Wordpress & Webbutveckling

6 saker du kan göra för att säkra din WordPress från hackare

6 saker du kan göra för att säkra din WordPress från hackare / Wordpress & Webbutveckling

Att köra en WordPress-baserad webbplats är ofta ett nöje, så att du kan fokusera på innehåll och bygga relationer med läsare och andra webbplatser.

Men inte alla på webben är lika vänliga som du. Någonstans där ute finns en lista med din blogg namn på den, där den sitter och väntar på att vara riktad av hackare. När de kommer till din blogg, försöker de olika taktik för att få tillgång till det, kanske i syfte att sälja lagliga droger eller smitta dina besökares datorer med skadlig kod.

Lyckligtvis finns det olika sätt att skydda ditt WordPress-blogg från hackare.

Uppdatera regelbundet WordPress

En av de mest kraftfulla men ofta förbisedda lösningarna för att hålla WordPress säkra från hackare är att se till att det uppdateras regelbundet..

Det är uppenbart att det finns en nackdel för detta - några av dina bästa WordPress-plugins kan sluta fungera om WordPress uppdateras - men samtidigt bör det ses som en möjlighet att uppdatera dina plugins, hitta ersättningar som själva är säkra och tillförlitliga och i grunden strama upp din webbplats eller blogg. Att hålla fast vid plugins som finns i WordPress-katalogen är också ett bra sätt att hålla saker under kontroll.

Uppdatering av WordPress är möjligt från Dashboard, men alltid ta en säkerhetskopia av din databas innan du gör det.

Håll regelbundna säkerhetskopior

Ett viktigt förfarande för alla WordPress bloggägare är att säkerställa att säkerhetskopieringar görs regelbundet och att de lätt kan återställas ska det värre hända.

Lösningar är rikliga, men Cloudsafe365 är en av de mest kraftfulla, som kombinerar cloud backup (Dropbox kan användas) med olika säkra skyddsverktyg mot tekniker som cross site scripting, SQL-injektion och till och med övervakar innehållstöld.

Cloudsafe365, tillgänglig från WordPress plugins webbplats, kommer i tre smaker. Ett gratis alternativ täcker ovanstående saker, medan de betalda alternativen erbjuder ytterligare funktioner som skydd mot kodinsprutning och brutala kraftattacker.

Installera ett krypterat inloggningsplugin

Att skydda den faktiska uppgiften att logga in på din WordPress-baserade webbplats görs bäst genom att använda ett krypterat inloggningsprogram, eftersom webbplatsens programvara inte har denna funktion som standard. Förmodligen den bästa lösningen för detta - perfekt för att skydda dina blogginloggningsuppgifter från paketsniffrar på trådlösa nätverk - är Chap Secure Login, som använder SHA-256-algoritmen för att skydda ditt användarnamn och lösenord.

Samtidigt är plugin för inloggningslåsning ett användbart sätt att blockera IP-adresser som registrerar upprepade misslyckade försök att komma åt din webbplats.

Andra inloggningssäkerhetssteg du kan ta inkluderar att installera ett starkt CAPTCHA-plugin. RetinaPost är ett särskilt imponerande plugin som kräver att användarna skriver in markerade tecken från en fras snarare än att prova och dechifiera skruvade textbilder eller göra matteutmaningar. Alla försök att störa din blogg med hjälp av kommentarsystemet kan minskas markant med hjälp av det här plugin.

Dölj “Drivs av WordPress”

Hackare har en annan taktik för varje av de olika typerna av webbplatsprogramvara som används, men du kan göra saker tuffare för dem genom att inte annonsera det faktum att din webbplats är “Drivs av WordPress”.

Som standard kan den här informationen hittas i filen footer.php, som nås genom att ange din blogg Dashboard och välja Utseende> Redaktör att redigera i webbläsarfönstret. Olika teman kräver olika metoder för att ta bort den här texten, så du bör kontrollera online för att hitta det bästa tillvägagångssättet (om vanlig text används för att visa legenden, ta bort det här. Om PHP-kod används används du noggrant om du inte vet vad du gör gör det).

Ändra administratörsnamn

Ett sätt på vilket hackare kan hitta en väg in på din webbplats är att använda brute force-programvara som kommer att försöka flera loggar med vanliga ord och fraser som lösenord tillsammans med ett urval av uppenbara användarnamn.

Administratörens användarnamn i WordPress kan väljas när programvaran är inställd, men i rush för att få saker gjort, lämnar många användare det som standardvalet av “administration”. Som uppenbara användarnamn går, kommer det högst upp på listan, varför det är viktigt att ändra det.

Det finns två sätt att ändra admin-användarnamnet. Först kan du skapa ett andra administratörskonto med ett användarnamn som inte är uppenbart och sedan ta bort den ursprungliga användaren. Observera dock att det här kan påverka artiklar som skrivs under administratorkontot (de kommer kanske att vara opublicerade tills ett nytt namn är inställt eller ett fel visas på inläggssidan).

Förmodligen det mest effektiva sättet att göra detta är att komma åt webbplatsens phpMyAdmin, välj WordPress-databasen, hitta wp_users-tabellen (“wp_”är ett standardprefix som kan ha ändrats vid installationen) och använda Bläddra ikon för att hitta “administration” Användarnamn.

När du upptäckt det, leta efter kolumnen user_login, klicka på redigera knappen på lämplig rad och ändra sedan “administration” till ditt inloggningsnamn för ditt administratörskonto, klicka på när du är klar.

Flytta wp-config-filen

En skarp problem med WordPress är att de viktigaste säkerhetsuppgifterna lagras i en enda, okrypterad fil som kan hackas och brukade ta kontroll över din blogg. Wp-config.php-filen innehåller admin-inloggningsuppgifterna samt användarnamnet och lösenordet för MySQL-databasen.

Därför är säkerställandet av denna fil viktigast om du vill skydda webbplatsen från hackare.

En sak som du inte ska göra är dock att ta bort wp-config - det här skulle lämna din webbplats oanvändbar (och ganska tom). Så hur skyddar du din webbplats från den här bisarra sårbarheten?

Sedan versionen av WordPress 2.8 har bloggägare haft möjlighet att flytta filen till rotwebbkatalogen på servern. Vad det här betyder är till exempel att om du har installerat din webbplats i www.mysite.com/wordpress, wp-config.php-filen kan flyttas upp till en nivå, till mysite-katalogen.

Slutsats

Oavsett hur tekniskt eller icke-tekniskt du är, om du kör en WordPress-blogg finns det ingen ursäkt att inte implementera några eller alla dessa verktyg för att skydda din webbplats från hackare.

När allt är meningen med att sätta i allt det hårda arbetet bara för att finna att någon har tagit över webbplatsen och nu kostar dig dina vanliga besökare genom att annonsera Viagra?

Dessa steg kan genomföras om några timmar - kanske en helgenmorgon om du är pressad för tiden - så ignorera inte, agera nu.

Utforska mer om: Verktyg för webbansvariga, Wordpress-plugins.