Share
Det er et fryktet mareritt: En dag åpner du nettstedet ditt og ser at du har blitt hacket. Hvis du kjører en enkel personlig blogg, kan det være bare en irriterende hendelse. Hvis du er vert for et nettsted av en klient, kan dagen din bli en tøff, stressende dag. Hvis du kjører et velkjent e-handelsnettsted, kan det utløse et panikkanfall. Uansett hva som er tilfelle, vil du ikke bruke glade emojier for å dele nyhetene. Så, du trenger en spillplan for å forhindre angrepene før de skjer.
Og du er på rett sted. I denne todelte mini-serien skal jeg vise deg hvordan du gjør WordPress-prosjektene så sikre som mulig.
Tror du at WordPress er sikkert? Det er ok hvis du ikke gjør det, fordi mange tror WordPress er et usikkert innholdshåndteringssystem, men det er veldig langt fra sannheten ... i det minste i dag.
Hva har Microsoft Windows, Android, Google Chrome og WordPress til felles? De er alle svært populære programvare, og folk finner sikkerhetshull i dem hele tiden. Selv om de alle er oppdatert regelmessig mot feil og sikkerhetsfeil, har sikkerhetshull dem usikre?
Jeg beklager hvis du tenker den andre veien, men det gjør det ikke. Hyppige oppdateringer betyr ikke nødvendigvis at et stykke programvare er dårlig kodet mot sikkerhetstrusler. Spillet av katt og mus mellom utviklere og hackere vil alltid fortsette, og hackere vil alltid finne en måte å hacke programvare på. Og hvis programvaren er utvidbar, som WordPress er, vil sjansene for hackere også øke.
Det viktige her er å være responsiv og preemptive, og det er noe som WordPress utmerker seg på. Du må vente et par dager for at Google Chrome skal kunne plugge et sikkerhetshull, eller til og med uker for Microsoft, for å frigjøre en sikkerhetsrett, men det store samfunnet av WordPress-utviklere vil kunne fikse nulldagssikkerhetsfeil før slutten av dag en. I tillegg er det et helt team som arbeider med å sikre WordPress-kjerne, så vi har også gode hender på den. Når det gjelder temaer og plugins, kan det være litt lettere å finne feil og feil, og det kan ta mer tid å fikse dem, men samfunnet har utviklerens rygg.
Likevel er ingenting et hundre prosent sikre. Vi lever i tider hvor forskere er i ferd med å knekke koden i hjernen vår! Ingenting er ugjennomtrengelig, inkludert våre hjerner tilsynelatende, og WordPress er ikke noe unntak. Men umuligheten av 100% sikkerhet betyr ikke at vi ikke skal gå for 99,999%.
Fra personlig erfaring og litt videre forskning har jeg samlet flere sikkerhetsforanstaltninger som du burde ta, hvis du ikke allerede har det. Uten videre ado, la oss bli kjent med dem akkurat nå!
Accentsconagua
.htaccess FilLa oss begynne lett.
Hvis ditt WordPress-nettsted er vert i en webserver drevet av Apache, og du har aktivert "ganske permalinks" i innstillinger, WordPress vil generere en fil som heter .htaccess å lagre de grunnleggende WordPress permalink instruksjonene. Hvis du ikke aktiverer vakre permalinks, vil .htaccess filen vil ikke bli generert av kjernen, men de tipsene jeg skal vise er fortsatt aktuelt - du trenger bare å lage filen selv.
Nano-tip: Hvis du skal lage .htaccess fil på egen hånd, men har det vanskelig å lage en fil uten navn, men med .htaccess utvidelse, bare laste opp en tom fil med noe navn (som Untitled.txt) og endre navn og forlengelse i FTP-klienten din.
Det første som kommer i mitt sinn er å beskytte htaccess fil. Og det er det enkleste å gjøre blant de tipsene og triksene jeg skal vise deg. Alt du trenger å gjøre er å legge til følgende linjer i filen:
# beskytte .htaccessrekkefølge tillat, nekte å nekte fra alle
Det er et ufarlig triks for å beskytte htaccess fil fra noen (eller hva som helst) som ønsker å få tilgang til den.
Deretter slår vi av å vise innholdet i mapper:
# deaktiver katalogenavlesing Alternativer All -Indexes
Dette forhindrer fremmede i å se innholdet i mappene dine når de vil ha tilgang, for eksempel, myblog.com/wp-content/uploads/. Normalt ville de ha kunnet se de opplastede filene eller navigere gjennom undermappene i / uploads / katalog, men med dette lille trikset, vil de se en 403 Forbudt svar fra serveren.
Og til slutt vil jeg henvise til en flott "svarteliste" fra forgjengelig presse: 5G Blacklist. Denne svarte listen beskytter nettstedet ditt mot mange typer ondsinnede aktiviteter, fra skadelige søksnormer til dårlige brukeragenter.
Det er det for htaccess triks. Nå, la oss gå videre til wp-config.php triks.
wp-config.php Fil og Dens innholdDe wp-config.php Filen er trolig den viktigste filen i hele WordPress-installasjonen, når det gjelder sikkerhet. Og det er mye du kan gjøre med det for å herde nettstedet ditt.
La oss starte med et interessant triks: Visste du at du kan plassere din wp-config.php Oppgi ett nivå i WordPress-roten din? Hvis det ikke kommer til å forvirre deg, fortsett og gjør det akkurat nå. Mesteparten av tiden installerer jeg WordPress public_html kataloger og jeg liker å plassere wp-config.php fil i brukerens rotkatalog. Ikke sikker på om det er en slangeolje oppskrift eller ikke, men minst det kjennes mer sikkert. Noen folk over på Stack Exchange hadde en god debatt om dette emnet.
Forresten, la oss komme tilbake til roten .htacccess fil og legg til følgende linjer for å nekte tilgang til wp-config.php fil:
# beskytte wpconfig.phprekkefølge tillat, nekte å nekte fra alle
Her er en interessant idé: Hva med å fjerne tillatelsen til å redigere tema og plugin-filer? Alt du trenger er å legge til følgende linje til wp-config.php fil:
define ('DISALLOW_FILE_EDIT', true); Føler enda mer paranoid? Lim inn følgende linje under den ovennevnte for å deaktivere tema og plugininstallasjoner og flyttinger helt og holdent:
define ('DISALLOW_FILE_MODS', true); To tips om herding av WordPress: Endre database prefiks, og legg til sikkerhetsnøkler (eller salt nøkler) i wp-config.php fil.
Den første er enkel: Sjekk om du angir database prefiks som standardverdien ved å finne denne linjen:
$ table_prefix = 'wp_';
Hvis den er satt til wp_, Du bør bytte den til noe annet enn denne standardverdien. Du trenger ikke å huske det, så du kan skrive noe. Jeg liker å bruke kombinasjoner som wp_fd884vg_ å holde det både trygt og lesbart.
Endring av sikkerhetsnøklene er også veldig enkelt. Se om tastene er tomme ved å finne følgende linjer:
/ ** # @ + * Autentisering Unike Nøkler og Salter. * * Endre disse til forskjellige unike setninger! * Du kan generere disse ved hjelp av @link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org hemmelig nøkkel tjeneste * Du kan endre disse når som helst for å ugyldiggjøre alle eksisterende kapsler. Dette vil tvinge alle brukere til å logge på igjen. * * @since 2.6.0 * / define ('AUTH_KEY', 'sett ditt unike uttrykk her'); define ('SECURE_AUTH_KEY', 'sett ditt unike uttrykk her'); define ('LOGGED_IN_KEY', 'sett ditt unike uttrykk her'); define ('NONCE_KEY', 'sett ditt unike uttrykk her'); define ('AUTH_SALT', 'sett ditt unike uttrykk her'); define ('SECURE_AUTH_SALT', 'sett ditt unike uttrykk her'); define ('LOGGED_IN_SALT', 'sett ditt unike uttrykk her'); define ('NONCE_SALT', 'sett ditt unike uttrykk her'); Hvis de alle sier «sett ditt unike uttrykk her», det betyr at de ikke er satt ennå. I så fall skal du bare gå over til denne nettadressen (det er også referert til i kommentarene til koden) og endre linjene generert på den siden med linjene over.
Nano-tip: Hvis du lurer på hva disse "saltnøklene" er, har WPBeginner en god artikkel om fordelene med denne sikkerhetsforanstaltningen.
Det er det for wp-config.php triks! La oss kalle det en dag i dag.
Jeg håper du likte disse .htaccess og wp-config.php triks i dag. I neste del av denne mini-serien ser vi på noen sikkerhetsplugger og andre viktige tips om herding av WordPress. Hvis du har spørsmål eller kommentarer, vær så snill å skyte dem i kommentarfeltet nedenfor.
Se deg i neste del!
