Συμβουλές για την ασφάλεια του Blog στο WordPress

Δεν αρκεί να καταργήσετε τις συνέπειες, πρέπει να κατανοήσετε τις αιτίες. Το έγραψα ήδη πειραχτήκαμε και υποτίθεται ότι όλοι αποφασίσαμε. Ωστόσο, μια εβδομάδα αργότερα η ιστορία επαναλήφθηκε, άλλαξε ένα σενάριο jquery, καθώς και αρχεία .htaccess. Και στο .htaccess υπήρχαν ανακατευθύνσεις σε κάποιο αριστερό ιστότοπο μόνο για κινητές συσκευές και tablet, και ως εκ τούτου δεν το παρατήρησα αμέσως.

Σε μερικές μέρες, κατάφερα να βρω όλα τα αρχεία που τροποποίησε ο εισβολέας, καθώς και εκείνα που δημιούργησε ο ίδιος ειδικά για διείσδυση (κέλυφος). Και πάλι, χάρη στη φιλοξενία για τη βοήθειά τους. Μετά από αυτό αποφάσισα να λάβω όλα τα μέτρα που περιγράφονται στο Διαδίκτυο.

Το περιεχόμενο του άρθρου

• 1 Συχνές ερωτήσεις για όλα τα μέρη του μικρού μου blogger:
• 2 Συμβουλές για την ασφάλεια του Blog στο WordPress
  • 2.1 Ενημέρωση κωδικών μετρητή και widget
  • 2.2 Ενημερώστε όλες τις προσθήκες και το WordPress στις πιο πρόσφατες εκδόσεις και καταργήστε τα αχρησιμοποίητα
  • 2.3 Ενημέρωση timthumb.php
  • 2.4 Ελέγξτε τα δικαιώματα σε φακέλους και αρχεία
  • 2.5 Αλλαγή ονόματος χρήστη διαχειριστή
  • 2.6 Αλλάξτε όλους τους κωδικούς πρόσβασης σε πιο περίπλοκους
  • 2.7 Προστατέψτε τα αρχεία .htaccess και wp-config.php από την πρόσβαση για όλους
  • 2.8 Προστατέψτε το φάκελο wp-include με .htaccess
  • 2.9 Προστατέψτε το φάκελο wp-admin με .htaccess και .htpasswd
  • 2.10 Αλλαγή προθέματος βάσης δεδομένων
  • 2.11 Εγκαταστήστε το Belavir Plugin
  • 2.12 Εγκαταστήστε το WP Security Scan Plugin
  • 2.13 Εγκαταστήστε το Better WP Security Plugin
  • 2.14 Παρακολούθηση αλλαγών στο ftp σας
  • 2.15 Δημιουργία αντιγράφων ασφαλείας βάσεων δεδομένων και αρχείων μία φορά κάθε λίγες μέρες

Συχνές ερωτήσεις για όλα τα μέρη του μικρού μου blogger:

Έχω γράψει διάφορα άρθρα σχετικά με το blogging. Δεν ισχυρίζονται ότι είναι πλήρες εγχειρίδιο, αλλά οι αρχάριοι μπορεί να είναι χρήσιμοι. Μπορείτε να το διαβάσετε, αν ενδιαφέρεστε.

0. Προτείνω ένα μάθημα «Πώς να γίνετε εκατομμυριούχος blogger και να κερδίσετε χρήματα»
1. Πώς να ξεκινήσετε ένα blog
2. Πώς να προωθήσω ένα blog - μια λίστα με τις ενέργειές μου
3. Πώς να κερδίσετε χρήματα σε ένα blog και ταξίδια
4. Ένα παράδειγμα κερδών στο blog μας - Finstrip 2013, finstrip 2012, Finstrip 2011
5. Αναγνώστης και επισκεψιμότητα αναζήτησης και γιατί οι αναγνώστες δεν επιστρέφουν
6. Λίγη αλήθεια για τα ταξιδιωτικά blogging
7. Συμβουλές προστασίας ιστολογίου WordPress

Συμβουλές για την ασφάλεια του Blog στο WordPress

Συμβουλές για την ασφάλεια του Blog στο WordPress

Η λίστα είναι απίθανο να είναι πλήρης και, όπως λένε, όποιος τη χρειάζεται, θα τη σπάσει ούτως ή άλλως. Αλλά τουλάχιστον σχεδόν οποιοσδήποτε blogger μπορεί να κάνει αυτές τις ενέργειες για να προστατεύσει τουλάχιστον τον εαυτό του λίγο..

Ενημέρωση κωδικών μετρητή και widget

Ελέγξτε τους κωδικούς όλων των μετρητών και των κοινωνικών widget στο ιστολόγιό σας και στον ιστότοπο, από πού τα πήρατε.
Ίσως έχουν ενημερωθεί. Παρατήρησα ότι το Facebook αλλάζει συχνά τον κώδικα για widget, βελτιώνει την ασφάλεια προφανώς.

Ενημερώστε όλες τις προσθήκες και το WordPress στις πιο πρόσφατες εκδόσεις και καταργήστε τα αχρησιμοποίητα

Εδώ τα σχόλια είναι περιττά, όλοι γνωρίζουν πώς να το κάνουν. Οι ευπάθειες συνήθως περιλαμβάνονται σε προσθήκες και θέματα, επομένως, τουλάχιστον, όλα τα αχρησιμοποίητα πρέπει να αφαιρεθούν.

Ενημέρωση timthumb.php

Εάν το θέμα σας χρησιμοποιεί μικρογραφίες αλλαγής μεγέθους χρησιμοποιώντας timthumb.php, τότε πρέπει σίγουρα να ενημερώσετε αυτό το αρχείο στην πιο πρόσφατη έκδοση, καθώς οι παλαιότερες εκδόσεις έχουν γνωστή ευπάθεια.

Ελέγξτε τα δικαιώματα σε φακέλους και αρχεία

Όλα τα αρχεία πρέπει να έχουν 644 δικαιώματα, 755 φακέλους εκτός από .htaccess - 444 δικαιώματα και μεταφορτώσεις φακέλους - 777 δικαιώματα.

Αλλαγή ονόματος χρήστη διαχειριστή

Η πιο γρήγορη επιλογή είναι να μεταβείτε στο phpadmin και εκεί, στη βάση δεδομένων σας, να εκτελέσετε αυτό το ερώτημα:

ΕΝΗΜΕΡΩΣΗ wp_users SET user_login = ‘Η νέα σύνδεσή σας’ WHERE user_login = ‘διαχειριστής’;

Εναλλακτικά, μπορείτε απλά να δημιουργήσετε έναν νέο χρήστη μέσω του πλαισίου διαχειριστή ιστολογίου, να του εκχωρήσετε ξανά όλα τα άρθρα και να διαγράψετε τον παλιό χρήστη διαχειριστή..

Αλλάξτε όλους τους κωδικούς πρόσβασης σε πιο περίπλοκους

Συμβουλές σχετικά με το κοινό, αλλά οι κωδικοί πρόσβασης πρέπει να είναι περίπλοκοι, αποτελούμενοι από αριθμούς και γράμματα διαφορετικών καταχωρητών. Επίσης, μην ξεχνάτε ότι μετά την καταπολέμηση των ιών, πρέπει να αλλάξετε όλους τους κωδικούς πρόσβασης με οποιονδήποτε τρόπο (διαχειριστής ιστολογίου, διαχειριστής φιλοξενίας, ftp, βάση δεδομένων sql) και είναι επίσης λογικό να αλλάξετε τα μυστικά κλειδιά στο αρχείο wp-config.php.

Προστατέψτε τα αρχεία .htaccess και wp-config.php από την πρόσβαση για όλους

Προσθέστε στο .htaccess σας στη ρίζα του ιστολογίου, αυτόν τον κωδικό:

Απορρίψτε την παραγγελία, επιτρέψτε
αρνούνται από όλα
παραγγελία επιτρέψτε, αρνηθείτε
αρνούνται από όλα

Προστατέψτε το φάκελο wp-include με .htaccess

Δημιουργήστε ένα αρχείο απλού κειμένου, καλέστε το .htaccess και αντιγράψτε το στο φάκελο wp-include, αφού προσθέσετε τον κώδικα στο αρχείο:

Επιτρέψτε την παραγγελία, Άρνηση
Άρνηση από όλα
Να επιτρέπεται από όλα

Προστατέψτε το φάκελο wp-admin με .htaccess και .htpasswd

Δημιουργήστε ένα αρχείο απλού κειμένου, καλέστε το .htaccess και αντιγράψτε το στο φάκελο wp-admin, αφού προσθέσετε τον κώδικα στο αρχείο:

AuthUserFile /home/public/.htpasswd
Βασικός τύπος AuthType
Όνομα “περιορισμένος”
Παραγγελία Άρνηση, Επιτρέψτε
Άρνηση από όλα
Απαιτείται έγκυρος χρήστης
Ικανοποιήστε οποιοδήποτε

Οπου, «/home/public/.htpasswd» Είναι η πλήρης διαδρομή προς το αρχείο .htpasswd. Συνιστάται αυτό το αρχείο να βρίσκεται πάνω από τον κατάλογο του ιστολογίου σας.

Το αρχείο .htpasswd περιέχει τον κωδικό πρόσβασης για πρόσβαση στη ζώνη wp-admin σε κρυπτογραφημένη μορφή. Ο ευκολότερος τρόπος για να δημιουργήσετε αυτό το αρχείο είναι να εισαγάγετε το όνομα χρήστη και τον κωδικό πρόσβασης με τον συνηθισμένο τρόπο. Είναι καλύτερο να μην επαναλαμβάνετε και να υποδεικνύετε δεδομένα που διαφέρουν από τους υπάρχοντες λογαριασμούς.

Υπάρχει μόνο μία ταλαιπωρία με αυτήν τη μέθοδο - δεν ισχύει εάν έχετε ιστολόγιο πολλαπλών χρηστών, καθώς ο κωδικός πρόσβασης θα ζητηθεί από όλους τους χρήστες.

Αλλαγή προθέματος βάσης δεδομένων

Αλλάξτε το πρόθεμα της βάσης δεδομένων sql από το πρότυπο «wp_» σε μερικά «wpsdjflk647_» Ήταν δυνατό στην αρχή της δημιουργίας του blog. Αλλά τώρα αυτό δεν είναι πρόβλημα. Το έκανα ένα πρόσθετο, το οποίο θα συζητηθεί παρακάτω. Αν και θα μπορούσατε να πάτε στο phpadmin, αντικαταστήστε όλα τα ονόματα των πινάκων εκεί και, στη συνέχεια, αλλάξτε το πρόθεμα στο αρχείο wp-config.php

Εγκαταστήστε το Belavir Plugin

Εγκαταστήστε την προσθήκη Belavir, η οποία θα παρακολουθεί τις αλλαγές σε όλα τα αρχεία php του ιστολογίου σας. Η ίδια η προσθήκη δεν παρακολουθεί τίποτα, αλλά ξεκινά τη σάρωση όταν μεταβαίνετε στον πίνακα διαχείρισης ιστολογίου στη σελίδα Κονσόλα, όπου εμφανίζει πραγματικά τις αλλαγές. Δεν έχει ρυθμίσεις.

Εγκαταστήστε το WP Security Scan Plugin

Εγκαταστήστε το WP Security Scan plugin, με το οποίο μπορείτε να κάνετε κάποια πράγματα, ιδίως:
- αλλαγή προθέματος βάσης δεδομένων
- ελέγξτε τα δικαιώματα σε φακέλους και αρχεία
- απόκρυψη της έκδοσης του WordPress
- συνδέστε το antivirus για το ιστολόγιο και ελέγξτε το

Εγκαταστήστε το Better WP Security Plugin

Εγκαταστήστε το Better WP Security plugin, είναι ακόμη πιο απαραίτητο από τα δύο προηγούμενα. Η λίστα των χαρακτηριστικών της είναι πολύ μεγάλη, θα αναφέρω ένα μέρος:
- σας επιτρέπει να αλλάξετε το πρόθεμα της βάσης δεδομένων
- αφαιρεί τις περιττές πληροφορίες από τον κώδικα blog ανά τύπο έκδοσης wordpress
- παρακολουθεί τις αλλαγές σε όλα τα αρχεία
- απαγορεύει το ip εκείνων που εισάγουν παράξενες διευθύνσεις στο πρόγραμμα περιήγησης μετά το όνομα του ιστολογίου σας, λαμβάνοντας ένα σφάλμα 404
- απαγορεύει την επιλογή κωδικού πρόσβασης για τον πίνακα διαχείρισης, απαγόρευση ip
- Αλλάζει τις προεπιλεγμένες διευθύνσεις σύνδεσης του διαχειριστή, εξαιρετική προστασία από επιθέσεις brute-force
- και πολλα ΑΚΟΜΑ.

Παρακολούθηση αλλαγών στο ftp σας

Εγκαταστήστε το πρόγραμμα ftpinfo στον υπολογιστή σας, το οποίο σας επιτρέπει να συνδεθείτε με τον διακομιστή ftp και να παρακολουθείτε τις αλλαγές όλων των αρχείων λογαριασμού για την εμφάνιση / διαγραφή / αλλαγή τους. Πολύ βολικό πράγμα κατά τη διάρκεια επιθέσεων ιών. Μπορείτε να παρακολουθείτε όχι μόνο όλα τα αρχεία, αλλά και να δημιουργείτε μάσκες για αρχεία και φακέλους.

Δημιουργία αντιγράφων ασφαλείας βάσεων δεδομένων και αρχείων μία φορά κάθε λίγες μέρες

Ένα πολύ χρήσιμο πράγμα, μπορεί να είναι χρήσιμο για την καταπολέμηση των ιών. Τα αρχικά αρχεία θα είναι πάντα στη διάθεσή σας και θα υπάρχει η ευκαιρία να επαναφέρετε αν δεν είναι δυνατή η εκκαθάριση του ιστότοπου από ιούς. Χρησιμοποιώ την προσθήκη BackWPup. Διαθέτει πολλές δυνατότητες, όπως αντιγραφή δεδομένων στο Dropbox - μια βολική υπηρεσία που παρέχει 2 GB ελεύθερου χώρου στο Διαδίκτυο και συγχρονισμό με τον υπολογιστή σας.

Αυτές είναι οι συμβουλές για την προστασία ενός ιστολογίου WordPress που εφάρμοσα στο ιστολόγιό μας. Εάν υπάρχουν ερωτήσεις ή προσθήκες (ίσως κάτι άλλο μπορεί να γίνει), γράψτε στα σχόλια 🙂