8 סודות אבטחה חיוניים של WordPress

מְחַבֵּר: Louise Ward
תאריך הבריאה: 5 פברואר 2021
תאריך עדכון: 22 יוני 2024
Anonim
Earn $1,563 Daily In Passive Income That Takes 20 Minutes To Run (EASIEST Way To Make Money Online)
וִידֵאוֹ: Earn $1,563 Daily In Passive Income That Takes 20 Minutes To Run (EASIEST Way To Make Money Online)

תוֹכֶן

במהלך 15 השנים האחרונות וורדפרס הפכה למערכת ניהול התוכן הפופולרית ביותר בעולם. קל להתחיל איתו, ורב תכליתי במיוחד, זו אחת מפלטפורמות הבלוגים הטובות ביותר בסביבה - הבית האידיאלי עבור תיק העיצוב שלך, או משהו שאפתני יותר.

יש מבחר עצום של ערכות נושא של וורדפרס לבחירה, בעוד שאם אינך חושש מקצת קוד תמצא המון מדריכי וורדפרס שיעזרו לך להתמודד עם התכונות המורכבות יותר שלו. לקבלת אפשרויות אחרות, נסה את המדריכים שלנו לבניית אתרים ושירות אירוח אתרים הטובים ביותר.

  • תוכנת האנטי-וירוס הטובה ביותר

חסרון גדול מהפופולריות של וורדפרס, לעומת זאת, הוא שהוא יעד עיקרי להאקרים. אם ברצונך להימנע מאיבוד שליטה באתר החדש והמבריק שלך, פעל לפי הטיפים הבאים לשמירה על אבטחתו.

01. הוסף אבטחה נוספת לחשבונות המשתמש


מידה רבה של פגיעות מגיעה מחשבונות המשתמשים המעניקים גישה לאתר שלך בכוונה, ובמיוחד תפקידי מנהל ועורך. אם האקר מקבל גישה לאחד מחשבונות אלה, של כל משתמש באתר ולא רק של מנהל המערכת הראשי, אז הם יכולים לבצע שינויים כרצונו באתר.

ודא תמיד שלחשבונות יש את הגישה הדרושה להם בלבד. לדוגמא, אם משתמש רק יכתוב מאמרים, שקול לתת להם גישה לתורם או לעורך בלבד, ולעולם לא לניהול. זכור את רמת היכולת של המשתמשים שלך, וודא שכל מי שיש לו גישה למנהל או לעורך יהיה מאומן לחלוטין להשתמש בכל תכונות החשבון כדי למנוע תאונות.

אתה יכול להוסיף תכונות כדי לאפשר גישה זמנית לרמת תפקיד מסוימת, כלומר אם יש לך קבלן שעובד באתר והם זקוקים לגישה זמנית של מנהל, אתה יכול לתת להם את זה עם זמן מוגדר לתוקף, כך שאתה לא צריך לזכור לבטל את גישתם בהמשך.

אם רמת תפקיד מסוימת אינה זקוקה לכל הרשאות ברירת המחדל, תוכל להתקין תוסף תפקידים והרשאות בכדי לכבות הרשאות מסוימות שלעולם לא ישמשו. ניתן גם ליצור תפקידים אחרים עם גישה ספציפית בלבד. הגבל את המשתמשים רק להרשאות הדרושות להן כדי למנוע שימוש לרעה או מכוון בתכונה.


כדי למנוע התקפות שמגיעות מכניסות משתמשים, הגב את מספר הפעמים שחשבון יכול לעשות ניסיון כניסה כושל לפני ששם המשתמש הזה יינעל לתקופה מסוימת. זה בעיקר תופס בוטים שמנחשים סיסמאות, אך זכור להזהיר את המשתמשים שלך שהם לא צריכים לנסות להתחבר יותר ממספר הפעמים שהגדרת בשורה. אם הם לא יכולים לזכור את הסיסמה שלהם, ואם הם שוכחים את הסיסמה שלהם, עליהם לאפס אותה במקום לנסות לנחש!

זה גם נוהג טוב להזכיר למשתמשים להשתמש בסיסמאות מאובטחות (מעל שמונה ספרות, עם אותיות קטנות, קטנות, מספרים וכו '), ולשנות אותן כל כמה זמן. הזכרו להם לעולם לא לרשום את הסיסמאות שלהם ולהתנתק כשיסיימו את ההפעלה שלהם כדי להימנע מגישה לא מורשית לחשבונות שלהם.

אימות דו-גורמי הוא רמת אבטחה נוספת שניתן להוסיף לכניסות. הם דורשים ממשתמשים להשתמש במאמתים שלהם בעת כניסה כדי להגדיל את מספר האישורים הדרושים רק מהסטנדרט. משתמשים יצטרכו קוד או סיכה נוספים בכניסה, בדרך כלל נוצר באופן אקראי על ידי אפליקציה או נשלח לטלפון בטקסט. זה יכול להרגיש כמו מחסום נוסף להתחברות למשתמשים, אבל זה גם מכשול נוסף עבור האקרים.


02. שנה ברירות מחדל ישנות

התקנות וורדפרס חדשות גורמות לך לבחור שם משתמש מותאם אישית לחשבון הניהול שלך, אך אם התקנת את האתר שלך לפני זמן מה, לחשבון הניהול שלך עשוי להיות שם ברירת המחדל 'admin' - זה מקל על ההאקרים לנחש את אישורי הכניסה שלך לחצי. העבודה כבר נעשית עבורם. שנה את שם המשתמש המוגדר כברירת מחדל למנהל למשהו אחר כדי לשפר את האבטחה. אתה יכול לעשות זאת באופן ידני דרך מסד הנתונים בטבלה wp_users, או שאתה יכול ליצור פרופיל מנהל חדש ולמחוק את הישן דרך חלונית הניהול (הקפד לייחס את כל ההודעות הישנות לחשבון החדש).

אתה יכול גם לשנות את קידומת מסד הנתונים המוגדרת כברירת מחדל למשהו אחר שאינו wp_ כדי להוסיף שכבה נוספת של סתום להגדרות ברירת המחדל שלך. הדרך הקלה ביותר לעשות זאת בהתקנה קיימת היא באמצעות תוסף, אך גבה תחילה את מסדי הנתונים שלך.

03. שמור על וורדפרס מעודכן

וורדפרס תמיד מעדכנת ומשפרת את האבטחה המובנית שלה, אז וודא שהגרסה שלך היא העדכנית ביותר כדי להקדים את הפגיעויות והניצולים הישנים. מרבית ההתקנות של וורדפרס מתעדכנות אוטומטית, אך אם לא שלך, עיין בפאנל הניהול או בתיבת הדואר הנכנס שלך כדי לקבל התראה כאשר עדכונים חדשים מוכנים להתקנה. האקרים מחפשים אתרים שלא עודכנו, ורק 22% מאתרי וורדפרס מריצים את הגרסה האחרונה. מאחר וורדפרס מפעילה כמעט 30% מכל האתרים באינטרנט, זה הרבה אתרים מיושנים!

אם אתה מנהל אתר בימוי, תוכל לבדוק אם כל העדכונים מתאימים לנושא ולתוספים הנוכחיים שלך לפני שתעבור לשידור חי. זה נוהג טוב כדי למנוע כל עדכון אוטומטי המתנגש בטעות עם ההתקנות הקיימות. זה נותן לך הזדמנות לתפוס כל בעיה לפני שתעבור לייצור. אל תשכח לעדכן גם את התוספים והעיצובים שלך. לא רק פגיעות וורדפרס ישנות שיכולות לתת להאקרים דרך; כל דבר שתתקין באתר וורדפרס שלך צריך להיות מאובטח גם כן. הטיפ הבא יגיד לכם יותר על בחירת תוספים אמינים.

04. התקן תוספים מהימנים ונקי בית באופן קבוע

יש פיתוי להתקין כמה תוספים שיש לך בעיות לפתור, אבל יותר מדי תוספים יכולים לגרום לנפיחות ותוסף אחד לא אמין יכול לגרום לסיכון ביטחוני. בדוק תמיד כי תוספים אמינים לפני ההתקנה. הורד דרך הממשק או האתר הרשמי של וורדפרס, ובדוק תמיד את דירוג הכוכבים והביקורות לגבי משוב שלילי שעשוי להצביע על פגם אבטחה.

תוספים נוצרים על ידי מפתחים עם כל רמות היכולת השונות. למרות שתוספים נבדקים לפני הוספתם לאתר הוורדפרס, עליכם תמיד לבצע מחקר משלכם בכדי לוודא שהקוד שאתם מתקינים מוצק.

אתר וורדפרס יגיד לכם בן כמה תוסף, מתי עודכן לאחרונה, והכי חשוב, אם הוא תואם לגרסת הוורדפרס שלכם. תוסף שלא עודכן זמן מה אינו בהכרח רע, יתכן שפירושו שהוא לא היה זקוק לעדכון בזמן הזה. בדוק אם יש ביקורות אחרונות כדי לאשר שהתוסף עדיין בר-קיימא ושהוא עדיין תואם לגרסה שלך. כדאי להימנע מתוסף ישן עם ביקורות אחרונות של כוכבים נמוכים ותאימות לא ידועה.

מחק באופן קבוע ערכות נושא ותוספים שאינם בשימוש, מכיוון שאפילו תוסף מושבת יכול להוות סיכון ביטחוני אם תמצא פגיעות ותנוצל. שמור על ספריית התוספים שלך נקייה. אתה צריך להתקין רק תוספים שבהם אתה משתמש כרגע. בדוק תוספים ישנים יותר כאשר אתה מעדכן כדי לראות אם הם עדיין תואמים.

בדוק את התוספים שלך מעת לעת כדי לוודא שיש לך עדיין את הטוב ביותר לעבודה. יכול להיות תוסף חדש המשלב את התכונות של כמה שכבר יש לך ואולי נתמך טוב יותר, בטוח יותר וקל יותר לתחזוקה.

05. שקול אירוח מנוהל

אתה לא צריך לחשוב רק על האבטחה באתר שלך. אם אתה מארח את האתרים שלך בשרתים משותפים, אתה מסתכן בזיהום בין שרתים, שם האקרים מקבלים גישה דרך אתר אחר ומסוגלים לפגוע באתרים אחרים החולקים את אותו שטח. שקול אירוח מנוהל או אירוח שרת וירטואלי (VPS) כדי למנוע איום זה, כאשר האתר שלך מתארח בנפרד.

עלות היא משמעות ברורה, אך עבור אתרים עם עומס ותעבורה גבוהה, שרתים ייעודיים יכולים לשפר את הביצועים כמו גם את האבטחה. למארחים שונים יש פתרונות שונים; השווה כמה כדי להעריך מה מתאים ביותר לצרכים שלך.

06. מסכה, נעילה והסתרה

להאקרים יש פחות מינוף אם הם לא יודעים מאיפה להתחיל. הסתר את מספר הגרסה של וורדפרס מהקוד שלך, כך שרק מנהלי מערכת ידעו איזו גרסת וורדפרס אתה מריץ. באופן זה, האקרים לא יודעים אילו נקודות תורפה קיימות לנצל.

העבר את דף הכניסה שלך מ- / wp-login למשהו שאינו ברירת מחדל. זה מהווה אבן נגף ענקית עבור בוטים לתקיפת DOS וכוח הגס שמסחפים אתרים המחפשים טפסי כניסה למיקוד. זה גם מוסיף ערך אסתטי יותר, בכך שאתה יכול לשנות את כתובת האתר למשהו בלתי נשכח יותר עבור המשתמשים שלך.

דחה גישה חיצונית ל- wp-config.php ו- .htaccess באמצעות הקוד הבא בקובץ .htaccess שלך:

קבצים wp-config.php> כדי לאפשר, להכחיש להכחיש מכל / קבצים> קבצים .htaccess> כדי לאפשר, להכחיש להכחיש מכל / קבצים>

תוכל גם להשבית את עריכת הקבצים מחלונית הניהול אם אתה יודע שהנושאים שלך יעברו עריכה רק באמצעות העלאת קבצים ב- FTP. זה מונע מכל מי שיש לו גישה לפאנל הניהול לערוך קבצים ישירות בטעות או כהאקר עם כוונה זדונית. הכנס את הדברים הבאים לקובץ wp-config.php שלך:

להגדיר ('DISALLOW_FILE_EDIT', נכון);

07. הפעל גיבויים לעיתים קרובות

ודא שהאתר שלך מגובה במקרה שהאתר שלך נפרץ ועליך להחזיר לגרסה נקייה קודמת. באיזו תדירות עליך להפעיל גיבויים תלוי בתדירות ההגעה לאתר שלך.

זה חלק בלתי נפרד מגיבוי במקום שהאתר שלך לא מתארח כדי להימנע מכל פעילות זדונית המארחת בוורדפרס שלך מדביקים גם את הגיבויים שלך. ניתן לאחסן גיבויים במחשב משלך או בשירות מבוסס ענן כמו Google Drive, Dropbox או Amazon S3 (עיין באפשרויות אחסון ענן אחרות כאן).

גיבוי במיקום שאינו השרת הנוכחי שלך עוזר גם אם יש לך תוסף או התנגשות נושא שלא ניתן לפתור ואינך יכול לגשת לאתר שלך, או אם יש תקלה בשרת קטסטרופלי ואתה מאבד את כל עבודתך.

קיימים תוספי גיבוי ייעודיים שיעזרו לך לעקוב אחר המסלול, רובם עם אפשרויות לגיבויים מתוזמנים או ידניים. גרסאות חינם ופרמיום מעניקות לך אפשרויות שונות, BackupBuddy הוא השירות בתשלום הפופולרי ביותר שכן יש להם אחסון צד שלישי משלו עבור הקבצים שלך, בתוספת יכולת שחזור מגיבוי ישירות. השווה תוספים אחרים כמו UpdraftPlus ו- BackWPup עבור הגרסאות החינמיות והפרמיומיות שלהם כדי לראות אילו תכונות מעריכות אותך ביותר.

08. התקן תוספי אבטחה ואנטי ספאם

ניתן להוסיף תכונות אבטחה רבות עם תוסף אבטחה מקיף, כגון iThemes Security או Sucuri, לשניהם גרסאות חינמיות ופרמיום. תוספי אבטחה מגיעים עם חבילת כלים לנעילת פרצות באתר שלך כמו אלה שכבר הוזכרו במאמר זה; החל ממסוך מספר הגרסה שלך ועד להתקנת אימות דו-גורמי עבור כניסות, רשימות התכונות הן לעיתים קרובות נרחבות.

סוגים אלה של תוספים יכולים להיות בעלי ערך רב בהפיכת אתר וורדפרס שלך לבטוח יותר, ורוב תוספי האבטחה קלים לשימוש בהתקנה בלחיצה אחת עבור התכונות החשובות ביותר, והתקנה אופציונלית לתכונות המתקדמות או המורכבות יותר. זה הופך אותם למושלמים למתחילים בוורדפרס, מכיוון שאין צורך בקידוד בכדי לקבל אתר מוגן היטב בתוך דקות. למשתמשים מתקדמים יותר תהיה גישה לתכונות שיכולות לאבטח עוד יותר את האתר שלך, כגון סגירת גישה בלתי נחוצה לפרוטוקולים כגון XML-RPC ועדכון מלחי הוורדפרס המשמשים בקידוד.

תוספים כאלה יעזרו להגן על האתר שלך מפני התקפות מוחלטות והתקפות DOS, מה שעלול לקחת את האתרים שלך במצב לא מקוון אם יש עומס רב מדי על השרת. הם יכולים גם להגביר את תהליך הכניסה עם רמות אבטחה נוספות כדי למנוע שימוש בחשבונות המשתמש שלך כשיטת התקפה. סריקת תוכנות זדוניות ויומני פעילות שומרים תיעוד של כל התנהגות חשודה או קבצים פגומים לבדיקה, ומזהירים אותך מפני התקפות שמתבצעות ונותנים לך מושג היכן טמונה הפגיעות של האתר שלך כדי שתוכל לפתור אותם.

ישנם תוספי אבטחה המגיעים עם אפשרויות גיבוי לשירות הכל כלול. אם כל צרכי האבטחה שלך מאורגנים על ידי תוסף אחד פירושו שהתכונות קלות לארגון, עם פחות סיכון להתנגשות בין תוספים דומים. ודא שאתה מבצע את המחקר שלך, עם זאת, מכיוון שתוסף זה יהיה הדבר שעומד בדרכו של האתר שלך וכל מי שרוצה לגרום לו נזק. יהיה עליכם לבחור אחד שיעשה את העבודה בצורה מעולה.

בנוסף, תוסף נגד ספאם כגון Akismet ימנע מהספאמרים לסתום את האתר שלך עם תגובות שאינן קשורות. אם תוסף האבטחה שלך עדיין לא עושה זאת, הוא יכול לסייע לתוסף האבטחה על ידי הוספת שכבת אבטחה נוספת לאינטראקציה בקהילה שלך באמצעות כלי אימות כמו CAPTCHA ומכשירים אנטי בוטיים אחרים כדי לוודא שרק אנשים אמיתיים מגיבים. תוסף נגד ספאם עוזר לשמור על ניקיון האתר שלך, כמו גם למסד הנתונים שלך מאחורי הקלעים. לסינון הערות בעלות ערך יש את הבונוס הנוסף להענקת משקל רב יותר לתוכן שלך על ידי הצגת מעורבות נכונה של הקוראים.

כל תוסף מגיע עם כלים שונים משלו, אז השווה את האפשרויות למשהו שמתאים לצרכים שלך. שקול גרסאות פרימיום של תוספים לתכונות נוספות מכיוון שזהו חלק בלתי נפרד מהאתר שלך ובאופן כללי, תוספים בתשלום יעניקו לך את השירות המקיף ביותר. באופן אידיאלי אתה רוצה סוויטה המכסה לפחות את יסודות האבטחה, כמו טיפים אחרים הנקובים במאמר זה.

מאמר זה פורסם במקור בגיליון 272 של המגזין היצירתי לעיצוב אתרים Web Designer. קנה את גיליון 272 כאן אוֹ הירשם ל- Web Designer כאן.

סעיף הקודם

שיפור פרוגרסיבי הופרש
לידיעה הבאה

כיצד לעצב עבור מיליוני משתמשים חדשים
הבחירה שלנו
כלי האיור החדשים הטובים ביותר ליולי 2018
קרא עוד

כלי האיור החדשים הטובים ביותר ליולי 2018

יוני 2024
יצירת אמנות דיגיטלית אינה קשורה רק לבחור את לוח הציור הטוב ביותר או למצוא את תוכנת האמנות הדיגיטלית המתאימה בה אתם יוצרים. זה גם על חיפוש השראה, לימוד טכניקות רישום חדשות, ומציאת דרכים להתמודד עם הנוש...
כריס קויייר על החיים בתעלות CSS
קרא עוד

כריס קויייר על החיים בתעלות CSS

יוני 2024
מאמר זה הופיע לראשונה בגיליון 228 של מגזין .net - המגזין הנמכר ביותר בעולם עבור מעצבי אתרים ומפתחים.אם לא שמעתם על טריקים של C , עליכם לבדוק זאת. הבלוג של C פופולרי מאוד ומשפיע בקהילת עיצוב האתרים - ו...
איך להכין את זה כאמן מנגה
קרא עוד

איך להכין את זה כאמן מנגה

יוני 2024
אמנות המנגה במצב בריאותי גס, כך שאם אתה יודע לצייר מנגה ולצבוע אותה אתה בחברה טובה. כעת אמני המנגה יכולים לצבור מאות אלפי עוקבים ברשתות החברתיות, לקבל מימון המונים דרך אתרים כמו פטרון, למכור את האמנות...