Jak poprawić bezpieczeństwo swojego bloga WordPress
Opublikowany: 2022-02-26WordPress to najpopularniejszy samoobsługowy system zarządzania treścią (CMS) w Internecie i dlatego, podobnie jak Microsoft Windows, jest również najpopularniejszym celem ataków. Oprogramowanie jest typu open source, hostowane na Github, a hakerzy zawsze szukają błędów i luk, które można wykorzystać, aby uzyskać dostęp do innych witryn WordPress.
Najmniej, co możesz zrobić, aby Twoja instalacja WordPress była bezpieczna, to upewnić się, że zawsze działa najnowsza wersja oprogramowania WordPress.org, a także różne motywy i wtyczki są aktualizowane. Oto kilka innych rzeczy, które możesz zrobić, aby poprawić bezpieczeństwo swoich blogów WordPress:
#1. Zaloguj się za pomocą swojego konta WordPress
Gdy instalujesz bloga WordPress, pierwszy użytkownik domyślnie nazywa się „admin”. Powinieneś utworzyć innego użytkownika do zarządzania swoim blogiem WordPress i albo usunąć użytkownika „administrator” albo zmienić rolę z „administrator” na „subskrybent”.
Możesz utworzyć całkowicie losową (trudną do odgadnięcia) nazwę użytkownika lub lepszą alternatywą byłoby włączenie jednokrotnego logowania za pomocą Jetpack i użycie konta WordPress.com, aby zalogować się do własnego bloga WordPress.
#2. Nie reklamuj swojej wersji WordPressa na świecie
Witryny WordPress zawsze publikują numer wersji, co ułatwia ludziom ustalenie, czy korzystasz z przestarzałej, niezałatanej wersji WordPressa.
Usunięcie wersji WordPressa ze strony jest łatwe, ale musisz wprowadzić jeszcze jedną zmianę. Usuń plik readme.html z katalogu instalacyjnego WordPress, ponieważ reklamuje on również Twoją wersję WordPressa na całym świecie.
#3. Nie pozwól innym „pisać” do twojego katalogu WordPress
Zaloguj się do powłoki WordPress Linux i wykonaj następujące polecenie, aby uzyskać listę wszystkich „otwartych” katalogów, w których każdy inny użytkownik może zapisywać pliki.
znajdować . -typ d -dop -o=w
Możesz także wykonać następujące dwa polecenia w swojej powłoce, aby ustawić odpowiednie uprawnienia dla wszystkich plików i folderów WordPress (odniesienie).
znajdź /twój/wordpress/folder/ -type d -exec chmod 755 {} \; znajdź /twój/wordpress/folder/ -type f -exec chmod 644 {} \;
W przypadku katalogów 755 (rwxr-xr-x) oznacza, że tylko właściciel ma uprawnienia do zapisu, podczas gdy inni mają uprawnienia do odczytu i wykonywania. W przypadku plików 644 (rw-r—r—) oznacza, że właściciele plików mają uprawnienia do odczytu i zapisu, podczas gdy inni mogą tylko czytać pliki.
#4. Zmień nazwę prefiksu tabel WordPress
Jeśli zainstalowałeś WordPress z domyślnymi opcjami, twoje tabele WordPress mają nazwy takie jak wp posts lub wp_users. Dobrym pomysłem jest więc zmiana prefiksu tabel (wp ) na jakąś losową wartość. Wtyczka Change DB Prefix pozwala jednym kliknięciem zmienić nazwę prefiksu tabeli na dowolny inny ciąg.
#5. Zablokuj użytkownikom możliwość przeglądania katalogów WordPress
To jest ważne. Otwórz plik .htaccess w katalogu głównym WordPress i dodaj następujący wiersz u góry.
Opcje -Indeksy
Uniemożliwi to światu zewnętrznemu zobaczenie listy plików dostępnych w twoich katalogach w przypadku, gdy domyślne pliki index.html lub index.php są nieobecne w tych katalogach.
#6. Zaktualizuj klucze bezpieczeństwa WordPress
Przejdź tutaj, aby wygenerować sześć kluczy bezpieczeństwa dla swojego bloga WordPress. Otwórz plik wp-config.php w katalogu WordPress i nadpisz domyślne klucze nowymi.
Te losowe sole sprawiają, że przechowywane hasła WordPress są bezpieczniejsze, a inną zaletą jest to, że jeśli ktoś zaloguje się do WordPressa bez Twojej wiedzy, zostanie natychmiast wylogowany, ponieważ jego pliki cookie staną się teraz nieważne.
7. Prowadź dziennik błędów WordPress PHP i bazy danych
Dzienniki błędów mogą czasami oferować mocne wskazówki dotyczące rodzaju nieprawidłowych zapytań do bazy danych i żądań plików, które trafiają do instalacji WordPressa. Wolę Monitor dziennika błędów, ponieważ okresowo wysyła dzienniki błędów pocztą e-mail, a także wyświetla je jako widżet na pulpicie WordPress.
Aby włączyć logowanie błędów w WordPressie, dodaj następujący kod do pliku wp-config.php i pamiętaj, aby zastąpić /path/to/error.log rzeczywistą ścieżką pliku dziennika. Plik error.log należy umieścić w folderze niedostępnym z przeglądarki (odniesienie).
define('WP_DEBUG', prawda); if (WP_DEBUG) { define('WP_DEBUG_DISPLAY', false); @ini_set('log_errors', 'Włączone'); @ini_set('display_errors', 'Wyłączone'); @ini_set('dziennik_błędów', '/ścieżka/do/dziennik_błędów'); }
#9. Ochrona hasłem panelu administratora
Zawsze dobrze jest zabezpieczyć hasłem folder wp-admin Twojego WordPressa, ponieważ żaden z plików w tym obszarze nie jest przeznaczony dla osób odwiedzających Twoją publiczną witrynę WordPress. Po zabezpieczeniu nawet autoryzowani użytkownicy będą musieli wprowadzić dwa hasła, aby zalogować się do pulpitu administratora WordPress.
10. Śledź aktywność logowania na serwerze WordPress
Możesz użyć polecenia „last -i” w systemie Linux, aby uzyskać listę wszystkich użytkowników, którzy zalogowali się na twój serwer WordPress, wraz z ich adresami IP. Jeśli znajdziesz na tej liście nieznany adres IP, zdecydowanie nadszedł czas, aby zmienić hasło.
Ponadto poniższe polecenie pokaże aktywność logowania użytkownika przez dłuższy okres czasu pogrupowaną według adresów IP (zastąp USERNAME nazwą użytkownika powłoki).
last -if /var/log/wtmp.1 | grep NAZWA UŻYTKOWNIKA | awk '{print $3}' | sortuj | uniq -c
Monitoruj swój WordPress za pomocą wtyczek
Repozytorium WordPress.org zawiera sporo dobrych wtyczek związanych z bezpieczeństwem, które będą stale monitorować Twoją witrynę WordPress pod kątem włamań i innej podejrzanej aktywności. Oto najważniejsze, które polecam.
- Exploit Scanner — szybko przeskanuje wszystkie Twoje pliki WordPress i posty na blogu oraz wyświetli listę tych, które mogą zawierać złośliwy kod. Linki spamowe mogą być ukryte w Twoich postach na blogu WordPress za pomocą CSS lub IFRAMES, a wtyczka również je wykryje.
- WordFence Security - To niezwykle potężna wtyczka bezpieczeństwa, którą powinieneś mieć. Porówna twoje główne pliki WordPress z oryginalnymi plikami w repozytorium, dzięki czemu wszelkie modyfikacje zostaną natychmiast wykryte. Ponadto wtyczka zablokuje użytkowników po „n” liczbie nieudanych prób logowania.
- WP Notifier - Jeśli nie logujesz się zbyt często do pulpitu administratora WordPress, ta wtyczka jest dla Ciebie. Wysyła powiadomienia e-mail, gdy dostępne są nowe aktualizacje dla zainstalowanych motywów, wtyczek i rdzenia WordPress.
- Skaner VIP — „oficjalna” wtyczka bezpieczeństwa przeskanuje motywy WordPress w poszukiwaniu problemów. Wykryje również każdy kod reklamowy, który mógł zostać wprowadzony do szablonów WordPress.
- Sucuri Security - Monitoruje WordPress pod kątem wszelkich zmian w podstawowych plikach, wysyła powiadomienia e-mail, gdy dowolny plik lub post jest aktualizowany, a także prowadzi dziennik aktywności logowania użytkownika, w tym nieudane logowanie.
Wskazówka: możesz również użyć następującego polecenia systemu Linux, aby uzyskać listę wszystkich plików, które zostały zmodyfikowane w ciągu ostatnich 3 dni. Zmień mtime na mmin, aby zobaczyć pliki zmodyfikowane „n” minut temu.
znajdować . -typ f -mczas -3 | grep -v “/Maildir/” | grep -v "/logs/"
Zabezpiecz swoją stronę logowania WordPress
Twoja strona logowania do WordPressa jest dostępna dla całego świata, ale jeśli chcesz uniemożliwić nieautoryzowanym użytkownikom logowanie się do WordPressa, masz trzy możliwości.
- Ochrona hasłem za pomocą .htaccess — obejmuje to ochronę folderu wp-admin Twojego WordPressa za pomocą nazwy użytkownika i hasła oprócz zwykłych poświadczeń WordPress.
- Google Authenticator - Ta doskonała wtyczka dodaje dwuetapową weryfikację do Twojego bloga WordPress, podobną do Twojego konta Google. Będziesz musiał wprowadzić hasło, a także kod zależny od czasu wygenerowany na telefonie komórkowym.
- Logowanie bez hasła - Użyj wtyczki Clef, aby zalogować się do swojej witryny WordPress, skanując kod QR, i możesz zdalnie zakończyć sesję za pomocą samego telefonu komórkowego.
Zobacz także: Niezbędne wtyczki WordPress