Cum să îmbunătățiți securitatea blogului dvs. WordPress

Publicat: 2022-02-26

WordPress este cel mai popular sistem de management al conținutului (CMS) auto-găzduit de pe Internet și, prin urmare, la fel ca Microsoft Windows, este și cea mai populară țintă a atacurilor. Software-ul este open source, găzduit pe Github, iar hackerii caută mereu erori și vulnerabilități care pot fi exploatate pentru a obține acces la alte site-uri WordPress.

WordPress Cel mai puțin pe care îl puteți face pentru a vă menține instalarea WordPress în siguranță este să vă asigurați că rulează întotdeauna cea mai recentă versiune a software-ului WordPress.org și, de asemenea, diferitele teme și pluginuri sunt actualizate. Iată câteva alte lucruri pe care le puteți face pentru a îmbunătăți securitatea blogurilor dvs. WordPress:

#1. Conectați-vă cu contul dvs. WordPress

Când instalați un blog WordPress, primul utilizator se numește „admin” în mod implicit. Ar trebui să creați un alt utilizator pentru a vă gestiona blogul WordPress și fie să eliminați utilizatorul „admin”, fie să schimbați rolul din „administrator” în „abonat”.

Puteți fie să creați un nume de utilizator complet aleatoriu (greu de ghicit), fie o alternativă mai bună ar fi să activați conectarea unică cu Jetpack și să utilizați contul dvs. WordPress.com pentru a vă conecta la blogul dvs. WordPress găzduit de sine.

#2. Nu faceți publicitate lumii pentru versiunea dvs. WordPress

Site-urile WordPress publică întotdeauna numărul versiunii, făcând astfel mai ușor pentru oameni să stabilească dacă rulați o versiune învechită de WordPress fără corecție.

Este ușor să eliminați versiunea WordPress de pe pagină, dar trebuie să faceți încă o modificare. Ștergeți fișierul readme.html din directorul dvs. de instalare WordPress, deoarece, de asemenea, face publicitate către întreaga lume a versiunii dvs. WordPress.

#3. Nu lăsați pe alții să „scrie” în directorul dvs. WordPress

Conectați-vă la shell-ul dvs. Linux WordPress și executați următoarea comandă pentru a obține o listă a tuturor directoarelor „deschise” în care orice alt utilizator poate scrie fișiere.

găsi . -tip d -perm -o=w

De asemenea, poate doriți să executați următoarele două comenzi în shell pentru a seta permisiunile potrivite pentru toate fișierele și folderele WordPress (referință).

găsiți /your/wordpress/folder/ -type d -exec chmod 755 {} \; găsiți /your/wordpress/folder/ -type f -exec chmod 644 {} \;

Pentru directoare, 755 (rwxr-xr-x) înseamnă că numai proprietarul are permisiunea de scriere, în timp ce alții au permisiuni de citire și executare. Pentru fișiere, 644 (rw-r—r—) înseamnă că proprietarii fișierelor au permisiuni de citire și scriere, în timp ce alții pot citi doar fișierele.

#4. Redenumiți prefixul tabelelor WordPress

Dacă ați instalat WordPress folosind opțiunile implicite, tabelele dvs. WordPress au nume precum wp posts sau wp_users. Prin urmare, este o idee bună să schimbați prefixul tabelelor (wp ) la o valoare aleatorie. Pluginul Change DB Prefix vă permite să redenumiți prefixul tabelului cu orice alt șir cu un clic.

#5. Împiedicați utilizatorii să răsfoiască directoarele dvs. WordPress

Asta e important. Deschideți fișierul .htaccess din directorul rădăcină WordPress și adăugați următoarea linie în partea de sus.

Opțiuni -Indici

Acesta va împiedica lumea exterioară să vadă o listă de fișiere disponibile în directoarele dvs. în cazul în care fișierele implicite index.html sau index.php sunt absente din acele directoare.

#6. Actualizați cheile de securitate WordPress

Accesați aici pentru a genera șase chei de securitate pentru blogul dvs. WordPress. Deschideți fișierul wp-config.php din directorul WordPress și suprascrieți cheile implicite cu cele noi.

Aceste săruri aleatorii fac parolele dvs. WordPress stocate mai sigure, iar celălalt avantaj este că, dacă cineva este conectat la WordPress fără știrea dvs., se va deconecta imediat, deoarece cookie-urile lor vor deveni invalide acum.

#7. Păstrați un jurnal al erorilor PHP și ale bazei de date WordPress

Jurnalele de erori pot oferi uneori indicii puternice despre ce fel de interogări nevalide de baze de date și solicitări de fișiere afectează instalarea dvs. WordPress. Prefer Error Log Monitor, deoarece trimite periodic jurnalele de erori prin e-mail și, de asemenea, le afișează ca widget în tabloul de bord WordPress.

Pentru a activa înregistrarea erorilor în WordPress, adăugați următorul cod în fișierul wp-config.php și amintiți-vă să înlocuiți /path/to/error.log cu calea reală a fișierului dvs. jurnal. Fișierul error.log trebuie plasat într-un folder inaccesibil din browser (referință).

define('WP_DEBUG', true); if (WP_DEBUG) { define('WP_DEBUG_DISPLAY', false); @ini_set('log_errors', 'On'); @ini_set('display_errors', 'Off'); @ini_set('error_log', '/path/to/error.log'); }

#9. Protejați cu parolă tabloul de bord de administrare

Este întotdeauna o idee bună să protejați cu parolă folderul wp-admin al WordPress, deoarece niciunul dintre fișierele din această zonă nu este destinat persoanelor care vă vizitează site-ul public WordPress. Odată protejați, chiar și utilizatorii autorizați vor trebui să introducă două parole pentru a se conecta la tabloul de bord WordPress.

10. Urmăriți activitatea de conectare pe serverul dvs. WordPress

Puteți folosi comanda „last -i” în Linux pentru a obține o listă a tuturor utilizatorilor care s-au conectat la serverul dvs. WordPress împreună cu adresele lor IP. Dacă găsiți o adresă IP necunoscută în această listă, cu siguranță este timpul să vă schimbați parola.

De asemenea, următoarea comandă va afișa activitatea de conectare a utilizatorului pentru o perioadă mai lungă de timp, grupată după adrese IP (înlocuiți USERNAME cu numele dvs. de utilizator shell).

ultimul -dacă /var/log/wtmp.1 | grep NUME DE UTILIZATOR | awk „{printează $3}” | sortare | uniq -c

Monitorizați-vă WordPress cu pluginuri

Depozitul WordPress.org conține destul de multe pluginuri bune legate de securitate care vor monitoriza continuu site-ul dvs. WordPress pentru intruziuni și alte activități suspecte. Iată cele esențiale pe care le-aș recomanda.

  1. Exploit Scanner - Acesta va scana rapid toate fișierele WordPress și postările de blog și le va lista pe cele care ar putea avea cod rău intenționat. Linkurile de spam pot fi ascunse în postările dvs. de blog WordPress folosind CSS sau IFRAMES, iar pluginul le va detecta și ele.
  2. WordFence Security - Acesta este un plugin de securitate extrem de puternic pe care ar trebui să-l aveți. Acesta va compara fișierele de bază WordPress cu fișierele originale din depozit, astfel încât orice modificări să fie detectate instantaneu. De asemenea, pluginul va bloca utilizatorii după un număr „n” de încercări de conectare nereușite.
  3. WP Notifier - Dacă nu vă conectați prea des la tabloul de bord WordPress Admin, acest plugin este pentru dvs. Vă va trimite alerte prin e-mail ori de câte ori sunt disponibile noi actualizări pentru temele instalate, pluginuri și WordPress de bază.
  4. Scanner VIP - Pluginul de securitate „oficial” vă va scana temele WordPress pentru orice problemă. De asemenea, va detecta orice cod publicitar care ar fi putut fi injectat în șabloanele dvs. WordPress.
  5. Sucuri Security - Monitorizează WordPress-ul dumneavoastră pentru orice modificări ale fișierelor de bază, trimite notificări prin e-mail atunci când orice fișier sau postare este actualizat și, de asemenea, menține un jurnal al activității de conectare a utilizatorului, inclusiv autentificări eșuate.

Sfat: De asemenea, puteți utiliza următoarea comandă Linux pentru a obține o listă cu toate fișierele care au fost modificate în ultimele 3 zile. Schimbați mtime în mmin pentru a vedea fișierele modificate cu „n” minute în urmă.

găsi . -tip f -mtime -3 | grep -v „/Maildir/” | grep -v „/logs/”

Asigurați-vă pagina de conectare WordPress

Pagina dvs. de autentificare WordPress este accesibilă lumii, dar dacă doriți să împiedicați utilizatorii neautorizați să se conecteze la WordPress, aveți trei opțiuni.

  1. Protejarea cu parolă cu .htaccess - Aceasta implică protejarea folderului wp-admin al WordPress cu un nume de utilizator și o parolă, în plus față de acreditările obișnuite de WordPress.
  2. Google Authenticator - Acest plugin excelent adaugă verificare în doi pași blogului dvs. WordPress similar cu Contul dvs. Google. Va trebui să introduceți parola și, de asemenea, codul dependent de timp generat pe telefonul dvs. mobil.
  3. Conectare fără parolă - Utilizați pluginul Clef pentru a vă conecta la site-ul dvs. WordPress prin scanarea unui cod QR și puteți încheia sesiunea de la distanță cu telefonul mobil.

Vedeți și: Pluginuri WordPress obligatorii