Advertentie
Zonder twijfel is WordPress voor een zelf-gehoste blog de beste blog-CMS die je kunt krijgen. Omdat het echter een populaire en open source-software is, betekent dit ook dat hackers volledige toegang hebben tot de code die ze kunnen onderzoeken om eventuele exploits te vinden die ze kunnen gebruiken om hackers op WordPress te hacken site.
Aan de goede kant, een van de beste dingen van WordPress is het plug-insysteem waarmee iedereen dat kan installeer plug-ins of maak uw eigen plug-ins om de functionaliteit uit te breiden, inclusief verbeteren veiligheid.
Hier heb ik een aantal WordPress-beveiligingsplug-ins (en een paar trucs) vermeld die u kunt gebruiken om WordPress-blog te beveiligen.
Alle onderstaande plug-ins en trucs zijn bedoeld voor WP 2.7 en hoger. Als je nog steeds een oudere versie van WordPress gebruikt, is het tijd om je blog te upgraden.
Uw login beschermen
Deze plug-in maakt gebruik van de KEREL protocol om uw wachtwoord te versleutelen. Het wachtwoord wordt eerst gezouten met een willekeurig nummer (nonce) gegenereerd door de sessie, gevolgd door het md5-transformatiealgoritme. Dit resultaat wordt vervolgens naar de server gestuurd, waar het wordt verlaagd en geverifieerd. Dit is een plug-in met nulconfiguratie, wat betekent dat u deze direct na activering kunt gebruiken.
2. Stealth Login
Stealth Login verduistert uw aanmeldingspagina door u in staat te stellen een aangepaste aanmeldingspagina te definiëren in plaats van de standaard wp-login.php. In het geval dat uw wachtwoord wordt gelekt, zal de hacker ook moeite hebben om de juiste inlog-URL te vinden. Een goed gebruik hiervan is om te voorkomen dat kwaadwillende bots toegang krijgen tot uw wp-login.php-bestand en proberen in te breken.
Login Lockdown is handig om een brute force-aanval te voorkomen. Wat Login LockDown doet, is het IP-adres en het tijdstempel van elke mislukte inlogpoging vast te leggen. Als er binnen een korte periode van hetzelfde IP-bereik meer dan een bepaald aantal pogingen worden gedetecteerd, wordt de inlogfunctie geblokkeerd en wordt voorkomen dat mensen uit dat IP-bereik inloggen.
Deze plug-in voegt een extra HTTP-authenticatie toe om een tweede verdedigingslaag voor uw blog te bieden. U kunt wachtwoordbeveiliging voor uw blog instellen met HTTP Basic Authentication, of u kunt ervoor kiezen om de veiligere HTTP Digest Authentication te gebruiken.
Merk op dat deze plug-in mogelijk niet werkt, afhankelijk van uw servercapaciteit. Als uw site de configuratietests van AskApache niet doorstaat (de tests die door de plug-in worden uitgevoerd om te detecteren) uw servermogelijkheden), neem contact op met uw webhost en kijk of deze wijzigingen op de server kunnen aanbrengen kant.
Deze plug-in biedt een "semisecure" login-omgeving door uw wachtwoord te versleutelen met de RSA-cryptografie
Uw database beschermen
Voor sommigen van u kan het maken van een back-up van een database een lastig technisch karwei zijn. Met WP-DB-Backup hoeft u het slechts één keer te configureren en het automatisch regelmatig te laten werken.
Wat deze plug-in doet, is de back-up van uw database automatiseren en naar uw e-mailinbox sturen. Afgezien van de standaardtabel die door WordPress is gemaakt, kunt u ook een back-up maken van aangepaste tabellen die door plug-ins zijn gemaakt. In het geval dat uw account crasht, kunt u de database eenvoudig importeren en herstellen met de back-up.
Wp-DBManager is net als een phpmyadmin binnen je dashboard. U kunt uw database eenvoudig rechtstreeks vanuit uw dashboard beheren. Er zijn handige functies zoals het optimaliseren / repareren / back-uppen / herstellen van uw database en als u technisch genoeg bent, kunt u zelfs uw eigen SQL-query uitvoeren vanaf de optiepagina.
Aan de slechte kant, als hackers erin slagen om in te loggen op uw site, zal deze plug-in een gateway voor hen zijn om schade aan te richten in uw database.
8. Wijzig het prefix van de databasetabel
Het standaardvoorvoegsel dat door WordPress wordt gebruikt, is "wp". U kunt het voorvoegsel gemakkelijk wijzigen in andere termen die moeilijk te raden zijn met de WP-Security-Scan. Meer informatie over deze plug-in hieronder.
9. Bescherm uw wp-config.php-bestand
Uw wp-config.php-bestand bevat al uw inloggegevens voor de database en moet onder alle omstandigheden voor het publiek worden verborgen. Zet in je htaccess-bestand deze regel:
bestelling toestaan, ontkennen. van alles ontkennen.
om te voorkomen dat iemand het bestand wp-config.php kan bekijken.
Uw beheerderspagina beschermen
Deze plug-in dwingt SSL op alle pagina's waar wachtwoorden kunnen worden ingevoerd, zodat alle verzonden informatie wordt versleuteld.
Een ding is echter dat je een SSL-certificaat moet hebben voordat je het kunt doen. Als u niet bereid bent het extra geld te betalen om een privé SSL-certificaat te kopen, kunt u uw webhost vragen naar gedeelde SSL. De meeste webhosts bieden gedeelde SSL voor al hun klanten en het is eenvoudig te configureren.
11. Verander login gebruikersnaam
Het gebruik van "admin" als gebruikersnaam voor inloggen is het laatste wat u wilt doen. Wanneer u WordPress voor het eerst installeerde, moet u onmiddellijk een ander beheerdersaccount aanmaken met uw eigen gebruikersnaam en wachtwoord en het "admin" -account verwijderen.
Voorkom dat anderen uw interne bestandsstructuur kunnen bekijken
12. De WP-versie verbergen
In de meeste WordPress-thema's onder de
sectie, er is altijd een regel code die de WordPress-versie toont die u gebruikt. Het weggeven van uw WordPress-versienummer betekent dat u de hacker vertelt welke exploit hij moet gebruiken om uw site te hacken.
Sinds WP2.6.5 heeft WordPress het nog moeilijker gemaakt om de wp-versie te verwijderen omdat het die informatie in de wp_header label. Een plug-in die u kunt gebruiken om die informatie te verwijderen, is WP-Security-Scan.
13. Het verbergen van de WP-content
In de map WP-content heb je al je plug-ins en themabestanden opgeslagen. Dit is de plek waar je wilt voorkomen dat andere mensen naar je kijken. U kunt een blanco uploaden index.html bestand naar de map wp-content of maak een .htaccess-bestand in de map wp-content en voeg deze regel toe:
Opties All -Indexen14. Blokkeer wp-map voor indexering door zoekmachines
Hoewel u wilt dat de zoekmachines uw blog indexeren en veel verkeer binnenhalen, is het laatste dat u wilt zien, de zoekmachines uw interne bestandsstructuur aan het publiek laten zien. Wat u kunt doen, is om te voorkomen dat al uw wp-mappen worden geïndexeerd door een zoekmachine door de volgende vermeldingen toe te voegen aan de robot.txt:
Niet toestaan: / wp- *Onderhoud
Ik heb deze plug-in meerdere keren genoemd, dus het is tijd om uit te leggen wat het doet. WP-Security-Scan controleert uw WordPress op beveiligingsproblemen en stelt / biedt corrigerende maatregelen. De corrigerende maatregelen omvatten het wijzigen van uw databasevoorvoegsel, het verbergen van het WordPress-versienummer van de koptekst en u kunt de sterkte van uw wachtwoord testen.
Af en toe is het een goed idee om de ingebouwde beveiligingsscanner uit te voeren en uw blog te controleren op eventuele beveiligingsproblemen.
16. Wijzig het wachtwoord regelmatig
Je moet niet alleen je wachtwoord regelmatig wijzigen, je moet er ook voor zorgen dat het een sterk wachtwoord is. Als je er moeite mee hebt om er een te maken, zoek er dan een hoe je dat kunt maak sterke wachtwoorden die u gemakkelijk kunt onthouden Hoe u sterke wachtwoorden maakt die u gemakkelijk kunt onthouden Lees verder .
17. Update WordPress en alle plug-ins naar de nieuwste versie
Onnodig te zeggen dat upgraden naar de nieuwste versie van WordPress en plug-ins de beste manier is om jezelf te beschermen.
Uw verbinding beschermen
18. SFTP
Bestanden overzetten naar uw online account is een veelvoorkomende taak. In plaats van de onbeveiligde FTP te gebruiken, moet u echter gebruiken SFTP (Beveiligde FTP). Hierdoor wordt een SSH-verbinding gemaakt en worden al uw bestanden versleuteld naar de server gestuurd. Als u hulp nodig heeft bij het maken van een SFTP-verbinding, vindt u hier de gids.
De bovenstaande informatie zou voldoende moeten zijn om een veilige WordPress-blog te maken. Als u geen van deze heeft geïmplementeerd, zou ik u dringend willen verzoeken dit nu te doen.
Welke andere methoden gebruikt u om uw WordPress-blog te beveiligen?
Damien Oh is een all-out technologie-nerd die graag verschillende besturingssystemen aanpast en hackt om het leven gemakkelijker te maken. Bekijk zijn blog op MakeTechEasier.com waar hij alle tips, trucs en tutorials deelt.
