Без сомнения, для блога WordPress WordPress — лучшая CMS для блогов, которую вы можете получить. Однако, будучи популярным программным обеспечением с открытым исходным кодом, это также означает, что хакеры имеют полный доступ к коду, который они могут исследовать, чтобы найти любые эксплойты, которые они могут использовать для взлома любого сайта с WordPress.
С другой стороны, одним из лучших преимуществ WordPress является его система плагинов, которая позволяет любому устанавливать любые плагины или создавать свои собственные плагины для расширения его функциональности, включая повышение безопасности.
Здесь я перечислил некоторые плагины безопасности WordPress (и несколько хитростей), которые вы можете использовать для защиты блога WordPress.
Все перечисленные ниже плагины и приемы предназначены для WP 2.7 и выше. Если вы все еще используете более старую версию WordPress, пришло время обновить ваш блог.
Защита вашего логина
1. CHAP Безопасный вход
Этот плагин использует протокол CHAP для шифрования вашего пароля. Сначала в пароль вводится случайное число (nonce), сгенерированное сеансом, за которым следует алгоритм преобразования md5. Этот результат затем отправляется на сервер, где он расшифровывается и аутентифицируется. Это плагин с нулевой конфигурацией, что означает, что вы можете использовать его сразу после активации.
2. Stealth Логин
Stealth Login запутывает вашу страницу входа, позволяя вам определить пользовательскую страницу входа, а не wp-login.php по умолчанию. В случае утечки вашего пароля хакеру также будет сложно найти правильный URL-адрес для входа. Полезно использовать это для предотвращения доступа любых вредоносных ботов к вашему файлу wp-login.php и попыток взлома.
3. Вход в систему заблокирован
Блокировка входа полезна для предотвращения атаки методом перебора. То, что делает LockDown при входе, — это запись IP-адреса и отметки времени каждой неудачной попытки входа в систему. Если в течение короткого периода времени из одного и того же диапазона IP-адресов обнаруживается более определенного количества попыток, это блокирует функцию входа в систему и запрещает всем пользователям из этого диапазона IP-адресов вход в систему.
4. AskApache Защита паролем
Этот плагин добавляет дополнительную HTTP-аутентификацию, чтобы обеспечить второй уровень защиты для вашего блога. Вы можете настроить защиту паролем для своего блога с помощью базовой аутентификации HTTP или выбрать более безопасную дайджест-аутентификацию HTTP.
Обратите внимание, что этот плагин может / не может работать в зависимости от возможностей вашего сервера. Если ваш сайт не проходит тесты конфигурации AskApache (тесты, запускаемые плагином для определения возможностей вашего сервера), свяжитесь с вашим веб-хостом и посмотрите, могут ли они внести изменения на стороне сервера.
5. Semisecure Логин переосмыслен
Этот плагин обеспечивает «полуобезопасную» среду входа в систему путем шифрования вашего пароля с помощью криптографии RSA.
Защита вашей базы данных
6. WP-DB-Backup
Возможно, для некоторых из вас резервное копирование базы данных может быть сложной технической задачей. С WP-DB-Backup вам просто нужно настроить его один раз и заставить его запускаться автоматически через равные промежутки времени.
Этот плагин автоматизирует резервное копирование вашей базы данных и отправляет ее на ваш почтовый ящик. Помимо таблицы по умолчанию, созданной в WordPress, вы также можете создавать резервные копии пользовательских таблиц, создаваемых плагинами. В случае сбоя вашей учетной записи вы можете легко импортировать и восстанавливать базу данных с помощью резервной копии.
7. WP-DBManager
Wp-DBManager похож на phpmyadmin в вашей панели. Вы можете легко управлять своей базой данных прямо на панели инструментов. Существуют полезные функции, такие как оптимизация / восстановление / резервное копирование / восстановление вашей базы данных, и, если вы достаточно технически, вы можете даже запустить свой собственный запрос SQL со страницы параметров.
С другой стороны, если каким-либо хакерам удастся войти на ваш сайт, этот плагин станет для них шлюзом для создания хаоса в вашей базе данных.
8. Изменить префикс таблицы базы данных
Префикс по умолчанию, используемый WordPress — «wp». Вы можете легко изменить префикс на другие термины, которые трудно угадать, используя WP-Security-Scan . Подробнее об этом плагине ниже.
9. Защитите ваш файл wp-config.php
Ваш файл wp-config.php содержит все ваши учетные данные для входа в базу данных, и он должен быть скрыт от публичного просмотра при любых обстоятельствах. В вашем файле htaccess введите следующую строку:
<Файлы wp-config.php> заказ разрешить, отказать отрицать все </ Files>
запретить кому-либо просматривать файл wp-config.php.
Защита вашей страницы администратора
10. Admin SSL
Этот плагин активирует SSL на всех страницах, где можно вводить пароли, чтобы вся передаваемая информация была зашифрована.
Одна вещь, однако, вы должны иметь сертификат SSL, прежде чем вы сможете сделать это. Если вы не хотите тратить лишние деньги на покупку частного SSL-сертификата, вы можете спросить своего веб-хоста о Shared SSL. Большинство веб-хостов предоставляют общий SSL для всех своих клиентов, и его легко настроить.
11. Изменить логин
Использование «admin» в качестве логина — последнее, что вы хотите сделать. Когда вы впервые установили WordPress, вы должны немедленно создать другую учетную запись администратора с вашим собственным именем пользователя и паролем и удалить учетную запись «admin».
Запретить другим просмотр вашей внутренней файловой структуры
12. Скрытие версии WP
В большинстве тем WordPress в разделе <head> всегда есть строка кода, показывающая версию WordPress, которую вы используете. Раздать номер версии WordPress — значит сообщить хакеру, что использовать для взлома вашего сайта.
Начиная с WP2.6.5, WordPress усложнил удаление версии wp, поскольку встраивает эту информацию в тег wp_header . Плагин, который вы можете использовать для удаления этой информации, — WP-Security-Scan .
13. Скрытие WP-контента
В папке WP-контента хранятся все ваши плагины и файлы тем. Это место, где вы хотите, чтобы другие люди не заглядывали в него. Вы можете загрузить пустой файл index.html в папку wp-content или создать файл .htaccess в папке wp-content и добавить следующую строку:
Опции Все Индексы14. Заблокировать wp-папку от индексации поисковыми системами
В то время как вы хотите, чтобы поисковые системы индексировали ваш блог и приносили много трафика, последнее, что вы хотите увидеть, - это позволить поисковым системам предоставить доступ к вашей внутренней файловой структуре. Что вы можете сделать, это заблокировать все ваши wp-папки от индексации поисковой системой, добавив следующие записи в robot.txt:
Disallow: / wp- *Обслуживание
15. WP Security Scan
Я упоминал этот плагин несколько раз, так что пришло время объяснить, что он делает. WP-Security-Scan проверяет ваш WordPress на наличие уязвимостей и предлагает / предлагает корректирующие действия. Корректирующие действия включают в себя изменение префикса базы данных, скрытие номера версии WordPress от заголовка и позволяет проверить надежность вашего пароля.
Время от времени рекомендуется запускать встроенный сканер безопасности и проверять свой блог на наличие уязвимостей.
16. Регулярно меняйте пароль
Вы должны не только регулярно менять свой пароль, но и убедиться, что он надежный. Если у вас возникли трудности при его создании, найдите способ создания надежных паролей, которые вы легко сможете запомнить. ,
17. Обновите WordPress и все плагины до последней версии.
Излишне говорить, что обновление до последней версии WordPress и плагинов - лучший способ защитить себя.
Защита вашей связи
18. SFTP
Передача файлов на ваш онлайн-счет - обычное дело. Однако вместо использования незащищенного FTP вы должны использовать SFTP (безопасный FTP). Это создаст SSH-соединение и отправит все ваши файлы в зашифрованном виде на сервер. Если вам нужна помощь в создании SFTP-соединения, вот руководство .
Приведенной выше информации должно быть достаточно для создания безопасного блога WordPress. Если вы не реализовали ничего из этого, я настоятельно призываю вас сделать это сейчас.
Какие еще методы вы используете для защиты своего блога WordPress?