Cum de a face un WordPress în condiții de siguranță
Succesul WordPress-site-ul ar trebui să fie cât mai sigure posibil. Site-ul cu configurație greșită poate fi ușor de cracare de hackeri. Acest articol va discuta ce măsuri ar trebui luate pentru a face WordPress mai sigur posibil.
Modificarea numelui de utilizator al administratorului
Acest pas simplu, dar foarte important, vă va permite să protejeze WordPress. Numele unic al administratorului complica atac comportamentul brute-force. Dacă numele administratorului este cunoscut, atacatorul poate determina numai parola. În cazul în care nu este cunoscută, atacatorul ar trebui să rezolve problema cu două necunoscute.
Modificarea notificării de date incorecte pentru a vă conecta
În mod implicit, WordPress este configurat pentru a informa utilizatorul că a intrat într-un nume de utilizator sau parola incorecte. Aceasta este o vulnerabilitate. După cum sa menționat mai sus, numele de utilizator unic al administratorului crește gradul de protecție împotriva atacurilor brute-force WordPress. O notificare care nu specifică ce parte din informația de înregistrare este introdusă incorect, de asemenea, va crește gradul de protecție a site-ului împotriva atacului.
Pentru a afișa o notificare mai sigură de introducere a datelor incorecte în sistem, adăugați următorul cod în temele WordPress functions.php fișier:
Funcția my_failed_login () retur „Informațiile de conectare trimis este incorect. Vă rugăm să încercați din nou! "
>
add_filter ( 'login_errors', 'my_failed_login');
Eliminați informații despre versiunea de WordPress din codul sursă
Nimeni, cu excepția faptului că nu știți ce versiune de WordPress pe care îl utilizați pe site. Mai mult decât atât, este o vulnerabilitate foarte gravă. Să presupunem că site-ul dvs. este alimentat de WordPress 3.1, și cea mai recentă versiune de WordPress - 3.5.1. De la lansarea versiunii 3.1. a fost corectat câteva greșeli, iar aceste greșeli nu se regăsesc în versiunile ulterioare, este cunoscut pentru toată lumea, inclusiv hackeri. Atacatorii sunt pieptene de rețea site-uri web element din codul sursă care conține versiunea de WordPress, și care nu au fost încă actualizate la cea mai recentă versiune.
Pentru a elimina versiunea de WordPress cod sursă, adăugați următorul cod în temele WordPress functions.php fișier:
Funcția remove_my_wp_version () întoarcerea '';
>
add_filter ( 'the_generator', „remove_my_wp_version);
Permite utilizatorilor înregistrați numai atunci când este necesar
Noua înregistrare utilizator WordPress implicit nu este permis. Nu modificați setările, cu excepția cazurilor când doriți într-adevăr, pentru a permite utilizatorilor să se înregistreze pe site-ul tau. Pentru a verifica dacă înregistrarea este dezactivat pe WordPress-site-ul dvs., du-te la interfata de administrare WordPress, faceți clic pe Settings-> General, și asigurați-vă să bifați în caseta „Registrul rezolvat totul“ a fost eliminat.
Asigurați-vă că utilizarea cea mai recentă versiune de WordPress
După cum sa menționat mai sus, WordPress ar trebui să fie actualizate în mod regulat. Folosind versiuni mai vechi ale WordPress poate face site-ul dvs. vulnerabile la atacatori care ar putea profita de bug-uri care sunt fixate în versiunile mai noi.
Dezactivați editarea fișierelor din folderul wp-admin
În mod implicit, administratorul WordPress este permisiunea de a edita fișiere teme și plugin-uri folosind panoul de administrare. În cazul în care un atacator obține acces la panoul, primul lucru pe care îl va face - să încerce să facă modificări la fișierul folosind WordPress funcții de editare php-files. Pentru a preveni acest lucru și pentru a dezactiva complet funcția de editare a fișierului cu panoul de administrare, adăugați următorul cod în fișierul wp-config.php.
Nu utilizați plugin-uri pentru a executa cod
Modificarea prefixul de masă
Cei mai mulți hackeri specializați în WordPress, sugerează că un tabel standard cu prefix wp_. Schimbarea tabelului de prefix va ajuta să blocheze cel puțin unele dintre atacuri, asociate cu introducerea SQL-cod. Pentru a schimba prefixul tabelul pe versiunea instalată a WordPress, modificați următoarea linie în fișierul wp-config.php.
În cazul în care este instalat WordPress, cu excepția modificărilor survenite în șirul specificat, trebuie să redenumiți tabelul existent. Acest lucru se poate face prin intermediul plug-in-uri, ca și Modificare Tabelul Prefixul.
Utilizați drepturi de acces limitat la securitatea dosar
Folosiți cât mai puțin posibil drepturile de acces la fișiere și foldere. Asigurați-vă că folderul wp-admin și wp-include disponibile numai pentru utilizatori. director-wp conținut ar trebui să fie disponibile numai pentru utilizator și de utilizator pentru serverul de web. Pentru cele mai bune drepturi de acces la fișiere și configurare foldere, utilizați directorul WordPress.