Dacă credeți că site-ul dvs. este sigur, deoarece nu este de interes pentru hackeri, atunci vă înșelați, deoarece marea majoritate a încălcărilor de securitate nu vizează furtul datelor dvs. sau desfigurarea site-ului dvs.
Hackerii doresc, de obicei, să vă folosească serverul ca releu pentru e-mailuri spam sau să configureze un server web temporar, de obicei pentru a servi fișiere ilegale. Dacă sunteți piratat, fiți pregătiți să achitați niște bani pentru costurile legate de server.
Există mai multe moduri diferite de a consolida securitatea site-ului dvs. sau a unei rețele multisite, dar una dintre cele mai ușoare este să vă editați fișierul. wp-config.php. Actualizarea acestui fișier de configurare, deși nu există o soluție unică, este o politică care trebuie respectată pentru securitate generală.
Având în vedere acest lucru, vom explora diferitele modificări pe care le puteți face pentru a vă asigura WordPress blog.
Configurați constantele WordPress
În fișierul dvs. de configurare WordPress, denumit și wp-config.php , puteți defini ceea ce se numește constante PHP pentru a efectua anumite sarcini. WordPress are o mulțime de constante pe care le puteți folosi.
Constantele sunt, de asemenea, înfășurate în funcția de definire()
după cum se arată în acest exemplu de sintaxă:
define ('NAME_OF_CONSTANT', valoare);
Pe WordPress, fișierul wp-config.php este încărcat înainte de restul fișierelor care alcătuiesc nucleul. Aceasta înseamnă că, dacă modificați valoarea unei constante în wp-config.php, puteți schimba modul în care reacționează și funcționează WordPress. Puteți dezactiva unele funcții sau le puteți activa modificând valoarea. În multe cazuri, acest lucru se poate face modificând true
pentru false și invers, de exemplu.
Mai jos veți găsi diferitele constante, precum și alte tipuri de cod PHP pe care le puteți utiliza în fișierul dvs. wp-config.php pentru a vă spori securitatea. Plasați-le pe toate deasupra rândului următor din fișierul dvs. wp-config.php:
/ * Asta e tot, opriți editarea! Happy blogging. * /
Atenție: Fii atent
Deoarece modificările pe care urmează să le faceți pot schimba dramatic site-ul dvs., acesta este un lucru bun idee de a o sprijini. Dacă apare o eroare, puteți restabili rapid site-ul dvs. la un punct înainte de aceste modificări și odată ce site-ul dvs. funcționează normal, puteți încerca din nou.
1. Schimbați-vă cheile de securitate
Este posibil să fiți deja la curent cu diferitele chei de securitate și este posibil să fi adăugat deja chei unice, ceea ce este un lucru destul de bun.
Cheile de securitate a informațiilor criptează datele stocate în cookie-uri și poate fi util să le modificați, mai ales după ce site-ul dvs. a fost piratat. Acest lucru ar pune capăt tuturor sesiunilor deschise ale utilizatorilor conectați pe site-ul dvs., ceea ce înseamnă că și hackerii sunt deconectați.
Când resetați parolele și vă asigurați că site-ul dvs. este liber de exploatări din backdoor și altele asemenea.
Puteți genera un nou set de chei de securitate folosind butonul WordPress Security Key Generator. Copiați tot conținutul și lipiți-l pentru a înlocui secțiunea care arată ca următoarea:
define( 'AUTH_KEY', 't`DK%X:>xy|eZ(BXb/f(Ur`8#~UzUQG-^_Cs_GHs5U-&Wb?pgn^p8(2@}IcnCa|'); define( 'SECURE_AUTH_KEY ', 'D&ovlU#|CvJ##uNq}bel+^MFtT&.b9{UvR]g%ixsXhGlRJ7q!h}XWdEC[BOKXssj' ); define( 'LOGGED_IN_KEY', 'MGKi8Br(&{H*~&0s;{k0 (hdXW|5M=X={we4;Mpvtg+Vo<$|#_}qG(GaVDEsn,~*2i' ); define( 'NONCE_SALT', 'a|#h{c7|P &xWs0IZ2c8&%883!c( /uG}W:mAvy
2. Forțați utilizarea SSL
Un certificat SSL criptează conexiunea dintre site-ul dvs. și browserul vizitatorului dvs., astfel încât hackerii nu pot intercepta și fura informații personale. Dacă aveți deja un certificat SSL instalat, atunci trebuie să forțați WordPress să-l folosească, vă poate crește securitatea.
Pentru a forța utilizarea certificatului SSL în timpul conexiunii, adăugați această linie:
define ('FORCE_SSL_LOGIN', true);
De asemenea, puteți forța certificatul SSL pe tabloul de bord al administratorului cu această linie:
define ('FORCE_SSL_ADMIN', true);
Acestea sunt puncte foarte bune pentru a începe, deși ideal ar fi să folosești certificatul SSL pe toate site-ul web.
3. Modificați prefixul bazei de date
Prefixul este plasat în fața numelor tuturor tabelelor din baza de date. În mod implicit, tabelul folosește prefixul „ wp_"
iar adăugarea acestuia la baza de date va adăuga o sarcină suplimentară pe care o va face hackerul. Cu cât adăugați mai multe obstacole, cu atât mai multe blogul tău va fi greu de spart.
Schimbarea prefixului implicit vă ajută și tot ce trebuie să faceți este să schimbați constanta din fișier " wp-config.php ", dar ar fi necesar, de asemenea, ca tabelele bazei de date din instalația dvs. să aibă același prefix nou. Puteți schimba wp_
pentru ceva de genul g628_.
Trebuie să alegeți ceva care nu este cu adevărat ușor de ghicit.
4. Dezactivați editarea temelor și pluginurilor
În fiecare instalare WordPress, puteți edita direct pluginuri și teme prin tabloul de bord. Dacă un hacker a reușit să aibă acces la tabloul dvs. de bord, acesta are acces la acest editor special, unde ar putea face tot ce doreau în plugin-ul și fișierele tematice, cum ar fi adăugarea de programe malware, viruși sau spam.
5. Dezactivați depanarea
Dacă ați activat vreodată depanarea pe site-ul dvs. sau într-o rețea, probabil că o faceți pentru că este un instrument excelent pentru depanare, dar nu uitați să o dezactivați când ați terminat. Lăsând această opțiune activată, poate dezvălui informații importante despre site-ul dvs. și locația fișierelor acestuia către hackeri oricui vă vizitează site-ul.
Pentru a dezactiva modul de depanare, puteți schimba constanta WP_DEBUG de la adevărat la fals după cum urmează:
define ('WP_DEBUG', false);
6. Dezactivați înregistrarea erorilor în WordPress
Dacă nu puteți face modificarea anterioară, deoarece trebuie să depanați în mod activ site-ul dvs., puteți proteja în continuare informațiile vitale ale site-ului dvs. dezactivând erorile front-end și dezactivând înregistrarea erorilor.
Pentru a dezactiva raportarea erorilor frontend, adăugați această linie, menținând depanarea (WP_DEBUG) setată la adevărat:
define ('WP_DEBUG_DISPLAY', false);
7. Activați actualizări automate
Menținerea site-ului dvs. la curent cu cele mai recente versiuni de WordPress, împreună cu pluginurile și temele dvs., ar trebui să fie o parte importantă în dezvoltarea unei strategii de securitate. Din moment ceActualizările oferă remedieri de securitate pentru vulnerabilități cunoscute, nu actualizările expunerilor blogul tău faţă de aceste riscuri potenţiale.
Începând cu versiunea WordPress 3.7, remedierile minore de securitate sunt aplicate automat pe site-urile WordPress, dar versiunile de bază nu. Cu toate acestea, puteți activa actualizările automate pentru toate versiunile noi modificând valoarea constantei pentru actualizările automate:
define ('WP_AUTO_UPDATE_CORE', adevărat);
La fel, puteți adăuga următoarea linie sub cea anterioară pentru a activa actualizările automate pentru pluginuri:
add_filter ('auto_update_plugin', '__return_true');
De asemenea, puteți urma această linie pentru a permite actualizări automate pentru teme:
add_filter ('auto_update_theme', '__return_true');
Asta e pentru acest tutorial. Sper că vă va permite să vă asigurați mai bine WordPress blog.
Buna ziua toata echipa,
BRAVO pentru site-ul dvs., care pare plin de resurse și de mare interes: atunci când bugetul meu îmi permite, nu voi lipsi să apelez la serviciile dvs. (chiar am nevoie de el ...)!
Un mic dezavantaj pentru articolul de securitate al lui * Hervé *: ne pierdem rapid în explicații, dacă nu suntem familiarizați cu php. [În plus, atunci când editați textul, poate fi benefic să recitiți: unele cuvinte au fost omise - dar nu greșelile de ortografie. ;-)))]
Vă mulțumesc Ivan pentru întoarcerea și iertarea pentru defecțiuni.