wordpress

WordPress säkerhetsguide (II)

wordpress

Den här artikeln är den andra i en serie som publiceras här på WWWhatsnew.com av The Shock family Team: iconshock, wpthemegenerator och jqueryslidershock, även ansvarig för bypeople.com.

Du kan läsa den första i serien här.

Här är några grundläggande säkerhetsåtgärder som du kan använda direkt på WordPress för att stärka webbplatsens säkerhet:

Katalogtricket

Den första säkerhetsåtgärden kan implementeras vid installationen av WordPress för att skapa en installation där filerna är lite säkrare. Installationen kan göras i en undermapp med ett ganska unikt namn; Denna undermapp visas inte i navigeringsfältet, så du kommer att ha lite mer säkerhet; indexfilen måste flyttas till platsroten och åtkomst till webbplatsen kommer att vara: www.yourdomain.com/yourdirectory/wp-admin ; konfigurationen av adressen görs från alternativet allmänna inställningar, där adressen till mappen där WordPress har installerats ska placeras som adressen till WordPress (URL) och i adressen till webbplatsen där indexfilen placerades. Detta kallas katalogtricket.

Uppdatera din WordPress-version

Det kan vara lite svårt att besluta att uppdatera till den senaste versionen av WordPress eftersom vi är rädda för att förlora lite information, plugins, såväl som teman, kan sluta fungera bland annat; Även om det är sant att saker kan gå fel kan det aldrig vara så illa som att hålla en sårbar kopia av programvaran, för med varje ny version finns det alltid viktiga uppdateringar om inte kritiska för säkerheten.

UPPDATERA DITT ORDTRYCK NÄR DU KAN

Videorna på YouTube som lär dig att uppdatera till den senaste versionen av WordPress är mycket användbara, men den manuella uppdateringen innehåller bara tre ganska enkla steg:

– Gör en säkerhetskopia av databasen och filerna, det finns många plugins som kan hjälpa dig. – Ladda ner och packa upp den senaste versionen av WordPress på hårddisken. – Ersätt alla filer, utom de i temamappen, eftersom det är anpassningen till installationen.

Varje gång en wordpress-uppdatering släpps blir buggar från tidigare versioner offentlig information. WordPress kan ha sårbarheter som ett resultat av hur koden skrivs så att en angripare kan kringgå vissa HTTPS-, URI- eller formulärparametrar och därigenom bryta webbplatsen. Kontrollera webbplatsen regelbundet för att se till att allt ser ut som det ska. Uppdatera dina plugins och teman om möjligt. Även om installationen är i autopilotläge och även kontrollera säkerhetskommentarerna om de plugins du har installerat.

Visa inte din WordPress-version

Den version av WordPress du använder ska inte vara synlig av samma skäl som förklarats ovan; Att visa den specifika versionen av wordpress du använder kan ge angriparen en hand i att hitta ett sätt att bryta sig in.

Några råd från experterna

Över hela nätverket och på diskussionssajter som reddit, där vi hittade denna konversation, finns administratörer som diskuterar den oroande ökningen av attacker på små webbplatser som kommer från ombud från hela världen, inklusive webbplatser som skapats med avsikt att förbli dolda. .

Det är en konversation som är värt att granska i sin helhet; Vi har sammanställt några av de mest värdefulla råd, de flesta av dem kan förklaras av sig själva om du har kunskap om WordPress, men om inte, kommer vi att gå in i tekniska detaljer för att förklara dem senare.

– Använd inte plugins för att säkra WordPress om du inte vet vad de gör. De flesta plugins är .htaccess-redaktörer och om du inte vet vad du gör, undvik det bättre eller kolla in det och förstå det mycket väl. – Lösenordsskydda wp-admin-katalogen med .htaccess; om en bra brandvägg körs, bör fem försök räcka för att blockera angriparens IP-adress. – Skapa nycklar med SAL för att göra saker svårare för angriparen (I kryptografi innehåller SAL slumpmässiga bitar som används som en av posterna i en funktion härledd från nycklar.) – Stärka nycklar med mer än 20 tecken för administratören och alla användare utan ursäkter. – Ta bort värdelösa plugins; om de inte behövs och inte gör mer än att förstärka dåliga vanor, bör en översyn av plugins göras regelbundet. – Förbjud installation av teman och plugins med hjälp av (‘DISALLOW_FILE_MODS’, true) – Behörigheterna i filen wp-config.php ska vara 0644 eller för paranoiden: 0444. – Få en skottsäker .htaccess. (HTML5 pannplattan fungerar ganska bra.) Kontrollera behörigheterna för den här filen så att de är 0644 eller 0444 – Installera ConfigServer exploit Scanner, i allmänhet är alla produkter från ConfigServer utmärkta och rekommenderas. – Hål i WordPress-säkerhet nästan alltid händer på grund av plugins; särskilt SEO, sociala plugins och cache eftersom de behöver skrivbehörighet på servern; därför måste ursprunget till dessa granskas väl.