TechBlogSD - Alt for WordPress- og WEB -utvikling
WEB- og WordPress -instruksjoner, nyheter, anmeldelser av temaer og plugins

WordPress sikkerhetsguide – 28 tips for å beskytte nettstedet ditt

2

WordPress driver mer enn 35% av nettstedene på Internett. På grunn av den høye populariteten og åpen kildekode, er WordPress -nettsteder et av hovedmålene for hackere og ondsinnet programvare. WordPress -nettstedet ditt kan være et enkelt mål for angripere på grunn av enkelt admin -brukernavn, enkle passord og utdatert tema eller plugins. Men du trenger ikke bekymre deg, det er enkelt å beskytte nettstedet ditt ved å følge noen enkle trinn. Her er en trinnvis WordPress -veiledning for nybegynnere for å forstå ulike aspekter ved å beskytte nettstedet ditt mot angripere og sårbarheter.

Relatert: Last ned WordPress sikkerhetsguide i PDF -format.

WordPress sikkerhetsguide

  1. Hold datamaskinen og mobilen fri for virus
  2. Bruk sikker hosting
  3. Hold installasjonen oppdatert
  4. Bruk sterke passord
  5. Ingen admin brukernavn
  6. Sikker rollehåndtering
  7. Bruk pålitelige temaer og plugins
  8. Deaktiver tema og plugin -editor i admin -grensesnittet
  9. Blokker PHP -kjøring fra dashbordet
  10. Stopp brute force -angrep
  11. Blokker mistenkelige brukere, IP og roboter
  12. Deaktiver katalogsøk
  13. Deaktiver WordPress -versjonen
  14. Endre prefixet for databasetabeller
  15. Endre WordPress admin -URL
  16. Bruk riktige filtillatelser
  17. Spor filendringer
  18. Bruk grunnleggende brannmurinnstillinger
  19. Nekte tilgang til loggfil
  20. Deaktiver XMLPRC og pingbacks
  21. Håndter sensitive data sikkert
  22. Forhindre spam
  23. Periodisk sikkerhetskopiering av nettstedet
  24. Skann nettstedet for skadelig programvare
  25. Overvåk 404 feil
  26. Beskytt “wp-config.php" og “.htaccess” filer
  27. Gi sikker tredjepartstilgang
  28. Bruk sikkerhetsplugin

1 Hold datamaskinen og mobilen trygg

WordPress sikkerhetsguide - 28 tips for å beskytte nettstedet ditt

Å bygge et nettsted krever mange ressurser som dokumenter, bilder, skript, filer og videoer. Du må kanskje ha en dedikert bærbar datamaskin og mobil for å fortsette å bygge innholdet ditt. Spesielt på egen hosting WordPress-plattform er det nødvendig med ekstern tilgang til serveren via FTP for feilsøking og opplasting. Installer derfor antivirus på datamaskinen og skann filene regelmessig. Ikke glem å skanne plugin og temafiler før du laster opp til WordPress -nettstedet ditt.

Å laste opp et enkelt skript eller en fil med ondsinnet kode på serveren din vil ødelegge alt ditt harde arbeid. Vertsselskapet ditt vil sannsynligvis også utestenge kontoen din for å forårsake problemer med serveren. I tillegg må du bare få tilgang til WordPress -dashbordet ditt via en sikret WiFi -tilkobling og unngå offentlige nettverk for å beskytte dataene dine.

2 Sikker hosting

Installasjon av WordPress krever betalt hosting som bør kjøpes fra noen av vertsselskapene. Som ny WordPress -bruker kan du ha en tendens til å bruke mindre penger og ende opp med å kjøpe en billig delt hosting for nettstedet ditt. Utvilsomt vil du angre på din beslutning om å velge et dårlig hostingfirma før eller siden. Når du er på en delt server, er det viktig at alle nettstedene på den serveren kjører trygt.

Det er vanlig at hundrevis eller til og med tusenvis av nettsteder deler en enkelt server -IP -adresse. Når ett nettsted på serveren din er hacket, er det flere muligheter for at hele serveren kan bli hacket, og du vil også bli påvirket. Det var mange tilfeller tidligere, tusenvis av nettsteder på en server ble hacket da hackeren kunne ta ned serveren gjennom sårbarhet på et enkelt nettsted.

WordPress anbefaler få sikrede vertsselskaper som Bluehost, SiteGround og DreamHost. Du må imidlertid sjekke med selskapet før du kjøper en hostingplan.

WordPress sikkerhetsguide - 28 tips for å beskytte nettstedet ditt

WordPress anbefalt hosting

Sørg for at nettstedet ditt kan bli fullstendig sikkerhetskopiert med jevne mellomrom og at sikkerhetskopien lagres utenfor serveren. Fra sikkerhetsmessig synspunkt er det egentlig ikke nyttig å lagre sikkerhetskopien på den samme serveren når selve serveren er under angrep.

3 Hold deg oppdatert

WordPress har tre hovedkomponenter som skal oppdateres ofte.

  • Tema
  • Plugins
  • Kjerne WordPress -filer

Ettersom trusler kan utvikle seg over tid, bør alle disse tre komponentene oppdateres til de nyeste og sikrede versjonene. Det anbefales på det sterkeste å aktivere automatisk oppdatering for WordPress -versjonene dine, slik at eventuelle sikkerhetsoppdateringer automatisk installeres uten din intervensjon. Sørg også for å oppdatere temaer og plugins på vertsserveren slik at de er sikre og oppdaterte.

Lær mer om hvordan WordPress fungerer.

4 Sett sterkt passord

Vanligvis installerer brukere WordPress gjennom ett-klikk installasjonstjenester som tilbys av vertsselskapene. Dette er mindre enn 5-minutters prosess, og det er muligheter for at du kanskje ikke gir et veldig sterkt passord under denne raske installasjonsprosessen, spesielt når du gjør det for første gang. Også de fleste brukerne glemmer å oppdatere passordet etter første oppsett, og noen kloke brukere bruker til og med passordet som "passord".

Selvstendig WordPress- nettsted trenger mange passord av forskjellige årsaker. Sørg for å ha sterke passord for alle kontoene dine og beskytt legitimasjonen mot ukjente mennesker.

  • Påloggingspassord for WordPress admin panel
  • FTP -konto påloggingspassord
  • Passord for databasen din
  • Passord for forskjellige brukere på nettstedet ditt som administrator, redaktører, bidragsytere osv.
  • Passordet for pålogging av hostingkontoen din
  • Passord for cPanel og phpMyadmin tilgang

Du kan også bruke tofaktorautentisering for å logge deg på WordPress-dashbordet. Dette hjelper å ha to passord, for eksempel ett for første pålogging på dashbordet, og et ekstra passord vil bli sendt til mobilen din for endelig pålogging. Endre passordet umiddelbart hvis du ser at noe går galt på nettstedet ditt. Bruk vårt gratis passordgeneratorverktøy for å lage komplekse passord og sjekk styrken til passordet ditt ved hjelp av vårt gratis passordstyrkeverktøy.

Relatert: Last ned WordPress sikkerhetsguide i PDF -format.

5 Endre brukernavn for administrator

I likhet med passordene er det en vane for de fleste av oss å oppgi et enkelt brukernavn som "admin". Det første forsøket noen bot eller hackere vil prøve å logge på nettstedet ditt er med brukernavnet "admin" og passordet som "passord". Når installasjonen er fullført, tillater ikke WordPress deg å endre brukernavnet. Så oppgi komplekse brukernavn og passord under installasjonen, slik at hackere og roboter ikke kan gjette det lett.

Lær mer om hvordan du endrer brukernavnet ditt.

Du kan holde kallenavnet og visningsnavnet annerledes enn brukernavnet for å gjøre det vanskelig for hackere å finne admin -brukernavnet. Prøv på samme måte å holde brukernavn, administrator og redaktør annerledes. Ellers er det enkelt for hackere å finne admin -brukernavnet på nettstedet ditt med forfatterarkivsiden.

6 Bruk sikker rollebehandling

WordPress tilbyr mange roller for å klassifisere menneskene som håndterer nettstedet ditt. Administrator, redaktør, bidragsyter, abonnent er noen av rollene du kan tildele. Når du har registreringsfunksjonen aktivert på nettstedet ditt, må du sørge for å tilby abonnenten eller ingen rolle for de nye brukerne som registrerer seg.

WordPress sikkerhetsguide - 28 tips for å beskytte nettstedet ditt

Aktiver abonnentrolle for nye brukere

Det er nødvendig å oppgi administratorlegitimasjon for å få en bestemt assistent for dine kommersielle plugins eller tema. Opprett alltid en egen admin -bruker, og oppgi den bare i et privat område av supportfora som ikke kan sees av andre brukere. Ikke glem å slette brukeren når spørringen er løst.

7 Bruk pålitelig tema og plugins

WordPress har 57 tusen gratis plugins tilgjengelig i depotet når denne artikkelen er skrevet. I tillegg til disse gratis pluginene, er det tilsvarende antall premium og gratis plugins som tilbys via forskjellige tredjeparts nettsteder. På samme måte er et stort antall gratis og premium -temaer tilgjengelig for deg å velge mellom.

Ulike typer gratis og betalte plugins frister alltid nybegynnere til å installere og prøve på sitt WordPress -nettsted. Overfloden av temaer og plugins kan forårsake stor sikkerhetstrussel for nettstedet ditt. Det er ingen garanti for at disse pluginene og temaene blir vedlikeholdt og oppdatert for å beskytte mot de siste sårbarhetene. Ikke kjøp eller installer plugins og temaer fra upålitelige ressurser, og ha alltid en vane med å teste plugins og temaer på utviklingsnettstedet ditt før du distribuerer det på live -nettstedet. Bruk alltid en premium -versjon for å få passende støtte i stedet for å gå for gratisversjoner.

I tillegg til sikkerhet, vil installering av flere plugins også redusere sidehastigheten. Slett derfor unødvendige plugins og behold listetrimmen så lite som mulig.

Relatert: Hvordan sette opp WordPress -bloggen din med Bluehost?

8 Deaktiver filredigering fra administrasjonspanelet

WordPress lar deg redigere tema og plugin PHP -filer rett fra adminpanelet. Når noen har uautorisert tilgang til administrasjonspanelet ditt, kan de enkelt injisere ondsinnet kode fra dashbordet uten å få tilgang til rotkatalogen til serveren. Så sørg for å fjerne redigerertilgangen for å beskytte dataene dine fra personene som får tilgang til administrasjonspanelet.

Legg til koden nedenfor i “wp-config.php” -filen for å deaktivere plugin- og temaredigeringsalternativene i admin frontend.

define('DISALLOW_FILE_EDIT',true);

Lær mer om hvordan du redigerer wp-config.php-filen på WordPress-installasjonen.

9 Forhindre utføring av PHP -filer

Hackere utfører PHP -filer på nettstedet ditt for å utløse uønsket handling. Du kan blokkere brukere som kjører PHP -filer fra administrasjonsgrensesnittet ditt fra en hvilken som helst annen IP -adresse enn din. For å aktivere blokkering av PHP-kjøring, opprett “.htaccess” -fil og plasser den i mappen “/wp-content/plugins/” og “/wp-content/theme/” med følgende innhold:

<Files *.php > deny from all allow from "Your IP address" </Files>

10 Beskyttelse mot brutal kraftangrep

Brute force attack er måten å prøve å logge inn på nettstedet ditt ved å gjette brukernavnet og passordet. Et hvilket som helst WordPress-nettsted kan logges inn ved hjelp av nettadressen-“yoursite.com/wp-admin/” eller “yoursite.com/wp-login.php/”. Det er tusenvis av dårlige roboter som vil prøve å logge på WordPress -siden din, ettersom påloggingsadressen er kjent for alle.

Det er viktig å ha et sterkt admin -brukernavn og passord, slik at roboter ikke kan gjette. På den annen side vil tusenvis av roboter som treffer påloggingssiden din øke CPU- og RAM -utnyttelsen av serveren din. Dette vil føre til at vertsselskapet ditt forbyr kontoen din, spesielt på delt hostingmiljø.

Det er mange sikkerhetsplugins tilgjengelig for WordPress for å beskytte brute force -angrep med én eller en kombinasjon av følgende metoder.

  • Aktiver maksimale påloggingsforsøk slik at brukeren blir låst etter få forsøk. Du som administrator vil få et varsel om lockout med brukernavn og IP -detaljer.
  • Bruk captcha på påloggings- og registreringsskjemaer for å beskytte automatiske påloggingsforsøk av bots.
  • Når kjente dårlige roboter prøver å logge på, blir de omdirigert til localhost -serveren for å unngå å laste på serveren din.
  • Endre nettadressen til påloggingspanelet for administrasjonspanelet.
  • Beholder en hvitliste for å bare gi IP -adressene tilgang til påloggingssiden. Alle andre IP -adresser nektes tilgang til påloggingssiden din.
  • Cookiebasert påloggingsforebygging som bare tillater personer som har en spesiell informasjonskapsel i nettleseren å logge på nettstedet ditt.
  • Bruk honeypot -teknikk til å sette inn et skjult felt på påloggingssiden. Siden roboter har en tendens til å fylle alle feltene på påloggingssiden, kan de enkelt stoppes fra å få tilgang til nettstedet ditt.

Lær hvordan du forhindrer brute force -angrep på WordPress -nettstedet i detalj.

11 Blokker mistenkelig bruker, roboter og IP -svarteliste

Et annet viktig aspekt ved sikkerhet er å overvåke brukere og roboter som får tilgang til nettstedet ditt. Siden de fleste av de betalte hostingtjenestene er basert på trafikkgrensen, er det nødvendig å overvåke de automatiserte robotene som gjennomsøker nettstedet ditt. Du finner trafikkdetaljene ved hjelp av et av statistikkverktøyene som er tilgjengelige i hostingkontoen din, for eksempel “Awstats”. Individuelle brukere, brukeragentnavnet til robotene og IP -adressene kan blokkeres for å beskytte nettstedet ditt.

Du kan også enkelt blokkere alle andre IP-adresser enn din ved å opprette en ".htaccess" -fil og plassere den i "/wp-admin/" -mappen med følgende kode:

order deny,allow allow from "Your IP address" deny from all

Hvis du får tilgang til administrasjonspanelet fra mer enn én IP -adresse, tillater du flere IP -adresser ved å legge til flere tillatelseskommandoer som nedenfor:

order deny,allow allow from "Your IP address1" allow from "Your IP address2" allow from "Your IP address3" deny from all

Du kan også blokkere hele landet ved å bruke landblokkerende plugins.

12 Deaktiver katalogsøk

Katalogsøk lar alle brukere bla gjennom katalogstrukturen på nettstedet ditt. For eksempel kan hvem som helst åpne mappen "/wp-content/plugins/" i nettleseren og kontrollere alle installerte plugins på nettstedet ditt. Når en hacker vet at det er et problematisk plugin på nettstedet ditt, vil det være en enkel inngangsdør å kapre nettstedet ditt.

Katalogsøk kan deaktiveres ved å legge til direktivet nedenfor i ".htaccess" -filen i rotkatalogen til serveren din.

Options All -Indexes

Lær hvordan du redigerer .htaccess -fil på WordPress -nettsted.

13 Deaktiver WordPress -versjon

WordPress -nettsteder viser versjonen av WordPress den bruker i sidekilde. Du kan høyreklikke og se WordPress -nettstedets kildekode i nettleseren for å finne versjonsinformasjonen som følger:

<meta name="generator" content="WordPress 5.5" />

Ideelt sett er det ikke nødvendig å skjule denne metagenerator -taggen hvis du raskt oppdaterer til den nyeste versjonen. Det anbefales å skjule denne versjonsinformasjonen hvis du ikke bruker den nyeste versjonen eller ikke oppdaterer med jevne mellomrom.

Gamle WordPress -versjoner har mange kjente sårbarheter som er løst over tid. Hackere kan bruke denne versjonsinformasjonen til å finne nettstedene som bruker gamle versjoner, og kan enkelt injisere disse sårbarhetene. I tillegg til metagenerator -taggen, viser WordPress også versjonsnummeret i de fleste stilark og scriptfiler ved å legge til strengen “/?ver=5.5 ″. Bruk sikkerhetsplugins for å fjerne versjonsinformasjon helt fra alle kildekoder.

SEO -tilbud: Optimaliser nettstedet ditt med Semrush Pro 14 dagers gratis prøveperiode.

14 Endre Databasetabell -prefiks

Når du installerer WordPress, blir du forfremmet til å angi prefiks for tabellene i MySQL -databasen. WordPress legger som standard til "wp_" i alle databasetabeller som et prefiks. For eksempel er alt tekstinnhold på WordPress -nettstedet ditt lagret under tabellen "wp_posts". Dette gjør hackerejobben enkel å injisere ondsinnet kode i databasetabellene direkte gjennom upassende tilgang.

Vanligvis legger ett klikk installasjon fra webhotellfirmaer alltid til et komplekst prefiks i WordPress-databasen din. Men når du installerer WordPress manuelt hvis du har gitt et enkelt prefiks, anbefaler vi at du endrer det nå. Du kan endre prefikset i databasetabellen ved å bruke hvilken som helst av sikkerhetspluggen, siden manuell endring er ganske vanskelig for nybegynnere.

Ved å endre prefikset forbedrer du beskyttelsen til databasen din, da hackere ikke kan gjette de riktige tabellnavnene.

15 Endre WordPress påloggingsadresse

Hvis du endrer påloggingsadressen, reduseres angrepet av brutal kraft siden ingen roboter og hackere finner måten å logge inn på nettstedet ditt. Plugins som iThemes Security og Alt i ett WP -sikkerhet og brannmur tilbyr enkel måte å endre påloggingsadressen. Du kan beholde URL -en slik som ” http://yoursitename.com/dontattack1me4/ ” som inneholder alfanumerisk for å gjøre den mer sikker.

16 Bruke riktige filtillatelser

Hver fil og mappe på WordPress -installasjonen din har definert filtillatelse. Dette hjelper deg med å bestemme hvem som kan lese, skrive eller kjøre bestemte filer på nettstedet. Generelt bør filer som "wp-config.php" og ".htaccess" beskyttes med riktig tillatelse, slik at offentlig gruppe ikke får tilgang til disse filene.

WordPress sikkerhetsguide - 28 tips for å beskytte nettstedet ditt

Endre filtillatelse ved hjelp av FileZilla

Standard filtillatelser definert av WordPress er stort sett tilstrekkelig for å beskytte dataene dine. Men problemet oppstår når du installerer plugins og temaer som vil endre eller opprette mange mapper på installasjonen. Det er en god praksis å skanne nettstedet ditt og sørge for å ha riktige tillatelser for alle viktige mapper.

17 Sporingsfilendringer

Hackere injiserer skadelig kode på filsystemet ditt og viser innholdet i stedet for ditt når nettstedet åpnes. Så det er en klok idé å holde oversikt over endringene i viktige filer på nettstedet ditt. Vanligvis bør alle kjernefiler med .php-utvidelse (som “wp-config.php”) ikke endres av noen uten din kunnskap.

Du kan oppnå denne filsporing ved å bruke hvilken som helst av sikkerhetsprogrammene. Disse pluginene lar deg velge spesifikk katalog og filer på nettstedet ditt for å spore.

18 Bruk grunnleggende brannmurinnstillinger

Det er grunnleggende og avanserte brannmurinnstillinger for å forbedre sikkerheten til WordPress -nettstedet ditt. Vanligvis legges disse kontrollene til i. .Htaccess -filen og forhindrer hackere og roboter i å få tilgang til nettstedet ditt. Noen av brannmurinnstillingene for å forbedre WordPress -sikkerhet inkluderer:

  • Nekte tilgang til “wp-config.php” og “.htaccess” filer.
  • Begrens filopplastingsstørrelse
  • Fjern serversignaturen

19 Nekte tilgang til loggfil

Feilsøking av WordPress -problemer krever dyktig analyse av situasjonen. WordPress lar deg aktivere feilsøkingslogging slik at det er lett å finne ut hva som skjer når handlingen utløses på nettstedet ditt. Når feilsøking er aktivert, blir “debug.log” -filen lagret under “/wp-content/debug.log”. Dette er en viktig fil som skal beskyttes mot hackere for å unngå at sensitiv informasjon lekker. Sørg for å deaktivere feilsøking når feilsøkingen er ferdig, og slett loggfilene.

Du kan også deaktivere nettlesertilgang til “debug.log” -filen og fortsette å bruke FTP.

20 Deaktiver XMLPRC og Pingbacks

Når du overvåker trafikken til nettstedet ditt, vil du bli overrasket over å se antall bots som prøver å få tilgang til siden "/xmlprc.php". Det er mange muligheter hackere kan bruke XMLPRC API til å fjerne nettstedet ditt, inkludert sårbarheter som DoS eller Denial of Service.

I tillegg til hackingsproblemer, er det nødvendig å beskytte tilgangen til “xmlprc.php” -siden for å redusere belastningen på vertsserveren din. Sørg for at du ikke bruker XMLPRC -funksjonen på WordPress -nettstedet ditt, og deaktiver den for å beskytte nettstedet ditt mot hackere.

Advarsel: Legg merke til noen plugins og apper som WordPress iOS -appen bruker dette XMLPRC API. Hvis du deaktiverer tjenesten, fungerer ikke appen eller programtillegget.

I likhet med XMLPRC kan pingbacks også skape sikkerhetsproblemer for nettstedet ditt. Du kan deaktivere pingbacks fra administrasjonspanelet og forbedre databeskyttelsen for nettstedet ditt.

WordPress sikkerhetsguide - 28 tips for å beskytte nettstedet ditt

Deaktiver Pingbacks i WordPress

21 Håndter følsomme data sikkert

I WordPress -sikkerhetsverden betyr ikke hacking nødvendigvis alltid å kapre nettstedet eller serveren. Mesteparten av tiden blir hacking gjort for å stjele sensitive data som e -post og kredittkortinformasjon som er tilgjengelig på nettstedet. Bruk HTTPS på sidene for å samle inn data gjennom skjemaer, spesielt hvis dataene er følsomme, som økonomiske detaljer, personnummer, etc., og send dataene gjennom sikrede e -postservere for å beskytte mot hackere. Spesielt hvis du har en nettbutikk, er det obligatorisk å bruke SSL og håndheve HTTPS -protokollen for finansielle transaksjoner.

Ikke bruk robots.txt for å skjule viktige sider og kataloger for søkemotorer. Alle kan se robots.txt -filen din i nettleseren og få tilgang til skjulte sider. Ved å bruke ".htaccess" -direktiver kan du bedre kontrollere, men diskutere med plugin -utvikler eller en ekspert hvis du ikke forstår hvordan dataene lagres og overføres.

Vanligvis lagres dataene som samles inn fra skjemaer i egendefinerte tabeller i databasen og brukes til forskjellige formål. Sørg derfor for at ingen annen person har tilgang til hostingkontoen din og les databasetabeller.

22 Forhindre spam

Selv om søppelpost ikke er hacking, kan hacker være en spammer for å sjekke nettstedets sårbarheter gjennom kommentarer eller skjemainnleveringer.

  • Sørg for å bruke pluginforebyggende plugins som Akismet for å beskytte nettstedet ditt mot spam.
  • Om nødvendig kan du bruke captcha på kommentarer, pålogging, registrering og kontaktskjemaer.
  • Blokker kommentarer som ikke kommer fra domenet ditt for å stoppe bots som automatisk genererer kommentarer fra utenfor nettstedet ditt.

23 Ha periodisk sikkerhetskopiering av nettstedet

Fra Outlook vil sikkerhet og sikkerhetskopiering se på to forskjellige emner. Men sannheten er at de henger sammen som to trinn i enkeltaktivitet. Når et nettsted er hacket, er det første du trenger å ha en sikret sikkerhetskopi for å gjenopprette innholdet.

  • Sørg for å ha en periodisk sikkerhetskopi av nettstedfiler og database.
  • Lagre sikkerhetskopien din utenfor hosting -serveren.
  • Beskytt sikkerhetskopien din mot uautorisert tilgang som ligner på å beskytte nettstedet ditt.
  • Test og bekreft at sikkerhetskopien fungerer og kan gjenopprettes i nødstilfeller.
  • Ta kontakt med verten din for at hele nettstedets innhold er sikkerhetskopiert, og de kan hjelpe deg med å gjenopprette under katastrofe.

Sikkerhetskopier nettstedet ditt regelmessig slik at det kan gjenopprettes i nødssituasjoner. Last ned også sikkerhetskopien til din lokale datamaskin og hold den borte fra vertsserveren din. Den lokale sikkerhetskopien hjelper deg med å gjenopprette nettstedet ditt når serveren din er infisert.

Merk: Du kan opprette et lokalt WordPress -utviklingsmiljø ved å bruke MAMP hvilken som helst annen programvare og sikkerhetskopiere ditt live nettsted til lokal datamaskin med jevne mellomrom.

24 Søk etter skadelig programvare

Skadelig programvare eller ondsinnet programvare er et stykke kode som hackeren vil sette inn på din vanlige kode. Det kan være vanskelig for deg å finne skadelig programvare på et nettsted, siden det er vanskelig å skille den ondsinnede koden. Skann nettstedet ditt jevnlig for skadelig programvare ved hjelp av betalte sikkerhetstjenester for å sikre at nettstedets innhold er trygt. De fleste vertsselskapene og sikkerhetsprogrammene tilbyr skanningsfunksjoner for skadelig programvare og sender skannestatusen til e -posten din.

Når nettstedet ditt er infisert med ondsinnet programvare eller et annet WordPress -sikkerhetsproblem oppstår, er det første du kan legge merke til er trafikkfall. Siden søkemotorbotter som Googlebot er veldig intelligente, kan de oppdage den ondsinnede koden og degradere søkerankingen din for å beskytte brukerne. Du kan bruke sikkerhetsverktøyene som er tilgjengelige i Google Search Console og bekrefte at nettstedet ditt er trygt å bla gjennom.

WordPress sikkerhetsguide - 28 tips for å beskytte nettstedet ditt

Sjekk sikkerhetsproblemer i Google Search Console

25 Overvåke 404 feil

De automatiserte robotene vil prøve å få tilgang til ikke-eksisterende sider på nettstedet ditt og dermed føre til 404-feil. Overvåking av 404-feil vil gi deg en ide om hvem som prøver å få tilgang til de gamle eller ikke-eksisterende nettadressene på nettstedet ditt.

For eksempel prøver en bot eller bruker å få tilgang til en ikke-eksisterende side "…/betaling/" som bør blokkeres. Dette indikerer at boten eller brukeren prøver å gjette de potensielle skjulte sidene på nettstedet ditt for å få sensitive data.

Relatert: WordPress SEO -guide for å forbedre søkerangeringen.

26 Beskytt WP-config- og .htaccess-filer

"Wp-config.php" er konfigurasjonsfilen som inneholder viktig informasjon som databasenavn og passord for WordPress-nettstedet ditt. Filen kan få tilgang via FTP eller gjennom hostingkonto ved å bruke alternativer som "Filbehandling". De fleste sikkerhetspluginene legger til parametere i denne konfigurasjonsfilen for å kontrollere oppførselen. Det anbefales på det sterkeste å ha sikkerhetskopien av “wp-config.php” -filen din før du gjør noen innstillinger på sikkerhetsrelaterte plugins.

På samme måte er ".htaccess" -filen i rotkatalogen på nettstedet ditt nøkkelfilen som brukes for sikkerhetstiltak. Sørg for å ha en sikkerhetskopi før du endrer filen gjennom sikkerhetsplugins.

27 Sørge for sikker tredjepartstilgang

Når du kjøper et tema eller en plugin fra tredjedels nettsted, kan det være nødvendig å gi admin tilgang til dem for feilsøking. Følg retningslinjene nedenfor når du arbeider med tredjepartsutviklere:

  • Sjekk alle aspekter ved feilsøking, og bekreft behovet for å dele legitimasjon for administratortilgang.
  • Del aldri din egen administratortilgang til tredjeparts nettsteder.
  • Lag et nytt brukernavn med administratortilgang og gi dem.
  • Når du tilbyr FTP -tilgang, må du bare begrense tilgangen for den nødvendige mappen eller domenet.
  • Når du sletter FTP -kontoen, må du være forsiktig med å slette bare kontoen og ikke dataene som er knyttet til FTP -kontoen. Feilaktig sletting av FTP -konto langs de tilknyttede dataene vil slette innholdet ditt i løpet av sekunder.

28 Bruk WordPress Security Plugins

Å implementere alle sikkerhetstiltakene som er omtalt ovenfor, vil være en skremmende oppgave for nettstedseiere. Heldigvis finnes det mange gratis og premium WordPress -sikkerhetspluginer som tilbyr disse funksjonene som en pakke. Du kan enten bruke gratis plugins som All in One WP Security og Firewall eller delvis gratis plugins som iThemes security / Wordfence. De fleste av de ovennevnte punktene tilbys som en pakke i denne sikkerhetspluginen og gjør jobben din enkel.

Nedenfor er noen av de populære sikkerhetspluggene, og vi anbefaler deg på det sterkeste å teste den som passer for ditt behov før du installerer på et live nettsted.

Sikkerhetspakke -plugins

Disse pluginene tilbyr de fleste sikkerhetsfunksjonene som en pakke.

  • iThemes Security (tidligere Better WP Security)
  • Wordfence Security
  • BulletProof Security
  • Alt i ett WordPress sikkerhet og brannmur

Passordbeskyttelses -plugins

  • Tving fram sterke passord
  • WordPress passord utløper

Brute Force Protection

  • Sikkerhetsløsning for pålogging
  • Logg inn LockDown
  • Gi nytt navn til wp-login.php
  • Jetpack Protect -modul.
  • Lockdown WP Admin
  • Clef — To-faktor autentisering
  • Google Authenticator

HTTPS -plugin

  • WordPress HTTPS (SSL)

E -post sikkerhet

  • WP Mail SMTP

Siste ord

Selv om listen er lang, er det nødvendig å følge alle disse WordPress -sikkerhetstipsene for å beskytte nettstedet ditt. Som nevnt kan du bruke hvilken som helst gratis eller premium plugin for å implementere de fleste av disse funksjonene. I tillegg anbefaler vi å ha sikkerhet som en vane å ta regelmessig sikkerhetskopi og vedlikeholde nettstedet ditt med oppdateringer i tide.

Opptakskilde: webnots.com
Leave A Reply

Dette nettstedet bruker informasjonskapsler for å forbedre din opplevelse. Vi antar at du er ok med dette, men du kan velge bort det hvis du ønsker det. jeg akseptererMer informasjon