Совети за безбедност на WordPress за лаиме: Обезбедете го најавувањето на WordPress и другите безбедносни практики

Член напишан од:
  • WordPress
  • Ажурирано: Jul 15, 2020

Бидејќи за првпат беше воведен пред повеќе од две децении, WordPress порасна (и расте) сега безбедно да се именува како најпопуларен светски систем за управување со содржини. Денес, повеќе од една четвртина од постоечките веб-страници работат на WordPress.

Сепак, од памтивек, толку повеќе популарно нешто е, толку повеќе луѓе сакаат да се потпрат на тоа за злобни средства. Само погледнете во Microsoft Windows и голем број на малициозен софтвер, вируси и други експлоатирања дизајниран да наведете само еден специфичен оперативен систем.

10 верзиите на WordPress со најмногу слаби страни (извор). Истражувањата во 2017 идентификуваа 74 различни верзии на WordPress во Алекса Топ 1 милиони веб-страници; 11 од овие верзии се неважечки - на пример, верзијата 6.6.6 (извор).

Зошто вашиот блог на WordPress е важна цел?

Во случај да се прашувате зошто на хакерите би сакале да го контролирате вашиот блог на WordPress, постојат неколку причини, вклучувајќи;

  • Користејќи го за тајно испраќање спам пораки
  • Ги крадат вашите податоци, како што се мејлинг листа или информации за кредитна картичка
  • Додавање на вашиот сајт на ботнет што тие можат да го користат подоцна

За среќа, WordPress е платформа која ви нуди многу можности да се браниш. Ја помогнав поставувањето и администрирањето на неколку веб-сајтови и блогови, би сакал да споделам со вас некои од поосновните работи што можете да ги направите за да помогнете да се обезбеди вашиот WordPress сајт.

Еве ги 10 можни безбедносни совети што можете да ги користите.

Заштитете ја страницата за најавување на WordPress

Заштитата на вашата страница за најава не може да се постигне со некоја посебна техника, но сигурно има чекори и бесплатни приклучоци за безбедност можете да ги преземат за да направите било какви напади далеку помала веројатност да успее.

Страницата за најавување на вашата веб-страница е секако една од поранливите страници на вашата веб-страница, па ајде да започнеме со тоа да ја направите вашата страница за најавување на WordPress, малку посигурна.

1. Изберете добро корисничко име

Користете необични кориснички имиња. Претходно со WordPress, мораше да започнете со стандардно корисничко име на администраторот, но тоа веќе не е така. Сепак, повеќето нови веб-администратори користат стандардно корисничко име и треба да го променат своето корисничко име. Можеш да користиш Администратор преименуван за да го промените вашето администраторско корисничко име.

Брутално присилување страници за најавување е една од вообичаените форми на веб-напади со кои веројатно се соочува вашата веб-страница. Ако имате лесно да погодите лозинка или корисничко име, вашата веб-страница скоро сигурно нема да биде само цел, туку на крајот жртва. Од искуство, повеќето обиди за пробивање страници се обидуваат да се најават со три главни избори на кориснички имиња. Првите две секогаш се „администратор“ или „администратор“, додека третата обично се заснова на името на вашиот домен.

На пример, ако вашиот сајт е crazymonkey33.com, хакерот може да се обиде да се најавите со 'crazymonkey33'.

Не е добра идеја.

2. Осигурајте се дека користите силна лозинка

Веќе веројатно ќе мислите дека луѓето ќе знаат да користат силни, комплексни лозинки за да ја заштитат нивната сметка, но сепак има многу луѓе кои мислат дека лозинката е одлична.

Препласни податоци состави список на често користени лозинки во 2018 година. Лозинка по ранг по однос на употреба.

  1. 123456
  2. лозинка
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. сонце
  9. qwerty
  10. ILOVEYOU

Ако користите една од овие лозинки и вашата веб-страница добива сообраќај воопшто, вашата веб-страница скоро сигурно ќе биде отстранета порано или подоцна.

Силна лозинка ќе вклучува мешавина од:

  • Горните и пониските големи букви
  • Бидете алфанумерички (AZ и az)
  • Вклучете специјален карактер (!, @, #, $, Итн)
  • Најмалку 8 карактери во должина

Колку по случаен избор вашата лозинка е, толку посигурно ќе биде. Обидете се со овој случајен генератор на лозинки ако имате проблеми со доаѓањето со еден. https://passwordsgenerator.net/

3. Имплементирајте reCaptcha

Ѕид ботови надвор од вашиот WP блог.

reCaptcha е дизајниран да ги спречи автоматизираните алатки да работат на страницата. Се разбира, со оглед на комплексноста на алатки за хакирање денес, овие може да бидат доста лесно заобиколени, но барем постои додаден слој на безбедност.

Има голем број на приклучоци за reCaptcha можете да го користите со вашата инсталација која ќе работи доста надвор од кутијата.

4. Користете дво-факторска автентикација (2FA)

2FA е метод за автентикација кој бара верификација на вашето најавување. На пример, откако ќе се најавите со вашето корисничко име и лозинка, системот може да испрати SMS порака на вашиот мобилен телефон или да ви испрати е-пошта со код кој што треба да го внесете за да го потврдите вашиот идентитет.

Овој метод на автентикација нуди добра заштита и се користи од страна на многу банки и финансиски институции денес. Повторно, оваа потреба лесно може да се задоволи со Приклучок за 2FA.

Погледнете како miniOrange (приклучок 2FA) работи со Влезот за WordPress во следното видео.

T

5. Преименувајте ја URL-то за најава

Повеќето хакери ќе се обидат да се најават преку стандардната страница за најавување на WordPress, што обично е нешто слично

sample.com/wp-admin.

За да додадете уште еден слој на заштита, внесете ја URL страната за логирање брзо и без напор со алатката како WPS Сокриј најава.

6. Ограничете го бројот на обиди за најавување

Ова е една неверојатно едноставна техника за запирање на напади од брутална сила на вашата страница за најава десно во нивните песни. Нападот од брутална сила работи со обид да го добиете вашето корисничко име и лозинката во право, обидувајќи се повеќе и повеќе комбинации.

Ако одредената ИП која го извршува нападот е следена, тогаш можете да ги блокирате повторените обиди за груба принудувања и да ја одржите вашата страница безбедна. Ова е причината зошто се појавуваат глобални DDOS напади со повеќе IP адреси со различно потекло од напади, да се фрли хостинг услуги и безбедноста на веб страната.

Пријавете заклучување и Најава за безбедност решение обајцата нудат одлични решенија за заштита на страниците за најавување на вашата веб-страница. Тие ги следат IP адресите и го ограничуваат бројот на обиди за најава за заштита на вашата веб-страница.

Securityид за безбедност на Харден

Разговаравме за различни тактики за обезбедување на вашата страница за најавување на WordPress - тие споменати чекори погоре се основите што можете да ги направите. Исто така, треба да бидете свесни дека некои веб-домаќини им наложуваат на некои од овие безбедносни практики на своите корисници. Постојат голем број други безбедносни практики што можете да ги имплементирате на вашите страници.

7. Заштитете го директориумот wp-admin

Додај дополнителен слој на безбедност во вашиот домаќин директориум.

Директориумот wp-admin е срцето на вашата инсталација на WordPress. Како дополнителна заштита, лозинката го штити овој директориум.

За да го направите тоа, ќе треба да се најавите на контролниот панел на вашиот хостинг профил. Без разлика дали користите cPanel or Plesk, опцијата што ја барате е 'Директориуми за заштита на шифрата".

Алтернативно, можете да заштитете со лозинка папка со tweaking вашите датотеки .htaccess и .htpasswds. Детален чекор-по-чекор водич и генератор на код се достапни бесплатно на Динамички диск.

Забележете дека ќе ја заштитите лозинката вашата папка wp-admin прекинете ја јавната AJAX за WordPress - ќе треба да дозволите дозволи за администрирање на Ајакс преку .htaccess за да избегнете какви било грешки во страницата.

8. Користете SSL за шифрирање на податоци

HTTP против HTTPS конекција (Извор: Sucuri)

Настрана од самата локација, исто така ќе сакате да ја заштитите врската помеѓу вас и серверот и ова е местото каде SSL доаѓа за шифрирање на вашите комуникации. Со шифрирана врска, хакерите нема да можат да ги пресретнат податоците (како на пример вашата лозинка) кога комуницирате со вашиот сервер.

Освен тоа, исто така е добра практика да се имплементира SSL сега, бидејќи пребарувачите сè повеќе ги казнуваат сајтовите за кои сметаат дека се "несигурни".

За индивидуални блогери и мал бизнис, бесплатен, споделен SSL - што обично го добивате од вашиот добавувач на хостинг, Ајде да шифрирамеили Cloudflare - обично е повеќе од доволно добро. За бизниси што ја обработуваат исплатата на клиентите - најдобро е вие купи посветен SSL сертификат од вашиот веб-домаќин или сертификат орган (CA).

Дознајте повеќе за SSL во нашата сеопфатна АД Водич за SSL.

9. Користете ја мрежата за дистрибуција на содржини (CDN)

Иако ова може да не ја спаси вашата страница од хакирање, тоа помага да се ублажат од злонамерни напади против неа. Некои хакери имаат за цел да урнат веб-страници, што ги прави недостапни за јавноста. CDN ќе помогне во ублажувањето на ударот на а Дистрибуирано негирање на услугата напад на вашата страница.

Настрана од тоа, тоа исто така ви помага да ја забрзате вашата страница малку со зачувување на содржина. За да ја истражите оваа опција, погледнете кон Cloudflare како пример. Cloudflare нуди CDN услуги на повеќе нивоа на цени, па можете дури и да ги користите основните карактеристики бесплатно.

Дознај повеќе за како работи Cloudflare и предностите од користењето на услугата.

10. Осигурете се дека целиот софтвер е ажуриран

Без разлика колку е добар или скап софтвер, секогаш ќе има нови слабости во нив, кои би можеле да ги остават отворени за да ги искористат. WordPress не е исклучок и тимот постојано ослободува понови верзии со поправки и надградби.

Хакери речиси секогаш се обидуваат да ги искористат предностите на слабост и познат експлоатира кој е останат неизречен едноставно бара проблеми. Ова оди двојно повеќе за приклучоците кои често се создаваат од многу помали компании со помалку ресурси.

Ако користите додатоци, проверете дали ажурирањата се објавуваат редовно или размислете за наоѓање популарни додатоци со слична функционалност што се чуваат ажурирани.

Со ова, не препорачувам да го користите автоматски надградби на WordPress и Plugin, особено ако имате во живо сајт. Некои надградби може да предизвикаат проблеми, без разлика дали внатрешно или преку конфликт со други приклучоци и поставки.

Идеално, креирајте тест опкружување кое го одразува вашиот живо сајт и ги тестира ажурирањата таму. Откако ќе бидете сигурни дека сè е во ред, тогаш можете да го примените ажурирањето на сајтот во живо.

Контролните панели како што се Plesk ви даваат можност да креирате клон на веб-страница за оваа намена.

11. Резервна копија, резервна копија и резервна копија!

Независно од какви мерки за безбедност или колку внимателно сте, несреќи се случуваат. Заштедете се од кршењето на срцето и стотина часа работа, едноставно осигурајте се дека имате соодветни резервни услуги.

Нормално вашиот веб-домаќин ќе дојде со некои основни резервни функции барем, но ако сте параноични како мене, секогаш осигурајте се дека ги извршувате своите сопствени независни бекап. Поддршката не е толку едноставна како што е само копирање на некои датотеки, туку исто така ги зема предвид и информациите во вашата база на податоци.

Побарајте резервно решение кое се обидува и докажано. Дури и мала инвестиција вреди да се заштеди на солзите во случај на вонредна состојба. Нешто како BackupBuddy може да ви помогне да заштедите сè, вклучувајќи ја и вашата база на податоци на едно место.

12. Вашиот веб-домаќин се брои!

Иако традиционално, веб-хостинг компании едноставно им понуди простор за нас да биде домаќин на нашите веб-сајтови, времињата се променија. Веб-хостинг провајдерите, препознавајќи ја итната потреба за зголемена безбедност, засилија, со многуте нудат услуги со додадена вредност за дополнување на нивниот веб-хостинг.

Земете на пример HostGator, еден од попоставените имиња во играта. Освен основните функции Cloudflare, HostGator (по цена од $ 10 + / mo), исто така, доаѓа со бесплатна заштита од спам, автоматизирано отстранување на малициозните вируси, автоматизирани резервни копии, приватност на домен и друго.

Успеа WordPress хостинг провајдер, Kinsta, градете хардверски fireидови и активно следете ги нивните сервери за напади на малициозен софтвер и DDoS со неговиот систем направен по нарачка.

Ако ова е нешто што не ви се случило сѐ уште, многу ве охрабрувам да ги разгледате безбедносните карактеристики што ги нуди вашиот домаќин и да се споредат со она што е моментално достапно.

За сеопфатна листа можете да проверите Составот на WHSR на најдобрите веб-домаќини овде.

Сега што?

Пред да трчате диви и да започнете да пребарувате на Интернет во паника, барајќи милион и едно безбедносно решение - длабоко вдишувајте. Како и со сè друго, некој ќе ти помогна во паника и бараше решение.

Дури и ако имплементирате толку многу безбедносни решенија како што можете да ги најдете, дали сте сигурни си безбеден?

Еве каде е нешто како Безбедност нинџа влегувај, што ви помага да го истражите вашиот сајт за слабости.

Брзо демо: Како функционира безбедносниот нинџа.

Постојат неколку причини да се користи нешто како безбедност нинџа, но дозволете ми да кажам дека тоа е алатка која јас би го препорачал да го користам во повеќе фази на вашето патување за да ја осигурам вашата веб-страница.

Прво, стартувајте го на вашата веб-страница "како што е" - пред да направите какви било промени. Нека приклучокот ќе ја пушти и ќе го продаде вашиот сајт пред да ви ги даде резултатите.

Потоа, врз основа на тие резултати, работиме кон обезбедување на вашиот сајт. Безбедносниот нинџа врши повеќе од 50 тестови за да ги испита вашите одбрани. Дури и откако ќе ги направите вашите промени, стартувајте го повторно (и секогаш кога има промени на веб-страници или приклучоци) само за тестирање на вашиот сајт.

Ако ова звучи како малку премногу работа за вас, Security Ninja, исто така, доаѓа со бројни дополнителни модули (про верзија, едно место $ 29) кои можат да ви помогнат да ги поправите проблемите што ги наоѓа.

Некои други клучни функции во овие модули вклучуваат:

  • Скенирајте WP-базирани датотеки за да ги идентификувате проблематичните датотеки
  • Враќање на изменетите датотеки со еден клик
  • Поправи скршени WP авто-ажурирања
  • Забрани 600 милиони лоши IP адреси собрани од милиони нападнати сајтови
  • Листа на авто-надградби, нема потреба за какво било одржување или рачна работа
  • Заштитете го формуларот за најава од напади со брутална сила

Последни мисли

Додека сето ова може да изгледа малку прекумерно за просечниот корисник на WordPress, ве уверувам дека сето тоа (и повеќе) е потребно. Игнорирајќи ја статистиката за хакирање низ целиот свет и што не за некое време, дозволете ми да споделам со вас некои лични информации на една од најнеизвесните сајтови што ги помагам.

Првично започна како едноставна локација за биографија, јас создадов www.timothyshim.com. Очигледно, тоа беше само нешто што јас го поставив и поголемиот дел од времето си заминав сам, едноставно како референтна точка. На секој месец-долг период, оваа страница која во основа не прави ништо и не собира податоци, се соочува со 30 напади - комбинација на брутална сила и сложени.

Сè што треба е за еден од нив да успее и јас би имал навистина лош ден.

За Тимоти Шим

Тимоти Шим е писател, уредник и технолог. Започнувајќи ја својата кариера во областа на информатичката технологија, тој брзо се најде во печатена форма и оттогаш работеше со меѓународни, регионални и домашни медиумски наслови, меѓу кои: ComputerWorld, PC.com, Business Today и The Asian Banker. Неговата експертиза лежи во полето на технологијата и од потрошувачите, така и од претпријатиските гледни точки.