Защитата на WordPress е гореща тема в блогосферата в момента. Неотдавнашните атаки на ботнет върху огромен брой сайтове на WordPress накараха някои хора да възстановят ценните си данни и трябва да действате бързо, за да втвърдите вашата WordPress сигурност.
Тогава има такива, които са мислили напред и са предприели действия, преди да се наложи. Шансовете са, че те не са имали никакви проблеми, защото са направили тежка мишена.
Факт е следният: макар да няма такова нещо като 100% защитен сайт, човек може да направи вероятността да бъде хакнат далеч по-малък, като отдели малко време, за да направи вашия сайт по-сигурен от 99% от другите. Имайки това предвид, в тази публикация ще ви преведа чрез един прост процес в пет стъпки, който ще превърне вашия сайт от мека цел в истинска трудна бисквитка.
Contents
Стъпка 1: Актуализирайте всичко
Остарелите елементи на вашия сайт представляват потенциални рискове за сигурността, тъй като хакерите могат да ги използват, за да влязат в задния ви сайт. Ето защо актуалността на всичко е толкова важна.
И когато казвам всичко, аз означава всичко:
- WordPress Core
- Теми
- Plugins
Деактивираните теми и плъгини също трябва да се актуализират – самото им присъствие на вашия сайт ги прави потенциален риск за сигурността, така че трябва да ги актуализирате, за да втвърдите вашата WordPress сигурност.
Не влизате много често? Без притеснения – можете да използвате плъгин като the Лесен мениджър за актуализации за да активирате автоматични актуализации за вашето ядро, тема и плъгини в WordPress. Съществуват и множество вградени разширени настройки за персонализиране на вашите актуализации и регистрационни файлове, за да видите какво е актуализирано и кога.
Много хора ще стигнат дотук, а след това спрете, но всъщност има още една стъпка, която трябва да направите: трябва много сериозно да обмислите премахването на всякакви теми и плъгини на вашия сайт, които не са актуализирани наскоро. Можете лесно да наблюдавате кога са последно актуализирани плъгините с Plugin Last Update. Това добавя последната актуализирана дата към вашия списък с плъгини на задния край (който по подразбиране трябва да бъде показан по подразбиране).
Като цяло бих казал, че всеки плъгин, който не е актуализиран през последните дванадесет месеца, трябва да се счита за изтриване.
Стъпка 2: Архивирайте всичко (и редовно)
Знам, че това е очевидно предложение, но би било отхвърлено от мен да не включвам резервни копия на WordPress. Простият факт е, че малко неща (ако има нещо друго) са по-важни за безопасността на вашия сайт.
Ако вашият сайт е обект на наистина разрушително хакване (което е винаги възможно), последната ви линия на защита е скорошно архивиране. Това означава, че дори да се случи най-лошото, все пак ще имате нещо, на което да се отпуснете. Ако ти не поддържайте редовно архивиране, за да сте доста тъпи, вие сте прецакани.
Има огромен брой резервни решения, но първото ми предложение би било да избера хостинг доставчик, който да включва автоматично архивиране в тяхната услуга. Ако сте жертва на хакерски опит, който уврежда вашия сайт, тогава трябва да откриете, че вашият доставчик бърза да възстанови сайта до предишната му слава.
Отвъд това са вариантите на крема на реколтата VaultPress и BackupBuddy. Те струват пари, но моят съвет е да никога скупи се на вашето резервно решение. Лично аз съм потребител на VaultPress (както е и WPExplorer) – те предлагат цялостно решение за архивиране, както и допълнителни функции за защита.
Стъпка 3: Променете потребителското си по подразбиране потребителско име
Ако все още използвате потребителския профил по подразбиране „администратор“, приложен в комплект с вашата инсталация на WordPress, сега е моментът да промените.
Защо? Тъй като първа стъпка за всеки опит за влизане в груба сила е да се опита да влезете с потребителското име „администратор“, след което да преминете през огромен брой опити за парола, за да получите влизане. Ако създадете по-уникално потребителско име, тогава спирате този опит за хакване в неговите песни.
Превключването на профили и всичко, което е потенциално свързано с него (прехвърляне на собствеността върху публикации и т.н.) може да изглежда доста обезсърчаваща задача, но това е важна стъпка в осигуряването на вашия сайт и е много по-лесно, отколкото звучи. Проверете YouTube за уроци, ако искате допълнителни насоки.
Стъпка 4: Създайте уникална силна парола (и я променяйте редовно)
Повечето хора са достатъчно здрави в наши дни, за да знаят, че паролата им не трябва да бъде „парола“. Какво могат не знам е, че опитите за хакерска груба атака ще опитат удивително множество комбинации от пароли при опит за достъп до уебсайтове. Ако вашата парола има смисъл или по някакъв начин е предвидима (напр. Се състои от разпознаваеми думи или модели от числа), тогава вашият сайт е изложен на риск.
В действителност има три златни правила за генериране на парола за най-добри практики:
- Трябва да е наистина произволни и уникални
- Трябва да се използва само веднъж (т.е. не в множество сайтове)
- Той трябва да се променя периодично (например веднъж месечно)
Ако следвате тези три правила, тогава вашият сайт ще бъде много по-сигурен. По отношение на генерирането на наистина случайни пароли, можете да използвате безплатен онлайн генератор, като препоръчвам да се регистрирате за безплатен акаунт с LastPass и използвайте тази услуга за (a) генериране и (б) съхраняване на всички ваши пароли.
Стъпка 5: Инсталирайте Plugin Protection
Има огромен брой плъгини, които твърдят, че повишават сигурността на вашия сайт. Едрият избор може да бъде превъзходен, но аз ще прережа плявата и ще препоръчам това, което считам за най-простият и най-ефективният плъгин за вас, който използвате.
Този плъгин е Wordfence: популярен и високо оценен безплатен плъгин. Тя включва голямо разнообразие от функции за защита, включително (но не само):
- Защитна стена
- Злоустойчива IP защита
- Задните сканирания
- Сканиране на злонамерен софтуер
- Подобрена сигурност при влизане
Въпреки че Wordfence е фриймиум модел и има платена версия с повече опции, самият плъгин и основната услуга не ви струват нищо. Инсталирането на това на вашия сайт не е просто.
В действителност просто драскам повърхността тук. Въпреки че поставянето на горните мерки за сигурност ще ви помогне да втвърдите сигурността си на WordPress над по-голямата част от другите, винаги можете да направите още и винаги шанс, че все пак бихте могли да се хакнете.
Разкрих прости начини да засилите сигурността на WordPress в тази публикация. Ако сте ги внедрили всички и все още сте гладни за още, бих ви посъветвал да започнете, като разгледате официалната страница за сигурност на WordPress на адрес WordPress.org Codex.
Сега е ваш ред – обичам да знам какви прости препоръки трябва да засилите вашата WordPress сигурност. Това могат да бъдат прости съвети и трикове, предложения за плъгини или дори препоръчителна услуга за премиум като гореспоменатия VaultPress. Пожар в раздела за коментари!
