6 dingen die je kunt doen om je WordPress te beveiligen tegen hackers
Het uitvoeren van een WordPress-website is vaak een plezier, waardoor u zich kunt concentreren op de inhoud en het opbouwen van relaties met lezers en andere websites.
Niet iedereen op het web is echter net zo vriendelijk als jij. Ergens daarbuiten staat een lijst met de naam van je blog erop, waar hij staat, wachtend op het doelwit van hackers. Wanneer ze op je blog afkomen, proberen ze verschillende tactieken om er toegang toe te krijgen, misschien met als doel legale medicijnen te verkopen of de computers van je bezoeker te infecteren met malware.
Gelukkig zijn er verschillende manieren waarop je je WordPress-blog kunt beschermen tegen hackers.
WordPress regelmatig bijgewerkt
Een van de krachtigste maar vaak over het hoofd geziene oplossingen om WordPress tegen hackers te beschermen, is ervoor te zorgen dat het regelmatig wordt bijgewerkt.
Uiteraard is dit een nadeel: sommige van je beste WordPress-plug-ins werken mogelijk niet meer als WordPress is bijgewerkt, maar tegelijkertijd moet dit worden gezien als een kans om je plug-ins te vernieuwen, vervangingen te vinden die zelf veilig en betrouwbaar zijn en maak in principe uw website of blog aan. Het is ook een goede manier om dingen onder controle te houden door in plug-ins te steken die in de WordPress-map staan.
Het bijwerken van WordPress is mogelijk vanuit het Dashboard, maar maak altijd een back-up van uw database voordat u dit doet.
Houd regelmatige back-ups
Een belangrijke procedure voor alle WordPress-blogeigenaren is ervoor te zorgen dat back-ups regelmatig worden gemaakt en dat ze gemakkelijk kunnen worden hersteld mocht het ergste gebeuren.
Oplossingen zijn er in overvloed, maar Cloudsafe365 is een van de krachtigste, combinerende cloudback-ups (Dropbox kan worden gebruikt) met verschillende veilige beveiligingshulpmiddelen tegen technieken zoals cross-site scripting, SQL-injectie en controleert zelfs contentdiefstal.
Cloudsafe365, beschikbaar op de WordPress plug-insite, bestaat in drie smaken. Een gratis optie dekt de hierboven genoemde dingen, terwijl de betaalde opties verdere functies bieden, zoals bescherming tegen code-injectie en brute force-aanvallen.
Installeer een gecodeerde inlogplugin
Het beschermen van de eigenlijke handeling van inloggen op uw WordPress-gebaseerde website kan het beste worden bewerkstelligd door een gecodeerde inlogplug-in te gebruiken, omdat de websitesoftware deze faciliteit niet standaard heeft. Waarschijnlijk de beste oplossing hiervoor - perfect voor het beschermen van uw bloginloggegevens van pakketsniffers op draadloze netwerken - is Chap Secure Login, dat het SHA-256-algoritme gebruikt om uw gebruikersnaam en wachtwoord te beschermen.
Ondertussen is de Login Lockdown-plug-in een handige manier om IP's te blokkeren die herhaalde mislukte pogingen om toegang te krijgen tot uw site registreren.
Andere inlogbeschermingsstappen die u kunt nemen, omvatten het installeren van een krachtige CAPTCHA-plug-in. RetinaPost is een bijzonder indrukwekkende plug-in, waarbij gebruikers gemarkeerde tekens uit een zin moeten invoeren in plaats van getypte tekstafbeeldingen te proberen ontcijferen of wiskundige uitdagingen aan te gaan. Pogingen om uw blog te onderbreken met behulp van het reactiesysteem kunnen aanzienlijk worden verminderd met behulp van deze plug-in.
Verbergen “Mogelijk gemaakt door WordPress”
Hackers hebben een andere tactiek voor elk van de verschillende soorten websitesoftware die in gebruik is, maar u kunt het voor hen moeilijker maken door niet te adverteren voor het feit dat uw website is “Mogelijk gemaakt door WordPress”.
Standaard is deze informatie te vinden in het footer.php-bestand, bereikt door het Dashboard van je blog in te voeren en te selecteren Uiterlijk> Editor om te bewerken in het browservenster. Voor verschillende thema's zijn verschillende methoden nodig om deze tekst te verwijderen, dus u moet online controleren wat de beste aanpak is (als platte tekst wordt gebruikt om de legenda weer te geven en deze vervolgens verwijderen; als u PHP-code gebruikt, moet u voorzichtig zijn, tenzij u weet wat u bent ' opnieuw doen).
Wijzig beheerdersnaam
Een manier waarop hackers een weg naar uw site kunnen vinden, is door brute force-software te gebruiken die meerdere inlogpogingen onderneemt met gebruik van veelgebruikte woorden en zinsdelen als wachtwoorden, gekoppeld aan een selectie van voor de hand liggende gebruikersnamen.
De beheerders-gebruikersnaam in WordPress kan worden geselecteerd wanneer de software is ingesteld, maar in de haast om dingen voor elkaar te krijgen, laten veel gebruikers het bij de standaardkeuze van “beheerder”. Zoals voor de hand liggende gebruikersnamen gaan, staat dit bovenaan de lijst, daarom is het belangrijk om het te veranderen.
Er zijn twee manieren om de gebruikersnaam van de beheerder te wijzigen. Ten eerste kunt u een tweede beheerdersaccount maken met een gebruikersnaam die niet voor de hand ligt en vervolgens de oorspronkelijke gebruiker verwijderen. Houd er echter rekening mee dat dit van invloed kan zijn op artikelen die zijn geschreven onder de beheerdersaccount (ze worden mogelijk niet gepubliceerd totdat een nieuwe naam is ingesteld of geven een fout weer op de berichtpagina).
Waarschijnlijk de meest effectieve manier om dit te doen is om toegang te krijgen tot de phpMyAdmin op uw site, de WordPress-database te selecteren, de wp_users-tabel te vinden (“wp_”is een standaardprefix die bij de installatie mogelijk is gewijzigd) en gebruikt de Blader pictogram om het te vinden “beheerder” gebruikersnaam.
Zodra u de kolom user_login hebt gevonden, klikt u op de Bewerk knop op de juiste rij en verander dan “beheerder” naar de gebruikersnaam van uw voorkeursbeheerder, klikken Gaan wanneer je klaar bent.
Verplaats het wp-config-bestand
Een schrijnend probleem met WordPress is dat de belangrijkste beveiligingsdetails worden opgeslagen in een enkel, niet-versleuteld bestand dat kan worden gehackt en gebruikt om controle te krijgen over je blog. Het bestand wp-config.php bevat de inloggegevens voor beheerders, evenals de gebruikersnaam en het wachtwoord voor de MySQL-database.
Daarom is het beveiligen van dit bestand van cruciaal belang als u de site wilt beschermen tegen hackers.
Een ding dat je echter niet moet doen, is delete wp-config - dit zou je site onbruikbaar maken (en eerder blanco). Dus hoe beschermt u uw site tegen deze bizarre kwetsbaarheid?
Sinds de release van WordPress 2.8 hebben blog-eigenaren de mogelijkheid gehad om het bestand naar de root-webdirectory op de server te verplaatsen. Dit betekent bijvoorbeeld dat als u uw site hebt geïnstalleerd www.mysite.com/wordpress, het bestand wp-config.php kan een niveau hoger worden verplaatst naar de map mysite.
Conclusie
Ongeacht hoe technisch of niet-technisch u bent, als u een WordPress-blog uitvoert, is er geen excuus om geen of al deze tools te implementeren om uw website tegen hackers te beschermen.
Want wat heeft het voor zin al dat harde werk alleen maar in te zetten om vast te stellen dat iemand de site heeft overgenomen en nu je vaste bezoekers door Viagra adverteert??
Deze stappen kunnen binnen een paar uur worden geïmplementeerd - misschien een enkele weekendochtend als je tijd nodig hebt - dus negeer niet, handel nu.
Meer informatie over: Webmasterhulpprogramma's, WordPress-plug-ins.