Så här skyddar du WordPress från intrång Din Must-Read Checklista

Så här skyddar du WordPress från intrång Din Must-Read Checklista / Wordpress & Webbutveckling

Botnets runt om i världen har visat sin uppmärksamhet från att skicka ut spam-e-postmeddelanden för att systematiskt hacka in i WordPress-installationer; Det är ett lukrativt företag med tanke på att WordPress har 40% av alla bloggar. Speciellt med tanke på att vi till och med blev offer för det här, är det dags att vi gjorde ett omfattande inlägg om hur du skyddar din självhäftade WordPress-installation.

Obs! Detta råd gäller endast för självhushållna WordPress-installationer. Om du använder WordPress.com behöver du i allmänhet inte bry sig om säkerhet, eftersom de hanterar allt för dig. Vad är skillnaden mellan WordPress.com och WordPress.org? Vad är skillnaden mellan att driva din blogg på Wordpress.com och Wordpress.org? Vad är skillnaden mellan att driva din blogg på Wordpress.com och Wordpress.org? Med Wordpress nu driva 1 på varje 6 webbplatser, måste de göra något rätt. För både erfarna utvecklare och komplett nybörjare har Wordpress något att erbjuda dig. Men precis som du börjar på ... Läs mer

Installera Google tvåstegs autentiserare

Om du redan har tvåstegsautentisering aktiverad för ditt Gmail-konto eller andra tjänster kan du använda samma autentiseringsapp med det här pluginet för WordPress.

Tack och lov kan du begränsa tvåstegsautentisering för att bara användas på konton på övernivå så att du inte behöver irritera alla dina användare.

Logga in Lockdown

En gammal plugin, men arbetar fortfarande som avsedd. Inloggning Lockdown kontrollerar IP för inloggningsförsök och blockerar ett IP-område i en timme om det misslyckas 3 gånger inom 5 minuter. Enkel, effektiv.

Ta regelbundna säkerhetskopior

Hackers kommer inte bara att ändra en fil, men kommer att placera sin egen kontrollpanel gömd någonstans och andra dolda bakdörrar - så att även om du fixar originalhacket, kommer de direkt in igen och gör allt igen. Ta dagliga eller veckovisa säkerhetskopior så att du enkelt kan återställa till en punkt där det inte fanns någon spår av hackaren - och var noga med att patchera vad det var de gjorde för att komma in. Personligen investerade jag bara i en $ 150 Backup Buddy utvecklarlicens - Det är den enklaste och mest omfattande backup-lösningen jag hittat hittills.

Förhindra indexering av mappar

Kontrollera roten på din WordPress-installation för .htaccess-filen (märk perioden i början - du kan behöva visa osynliga filer för att se detta) och se till att den har följande rad. Om inte, lägg till det - men gör en säkerhetskopia först eftersom den här filen är ganska viktig.

Alternativ All -Indexes

Håll dig uppdaterad

Gör inte samma misstag som vi gjorde: Uppgradera alltid WordPress så snart en uppdatering är tillgänglig. Ibland innehåller uppdateringarna mindre buggfixar och inte säkerhetsskorrigeringar, men blir vana och du kommer inte att få problem. Om du har mer än ett WordPress-installationsprogram och inte kan hålla reda på dem alla, kolla in ManageWp.com, en premium dashboard för alla dina bloggar som innehåller säkerhetsskanning.

Inte bara kärnan WordPress-filer, utan även plugins: En av de största WordPress-hackarna från det förflutna innebar en sårbarhet i ett vanligt miniatyrbildsgeneratorskript som heter timthumb.php, och det finns fortfarande teman där ute som använder den gamla versionen. Även om plugins uppdaterades snabbt, är det svårare att hålla teman uppdaterad - WordPress kommer inte att berätta om ditt tema är sårbart, och för det gör du ett slags säkerhetsskanningsprogram - rulla ner till Säkerhetsproppar avsnitt nedan för några förslag.

Hämta aldrig slumpmässiga teman

Om du inte vet vad du gör med PHP-kod, är det väldigt lätt att hämta ihop en härlig slumpmässig tema från någonstans, bara för att hitta att det har någon otäck kod in där - vanligtvis bakåtlänkar som du inte kan ta bort, men sämre kan hittas. Håll dig till premium och kända tema designers (till exempel Smashing Magazine eller WPShower), eller för gratis teman använder du bara WordPress-temakatalogen.

Ta bort oanvända pluginprogram och teman

Den mindre körbara koden du har på din server, desto bättre - ta bort chansen att ha gammal, sårbar kod genom att radera teman och plugins du inte använder längre. Inaktivera dem kommer helt enkelt att stoppa sin funktionalitet som laddas med WordPress, men själva koden kan fortfarande köras av en hackare.

Ta bort Tell-Meta i din rubrik

Som standard sänder WordPress sin version till världen i koden för din headerfil - ett enkelt sätt för hackare att identifiera äldre installationer. Lägg till följande rader i ditt tema functions.php fil för att ta bort WordPress-versionen, Windows Live Writer-information och en rad som hjälper fjärrklienter att hitta din XML-RPC-fil.

remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'rsd_link');

Ta bort “administration” konto

De flesta brutna kraftattacker på WordPress innebär upprepade gånger att försöka administration konto - standard för alla WordPress-installationer - och en ordlista med vanliga lösenord. Om du antingen loggar in med admin eller har det administratörskonto som anges i ditt användartabell, är du sårbar för detta.

Två sätt att fixa det: antingen använd wp-optimera plugin - ett bra plugin som bland annat låter dig stänga av efterrapporteringar och utföra databasoptimering - för att byta namn på adminkonto. Eller helt enkelt skapa ett annat konto med administratörsbehörigheter, logga in som den nya användaren och ta bort “administration” konto tilldela alla inlägg till din nya användare.

Säkra lösenord

Även om du har inaktiverat adminkontot kan det vara möjligt att identifiera användarnamnet för ditt administratörskonto - då är du utsatt för en brutal kraftattack igen. Förbättra en stark lösenordspolicy med 16 eller fler slumpmässiga tecken bestående av stora och små bokstäver, skiljetecken och siffror.

Eller använd bara The RealLongSentenceThatsEasyToRememberMethod.

Inaktivera filredigeringen inom WordPress

För dem som inte gillar att logga in via FTP, innehåller WordPress en enkel editor i admin-instrumentpanelen för tema och plugin-PHP-filer - men det gör din installation sårbar om någon får tillgång. Faktum är att det här var hur någon lyckades injicera en omdirigering av skadlig kod i vår rubrik. Lägg till följande rad längst ner på din wp-config.php (i rotmappen) för att inaktivera alla filredigeringsfunktioner - och använd SFTP Vilken SSH är och hur den skiljer sig från FTP [Teknologi förklaras] Vad SSH är och hur det skiljer sig från FTP [Teknologi förklaras] Läs mer för att logga in på din server istället.

definiera ('DISALLOW_FILE_EDIT', true);

Dölj inloggningsfel

Ett felaktigt lösenord eller fel användarnamn kan identifieras med de fel som anges när du loggar in, vilket kan användas för att identifiera konton för brute-force. Det här är inte bra, självklart, så döda felen med detta tillägg till ditt tema functions.php fil

funktion no_errors_please () returnera "Nope";  add_filter ('login_errors', 'no_errors_please');

Aktivera Cloudflare

Förutom att påskynda din webbplats mildrar CloudFlare många kända botnät och skannrar från att till och med komma till din blogg i första hand. Läs allt om CloudFlare Protect & Snabba upp din webbplats gratis med CloudFlare Skydda och snabba upp din webbplats gratis med CloudFlare CloudFlare är en spännande start från skaparna av Project Honey Pot som hävdar att du skyddar din webbplats från spammare, robotar och andra onda webbmonster - samt snabba på din webbplats något ... Läs mer här. Installation är ett klick om du är värd på MediaTemple, annars behöver du åtkomst till domänkontrollpanelen för att ändra namnservrarna.

Säkerhetsproppar

  • Bättre WP Security implementerar många av dessa korrigeringar för dig och är den mest omfattande gratis lösning som finns.
  • WordFence är ett premiumpaket som aktivt skannar dina filer för skadliga programvaror, omdirigeringar, kända sårbarheter etc - och åtgärdar dem. Priset börjar vid $ 18 / år för 1 plats.
  • Inloggningssäkerhetslösningen begränsar både inloggningssökningar och verkställer säkra lösenord.
  • BulletProof-säkerhet är ett omfattande men komplext plugin som behandlar några av de mer tekniska aspekterna som XSS-injektion och .htaccess-problem. Ett prover för plugin finns också tillgängligt som automatiserar mycket av processen.

Jag tror att du håller med om det här är en ganska omfattande lista över åtgärder för att härda WordPress, men jag föreslår inte att du implementerar Allt av dem. Om jag var tvungen att göra allt detta till varje webbplats som jag någonsin satt upp, skulle jag fortfarande ställa upp dem nu. Att köra någon typ av system introducerar en risk, och det är slutligen upp till dig att hitta balansen mellan den nivå av säkerhet du vill ha och den insats du vill ha för att säkra den - ingenting kommer någonsin att vara 100% säkert. Den låga hängande frukten här är:

  • Håller WordPress uppdaterad
  • Inaktivera administratorkontot
  • Lägger till tvåstegs autentisering
  • Installera en säkerhets plugin

Att göra dem ensamma borde placera dig över 99% av alla andra bloggar där ute, vilket är tillräckligt för att få potentiella hackare att gå vidare till enklare mål.

Tror du att jag saknade något? Berätta för mig i kommentarerna.

Utforska mer om: Webbsäkerhet, webbutveckling, webbverktyg, Wordpress.