10 innovativa WordPress-säkerhetshack för att skydda din webbplats
Oavsett om du äger en personlig blogg eller en affärskritisk webbplats med känslig data måste du lägga vederbörlig vikt vid att säkra den i största möjliga utsträckning. För att förhindra en besökare med uppsåt från att få tillgång till din webbplats är det viktigt att förbereda en säkerhetschecklista och utföra periodiska säkerhetsrevisioner.
Med det sagt är ett cent procent säkert system praktiskt taget omöjligt att konfigurera eftersom det alltid finns en sannolikhet för att nya "hot" dyker upp ur det blå. Även om det kanske inte är möjligt att helt utrota risken för säkerhetsintrång, kan en uppsättning bästa praxis hjälpa dig att minimera de potentiella sårbarheterna.
När det gäller att säkra en WordPress- webbplats kommer du att vara bortskämd med val när det gäller tillgången på resurser. Det finns massor av tips, tweaks och tutorials publicerade på en mängd webbplatser och bloggar. Men när du tar en närmare titt kan du bli besviken över bristen på substans. WordPress säkerhetsåtgärder listade på de flesta av dessa webbplatser är mycket grundläggande till sin natur. Vare sig det är att uppgradera till den senaste versionen av WordPress, schemalägga periodiska säkerhetskopieringar eller använda ett administratörslösenord med hög komplexitet – du kanske redan har implementerat alla dessa grundläggande åtgärder. Helt uppenbart är frågan som du tänker på "Vad händer härnäst?"
Denna handledning är avsedd att ge ett definitivt svar på din fråga. Här diskuteras tio innovativa säkerhetsåtgärder som kan hjälpa dig att hålla kontrollen över en WordPress-webbplats i ditt säkert förvar. Låt oss nu gå vidare med detaljerna.
1 Använd tvåfaktorsautentisering:
När du implementerar tvåfaktorsautentisering måste en person som försöker logga in på din WordPress-instrumentpanel ange ett slumpmässigt genererat OTP (One Time Password), förutom standardanvändarnamnet och lösenordet. Kryptografiska funktioner används för att generera OTP i realtid och den skickas endast över till den avsedda mottagaren på en kommunikationsenhet via en säker gateway. Mobiltelefonen är den mest använda kommunikationsenheten för detta ändamål.
Så även om en hacker lyckas stjäla ditt användarnamn och lösenord, kommer han fortfarande inte att kunna komma åt din WordPress adminpanel utan engångslösenordet.
Hur implementerar man tvåfaktorsautentisering?
Du kan använda vilken plugin som helst som genererar OTP för att implementera tvåfaktorsautentisering på din WordPress-webbplats. Både kommersiella och gratis att använda plugins finns tillgängliga på marknaden. Två rekommenderade plugins som är fritt tillgängliga på WordPress-förvaret är:
Båda plugins är mycket enkla att konfigurera även för en nybörjarwebbmaster. Detaljerad dokumentation om installation och uppsättning finns på respektive plugin-sidor.
2 Inaktivera redigering av mallfil via WP Dashboard
En WordPress-användare med administrativ åtkomst kan redigera din webbplats mallfiler genom att navigera till Utseende > Redigerare. Om en besökare med skadlig avsikt lyckas hacka din admin-användaruppgifter, då kan han också göra de önskade ändringarna av dessa filer direkt från din WordPress-instrumentpanel. För att förhindra en sådan händelse kan du inaktivera filredigering från WordPress-instrumentpanelen.
Hur inaktiverar man redigering av mallfil?
För att inaktivera filredigering via instrumentpanelsredigerare måste du lägga till en kodrad till din WordPress-webbplats konfigurationsfil. Gå till filhanterarprogrammet som finns på din värdkontrollpanel och bläddra till rotkatalogen. Öppna filen wp-config.php i en textredigerare och lägg till följande kodrad längst ner i filen.
define( 'DISALLOW_FILE_EDIT', true );3 Dölj feedback om inloggningsfel från besökare
Vilket syfte tjänar det att visa felloggar för dina besökare? Absolut ingenting. När något går snett är det bara du som administratör som ska veta om det. För att göra saken värre, genom att göra felfeedbacken offentlig, ger du faktiskt precis tillräckligt med tips till en tekniskt expertbesökare för att försöka hacka din webbplats.
Hur slutar jag visa felfeedback?
Det finns en enkel metod för att förhindra att feedback från WordPress-inloggningsfel visas offentligt. Efter att ha loggat in på din WordPress-adminpanel, navigera till Utseende > Redaktör. Öppna det aktiva temats functions.php-fil och placera följande kodavsnitt var som helst i filen.
add_filter('login_errors',create_function('$a', "return null;"));4 Ta bort "admin"-användaren
Det administrativa standardanvändarkontot som skapas automatiskt vid installationen av WordPress är "admin". Det är också det mest sårbara området när det gäller WordPress-säkerhet, som oftare utnyttjas av hackarna. Så att ta bort detta standard "admin" konto och hantera din webbplats från ett annat "pseudo" administratörskonto är en mycket bra idé för att hålla hackarna på avstånd. Åtminstone kommer det att göra livet lite svårare för alla potentiella hackare.
Hur tar man bort standard ‘admin’ användare?
Denna aktivitet kan utföras i två olika stadier enligt beskrivningen nedan:
- När du installerar WordPress: Om det är ett nytt värdkonto som du vill skapa din WordPress-webbplats på, kan du bli av med "admin"-användaren när du installerar WordPress. På den första installationsskärmen får du användarkonfigurerbara alternativ. Användarnamn är ett sådant objekt som du får ändra. Innan du klickar på "Installera"-knappen längst ner på skärmen, byt bara ut standardanvändarnamnet "admin" med vad du föredrar att namnge det som. Fortsätt sedan med installationsprocessen som du normalt skulle göra.
- För en befintlig WordPress-installation: När du redan har en befintlig WordPress-webbplats måste du först logga in med ditt "admin"-konto och skapa ett nytt användarkonto. Se till att du ger den nya användaren full administrativ behörighet. Logga sedan ut från ‘adminkontot och logga in igen med det nyskapade användarkontot. Gå till fliken "Användare" på din WordPress-instrumentpanel och ta bort "admin"-användarkontot. Du kan nu hantera din instrumentpanel med den nyskapade administrativa användaren.
5 Dölj WordPress versionsnummer
Varje version av WordPress har några sårbarheter som vanligtvis åtgärdas när den efterföljande versionen släpps. Om en hacker lyckas identifiera vilken version av WordPress du använder, kan han enkelt associera den med en känd svaghet och utnyttja den för att få kontroll över din webbplats. För att förhindra ett sådant scenario kan du instruera WordPress-funktionsfilen att inte avslöja versionsnumret.
Hur döljer man WP-versionsnummer?
Vanligtvis infogas WordPress versionsnummer i ditt temas rubrikfil via funktionen ‘wp-head()’. Att ta bort funktionen är dock ingen lösning, eftersom samma funktion också kan användas av några av de plugins som du har installerat. Istället är ett bättre alternativ att lägga till kodavsnittet nedan i din functions.php-fil.
remove_action('ks29so_head','ks29so_generator');6 Blockera åtkomst till bots
Bots är datorprogrammerade automatiserade verktyg som används av hackare för att ta kontroll över din webbplats. Dessa automatiserade program kan också använda dina webbhotellresurser för att utföra andra aktiviteter för hackarens räkning. Genom att förhindra bots från att få tillgång till dina webbsidor och kataloger kan du skärpa greppet om webbplatsadministration.
Hur förhindrar jag bots från att komma åt din webbplats?
Modrewrite är ett effektivt botemedel för att blockera botåtkomst. Använd valfritt textredigeringsprogram och öppna .htaccessfilen ‘ ‘ som finns i din WordPress rotkatalog. Scrolla ner till botten av filen, infoga nedanstående kodavsnitt och spara sedan filen på samma plats. Se till att du inte ändrar filnamnet.
SetEnvIfNoCase User-Agent ^$ keep_out
SetEnvIfNoCase User-Agent (pycurl|casper|cmsworldmap|diavol|dotbot) keep_out
SetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out
SetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|planetwork) keep_out
Order Allow,Deny
Allow from all
Deny from env=keep_out7 Använd rätt fil-/mappbehörigheter
Filbehörigheter är inget annat än en åtkomstbegränsningsmetod. Genom att använda korrekta filbehörighetsparametrar kan du förhindra besökarna från att komma åt viktiga konfigurationsfiler som finns i din WordPress-installationskatalog.
Hur implementerar man åtkomstbegränsning?
Nedan listas de rekommenderade fil- och mapptillståndsinställningarna för din WordPress-webbplats:
CHMOD-värdet för alla datafiler ska ställas in på 644.
CHMOD-värdet för alla mappar och undermappar ska ställas in på 755.
CHMOD-värdet för WordPress-konfigurationsfilen (wp-config.php) bör ställas in på 640.
8 Begränsa användarinloggningsförsök:
Med all sannolikhet förväntas en hackare använda olika kombinationer av användarnamn och lösenord för att bryta sig in på din WordPress-adminpanel. Om det inte finns en gräns för antalet misslyckade inloggningsförsök kan en hackare fortsätta så länge det tar att hitta rätt kombination av användarnamn och lösenord.
Hur begränsar man inloggningsförsök?
Det enklaste sättet att begränsa användarinloggningsförsök är att använda ett plugin med öppen källkod, Limit Login Attempts. Det kan laddas ner fritt från WordPress Plugins-förråd. Efter installation och aktivering av plugin-programmet kan du ange antalet misslyckade inloggningar som en användare får försöka under en viss tidsperiod.
9 Använd SSL-läge för inloggningssessioner
Att tvinga din WordPress-webbplats till SSL-läge för inloggning säkerställer säker dataöverföring mellan användarens webbläsare och din server. Webbläsaren krypterar användarnamnet och lösenordet innan det skickas över till ditt serversystem via en säker kanal när SSL används.
Hur använder man SSL-läge för alla inloggningar?
Först och främst måste du ha ett giltigt SSL-certifikat installerat på din webbserver. För att tvinga SSL-läge för alla användarinloggningar måste du definiera SSL-inloggningsinställningar i din WordPress-konfigurationsfil (wp-config.php). Du kan antingen tvinga SSL-läge endast för administratörsanvändaren eller aktivera den här funktionen för alla inloggningar. Gå till din rotkatalog och öppna filen wp-config.php. Lägg sedan till något av nedanstående kodavsnitt beroende på dina krav.
Endast för administratörsinloggningssessioner:
define('FORCE_SSL_ADMIN', true);För alla användarinloggningssessioner:
define('FORCE_SSL_LOGIN', true);10 Inaktivera åtkomst till mappen ‘wp-content’
Alla bilder och mediefiler som du laddar upp till din WordPress-webbplats lagras i mappen "wp-content". Den innehåller också alla plugin-filer. Hackare kan använda det som en ingångspunkt för att injicera skadliga element på din webbplats. En annan oetisk aktivitet som kan utföras genom samma kanal är bandbreddsstöld. Så det rekommenderas starkt att du blockerar offentlig åtkomst till den här katalogen.
Hur inaktiverar man åtkomst till mediafiler och plugins?
Du kan lägga till en regel i din .htaccessfil för att förhindra åtkomst till alla filtyper som finns i mappen "wp-content". Tänk på att CSS- och JavaScript-filer, tillsammans med bilderna (jpg, png, gif), löper störst risk att utnyttjas av hackarna.
Order Allow,Deny
Deny from all
<files ?.(jpg|gif|png|js|css)$? ~>
Allow from allSlutsats:
För varje dag som går uppfinner hackarna nyare tekniker för att ta kontroll över din webbplats och ditt företag. Det är ingen idé att hålla sig till vad de "andra" har gjort i evigheter. För att eliminera möjligheten att få din WordPress-webbplats hackad måste du ligga steget över och vara smartare än din nemesis.