18 плагинов и советов по безопасности Wordpress для защиты вашего блога

Рекламное объявление

Без сомнения, для блога WordPress WordPress - лучшая CMS для блогов, которую вы можете получить. Однако, будучи популярным и открытым программным обеспечением, это также означает, что хакеры имеют полный доступ к код, который они могут изучить, чтобы найти любые эксплойты, которые они могут использовать для взлома любого WordPress-совместимого сайт.

С другой стороны, одна из лучших вещей в WordPress - это система плагинов, которая позволяет любому установите любые плагины или создайте свои собственные плагины, чтобы расширить их функциональность, включая улучшение безопасность.

Здесь я перечислил некоторые плагины безопасности WordPress (и несколько хитростей), которые вы можете использовать для защиты блога WordPress.

Все перечисленные ниже плагины и приемы предназначены для WP 2.7 и выше. Если вы все еще используете старую версию WordPress, пришло время обновить ваш блог.

Защита вашего логина

Этот плагин использует ГЛАВА протокол для шифрования вашего пароля. Сначала в пароль вводится случайное число (nonce), сгенерированное сеансом, за которым следует алгоритм преобразования md5. Этот результат затем отправляется на сервер, где он расшифровывается и аутентифицируется. Это плагин с нулевой конфигурацией, что означает, что вы можете использовать его сразу после активации.

2. Стелс Логин

Stealth Login запутывает вашу страницу входа, позволяя вам определить пользовательскую страницу входа, а не wp-login.php по умолчанию. В случае утечки вашего пароля хакеру также будет сложно найти правильный URL-адрес для входа. Полезно использовать это для предотвращения доступа любых вредоносных ботов к вашему файлу wp-login.php и попыток взлома.

Блокировка входа полезна для предотвращения атаки методом перебора. То, что делает LockDown при входе, - это запись IP-адреса и отметки времени каждой неудачной попытки входа в систему. Если в течение короткого периода времени из одного и того же диапазона IP-адресов будет обнаружено более определенного количества попыток, это заблокирует функцию входа в систему и не позволит всем пользователям из этого диапазона IP-адресов войти в систему.

Этот плагин добавляет дополнительную HTTP-аутентификацию, чтобы обеспечить второй уровень защиты для вашего блога. Вы можете настроить защиту паролем для своего блога с помощью базовой аутентификации HTTP или выбрать более безопасную дайджест-аутентификацию HTTP.

Обратите внимание, что этот плагин может / не может работать в зависимости от возможностей вашего сервера. Если ваш сайт не проходит тесты конфигурации AskApache (тесты запускаются плагином для обнаружения возможности вашего сервера), обратитесь к вашему веб-хосту и посмотрите, могут ли они внести изменения на сервере боковая сторона.

Этот плагин обеспечивает среду входа в систему «semisecure», шифруя ваш пароль с помощью RSA криптография

Защита вашей базы данных

Возможно, для некоторых из вас резервное копирование базы данных может быть сложной технической задачей. С WP-DB-Backup вам просто нужно настроить его один раз и заставить работать автоматически через равные промежутки времени.

Этот плагин автоматизирует резервное копирование вашей базы данных и отправляет ее на ваш почтовый ящик. Помимо таблицы по умолчанию, созданной в WordPress, вы также можете создавать резервные копии пользовательских таблиц, создаваемых плагинами. В случае сбоя вашей учетной записи вы можете легко импортировать и восстанавливать базу данных с помощью резервной копии.

Wp-DBManager похож на phpmyadmin в вашей панели. Вы можете легко управлять своей базой данных прямо на панели инструментов. Существуют полезные функции, такие как оптимизация / восстановление / резервное копирование / восстановление базы данных, и, если вы достаточно технически, вы можете даже запустить собственный запрос SQL со страницы параметров.

С другой стороны, если каким-либо хакерам удастся войти на ваш сайт, этот плагин станет для них шлюзом для создания хаоса в вашей базе данных.

8. Изменить префикс таблицы базы данных

Префикс по умолчанию, используемый WordPress - «wp». Вы можете легко изменить префикс на другие термины, которые трудно угадать, используя WP-Security-Scan. Подробнее об этом плагине ниже.

9. Защитите ваш файл wp-config.php

Ваш файл wp-config.php содержит все ваши учетные данные для входа в базу данных, и он должен быть скрыт от публичного просмотра при любых обстоятельствах. В вашем файле htaccess введите следующую строку:

порядок разрешить, отрицать. отрицать от всего. 

запретить кому-либо просматривать файл wp-config.php.

Защита вашей страницы администратора

Этот плагин активирует SSL на всех страницах, где можно вводить пароли, чтобы вся передаваемая информация была зашифрована.

Одна вещь, однако, вы должны иметь сертификат SSL, прежде чем вы сможете сделать это. Если вы не хотите тратить лишние деньги на покупку частного SSL-сертификата, вы можете спросить своего веб-хоста о Shared SSL. Большинство веб-хостов предоставляют общий SSL для всех своих клиентов, и его легко настроить.

11. Изменить логин

Использование «admin» в качестве логина - последнее, что вы хотите сделать. Когда вы впервые установили WordPress, вы должны немедленно создать другую учетную запись администратора с вашим собственным именем пользователя и паролем и удалить учетную запись «admin».

Запретить другим просмотр вашей внутренней файловой структуры

12. Скрытие версии WP

В большинстве тем WordPress под

В разделе всегда есть строка кода, показывающая версию WordPress, которую вы используете. Раздать номер версии WordPress - значит сообщить хакеру, что использовать для взлома вашего сайта.

Начиная с WP2.6.5, WordPress усложнил удаление версии wp, поскольку он встраивает эту информацию в wp_header тег. Плагин, который вы можете использовать для удаления этой информации WP-Security-Scan.

13. Скрытие WP-контента

В папке WP-контента хранятся все ваши плагины и файлы тем. Это место, где вы хотите, чтобы другие люди не заглядывали. Вы можете загрузить пустую index.html файл в папку wp-content или создайте файл .htaccess в папке wp-content и добавьте следующую строку:

Опции Все Индексы
14. Заблокировать wp-папку от индексации поисковыми системами
В то время как вы хотите, чтобы поисковые системы индексировали ваш блог и приносили много трафика, последнее, что вы хотите увидеть, - это позволить поисковым системам предоставить доступ к вашей внутренней файловой структуре. Что вы можете сделать, это заблокировать все ваши wp-папки от индексации поисковой системой, добавив следующие записи в robot.txt:
Disallow: / wp- * 
Обслуживание
Я упоминал этот плагин несколько раз, так что пришло время объяснить, что он делает. WP-Security-Scan проверяет ваш WordPress на наличие уязвимостей и предлагает / предлагает корректирующие действия. Корректирующие действия включают в себя изменение префикса вашей базы данных, скрытие номера версии WordPress от заголовка и позволяет проверить надежность вашего пароля.
Время от времени рекомендуется запускать встроенный сканер безопасности и проверять свой блог на наличие уязвимостей.
16. Меняйте пароль регулярно
Вы должны не только регулярно менять свой пароль, но и убедиться, что он надежный. Если у вас есть трудности в создании, найдите тот, который вы можете создавать надежные пароли, которые вы можете легко запомнить Как создать надежные пароли, которые вы можете легко запомнить Подробнее .
17. Обновите WordPress и все плагины до последней версии
Нет необходимости говорить, что обновление до последней версии WordPress и плагинов - лучший способ защитить себя.
Защита вашей связи
18. SFTP
Передача файлов в онлайн-аккаунт - обычное дело. Однако вместо использования незащищенного FTP вы должны использовать SFTP (Безопасный FTP). Это создаст SSH-соединение и отправит все ваши файлы в зашифрованном виде на сервер. Если вам нужна помощь в создании SFTP-соединения, вот руководство.
Приведенной выше информации должно быть достаточно для создания безопасного блога WordPress. Если вы не реализовали ничего из этого, я настоятельно призываю вас сделать это сейчас.
Какие еще методы вы используете для защиты своего блога WordPress?