Share
I den første delen av denne serien gikk vi gjennom hva du skal gjøre når nettstedet ditt blir hacket. I denne andre delen skal vi lære om å være trygg og kunne handle raskt når en annen ubehagelig hendelse skjer.
Tilsynelatende blir dette spørsmålet aldri gammelt, og folk nærmer seg alltid WordPress med skepsis når det gjelder sikkerhet.
WordPress er sikker. Det er flere titalls, kanskje hundrevis av tusenvis av utviklere som bryr seg om WordPresss trivsel, og de løser kontinuerlig systemet for å holde det trygt. For enda sikrere nettsteder, er det gratis og kommersielle sikkerhetsplugger som håndterer angrep som vanlige nettsteder ikke skal møte overhodet.
Men WordPress er ikke 100% trygt. Hvorfor? Den samme grunnen til at forskere sakte lykkes med å lese og til og med overskrive tankene dine: Ingen system i verden er 100% trygg. Selvfølgelig vil de onde hackerne finne enda en sikkerhetsfeil i kjernen i WordPress, det er ingenting annet enn naturlig. Det er der utvikler fellesskapets verdi kommer ut, som jeg sa tidligere. Men selv et fellesskap som WordPress kan ikke hindre fremtidige sårbarheter.
Og selv om de gjør det, selv om WordPress blir det første systemet som er 100% sikkert, betyr det ikke nødvendigvis at nettstedet ditt er trygt heller. Din WordPress-versjon kan være oppdatert, men vertsleverandøren din kan glemme å oppdatere cPanel eller PHP, eller et sikkerhetsproblem på null dager kommer opp på MySQL eller serverens Linux-distribusjon.
Eller, du vet hva, din egen datas OS er heller ikke 100% sikker. (Ja, jeg ser på deg, Yosemite!) Datamaskinen din (eller telefon eller nettbrett) kan bli smittet av en trojan og gi passordene dine til hackerne på en sølvfat. Du kan ikke koble fra serveren eller datamaskinen din, og du kan ikke sette en tappelhatt over hodet ditt, så ikke stole på hvor trygt WordPress er.
Men WordPress er trygg, og du burde ikke bekymre deg for det. Men du bør bekymre deg for hva du skal gjøre hvis du stole på WordPress eller din hosting leverandør eller datamaskinen eller til og med deg selv. Det eneste viktige å gjøre er å ta forholdsregler for å gjøre nettstedet ditt tryggere og å kunne handle raskt for å få nettstedet ditt tilbake på føttene når nettstedet ditt blir hacket.
Som sagt, ingen system kan tilby 100% sikkerhet, inkludert WordPress. Men det er ingen grunn til at du ikke burde støte det 99% til 99,5%, ikke sant? Dessuten kan mangel på sunn fornuft gjøre den prosentvise bratte nedgangen. Det er derfor i denne delen vi skal gå gjennom hvordan du skal være trygg mens du bruker WordPress.
"Seriøst?", Jeg hører deg å si. Ja, å holde deg oppdatert er sannsynligvis det mest åpenbare tipset om sikkerhet, er jeg enig. Men det er en grunn at hver eneste sikkerhetsrelatert artikkel om WordPress inneholder en seksjon om å holde seg oppdatert: Folk glemmer å oppdatere. Alvor.
Det er ingen skam å glemme ting, men du burde vite det ikke holde seg oppdatert har kostnaden for å være en sittende anda mot hackere. Når du glemmer å oppdatere WordPress eller dine temaer og plugins, nekter du i utgangspunktet patching av sikkerhetsproblemer og samtykker i å være et frivillig mål for nybegynner (n00b) hackere.
WordPress introduserte automatiske oppdateringer for mindre utgivelser (som 4.0.1 til 4.0.2, ikke 4,1 til 4,2), men patching kjernen er ikke alltid nok. Husk å oppdatere plugins og temaer (og kjernen på store oppdateringer) så snart de er utgitt.
Som jeg sa i den forrige delen av denne serien, hadde et sikkerhetshull i et av pluginene jeg brukte, latt en hacker kjøre et shell-script på min server. Akkurat som i dette eksemplet kan dårlig kodede plugin eller temaer skape sikkerhetshull på nettstedet ditt.
Så, hvordan velger du "trygge" plugin og temaer? Vel, tenk på det på denne måten: Jo mer en programvare blir populær, jo mer er utviklerne motivert for å forbedre den. Så, å velge populære WordPress-plugins og temaer kan være logisk. Det er selvfølgelig muligheten for et populært plugin som har et stort sikkerhetsproblem, men utviklerne vil være mer lydhør overfor å lappe det i motsetning til mindre populære plugins.
Hvis du finner et plugin eller tema som ikke er veldig populært og deg må bruk den, så bør du i det minste sjekke bakgrunnen til utvikleren (e). Hvis de virker profesjonelle for deg, er det også mer logisk å stole på dem, sammenlignet med å installere blind plugin du ser.
Og hvis du vet hvordan du leser kode, er det alltid det beste alternativet å gå til koden selv.
Det er ikke mye å si om dette, virkelig: Siden noen plugin eller tema har en sjanse for å ha et sikkerhetsproblem (det spiller ingen rolle om det er oppdatert eller ikke), det er enda et logisk alternativ for å fjerne ubrukte eller unødvendige plugins og temaer for å redusere risiko.
Sjekk din plugin liste og se hvilke som er absolutt nødvendige og hvilke du kan leve uten; Fjern deretter dem alle, inkludert de som er deaktivert, men deg kan bruk en dag. Fjern også temaer og barnemner som ikke er i bruk.
For å maksimere serverkompatibiliteten, avhenger WordPress noen ganger fra å legge til noen funksjoner, og disse funksjonene inkluderer sikkerhetsoptimaliseringer for bestemte servertyper. Det er her sikkerhetsplugger som er nyttige: De gir deg mulighet til å maksimere websitetets sikkerhet gjennom sine mange, mange alternativer.
Det er fire "store" spillere i WordPress Security plugins-økosystemet: Wordfence, Bulletproof Security, iThemes Security (tidligere kjent som bedre WP Security) og Sucuri Security. De er alle virkelig high-end produkter, og de har så mange alternativer som å se på og sammenligne disse pluginene til hverandre, ville få oss til å gå bort fra "stay safe in WordPress" -emnet. Mitt råd er, les alle beskrivelsene nøye, sammenlign dem med hverandre (de har alle premiumversjoner, så sammenlign dem også hvis du vil kjøpe en), og avgjøre om en (eller kanskje to) av dem.
Og husk: Disse pluginene er for det meste for erfarne brukere som vet hvordan servere jobber og i utgangspunktet vet hva plugins alternativene egentlig gjør. (Det er et annet sikkerhetsmål: Ikke spill med ting du ikke forstår fullt ut.) Hvis du vet hva du skal gjøre med disse pluginene, ikke nøl med å prøve minst en eller to av dem.
Merk: Sucuri har et flott innlegg på WordPress Security Plugin økosystem, så sørg for å sjekke det ut.
Det er heller ikke mye å si om dette: En sikker vert er like viktig som en sikker WordPress-installasjon. Pass på å undersøke gode hosting-leverandører som oppdaterer systemene sine regelmessig, tilby ekstra beskyttelsesalternativer, og ha anstendige tekniske supportteam.
Sikkerhet er en dødelig problem på alt (inkludert huset ditt, smarttelefonen din, ditt land og WordPress), og du kan ikke argumentere for det. Det er derfor du trenger å holde det stramt for å gjøre WordPress-nettstedet ditt trygt. I denne serien delte jeg to ting med deg: en plan for å håndtere et hacket nettsted, og forholdsregler for å ta etter (og før) nettstedet ditt blir hacket. Jeg håper du likte å lese den så mye som jeg likte å skrive den.
Hva tar du på dette emnet? Fortell oss hva du synes ved å kommentere nedenfor. Og hvis du likte denne serien, ikke glem å dele artiklene med vennene dine!
Accentsconagua