Закріплення WordPress Security 25 Основні плагіни + Поради
Якщо ви працюєте на веб-сайті, заснованому на WordPress, його безпека повинна стати вашою першочерговою проблемою. У більшості випадків блоги WordPress скомпрометовані, оскільки їхні основні файли та / або плагін застаріли; застарілі файли простежуються, і це відкрите запрошення хакерам.
Як утримувати блог від поганих хлопців назавжди? Для початку переконайтеся, що ви завжди оновлюєтеся останньою версією WordPress. Але є ще. У сьогоднішньому повідомленні, я хотів би поділитися з вами деякими корисними плагінами, а також деякими порадами, щоб посилити безпеку WordPress.
Повний список після стрибка!
Додатки для кращої безпеки
WP DB BackupWP DB Backup являє собою простий у використанні плагін, який дозволяє створювати резервні копії ваших основних таблиць бази даних WordPress лише за кілька кліків. Крім того, це так просто, він також був одним з найбільш використовуваних плагінів для захисту вашого веб-сайту на базі WP.
Сканування безпеки WPЗа допомогою цього плагіна сканування вашого сайту на WordPress буде простим завданням. Він знаходить вразливості вашого сайту і пропонує корисні поради щодо їх видалення.
Запитуйте Apache Password ProtectЦей плагін не керує WordPress або переривається з вашою базою даних, замість цього він використовує швидкі вбудовані функції безпеки для додавання декількох шарів безпеки до вашого блогу..
Stealth LoginПлагін Stealth Login допоможе вам створити власні URL-адреси для входу, реєстрації та виходу з WordPress.
Логін блокуванняВхід Lockdown допоможе вам заблокувати спроби протягом певного періоду часу після входу в адміністративну панель після декількох спроб.
Менеджер WP-DBЦе ще один чудовий плагін, який дозволяє керувати своєю базою даних WP. Його можна використовувати як альтернативу менеджеру резервного копіювання WordPress.
Безпечний плагін адміністратора SSLІнший плагін для збереження захищеної панелі адміністратора. Вона діє на шифрування SSL і дійсно корисна для хакерів або людей, які намагаються отримати недозволений доступ до вашої панелі. Це суперник для Chap Secure Login Plugin.
Локер користувачаЯкщо ви хочете уникнути грубого злому вашого сайту, тоді плагін користувача Locker підійде саме вам. Він працює на тій же системі, що і Lockdown, проте це 5-зірковий плагін WP, який має велику популярність серед користувачів.
Обмеження спроб входуОбмеження спроб входу блокує Інтернет-адресу від подальших спроб після досягнення зазначеного обмеження на спроби, що перешкоджає або неможливому атаці грубої сили.
Шифрування входуLogin Encrypt - це плагін безпеки. Він використовує складну комбінацію DES і RSA для шифрування та захисту процесу входу до адміністративної панелі.
Одноразовий парольЦей унікальний плагін допоможе вам встановити одноразовий пароль для входу в систему, щоб запобігти реєстрації небажаних користувачів з інтернет-кафе або таких.
АнтивірусАнтивірус - досить популярний плагін безпеки, який допоможе вам зберегти блог від ботів, вірусів і шкідливих програм.
Погана поведінкаBad Behavior - це плагін, який допомагає вам боротися з тими набридливими спамерами. Плагін не тільки допоможе запобігти спам-повідомленням у вашому блозі, але й спробує обмежити доступ до вашого блогу, тому вони не зможуть його навіть прочитати..
Exploit ScannerШукайте файли та базу даних вашого WordPress для встановлення знаків, які можуть вказувати на те, що файли або база даних стали жертвою шкідливих хакерів. Навіть якщо це ще один плагін сканування, варто спробувати.
Видалення спаму користувачаНазва плагіна розповідає про його функції, популярний плагін, який допоможе вам запобігти і видалити небажані спам-повідомлення.
Блокувати погані запити Цей плагін намагається заблокувати всі шкідливі запити на вашому сервері та блозі WordPress. Він працює у фоновому режимі, перевіряючи надто довгі рядки запитів (тобто більше 255 символів), а також наявність "eval (" або "base64" в URI запиту.
8 Основні поради
Зміна префіксів за замовчуванням "wp_"
Ваш сайт може бути на карту, якщо ви використовуєте передбачувані префікси wp_ у вашій базі даних. Наступний підручник навчить вас, як їх змінити за допомогою phpMyAdmin у 5 простих кроків.
Ви також можете зробити це за допомогою модуля WP Security Scan.
Сховати повідомлення про помилки входу
Повідомлення про помилку під час входу можуть виставити і дати хакерам ідею, якщо вони отримали правильне / неправильне ім'я користувача, і навпаки. Доцільно приховати його від несанкціонованого входу.
Щоб приховати повідомлення про помилки входу, просто поставте наступний код в functions.php
add_filter ('login_errors', create_function ('$ a', "return null;"));
[Джерело]
Тримайте wp-admin Directory Protected
Підтримка захищеної папки "wp-admin" додає додатковий рівень захисту. Той, хто намагається отримати доступ до файлів або каталогу після "wp-admin", буде запропоновано увійти.
Захист папки "wp-admin" з логіном і паролем можна здійснити кількома способами:
- Плагін WordPress - Використання WordPress плагіна AskApache Password Protect.
- cPanel - Якщо ваш хостинг підтримує логін адміністратора cPanel, ви можете легко встановити захист у будь-яку папку за допомогою cPanel Захист паролем каталогів графічний інтерфейс користувача. Дізнайтеся більше з цього підручника.
- .htaccess + htpasswd - Створення папки, захищеної паролем, також можна легко виконати, встановивши папки, які потрібно захистити всередині .htaccess і користувачам дозволено доступ всередину .htpasswd. Наступний підручник показує, як це зробити в 7 кроків.
Ведення резервних копій
Ведення резервних копій всього блогу WordPress настільки ж важливе, як збереження сайту від хакерів. Якщо останнє завершиться невдачею, принаймні у вас залишиться чисті резервні файли для повернення.
Ми раніше охоплювали список рішень для резервного копіювання ваших файлів і бази даних WordPress, включаючи корисні плагіни та служби резервного копіювання.
Заборонити перегляд каталогу
Інша велика лазівка у сфері безпеки полягає в тому, що ваші каталоги (і всі її файли) виставлені і доступні для публіки. Ось простий тест, щоб перевірити, чи добре захищені ваші каталоги WordPress:
- Введіть наступну URL-адресу в браузері без лапок. "http://www.domain.com/wp-includes/"
Якщо вона відображається порожнім або перенаправляє вас назад на домашню сторінку, ви в безпеці. Однак, якщо ви бачите екран, схожий на зображення нижче, ви не.
Щоб запобігти доступу до всіх каталогів, розмістіть цей код у своєму .htaccess файл.
# Запобігання параметрам перегляду папок Усі -індекси
Тримайте оновлені файли та плагіни WordPress
Один з найбезпечніших способів зберегти ваш сайт WordPress безпечний, щоб переконатися, що ваші файли завжди оновлюються до останньої версії. Нижче наведено кілька способів (практик):
- Часто ввійдіть до Dashboard - Жовте сповіщення з'явиться у верхній частині інформаційної панелі, якщо оновлення доступне. Увійдіть часто і тримайтеся в курсі останньої копії основних файлів WordPress.
- Вимкніть і видаліть невикористані плагіни - Невикористаний плагін зрештою застаріє і може становити ризик для безпеки. Якщо ви його не використовуєте, видаліть його.
- Підписатися на релізи WordPress RSS.
Виберіть надійний пароль
Ваш пароль безпечний? Сильний і безпечний пароль - це більше, ніж просто щось, що запам'ятовується номерами (наприклад, john123). Для початку, вона повинна складатися з більш ніж 12 символів з комбінацією чисел і алфавітів у нижній і верхній регістри.
Ось деякі програми, які дозволяють генерувати надійний пароль:
- GoodPassword
- Мультики
- KeePass
- LastPass
- PcTools
- 1Пароль
Крім того, ви також можете перевірити, наскільки сильним (і безпечним) є ваш поточний пароль з howsecureismypassword.net.
Видалити користувача адміністратора
Типова інсталяція WordPress постачається з користувачем за замовчуванням з ім'ям "admin". Якщо це ім'я користувача для вашого сайту WordPress, ви вже робите життя хакера на 50% легше. Використовувати користувача "admin" слід завжди уникати.
Більш безпечний підхід до надійного входу до адміністратора - це створення нового адміністратора та видалення "адміністратора". І ось як ви це робите:
- Увійти в адміністративну панель WordPress
- Йти до Користувачі -> Додати новий
- Додати нового користувача з Адміністратор переконайтеся, що ви використовуєте надійний пароль.
- Вийдіть з WordPress, повторно увійдіть з новим адміністратором.
- Йти до Користувачі
- Видалити користувача "admin"
- Якщо "адміністратор" має повідомлення, не забудьте атрибутувати всі повідомлення та посилання на нового користувача.
Більше корисних ресурсів:
- Загартовування WordPress (WordPress)
- FAQ по безпеці WordPress (WordPress)
- Що робити, якщо ваш сайт зламано (WordPress)
- Зрозумійте .htaccess та .htpasswd (Apache)
- Зрозумійте .htaccess та .htpasswd (Javascriptkit.com)
- Захист каталогу wp-admin (nicolaskuttler.com)
- Очищення зламаної установки WordPress (Blogsblogsblogs.com)