Edmund Richardson
0 
2717
122
Uden tvivl, for en selvhostet blog, er WordPress den bedste blog CMS, som du kan få. Dog er det en populær og open source-software, betyder det også, at hackere har fuld adgang til koden, som de kan undersøge for at finde eventuelle udnyttelser, de kan bruge til at hacke til ethvert WordPress-aktiveret websted.
På den gode side er en af de bedste ting ved WordPress dets pluginsystem, der giver enhver mulighed for at installere eventuelle plugins eller oprette dine egne plugins for at udvide dens funktionalitet, herunder forbedre sikkerheden.
Her har jeg listet nogle wordpress-sikkerhedsprogrammer (og et par tricks), som du kan bruge til at sikre WordPress-blog.
Alle de plugins og tricks, der er anført nedenfor, er beregnet til WP 2.7 og nyere. Hvis du stadig bruger en ældre version af WordPress, er det tid til at opgradere din blog.
Beskyttelse af dit login
1. CHAP Secure Login
Dette plugin bruger CHAP-protokollen til at kryptere din adgangskode. Adgangskoden saltes først med et tilfældigt tal (nonce), der er genereret af sessionen, efterfulgt af md5-transformationsalgoritmen. Dette resultat sendes derefter til serveren, hvor det dekrypteres og autentificeres. Dette er et nul-konfigurations plugin, hvilket betyder, at du kan bruge det umiddelbart efter aktivering.
2. Stealth-login
Stealth Login tilslører din login-side ved at give dig mulighed for at definere en brugerdefineret login-side i stedet for standard wp-login.php. I tilfælde af at din adgangskode lækkes, vil hacker også have svært ved at finde den rigtige login-URL. En god brug af dette er at forhindre, at ondsindede bots får adgang til din wp-login.php-fil og forsøger at bryde ind.
3. Login-låsning
Login Lockdown er nyttigt til at forhindre et brute force-angreb. Hvad Login LockDown gør er at registrere IP-adressen og tidsstemplet for hvert mislykket loginforsøg. Hvis der registreres mere end et vist antal forsøg inden for en kort periode fra det samme IP-område, låser det loginfunktionen og forhindrer, at personer fra dette IP-område logger ind.
4. AskApache Password Protect
Dette plugin tilføjer en ekstra HTTP-godkendelse for at give et andet lag af forsvar til din blog. Du kan konfigurere adgangskodebeskyttelse til din blog ved hjælp af HTTP Basic Authentication, eller du kan vælge at bruge den mere sikre HTTP Digest Authentication.
Bemærk, at dette plugin muligvis / muligvis ikke fungerer, afhængigt af din serverkapacitet. Hvis dit websted ikke består AskApache-konfigurationstester (testene, der køres af plugin for at registrere dine serverfunktioner), skal du kontakte din webhost og se, om de kan foretage ændringer på serversiden.
5. Semisecure login Reimagined
Dette plugin giver en “semisecure” login-miljø ved at kryptere din adgangskode med RSA-krypteringen
Beskyttelse af din database
6. WP-DB-sikkerhedskopi
For nogle af jer kan sikkerhedskopiering af en database muligvis betyde en besværlig teknisk opgave. Med WP-DB-sikkerhedskopi skal du bare konfigurere det én gang og få det til at køre automatisk med regelmæssige intervaller.
Hvad dette plugin gør er at automatisere sikkerhedskopien af din database og få den sendt til din e-mail-indbakke. Bortset fra standardtabellen oprettet af WordPress, kan du også tage backup af tilpassede tabeller oprettet af plugins. I tilfælde af at din konto går ned, kan du nemt importere og gendanne databasen med sikkerhedskopien.
7. WP-DBManager
Wp-DBManager er ligesom en phpmyadmin i dit dashboard. Du kan nemt administrere din database direkte på dit dashboard. Der er nyttige funktioner såsom optimering / reparation / sikkerhedskopiering / gendannelse af din database, og hvis du er teknisk nok, kan du endda køre din egen SQL-forespørgsel fra indstillingssiden.
På den dårlige side, hvis nogen hackere formår at logge ind på dit websted, vil dette plugin være en gateway for dem at skabe ødelæggelse i din database.
8. Skift præfiks for databasetabel
Standardpræfikset brugt af WordPress er “wp”. Du kan nemt ændre præfikset til andre termer, der er vanskelige at gætte ved hjælp af WP-Security-Scan. Flere detaljer om dette plugin nedenfor.
9. Beskyt din wp-config.php fil
Din wp-config.php-fil indeholder alle dine database-loginoplysninger, og den skal under alle omstændigheder være skjult for offentligt syn. I din htaccess-fil skal du lægge på denne linje:
ordre tillad, nægt nægt fra alle
for at forhindre nogen i at se filen wp-config.php.
Beskyttelse af din administrationsside
10. Administrator SSL
Dette plugin tvinger SSL på alle sider, hvor adgangskoder kan indtastes, så al transmitteret information krypteres.
Én ting er dog, at du skal eje et SSL-certifikat, før du kan gøre det. Hvis du ikke er villig til at afskaffe de ekstra penge til at købe et privat SSL-certifikat, kan du spørge din webhost om Delt SSL. De fleste webhost leverer delt SSL til alle deres klienter, og det er let at konfigurere.
11. Skift login-brugernavn
Ved brug af “admin” da dit login-brugernavn er den sidste ting, du vil gøre. Når du først installerede WordPress, skal du straks oprette en anden administratorkonto med dit eget brugernavn og adgangskode og slette “admin” konto.
Undgå, at andre ser din interne filstruktur
12. Skjul WP-versionen
I de fleste WordPress-temaer under sektionen er der altid en kodelinje, der viser den WordPress-version, du bruger. At give væk dit WordPress-version nummer betyder at fortælle hackeren, hvilken udnyttelse de skal bruge til at hacke på dit websted.
Siden WP2.6.5 har WordPress gjort det endnu sværere at fjerne wp-versionen, da den integrerer disse oplysninger i wp_header tag. Et plugin, som du kan bruge til at fjerne disse oplysninger, er WP-Security-Scan.
13. Skjul WP-indholdet
WP-indholdsmappen er hvor du gemte alle dine plugins og temafiler. Dette er det sted, hvor du ønsker at forhindre andre i at se nærmere på. Du kan enten uploade et tomt index.html fil til wp-indhold mappen, eller opret en .htaccess fil i wp-indhold mappen og tilføj denne linje:
Valgmuligheder alle -indekser14. Bloker wp-folder fra indeksering af søgemaskiner
Mens du ønsker, at søgemaskinerne skal indeksere din blog og bringe masser af trafik, er det sidste, du vil se, at lade søgemaskinerne udsætte din interne filstruktur for offentligheden. Hvad du kan gøre er at blokere al din wp-mappe fra at indeksere med søgemaskiner ved at tilføje følgende poster til robot.txt:
Afvis: / wp- *Vedligeholdelse
15. WP Security Scan
Jeg har nævnt dette plugin flere gange, så det er tid for mig at forklare, hvad det gør. WP-Security-Scan kontrollerer din WordPress for sikkerhedssårbarheder og foreslår / leverer korrigerende handlinger. De korrigerende handlinger inkluderer ændring af din database-præfiks, skjul WordPress-versionens nummer fra overskriften og giver dig mulighed for at teste styrken på din adgangskode.
Ind imellem er det en god ide at køre den indbyggede sikkerhedsscanner og tjekke din blog for eventuelle sikkerhedsmæssige ufravikeligheder.
16. Skift kodeord regelmæssigt
Ikke kun skal du ændre din adgangskode regelmæssigt, men du skal også sørge for, at den er en stærk. Hvis du har svært ved at oprette et, skal du finde et, hvordan du kan oprette stærke adgangskoder, som du nemt kan huske. Sådan opretter du stærke adgangskoder, som du nemt kan huske, hvordan du opretter stærke adgangskoder, som du nemt kan huske .
17. Opdater WordPress og alle plugins til den nyeste version
Naturligvis er opgradering til den nyeste version af WordPress og plugins den bedste måde at beskytte dig selv på.
Beskyttelse af din forbindelse
18. SFTP
Overførsel af filer til din online-konto er en almindelig ting at gøre. I stedet for at bruge den usikrede FTP, skal du dog bruge SFTP (Secure FTP). Dette opretter en SSH-forbindelse og sender alle dine filer krypteret til serveren. Hvis du har brug for hjælp til at oprette en SFTP-forbindelse, her er vejledningen.
Ovenstående information skal være tilstrækkelig til, at du kan oprette en sikker WordPress-blog. Hvis du ikke har implementeret nogen af disse, vil jeg opfordre dig til at gøre det nu.
Hvilke andre metoder bruger du for at sikre din WordPress-blog?