WordPress'i Saldırıdan Nasıl Korursunuz: Okumalısınız Kontrol Listeniz

İlan

Dünyanın dört bir yanındaki botnet'ler dikkatlerini spam e-postaları göndermekten sistematik olarak WordPress kurulumlarına saldırmaya çevirdi; WordPress'in tüm blogların% 40'ını güçlendirdiği göz önüne alındığında kazançlı bir iş. Özellikle de bunun kurbanı olduğumuzu düşünürsek, tam olarak kendi kendine barındırılan WordPress kurulumunuzu nasıl koruyacağınıza dair kapsamlı bir yazı yapmanın zamanı geldi.

Not: Bu tavsiye yalnızca aşağıdakiler için geçerlidir: kendi kendine barındırılan WordPress kurulumları. WordPress.com kullanıyorsanız, genellikle güvenlikle ilgilenmeniz gerekmez, çünkü bunların hepsini sizin yerinize halleder.WordPress.com ve WordPress.org arasındaki fark nedir? Blogunuzu Wordpress.com ve Wordpress.org'da Çalıştırma Arasındaki Fark Nedir?Wordpress şimdi her 6 web sitesinde 1'e güç verdiğinde, doğru bir şey yapıyor olmalılar. Hem deneyimli geliştiriciler hem de tam bir acemi için Wordpress'in size sunabileceği bir şey var. Ama başladığınızda ... Daha fazla oku

Google iki adımlı kimlik doğrulayıcıyı yükle

Gmail hesabınız veya diğer hizmetler için zaten iki adımlı kimlik doğrulamayı etkinleştirdiyseniz, aynı kimlik doğrulayıcı uygulamasını aşağıdakilerle birlikte kullanabilirsiniz: bu eklenti WordPress için.

Neyse ki, iki adımlı kimlik doğrulamanın yalnızca üst düzey hesaplarda kullanılmasını kısıtlayabilirsiniz, böylece tüm kullanıcılarınızı rahatsız etmeyin.

Giriş Kilidi

Eski bir eklenti, ama yine de amaçlandığı gibi çalışıyor; Giriş Kilidi giriş denemelerinin IP'sini kontrol eder ve 5 dakika içinde 3 kez başarısız olursa bir IP aralığını bir saat boyunca engeller. Basit, etkili.

Düzenli Yedeklemeler Alın

Bilgisayar korsanları yalnızca bir dosyayı değiştirmez, aynı zamanda kendi kontrol panellerini bir yere ve diğerine gizler gizli arka kapı - böylece orijinal hack düzeltmek bile, onlar hemen geri gelip hepsini yapmak tekrar. Bilgisayar korsanının izinin olmadığı bir noktaya kolayca geri dönebilmek için günlük veya haftalık yedeklemeler alın ve içeri girmek için yaptıklarını yamaladığınızdan emin olun. Şahsen ben sadece 150 dolar yatırım yaptım Yedek Arkadaş geliştirici lisansı - henüz bulduğum en kolay ve en kapsamlı yedekleme çözümüdür.

Klasörlerin Endekslenmesini Önle

.Htaccess dosyası için WordPress kurulumunuzun kökünü kontrol edin (başlangıçtaki süreye dikkat edin - bunu görüntülemek için görünmez dosyalar göstermeniz gerekebilir) ve aşağıdaki satırı içerdiğinden emin olun. Değilse, ekleyin - ancak bu dosya çok önemli olduğundan önce bir yedek alın.

Seçenekler Tümü - İndeksler

Güncel Kalın

Yaptığımız aynı hatayı yapmayın: bir güncelleme hazır olur olmaz WordPress'i her zaman yükseltin. Bazen güncellemeler güvenlik düzeltmeleri değil, küçük hata düzeltmeleri içerir, ancak alışkanlık haline gelir ve bir sorununuz olmaz. Birden fazla WordPress yüklemeniz varsa ve bunların tümünü takip edemiyorsanız, göz atın ManageWp.com, tüm bloglarınız için güvenlik taraması içeren birinci sınıf bir kontrol paneli.

Sadece temel WordPress dosyaları değil, eklentiler de: geçmişin en büyük WordPress saldırılarından biri, ortak bir küçük resim oluşturucu komut dosyasında şu güvenlik açığı içeriyordu: timthumb.phpve hala eski sürümü kullanan temalar var. Eklentiler hızlı bir şekilde güncellenmesine rağmen, temaları güncel tutmak elbette daha zor - WordPress söylemeyecek temanız savunmasızsa ve bunun için bir tür güvenlik tarama eklentisi kullanacaksanız - Güvenlik Eklentileri bazı öneriler için aşağıdaki bölüme bakın.

Asla Rastgele Tema İndirme

PHP koduyla ne yaptığınızı bilmiyorsanız, hoş bir rastgele tema indirmek için tuzağa düşmek çok kolaydır. bir yerlerde, sadece orada kötü bir kod olduğunu bulmak için - çoğunlukla kaldıramayacağınız geri bağlantılar, ancak daha kötüsü olabilir bulundu. Üstün ve tanınmış tema tasarımcılarına sadık kalın (gibi Smashing Dergisi veya WPShower)veya ücretsiz temalar için yalnızca WordPress tema dizinini kullanın.

Kullanılmayan Eklentileri ve Temaları Silme

Sunucunuzda ne kadar az çalıştırılabilir kod varsa, artık kullanmadığınız temaları ve eklentileri silerek eski, savunmasız koda sahip olma şansınızı o kadar iyi kaldırın. Bunları devre dışı bırakmak, WordPress ile yüklenmelerini durdurur, ancak kodun kendisi bir bilgisayar korsanı tarafından yürütülebilir.

Tell-tale Meta çıkarmak için senin başlık

WordPress varsayılan olarak, üstbilgi dosyanızın koduyla sürümünü dünyaya yayınlar; bu, bilgisayar korsanlarının eski yüklemeleri tanımlaması için kolay bir yoldur. Temanıza aşağıdaki satırları ekleyin functions.php dosyasını kaldırarak WordPress sürümünü, Windows Live Writer bilgisini ve uzak istemcilerin XML-RPC dosyanızı bulmasına yardımcı olan bir satırı kaldırın.

remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'rsd_link');

“Yönetici” Hesabını Kaldırma

WordPress'e yönelik çoğu kaba kuvvet saldırıları, yönetim hesap - tüm WordPress yüklemeleri için varsayılan - ve ortak şifreler sözlüğü. Yönetici ile giriş yapar veya kullanıcı tablonuzda yönetici hesabını listelerseniz, buna karşı savunmasızsınız demektir.

Bunu düzeltmenin iki yolu: wp-optimiz eklentisi - diğer şeylerin yanı sıra, post revizyonlarını devre dışı bırakmanıza ve veritabanı optimizasyonu gerçekleştirmenize izin veren harika bir eklenti - yönetici hesabını yeniden adlandırmak için. Veya yönetici ayrıcalıklarına sahip başka bir hesap oluşturun, yeni kullanıcı olarak oturum açın, ardından "admin" hesabını silin ve tüm yayınları yeni kullanıcınıza atayın.

Güvenli Şifreler

Yönetici hesabını devre dışı bırakmış olsanız bile, yönetici hesabınızın kullanıcı adını tanımlamak mümkün olabilir - bu noktada bir kaba kuvvet saldırısına karşı savunmasızsınız. Büyük ve küçük harfler, noktalama işaretleri ve rakamlardan oluşan 16 veya daha fazla rastgele karakterden oluşan güçlü bir şifre politikası uygulayın.

Veya sadece reallyLongSentenceThatsEasyToRememberMethod.

WordPress İçinde Dosya Düzenlemeyi Devre Dışı Bırakma

FTP üzerinden oturum açmak istemeyenler için WordPress, yönetici kontrol panelinde tema ve eklenti PHP dosyaları için kolay bir düzenleyici içerir - ancak birisi erişim kazanırsa yüklemenizi savunmasız hale getirir. Aslında, birileri başlığımıza kötü amaçlı bir yeniden yönlendirme yapmayı başardı. Aşağıdaki satırı wp-config.php (kök klasörde) tüm dosya düzenleme özelliklerini devre dışı bırakmak için - ve SFTP SSH Nedir ve FTP'den Farkı [Teknoloji Açıklaması] Daha fazla oku yerine sunucunuza giriş yapmak için.

define ('DISALLOW_FILE_EDIT', doğru);

Giriş Hatalarını Gizle

Hatalı bir şifre veya yanlış kullanıcı adı, giriş yaparken verilen ve kaba zorlama hesaplarını tanımlamak için kullanılabilecek hatalarla tanımlanabilir. Bu iyi değil, elbette, temanızın bu eklentisiyle hataları öldürün functions.php dosya

işlev no_errors_please () {return 'Hayır'; } add_filter ('login_errors', 'no_errors_please');

Cloudflare'ı etkinleştir

CloudFlare, sitenizi hızlandırmanın yanı sıra, bilinen birçok botnet ve tarayıcının ilk etapta blogunuza ulaşmasını bile azaltır. Okuma CloudFlare hakkında her şey CloudFlare ile Web Sitenizi Koruyun ve HızlandırınCloudFlare, Project Honey Pot'un yaratıcılarından koruduğunu iddia eden ilginç bir başlangıç web sitenizi spam gönderenlerden, botlardan ve diğer kötü web canavarlarından - ayrıca sitenizi hızlandırın biraz... Daha fazla oku buraya. Ev sahibiyseniz, kurulum tek bir tıklamadır MediaTemple, aksi takdirde ad sunucularını değiştirmek için etki alanı kontrol paneline erişmeniz gerekir.

Güvenlik Eklentileri

• Daha İyi WP Güvenliği Bu düzeltmelerin çoğunu sizin için uygular ve mevcut en kapsamlı ücretsiz çözümdür.
• WordFence dosyalarınızı kötü amaçlı yazılım bağlantıları, yönlendirmeler, bilinen güvenlik açıkları vb. için etkin bir şekilde tarayan ve düzelten premium bir pakettir. 1 site için fiyat 18 $ / yıl'dan başlar.
• Giriş güvenliği çözümü her ikisi de giriş denemelerini sınırlar ve güvenli şifreler uygular.
• Kurşun geçirmez güvenlik XSS enjeksiyonu ve .htaccess sorunları gibi bazı teknik yönleri ele alan kapsamlı ancak karmaşık bir eklentidir. Sürecin çoğunu otomatikleştiren eklentinin Pro sürümü de mevcuttur.

Bunun, WordPress'i sertleştirmek için oldukça kapsamlı bir adım listesi olduğunu kabul edeceğinizi düşünüyorum, ancak uygulamanızı önermiyorum herşey onları. Bunların hepsini kurduğum her siteye yapmak zorunda olsaydım, şimdi ayarlıyordum. Her türlü sistemi çalıştırmak bir risk doğurur ve sonuçta sistem arasındaki dengeyi bulmak size bağlıdır. İstediğiniz güvenlik düzeyi ve güvenliğini sağlamak için harcamak istediğiniz çaba - hiçbir şey% 100'e ulaşmayacak güvenli. Buradaki düşük asılı meyveler:

• WordPress'i Güncel Tutmak
• Yönetici hesabını devre dışı bırakma
• İki adımlı kimlik doğrulama ekleme
• Güvenlik eklentisi yükleme

Bunları tek başına yapmak, sizi diğer tüm blogların% 99'unun üzerine koymalıdır, bu da potansiyel bilgisayar korsanlarının daha kolay hedeflere ilerlemesini sağlamak için yeterlidir.

Sence bir şey kaçırdım mı? Bana yorumlarda anlat.