Jak utrudnić włamanie się do Twojej witryny WordPress


Jeśli masz witrynę WordPress, istnieje prawdopodobieństwo, że hakerzy cały czas są atakowani.

Nieustannie szukają słabości, które pozwolą im wejść, czy to będzie przestarzała wtyczka, czy też motyw, czy łatwe do wymyślenia hasło. Gdy już się pojawią, mogą oczywiście wreakhavoc.

Aby udowodnić, o czym mówię, oto, co mówi teraz mój pulpit WordPress.

Właśnie dlatego siteneeds WordPressa są całkowicie kuloodporne. Oto najlepsze sposoby, aby tego dokonać na podstawie moich konsultacji z firmami.

Uzyskaj najlepszą nazwę użytkownika i możliwe hasło

Jeśli widziałem to raz, widziałem to tysiące razy. Ludzie konfigurują witryny WordPress przy użyciu nazwy użytkownika i hasła ustawionych na „admin”, a następnie zastanawiają się, dlaczego zostali zaatakowani.

Strona logowania jest zasadniczo drzwiami wejściowymi witryny. Sensowne jest więc, aby intruzowi było jak najtrudniej. Nie zostawiłbyś otwartych drzwi domu, prawda?

In_content_1 all: [300x250] / dfp: [640x360]->

Wiele hostów internetowych zautomatyzuje konfigurację WordPress dla ciebie, a kiedy to zrobisz, powinieneś podać inną nazwę użytkownika niż „admin”. Jeśli używasz „admin”, sprawiasz, że hakerstwo staje się dla nich zbyt łatwe.

Uzyskaj nazwę użytkownika, której ktoś nie może odgadnąć. Nie używaj nazwy użytkownika, której używasz w innym miejscu w Internecie. Ktoś musi tylko Google znaleźć te nazwy użytkownika.

Jeśli chodzi o hasło, zrób sobie ogromną przysługęi uzyskaj menedżera haseł. Darmowy, open source, który gorąco polecam, to KeyPass. Następnie ustaw hasło WordPress na minimum 30 znaków ze znakami specjalnymi wrzuconymi do miksu. Tak to prawda. 30 znaków.

Zainstaluj wtyczkę AnAnti-Brute-Force

Wzmacniając metaforę drzwi, sensowne jest również dodanie niektórych zamków bezpieczeństwa. W przypadku WordPress, moim zdaniem, masz cztery opcje - Google Authenticator, Authy, Blokada logowania lub reCAPTCHA.

Aby być jasnym, Google Authenticator i Authy robią to samo. Otrzymujesz kod na smartfonie i wpisujesz go na stronie logowania. Bez niego odmowa wjazdu.

Blokada logowania to wtyczka, która ogranicza liczbę niepoprawnych prób logowania, zanim adres IP osoby zostanie zablokowany na określony przez Ciebie okres czasu. Możesz nawet zainstalować to wraz z Authenticatorem, aby zapewnić bezpieczeństwo superduper.

reCAPTCHA nie jest moim ulubionym, ale jest lepszy niż nic. Nie jest również niezawodny, ponieważ został wcześniej złamany. Ale jak powiedziałem, lepsze niż nic. reCAPTCHA zmusza użytkownika do wpisania sekwencji słów lub kliknięcia niektórych zdjęć.

Upewnij się, że wszystkie tematy i wtyczki są aktualizowane

Kolejnym krokiem jest upewnienie się, że wszystkie twoje motywy i wtyczki są regularnie aktualizowane podstawa. Znów wszelkie luki - znane i nieznane - mogą być wykorzystane przez hakera do wykorzystania w witrynie.

Powinieneś mieć oko na stronie „Aktualizacje”, na której znajdują się wszystkie dostępne aktualizacje. Powinno to odbywać się codziennie. Możesz znaleźć stronę Aktualizacje jako podkartę w zakładce Dashboard.

Wyłącz wszelkie nieużywane motywy i wtyczki

Tak jak powinieneś dbać o aktualność wszystkich motywów i wtyczek, więc powinieneś również wyłączyć te, które nie dałeś nie trzeba.

Nie ma powodu, aby utrzymywać aktywne nieużywane motywy i wtyczki, a to tylko zwiększa ryzyko wykrycia podatności na tyle dużą, aby wpuścić atakującego. Usuń wszystkie motywy, których nie używasz. Zawsze można je ponownie zainstalować później.

Jeśli chodzi o wtyczki, usuń je całkowicie lub przynajmniej dezaktywuj.

Nie pozwól nikomu tworzyć kont użytkowników

Jeśli witryna WordPress jest używany przez firmę lub jakiś zespół, wtedy konta użytkowników są oczywiście konieczne. Ale jeśli jesteś jednym użytkownikiem witryny, nie zezwalaj nikomu na tworzenie kont użytkowników. Zwłaszcza osoby, których nie znasz.

Możesz powstrzymać ludzi przed zrobieniem tego, przechodząc do Ustawienia–>Ogólne. Przewiń w dół do „Członkostwo” i odznacz „Każdy może się zarejestrować”.

Zmień wszystkich innych autoryzowanych użytkowników

Jeśli musisz podać konta użytkowników, upewnij się, że mają oni odpowiednią rolę dostępu.

Na przykład osoba, która jest właścicielem witryny, powinna być administratorem. Ale jeśli ktoś jest dla Ciebie blogiem gości, musi być tylko wymieniony jako Autor. Nie przyznawaj podwyższonych uprawnień osobom, które ich nie potrzebują.

Przejdź do opcji Użytkownicy–>Wszyscy użytkownicyi wybierz osobę, dla której chcesz zmienić termostat. Następnie wybierz z menu rozwijanego.

Zatrzymaj wszystkie katalogi AccessTo za pomocą pliku Index.HTML

Możesz tego nie wiedzieć, ale jeśli utworzysz nowy katalog swojej witryny, dodaj do niej pliki i nie dodawaj do niej pliku index.html, wszystkie treści tego katalogu są publicznie widoczne.

Aby temu zapobiec, utwórz pusty plik tekstowy i nazwij go index.html.Następnie prześlij go do nowego katalogu. Wszelkie próby wyświetlenia katalogu odesłają osobę z powrotem do pustej strony indeksu.

Uzyskaj certyfikat SSLC

Jedną z najlepszych rzeczy, które możesz dofinansować na swojej stronie, jest uzyskanie certyfikatu SSL. Google daje teraz wyższy priorytet stronom SSL w wynikach wyszukiwania i oczywiście także zabezpiecza twoją stronę.

SSL po prostu zabezpiecza połączenie między przeglądarką użytkownika a serwerem internetowym, na którym znajduje się strona internetowa. Dlatego hakerom niezwykle trudno jest włamać się do połączenia i ukraść dane.

Istnieją dwa sposoby uzyskania certyfikatu SSL. Możesz go kupić, ale możesz też dostać za darmo od Szyfrujmy. Wielu hostów internetowych oferuje teraz Let's Encrypt jako bezpłatną zautomatyzowaną usługę.

Twórz kopie zapasowe strony YourWordpress KAŻDEGO dnia

Wreszcie, jeśli najgorsze nadejdzie najgorsze i zostaniesz zhakowany, potrzebujesz sposobu na zdobycie witryny wykonać kopię zapasową i uruchomić tak szybko, jak to możliwe. Dlatego potrzebujesz codziennej kopii zapasowej wszystkich plików instalacyjnych.

Jak dotąd najłatwiejszym rozwiązaniem jest Jetpack, obsługiwany przez te same osoby, które stworzyły WordPress. Przy zaledwie 3,50 USD miesięcznie na jedną stronę, jest to zdecydowanie najbardziej opłacalne.

Wnioski

Istnieje wiele innych sposobów blokowania witryny, ale wiele z nich wymaga złożonego kodowania lub instalacji wtyczek ze złożonymi opcjami. Jeśli dopiero zaczynasz pracę z tym tematem, najlepiej jest najpierw przedstawić podstawy, o czym starałem się dzisiaj.

Jak zabezpieczyć WordPress przed brute force i atakiem słownikowym | PORADNIK

Powiązane posty:


7.02.2019