Как да направим WordPress сайт сигурен
Стартирането на свой собствен WordPress сайт в наши дни е доста лесно. За съжаление, няма да отнеме много време хакерите да започнат да се насочват към вашия сайт.
Най-добрият начин да направите WordPress сайт сигурен е да разберете всяка точка на уязвимост, която идва от стартирането на сайт на WordPress . След това инсталирайте подходящата защита, за да блокирате хакерите във всяка от тези точки.
В тази статия ще научите как да защитите по-добре своя домейн, вашето влизане в WordPress и наличните инструменти и плъгини за защита на вашия WordPress сайт.
Създайте частен домейн
В наши дни е твърде лесно да намерите наличен домейн(find an available domain) и да го закупите на много ниска цена. Повечето хора никога не купуват добавки за домейни за своя домейн. Въпреки това, една добавка, която винаги трябва да имате предвид, е защитата на поверителността(Privacy Protection) .
Има три основни нива на защита на поверителността с GoDaddy , но те също отговарят на предложенията на повечето доставчици на домейни.
- Основно(Basic) : Скрийте вашето име и информация за контакт от директорията WHOIS . Това е достъпно само ако правителството ви позволява да скриете информацията за връзка с домейна.
- Пълен(Full) : Заменете собствената си информация с алтернативен имейл адрес и информация за контакт, за да прикриете действителната си самоличност.
- Ultimate : Допълнителна защита, която блокира злонамерено сканиране на домейни и включва наблюдение на сигурността на уебсайта за действителния ви сайт.
Обикновено надграждането на вашия домейн до едно от тези нива на сигурност изисква просто да изберете надстройка от падащо меню на страницата с списък на вашия домейн.
Основната(Basic) защита на домейна е сравнително евтина (обикновено около $9,99 на година), а по-високите нива на сигурност не са много по-скъпи.
Това е отличен начин да спрете разпространителите на спам да изтриват информацията ви за контакт от базата данни WHOIS или други със злонамерени намерения, които искат да получат достъп до информацията ви за контакт.
Скриване(Hide) на файловете wp-config.php и .htaccess
Когато за първи път инсталирате WordPress(install WordPress) , ще трябва да включите административния идентификатор и паролата за вашата WordPress SQL база данни във файла wp-config.php.
Тези данни се криптират след инсталиране, но вие също така искате да блокирате хакерите да могат да редактират този файл и да разбият уебсайта ви. За да направите това, намерете и редактирайте файла .htaccess в главната папка на вашия сайт и добавете следния код в долната част на файла.
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
За да предотвратите промени в самия .htaccess, добавете и следното в долната част на файла.
# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>
Запазете файла и излезте от редактора на файлове.
Може също да помислите да щракнете с десния бутон върху всеки файл и да промените разрешенията, за да премахнете достъпа за запис(Write) изцяло за всички.
Докато правенето на това с файла wp-config.php не би трябвало да създава проблеми, правенето на това на .htaccess може да причини проблеми. Особено ако използвате някакви защитни WordPress плъгини, които може да се наложи да редактират файла .htaccess вместо вас.
Ако получите някакви грешки от WordPress , винаги можете да актуализирате разрешенията, за да разрешите отново достъп за запис(Write) във файла .htaccess.
Променете URL адреса си за влизане в WordPress
Тъй като страницата за вход по подразбиране за всеки WordPress сайт е yourdomain/wp-admin.php, хакерите ще използват този URL, за да опитат да проникнат във вашия сайт.
Те ще направят това чрез така наречените „груба сила“ атаки, при които ще изпращат вариации на типични потребителски имена и пароли, които много хора често използват. Хакерите се надяват, че ще извадят късмет и ще получат правилната комбинация.
Можете да спрете тези атаки изцяло, като промените URL адреса си за влизане в WordPress(WordPress login URL) на нещо нестандартно.
Има много WordPress плъгини, които да ви помогнат да направите това. Един от най-често срещаните е WPS Hide Login .
Този плъгин добавя раздел към раздела Общи(General) под Настройки(Settings) в WordPress.
Там можете да въведете всеки URL адрес(URL) за влизане , който искате, и да изберете Запазване на промените(Save Changes) , за да го активирате. Следващия път, когато искате да влезете в своя WordPress сайт, използвайте този нов URL адрес(URL) .
Ако някой се опита да получи достъп до стария ви URL адрес(URL) на wp-admin , той ще бъде пренасочен към 404 страница на вашия сайт.
Забележка(Note) : Ако използвате плъгин за кеширане, не забравяйте да добавите новия си URL адрес(URL) за вход към списъка със сайтове, които не(not) трябва да се кешират. След това не забравяйте да изчистите кеша, преди да влезете отново в своя WordPress сайт.
Инсталирайте приставка за сигурност на WordPress
Има много приставки за сигурност на WordPress,(WordPress security plugins) от които да избирате. От всички тях Wordfence е най-често изтегляният, по основателна причина.
Безплатната версия на Wordfence включва мощна машина за сканиране, която търси заплахи от задната врата, злонамерен код във вашите плъгини(malicious code in your plugins) или на вашия сайт, заплахи за инжектиране на MySQL и други. Той също така включва защитна стена за блокиране на активни заплахи като DDOS атаки.
Освен това ще ви позволи да спрете атаките с груба сила, като ограничите опитите за влизане и блокирате потребители, които правят твърде много неправилни опити за влизане.
В безплатната версия има доста настройки. Повече от достатъчно за защита на малки и средни уебсайтове от повечето атаки.
Има и полезна страница за табло, която можете да прегледате, за да наблюдавате скорошни заплахи и атаки, които са били блокирани.
Използвайте генератора на пароли за WordPress(WordPress Password Generator) и 2FA
Последното нещо, което искате, е хакерите лесно да отгатнат паролата ви. За съжаление твърде много хора използват много прости пароли, които са лесни за отгатване. Някои примери включват използване на името на уебсайта или собственото име на потребителя като част от паролата или неизползване на специални знаци.
Ако сте надстроили до най-новата версия на WordPress , имате достъп до мощни инструменти за защита с парола, за да защитите своя WordPress сайт.
Първата стъпка за подобряване на сигурността на вашата парола е да отидете на всеки потребител за вашия сайт, да превъртите надолу до секцията Управление на акаунти(Account Management) и да изберете бутона Генериране на парола(Generate Password) .
Това ще генерира дълга, много сигурна парола, която включва букви, цифри и специални знаци. Запазете тази парола на безопасно място, за предпочитане в документ на външно устройство, което можете да изключите от компютъра си, докато сте онлайн.
Изберете Изход навсякъде другаде(Log Out Everywhere Else) , за да се уверите, че всички активни сесии са затворени.
И накрая, ако сте инсталирали приставката за защита на Wordfence , ще видите бутон Активиране на 2FA . (Activate 2FA)Изберете това, за да активирате двуфакторно удостоверяване за вашите потребителски влизания.
Ако не използвате Wordfence , ще трябва да инсталирате някой от тези популярни 2FA плъгини.
- Google Authenticator
- Двуфакторна автентификация(Two Factor Authentication)
- Двуфакторна автентификация на Rublon(Rublon Two-Factor Authentication)
- Двуфакторно удостоверяване на Duo(Duo Two-Factor Authentication)
Други важни съображения за сигурност(Important Security Considerations)
Има още няколко неща, които можете да направите, за да защитите напълно своя WordPress сайт.
Както приставките на WordPress,(WordPress plugins) така и самата версия на WordPress трябва да се актуализират по всяко време. Хакерите често се опитват да използват уязвимостите в по-старите версии на кода на вашия сайт. Ако не актуализирате и двете, излагате сайта си на риск.
1. Редовно избирайте Plugins и Installed Plugins в административния панел на WordPress . Прегледайте(Review) всички плъгини за състояние, което казва, че е налична нова версия.
Когато видите нещо, което е остаряло, изберете актуализиране сега(update now) . Можете също да помислите да изберете Активиране на автоматичните актуализации за вашите плъгини.
Някои хора обаче са предпазливи да правят това, тъй като актуализациите на плъгини понякога могат да нарушат вашия сайт или тема. Така че винаги е добра идея да тествате актуализациите на плъгини на локален тестов сайт на WordPress,(local WordPress test site) преди да ги активирате на вашия сайт на живо.
2. Когато влезете в таблото си за управление на WordPress , ще видите известие, че WordPress е остарял, ако използвате по-стара версия.
Отново архивирайте сайта и го заредете в локален тестов сайт на вашия собствен компютър, за да проверите дали актуализацията на WordPress не нарушава сайта ви, преди да го актуализирате на живия си уебсайт.
3. Възползвайте се от безплатните функции за сигурност на вашия уеб хост. Повечето уеб хостове предлагат различни безплатни услуги за сигурност за сайтовете, които хоствате там. Те правят това, защото не само защитава вашия сайт, но и защитава целия сървър. Това е особено важно, когато сте на споделен хостинг акаунт, където други клиенти имат уебсайтове на същия сървър.
Те често включват безплатни инсталирания на SSL сигурност за вашия сайт, (free SSL security)безплатни архиви(free backups) , възможност за блокиране на злонамерени IP адреси и дори безплатен скенер на сайтове, който редовно ще сканира вашия сайт за злонамерен код или уязвимости.
Стартирането на уебсайт никога не е толкова просто, колкото инсталирането на WordPress и простото публикуване на съдържание. Важно е да направите своя уебсайт на WordPress възможно най-сигурен. (WordPress)Всички горепосочени съвети могат да ви помогнат да го направите без много усилия.
Related posts
3 начина да измислите най-сигурната парола
Вашето приложение за съобщения наистина ли е сигурно?
3 начина да направите снимка или видео на Chromebook
Как да открием софтуер за наблюдение на компютър и имейл или шпиониране
Демистифицирана технология за плосък дисплей: TN, IPS, VA, OLED и др
Как да коригирам кода за грешка на Hulu RUNUNK13
Как да направите екранна снимка в Steam
Как да проверите твърдия диск за грешки
Как да изтеглите видеоклипове от Twitch
Как да предавате на Roku TV от компютър или мобилен телефон
Как да изтеглите и инсталирате Peacock на Firestick
Как да създадете прозрачен фон в GIMP
7 бързи поправки, когато Minecraft продължава да се срива
Как да възстановите пари за игра в Steam
Как да намерите спомени във Facebook
4 начина да намерите най-добрите интернет опции (ISP) във вашия район
Как да заглушите някого в Discord
OLED срещу MicroLED: Трябва ли да изчакате?
Какво представлява рейтингът на пътниците на Uber и как да го проверите
Как да поправите код за грешка на Disney Plus 83