Ana Sayfa Wordpress ve Web Geliştirme WordPress Saldırıdan Korunması Gereken Kontrol Listeniz Nasıl Korunur?

WordPress Saldırıdan Korunması Gereken Kontrol Listeniz Nasıl Korunur?

  • Mark Lucas
  • 0
  • 2575
  • 292
reklâm

Dünyanın dört bir yanındaki botnetler, dikkatlerini spam e-postalar göndermekten, WordPress kurulumlarına sistematik olarak saldırmaktan; WordPress'in tüm blogların% 40'ına güç sağladığı göz önüne alındığında kazançlı bir iş. Özellikle buna kurban bile olduğumuz düşünüldüğünde, kendi kendine barındırılan WordPress kurulumunuzu tam olarak nasıl koruyacağınız konusunda kapsamlı bir görevlendirme zamanı geldi..

Not: Bu tavsiye sadece kendi kendine barındırılan WordPress kurulumu. WordPress.com kullanıyorsanız, genellikle güvenliği önemsemenize gerek yoktur, çünkü her şeyi sizin için idare ederler. WordPress.com ve WordPress.org arasındaki fark nedir? Blogunuzu Wordpress.com ve Wordpress.org'da Çalıştırmak Arasındaki Fark Nedir? Blogunuzu Wordpress.com ve Wordpress.org'da Çalıştırmak Arasındaki Fark Nedir? Wordpress ile şimdi her 6 web sitesinde 1'e güç veriyor, doğru bir şey yapıyor olmalılar. Hem deneyimli geliştiriciler hem de tüm acemiler için Wordpress'in size sunacakları vardır. Ama tam olarak başladığınız gibi ...

Google iki aşamalı kimlik doğrulayıcısını yükleyin

Gmail hesabınız veya diğer hizmetler için zaten iki aşamalı bir kimlik doğrulaması etkinse, WordPress için bu eklenti ile aynı kimlik doğrulama uygulamasını kullanabilirsiniz..

Neyse ki, iki aşamalı kimlik doğrulamasını yalnızca üst seviye hesaplarda kullanılacak şekilde kısıtlayabilirsiniz, böylece tüm kullanıcılarınızı rahatsız etmenize gerek kalmaz.

Giriş Kilidi

Eski bir eklenti, ancak yine de istenildiği gibi çalışıyor; Login Lockdown, oturum açma denemelerinin IP’sini kontrol eder ve 5 dakika içinde 3 kez başarısız olursa IP saatini bir saat boyunca engeller. Basit, etkili.

Düzenli Yedeklemeler Alın

Bilgisayar korsanları yalnızca bir dosyayı değiştirmez, ancak kendi kontrol panellerini bir yere ve başka bir gizli arka kapıya gizlerler - orijinal korsanlığı düzeltseniz bile, hemen geri gelirler ve tekrar yaparlar. Günlük veya haftalık yedeklemeler yapın, böylece kolayca bilgisayar korsanının izinin olmadığı bir noktaya geri dönebilirsiniz - ve almak için ne yaptılarsa onu yamaladığınızdan emin olun. Şahsen, sadece 150 dolarlık bir Yedek Buddy geliştirici lisansına yatırım yaptım - Şimdiye kadar bulduğum en kolay ve en kapsamlı yedekleme çözümü.

Klasörlerin Endekslenmesini Önle

.Htaccess dosyasının WordPress kurulumunuzun kökenini kontrol edin (başlangıçtaki döneme dikkat edin - bunu görüntülemek için görünmez dosyalar göstermeniz gerekebilir) ve aşağıdaki satırda olduğundan emin olun. Değilse ekleyin - ancak bu dosya oldukça önemli olduğundan önce bir yedekleme yapın.

Seçenekler All -Indexes

Güncel kalın

Yaptığımız gibi aynı hatayı yapmayın: bir güncelleme mevcut olduğunda WordPress'i her zaman güncelleyin. Bazen güncellemeler küçük hata düzeltmeleri içerir ve güvenlik düzeltmeleri içermez, ancak alışkanlık haline gelir ve bir sorununuz olmaz. Birden fazla WordPress kurulumunuz varsa ve hepsini izleyemiyorsanız, güvenlik taraması içeren tüm bloglarınız için birinci sınıf bir gösterge panosu olan ManageWp.com'u inceleyin.

Yalnızca çekirdek WordPress dosyaları değil, aynı zamanda eklentileri de içerir: geçmişteki en büyük WordPress kesmelerinden biri, ortak bir küçük resim oluşturucu komut dosyasında bir güvenlik açığına neden oldu. timthumb.php, Eski sürümü kullanan temalar da var. Eklentiler hızlı bir şekilde güncellense de, temaları güncel tutmak zor, tabii ki - WordPress temanızın savunmasız olup olmadığını size söylemez ve bunun için bir çeşit güvenlik taraması eklentisi olacaksınız - Güvenlik Eklentileri bazı öneriler için aşağıdaki bölüm.

Asla Rasgele Temalar İndirme

PHP koduyla ne yaptığınızı bilmiyorsanız, bir yerden güzel, rastgele bir tema indirme tuzağına düşmek çok kolaydır, sadece orada bazı kötü kodlar olduğunu bulmak için - en sık olarak geri yükleyemezsiniz, ama daha kötüsü bulunabilir. Üstün ve tanınmış tema tasarımcılarına bağlı kalın (Smashing Magazine veya WPShower gibi), veya ücretsiz temalar için sadece WordPress tema dizinini kullanın..

Kullanılmayan Eklentileri ve Temaları Sil

Sunucunuzda ne kadar az çalıştırılabilir kod varsa, o kadar iyidir - artık kullanmadığınız temaları ve eklentileri silerek eski, hassas kodlara sahip olma şansını kaldırın. Bunları devre dışı bırakmak, işlevselliklerinin WordPress ile yüklenmesini durduracaktır, ancak kodun kendisi hala bir bilgisayar korsanı tarafından çalıştırılabilir.

Üstbilginizdeki Tell-tale Meta'yı Kaldırma

Varsayılan olarak, WordPress sürümünü dünyaya başlık dosyanızın koduyla yayınlar - bilgisayar korsanlarının eski yüklemeleri tanımlamaları için kolay bir yol. Aşağıdaki satırları temanıza ekleyin functions.php WordPress sürümünü, Windows Live Writer bilgilerini ve uzak istemcilerin XML-RPC dosyanızı bulmasına yardımcı olan bir satırı kaldıracak bir dosya.

remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'rsd_link');

Kaldır “yönetim” hesap

WordPress'e yapılan kaba kuvvet saldırılarının çoğu, tekrar tekrar denemeyi gerektirir yönetim hesap - tüm WordPress yüklemeleri için varsayılan - ve genel şifreler sözlüğü. Yönetici ile giriş yaparsanız veya yönetici hesabınızı kullanıcı tablonuzda listelemişseniz, buna karşı savunmasızsınız demektir..

Bunu düzeltmenin iki yolu: ya wp-optimize eklentisini kullanın - diğer şeylerin yanı sıra, revizyon sonrası değişiklikleri devre dışı bırakmanıza ve veritabanı optimizasyonu yapmanıza olanak sağlayan harika bir eklenti - admin hesabını yeniden adlandırmak. Veya yönetici ayrıcalıklarına sahip başka bir hesap oluşturun, yeni kullanıcı olarak oturum açın ve ardından silin. “yönetim” hesap tüm gönderileri yeni kullanıcınıza atayın.

Güvenli şifreler

Yönetici hesabını devre dışı bıraksanız bile, yönetici hesabınızın kullanıcı adını tanımlamak mümkün olabilir - bu noktada tekrar kaba bir saldırıya karşı savunmasızsınız. Büyük ve küçük harf, noktalama işaretleri ve sayılardan oluşan 16 veya daha fazla rastgele karakterden oluşan güçlü bir parola politikası uygulamak.

Veya sadece reallyLongSentenceThatsEasyToRememberMethod kullanın.

WordPress İçinde Dosya Düzenlemeyi Devre Dışı Bırakma

FTP üzerinden giriş yapmayı sevmeyenler için, WordPress yönetici panosunda tema ve eklenti PHP dosyaları için kolay bir editör içerir - ancak birisi erişim kazandığında kurulumunuzu savunmasız hale getirir. Aslında, bu şekilde birinin başlığımıza kötü amaçlı yazılım yönlendirme eklemeyi başardı. Aşağıdaki satırı, telefonunuzun altına ekleyin. wp-config.php (kök klasörde) tüm dosya düzenleme özelliklerini devre dışı bırakmak - ve SFTP kullanmak SSH Nedir ve FTP'den Ne Farklı? [Teknoloji Açıklaması] Sunucunuza giriş yapmak için SSH Nedir ve FTP'den Ne Farklıdır [Teknoloji Açıklaması].

define ('DISALLOW_FILE_EDIT', doğru);

Giriş Hatalarını Gizle

Yanlış parola veya yanlış kullanıcı adı, giriş yaparken verilen hatalarla tanımlanabilir; bu, kaba çalıştırma hesaplarını tanımlamak için kullanılabilir. Bu iyi değil, tabii ki, bu yüzden kendi eklemenize ek olarak bu hataları öldürmek functions.php dosya

no_errors_please () return 'Hayır';  add_filter ('login_errors', 'no_errors_please');

Cloudflare özelliğini etkinleştir

Sitenizi hızlandırmanın yanı sıra, CloudFlare bilinen birçok botnet'i ve tarayıcıyı blogunuza ilk etapta girmekten bile kurtarır. CloudFlare ile ilgili her şeyi okuyun CloudFlare ile Ücretsiz olarak Web Sitenizi Koruyun ve Hızlandırın CloudFlare ile ücretsiz olarak Web Sitenizi Koruyun ve Hızlandırın CloudFlare ile CloudFlare, web sitenizi spam göndericilerden, botlardan ve diğerlerinden koruduğunu iddia eden Project Honey Pot'un yaratıcılarından ilgi çekici bir başlangıçtır kötü web canavarları - sitenizi biraz hızlandırmanın yanı sıra ... burada. Kurulum MediaTemple’da barındırılıyorsa, bir tık, aksi halde ad sunucularını değiştirmek için etki alanı kontrol paneline erişmeniz gerekir.

Güvenlik Eklentileri

  • Daha İyi WP Güvenliği sizin için bu düzeltmelerin çoğunu uygular ve buradaki en kapsamlı ücretsiz çözümdür..
  • WordFence, aktif olarak dosyalarınızı kötü amaçlı yazılım bağlantıları, yönlendirmeleri, bilinen güvenlik açıkları vb. İçin tarayan ve bunları düzelten premium bir pakettir. 1 site için fiyat 18 ABD Doları / yıldan başlıyor.
  • Giriş güvenlik çözümü hem giriş denemelerini sınırlar hem de güvenli şifreler uygular.
  • BulletProof güvenliği, XSS enjeksiyonu ve .htaccess sorunları gibi daha teknik yönlerden bazılarıyla ilgilenen kapsamlı ancak karmaşık bir eklentidir. Sürecin çoğunu otomatikleştiren bir eklentinin Pro sürümü de mevcut.

Bunun WordPress'i sertleştirecek adımların oldukça kapsamlı bir listesi olduğunu kabul edeceğinizi düşünüyorum, ancak uygulamanızı önermiyorum herşey Bunların Bunları şimdiye kadar kurduğum her siteye yapmak zorunda olsaydım, şimdi hala kurardım. Herhangi bir sistemi çalıştırmak bir risk doğurur ve sonuçta istediğiniz güvenlik seviyesi ile güvence altına almak istediğiniz çaba arasındaki dengeyi bulmak size bağlıdır - hiçbir şey% 100 güvenli olmayacaktır. Buradaki düşük asılı meyveler:

  • WordPress'i güncel tutmak
  • Yönetici hesabını devre dışı bırakma
  • İki aşamalı kimlik doğrulama ekleme
  • Bir güvenlik eklentisi yükleme

Bunları tek başınıza yapmanız, sizi diğer tüm blogların% 99'unun üzerine çıkarmalıdır; bu, potansiyel bilgisayar korsanlarının daha kolay hedeflere ilerlemesini sağlamak için yeterlidir..

Bir şey kaçırdığımı mı düşünüyorsun? Yorumlarda söyle.




Henüz no comments

Akıllı Telefonlar Filmleri Sonsuza Kadar Nasıl Mahvetti
Eğlence
Dynamite BitTorrent Bundle ile Ücretsiz Çizgi Romanlar İndirin
Eğlence
Gerçek, Kurmaca Atıyor En İyi TV, Öğretim Bilimini Gösteriyor
Eğlence
Modern teknoloji hakkında basit ve uygun fiyatlı.
Modern teknoloji dünyasında rehberiniz. Her gün bizi çevreleyen teknolojileri ve araçları nasıl kullanacağınızı ve Internet'te ilginç şeyleri nasıl keşfedeceğinizi öğrenin.