Πιθανότατα γνωρίζετε ήδη τα προφανή μέτρα ασφαλείας που πρέπει να λάβετε για την προστασία του δικτυακού σας τόπου WordPress.

Ενδεχομένως γνωρίζετε ότι πρέπει να κάνετε τον κωδικό πρόσβασης του ιστότοπου "ισχυρό" (ένα μείγμα ειδικών χαρακτήρων, κεφαλαίων, πεζό γράμματα και αριθμών). Δεν πρέπει να χρησιμοποιείτε το όνομα "admin" ως όνομα χρήστη και πρέπει συχνά να αλλάζετε κωδικούς πρόσβασης. Πιθανότατα χρησιμοποιείτε ήδη έλεγχο ταυτότητας δύο παραγόντων στον ιστότοπό σας WordPress και έχετε δημιουργήσει αντίγραφο ασφαλείας του ιστότοπού σας. Και ποτέ δεν κατεβάζετε πριμοδότηση plugins δωρεάν ή από άγνωστες πηγές. Και τι άλλο υπάρχει;

Εδώ θα συζητήσουμε μερικές ακόμα συμβουλές ασφαλείας WordPress που χρησιμοποιούν ελάχιστα γνωστές αλλά βαθιά αποτελεσματικές μεθόδους που μπορείτε και πρέπει να χρησιμοποιήσετε για να προστατεύσετε τον ιστότοπό σας WordPress.

1. Μετονομάστε ή μεταφέρετε τη σελίδα σύνδεσής σας

Η προεπιλεγμένη σελίδα σύνδεσης για τον ιστότοπό σας είναι "www.websitename.com/wp-login.php" (ή "www.websitename.com/wp-admin"). Ένας από τους τρόπους προστασίας του ιστότοπού σας είναι να αποκρύψετε ή να αποκρύψετε τη σελίδα σύνδεσης, έτσι ώστε οι χάκερς να μην το βρίσκουν εύκολα. Ο έλεγχος της πρόσβασης σύνδεσης σας περιορίζοντας τον αριθμό των δοκιμών σύνδεσης κάθε φορά και η χρονική διάρκεια μεταξύ των δοκιμών σύνδεσης θα βελτιώσει επίσης την ασφάλεια.

Εάν έχετε ήδη εγκαταστήσει το Jetpack, μπορείτε να ενεργοποιήσετε τη μονάδα "Brute Force Protection". Με αυτήν την ενότητα ενεργοποιημένη, το Jetpack θα ενημερώσει το Dashboad με τον αριθμό των κακόβουλων προσπαθειών σύνδεσης στον ιστότοπό σας. Έχετε επίσης τη δυνατότητα να προσθέσετε λευκώματα σε διάφορες διευθύνσεις IP. Από το Jetpack μεταβείτε στις "Ρυθμίσεις" και μετά στο "Προστατέψτε", ακολουθούμενο από το "Ρύθμιση", και θα δείτε τι μοιάζει με την παρακάτω εικόνα.

Cerber Security and Limit Login Attempt είναι μια εναλλακτική προσθήκη στο Jetpack. Αν προτιμάτε να μην χρησιμοποιήσετε το Jetpack, η επιλογή "Όριο σύνδεσης" είναι μια επιλογή. Από την ημερομηνία της εγγραφής, το plugin έχει εγκατασταθεί πάνω από 40.000 φορές και διατηρεί μια σχεδόν παρθένα φήμη, καθώς 108 από τους 111 χρήστες το αξιολόγησαν με πέντε αστέρια.

Το όριο σύνδεσης είναι αρκετά εύκολο στη χρήση, αλλά η διαμόρφωση της ενότητας "Σκλήρυνση" βελτιώνει την ασφάλεια του ιστότοπού σας. Όλη η πρόσβαση στον διακομιστή XML-RPC, που περιλαμβάνει trackbacks και pingbacks, αποκλείεται από προεπιλογή. Αν για οποιονδήποτε λόγο έχετε πρόσβαση στο API ανάπαυσης του WordPress (για παράδειγμα, η εφαρμογή Android ή iOS του blog σας το χρειάζεται), αφήστε το WP rest API & XML-RPC να είναι προσβάσιμο.

2. Υποδοχής όπου είναι ασφαλές

Δεδομένου ότι ένα επιβλητικό σαράντα ένα τοις εκατό των παραβιάσεων ασφαλείας των ιστότοπων του WordPress προέρχεται από το τέλος του κεντρικού υπολογιστή και όχι από τον ίδιο τον ιστότοπο, είναι λογικό να βεβαιωθείτε ότι ο κεντρικός υπολογιστής σας είναι ασφαλής. Στην πραγματικότητα, η φιλοξενία έχει το μεγαλύτερο βάρος όταν πρόκειται για την ασφάλεια. Μόνο οκτώ τοις εκατό των hacks συμβαίνουν λόγω αδύναμων κωδικών πρόσβασης, είκοσι εννέα τοις εκατό λόγω του θέματος, και είκοσι δύο τοις εκατό λόγω plugins. Έτσι, περίπου το ήμισυ της ασφάλειας του ιστότοπού σας βασίζεται στη φιλοξενία.

Βεβαιωθείτε ότι ο λογαριασμός σας περιλαμβάνει απομόνωση λογαριασμού αν χρησιμοποιείτε κοινή φιλοξενία. Ο λογαριασμός σας θα προστατεύεται από ό, τι συμβαίνει στους ιστότοπους άλλων χρηστών. Ωστόσο, είναι καλύτερο να χρησιμοποιήσετε μια υπηρεσία που σχεδιάστηκε με τους χρήστες του WordPress. Αυτές οι υπηρεσίες θα περιλαμβάνουν το firewall του WordPress, την προστασία από επιθέσεις κακόβουλων προγραμμάτων μηδενικής ημέρας, την ενημέρωση MySQL και PHP, εξειδικευμένους διακομιστές WordPress και μια εξυπηρέτηση πελατών WordPress-savvy. Οι οικοδεσπότες όπως το WP Engine, το Siteground και το Pagely έχουν ισχυρό ιστορικό ασφαλείας.

3. Μείνετε ενημερωμένοι και χρησιμοποιείτε μόνο ενημερωμένο λογισμικό

Γνωρίζετε ότι πρέπει να χρησιμοποιήσετε ενημερωμένη προστασία από ιούς και άλλες σχετικές αντι-κακόβουλου λογισμικού προστασίας για τον υπολογιστή σας. Αυτή η προφύλαξη ισχύει επίσης για plugins και θέματα. Διατηρήστε τα ενημερωμένα και, εάν έχετε θέματα ή plugins στην αποθήκη που δεν χρησιμοποιείτε, τα καταργήστε. Αν είναι σωστό για τον ιστότοπό σας, σκεφτείτε να ρυθμίσετε αυτόματα τις προσθήκες και τα θέματα σας. Για να ρυθμίσετε τις αυτόματες ενημερώσεις, βάλτε κάποιο κώδικα στο wp-config.php. Το παρακάτω είναι ο κώδικας για plugins:

 add_filter ('auto_update_plugin', '__return_true');

Και για θέματα, χρησιμοποιήστε αυτόν τον κωδικό:

 add_filter ('auto_update_theme', '__return_true');

Εάν θέλετε μια πρακτική προσέγγιση στη συντήρηση του ιστότοπου, τότε μπορείτε να εξετάσετε την αυτοματοποίηση των ενημερώσεων του WordPress. Σημειώστε, ωστόσο, ότι η εγκατάσταση μιας αυτόματης ενημέρωσης ενδέχεται να σπάσει τον ιστότοπό σας, ειδικά εάν τα plugins που δεν είναι συμβατά με την τελευταία ενημερωμένη έκδοση του WordPress εκτελούνται στον ιστότοπό σας. Για να ρυθμίσετε μια αυτόματη ενημέρωση για τον ιστότοπό σας WordPress, εισαγάγετε τον παρακάτω κώδικα στο αρχείο wp-config.php :

 # Ενεργοποιήστε όλες τις βασικές ενημερώσεις, συμπεριλαμβανομένων των δευτερευόντων και σημαντικών: καθορίστε ('WP_AUTO_UPDATE_CORE', true);

4. Αφαιρέστε τον επεξεργαστή θεμάτων plugin και την αναφορά σφαλμάτων PHP

Απενεργοποιήστε τον ενσωματωμένο επεξεργαστή για πρόσθετα και θέματα εάν δεν ρυθμίζετε τακτικά και αλλάζετε τις ρυθμίσεις (ή εκτελέστε οποιαδήποτε άλλη συντήρηση για τα plugins και τα θέματα σας). Αυτό αφορά την ασφάλεια του ιστότοπού σας.

Οι εξουσιοδοτημένοι χρήστες του WordPress έχουν πρόσβαση σε αυτό το πρόγραμμα επεξεργασίας, καθιστώντας τον ιστότοπό σας ευάλωτο σε παραβίαση ασφαλείας, εάν οι λογαριασμοί τους παραβιαστούν. Στην πραγματικότητα, οι χάκερ μπορούν να κατεβάσουν τον ιστότοπό σας τροποποιώντας τον κώδικα σε αυτόν τον επεξεργαστή. Για να απενεργοποιήσετε τον επεξεργαστή, εισαγάγετε τον παρακάτω κώδικα στο wp-config.php :

 define ('DISALLOW_FILE_EDIT', true);

Η αναφορά σφαλμάτων είναι καλή. Σας βοηθάει στην αντιμετώπιση προβλημάτων. Το μόνο πρόβλημα (και είναι ένα μεγάλο πρόβλημα) είναι ότι τα μηνύματα λάθους φέρουν μαζί τους τη διαδρομή του διακομιστή σας. Οι χάκερ θα μπορούσαν να δουν τη διαδρομή του διακομιστή σας και να αποκτήσουν εύκολα μια σαφή κατανόηση της δομής του ιστοτόπου σας. Παρόλο που η αναφορά σφαλμάτων PHP είναι καλή, είναι BEST εντελώς απενεργοποιημένη. Χρησιμοποιήστε το απόσπασμα κώδικα παρακάτω για το αρχείο wp-config.php :

 error_reporting (0); @ini_set ('display_errors', 0);

5. Χρησιμοποιήστε το .htaccess για την προστασία των αρχείων ειδικού σκοπού

Το αρχείο .htaccess είναι σημαντικό επειδή είναι η καρδιά της ιστοσελίδας WordPress. Αυτό το αρχείο είναι υπεύθυνο για τη δομή και την ασφάλεια του site σας. Εκτός των #BEGIN WordPress και #END WordPress, δεν υπάρχει όριο στον αριθμό αποσπασμάτων κώδικα που μπορείτε να προσθέσετε στο αρχείο .htaccess για να αλλάξετε την προβολή των αρχείων μέσα στον κατάλογο του ιστοτόπου σας.

Εάν δεν το έχετε ήδη κάνει, αποκρύψτε το αρχείο wp-config.php του ιστότοπού σας. Το αρχείο αυτό είναι ζωτικής σημασίας για τις δραστηριότητες του ιστότοπού σας και περιέχει τα προσωπικά σας στοιχεία καθώς και άλλα σημαντικά στοιχεία σχετικά με τον ιστότοπό σας. Μπορείτε να χρησιμοποιήσετε το απόσπασμα κώδικα παρακάτω για να το αποκρύψετε.

 η παραγγελία επιτρέπει, αρνείται να αρνηθεί από όλους

Για να περιορίσετε την πρόσβαση διαχειριστή, απλά δημιουργήστε ένα νέο αρχείο .htaccess και μεταφορτώστε το στον κατάλογο "wp-admin". Στη συνέχεια, εισαγάγετε αυτόν τον κωδικό:

 η άρνηση της παραγγελίας, επιτρέψτε να επιτρέψετε από το 192.168.5.1 να αρνηθείτε από όλους

Εισαγάγετε τη διεύθυνση IP σας στο σωστό σημείο. Για να επιτρέψετε την πρόσβαση στο wp-admin από πολλαπλές διευθύνσεις IP, καταχωρίστε αυτές τις διευθύνσεις IP, κάθε μία από αυτές σε ξεχωριστή γραμμή, όπως allow from IP Address . Μπορείτε να περιορίσετε την πρόσβαση στο wp-login.php σας σχεδόν με τον ίδιο τρόπο. Απλά προσθέστε αυτό το απόσπασμα κώδικα στο .htaccess σας:

 η άρνηση παραγγελιών, επιτρέπουν την απόρριψη από όλες τις # επιτρέπουν πρόσβαση από τη διεύθυνση IP μου επιτρέπουν από 192.168.5.1

Αν προτιμάτε να μην αποκλείετε όλες τις διευθύνσεις IP, ακριβώς συγκεκριμένες διευθύνσεις IP που επιθυμούν να έχουν πρόσβαση στο wp-admin ή στο wp-login.php, ενδέχεται να αποκλείσετε μεμονωμένες διευθύνσεις IP χρησιμοποιώντας αυτόν τον κώδικα:

 η παραγγελία επιτρέπει, αρνούνται να αρνούνται από 456.123.8.9 επιτρέπουν από όλους

Μπορείτε επίσης να αποκλείσετε την προβολή του καταλόγου του ιστότοπού σας από άτομα που δεν μπορούν να περιηγηθούν. Μπορείτε να χρησιμοποιήσετε αυτό το απόσπασμα κώδικα για να το κάνετε αυτό:

 ΕπιλογέςΌλες οι -Indexes

συμπέρασμα

Αυτός ήταν ένας οδηγός που θα μπορούσε να σας βοηθήσει να βελτιώσετε την ασφάλεια του ιστοτόπου σας στο WordPress. Η πιο κρίσιμη από αυτές τις επιλογές είναι αυτή που είναι πολύ απλή στην εφαρμογή τώρα - βρείτε έναν οικοδεσπότη με μια παρθένα φήμη για την ασφάλεια, καθώς το ήμισυ της ασφάλειας του ιστότοπού σας βρίσκεται στον οικοδεσπότη σας.

Ποια συμβουλή ασφαλείας ήταν πιο χρήσιμη για εσάς και γιατί; Έχετε άλλες συμβουλές ασφάλειας που δεν αναφέρονται εδώ; Αναφέρετε (ή τους) στα σχόλια.