10 Actionable WordPress Tips za Usalama kwa Layman

Kifungu kilichoandikwa na:
  • WordPress
  • Imeongezwa: Juni 06, 2018

Kwa kuwa ilianzishwa kwanza katika zaidi ya miongo miwili iliyopita, WordPress imeongezeka (na imeongezeka) sasa inaitwa salama kama mfumo wa usimamizi wa bidhaa maarufu ulimwenguni. Leo, zaidi ya robo ya tovuti zilizopo zinaendeshwa kwenye WordPress.

Hata hivyo tangu zamani, jambo ambalo linajulikana zaidi, watu wengi wanapenda kuimarisha kwa njia ya nefarious. Angalia tu Microsoft Windows na idadi kubwa ya zisizo, virusi na matumizi mengine iliyoundwa na lengo moja tu ya mfumo wa uendeshaji maalum.

Neno la 10 WordPress na Vulnerability wengi (chanzo). Utafiti katika 2017 umebaini matoleo tofauti ya 74 ya WordPress kwenye tovuti ya Alexa Top milioni 1; 11 ya matoleo haya ni batili - kwa mfano toleo la 6.6.6 (chanzo).

Kwa nini blog yako ya WordPress ni lengo la thamani?

Ikiwa wewe unashangaa kwa nini duniani hacker anaweza kutunza blog yako ya WordPress, kuna sababu kadhaa ikiwa ni pamoja na;

  • Kutumia kwa siri kutuma barua pepe za barua taka
  • Ube data yako kama vile orodha ya barua pepe au maelezo ya kadi ya mkopo
  • Kuongeza tovuti yako kwenye botnet ambayo wanaweza kutumia baadaye

Kwa bahati nzuri, WordPress ni jukwaa ambalo linawapa fursa nyingi ya kujikinga. Baada ya kusaidiwa kuanzisha na kusimamia tovuti kadhaa na blogu mwenyewe, ningependa kushiriki nawe baadhi ya mambo ya msingi ambayo unaweza kufanya ili kusaidia salama yako tovuti ya WordPress.

Hapa ni vidokezo vya usalama vya 10 vinavyotumika unaweza kutumia.

Kidokezo #1. Chagua jina la mtumiaji mzuri

Kutoka kwa uzoefu, majaribio mengi ya tovuti hujaribu kujiunga na uchaguzi kuu tatu wa majina ya watumiaji. Mara mbili za kwanza ni 'admin' au 'msimamizi', wakati wa tatu ni kawaida kulingana na jina lako la kikoa.

Kwa mfano, ikiwa tovuti yako ni crazymonkey33.com, hacker anaweza kujaribu kuingia na 'crazymonkey33'.

Si wazo nzuri.

Kidokezo #2. Hakikisha kutumia nenosiri kali

Kwa sasa ungependa kufikiri kwamba watu wangetambua kutumia nywila kali, ngumu kulinda akaunti zao, lakini bado kuna wengi ambao wanadhani 'password' ni kubwa.

Nenosiri kali linatia ndani mchanganyiko wa:

  • Wahusika wa chini na wa chini
  • Kuwa alphanumeric (AZ na az)
  • Jumuisha tabia maalum (!, @, #, $, Nk)
  • Angalau wahusika wa 8 kwa urefu

Nenosiri yako zaidi ni salama, itakuwa salama zaidi. Jaribu jenereta hii ya nenosiri la random ikiwa una shida kuja na moja. https://passwordsgenerator.net/

Kidokezo #3. Tumia reCaptcha

Bonde la Wall kutoka kwenye blogu yako ya WP.

ReCaptcha iliundwa ili kuacha zana za automatiska kutoka kwenye kazi kwenye tovuti. Bila shaka, kutokana na utata wa zana za hacking leo, hizi zinaweza kupunguzwa kwa urahisi, lakini angalau kuna safu hiyo ya usalama.

Kuna Plugins kadhaa ya reCaptcha unaweza kutumia na usanidi wako ambao utafanya kazi vizuri sana kwenye sanduku.

Kidokezo #4. Tumia uthibitishaji wa sababu mbili (2FA)

2FA ni njia ya uthibitisho ambayo inahitaji uthibitisho kwenye kuingia kwako. Kwa mfano, mara tu umeingia na jina lako la mtumiaji na nenosiri, mfumo unaweza kutuma SMS kwa simu yako ya mkononi au kukupelekea barua pepe kwa msimbo unahitaji kuingiza ili uhakikishe utambulisho wako.

Njia hii ya uthibitishaji inatoa ulinzi mzuri na hutumiwa na mabenki mengi na taasisi za fedha leo. Tena, mahitaji haya yanaweza kupatikana kwa urahisi na Plugin ya 2FA.

Angalia jinsi miniOrange (Plugin ya 2FA) inafanya kazi na kuingia kwa WordPress kwenye video ifuatayo.

T

Kidokezo #5. Badilisha tena URL yako ya kuingia

Wachungaji wengi watajaribu kuingia kupitia ukurasa wa kuingia wa nenopress wa kawaida, ambayo kwa kawaida ni kitu kama sampuli.com/wp-admin.

Ili kuongeza safu nyingine ya ulinzi, ubadili URL ya kuingilia URL haraka na bila kujitahidi na chombo kama WPS Ficha Ingia.

Tip #6. Pinda directory yako ya wp-admin

Ongeza safu ya ziada ya usalama kwenye saraka yako ya mwenyeji.

Sura ya wp-admin ni moyo wa ufungaji wako wa WordPress. Kama ulinzi wa ziada, nenosiri linalinda saraka hii.

Kwa kufanya hivyo, unahitaji kuingia kwenye jopo lako la kudhibiti akaunti ya mwenyeji. Ikiwa unatumia cPanel or Plesk, chaguo unayotafuta ni 'Password-kulinda Directories'.

Kidokezo #7. Tumia SSL ili ufiche data

Uunganisho wa HTTP vs HTTPS (Chanzo: Sucuri)

Mbali na tovuti yenyewe, utahitaji pia kulinda uhusiano kati yako na seva na hii ndio ambapo SSL inakuja kufuta mawasiliano yako. Kwa kuwa na uunganisho wa kiambatanisho, washaki hawataweza kupinga data (kama vile nenosiri lako) unapowasiliana na seva yako.

Mbali na hili, pia ni mazoea mazuri ya kutekeleza SSL sasa tangu injini za utafutaji zinazidi kupiga tovuti ambazo zinaona 'zisizo salama'.

Pata maelezo zaidi kuhusu SSL kwa kina Mwongozo wa AZ kwa SSL.

Kidokezo #8. Hakikisha programu yako yote ni ya sasa

Haijalishi programu nzuri au ghali ni, daima kutakuwa na udhaifu mpya unaopatikana ndani yao ambayo inaweza kuwaacha kufunguliwa. WordPress sio ubaguzi na timu inatoa daima matoleo mapya na marekebisho na sasisho.

Wadanganyifu karibu daima wanatafuta kuchukua faida ya udhaifu na matumizi ya kujulikana ambayo yameachwa unfixed inaomba tu shida. Hii huenda mara mbili zaidi kwa Plugins ambayo mara nyingi huundwa na makampuni madogo madogo yenye rasilimali ndogo.

Ikiwa unatumia mipangilio, hakikisha kwamba sasisho hutolewa mara kwa mara, au fikiria kutafuta moja na utendaji sawa unaohifadhiwa.

Baada ya kusema hili, mimi sio kupendekeza kutumia WordPress moja kwa moja na sasisho la Plugin, hasa kama unaendesha tovuti ya kuishi. Baadhi ya sasisho zinaweza kusababisha matatizo, iwe ndani au kwa njia ya migogoro na programu nyingine na mipangilio.

Kwa hakika, uunda mazingira ya mtihani ambayo inaonyesha tovuti yako ya kuishi na uhakiki masasisho huko. Ukihakikisha kuwa kila kitu kinafanya kazi vizuri basi unaweza kutumia sasisho kwenye tovuti inayoishi.

Paneli za kudhibiti kama vile Plesk inakupa fursa ya kuunda kifaa cha tovuti kwa kusudi hili.

Kidokezo #9. Tumia matumizi ya Mtandao wa Usambazaji wa Maudhui (CDN)

Ingawa hii haiwezi kuokoa tovuti yako kwa kuwa hacked husaidia kusaidia kupunguza dhidi ya mashambulizi mabaya dhidi yake. Wachungaji wengine wanajaribu kuleta tovuti, na kuifanya kuwa haiwezekani kwa umma. CDN itasaidia kunyonya pigo la kushambuliwa kwa Usambazaji wa Huduma ya Denial ya Huduma kwenye tovuti yako.

Mbali na hayo, pia husaidia kasi yako tovuti kidogo kwa kusukuma baadhi ya maudhui. Kuchunguza chaguo hili, angalia kuelekea CloudFlare kama mfano. CloudFlare inatoa huduma za CDN katika viwango vya bei mbalimbali, hivyo unaweza hata kutumia vipengele vya msingi kwa bure. https://www.cloudflare.com

Kidokezo #10. Backup, Backup na Backup!

Bila kujali hatua za usalama au jinsi wewe ni tahadhari, ajali hutokea. Jifanye mwenyewe kutokana na kuvunjika moyo kwa moyo na masaa mia ya kazi kwa kuhakikisha tu una huduma za kutosha za salama zilizopo.

Kwa kawaida mwenyeji wako wa wavuti atakuja na baadhi ya vipengele vya msingi vya salama, angalau, ikiwa unapenda kama mimi, daima uhakikishe kufanya kazi zako binafsi za kujitegemea. Kusimamisha sio rahisi tu kunakili faili fulani, lakini pia utazingatia habari katika database yako.

Tafuta ufumbuzi wa salama ambao umejaribiwa na kuthibitishwa. Hata uwekezaji mdogo ni thamani ya kuokoa kwenye machozi katika hali ya dharura. Kitu kama BackupBuddy inaweza kukusaidia kuokoa kila kitu ikiwa ni pamoja na database yako kwa moja.

Bonus Tip: Wastani wavuti yako huhesabu!

Ijapokuwa jadi, kampuni za mwenyeji wa mtandao zinazotolewa tu kwa nafasi yetu ya kuwashughulikia tovuti zetu, nyakati zimebadilishwa. Watoaji wa wavuti wa wavuti, kutambua haja ya dharura ya kuongezeka kwa usalama, wameongezeka, na huduma nyingi zinazotolewa kwa thamani ya kuongeza huduma zao za mtandao.

Chukua kwa mfano HostGator, mojawapo ya majina yaliyo imara katika mchezo. Mbali na vipengele vya msingi vya Cloudflare, HostGator (kwa bei ya $ 10 + / mo) pia inakuja na Ulinzi wa Spam Free, Kuondolewa kwa Malware ya Moja kwa moja, Backups ya Usajili, Faragha ya Faragha na zaidi.

Msaidizi mwenye usimamizi wa WordPress, Kinsta, jenga firewalls vifaa na kufuatilia kikamilifu seva zao kwa mashambulizi ya zisizo na DDoS na mfumo wa kujengwa kwa desturi.

Ikiwa hii ni kitu ambacho hakijawahi kutokea kwako bado, ninawahimiza sana kutazama ni usalama gani unaojumuisha mwenyeji wako na kuupanisha na kile kinachopatikana sasa.

Kwa orodha kamili unaweza kuangalia Mkusanyiko wa WHSR wa majeshi ya wavuti hapa.

Sasa nini?

Kabla ya kukimbia mwitu na kuanza kupiga mtandao kwa hofu kutafuta mia moja ya usalama na ufumbuzi mmoja - kuchukua pumzi kubwa. Kama ilivyo kwa kila kitu kingine, mtu atakusaidia kuogopa tayari na kutafuta suluhisho.

Hata kama unatekeleza ufumbuzi wa usalama kama unavyoweza kupata, wewe uhakika wewe ni salama?

Hapa ni wapi kitu kama Usalama Ninja kuja, ambayo inakusaidia kuchunguza tovuti yako kwa udhaifu.

Demo ya haraka: Jinsi Usalama Ninja hufanya kazi.

Kuna sababu kadhaa za kulazimisha kutumia kitu kama Usalama Ninja lakini niruhusu niseme kwamba ni chombo ambacho ningependekeza kupitumia katika hatua nyingi katika safari yako ili kupata tovuti yako.

Kwanza, tendeni kwenye tovuti yako 'kama ilivyo' - kabla ya kufanya mabadiliko yoyote. Hebu Plugin na pock tovuti yako kabla ya kukupa matokeo.

Kisha kulingana na matokeo hayo, jitahidi kupata tovuti yako. Usalama Ninja hufanya zaidi ya vipimo vya 50 kuchunguza ulinzi wako. Hata baada ya kufanya mabadiliko yako, uikimbie tena (na kila wakati kuna mabadiliko ya tovuti au sasisho la programu ya plugin) ili tu kupima tovuti yako.

Ikiwa hii inaonekana kama kazi kidogo sana kwako, Usalama Ninja pia huja na jeshi la ziada modules (toleo la pro, tovuti moja $ 29) ambayo inaweza kukusaidia kurekebisha matatizo ambayo hupata.

Vipengele vingine vingine muhimu katika modules hizi ni pamoja na:

  • Futa faili za msingi za WP kutambua faili zenye matatizo
  • Rejesha faili zilizobadilishwa kwa click moja
  • Fiza kuvunjwa WP updates binafsi
  • Tumia IPs milioni mbaya ya IPS zilizokusanywa kutoka kwa mamilioni ya maeneo yaliyoshambuliwa
  • Orodha ya updates-auto, hakuna haja ya matengenezo yoyote au kazi ya mwongozo
  • Jilinda fomu ya kuingilia kutoka kwenye mashambulizi ya nguvu

Mawazo ya mwisho

Ingawa yote haya yanaweza kuonekana kuwa mno kwa mtumiaji wa kawaida wa WordPress, nawahakikishia kuwa yote (na zaidi) yanahitajika. Kupuuza takwimu za kimataifa za kupiga hazina na sio kwa muda, napenda nishirikane na wewe maelezo fulani ya kibinafsi kwenye mojawapo ya tovuti zisizofichwa ambazo ninazisaidia kusimamia.

Ilianza mwanzo kama tovuti rahisi ya wasifu, nimeumba www.timothyshim.com. Ni dhahiri, ilikuwa kitu tu ambacho mimi nikianzisha na wakati mwingi huondoka pekee, tu kama hatua ya kumbukumbu. Kwa kipindi cha kila mwezi, tovuti hii ambayo kimsingi haina kitu na kukusanya data hakuna, inakabiliwa na mashambulizi ya 30 - mchanganyiko wa nguvu za kijinga na zile ngumu.

Yote inahitaji ni kwa mmoja wao kufanikiwa na ningependa kuwa na kweli siku mbaya.

Kifungu cha Timothy Shim

Timothy Shim ni mwandishi, mhariri, na tech geek. Kuanzia kazi yake katika uwanja wa Teknolojia ya Habari, alipata haraka njia yake ya kuchapishwa na tangu sasa alifanya kazi na majina ya vyombo vya habari vya kimataifa, vya kikanda na vya ndani ikiwa ni pamoja na ComputerWorld, PC.com, Biashara Leo, na Benki ya Asia. Utaalamu wake upo katika uwanja wa teknolojia kutoka kwa watumiaji wote pamoja na mtazamo wa biashara.

Pata kushikamana: