5 wskazówek, jak chronić swoją witrynę WordPress przed hakerami

01.06.2020
Artykuły i więcej… '5 wskazówek, jak chronić swoją witrynę WordPress przed hakerami
0 7 мин.

jak chronić swoją witrynę WordPress przed hakerami


Istnieje kilka porad i wskazówek, które pozwolą chronić Twoją witrynę WordPress przed hakerami, ale 5 najważniejszych i najczęściej używanych wskazówek to:

Zmieniam wszystko z domyślnych

Hakerzy zwykle na początku atakują stronę internetową, myśląc, że są włączone domyślne opcje, więc musisz wszystko zmienić, np

  • Domyślna nazwa użytkownika to admin i lepsza nazwa powinna być prywatnym i osobistym pseudonimem.
  • Folder instalacyjny, który zwykle znajduje się w katalogu głównym, powinien być folderem losowym i możesz użyć małego kodu php, który sprawia, że ​​dostęp do witryny jest normalny, nawet jeśli folder instalacyjny nie jest zwykły. Możesz zmodyfikować kod php z index.php z katalogu głównego, w którym umieścisz indeks WordPress, ale zmienisz folder instalacyjny z wiersza, który zaczyna się od:

wymagany (nazwa katalogu (__FILE__). ‘/ wp-blog-header.php’ ‘);

do

wymagają (nazwa katalogu (__FILE__). ‘/ losowa_nazwa_folderu / wp-blog-header.php’);

  • Klucze WordPress z pliku konfiguracyjnego wp-config.php służą do lepszego szyfrowania danych użytkownika, takich jak:

zdefiniuj („AUTH_KEY”, „umieść tutaj swoją unikalną frazę”);
zdefiniuj („SECURE_AUTH_KEY”, „wpisz tutaj swoją unikalną frazę”);
zdefiniuj („LOGGED_IN_KEY”, „wpisz tutaj swoją unikalną frazę”);
zdefiniuj („NONCE_KEY”, „umieść tutaj swoją unikalną frazę”);

  • Przedrostek tabeli od domyślnego o nazwie _wp podczas tworzenia bazy danych dla WordPress.
  • Musisz usunąć formularz automatycznego wypełniania, aby formularze nie były automatycznie i natychmiast wypełniane danymi prywatnymi.
  • Wyłącz kliknięcie prawym przyciskiem, aby hakerzy nie mogli zobaczyć twojego kodu źródłowego tak łatwo i nie mogli wyszukiwać prywatnych informacji, takich jak nazwa szablonu, wersja WordPress i wtyczki.
  • Zablokuj pająki wyszukiwarek przed indeksowaniem sekcji administracyjnych, takich jak wp-admin, wp-include, wp-content / plugins /, wp-content / cache /, wp-content / themes i nie zezwalaj na dostęp do stron kanału, trackback i kategorii za pomocą robotów Plik .txt umieszczony w katalogu głównym, jak w poniższym przykładzie:

#
Agent użytkownika: *
Disallow: / cgi-bin
Disallow: / wp-admin
Disallow: / wp-obejmuje
Disallow: / wp-content / plugins /
Disallow: / wp-content / cache /
Disallow: / wp-content / themes /
Disallow: * / trackback /
Disallow: * / feed /
Disallow: / * / feed / rss / $
Disallow: / category / *

  • Zmodyfikuj i chroń plik .htaccess, aby zapobiec włamaniu się do WordPress, modyfikując go za pomocą ładnego kodu w głównym pliku .htaccess, takim jak:

# SILNA OCHRONA HTACCESS

pozwolenie na zamówienie, odmowa
Odmowa od wszystkich
zadowolić wszystkich

  • Zabezpiecz wp-config.php za pomocą dodatkowego kodu zapisanego w .htaccess:

# protect wp-config.php

Zamówienie odmów, zezwól
Odmowa od wszystkich

  • Ogranicz dostęp do katalogu wp-content, dodając dodatkowy kod .htaccess:

Zamówienie odmów, zezwól
Odmowa od wszystkich

Pozwól od wszystkich

  • Wyłącz przeglądanie katalogów za pomocą kodu napisanego w .htaccess:

Opcje Wszystkie –Indeksy

  • Zapobiegaj wstrzykiwaniu skryptu innym kodem .htaccess:

# chronić przed iniekcją sql
Opcje + FollowSymLinks
RewriteEngine On
RewriteCond% {QUERY_STRING} (\<|% 3C). * Skrypt. * (\>|% 3E) [NC, OR]
RewriteCond% {QUERY_STRING} GLOBALS (= | \ [| \% [0-9A-Z] {0,2}) [OR]
RewriteCond% {QUERY_STRING} _REQUEST (= | \ [| \% [0-9A-Z] {0,2})
RewriteRule ^ (. *) $ Index.php [F, L]

Aktualizuję wszystko

Innym sposobem ochrony witryny WordPress jest użycie wtyczki WP Updates Notifier, która powiadamia Cię o nowych aktualizacjach, a następnie możesz zbadać każdą wtyczkę, motyw, a nawet rdzeń WordPress, aby sprawdzić, czy aktualizacja jest bezpieczna.

W przypadku, gdy wszystko jest w porządku, powinieneś zaktualizować tak szybko, jak to możliwe w ostatniej wersji, w przeciwnym razie Twoja witryna może być nieaktualna i mogą pojawić się exploity. Jeśli nie jest to bezpieczne, lepiej nie aktualizuj, a powinieneś dezaktywować i usunąć wtyczkę lub motyw, a zamiast tego użyć nowszego i lepszego.

Korzystanie z ulepszonych technik bezpieczeństwa

Jeśli użyjesz ulepszonych technik bezpieczeństwa, takich jak zaszyfrowany certyfikat SSL, który uniemożliwia przesłanie danych osobowych, takich jak numer karty kredytowej, do hakera lub dobrej firmy hostingowej oferującej dedykowane IP, ale także ochrony DDoS i spamu, bezpieczeństwo Twojej witryny być bezpieczniejszym.

Korzystanie z ulepszonego oprogramowania zabezpieczającego

Możesz także zainstalować różne wtyczki bezpieczeństwa, takie jak WP Security Scan, który po wykryciu luk działa jak skanowanie antywirusowe i informuje cię, jeśli znajdzie zły kod. Ta wtyczka jest bardzo dobra w przypadku luk w zabezpieczeniach XSS, włamań, blokowania i rejestrowania niepoprawnych prób logowania, ale możesz użyć zwykłego programu antywirusowego, takiego jak BitDefender Antivirus lub ESET Nod32 Antivirus, do skanowania plików przesyłanych na FTP lub za pośrednictwem Biblioteki mediów WordPress.

Ponadto można zainstalować zaporę sieciową (WAF), która jest usługą typu plug and play opartą na chmurze, służącą jako brama dla całego ruchu przychodzącego lub innych aplikacji zabezpieczających, takich jak Acunetlx WP Security, która ukrywa tożsamość witryny CMS.

Regularnie twórz kopie zapasowe swojej witryny

Musisz także regularnie wykonywać kopie zapasowe każdego dnia lub przynajmniej co tydzień ręcznie lub, jeśli możesz, automatycznie, korzystając z Wtyczka WordPress lub oprogramowanie takie jak R1-Soft, które zapewnia twoja firma hostingowa.

Naprawdę musisz wykonać kopię zapasową wiadomości e-mail, plików ftp, ale także bazy danych, zwłaszcza, że ​​WordPress korzysta z bazy danych do celów funkcjonalności, zawartości i projektowania.

Dla pewności możesz przesłać każdą kopię zapasową do Dropbox, OneDrive lub MediaFire w zależności od dostępnej przestrzeni.

W końcu, nawet jeśli podejmiesz wszystkie niezbędne środki ostrożności, możesz łatwo zostać zhakowany lub oszukany, jeśli nie będziesz się troszczył i nie będziesz przestrzegać pewnych zdrowych zasad, takich jak:

  • Nigdy nie loguj się do pulpitu nawigacyjnego WordPress lub innych pulpitów powiązanych z Twoją witryną z obcego komputera lub pracy / szkoły, ponieważ może zapomniałeś, że się zalogowałeś i ktoś może później uzyskać dostęp do Twojej witryny.
  • Nigdy nie podawaj swoich cPanel, FTP, bazy danych, WordPress lub poświadczeń hostingowych, ponieważ czasami przez pomyłkę lub nie, ludzie naprawdę mogą robić złe rzeczy.
  • Zawsze korzystaj z linku do swojej witryny, aby się zalogować i nie korzystaj z innej witryny, nawet jeśli są podobne, możesz łatwo zostać oszukany, a następnie poświadczenia mogą być przechowywane na prywatnym serwerze lub wysyłane pocztą e-mail do osoby.
  • Zawsze używaj dobrze zdefiniowanych ról i uprawnień użytkowników, jeśli z pewnych powodów chcesz dodać użytkowników do swojej witryny.
  • Zawsze używaj prywatnego adresu e-mail, nazwy użytkownika i haseł do logowania do witryny, a nie zwykłych.
  • Jeśli dałeś komuś, np. Projektantowi stron internetowych lub programistom internetowym, swoje poświadczenia FTP lub inne poświadczenia, musisz je zmienić po zakończeniu pracy i powinieneś sprawdzić, czy nie używa on żadnego skryptu wykorzystującego lukę, takiego jak ten, który daje mu administratora uprawnienia do witryny WordPress za pomocą jednego kliknięcia myszy.

Czy twoja strona jest chroniona? Jakie środki podejmujesz, aby zabezpieczyć swoją witrynę WordPress i chronić ją przed hakerami? Daj mi znać w komentarzach!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Оцените статью
    Понравилась статья?
    Комментарии (0)
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector