22 de sfaturi pentru a preveni piratarea blogului dvs. Wordpress

Cum să evitați piratarea site-ului dvs. WordPress

Indiferent dacă utilizați sau nu măsuri de securitate în site-ul sau blogul dvs. chiar acum sau nu, adevărul este...

Bloggerii sensibili iau în serios securitatea site-ului și fac tot ce le stă în putință pentru a preveni piratarea blogului lor WordPress.

Securitatea online este o problemă foarte reală.

Mulți oameni uită să actualizeze pluginurile și nu folosesc cea mai recentă versiune de WordPress. A nu face acest lucru poate însemna un dezastru dacă nu ați luat măsuri pentru a preveni piratarea blogului dvs.

Pierderea blogului sau a conținutului site-ului web poate distruge o afacere, reputația sau doar prezența online pe care ați încercat să o extindeți; imaginați-vă că aveți un blog care a avut sute de postări, comentarii și chiar link-uri afiliate doar pentru a descoperi că a fost distrus chiar a doua zi! Nu e un sentiment plăcut. Cu toate acestea, există modalități de a face securitatea site-ului dvs. web mai puternică decât mai bună.

Puteți adăuga pluginuri, puteți actualiza cadrul blogului dvs., practic, există multe modalități de a vă asigura blogul sau site-ul web în siguranță. Așa că, pentru a vă ajuta, am scris acest articol scurt, dar informativ. Sper să-i ajute pe unii dintre voi.

Această postare a fost realizată, desigur, de mine, dar și de prietenul meu genial de blogging, Julius, care conduce And Break! Consultați blogul lui pentru sfaturile mele grozave.

Cum să împiedici piratarea site-ului tău WordPress

Faceți backup pentru blogul dvs

Înainte de a face orice modificări blogului, asigurați-vă că ați făcut backup blogului. Problema cu majoritatea pluginurilor gratuite este că nu fac copii de rezervă pentru toate datele tale. De exemplu, dacă blogul dvs. WordPress este șters și restabiliți copia de rezervă dintr-un plugin gratuit, veți fi pierdut în continuare o mulțime de date, cum ar fi imaginile, deoarece nu sunt copiate de rezervă cu aceste plugin-uri. De aceea, aș recomanda să utilizați Backup Buddy, care face o copie de rezervă a întregului dvs. blog WordPress și vă permite să-l restaurați cu ușurință la un moment ulterior.

Dacă aveți nelămuriri dacă blogul dvs. ar putea fi piratat, asigurați-vă că aruncați o privire la Backup Buddy.

Utilizați parole puternice

Parolele puternice sunt esențiale pentru utilizatorii cu privilegii înalte, cum ar fi administratorii. Fără ele, blogul tău va fi vulnerabil la atacuri cu forță brută. În esență, acestea sunt atacuri în care atacatorul încearcă să ghicească parola trecând prin multe parole – combinații de utilizatori. Dacă utilizați parole sigure, atunci șansele de succes ale atacurilor brute forțe devin extrem de scăzute.

Iată câteva sfaturi despre ce parole sigure ar trebui să includă:

• utilizați cel puțin 1-2 numere utilizați caractere mari și mici
• utilizați caractere speciale, cum ar fi !@#…

De asemenea, nu ar trebui să utilizați parole precum data nașterii sau hobby-urile dvs. Aceste tipuri de parole sunt foarte nesigure, deoarece hackerii pot găsi cu ușurință informații personale.

Un alt pas important pe care trebuie să-l faceți este să aveți o mulțime de parole diferite. Este frumos să aveți o singură parolă și să accesați totul prin ea, dar imaginați-vă ce se întâmplă dacă cineva știe această parolă. El vă poate accesa practic toate conturile.

Din acest motiv, utilizați o mulțime de parole diferite.

Fii la curent cu patch-uri și actualizări

Acesta este un alt pas esențial în securizarea blogului dvs. Patch-urile și actualizările sunt create pentru a remedia găurile de securitate și pentru a spori funcționalitatea software-ului. Nu există niciun motiv să nu le instalați.

În esență, ar trebui să vă țineți informat despre schimbările din WordPress și despre vulnerabilități în general. Prin urmare, vă sfătuiesc să urmați aceste două fluxuri:

• Dezvoltare WordPress
• BlogSecurity.net

Primul este fluxul de dezvoltare WordPress, unde sunt postate noile versiuni și cele mai recente actualizări pentru WordPress. Celălalt este feedul de la BlogSecurity.net. Acești tipi postează adesea vulnerabilități existente în pluginurile WordPress sau în WordPress însuși.

Folosiți SSH în loc de FTP

În general, FTP nu este atât de sigur pe cât cred oamenii că este. Acreditările dvs. FTP nu sunt de obicei criptate și ușor de capturat.

O alternativă foarte sigură la FTP este SSH. SSH folosește un algoritm simplu pentru a cripta toate datele trimise prin intermediul acestuia, inclusiv fișierele. Citiți această poveste și s-ar putea să vă răzgândiți cu privire la utilizarea FTP pentru a încărca!

Utilizați teme WordPress acceptate

Majoritatea oamenilor cred că temele WordPress în sine nu prezintă un risc de securitate, dar unii da. Temele pot prezenta un risc de securitate deoarece nu toți dezvoltatorii web știu să scrie cod securizat.

Din acest motiv, este bine să rămâneți cu o temă care este susținută și actualizată din când în când. Temele WordPress acceptate sunt, în general, disponibile pentru niște bani, dar este mai bine să fii sigur decât să-ți pară rău. Aceste teme plătite se numesc teme premium. Astfel de teme sunt oferite de site-uri web precum Woo Themes sau Thesis.

Un alt avantaj al șabloanelor profesionale este că atunci când întâmpinați probleme, aveți un loc în care puteți apela.

Scanați pluginurile pentru viruși după descărcare

Astăzi puteți descărca atât de ușor pluginuri și le puteți instala în câteva secunde pe blogul dvs. Dar trebuie să fii atent la ce fel de extensii descărcați. Pluginurile pot conține cod rău intenționat. Din acest motiv, este logic să scanați pentru malware imediat după descărcarea acestora.

Trebuie să faceți asta în special cu pluginuri pe care le-ați descărcat în alte locuri decât directorul de pluginuri WordPress.

Pentru această sarcină, cel mai bine este să utilizați software antivirus. Sistemele de operare mai noi verifică automat virușii după descărcarea fișierelor. Dacă utilizați un sistem de operare vechi, vă recomand să scanați directorul de descărcare poate o dată pe săptămână sau imediat după descărcarea fișierelor noi.

Schimbați prefixul tabelului bazei de date

Pentru a vă face baza de date mai sigură, ar trebui să schimbați prefixul tabelului bazei de date. Prefixul implicit este wp_ și ar trebui schimbat cu ceva diferit, ceva mai complicat și mai greu de ghicit, cum ar fi 5rt30k_ .

Acolo este util WP Security Scan, deoarece va face acest lucru pentru tine. Ar trebui să instalați oricum pluginul WP Security, deoarece vă va arăta potențiale riscuri de securitate pe blogul dvs.

Limitați accesul la directorul de conținut Wp

Wp-content este un director important Wordpress. Utilizatorii ar trebui să poată accesa numai anumite tipuri de fișiere din acest director. Aceste tipuri de fișiere includ imagini ( .jpeg , .gif , .png ), Javascript ( .js ), CSS ( .css ) și XML ( .xml ).

Prin urmare, este logic să interziceți accesul la toate celelalte tipuri de date. Codul de mai jos va permite accesul la imagini, fișiere Javascript, CSS și XML, dar nu va permite accesul la alte date. Codul de mai jos ar trebui să fie plasat în fișierul .htaccess din folderul wp-content .

Comanda refuzată, permiteți
Negați de la toți
<Fișiere ~ „.(xml|css|jpe?g|png|gif|js)$”>
Permite de la toți
</Fișiere>

Asta e tot ce trebuie să faci.

Securizat wp-config.php

Wp-config.php este un fișier foarte important, deoarece conține toate informațiile de acces și cheile care sunt vitale pentru securizarea blogului dvs. Putem securiza fișierul adăugând aceste linii la fișierul .htaccess din directorul rădăcină WordPress (unde se află fișierul wp-config ):

# protejați wp-config.php
<fișiere wp-config.php>
Comanda refuza, permite
Negați de la toți
</fișiere>

Acest cod interzice accesul tuturor la fișierul wp-config.php .

Fără navigare în director

O altă schimbare esențială în ceea ce privește securitatea WordPress este interzicerea oamenilor de a naviga în structura de directoare a site-ului dvs. Dacă doriți să vedeți cum arată, trebuie doar să introduceți „index of” în Google și Google va lista toate site-urile web care permit navigarea în directoare.

Pentru a opri acest comportament, tot ce trebuie să faci este să adaugi linia de cod de jos în fișierul tău .htaccess din directorul rădăcină al WordPress.

Opțiuni Toate -Indici

Acest lucru va opri comportamentul o dată pentru totdeauna.

Evitați ca motoarele de căutare să indexeze secțiunea de administrare

Crawlerele motoarelor de căutare indexează aproape fiecare conținut atâta timp cât li se spune să nu facă acest lucru. Secțiunea dvs. de administrare indexată în motoarele de căutare poate fi o amenințare majoră pentru securitate.

Prin urmare, este bine să păstrați crawlerele departe de toate directoarele WordPress. Cel mai simplu mod de a face acest lucru este să creați un fișier robots.txt în directorul rădăcină. Apoi plasați următorul cod în fișier:

Nu permiteți: /wp-*

Securizează-ți directorul de pluginuri

Pluginurile pe care le utilizați pot spune unui utilizator rău intenționat multe despre site-ul dvs., de aceea este înțelept să le ascundeți.

Puteți ascunde cu ușurință pluginurile. Mai întâi de toate, deschideți un editor de text și doar creați un fișier gol numit index.html . Apoi încărcați acest fișier în directorul dvs. wp-content/plugins/ .

Ștergeți contul de administrator implicit

Prin ștergerea contului de administrator , utilizatorii rău intenționați nu ajung să vă cunoască numele de utilizator atât de ușor. Deoarece fiecare instalare WordPress vine cu un cont de administrator, hackerilor le va fi mai ușor să pătrundă în contul dvs., deoarece cunosc deja numele de utilizator.

Nu vă puteți șterge contul de administrator imediat dacă nu aveți un nou cont de administrator, așa că urmați acești pași:

1. Creați un nou cont de administrator (cu un nume de utilizator care este mai greu de ghicit)
2. Deconectați-vă
3. Conectați-vă folosind noul cont de administrator și parola
4. Ștergeți vechiul cont

Modificați drepturile de acces implicite pentru utilizatori

Drepturile de acces implicite sunt destul de sigure, dar dacă doriți să fiți în siguranță și să aveți mai mult control asupra drepturilor pe care le are fiecare utilizator de pe blogul dvs., atunci acest lucru este esențial.

Este destul de simplu să-l configurați. Tot ce trebuie să faci este:

1. Descărcați pluginul Role Manager
2. Încarcă-l pe blogul tău WordPress
3. Activează-l

Apoi accesați secțiunea Utilizatori a blogului dvs. Acolo puteți configura pluginul Role Manager pentru a se potrivi nevoilor dvs.

Ștergeți conturile de utilizator inactive

Conturile de utilizator inactive sunt enervante și, de asemenea, un risc de securitate. Unii oameni aleg parole slabe atunci când se înscriu pentru blogul tău. Dacă contul este inactiv, dar este încă pe blogul dvs., utilizatorii rău intenționați ar putea folosi acest cont pentru a obține acces la blogul dvs.

Prin urmare, cel mai bun lucru de făcut este să ștergeți pur și simplu conturile de utilizator inactive din WordPress (deși trebuie să vă asigurați că nu rupe nimic). Pentru a face acest lucru, accesați tabloul de bord WordPress și faceți clic pe Utilizatori . Aceasta vă duce la pagina în care va fi listat fiecare utilizator.

Apoi continuă și șterge-le pe cele despre care știi că sunt inactive.

Adăugați chei de autentificare WordPress la wp-config.php

Adăugarea cheilor WordPress este o altă măsură de securitate importantă. Aceste chei ar trebui să fie aleatorii și să funcționeze ca săruri pentru cookie-urile WordPress, asigurând astfel o mai bună criptare a datelor utilizatorilor.

Folosiți Generatorul de chei Wordpress pentru a genera aceste chei și doar înlocuiți, în fișierul wp-config.php , liniile de mai jos cu cele generate:

define('AUTH_KEY', 'pune aici fraza ta unică');
define('SECURE_AUTH_KEY', 'pune aici fraza ta unică');
define('LOGGED_IN_KEY', 'pune aici fraza ta unică');
define('NONCE_KEY', 'pune aici fraza ta unică');

De fapt, asta este tot ce trebuie să faci.

Preveniți piratarea blogului WordPress - Instalați un firewall WordPress

Există un plugin numit WordPress Firewall 2, care vă protejează de fapt blogul de hackeri rău intenționați. Ceea ce face este să te avertizeze ori de câte ori cineva încearcă să-ți spargă blogul. De asemenea, desigur, va bloca încercarea hackerului.

Problema cu acest plugin este că își face treaba prea bine. Asta înseamnă că, de obicei, te împiedică să faci orice modificări blogului tău. Dacă editați fișierul cu tema WordPress și apoi faceți clic pe Salvați, pluginul Firewall îl va bloca. Acest lucru mi s-a întâmplat și când am folosit manual pluginul Smush.it.

Acest lucru este extrem de enervant, dar cel puțin vă arată că pluginul într-adevăr funcționează. Singurul lucru pe care îl puteți face dacă doriți să editați fișiere ca acestea este să dezactivați pluginul și să îl reactivați mai târziu.

Aruncă șirul versiunii Wordpress

<meta content="Wordpress 2.5" />

Șirul de versiune pe care WordPress îl adaugă automat temei dvs. este important, deoarece oferă unui utilizator rău intenționat informații despre dacă un blog este corectat sau nu. Dacă este o versiune învechită, atacatorul va începe imediat să caute găuri de securitate care au fost făcute publice despre acea versiune WordPress specifică.

De obicei, WordPress adaugă automat acest șir de versiune temei dvs. Linia de cod de mai jos va spune WordPress să nu adauge șirul de versiune în antetul dvs. Tot ce trebuie să faceți este să adăugați codul în fișierul functions.php .

<?php remove_action('wp_head', 'wp_generator'); ?>

Acum aruncați o privire la codul sursă al site-ului dvs. Dacă metaeticheta generatorului este încă acolo, atunci ar trebui să verificați dacă header.php conține o astfel de linie:

<meta name=”generator” content=”WordPress <?php bloginfo('version'); ?>” />

Dacă acesta este cazul, mergeți mai departe și ștergeți-l.

Preveniți piratarea blogului WordPress – Folosiți întotdeauna HTTPS când vă conectați la tabloul de bord

HTTPS este versiunea securizată a HTTP. Când utilizați HTTPS datele dvs., adică parolele și numele de utilizator, nu trimiteți în text clar, ci sunt criptate. Acest lucru face ca oamenii să intercepteze și să decodeze corect parola și numele de utilizator.

Dacă doriți să utilizați HTTPS atunci când vă conectați la tabloul de bord WordPress, atunci puteți utiliza unul dintre codurile de mai jos și le puteți adăuga la wp-config.php .

define('FORCE_SSL_LOGIN', true);

Codul de mai sus obligă WordPress să folosească SSL atunci când se conectează la panoul de administrare, dar numai atunci când se conectează. Nu impune utilizarea SSL în timpul utilizării tabloului de bord.

În loc să faceți acest lucru manual, puteți adăuga și un plugin precum WordPress HTTPS (SSL)

Pentru a preveni piratarea blogului WordPress – Blocați încercările de acces la directorul wp-admin

Dosarul wp-admin este unul dintre cele mai importante directoare de pe blogul tău. Puteți accesa tabloul de bord prin intermediul acestuia. Blocarea accesului altor persoane la acest director este un pas esențial în securizarea blogului dvs.

Puteți face acest lucru creând un fișier .htaccess în directorul wp-admin . Adăugați codul de mai jos, dar schimbați adresele IP cu adresele dvs. Dacă nu știți care este adresa dvs. IP, atunci vizitați WhatIsMyIP.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName „Controlul accesului”
AuthType Basic
comanda refuza, permite
nega de la toti
# pe lista albă adresa IP de acasă
permite de la 64.233.169.99
# pe lista albă adresa IP a serviciului
permite de la 69.147.114.210
permite de la 199.239.136.200

Nu are sens să folosești acest cod dacă ai o mulțime de oameni care scriu pe blogul tău, mai ales dacă se schimbă constant. Problema este că întotdeauna trebuie să adăugați/ștergeți adrese IP, în funcție de cine are nevoie de acces la blogul dvs. în acest moment.

Un alt dezavantaj este atunci când furnizorul dvs. de internet vă atribuie o adresă IP dinamică, ceea ce înseamnă că adresa dvs. IP se schimbă în mod constant. Dacă acesta este cazul, atunci nu adăugați codul în fișierul .htaccess .

Pentru a preveni piratarea blogului WordPress – Limitați numărul de încercări eșuate de conectare la WordPress

Restricționarea numărului de încercări eșuate împiedică utilizatorii să folosească tehnici de forță brută în contul dvs. WordPress. Un atac cu forță brută este o încercare de a afla parola utilizatorului încercând fiecare parolă posibilă.

Ca o contramăsură, există plugin-uri care interzic automat un utilizator timp de o oră dacă a greșit parola de trei ori la rând. Login Lockdown este unul dintre aceste pluginuri WordPress.

Ascunde erorile de conectare la tabloul de bord

Ați observat vreodată că atunci când încercați să vă autentificați cu un nume de utilizator existent și o parolă greșită, primiți un mesaj care spune Eroare: Parolă incorectă . Dacă vă autentificați cu un nume de utilizator inexistent și cu o anumită parolă, va apărea un alt mesaj care raportează Eroare: Nume de utilizator invalid .

Acest lucru îi ajută pe utilizatorii rău intenționați să descopere ce fel de nume de utilizator există.

Prin urmare, vă sfătuiesc să adăugați următoarea linie în fișierul functions.php :

add_filter('erori_login',create_function('$a', “return null;”));

De fiecare dată când apare o eroare, va apărea o linie goală. Încearcă.

Articol recomandat: 10 moduri de a îmbunătăți securitatea blogului