бы мне пришлось делать все это для каждого сайта, который я когда-либо настраивал, я бы все равно настраивал их сейчас. Запуск любой системы создает риск, и в конечном итоге вам необходимо найти баланс между уровнем безопасности, который вы хотите, и усилиями, которые вы хотите приложить для его обеспечения - ничто никогда не будет на 100% безопасным. Низко висящие фрукты здесь:
- Поддержание WordPress в актуальном состоянии
- Отключение учетной записи администратора
- Добавление двухэтапной аутентификации
- Установка плагина безопасности
Если вы будете делать это самостоятельно, то вы будете выше 99% всех других блогов, что достаточно, чтобы потенциальные хакеры могли перейти к более легким целям..
Ты думаешь, я что-то пропустил? Ответь мне в комментариях.