WordPress Blog Sikkerhedstips
Det er ikke nok til at fjerne konsekvenserne, du er nødt til at forstå årsagerne. Det skrev jeg allerede vi blev hacket og angiveligt besluttede vi alle sammen. En uge senere blev historien gentaget, et andet jquery-script blev ændret såvel som .htaccess-filer. Og i .htaccess var der omdirigeringer til nogle venstre side kun til mobile enheder og tablets, og derfor bemærkede jeg dette ikke med det samme.
På et par dage lykkedes det mig at finde alle de filer, der blev ændret af angriberen, såvel som dem, der er oprettet af ham specifikt til penetration (shell). Og igen tak til hostingen for deres hjælp. Herefter besluttede jeg at tage alle de foranstaltninger, der er beskrevet på Internettet.
Indholdet af artiklen
- 1 Alle dele af min lille blogger FAQ:
- 2 WordPress Blog Sikkerhedstips
- 2.1 Opdater tæller- og widgetkoder
- 2.2 Opdater alle plugins og WordPress til de nyeste versioner og fjern ubrugt
- 2.3 Opdater timbour.php
- 2.4 Kontroller tilladelser på mapper og filer
- 2.5 Skift admin brugernavn
- 2.6 Skift alle adgangskoder til mere komplekse
- 2.7 Beskyt .htaccess- og wp-config.php-filer mod adgang for alle
- 2.8 Beskyt wp-inkluderer mappe med .htaccess
- 2.9 Beskyt wp-admin-mappen med .htaccess og .htpasswd
- 2,10 Skift databasepræfiks
- 2.11 Installer Belavir-plugin
- 2,12 Installer WP Security Scan Plugin
- 2.13 Installer Better WP Security Plugin
- 2.14 Overvågning af ændringer på din ftp
- 2.15 Sikkerhedskopiering af databaser og filer en gang hvert par dage
Alle dele af min lille blogger FAQ:
Jeg har skrevet en række bloggerelaterede artikler. De hævder ikke at være en komplet manual, men begyndere kan være nyttige. Du kan læse den, hvis du er interesseret.
0. Jeg anbefaler et kursus «Hvordan man bliver millionærblogger og tjener penge»
1. Sådan starter du en blog
2. Sådan promoveres en blog - en liste over mine handlinger
3. Sådan tjener du penge på en blog og rejser
4. Et eksempel på at tjene på vores blog - Finstrip 2013, finstrip 2012, Finstrip 2011
5. Læser- og søgetrafik, og hvorfor læsere ikke kommer tilbage
6. En lille sandhed om rejseblogging
7. Tips til beskyttelse af WordPress Blog
WordPress Blog Sikkerhedstips
Listen er sandsynligvis ikke komplet, og som de siger, den, der har brug for den, vil de alligevel bryde den. Men mindst næsten enhver blogger kan gøre disse handlinger for i det mindste at beskytte sig selv lidt..
Opdater tæller- og widgetkoder
Kontroller koder for alle tællere og sociale widgets på din blog og på webstedet, hvor fik du dem.
Måske er de blevet opdateret. Jeg bemærkede, at Facebook ofte ændrer koden for widgets, det forbedrer tilsyneladende sikkerheden.
Opdater alle plugins og WordPress til de nyeste versioner og fjern ubrugt
Her er kommentarer overflødige, alle ved, hvordan man gør det. Sårbarheder findes normalt i plugins og temaer, derfor skal i det mindste alle ubrugte fjernes.
Opdater timbour.php
Hvis dit tema bruger ændring af miniaturebilleder ved hjælp af timbour.php, skal du bestemt opdatere denne fil til den nyeste version, da ældre versioner har en kendt sårbarhed.
Kontroller tilladelser på mapper og filer
Alle filer skal have 644 tilladelser, 755 mapper undtagen .htaccess - 444 tilladelser og uploade mapper - 777 tilladelser.
Skift admin brugernavn
Den hurtigste mulighed er at gå ind i phpadmin og køre denne forespørgsel i din database:
UPDATE wp_users SET user_login = ‘Dit nye login’ HVOR user_login = ‘admin’;
Eller du kan blot oprette en ny bruger via blogadministrationspanelet, tildele alle artikler til ham og slette den gamle adminbruger..
Skift alle adgangskoder til mere komplekse
Banale råd, men adgangskoder skal være komplekse og bestå af tal og bogstaver i forskellige registre. Glem heller ikke, at efter kampen mod vira skal du ændre alle adgangskoder på nogen måde (blogadministrator, hostingadministrator, ftp, sql-database), og det er også fornuftigt at ændre de hemmelige nøgler i wp-config.php-filen.
Beskyt .htaccess- og wp-config.php-filer mod adgang for alle
Føj til din .htaccess i rodens blog, denne kode:
Bestil afvis, tillad
benæg fra alle
ordre tillad, nægt
benæg fra alle
Beskyt wp-inkluderer mappe med .htaccess
Opret en almindelig tekstfil, kald den .htaccess og kopier den til mappen wp-inkluderer, efter at koden er tilføjet til filen:
Bestil tillad, nægt
Afvis fra alle
Tillad fra alle
Beskyt wp-admin-mappen med .htaccess og .htpasswd
Opret en almindelig tekstfil, kald den .htaccess og kopier den til wp-admin-mappen, efter at koden er tilføjet til filen:
AuthUserFile /home/public/.htpasswd
AuthType Basic
AuthName “begrænset”
Bestil Afvis, tillad
Afvis fra alle
Kræv gyldig bruger
Tilfredsstille enhver
Hvor, «/home/public/.htpasswd» Er den fulde sti til .htpasswd-filen. Det tilrådes, at denne fil er placeret over biblioteket på din blog.
.Htpasswd-filen indeholder adgangskoden til adgang til wp-admin-zonen i krypteret form. Den nemmeste måde at oprette denne fil er at indtaste brugernavn og adgangskode på den sædvanlige måde. Det er bedst ikke at gentage og angive data, der adskiller sig fra eksisterende konti.
Der er kun en ulempe med denne metode - den er ikke relevant, hvis du har en blog med flere brugere, da adgangskoden vil blive anmodet om fra alle brugere.
Skift databasepræfiks
Skift præfikset til din SQL-database fra standard «wp_» på nogle «wpsdjflk647_» Det var muligt helt i begyndelsen af oprettelsen af bloggen. Men nu er dette ikke et problem. Jeg lavede det til et plugin, som vil blive diskuteret nedenfor. Selvom du kunne gå ind i phpadmin, skal du erstatte alle tabelnavne der, og derefter ændre præfikset i wp-config.php-filen
Installer Belavir-plugin
Installer Belavir-pluginet, der sporer ændringer i alle php-filer på din blog. Selve plug-in overvåger ikke noget, men starter scanningen, når du går til blogadministrationspanelet på Console-siden, hvor det faktisk viser ændringerne. Han har ingen indstillinger.
Installer WP Security Scan Plugin
Installer WP Security Scan plugin, som du kan gøre nogle ting med, især:
- ændre databasepræfikset
- Kontroller tilladelser på mapper og filer
- skjul versionen af WordPress
- tilslut antivirus til bloggen og kontroller den
Installer Better WP Security Plugin
Installer Better WP Security plugin, det er endnu mere nødvendigt end de to foregående. Listen over dens funktioner er meget stor, jeg viser en del:
- giver dig mulighed for at ændre databasepræfikset
- fjerner unødvendige oplysninger fra blogkoden efter type wordpress-version
- overvåger ændringer i alle filer
- forbyder ip'en fra dem, der indtaster mærkelige adresser i browseren efter navnet på din blog, og modtager en fejl 404
- forbyder valg af adgangskode til administratorpanelet, forby ip
- Ændrer standardadministrator-login-adresser, fremragende beskyttelse mod brute-force-angreb
- og meget mere.
Overvågning af ændringer på din ftp
Installer ftpinfo-programmet på din computer, som giver dig mulighed for at oprette forbindelse til din ftp-server og overvåge ændringerne i alle kontofiler for deres udseende / sletning / ændring. Meget praktisk ting under virusangreb. Du kan overvåge ikke kun alle filer, men også oprette masker til filer og mapper.
Sikkerhedskopiering af databaser og filer en gang hvert par dage
En meget nyttig ting, det kan være praktisk til bekæmpelse af vira. De originale filer vil altid være til rådighed, og der vil være mulighed for at rulle tilbage, hvis det ikke er muligt at rense stedet for vira. Jeg bruger BackWPup-pluginet. Det har mange funktioner, herunder kopiering af data til Dropbox - en praktisk service, der giver 2 GB ledig plads på Internettet og synkronisering med din computer.
Dette er tipene til beskyttelse af en WordPress-blog, som jeg anvendte på vores blog. Hvis der er spørgsmål eller tilføjelser (måske kan der gøres noget andet), skriv i kommentarerne :)