TechBlogSD - Kaikki WordPressin ja WEB: n kehittämiseen
WEB- ja WordPress - ohjeet, uutiset, arvostelut teemoista ja laajennuksista

WordPress -suojausopas – 28 vinkkiä sivustosi suojaamiseen

2

WordPress käyttää yli 35% Internetin verkkosivustoista. Suuren suosion ja avoimen lähdekoodin vuoksi WordPress -sivustot ovat yksi hakkereiden ja haittaohjelmien pääkohteista. Sinun WordPress sivusto voi olla helppo kohde hyökkääjät takia yksinkertainen admin käyttäjätunnuksen, helppo salasanoja ja vanhentuneita teeman tai laajennuksia. Mutta sinun ei tarvitse huolehtia, sivustosi on helppo suojata noudattamalla yksinkertaisia ​​ohjeita. Tässä on vaiheittainen WordPress -tietoturvaopas aloittelijoille, jotka ymmärtävät sivustosi suojaamisen hyökkääjiltä ja haavoittuvuuksilta.

Aiheeseen liittyviä: Lataa WordPress -suojausopas PDF -muodossa.

WordPress -suojausopas

  1. Pidä tietokone ja matkapuhelin viruksettomina
  2. Käytä suojattua isännöintiä
  3. Pidä asennuksesi ajan tasalla
  4. Käytä vahvoja salasanoja
  5. Ei järjestelmänvalvojan käyttäjätunnusta
  6. Turvallinen roolinhallinta
  7. Käytä luotettavia teemoja ja laajennuksia
  8. Poista teema- ja laajennuseditori käytöstä admin -käyttöliittymässä
  9. Estä PHP: n suorittaminen kojelaudalta
  10. Lopeta raa’an voiman hyökkäys
  11. Estä epäilyttävät käyttäjät, IP ja robotit
  12. Poista hakemiston selaus käytöstä
  13. Poista WordPress -versio käytöstä
  14. Vaihda tietokantataulukon etuliite
  15. Vaihda WordPress -järjestelmänvalvojan URL -osoite
  16. Käytä oikeita tiedostojen käyttöoikeuksia
  17. Seuraa tiedoston muutoksia
  18. Käytä palomuurin perusasetuksia
  19. Estä pääsy lokitiedostoon
  20. Poista XMLPRC ja pingbackit käytöstä
  21. Käsittele arkaluonteisia tietoja turvallisesti
  22. Estä roskapostit
  23. Säännöllinen sivuston varmuuskopiointi
  24. Tarkista sivusto haittaohjelmien varalta
  25. Seuraa 404 -virheitä
  26. Suojaa "wp-config.php" ja ".htaccess" -tiedostot
  27. Tarjoa suojattu kolmannen osapuolen pääsy
  28. Käytä suojauslaajennusta

1 Pidä tietokone ja matkapuhelin turvassa

WordPress -suojausopas - 28 vinkkiä sivustosi suojaamiseen

Verkkosivuston rakentaminen vaatii paljon resursseja, kuten asiakirjoja, kuvia, komentosarjoja, tiedostoja ja videoita. Saatat tarvita omaa kannettavaa tietokonetta ja matkapuhelinta sisällön rakentamisen jatkamiseksi. Erityisesti itse isännöidyssä WordPress-alustassa palvelimen etäkäyttö FTP: n kautta vaaditaan useimmiten vianmääritykseen ja lataamiseen. Asenna siis virustorjunta tietokoneellesi ja skannaa tiedostot säännöllisesti. Muista skannata laajennus- ja teematiedostot ennen lataamista WordPress -sivustollesi.

Yksittäisen haittakoodin sisältävän komentosarjan tai tiedoston lataaminen palvelimellesi pilaa kaiken työsi. Isännöintiyritys todennäköisesti myös kieltää tilisi, koska se aiheuttaa ongelmia palvelimelle. Varmista lisäksi, että käytät WordPress -hallintapaneeliasi vain suojatun WiFi -yhteyden kautta ja vältä julkisia verkkoja tietojen suojaamiseksi.

2 Suojattu isännöinti

WordPressin asentaminen vaatii maksullista isännöintiä, joka tulee ostaa miltä tahansa isännöintiyritykseltä. Uutena WordPress -käyttäjänä saatat kuluttaa vähemmän rahaa ja ostaa halvan jaetun isännöinnin sivustollesi. Epäilemättä tulet katumaan päätöstäsi valita huonon hosting -yrityksen ennemmin tai myöhemmin. Kun käytät jaettua palvelinta, on tärkeää, että kaikki palvelimen sivustot toimivat turvallisesti.

On tavallista, että sadat tai jopa tuhannet sivustot jakavat yhden palvelimen IP -osoitteen. Kun yksi sivusto palvelimellasi on hakkeroitu, on enemmän mahdollisuuksia, että koko palvelin voidaan hakkeroida ja saat myös vaikutuksen. Aiemmin oli monia tapauksia, tuhansia palvelimen sivustoja hakkeroitiin, koska hakkeri saattoi poistaa palvelimen haavoittuvuuden vuoksi yhdellä verkkosivustolla.

WordPress suosittelee muutamia suojattuja hosting -yrityksiä, kuten Bluehost, SiteGround ja DreamHost. Sinun on kuitenkin tarkistettava yritys ennen hosting -suunnitelman ostamista.

WordPress -suojausopas - 28 vinkkiä sivustosi suojaamiseen

WordPressin suosittelema isännöinti

Varmista, että sivustosi voidaan varmuuskopioida säännöllisesti ja varmuuskopio tallennetaan palvelimen ulkopuolelle. Turvallisuuden kannalta varmuuskopion tallentamisesta samalle palvelimelle ei ole mitään hyötyä, kun itse palvelin on hyökkäyksen kohteena.

3 Pysy ajan tasalla

WordPressissä on kolme pääkomponenttia, jotka päivitetään usein.

  • Teema
  • Laajennukset
  • Ydin WordPress -tiedostot

Koska uhat voivat kehittyä ajan kuluessa, kaikki nämä kolme osaa on päivitettävä uusimpaan ja suojattuun versioon. On erittäin suositeltavaa ottaa automaattinen päivitys käyttöön WordPress -versioissasi, jotta kaikki tietoturvakorjaukset asennetaan automaattisesti ilman väliintuloa. Varmista myös, että teemat ja laajennukset päivitetään isännöintipalvelimellasi, jotta ne ovat turvallisia ja ajan tasalla.

Lue lisää WordPressin toiminnasta.

4 Aseta vahva salasana

Yleensä käyttäjät asentavat WordPressin isäntäyritysten tarjoamilla yhden napsautuksen asennuspalveluilla. Tämä on alle 5 minuutin prosessi, ja on mahdollista, ettet anna kovin vahvaa salasanaa tämän nopean asennuksen aikana, varsinkin kun teet sen ensimmäistä kertaa. Myös useimmat käyttäjät unohtavat päivittää salasanan alkuasetusten jälkeen, ja jotkut viisaat käyttäjät käyttävät salasanaa myös salasanana.

Itse isännöity WordPress- sivusto tarvitsee paljon salasanoja eri syistä. Varmista, että sinulla on vahvat salasanat kaikille tileillesi ja suojaa tunnistetiedot tuntemattomilta.

  • Kirjautumissalasana WordPress -hallintapaneeliin
  • FTP -tilin kirjautumissalasana
  • Tietokannan salasana
  • Salasanat sivustosi eri käyttäjille, kuten järjestelmänvalvojalle, toimittajille, avustajille jne.
  • Isäntätilisi kirjautumissalasana
  • Salasanan cPanel ja phpMyAdmin pääsy

Voit myös käyttää kaksivaiheista todennusta kirjautuaksesi WordPress-hallintapaneeliin. Tämä auttaa saamaan kaksi salasanaa, esimerkiksi yhden kojelaudan ensimmäistä kirjautumista varten ja lisäsalasanan lähetetään matkapuhelimeesi viimeistä kirjautumista varten. Vaihda salasana heti, jos huomaat sivustossasi jotain vikaa. Käytä ilmaista salasanan luontityökalua monimutkaisen salasanan luomiseen ja salasanan vahvuuden tarkistamiseen ilmaisella salasanan vahvuuden tarkistustyökalullamme.

Aiheeseen liittyviä: Lataa WordPress -suojausopas PDF -muodossa.

5 Vaihda järjestelmänvalvojan käyttäjätunnus

Salasanojen tapaan useimmilla meistä on tapana antaa yksinkertainen käyttäjätunnus, kuten "admin". Botti tai hakkerit yrittävät ensimmäisen kerran kirjautua sivustollesi käyttäjänimellä "admin" ja salasanalla "password". Kun asennus on valmis, WordPress ei salli käyttäjänimen vaihtamista. Anna siis monimutkainen käyttäjätunnus ja salasana asennuksen aikana, jotta hakkerit ja robotit eivät voi arvata sitä helposti.

Lisätietoja järjestelmänvalvojan käyttäjänimen vaihtamisesta.

Voit pitää lempinimen ja näyttönimen eri kuin käyttäjätunnus, jotta hakkerit voivat löytää järjestelmänvalvojan käyttäjänimen. Yritä samalla tavalla pitää järjestelmänvalvojan, editorin ja avustajan käyttäjätunnukset erilaisina. Muussa tapauksessa hakkerit voivat helposti löytää ylläpitäjän käyttäjätunnuksen sivustoltasi tekijän arkistosivun kautta.

6 Käytä turvallista roolinhallintaa

WordPress tarjoaa monia rooleja sivustosi käsittelyssä olevien ihmisten luokittelemiseen. Järjestelmänvalvoja, toimittaja, avustaja, tilaaja ovat joitakin rooleja, jotka voit määrittää. Kun olet ottanut rekisteröintitoiminnon käyttöön sivustollasi, varmista, että tarjoat tilaajille tai ei roolia uusille käyttäjille.

WordPress -suojausopas - 28 vinkkiä sivustosi suojaamiseen

Ota tilaajarooli käyttöön uusille käyttäjille

Sinun on annettava järjestelmänvalvojan tunnistetiedot, jotta saat tietyn avustajan kaupallisille laajennuksillesi tai teemallesi. Luo aina erillinen järjestelmänvalvojakäyttäjä ja anna se vain tukifoorumien yksityiselle alueelle, jota muut käyttäjät eivät näe. Älä unohda poistaa käyttäjää, kun kyselysi on ratkaistu.

7 Käytä luotettavaa teemaa ja laajennuksia

WordPressissä on 57 tuhansia ilmaisia ​​laajennuksia, jotka ovat saatavilla arkistossa tämän artikkelin kirjoittamisen aikana. Näiden ilmaisten laajennusten lisäksi on saatavana vastaava määrä premium- ja ilmaisia ​​laajennuksia useiden kolmansien osapuolten verkkosivustojen kautta. Voit myös valita valtava määrä ilmaisia ​​ja premium -teemoja.

Erilaiset ilmaiset ja maksulliset laajennukset houkuttelevat aina aloittelijoita asentamaan ja kokeilemaan WordPress -sivustoaan. Teemojen ja laajennusten runsaus voi aiheuttaa valtavan turvallisuusuhan sivustollesi. Ei ole takeita siitä, että näitä laajennuksia ja teemoja ylläpidetään ja päivitetään uusimpien haavoittuvuuksien varalta. Älä osta tai asenna laajennuksia ja teemoja epäluotettavista resursseista ja pidä aina tapana testata laajennuksia ja teemoja kehityssivustollasi ennen niiden käyttöönottoa live -sivustolla. Valitse aina premium -versio saadaksesi asianmukaista tukea ilmaisten versioiden sijaan.

Turvallisuuden lisäksi lisää laajennuksia asentaminen vähentää myös sivusi latausnopeutta. Poista siis tarpeettomat laajennukset ja pidä luettelon leikkaus mahdollisimman pienenä.

Aiheeseen liittyviä: Kuinka asentaa WordPress -blogisi Bluehostilla?

8 Poista tiedoston muokkaus käytöstä hallintapaneelista

WordPressin avulla voit muokata teemoja ja liittää PHP -tiedostoja suoraan hallintapaneelista. Kun joku saa luvattoman pääsyn hallintapaneeliin, hän voi helposti syöttää haitallista koodia hallintapaneelista ilman pääsyä palvelimen juurihakemistoon. Varmista siis, että poistat editorin käyttöoikeuden suojataksesi tietosi ihmisiltä, ​​jotka käyttävät hallintapaneeliasi.

Lisää alla oleva koodi wp-config.php-tiedostoosi poistaaksesi laajennuksen ja teeman muokkausasetukset käytöstä järjestelmänvalvojan käyttöliittymässä.

define('DISALLOW_FILE_EDIT',true);

Lue lisää wp-config.php-tiedoston muokkaamisesta WordPress-asennuksessa.

9 PHP -tiedoston suorittamisen estäminen

Hakkerit suorittavat PHP -tiedostoja sivustollasi käynnistääkseen ei -toivottuja toimia. Voit estää käyttäjiä suorittamasta PHP -tiedostoja järjestelmänvalvojan käyttöliittymästä mistä tahansa muusta kuin omasta IP -osoitteestasi. Voit ottaa PHP-suorituksen estämisen käyttöön luomalla .htaccess-tiedoston ja asettamalla sen kansioon "/wp-content/plugins/" ja "/wp-content/themes/", jossa on seuraava sisältö:

<Files *.php > deny from all allow from "Your IP address" </Files>

10 Raa’an voiman hyökkäyksiltä suojaaminen

Raa’an voiman hyökkäys on tapa yrittää kirjautua sivustoosi arvaamalla käyttäjänimi ja salasana. Mikä tahansa WordPress-sivusto voidaan kirjautua sisään käyttämällä URL-osoitetta-"sinun sivustosi.com/wp-admin/" tai "oma sivusto.com/wp-login.php/". On tuhansia huonoja robotteja, jotka yrittävät kirjautua WordPress -sivustoosi, koska kirjautumis -URL -osoite on kaikkien tiedossa.

Vahvan järjestelmänvalvojan käyttäjätunnuksen ja salasanan säilyttäminen on välttämätöntä, jotta robotit eivät voi arvata. Toisaalta tuhannet robotit, jotka osuvat kirjautumissivullesi, lisäävät palvelimesi suorittimen ja RAM -muistin käyttöä. Tämä johtaa siihen, että isännöintiyritys kieltää tilisi etenkin jaetussa isännöintiympäristössä.

WordPressille on saatavana runsaasti suojauslaajennuksia, jotka suojaavat raa’an voiman hyökkäyksiä yhdellä tai seuraavien menetelmien yhdistelmällä.

  • Ota käyttöön suurin mahdollinen kirjautumisyritys, jotta käyttäjä lukitaan muutaman yrityksen jälkeen. Sinä järjestelmänvalvojana saat ilmoituksen lukituksesta, jossa on käyttäjänimi ja IP -tiedot.
  • Käytä captchaa sisäänkirjautumis- ja rekisteröintilomakkeilla suojataksesi robotit automaattisesti.
  • Kun tunnetut huonot robotit yrittävät kirjautua sisään, ne ohjataan localhost -palvelimelle, jotta ne eivät lataudu palvelimellesi.
  • Vaihda järjestelmänvalvojapaneelin kirjautumistunnuksen URL -osoite.
  • Pidä sallittujen luettelo, jotta vain nämä IP -osoitteet voivat käyttää kirjautumissivua. Kaikki muut IP -osoitteet estetään pääsemästä kirjautumissivullesi.
  • Evästeisiin perustuva kirjautumisen estäminen, jonka avulla vain ihmiset, joilla on erityinen eväste asetettu selaimessaan, voivat kirjautua sivustoosi.
  • Honeypot -tekniikan avulla voit lisätä piilotetun kentän kirjautumissivulle. Koska robotit täyttävät yleensä kaikki kirjautumissivun kentät, ne voidaan helposti estää pääsemästä sivustoosi.

Opi estämään raa’an voiman hyökkäys WordPress -sivustossa yksityiskohtaisesti.

11 Estä epäilyttävä käyttäjä, botit ja IP -musta lista

Toinen tärkeä turvallisuusnäkökohta on seurata käyttäjiä ja robotteja, jotka käyttävät sivustoasi. Koska suurin osa maksullisista isännöintipalveluista perustuu liikennerajoituksiin, sinun on seurattava sivustoasi indeksoivia automaattisia botteja. Löydät liikennetiedot käyttämällä yhtä isäntätilisi tilastotyökaluista, kuten "Awstats". Yksittäiset käyttäjät, botin käyttäjäagentin nimi ja IP -osoitteet voidaan estää sivustosi suojaamiseksi.

Voit myös helposti estää kaikki muut IP-osoitteesi kuin omasi luomalla .htaccess-tiedoston ja asettamalla sen "/wp-admin/" -kansioon seuraavalla koodilla:

order deny,allow allow from "Your IP address" deny from all

Jos käytät hallintapaneelia useammasta kuin yhdestä IP -osoitteesta, salli useita IP -osoitteita lisäämällä useita sallimiskomentoja alla kuvatulla tavalla:

order deny,allow allow from "Your IP address1" allow from "Your IP address2" allow from "Your IP address3" deny from all

Voit myös estää koko maan käyttämällä maanestolaajennuksia.

12 Poista hakemiston selaus käytöstä

Hakemiston selaamisen avulla kuka tahansa käyttäjä voi selata sivustosi hakemistorakennetta. Kuka tahansa voi esimerkiksi avata kansion "/wp-content/plugins/" selaimessa ja tarkistaa kaikki sivustollesi asennetut laajennukset. Kun hakkeri tietää, että sivustossasi on ongelmallinen laajennus, se on helppo kaapata sivustosi.

Hakemiston selaaminen voidaan poistaa käytöstä lisäämällä alla oleva direktiivi palvelimen juurihakemistossa olevaan .htaccess -tiedostoon.

Options All -Indexes

Opi muokkaamaan .htaccess -tiedostoa WordPress -sivustossa.

13 Poista WordPress -versio käytöstä

WordPress -sivustot näyttävät sen käyttämän WordPress -version sivujen lähdekoodissa. Voit napsauttaa hiiren kakkospainikkeella ja tarkastella WordPress -sivustosi lähdekoodia selaimessa löytääksesi versiotiedot seuraavasti:

<meta name="generator" content="WordPress 5.5" />

Ihannetapauksessa ei ole tarpeen piilottaa tätä metageneraattoriagia, jos päivität nopeasti uusimpaan versioon. On suositeltavaa piilottaa nämä versiotiedot, jos et käytä uusinta versiota tai et päivitä sitä säännöllisesti.

Vanhoissa WordPress -versioissa on monia tunnettuja haavoittuvuuksia, jotka on korjattu ajan kuluessa. Hakkerit voivat käyttää näitä versiotietoja löytääkseen vanhoja versioita käyttävät sivustot ja lisätäkseen heikkoudet helposti. Metageneraattorin tunnisteen lisäksi WordPress näyttää myös versionumeron useimmissa tyylitaulukko- ja komentotiedostoissa liittämällä merkkijonon "/?ver=5.5". Käytä tietoturvalaajennuksia versiotietojen poistamiseen kokonaan kaikista lähdekoodeista.

SEO -tarjous: Optimoi sivustosi Semrush Pro -sovelluksen 14 päivän ilmaisella kokeilujaksolla.

14 Muuta tietokantataulukon etuliitettä

Kun asennat WordPressin, sinua kehotetaan syöttämään etuliite MySQL -tietokannasi taulukoille. WordPress lisää oletuksena "wp_" kaikkiin tietokantataulukoihin etuliitteenä. Esimerkiksi kaikki WordPress -sivustosi tekstisisältö tallennetaan taulukkoon "wp_posts". Tämä tekee hakkereista helpon pistää haitallista koodia tietokantataulukoihisi suoraan sopimattoman käytön kautta.

Yleensä yhdellä napsautuksella tapahtuva asennus web-hosting-yrityksiltä lisää aina monimutkaisen etuliitteen WordPress-tietokantaasi. Mutta kun asennat WordPressin manuaalisesti, jos olet antanut yksinkertaisen etuliitteen, suosittelemme sen muuttamista nyt. Voit muuttaa tietokantataulukon etuliitettä millä tahansa suojauslaajennuksella, koska manuaalinen muuttaminen on melko vaikea tehtävä aloittelijoille.

Muuttamalla etuliitettä parannat tietokantasi suojaa, koska hakkerit eivät voi arvata oikeita taulukoiden nimiä.

15 Vaihda WordPress -kirjautumisen URL -osoite

Kirjautumis -URL -osoitteen muuttaminen vähentää raa’an voiman hyökkäyksiä, koska mikään robotti tai hakkeri ei löydä tapaa kirjautua sivustoosi. Laajennukset, kuten iThemes Security ja All in one WP -suojaus ja palomuuri, tarjoavat helpon tavan muuttaa kirjautumisen URL -osoitetta. Voit säilyttää URL -osoitteen, esimerkiksi " http://yoursitename.com/dontattack1me4/ “, joka sisältää aakkosnumeerisia, jotta se olisi turvallisempi.

16 Oikeiden tiedostojen käyttöoikeuksien käyttäminen

Jokaisella WordPress -asennuksesi tiedostolla ja kansiolla on määritetty tiedostooikeus. Tämä auttaa päättämään, kuka voi lukea, kirjoittaa tai suorittaa tiettyjä sivuston tiedostoja. Yleensä tiedostot, kuten "wp-config.php" ja ".htaccess", on suojattava asianmukaisella luvalla, jotta julkinen ryhmä ei voi käyttää näitä tiedostoja.

WordPress -suojausopas - 28 vinkkiä sivustosi suojaamiseen

Muuta tiedoston käyttöoikeutta FileZilla -ohjelmalla

WordPressin määrittämät oletustiedosto -oikeudet riittävät enimmäkseen tietojen suojaamiseen. Mutta ongelma ilmenee, kun asennat laajennuksia ja teemoja, jotka muuttavat tai luovat useita kansioita asennukseesi. On hyvä käytäntö tarkistaa sivustosi ja varmistaa, että sinulla on oikeat oikeudet kaikkiin tärkeisiin kansioihin.

17 Tiedostojen muutosten seuranta

Hakkerit syöttävät haitallista koodia tiedostojärjestelmääsi ja näyttävät niiden sisällön sinun sijasta, kun sivusto avataan. On siis viisasta seurata sivustosi tärkeiden tiedostojen muutoksia. Yleensä kaikkien ydintiedostojen, joilla on .php-laajennus (kuten "wp-config.php"), ei saa muuttaa kukaan tietämättäsi.

Voit saavuttaa tämän tiedostojen seurannan käyttämällä mitä tahansa suojauslaajennuksia. Näiden laajennusten avulla voit valita tietyn hakemiston ja tiedostot sivustollasi seurattavaksi.

18 Käytä palomuurin perusasetuksia

On olemassa perus- ja lisäpalomuuriasetuksia, jotka parantavat WordPress -sivustosi suojausta. Yleensä nämä ohjaimet lisätään .htaccess -tiedostoon ja estävät hakkereita ja botteja pääsemästä sivustoosi. Jotkut palomuuriasetukset WordPressin turvallisuuden parantamiseksi ovat:

  • Estä pääsy tiedostoihin "wp-config.php" ja ".htaccess".
  • Rajoita tiedoston latauskokoa
  • Poista palvelimen allekirjoitus

19 Estä pääsy lokitiedostoon

WordPress -ongelmien vianmääritys vaatii asiantuntevaa tilanteen analysointia. WordPressin avulla voit ottaa käyttöön virheenkorjauksen kirjaamisen, jotta on helppo selvittää, mitä tapahtuu, kun toiminto käynnistyy sivustollasi. Kun virheenkorjaus on otettu käyttöön, "debug.log" -tiedosto tallennetaan kansioon "/wp-content/debug.log". Tämä on tärkeä tiedosto, joka on suojattava hakkereilta arkaluonteisten tietojen vuotamisen välttämiseksi. Poista virheenkorjaus käytöstä, kun vianmääritys on tehty, ja poista lokitiedostot.

Voit myös poistaa käytöstä selaimen pääsyn "debug.log" -tiedostoon ja jatkaa pääsyä FTP: llä.

20 Poista XMLPRC ja Pingbacks käytöstä

Kun seuraat sivustosi liikennettä, hämmästyt, kun näet kuinka monta robottia yrittää päästä sivulle "/xmlprc.php". On monia mahdollisuuksia, joilla hakkerit voivat käyttää XMLPRC -sovellusliittymää sivustosi poistamiseen, mukaan lukien haavoittuvuudet, kuten DoS tai Denial of Service.

Hakkerointiongelmien lisäksi on välttämätöntä suojata pääsy "xmlprc.php" -sivulle isäntäpalvelimen kuormituksen vähentämiseksi. Varmista, ettet käytä XMLPRC -toimintoa WordPress -sivustossasi, ja poista se käytöstä suojataksesi sivustoasi hakkereilta.

Varoitus: Huomaa, että jotkin laajennukset ja sovellukset, kuten WordPress iOS -sovellus, käyttävät tätä XMLPRC -sovellusliittymää. Jos poistat palvelun käytöstä, sovellus tai laajennus ei toimi.

XMLPRC: n tapaan pingbackit voivat myös luoda suojausongelmia sivustollesi. Voit poistaa pingbackit käytöstä hallintapaneelista ja parantaa sivustosi tietosuojaa.

WordPress -suojausopas - 28 vinkkiä sivustosi suojaamiseen

Poista Pingbackit käytöstä WordPressissä

21 Käsittele arkaluonteisia tietoja turvallisesti

WordPress -suojausmaailmassa hakkerointi ei välttämättä tarkoita aina sivuston tai palvelimen kaappaamista. Useimmiten hakkerointi tehdään varastamaan arkaluonteisia tietoja, kuten sähköpostit ja luottokorttitiedot, jotka ovat saatavilla sivustolla. Käytä HTTPS -protokollaa sivuilla tietojen keräämiseen lomakkeiden kautta, varsinkin jos tiedot ovat luonteeltaan arkaluonteisia, kuten taloudelliset tiedot, sosiaaliturvatunnus jne., Ja lähetä tiedot suojattujen sähköpostipalvelimien kautta suojautuaksesi hakkereilta. Varsinkin jos sinulla on verkkokauppa, on pakollista käyttää SSL -salausta ja pakottaa HTTPS -protokolla maksutapahtumiin.

Älä käytä robots.txt -tiedostoa tärkeiden sivujen ja hakemistojen piilottamiseen hakukoneilta. Kuka tahansa voi tarkastella robots.txt -tiedostoasi selaimessa ja käyttää piilotettuja sivuja. ".Htaccess" -direktiivien käyttö voi parantaa hallintaa, mutta keskustele laajennusten kehittäjän tai asiantuntijan kanssa, jos et ymmärrä, miten tiedot tallennetaan ja siirretään.

Yleensä lomakkeista kerätyt tiedot tallennetaan tietokannan mukautettuihin taulukoihin ja niitä käytetään eri tarkoituksiin. Varmista siis, ettei kenelläkään ole pääsyä isäntätilillesi ja lue tietokantataulukoita.

22 Estää roskapostin

Vaikka roskapostitus ei ole hakkerointi, hakkeri voi olla roskapostittaja, joka tarkistaa sivustosi haavoittuvuudet kommenttien tai lomakkeiden kautta.

  • Varmista, että käytät Akismetin kaltaisia roskapostin estäviä laajennuksia suojataksesi sivustoasi roskapostittajilta.
  • Tarvittaessa voit käyttää captchaa kommentti-, kirjautumis-, rekisteröinti- ja yhteydenottolomakkeissa.
  • Estä kommentit, jotka eivät ole peräisin verkkotunnuksestasi, jotta robotit eivät automaattisesti luo kommentteja sivustosi ulkopuolelta.

23 Varmuuskopioi säännöllisesti sivustot

Outlookista tietoturva ja varmuuskopiointi näyttävät kahdelta eri aiheelta. Mutta totuus on, että ne liittyvät toisiinsa yksittäisen toiminnan kahdessa vaiheessa. Kun sivusto hakkeroidaan, sinun on ensin hankittava suojattu varmuuskopio sisällön palauttamiseksi.

  • Varmista, että sinulla on säännöllinen varmuuskopio sivustotiedostoista ja tietokannasta.
  • Tallenna varmuuskopio isäntäpalvelimen ulkopuolelle.
  • Suojaa varmuuskopiot luvattomalta käytöltä samalla tavalla kuin live -sivustosi.
  • Testaa ja varmista, että varmuuskopiointi toimii ja voidaan palauttaa hätätilanteessa.
  • Tarkista isännältäsi, että koko sivuston sisältö on varmuuskopioitu ja että he voivat auttaa palauttamisessa katastrofin aikana.

Varmuuskopioi sivustosi säännöllisesti, jotta se voidaan palauttaa hätätilanteissa. Lataa myös varmuuskopio paikalliselle tietokoneellesi ja pidä se poissa isäntäpalvelimeltasi. Paikallinen varmuuskopio auttaa sinua palauttamaan sivustosi, kun palvelimesi on saanut tartunnan.

Huomautus: Voit luoda paikallisen WordPress -kehitysympäristön käyttämällä MAMP -ohjelmaa millä tahansa muulla ohjelmistolla ja varmuuskopioida live -sivustosi paikalliseen tietokoneeseen määräajoin.

24 Haittaohjelmien etsiminen

Haitta- tai haittaohjelmisto on koodinpätkä, jonka hakkeri lisää tavalliseen koodiin. Haittaohjelmien löytäminen sivustolta voi olla vaikeaa, koska haittakoodin erottaminen on vaikeaa. Tarkista sivustosi säännöllisesti haittaohjelmien varalta maksullisilla suojauspalveluilla varmistaaksesi, että sivustosi sisältö on turvassa. Useimmat hosting -yritykset ja tietoturvalaajennukset tarjoavat haittaohjelmien skannaustoiminnon ja lähettävät skannaustilan sähköpostiisi.

Kun sivustosi on saanut haittaohjelmia tai muita WordPress -suojausongelmia, saatat huomata ensimmäisenä liikenteen vähenemisen. Koska hakukonerobotit, kuten Googlebot, ovat erittäin älykkäitä, ne voivat havaita haitallisen koodin ja alentaa hakusijoitustasi suojellakseen käyttäjiä. Voit käyttää Google Search Consolen suojaustyökaluja ja varmistaa, että sivustosi on turvallinen selata.

WordPress -suojausopas - 28 vinkkiä sivustosi suojaamiseen

Tarkista suojausongelmat Google Search Consolessa

25 Valvonta 404 Virheet

Automaattiset robotit yrittävät käyttää sivustosi ei-olemassa olevia sivuja, mikä johtaa 404-virheeseen. Valvonta 404 -virhe antaa sinulle käsityksen siitä, kuka yrittää käyttää sivustosi vanhoja tai olemattomia URL-osoitteita.

Esimerkiksi botti tai käyttäjä yrittää päästä olemassa olevalle sivulle “…/payment/” olisi estettävä. Tämä osoittaa, että robotti tai käyttäjä yrittää arvata sivustosi mahdollisia piilotettuja sivuja saadakseen arkaluonteisia tietoja.

Aiheeseen liittyviä: WordPress SEO -opas haun sijoituksen parantamiseksi.

26 Suojaa WP-config- ja .htaccess-tiedostot

"Wp-config.php" on asetustiedosto, joka sisältää tärkeitä tietoja, kuten WordPress-sivustosi tietokannan nimen ja salasanan. Tiedostoon pääsee FTP: n tai isäntätilin kautta käyttämällä vaihtoehtoja, kuten "Tiedostonhallinta". Useimmat suojauslaajennukset lisäävät parametreja tähän määritystiedostoon hallitakseen toimintaa. On erittäin suositeltavaa ottaa varmuuskopio “wp-config.php” -tiedostosta ennen kuin teet mitään asetuksia suojaukseen liittyville laajennuksille.

Samoin sivustosi juurihakemistossa oleva .htaccess -tiedosto on avaintiedosto, jota käytetään turvatoimenpiteisiin. Varmista, että sinulla on varmuuskopio ennen kuin muokkaat tiedostoa suojauslaajennusten avulla.

27 Suojatun kolmannen osapuolen pääsyn tarjoaminen

Kun ostat teeman tai laajennuksen kolmannen osan verkkosivustolta, saatat joutua antamaan järjestelmänvalvojan käyttöoikeudet niihin vianmääritystä varten. Noudata alla olevia ohjeita, kun olet tekemisissä kolmannen osapuolen kehittäjien kanssa:

  • Tarkista kaikki vianmäärityksen näkökohdat ja vahvista tarve jakaa järjestelmänvalvojan käyttöoikeustiedot.
  • Älä koskaan jaa omaa järjestelmänvalvojan oikeutta kolmansien osapuolten verkkosivustoille.
  • Luo uusi käyttäjätunnus järjestelmänvalvojan oikeuksilla ja anna heille.
  • Kun tarjoat FTP -pääsyä, varmista, että rajoitat vain vaaditun kansion tai toimialueen käyttöoikeuksia.
  • Kun poistat FTP -tiliä, poista vain tili, älä FTP -tiliin liittyviä tietoja. Jos FTP -tili poistetaan väärin liittyvien tietojen perusteella, sisältö pyyhkiytyy pois muutamassa sekunnissa.

28 Käytä WordPress -suojauslaajennuksia

Kaikkien edellä mainittujen turvatoimien toteuttaminen on pelottava tehtävä sivustojen omistajille. Onneksi siellä on monia ilmaisia ​​ja premium -tason WordPress -suojauslaajennuksia, jotka tarjoavat näitä ominaisuuksia paketina. Voit joko käyttää ilmaisia ​​laajennuksia, kuten All in One WP Security ja Firewall, tai osittain ilmaisia ​​laajennuksia, kuten iThemes security / Wordfence. Suurin osa edellä mainituista kohdista tarjotaan pakettina näissä suojalaajennuksissa ja helpottavat työtäsi.

Alla on joitain suosittuja suojauslaajennuksia, ja suosittelemme, että testaat tarpeisiisi sopivan laajennuksen ennen asentamista live -sivustolle.

Suojauspaketin laajennukset

Nämä laajennukset tarjoavat useimmat suojausominaisuudet nipuna.

  • iThemes Security (aiemmin Better WP Security)
  • Wordfence Security
  • BulletProof Security
  • Kaikki yhdessä WordPress -suojaus ja palomuuri

Salasanasuojauslaajennukset

  • Pakota vahvat salasanat
  • WordPress -salasanan vanheneminen

Brute Force Protection

  • Kirjautumisen suojausratkaisu
  • Kirjaudu sisään LockDown
  • Nimeä wp-login.php
  • Jetpack Protect -moduuli.
  • Lukitus WP -järjestelmänvalvoja
  • Clef-Kaksivaiheinen todennus
  • Google Authenticator

HTTPS -laajennus

  • WordPress HTTPS (SSL)

Sähköpostin suojaus

  • WP Mail SMTP

Lopulliset sanat

Vaikka luettelo on pitkä, sinun on noudatettava kaikkia näitä WordPress -suojausvinkkejä sivustosi suojaamiseksi. Kuten mainittiin, voit käyttää mitä tahansa ilmaista tai premium -laajennusta useimpien näiden toimintojen toteuttamiseen. Lisäksi suosittelemme pitämään tietoturvan tapana ottaa säännölliset varmuuskopiot ja ylläpitää sivustosi ajan tasalla olevilla päivityksillä.

Leave A Reply

Tämä verkkosivusto käyttää evästeitä parantaakseen käyttökokemustasi. Oletamme, että olet kunnossa, mutta voit halutessasi kieltäytyä. HyväksyäLisätietoja