WordPress-veiligheidswenke vir die leek: Beveilig u WordPress-aanmelding en ander sekuriteitspraktyke

Artikel geskryf deur:
  • WordPress
  • Opgedateer: Jul 15, 2020

Sedert die eerste bekendstelling in meer as twee dekades gelede, het WordPress gegroei (en gegroei) nou veilig as die wêreld se gewildste inhoudbestuurstelsel genoem. vandag, meer as 'n kwart van die webwerwe wat bestaan, word uitgevoer op WordPress.

Tog, sedert die eeue van die eeue, hoe meer gewilde iets is, hoe meer mense wil dit op 'n onheilspellende manier gebruik. Kyk net na Microsoft Windows en die groot aantal malware, virusse en ander uitbuiting ontwerp om net hierdie spesifieke bedryfstelsel te rig.

Die 10 WordPress-weergawes met die meeste kwesbaarhede (bron). Navorsing in 2017 het 74 verskillende weergawes van WordPress in Alexa Top 1 miljoen websites geïdentifiseer; 11 van hierdie weergawes is ongeldig - byvoorbeeld weergawe 6.6.6 (bron).

Hoekom is jou WordPress blog 'n waardevolle teiken?

As jy wonder hoekom op aarde 'n hacker jou WordPress blog wil beheer, is daar verskeie redes, insluitend;

  • Gebruik dit om in die geheim spam-e-posse te stuur
  • Staal u data soos 'n poslys of kredietkaartinligting
  • Voeg jou webwerf by 'n botnet wat hulle later kan gebruik

Gelukkig is WordPress 'n platform wat u 'n groot geleentheid bied om jouself te verdedig. As ek self verskeie webwerwe en blogs self opstel en bestuur het, wil ek graag 'n paar van die basiese dinge wat jy kan doen om jou WordPress-werf te beveilig, met jou deel.

Hier is 10 aksie sekuriteit wenke wat jy kan gebruik.

Beveilig u WordPress-aanmeldbladsy

Die beskerming van u inskrywing bladsy kan nie bereik word deur enige spesifieke tegniek nie, maar daar is beslis stappe en gratis sekuriteit plugins Jy kan neem om enige aanvalle baie minder geneig om te slaag.

Die aanmeldbladsy van u webwerf is beslis een van die meer kwesbare bladsye op u webwerf, dus laat ons begin om u WordPress-webwerf-aanmeldbladsy 'n bietjie veiliger te maak.

1. Kies 'n goeie gebruikersnaam vir administrateurs

Gebruik ongewone gebruikersname. Voorheen met WordPress, moes u begin met 'n standaard admin-gebruikernaam, maar dit is nie meer so nie. Die meeste nuwe webadministrateurs gebruik die standaardnaam en moet hul gebruikersnaam verander. Jy kan gebruik Admin Renamer Uitgebreid om jou admingebruikernaam te verander.

Brute-dwing-aanmeldbladsye is een van die algemene vorme van webaanvalle waarvoor u webwerf waarskynlik te kampe het. As u 'n wagwoord of gebruikersnaam maklik kan raai, sal u webwerf nie net 'n teiken wees nie, maar uiteindelik ook 'n slagoffer. Uit ervaring is die meeste pogings om 'n webwerf-haak te probeer met drie hoofname van gebruikersname in te log. Die eerste twee is altyd 'admin' of 'beheerder', terwyl die derde gewoonlik op u domeinnaam gebaseer is.

Byvoorbeeld, as jou webwerf crazymonkey33.com is, kan die hacker probeer om aan te meld met 'crazymonkey33'.

Nie 'n goeie idee nie.

2. Maak seker dat jy 'n sterk wagwoord gebruik

Teen hierdie tyd sal jy waarskynlik dink dat mense sal weet om sterk, komplekse wagwoorde te gebruik om hul rekening te beskerm, maar daar is nog steeds baie wat dink 'wagwoord' is 'n goeie een.

Splash Data het 'n lys saamgestel van wagwoorde wat gereeld gebruik word in 2018. Wagwoord volgens rangorde in terme van gebruik.

  1. 123456
  2. Wagwoord
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sonskyn
  9. qwerty
  10. Ek het jou lief

As jy een van daardie wagwoorde gebruik en jou webwerf glad nie verkeer nie, sal jou webwerf amper sekerlik vroeër of later afgehaal word.

'N Sterk wagwoord sal 'n mengsel van:

  • Bo en Laer gekapitaliseerde karakters
  • Wees alfanumeries (AZ en az)
  • Sluit 'n spesiale karakter (!, @, #, $, Etc) in
  • Ten minste 8 karakters in lengte

Hoe meer willekeurig jou wagwoord is, hoe veiliger sal dit wees. Probeer hierdie ewekansige wagwoordgenerator as jy probleme ondervind met een. https://passwordsgenerator.net/

3. Implementeer 'n reCaptcha

Wall bots af van jou WP blog.

reCaptcha is ontwerp om te verhoed dat outomatiese gereedskap werk op 'n webwerf. Natuurlik, gegewe die kompleksiteit van hacking tools vandag, kan dit baie maklik omseil word, maar ten minste is daar die bygevoegde laag van sekuriteit.

Daar is 'n aantal reCaptcha plugins jy kan gebruik met jou installasie wat sal werk pretty much uit die boks.

4. Gebruik tweefaktor-verifikasie (2FA)

2FA is 'n verifikasie metode wat 'n verifikasie vereis op jou inskrywing. Byvoorbeeld, sodra jy ingeteken het met jou gebruikersnaam en wagwoord, kan die stelsel 'n SMS na jou selfoon stuur of jou e-pos met 'n kode wat jy moet invoer om jou identiteit te verifieer.

Hierdie metode van verifikasie bied goeie beskerming en word vandag deur baie banke en finansiële instellings gebruik. Weereens, hierdie behoefte kan maklik ontmoet word met a 2FA-inprop.

Kyk hoe miniOrange ('n 2FA-inprop) werk met WordPress-aanmelding in die volgende video.

T

5. Hernoem u aanmeld-URL

Die meeste hackers sal probeer om aan te meld via die standaard wordpress-aanmeldbladsy, wat gewoonlik iets is

sample.com/wp-admin.

Om 'n ander laag van beskerming by te voeg, verander die aanmeldbladsy URL vinnig en moeiteloos met 'n instrument soos WPS Verberg Login.

6. Beperk aantal aanmeldpogings

Dit is een ongelooflike eenvoudige tegniek om brute kragaanvalle op jou aanmeldbladsy reg te hou. 'N Brute Force Aanval werk deur te probeer om jou gebruikersnaam en wagwoord reg te kry deur verskeie kombinasies oor en oor te probeer.

As die spesifieke IP wat gepleeg word, die aanval opgespoor word, kan u die herhaalde brute dwingende pogings blokkeer en u webwerf veilig hou. Dit is ook die rede waarom globale DDOS-aanvalle voorkom met verskeie IP-adresse met verskillende aanvalle van aanval, om hostingdienste en webwerfbeveiliging uit te gooi.

Teken Lockdown en Login Security Solution albei bied uitstekende oplossings om u webwerf se aanmeldbladsye te beskerm. Hulle hou IP-adresse dop en beperk die aantal aanmeldpogings om u webwerf te beskerm.

Harden Site Security Wall

Ons het verskillende taktieke bespreek om u WordPress-aanmeldbladsy te beveilig - die bogenoemde stappe is die basiese beginsels wat u kan doen. U moet ook bewus wees dat sommige webgasheer sommige van hierdie sekuriteitspraktyke op hul gebruikers opdrag gee. Daar is 'n aantal ander sekuriteitspraktyke wat u op u webwerwe kan implementeer.

7. Beskerm u wp-admin gids

Voeg 'n ekstra laag sekuriteit by jou gasheergids.

Die wp-admin gids is die hart van jou WordPress installasie. As 'n addisionele beveiliging, beskerm die wagwoord hierdie gids.

Om dit te doen, moet u aanmeld by u bedieningspaneel. Of jy nou gebruik cPanel or Plesk, die opsie wat jy soek, is 'Wagwoordbeskermende gidse".

Alternatiewelik kan u 'n gids met 'n wagwoord beskerm deur u .htaccess- en .htpasswds-lêers aan te pas. Besonderhede stap-vir-stap-gids en 'n kodegenerator is gratis beskikbaar by Dinamiese ry.

Let daarop dat u wp-admin-lêer-wagwoord beskerm breek openbare AJAX vir WordPress - u moet toestemmings toestaan ​​om ajax via .htaccess te administreer om foute op die werf te vermy.

8. Gebruik SSL om data te enkripteer

HTTP vs HTTPS-verbinding (Bron: Sucuri)

Afgesien van die webwerf self, sal jy ook die verband tussen jou en die bediener wil beskerm, en dit is waar SSL kom om jou kommunikasie te enkripteer. Deur 'n geënkripteerde verbinding te hê, sal hackers nie data (soos jou wagwoord) kan onderskep wanneer jy met jou bediener kommunikeer nie.

Afgesien van hierdie, is dit ook goeie praktyk om SSL te implementeer, aangesien soekenjins toenemend die webwerwe wat hulle beskou as 'onveilig', penaliseer.

Vir individuele bloggers en kleinsakeondernemings, 'n gratis, gedeelde SSL - wat u gewoonlik van u gasheerverskaffer kan kry, Kom ons enkripteer, of Cloudflare - is gewoonlik meer as goed genoeg. Vir besighede wat die betaling van kliënte verwerk - is dit die beste dat u dit doen koop 'n toegewyde SSL-sertifikaat van u webhost of 'n sertifikaatowerheid (CA).

Kom meer te wete oor SSL in ons omvattende AZ Gids vir SSL.

9. Maak gebruik van 'n inhoudverspreidingsnetwerk (CDN)

Alhoewel dit nie u werf kan red nie, kan dit u help om kwaadwillige aanvalle daarteen te verlig. Sommige hackers beoog om webwerwe af te bring en dit ontoeganklik vir die publiek te maak. 'N CDN sal help om die slag van 'n Verspreide Denial of Service aanval op u webwerf.

Afgesien daarvan help dit u ook om u webwerf 'n bietjie vinniger te maak deur inhoud te kas. Kyk as voorbeeld na Cloudflare om hierdie opsie te ondersoek. Cloudflare bied CDN-dienste aan teen verskillende vlakke van prysvlakke, sodat u selfs basiese funksies gratis kan gebruik.

Hier is meer oor hoe Cloudflare werk en die voordele verbonde aan die gebruik van die diens.

10. Maak seker dat AL u sagteware op datum is

Maak nie saak hoe goed of duur sagteware is nie, daar sal altyd nuwe swakpunte in hulle wees wat hulle oop sal stel om te ontgin. WordPress is geen uitsondering nie en die span maak voortdurend nuwer weergawes met fixes en updates beskikbaar.

Hackers probeer byna altyd om swakheid te benut en 'n bekende ontginning wat onbeweeglik gelaat word, is eenvoudig om vir moeilikheid te vra. Dit gaan twee keer soveel vir plugins wat dikwels deur baie kleiner maatskappye met minder hulpbronne geskep word.

As u plugins gebruik, maak seker dat opdaterings gereeld vrygestel word, of oorweeg dit om dit te vind gewilde plugins met soortgelyke funksies wat op datum gehou word.

Dit het ek nie aanbeveel dat jy dit gebruik nie outomatiese WordPress en Plugin updates, veral as jy 'n lewendige webwerf bestuur. Sommige opdaterings kan probleme veroorsaak, hetsy intern of deur konflik met ander plugins en instellings.

Ideaal, skep 'n toetsomgewing wat jou lewendige webwerf weerspieël en die opdaterings daar toets. Sodra jy seker is, werk alles goed, dan kan jy die opdatering op die lewendige webwerf toepas.

Beheerkanale soos Plesk gee jou die opsie om 'n werkkloon vir hierdie doel te skep.

11. Rugsteun, rugsteun en rugsteun!

Maak nie saak watter sekuriteitsmaatreëls of hoe versigtig jy is nie, ongelukke gebeur. Bespaar jouself van 'n verpletterende hartseer en honderde ure se werk deur eenvoudig te verseker dat jy voldoende rugsteundienste in plek het.

Normaalweg sou jou webhosting ten minste enkele basiese back-up funksies bevat, maar as jy paranoïes soos ek is, maak altyd seker dat jy jou eie onafhanklike rugsteun uitbring. Rugsteun is nie so eenvoudig as om net 'n paar lêers te kopieer nie, maar ook die inligting in jou databasis in ag te neem.

Soek vir 'n rugsteun oplossing wat beproef en bewys is. Selfs 'n klein belegging is die moeite werd om in geval van nood op die trane te spaar. Iets soos BackupBuddy kan u help om alles op te slaan, insluitende u databasis op een slag.

12. U webgasheer tel!

Alhoewel tradisionele webwerwe maatskappye bloot ruimte bied vir ons om ons webwerwe te bedryf, het tye verander. Webbeveiligingsdienste, wat die dringende behoefte aan verhoogde sekuriteit erken, het toegeneem, met baie dienste wat toegevoegde waarde bied om hul webhosting aan te vul.

Neem byvoorbeeld HostGator, een van die meer gevestigde name in die spel. Afgesien van basiese Cloudflare-funksies, word HostGator (teen die prys van $ 10 + / mo) ook met Spam Free Protection, Outomatiese Malware Verwydering, Outomatiese Backups, Domain Privacy en meer.

Bestuurde WordPress-diensverskaffer, Kinsta, bou hardeware-firewalls en monitor hul bedieners aktief vir malware en DDoS-aanvalle met die pasgemaakte stelsel.

As dit iets is wat nog nie by jou is nie, raai ek jou sterk aan om te kyk na watter sekuriteitskenmerke jou gasheer bied en dit te vergelyk met wat tans beskikbaar is.

Vir 'n omvattende lys, kan u tjek WHSR se samestelling van die beste webgasheer hier.

Nou wat?

Voordat jy wild hardloop en die internet in paniek probeer skuur, soek na 'n miljoen en een sekuriteitsoplossings - maak 'n diep asem. Soos met al die ander, sal iemand jou al paniek gehelp het en 'n oplossing soek.

Selfs as jy soveel sekuriteitsoplossings implementeer as wat jy kan vind, is jy seker jy is veilig?

Hier is waar iets soos Sekuriteit Ninja kom in, wat jou help om jou webwerf te toets vir swakhede.

Vinnige demo: Hoe sekuriteit Ninja werk.

Daar is 'n paar dwingende redes om iets soos Security Ninja te gebruik, maar laat my sê dat dit 'n instrument is wat ek aanbeveel om op verskeie stadiums van jou reis te gebruik om jou webwerf te beveilig.

Begin dit eers op jou webwerf, soos dit is, voordat u enige veranderinge aanbring. Laat die plugin proe en produseer jou werf voordat jy die resultate gee.

Dan, gebaseer op die resultate, werk om jou webwerf te beveilig. Sekuriteit Ninja voer meer as 50 toetse uit om jou verdediging te ondersoek. Selfs nadat jy jou veranderinge aangebring het, loop dit weer (en elke keer as daar veranderinge in die werf of inpropopdaterings is), net om jou werf te toets.

As dit soos 'n bietjie te veel werk vir jou klink, kom Security Ninja ook met 'n leër van addisionele modules (pro weergawe, enkele webwerf $ 29) wat u kan help om die probleme wat dit vind, reg te stel.

Enkele ander belangrike kenmerke in hierdie modules sluit in:

  • Scan WP kern lêers om problematiese lêers te identifiseer
  • Herstel aangepaste lêers met een klik
  • Los gebroke WP-outomatiese opdaterings vas
  • Verbod 600 miljoen slegte IP's versamel van miljoene aangeval webwerwe
  • Lys outomatiese opdaterings, geen onderhoud of handwerk nodig nie
  • Beskerm inskrywingsvorm van brute-force aanvalle

Harde Gedagtes

Alhoewel dit alles 'n bietjie oormatig lyk vir die gemiddelde WordPress-gebruiker, verseker ek jou dat dit alles (en meer) nodig is. As ek die wêreldwye hacking statistieke ignoreer en wat nie vir 'n rukkie nie, laat ek jou 'n paar persoonlike inligting oor een van die mees obskure webwerwe wat ek help bestuur, deel.

Oorspronklik begin as 'n eenvoudige biografie webwerf, het ek geskep www.timothyshim.com. Dit was duidelik dat dit net iets was wat ek opstel en die meeste van die tyd alleen verlaat, as 'n verwysingspunt. Op elke maand lang tydperk, hierdie webwerf wat doen basies niks en versamel geen data nie, gesigte oor 30 aanvalle - 'n kombinasie van brute krag en komplekse kinders.

Al wat dit nodig het, is dat een van hulle sal slaag en ek sal 'n werklik slegte dag.

Oor Timothy Shim

Timoteus Shim is 'n skrywer, redakteur en tegniek. Hy het sy loopbaan op die gebied van Inligtingstegnologie begin, en het sedertdien gewerk met internasionale, plaaslike en plaaslike media titels soos Computer World, PC.com, Business Today en The Asian Banker. Sy kundigheid lê op die gebied van tegnologie vanuit sowel verbruikers- as ondernemingsperspektiewe.