Hoe WordPress te beschermen tegen inbraak Uw must-read checklist
Botnets over de hele wereld hebben hun aandacht gericht op het versturen van spam-e-mails naar het systematisch hacken van WordPress-installaties; het is lucratief omdat WordPress 40% van alle blogs ondersteunt. Zeker gezien het feit dat zelfs wij hier het slachtoffer van zijn geworden, wordt het tijd dat we een uitgebreid bericht plaatsen over hoe u uw door uzelf gehoste WordPress-installatie kunt beschermen.
Opmerking: dit advies is alleen van toepassing op zelf gehoste WordPress-installaties. Als u WordPress.com gebruikt, hoeft u zich over het algemeen niet druk te maken om de beveiliging, omdat ze alles voor u regelen. Wat is het verschil tussen WordPress.com en WordPress.org? Wat is het verschil tussen het uitvoeren van uw blog op Wordpress.com & Wordpress.org? Wat is het verschil tussen het uitvoeren van uw blog op Wordpress.com & Wordpress.org? Nu Wordpress nu 1 op elke 6 websites aanstuurt, moeten ze iets goed doen. Voor zowel ervaren ontwikkelaars als de complete beginneling heeft Wordpress u iets te bieden. Maar net zoals u begint ... Lees meer
Installeer Google authenticatie in twee stappen
Als u authenticatie in twee stappen al heeft ingeschakeld voor uw Gmail-account of andere services, kunt u dezelfde authenticator-app gebruiken met deze plug-in voor WordPress.
Gelukkig kunt u tweestapsverificatie beperken om alleen te worden gebruikt op accounts op het hoogste niveau, zodat u al uw gebruikers niet hoeft te irriteren.
Login Lockdown
Een oude plug-in, maar werkt nog steeds zoals bedoeld; Login Lockdown controleert het IP-adres van aanmeldingspogingen en blokkeert een IP-bereik voor een uur als het binnen 5 minuten drie keer mislukt. Eenvoudig, effectief.
Neem regelmatige back-ups
Hackers zullen niet zomaar één bestand veranderen, maar zullen hun eigen controle paneel ergens verborgen houden en andere verborgen achterdeurtjes - zodat zelfs als je de originele hack repareert, ze meteen weer terugkomen en alles opnieuw doen. Neem dagelijks of wekelijks een back-up, zodat u eenvoudig terug kunt gaan naar een punt waar er geen spoor van de hacker was - en zorg ervoor dat u alles patches inlegde om binnen te geraken. Persoonlijk heb ik net geïnvesteerd in een ontwikkelaarlicentie van $ 150 Backup Buddy - het is de eenvoudigste en meest uitgebreide back-upoplossing die ik tot nu toe heb gevonden.
Voorkom het indexeren van mappen
Controleer de root van uw WordPress-installatie voor het. Htaccess-bestand (let op de punt aan het begin - mogelijk moet u onzichtbare bestanden weergeven om dit te bekijken) en zorg ervoor dat het de volgende regel heeft. Als dat niet het geval is, voegt u het toe, maar maak eerst een back-up, want dit bestand is vrij cruciaal.
Opties Alle -Indexen
Blijf op de hoogte
Maak niet dezelfde fout als wij: upgrade altijd WordPress zodra een update beschikbaar is. Soms bevatten de updates kleine bugfixes en geen beveiligingsoplossingen, maar waan je er in en heb je geen probleem. Als u meer dan één WordPress-installatie hebt en ze niet allemaal kunt bijhouden, ga dan naar ManageWp.com, een premium dashboard voor al uw blogs met beveiligingsscans..
Niet alleen kern WordPress-bestanden, maar ook plug-ins: een van de grootste WordPress-hacks uit het verleden bracht een kwetsbaarheid met zich mee in een algemeen thumbnail-generator-script genaamd timthumb.php, en er zijn nog steeds thema's die de oude versie gebruiken. Hoewel plug-ins snel werden bijgewerkt, is het uiteraard moeilijk om de thema's up-to-date te houden - WordPress zal je niet vertellen of je thema kwetsbaar is, en daarvoor moet je een beveiligingssoftware plug-in - scrol omlaag naar de Beveiliging Plug-ins onderstaande sectie voor enkele suggesties.
Download nooit willekeurige thema's
Tenzij je weet wat je aan het doen bent met PHP-code, is het heel gemakkelijk om in de val te lopen van een willekeurig willekeurig thema ergens vandaan te downloaden, alleen om te ontdekken dat het een of andere vervelende code bevat - meestal backlinks die je niet kunt verwijderen, maar erger kan worden gevonden. Blijf bij premium en bekende thema-ontwerpers (zoals Smashing Magazine of WPShower), of voor gratis thema's alleen de WordPress themamap gebruiken.
Verwijder ongebruikte plug-ins en thema's
Hoe minder uitvoerbare code u op uw server hebt, hoe beter - verwijder de kans op oude, kwetsbare code door thema's en plug-ins die u niet meer gebruikt te verwijderen. Als u ze uitschakelt, stopt u gewoon met het laden van hun functionaliteit met WordPress, maar de code zelf kan nog steeds door een hacker worden uitgevoerd.
Verwijder tell-tale-meta in uw koptekst
WordPress verzendt standaard de versie naar de wereld in de code van uw headerbestand - een gemakkelijke manier voor hackers om oudere installaties te identificeren. Voeg de volgende regels toe aan uw thema's functions.php bestand om de WordPress-versie te verwijderen, Windows Live Writer-info en een regel waarmee externe clients uw XML-RPC-bestand kunnen vinden.
remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'rsd_link');
Verwijder de “beheerder” Account
De meeste brute-force aanvallen op WordPress omvatten herhaaldelijk proberen de beheerder account - de standaardinstelling voor alle WordPress-installaties - en een woordenboek met veelvoorkomende wachtwoorden. Als u zich aanmeldt bij een beheerder of als u het beheerdersaccount in uw gebruikerstabel vermeldt, bent u hier kwetsbaar voor.
Twee manieren om het te repareren: gebruik de wp-optimaliseer plugin - een geweldige plug-in die u onder andere toestaat om post-revisies uit te schakelen en database-optimalisatie uit te voeren - om uw admin-account te hernoemen. Of maak gewoon een ander account aan met beheerdersrechten, log in als de nieuwe gebruiker en verwijder vervolgens de “beheerder” account wijs alle berichten toe aan uw nieuwe gebruiker.
Veilige wachtwoorden
Zelfs als u het beheerdersaccount hebt uitgeschakeld, is het misschien mogelijk om de gebruikersnaam van uw beheerdersaccount te identificeren - op dat moment bent u weer kwetsbaar voor een brute force-aanval. Dwing een sterk wachtwoordbeleid van 16 of meer willekeurige tekens aan, bestaande uit hoofdletters en kleine letters, interpunctie en cijfers.
Of gebruik gewoon de echtLongSentenceThatsEasyToRememberMethod.
Schakel bestandsredactie uit in WordPress
Voor diegenen die niet willen inloggen via FTP, bevat WordPress een eenvoudige editor in het beheerdersdashboard voor PHP-bestanden voor het thema en de plug-in - maar dat maakt uw installatie kwetsbaar als iemand toegang krijgt. Sterker nog, dit is hoe iemand erin slaagde om een malware-omleiding in onze header in te voeren. Voeg de volgende regel toe aan de onderkant van uw wp-config.php (in de hoofdmap) om alle functies voor het bewerken van bestanden uit te schakelen - en SFTP te gebruiken Wat SSH is en hoe het anders is van FTP [Technologie verklaard] Wat SSH is en hoe het anders is Van FTP [Technologie uitgelegd] Lees meer om in te loggen op uw server.
define ('DISALLOW_FILE_EDIT', true);
Verberg inlogfouten
Een verkeerd wachtwoord of een verkeerde gebruikersnaam kan worden geïdentificeerd door de fouten die worden gegeven bij het inloggen, die kunnen worden gebruikt om accounts voor brute dwingen te identificeren. Dit is natuurlijk niet goed, dus dood de fouten met deze toevoeging aan je thema's functions.php het dossier
function no_errors_please () return 'Nee'; add_filter ('login_errors', 'no_errors_please');
Activeer Cloudflare
CloudFlare versnelt naast het versnellen van uw site ook veel bekende botnets en scanners om zelfs maar naar uw blog te gaan. Lees alles over CloudFlare Bescherm uw website gratis met CloudFlare Bescherm en versnellen uw website gratis met CloudFlare CloudFlare is een intrigerende start-up van de makers van Project Honey Pot die claimt uw website te beschermen tegen spammers, bots en andere kwaadaardige web-monsters - en versnellen je site enigszins ... Lees hier meer. De installatie is één klik als u wordt gehost bij MediaTemple, anders heeft u toegang nodig tot het domeincontrolepaneel om de naamservers te wijzigen.
Beveiliging Plug-ins
- Betere WP-beveiliging implementeert veel van deze oplossingen voor u en is de meest uitgebreide gratis oplossing die er is.
- WordFence is een premiumpakket dat actief uw bestanden scant op malwarekoppelingen, omleidingen, bekende kwetsbaarheden, enz. - en repareert ze. Prijs begint bij $ 18 / jaar voor 1 site.
- Inlogbeveiligingsoplossing beperkt beide inlogpogingen en dwingt beveiligde wachtwoorden af.
- BulletProof security is een uitgebreide maar complexe plug-in die zich bezighoudt met enkele van de meer technische aspecten zoals XSS-injectie en .htaccess-problemen. Er is ook een Pro versie van de plug-in beschikbaar die het grootste deel van het proces automatiseert.
Ik denk dat je het er mee eens bent dat dit een vrij uitgebreide lijst is van stappen om WordPress te verharden, maar ik suggereer niet dat je het zult implementeren allemaal van hen. Als ik dit allemaal moest doen op elke site die ik ooit heb opgezet, zou ik ze nu nog steeds opzetten. Het uitvoeren van elk systeem brengt risico's met zich mee, en het is aan u om de balans te vinden tussen het gewenste beveiligingsniveau en de inspanningen die u wilt leveren om het veilig te stellen - niets gaat ooit 100% veilig. De laaghangende vruchten zijn hier:
- WordPress actueel houden
- Het beheerdersaccount uitschakelen
- Tweestaps-authenticatie toevoegen
- Een beveiligingsinvoegtoepassing installeren
Alleen al het doen van die dingen zou je boven 99% van alle andere blogs moeten plaatsen, wat genoeg is om potentiële hackers door te laten gaan naar gemakkelijker doelen.
Denk je dat ik iets gemist heb? Vertel me in de reacties.
Meer informatie over: Online beveiliging, Webontwikkeling, Webmasterhulpprogramma's, Wordpress.