Það getur verið mikið af efnisstjórnunarkerfum í kring, en ekkert þeirra getur haldið kerti við WordPress. Með 51.6+ milljónir vefsvæða frá og með mars 2020 (og eykst með hverjum degi) það gefur þér hugmynd hversu stórkostlega og elskað þetta kerfi er. WordPress öryggi og ráðleg ráð til að koma í veg fyrir WordPress reiðhest þó - CMS á ennþá leið til að fara þegar kemur að öryggi.
Hins vegar viljum við hjálpa þér við að tryggja vefsíðuna þína frá því að komast af - forvarnir eru betri en lækning, svo vertu viss um að bregðast við þessum ráðum, í þessu, ein af mörgum WordPress námskeiðum okkar - Í DAG.
Þessar milljónir vefsvæða standa hins vegar frammi fyrir alvarlegum árásum frá handritabörnum sem hafa ekkert betra við tíma sinn að gera en dreifa eymd vítt og breitt, og aðrar af skæðari og illgjarnari ástæðum, myrku leikararnir á netinu: Tölvuþrjótar.
Það er nokkuð algengt að vakna einn morguninn til að finna þína einu sinni fallegu vefsíðu vaxandi ljóðræna og er full af krækjum og texta um náttúrulyfstækkunarpillur, eða önnur svikin lyf eða einhver orsök í Mið-Austurlöndum.
Að öskra samhengislaust er líklega fyrsta aðgerðin sem þú grípur til þegar vefsíðan þín hýsir heilsíðuauglýsingar, tengla og vísar til skuggalegra þátta „lyfjafyrirtækja“.
Ef þessi atburðarás hræðir þig er réttlætanlegt að líða þannig.
90,000 vefsíður eru hakkaðar á hverjum degi
Heimild: HostingFacts
Allir vilja koma í veg fyrir WordPress reiðhestur. Vegna þess að endurheimt og endurheimt vefsíðu getur tekið verulegan tíma og fyrirhöfn.
Svo herða vefsíðuna þína með þessum bestu starfsvenjum WordPress, til að koma í veg fyrir að hræðileg örlög komi fyrir þig! Og já, það mun taka nokkurn tíma og viðvarandi viðleitni til að forðast árásir á reiðhestur.
Líkar þér ekki við að óhreinka hendur þínar með kóða? Reyndu iThemes security og láttu það vinna skítverkin. Click this link to get 25% OFF until November 2023.
Ef þú vilt ekki fara í gegnum mikið rugl í skrám, virkja mismunandi viðbætur og margt annað sem þú skilur ekki raunverulega - þá höfum við líka auðveldu leiðina fyrir þig. iThemes Security er besta WP öryggisviðbótin til að tryggja og vernda vefsíðuna þína.
Hefurðu ekki áhuga á WP viðbótum ennþá? Lestu áfram!
Við munum vinna að einhverjum kóðaverkum en fyrst skulum við sjá um grundvallaratriðin í öryggismálum vefsíðna. Byrjar með:
17 WordPress öryggisskref
1. Að koma í veg fyrir WordPress reiðhestur byrjar með vinnustöðinni þinni
Þetta er fyrsta og gleymast auðveldlega: tölvan þín.
Þú ættir alltaf að hafa kerfið þitt laus við spilliforrit og vírusa, sérstaklega ef þú ert að komast á internetið með því (sem þú ert, auðvitað). Vernd vinnustöðva er enn nauðsynlegri þegar þú ert að stunda viðskipti og ert með vefsíðu vegna þess allt sem þarf er lyklaborð til að slá út hörðustu vefsíðurnar.
Keylogger mun lesa öll notendanöfnin þín og lykilorð og senda þau til tölvusnápur - sem að sjálfsögðu er að búa til fjöldann allan af málum og vandamálum fyrir vefsíðuna þína.
Vertu öruggur og uppfærðu reglulega stýrikerfi þitt, hugbúnað og vafra á tölvunni þinni. Notaðu góða vírusvarnarþjónustu. Hafðu augun úti fyrir varnarleysi í kerfinu þínu og fjarlægðu það áður en það verður mikill sársauki. Ef tölvan þín byrjar að starfa undarlega, poppar upp auglýsingar og annað vesen, gætirðu viljað skoða það áður en þú ferð inn á vefsíðuna þína
2. Settu upp allar WordPress uppfærslur
Í hvert skipti sem ný útgáfa af WordPress er gefin út gerir það það við mikinn fýlu og í miðri spennuöldu.
Flest okkar eru spennt, því að hey, nýjungar! Tölvuþrjótar eru spenntir vegna þess að þeir fara þegar í stað til að athuga Útgáfutölur um öryggi og viðhald. Því miður, hver WordPress uppfærsla hefur í för með sér afhjúpun fjölda öryggisveikleika WordPress í eldri útgáfum.
Með hverri nýrri WordPress uppfærslu fáum við viðbótaraðgerðir og uppfærslur ásamt síðu sem telur upp öryggisgalla í fyrri útgáfu og lagfæringar þeirra.
Sú síða er nánast svindl fyrir tölvuþrjóta alls staðar. Ef þér tekst ekki að uppfæra tímanlega verða þessir gallar nýttir til yfirtökusíðna í eldri útgáfum (og vefsíðan þín gæti verið meðal þessara ef þú uppfærir ekki).
Og ef vefsvæði þitt verður brotist, því miður, verður seint að finna afsakanir fyrir því að uppfæra ekki í nýjustu útgáfuna.
Svo ekki gefa tölvuþrjótum tækifæri til að snúast inn. Settu upp nýjustu útgáfuna af WordPress um leið og hún er gefin út.
Ef þú ert hræddur um að það klúðri vefsíðu þinni skaltu ganga úr skugga um að þú hafir öryggisafrit áður en þú uppfærir. Uppfærða útgáfan mun leysa öll öryggisvandamál sem voru til í fyrri útgáfu - og gengur mjög mjög langt til að koma í veg fyrir WordPress hakk.
Viltu að vefsíðan þín verði uppfærð sjálfkrafa? Skoðaðu InMotion VPS fyrir hýsingu þína - þeir hafa framúrskarandi WordPress sérstaka eiginleika svo þú getur uppfært síðuna þína sjálfkrafa um leið og þeir eru úti. Við erum í InMotion VPS og við elskum það!
3. Gakktu úr skugga um að hýsingarþjónninn þinn sé öruggur
Vissir þú að árið 2019 eru um það bil 54% vefsíðna enn að nota PHP 5.x - útgáfa af PHP sem er að líða undir lok og fær því engar öryggisuppfærslur. Þetta þýðir að allar síður sem eru keyrðar á PHP 5.4 eru viðkvæmar fyrir hacks í gegnum varnarleysi hugbúnaðar netþjóns. (Heimildarskýrsla Sucuri tölvusnápur 2019)
Jafnvel PHP útgáfa 7.1 er líftíma frá og með 1. desember 2019. Gamlar útgáfur af hugbúnaði sem þessum eru ekki lengur studdar og eru með veikleika sem ekki hefur verið lagfærður!
Þessar gömlu útgáfur af hugbúnaði eru viðkvæmar fyrir hakk.
Ef þér er kunnugt um að vefsíðan þín hýsir á PHP 5 eða hugsanlega PHP upp í 7.1, skaltu biðja gestgjafann þinn að athuga hvort hægt sé að færa síðuna þína í nýlegri útgáfu af PHP.
Ekki bara það, heldur meirihluti vefsíðna / bloggs er hýst á sameiginlegum netþjónum. Í grundvallaratriðum, ef ein síða á sameiginlegum netþjóni smitast, önnur hver síða er í hættu, tillitless um hversu örugg vefsíðan/bloggið er að öðru leyti.
Þú færð tölvusnápur fyrir enga sök.
Hugsunaræfing: Hefur þú einhvern tíma verið inni í súpueldhúsi? Geturðu séð fyrir þér einn og ímyndað þér hvað gerist þar inni? Ef þú ert einn af þeim sem eru svo heppnir að hafa sloppið við þann ófarir, mun ég gefa þér smakk (orðaleikur ætlaður). Hugsaðu um allt sem hefur gerst síðan eldhúsið varð til, hella og brjóta, leka og skvetta. Í súpueldhúsþjóni eru þessir hlutir aldrei horfnir. Þeir verða hluti af eldhúsinu.
Ímyndaðu þér að það sama eigi sér stað á síðunni þinni. Hýsingarþjónn frá fyrirtæki sem sleppir viðhaldi og uppfærir ekki í nýjustu hugbúnaðarútgáfurnar hefur þegar breyst í súpueldhús.
Þar að auki, ef þú eða vefstjóri þinn hýsir nokkrar vefsíður saman, þá hrannast upp ónotaðar skrár, gögn, síður og fleira þar til þær verða ógn við núverandi vefsíður.
Svo veldu áreiðanlegt og tryggja gestgjafi.
VPS og stjórnað hýsing lágmarkar líkur á brotum og er frábært fyrir netverslunarsíður. Ef sameiginleg hýsing dugar þér, skoðaðu öryggi þeirra áður en þú gerist áskrifandi að plássi fyrir þá.
Gakktu úr skugga um að athuga hvort þeir haldi netþjónum sínum viðhaldi reglulega og uppfærðu einnig í nýjustu útgáfur af hugbúnaði. Þetta er annað skref sem ætti að vera á forgangslistanum þínum ef þú vilt koma í veg fyrir WordPress reiðhestur.
4. Notaðu Öruggar sendingar til að koma í veg fyrir lykilorð og gagnahleranir
Með ótengdri tengingu er hægt að hlera gögn og hakka þig áður en þú getur sagt „ódulkóðuð“.
Þetta er ástæðan fyrir því að þú ættir að einbeita þér að öruggum nettengingum og dulkóðun: netþjónshlið, viðskiptavinarhlið og allar hliðar. Finndu hýsil sem leyfir SFTP / SSH dulkóðun til að vernda gögnin þín og upplýsingar gegn illgjarnri hlerun.
Síðan þín ætti einnig að hafa a öruggt skírteini sett upp og stillt upp þannig að þegar þú ert að skrá þig inn sendirðu skilríki þitt á öruggan hátt.
5. Koma í veg fyrir reiðhest með flóknum lykilorðum
Nauðsynlegt ráð: búið til sterkt lykilorð og endurnotið ALDREI lykilorð
Næsta skref okkar um hvernig á að vernda WordPress fyrir tölvuþrjótum talar um mikið klisjukennda umræðuefni: lykilorð.
Ógnvekjandi fjöldi fólks heldur að löng, flókin lykilorð séu ofmetin og kjósi eitthvað styttra og auðveldara að muna; staðreynd tölvuþrjótar vita og nýta sér.
Það er engin önnur leið til að setja þetta: gott sterkt lykilorð sem samanstendur af bókstöfum, tölustöfum og öðrum gildum stöfum mun í raun fara langt með að vernda bloggið þitt.
Brute force hack árás getur unnið á stuttu lykilorði með því að nota einfalt orð (til dæmis orðabók á lykilorði eða auðvelt algengt lykilorð), já. En því fleiri stafir sem eru í lykilorðinu þínu, því lengri tíma tekur að skjóta því.
Það tekur veldishraða lengri tíma að sprunga löng flókin lykilorð.
Það sem þú ert að reyna að gera er að brjóta þekkt mynstur til að gera reiðhestur erfitt, ef ekki ómögulegt.
Allar persónulegar upplýsingar, eða lykilorð byggð á þeim (svo sem afmæli eða nöfn fólks), verður auðvelt að sprunga. Ekki nota stök orð (tillless lengd), aðeins bókstafi eða aðeins lykilorð.
Búðu til lykilorð sem auðvelt er að muna en erfitt að giska á til að koma í veg fyrir WordPress reiðhest - ef bloggið þitt snýst um öryggi, gerðu það eitthvað eins og pressmyWORDSand5ecurit! $
6. Haltu gagnagrunnunum öruggum og einangruðum
Gagnagrunnurinn þinn veit allt sem hefur gerst á vefsíðunni þinni. Þetta er sannkallaður upplýsingagjafi og það gerir tölvuþrjótum ómótstæðilegt.
Hægt er að keyra sjálfvirka kóða fyrir SQL inndælingar til að hakka inn á vefsíðugagnagrunninn þinn með tiltölulega vellíðan. Ef þú ert að keyra mörg vefsvæði / blogg frá einum netþjón (og gagnagrunni) eru allar síður þínar í hættu.
Eins og kóðaauðlindin orðar það, það er best að nota einstaka gagnagrunna fyrir hvert blogg / síðu og láta þá stjórna af aðskildum notendum. Í einföldu máli ætti hver vefsíða sem þú hýsir að hafa sinn eigin gagnagrunn og eiga gagnagrunnanotanda.
Aðeins sá gagnagrunnsnotandi ætti að hafa aðgang að gagnagrunninum.
Þú getur einnig afturkalla öll gagnagrunnréttindi nema gögn lesin og gögn skrifa frá notendum sem munu eingöngu vinna við að senda inn / hlaða inn gögnum og setja upp viðbætur.
Það er þó ekki mælt með því vegna stefnubreyting forréttindi sem krafist er í helstu uppfærslum.
Þú ættir einnig að endurnefna gagnagrunninn þinn (með því að breyta forskeytinu) til að beina tölvuþrjótunum á rangan hátt sem miða árásum sínum á hann. Þó að þetta komi ekki í veg fyrir WordPress reiðhest í sjálfu sér, þá tryggir það að ef einhver gagnagrunnur er í hættu, þá geta tölvuþrjótarnir ekki hoppað á næstu WordPress uppsetningu.
7. Fela innskráningu vefsíðu þinnar og nafn admin
Næst um það hvernig eigi að tryggja WordPress fyrir tölvuþrjótum varðar WordPress stjórnandi.
Að láta vanskil WordPress vera ósnortið er nánast spyrja fyrir vandræði.
Það er hlægilega einfalt að finna admin nafn vefseturs þíns ef þú leynir því ekki virkan.
Allt sem tölvuþrjótur þarf, er að bæta við ? höfundur = 1 eftir slóðina þína og sá / meðlimur sem mætir er líklegast stjórnandi. Ímyndaðu þér hversu auðvelt það væri fyrir tölvuþrjótana að beita hráum afli þegar þeir hafa fundið notendanafn stjórnanda.
Hvernig er hægt að koma í veg fyrir tölvusnápur ef þú skilur svo mikið eftir af upplýsingum, auðveldar nýtingu?
Lausn til að koma í veg fyrir járnsög WordPress: Fela öll notendanöfn með þessum kóða í aðgerðum.php skrá:
add_action ('sniðmát tilvísunar', 'bwp_template_ tilvísun');
virka bwp_template_redirect ()
{
ef (er_höfundur ())
{
wp_ tilvísun (heimili_url ()); útgangur;
}
}
Auðvelt er að nálgast innskráningarsíðuna þína og ekki bara fyrir þig. Ef þú bætir einfaldlega við wp-admin eða wp-login.php eftir vefslóð heimasíðunnar, fyllirðu notandanafnið sem við lærðum af? Author = 1, það eina sem er eftir er svolítið brú-þvingandi eða giska þar til lykilorð er klikkað.
Notaðu tæknina „öryggi með óskýrleika“ og breyttu vefslóð innskráningarsíðu þinnar til að gera starf tölvuþrjótanna aðeins erfiðara.
Öryggisviðbætur eins og iThemes Security hafa Fela innskráningarstillingu sem fjarlægir auðveldan aðgang að WordPress innskráningu.
Enn og aftur, að gera þetta einfalda skref mun fara mjög langt í að koma í veg fyrir WordPress reiðhestur.
Ertu ekki viss um hvort þú getir tekist á við allt þetta?
Þarftu smá hjálp? Líttu á iThemes Security Pro - ein viðbót og vefsíðan þín er örugg. Ábyrgð. Smelltu á krækjurnar hér að neðan til að heimsækja síðuna.
8. Koma í veg fyrir reiðhestur í gegnum WordPress öryggisviðbætur og bragðarefur til að vernda wp-admin
WP-stjórnandi þinn er mikilvægasti hlutinn í WordPress uppsetningunni þinni - sá sem er með mest „kraft“.
Því miður eru innskráningarsíðurnar og stjórnendaskráin aðgengileg öllum: þar með talið þeim sem hafa illgjarn ásetning. Til að vernda það og stöðva árásir á reiðhestur þarftu að vinna aðeins meira.
iThemes Security
Sterkt lykilorð, annar stjórnandareikningur (með notendanafn sem er allt annað en 'admin'), og nota iThemes Security viðbót til að endurnefna innskráningartengla þína mun örugglega hjálpa til við að koma í veg fyrir tölvusnápur.
Malcare
Þú getur einnig styrkt vörðuna í kringum admin með viðbótaröryggisviðbótum eins og Malcare.
Þessi 5 stjörnu einkunn þjónusta er þjónusta sem við höfum uppgötvað nokkuð nýlega.
Malcare er þróað af teyminu á bakvið Blogvault, sem við höfum þegar notað og fannst ótrúlegt.
Nýjasta tilboð þeirra býður upp á öryggis- og vefsíðuumsýsluþjónustu. Það býður upp á slíka starfsmenn eins og skráaskönnun fyrir algerar breytingar (til að greina járnsög), neyðarhreinsun, innbyggðan eldvegg til að stöðva illgjarn umferð, uppfæra þemu og viðbætur beint frá mælaborðinu og taka afrit með einum smelli.
Það besta við þetta er að þú getur stjórnað ÖLLUM síðum þínum frá einu mælaborði án þess að þurfa að skrá þig inn á hvert og eitt þeirra fyrir sig.
Limit Login Attempts Endurhlaðið
Með smá kóða ásamt ótakmörkuðum innskráningartilraunum mun einhver tölvusnápur að lokum brjótast inn.
Þú getur takmarkað magn innskráningartilrauna sem hverjum notanda er leyft að framkvæma á innskráningarsíðu admin með Limit Login Attempts Endurhlaðinn tappi. Það mun takmarka fjölda innskráningartilrauna fyrir hverja IP-tölu, þar á meðal þína eigin (með auth-smákökum).
Really Simple SSL
Notaðu kraft einka SSL til að tryggja innskráningu stjórnanda, svæði, færslur og fleira. Notkun Really Simple SSL stinga inn gerir dulkóðun kleift að skrá þig inn, það þýðir að lykilorðið er erfitt að stöðva.
Þú þarft að fá SSL vottorð og láta setja það upp á hýsingarþjóninum þínum. InMotion býður upp á SSL vottorð ókeypis á hýsingaráætlunum sínum - svo ef þú hefur enn ekki er kannski kominn tími til að skipta yfir í InMotion til að fá SSL þitt líka.
Þegar þú hefur staðfest við hýsingaraðilann þinn að þú hafir deilt SSL geturðu virkjað viðbótina.
Ef þú vilt frekar ekki nota tappi en vilt þvinga SSL aðeins til innskráningar, þá skaltu bæta þessum kóða við wp-config.php skrána:
skilgreina ('FORCE_SSL_ADMIN', satt);
Acunetix Örugg WordPress
Þetta stinga inn er frábær öryggislausn almennt, en sumir lykilaðgerðir gera hana enn betri.
Fyrst af öllu, það keyrir vefsíðu öryggisskönnun. Það fylgist einnig vel með fyrirbyggjandi aðgerðum svo þú stoppar í raun WordPress reiðhestur frá því að gerast í fyrsta lagi. Til að vernda stjórnunarsvæðið mun það fjarlægja villuupplýsingar af innskráningarsíðunni.
Það hljómar kannski ekki eins mikið en villuboðin hjálpa tölvuþrjótum í raun að komast að því hvort þeir hafi fengið eitthvað rétt. Að fjarlægja skilaboðin (vísbending) fjarlægir þann kost.
Ef þú vilt forðast tölvusnápur, fáðu að minnsta kosti nokkrar af þessum viðbótum settar upp.
Helsta ráð: Í restinni af greininni eru ítarlegar ráðleggingar um öryggi vefsíðna
Restin af ráðunum sem krefjast þess að fikta í WordPress uppsetningunni þinni, sem hefur í för með sér nokkra áhættu. Ef þú vilt frekar ekki fikta í kringum uppsetninguna þína gætirðu viljað það ráða WordPress verktaki til að hjálpa þér.
9. Hvernig á að tryggja WP í gegnum wp-nær
Við skulum fá þetta á hreint: WP-felur í sér mappa er kjarni hluti WordPress. Það ætti að vera í friði, jafnvel af þér. Og alls ekki ætti að láta það vera aðgengilegt fyrir hugsanlega tölvuþrjóta.
Til að koma í veg fyrir að allir skaðlegir aðilar / vélmenni sendi óæskileg smáforrit beint í hjarta vefsíðu þinnar til að koma í veg fyrir árásir á tölvuþrjót.
Bættu þessu við áður # BYGIN WordPress í .htaccess skránni þinni:
# Lokaðu á skrárnar sem innihalda aðeins.
RewriteEngine On
RewriteBase /
RewriteRule ^ wp-admin / nær / - [F, L]
RewriteRule! ^ Wp-nær / - [S = 3]
RewriteRule ^ wp-nær / [^ /] + \. Php $ - [F, L]
RewriteRule ^ wp-nær / js / tinymce / langs /.+ \. Php - [F, L]
RewriteRule ^ wp-includes / theme-compat / - [F, L]
# BEGIN WordPress
Athugaðu að þú verður að gera það slepptu þriðju RewriteRule ef þú vilt að kóðinn virki á Multisite.
10. Verndaðu wp-stillinguna þína til að bæta öryggi vefsíðunnar
Þetta er eitt af þeim málum sem eru svolítið umdeild. Ekki eru allir sammála um að gera þetta.
Hvort sem þú færir wp-config.php í raun út fyrir rótarmöppuna eða ekki, þá er því ekki að neita að svolítið að laga kóðann í þessari skrá getur hjálpað til við að herða vefsíðuna þína og gera það erfiðara að framkvæma WordPress hakk
Ertu ekki viss um hvort þú ræður við allt þetta tæknilega efni? Það er einn öryggisviðbót til að stjórna þeim öllum.
- Byrja með slökkva á því að breyta PHP skrám frá mælaborði, þar sem árásarmaðurinn mun einbeita sér eftir að hafa brotist inn í gegnum aðgangsstað. Bættu þessu við wp-config.php
skilgreina ('DISALLOW_FILE_EDIT', satt);
- $ table_prefix er komið fyrir allar gagnagrunnstöflurnar þínar. Þú getur komið í veg fyrir SQL innspýting árásir með því að breyta gildi þess frá sjálfgefnu wp_. Vertu varkár ef þú gerir þetta, þú þarft að endurnefna hvaða töflu sem er til í nýja forskeytið sem þú stillir.
$ table_prefix = 'r235_';
- Færðu wp-content skrá frá sjálfgefinni stöðu með þessu
skilgreina ('WP_CONTENT_DIR', $ _SERVER ['DOCUMENT_ROOT']. '/ blog / wp-content');
skilgreina ('WP_CONTENT_URL', 'https: // dæmi / blogg / wp-innihald');
skilgreina ('WP_PLUGIN_DIR', $ _SERVER ['DOCUMENT_ROOT']. '/ blogg / wp-innihald / viðbætur');
skilgreina ('WP_PLUGIN_URL', 'https: // dæmi / blogg / wp-innihald / viðbætur');
Nú ef þú ert ekki a verktaki, þú hefur ekki mikla notkun á villuskrám. Þú getur komið í veg fyrir að þeir séu aðgengilegir með þessu:
error_reporting = 4339
display_errors = Slökkt
display_startup_errors = Slökkt
log_errors = Á
error_log = /home/example.com/logs/php_error.log
log_errors_max_len = 1024
ignore_repeated_errors = Kveikt
ignore_repeated_source = Slökkt
html_errors = Slökkt
11. Taktu öryggisafrit af vefsíðunni þinni (bara í tilfelli)
Þetta er öryggisnetið. Afrit er eitt af því fyrsta sem þú þarft til að endurheimta síðuna þína ef þú verður tölvusnápur.
Taktu öryggisafrit af vefsvæðinu þínu að minnsta kosti eins oft og þú rekur viðhald eða uppfærir það. Það er engin afsökun fyrir því að vera slakur í þessari deild, ekki þegar framúrskarandi varaþjónusta og viðbætur eru til sem keyra sjálfvirkt öryggisafrit fyrir þig. Sumar tillögur að viðbótum eru:
- VaultPress,
- UpdraftPlus,
- WP-DB-öryggisafrit,
- BackupBuddy,
- o.fl.
Mælt Lestur: Native vs plugin - WordPress öryggisafrit með mismunandi aðferðum
Búðu til áætlun og láttu viðbótina gera restina.
Sum þessara viðbóta eru með auðvelda endurheimtarvalkosti. Gakktu úr skugga um að viðbótin sé að taka öryggisafrit af allri síðunni, þar á meðal öllum gagnagrunnum og möppum. Þrátt fyrir að þetta komi ekki í veg fyrir WordPress hakk, gefur það þér hugarró til að endurheimta síðuna þína ef hið óhugsandi gerist.
12. Notaðu aðeins áreiðanlegar heimildir til að hlaða niður
Ef þú keyrir á þröngum fjárhagsáætlun (og jafnvel ef þú ert ekki) gætirðu freistast af möguleikanum á að fá alla eiginleika og virkni aukagjalda viðbótar / þemu ókeypis: sjóræningi eða sprungin viðbætur.
Þú getur ekki farið framhjá tölvuþrjóti ef þú ert að hlaða niður úrvalsefni frá illa álitnum eða óviðkomandi aðilum - þeir koma aftur til að bíta þig. Þeir eru illa álitnir vegna þess að þeir munu fylla þessi löglegu 'aukagjald' viðbætur / þemu af spilliforritum og láta þig gera restina.
Sprungin viðbætur eða þemu munu innihalda falin bakdyr, sem gera þeim kleift að ná stjórn á síðunni þinni að vild. Notkun slíkrar niðurhals verður allt sem þeir þurfa til að breyta útliti vörumerkisins á netinu í risastórt veggspjald fyrir stækkunarpillur - eða jafnvel verra, spilliforrit.
Vefsvæðið þitt verður fljótt sett á svartan lista, jafnvel frá leitarvélum og vöfrum ef það inniheldur spilliforrit.
Þetta er þekkt og mjög vinsæl aðferð tölvuþrjóta.
Sjóræningjaþemu og viðbætur eru þétt með bakdyrum og spilliforritum. Þetta er eitt auðveldasta WordPress öryggismálið til að leysa í raun. Það er best að fara í traust þema frá traustum aðila, svo sem því sem við höfum farið yfir hér: Avada þema
Sjóræningi, ónýtt eða klikkað efni? Nenni ekki.
Þú ert góður með opinbert þemu og viðbætur möppur, svo reyndu að halda þig við þau. Þú getur líka treyst heimildum eins og ElegantThemes, Þemaskógur, Code Canyon osfrv.
13. Tryggðu vefsíðuna þína með því að líta út eins og atvinnumaður
A nýliði er auðveldara að hakka.
Að minnsta kosti, það er það sem flestir tölvuþrjótar halda (ekki vitlaust).
Breyttu öllum vanskilum: færslur, athugasemdir, notendanöfn, skráarnöfn osfrv.
Það er auðveldara þegar þú ert að setja upp.
Ef þú ert þegar með WordPress í gangi skaltu fara í Stillingar> Ýmislegt (í stjórnunarstýringum þínum) til að breyta heiti möppu. Þetta mun vera enn eitt skrefið í disknum þínum til að stöðva öryggismál WordPress og gera reiðhestur á síðuna þína mun erfiðari.
Mundu að til að fela hvaða útgáfu af WordPress þú ert eyða /wp-admin/install.php og wp-admin / upgrade.php. Taktu það skrefi lengra og fjarlægðu það meta rafall merki (“”) frá wp-content / your_theme_name / header.php. Þú ættir líka fjarlægja smáatriði útgáfu úr RSS straumi.
Til að gera þetta skaltu opna wp-includes / general-template.php. Um línu 1860 finnur þú þetta:
virka the_generator ($ args) {
echo apply_filters ('the_generator', get_ the_generator ($ args), $ args). "\ n";
}
Bættu við hassi áður 'bergmál' skipun og þú ert flokkaður.
virka the_generator ($ args) {
#echo apply_filters ('the_generator', get_ the_generator ($ args), $ type). "\ n";
}
14. Gott WordPress öryggi krefst góðrar heimildar fyrir skrár
Þumalputtareglan er 755 fyrir möppur og 644 fyrir skrár.
Þó að þetta gæti verið mismunandi eftir netþjóni og tegund skráar sem um ræðir - í flestum tilfellum ættir þú að vinna mjög vel með þessar heimildir.
Best væri að biðja gestgjafann þinn að athuga, eða ef þú hefur beinan aðgang geturðu gert þetta sjálfur.
Fyrir framkvæmdarstjóra:
finndu / slóð / að / þínu / wordpress / install / -type d -exec chmod 755 {} \;
Fyrir skrár:
finndu / slóð / að / þínu / wordpress / install / -type f -exec chmod 644 {} \;
15. Öryggi vefsíðu: Stilltu heimildir fyrir skjöl aldrei á 777
Ef þér er alvara með því að vilja stöðva WordPress tölvusnápur - ALDREI setja leyfi skráar/möppu á 777 unless þú vilt gefa öllum stjórn á því, þ.mt tölvusnápur.
Það er mjög hættuleg tilhneiging meðal byrjenda að stilla skráarheimildir á 777, „vegna þess að það er auðvelt“, eða „vegna þess að við munum laga það seinna“, eða „vegna þess að ég breyti því seinna“.
Þetta er stórhættulegt - 777 þýðir að hver sem er á internetinu getur breytt innihaldi skrárinnar.
Með þessar heimildir settar er vefsíðan þín opin hús. Þegar þeir hafa aðgang að einni skrá, vertu viss um að það er mjög auðvelt að hoppa í aðrar skrár eða setja afturhurðir og annað viðbjóðslegt efni á síðuna þína.
The WordPress codex hefur tæmandi leiðbeiningar um skráarheimildir: hvernig á að breyta þeim og ráðlagðar heimildir fyrir sumar skrár.
Þú verður að hafa jafnvægi á því að tryggja vefsíðuna þína með virkni, svo byrjaðu lágt og aukið smám saman heimildir þar til þú færð það rétt. Réttar skráarheimildir munu örugglega hjálpa til við að forðast vefsíðuhakk. Aftur, þetta er eitt auðveldara WordPress öryggisvandamálið til að koma í veg fyrir, þú þarft bara að vera meðvitaður um það.
16. Leyfðu aðgang að WP stjórnanda og skráðu þig aðeins inn á IP-töluna þína með IP-síun
Mjög einföld og glæsileg leið til að takmarka aðgang að innskráningarsíðu og admin svæði er með IP síun.
Allt sem þú þarft að gera er að bæta þessum kóða við .htaccess. Þessi tillaga kemur með þökk til Sucuri, sem veita framúrskarandi WordPress öryggisþjónustu
Pantaðu neitun, leyfðu
Neita frá öllum
Leyfa frá [Bættu við IP-tölum þínum hér]
Nú virkar það aðeins fyrir kyrrstöðu IP-tölur, en þú getur gert það sama fyrir kraftmiklar IP-tölur með þessu:
Pantaðu neitun, leyfðu
Neita frá öllum
Leyfa frá [Bættu við léninu þínu hér]
Til að takmarka aðgang að wp-admin skrá, bæta þessu við .htaccess:
Pantaðu neitun, leyfðu
Neita frá öllum
Leyfa frá [Bættu við IP-tölum þínum hér]
Eftir lén:
Pantaðu neitun, leyfðu
Neita frá öllum
Leyfa frá [Bættu við léninu þínu hér]
Heimild: blog.Sucuri.net
17. Öryggisviðbætur til að loka fyrir WordPress hakk
Þó að við höfum ekki tilhneigingu til að tala fyrir notkun margra viðbóta, þegar það kemur að WordPress öryggisviðbætur, það eru nokkur sem þú gætir virkilega viljað setja upp til að auka þol á síðunni þinni.
- iThemes Security Pro - Heyrðu, margar af ofangreindum aðgerðum eru svolítið tæknilegar efasemdir um það. Við fáum það. Ef þú ert ekki tæknilega hallaður höfum við lausnina fyrir þig. iThemes Security er besta WordPress öryggisviðbótin til að tryggja og vernda vefsíðuna þína.
-
setja WP viðbót við öryggisendurskoðunarskrá - þetta er umfangsmesta WordPress athafnaskráningarviðbót. Viðbótin heldur skrá yfir allt sem gerist á WordPress vefsíðunni þinni í endurskoðunarskrá (aka WordPress virkniskrá) svo þú haldir tölvuþrjótum í skefjum. Þetta er vegna þess að þú getur borið kennsl á árásartilraunir þeirra áður en þær hakka sig inn á WordPress vefsíðuna þína og hafa þannig tíma til að hindra illgjarnar aðgerðir þeirra.
Google Authenticator og Duo tvíþætt auðkenning eru frábærir kostir til að bæta við auknu verndarlagi á innskráningarsíðunni þinni. Heimildarkóði verður sendur á netfangið þitt / farsíma, án þess að notandi / tölvusnápur geti ekki skráð sig inn.
Er eitthvað betra en gott grill? Þessi tappi mun loka á URI strengi sem innihalda eval (grunnur 64 og aðrir grunsamlega langir beiðnir.
Athugaðu hvort þemað sé að spilliforritum og falnum bakdyrum með þessu tappi áður en einhver nýtir sér þessa veikleika á annars öruggri síðu / bloggi.
- Antivirus viðbætur
Þessi er ekkert mál. Gerðu tíðar skannanir á staðnum og uppræta þær áður en þær ná tökum. Tappi / þjónusta eins og Sucuri, Wordfence, osfrv. Áður nefnd Acunetix Secure WordPress er önnur góð. Notaðu skanni mun líka athuga með síðuna þína út af fyrir illgjarnan kóða.
Ef þú hefur áhuga höfum við skrifað frábæran samanburð um Sucuri vs Wordfence sem ber saman þessa tvo stóru stráka höfuð við höfuð.
The Essential Gátlisti til fulls öryggis vefsíðu - YouTube útgáfa
Þakkir til Webucator, sem veitir WordPress þjálfun, við höfum fengið þennan gátlista sem myndband.
Næsti hluti okkar af þessari grein fjallar um að laga WordPress öryggishakk þegar það hefur gerst.
Vefsíðuhakkað? 7 skref til að endurheimta vefsíðuna þína að fullu
Sucuri sendir frá sér vefsíðuhakkaða stefnuskýrslu fyrir hvern ársfjórðung. Í þeirra nýjasta skýrslan, þeir hafa leitt í ljós að ýmsar WordPress útgáfur knúðu 94% af þeim síðum sem brotist var inn í árið 2019
Reyndar WordPress vefsíður eru enn raunverulegt vandamál. Að vera vinsælasti vettvangurinn til að búa til vefsíður er möguleikinn á því að verða tölvusnápur verulega meiri fyrir WordPress síður.
Það kemur ekki á óvart þar sem WordPress er langstærsti vettvangurinn til að búa til nýjar vefsíður. Svo lengi sem WordPress helst vinsælt, munu tölvuþrjótar halda áfram að finna það arðbært að leita að varnarleysi á WordPress-síðum. Það er raunverulega leikur að tölum.
Og það skiptir ekki máli hvaða fyrirbyggjandi aðgerðir þú grípur til; það er ómögulegt að tryggja fullkomið öryggi fyrir hvaða vefsíðu sem er. Það sem þú getur gert er að gera það erfiðara að höggva svo að þeir sem leita að ávöxtum með lágan hanga muni ekki nenna, eða nái ekki að hakka hann.
Í þessari kennslu ætlum við að kynna þér 7 skref sem þú ættir að taka til að laga WordPress tölvusnápur.
Áður en við byrjum á málsmeðferðinni skulum við komast að því hvað veldur vandamálinu fyrst og fremst. Almennt eru tvenns konar veikleikar:
- Algengar veikleika og
- Öryggisveikleikar.
Lítum nánar á hverja tegund. Báðar gerðir geta tölvuþrjótar nýtt sér.
Áður en þú byrjar - að endurheimta tölvusnápur er ekki eitthvað sem fólk getur ráðist í án nægrar þekkingar. Það er mjög ráðlegt að biðja um hjálp frá WordPress verktaki sem eru mjög færir áður en þú reynir að gera þetta ef þér líður ekki vel með að fikta.
Algengir veikleikar sem hafa í för með sér tölvusnápur á WordPress síðum
Algengar veikleikar geta komið frá annað hvort vélinni þinni eða frá hýsingaraðilanum. Flest okkar þekkja líklega vandamál af þessu tagi.
Þessi vandamál geta komið upp ef tölvan þín eða staðarnetið er í hættu. Þegar tölvuþrjótar fá aðgang að tölvunni þinni eða netinu geta þeir auðveldlega miðað á vefsíðu sem þú átt - með þeim afleiðingum að WordPress eða vefsíða er í hættu.
Þú getur forðast þessar aðstæður með því að nota áreiðanlegar vírusvarnar- og malware-skönnunartæki. Þú þarft að beita skynsemi þegar þú notar internetið. Comodo og spilliforritbytes hafa nokkrar handhægar ábendingar til að vernda tölvuna þína fyrir tölvusnápur. Flest þeirra eru frekar skynsöm ef þú hugsar um þau, svo sem að halda hugbúnaði uppfærðum fyrir bæði vinnuborðið þitt og jaðartæki eins og netleiðina þína.
Önnur tegund af varnarleysi getur komið frá hýsingaraðilanum þínum, sérstaklega ef þú notar samnýttan hýsingarpakka. Eins og þú kannski veist deilir sameiginlegur hýsingarpakki netþjóninum meðal fjölda notenda.
Ef einhver þessara notenda fylgir ekki bestu starfsvenjum er allur netþjónninn undir verulegri ógn. Auðvitað, í sameiginlegri hýsingaratburðarás, er mjög ólíklegt að allir notendur noti góða öryggisvenjur, svo samnýttir hýsingarpakkar eru samkvæmt skilgreiningu áhættusamir.
Í sumum tilfellum verður ein síða í sameiginlegum hýsingarpakka í hættu og það gerir tölvusnápur kleift að hreyfa sig til hliðar eða hoppa á aðrar síður á sama netþjóni. Í þessu tilfelli þarftu að hafa samráð við hýsingaraðilann þinn og þeir munu taka nauðsynlegar ráðstafanir.
Þetta þýðir, jafnvel þó að vefsvæðið þitt sé að fullu uppfært og verndað, þá gætirðu samt endað með WordPress tölvusnápur.
Tilviljun, ef þú ert að leita að mjög öruggri hýsingaraðila, ættir þú að íhuga alvarlega að lesa okkar InMotion hýsingarskoðun - okkur líður mjög vel með þessa þjónustu.
Nú þegar við höfum greint algengar veikleikar skulum við skoða öryggisþættina.
Reiðhestur í gegnum varnarleysi
Það eru til nokkrar gerðir af öryggisveikleiki fyrir WordPress. Við munum tala um þau sem eru algengust:
Veikar samsetningar notandanafns og lykilorða
Við ættum ekki að þurfa að segja þér frá mikilvægi þess að nota öruggt lykilorð. Síðan í útgáfu 3.0 hefur WordPress sjálft lagt meiri áherslu á að neyða notendur til að nota sterkt lykilorð, til dæmis er innbyggður möguleiki að uppgötva lykilorðsstyrk í stjórnborðinu fyrir stjórnendur.
Þumalputtareglan er sú að þú ættir aldrei að nota nein fyrirsjáanlegt notendanafn (eins og admin) og nota alltaf sterk lykilorð. Þetta mun gera það erfiðara fyrir tölvuþrjóta að komast á síðuna þína.
Þema / tappi galla og veikleika
Þó að það sé best að nota kunnugleg þemu og viðbætur, þá geta stundum vinsælar vörur haft falinn öryggisgalli líka. Ef það gerist muntu líklega heyra um þetta á vinsælum upplýsingabloggum um upplýsingatækni og öðrum heimildum um öryggisupplýsingar WordPress.
Hins vegar verðurðu örugglega öruggari ef þú ert viss um að þú notir aðeins áreiðanleg þemu eða viðbætur - vegna þess að þú munt geta uppfært fljótt í patched útgáfu. Skoðaðu dóma, einkunn, fjölda niðurhala o.s.frv. Til að greina áreiðanleika.
Og aldrei notaðu alltaf sjóræningja- eða núllþemu eða viðbætur. Það er þekkt staðreynd að flestir þessir innihalda skaðlegan kóða sem skapa bakdyr á síðunni þinni. Þetta er bókstaflega leið til að hafa fulla fjarstjórn á síðunni þinni.
Í raun og veru, ef þú ert að nota sprungið, sjóræningi eða óvirkt þema eða tappi, þá er vefsvæðið þitt strax hakkað. Þú munt nota síðu sem skyndilega byrjar að gera skrýtna hluti eins og að sýna tvísýna hlekki, dreifa spilliforritum eða jafnvel vera hluti af DDoS árásum.
Það sem þér finnst vera ókeypis mun kosta þig miklu meira en þú gerir ráð fyrir.
Ekki uppfæra WP kjarna, þemu eða viðbætur
Notkun úreltrar útgáfu af WordPress kjarna, þemum eða viðbótum er önnur meginástæðan fyrir brotum sem munu leiða til tölvusnápur á vefsíðum. Flestar uppfærslur innihalda kóða sem lagar öryggi og frammistöðu vefsíðu þinnar. Þess vegna er nauðsynlegt að þú uppfærir vefsíðu þína, þemu og viðbætur um leið og þau eru fáanleg. Gakktu úr skugga um að taka öryggisafrit að fullu áður en þú uppfærir.
Hvað á að gera þegar WordPress er brotist inn?
Jafnvel ef þú gætir hafa gert ráðstafanir til að draga úr áhættunni gætirðu samt orðið fórnarlamb WordPress reiðhestar.
Ekki örvænta og fylgja skrefunum sem lýst er hér að neðan.
1. Þekkja tegund reiðhests
Lausnin til að fá síðuna þína aftur fer eftir tegund WordPress hakk. Það þýðir að fyrsta skrefið er að skilgreina tegundina.
Hér eru spurningarnar sem þú ættir að spyrja til að gera það:
- Geturðu fengið aðgang að admin hlutanum?
- Er vefsíðu þinni vísað á aðra síðu?
- Eru einhverjir óþekktir hlekkir á síðunni þinni?
- Er Google að vara gestina við síðunni þinni?
- Hefur hýsingaraðili þinn tilkynnt þér að vefsvæðið þitt sé grunsamlegt?
- Er á síðunni þinni að sjá óþekktar auglýsingar í haus, fót eða öðrum köflum?
- Eru einhverjir óæskilegir sprettigluggar birtir?
- Er óvænt aukning í notkun bandbreiddar?
Farðu í gegnum spurningarnar hver af annarri og reyndu að komast að svörunum fyrir hverja þeirra. Þetta hjálpar þér að finna bestu leiðina til að ná aftur stjórn á tölvusnáða WordPress síðunni þinni.
2. Prófaðu að endurheimta frá öryggisafrit
Ef þú fylgir bestu starfsvenjum ættirðu að taka daglega, vikulega eða mánaðarlega afrit af vefsvæðinu þínu. Varatíðni fer eftir því hversu oft þú birtir eða gerir breytingar á vefsíðunni þinni.
Þegar þú tekur reglulegt öryggisafrit er það eins auðvelt að endurheimta tölvusnápinn þinn á WordPress og að endurheimta nýjasta afritið. Ef þú hefur sett upp sjálfvirka afritunaráætlun skaltu komast að síðustu öryggisafritinu áður en vefsvæðið þitt var brotist inn og endurheimta þá útgáfu.
Þú þarft þá að ganga úr skugga um að þú uppfærir viðbætur, þemu eða eitthvað sem ekki hafði verið uppfært.
Hvað ef þú tókst ekki afrit af síðunni þinni? Þýðir það að þú hafir misst síðuna þína að eilífu?
Nei reyndar.
Það eru líka aðrir möguleikar. Flestar álitnar hýsingarþjónustur halda reglulegu öryggisafritum af vefsvæðum viðskiptavina sinna. Spurðu hýsingaraðilann þinn ef þeir halda öryggisafrit. Ef þeir hafa það geturðu beðið þá um að endurheimta síðuna þína frá síðasta stöðuga öryggisafritinu.
Ef ekkert öryggisafrit er til verður þú að fara í gegnum aðferð til að hreinsa tölvusnáða WordPress-síðuna þína sem við sýnum hér að neðan.
3. Leitaðu hjálpar hjá hýsingaraðilanum þínum
Meira en 40% af tölvusnápur vefsíðum höfðu einhverja öryggisgalla á hýsingarpallinum. Þess vegna gæti verið góð hugmynd að biðja hýsingaraðila þína um að hjálpa þér að fá síðuna þína aftur.
Sérhver áreiðanlegur vefhýsingarfyrirtæki ætti að vera tilbúinn að hjálpa þér í þessum tilfellum. Þeir ráða fagfólk sem tekst á við þessar aðstæður á hverjum degi. Þeir þekkja mjög hýsingarumhverfið og hafa aðgang að háþróaðri skönnunartólum á vefsíðum.
Þess vegna munu þeir geta hjálpað þér að endurheimta algengustu árásir á tölvuþrjótandi vefsíður. Ef hakkið er upprunnið frá netþjóninum, gæti hýsingarfyrirtækið þitt hjálpað þér við að komast aftur á síðuna.
4. Leitaðu að spilliforritum
Í mörgum tilvikum fá tölvuþrjótar aðgang að vefsíðunni þinni með því að nota bakdyr. Bakdyr búa til óviðkomandi inngangsstaði á vefsíðuna þína. Þegar bakdyr eru notaðar geta tölvuþrjótar fengið aðgang að vefsíðunni þinni án þess að þurfa neinar innskráningarupplýsingar og vera nánast ógreindir.
Hér eru nokkrar algengar staðsetningar bakdyranna sem þú þarft að athuga hvort vefsvæðið þitt hafi verið brotist inn í -
- Þemu: Flestir tölvuþrjótar kjósa að setja bakdyrnar í eitt af óvirku þemunum þínum. Með því að gera þetta munu þeir samt hafa aðgang að vefsíðunni þinni jafnvel þó þú haldir henni uppfærð reglulega. Þess vegna er mikilvægt að eyða öllum óvirkum þemum þínum.
- Plugins: Viðbótarmappan er annar mögulegur staður til að fela illgjarnan kóða. Það eru nokkrar ástæður fyrir því. Í fyrsta lagi hugsa flestir aldrei um að athuga tappaskrárnar. Þeir kjósa heldur ekki að uppfæra viðbæturnar svo lengi sem þeir eru að vinna. Það sem meira er, það eru nokkur illa kóðuð viðbætur sem hægt er að nýta til að fá óviðkomandi aðgang að hvaða WP-síðu sem er.
- Hleður inn möppu: Í flestum atburðarásum þarftu aldrei að standa í því að athuga upphleðslu möppuna þar sem sú mappa inniheldur aðeins skrárnar sem þú hlóðst upp. Hins vegar kjósa sumir tölvuþrjótar þessa möppu vegna þess að þeir geta auðveldlega falið skaðlegu skrána meðal hundruða eða þúsunda skráa sem dreifast í mismunandi möppur. Þar sem möppan er skrifanleg þjónar hún einnig tilgangi þeirra.
- Inniheldur möppu: Þetta er önnur mappa sem flestir notendur hunsa oft. Fyrir vikið setja tölvuþrjótar bakdyrnar í þessa möppu og fá fullan aðgang að síðunni þinni.
- wp-config.php Skrá: Það er mjög algengt að skaðlegur kóði leynist í þessari skrá. Hins vegar, þar sem skráin er mjög þekkt, forðast háþróaðir tölvuþrjótar að nota þessa skrá.
Ert þú ekki hrifinn af því að gera óhreinar hendur með illgjarnan skrift? Reyndu iThemes security og láttu það vinna skítverkin.
Eina leiðin til að losna við bakdyrnar er að fjarlægja illgjarnan kóða af vefsíðunni. Það eru nokkrir viðbætur sem gera þér kleift að skanna vefsíðu þína eftir skaðlegum kóða.
Meðal þeirra eru eftirfarandi aukagjöld viðbætur frábær kostur: iThemes Security, Sucuri Öryggi, WPMUDev varnarmaður eru frábærir kostir.
Eftirfarandi eru einnig góðir kostir, en hafðu í huga að báðir hafa ekki verið uppfærðir í meira en 3 ár frá og með uppfærslu þessarar greinar. Þetta þýðir að þeir gætu ekki verið eins áreiðanlegir og þeir voru: Notaðu skanniog Þekking áreiðanleika þema.
Þú getur notað þessar ókeypis viðbætur til að greina allar óæskilegar breytingar á þemum, viðbótum og kjarna skrám vefsíðunnar þinnar. Hins vegar, ef þér er alvara með að laga síðuna þína, þá mælum við eindregið með því að velja eina af úrvals vörunum.
Þau verða uppfærðari og áreiðanlegri almennt en ókeypis vörur.
Ef viðbætur finna einhverjar grunsamlegar skrár skaltu taka fullt öryggisafrit og eyða skránni eða sjá hvaða leið aðgerðin leggur til. Einnig, ef þú tekur afrit, vertu viss um að þú takir eftir að þú tekur afrit af tölvusnápur.
Og ef þema eða viðbót er í hættu, fjarlægðu það af síðunni þinni. Sæktu nýjasta eintakið og settu það á vefsíðuna þína.
Ef breytingin greinist í einhverjum kjarna skrám, ættirðu að hlaða niður nýrri uppsetningu af WordPress og framkvæma handvirka uppfærslu (þ.e. skrifa yfir allar skrár með þeim nýju).
Að öðrum kosti, halaðu niður nýju eintaki af WordPress útgáfunni sem þú ert núna og skiptu aðeins um málamiðlanirnar.
5. Athugaðu WordPress notendur
Það er líklegt að þú hafir nokkra notendur á vefsíðunni þinni. Eins og þú veist nú þegar hafa þeir mismunandi getu miðað við notendahlutverk sitt.
Stundum skapa WordPress tölvuþrjótar nýjan notanda með nauðsynlegar heimildir svo þeir geti skráð sig inn á síðuna þína jafnvel þó þeir missi bakdyrnar.
Eða þeir geta raunverulega notað notandanafn sem hefur veikt lykilorð til að hakka vefsíðuna þína.
Til að koma í veg fyrir að þetta gerist skaltu fara í Stillingar> Notendur frá mælaborðinu. Farðu yfir alla notendur og hlutverk þeirra. Einnig skal núllstilla ÖLL lykilorð allra notenda.
Mikilvægast er að ganga úr skugga um að engum óviðkomandi reikningi sé úthlutað admin hlutverki. Ef um er að ræða vafasama reikninga skaltu eyða þeim þegar í stað. Ef þeir eru gildir notendur geturðu alltaf endurskapað reikningana síðar.
Hér eru nokkrar fleiri bestu leiðir til að fylgja:
- Notaðu aldrei 'admin' notendanafnið á síðunni þinni. Ef þú ert nú þegar með þetta notandanafn, breyttu þessu eins fljótt og auðið er. Forðastu einnig að nota algengt notendanafn sem tölvuþrjótar geta giskað á.
- Notaðu tvíþætta auðkenningu til að koma í veg fyrir óviðkomandi aðgang að vefsíðunni þinni.
- Sameina CAPTCHA eða reCaptcha á innskráningarblöðunum þínum Sameina CAPTCHA eða reCaptcha á innskráningarformunum þínum. Þetta er áhrifarík leið til að koma í veg fyrir að vélmenni eða sjálfvirk forskriftir fái aðgang að vefsíðu þinni.
6. Breyttu leynilyklunum
Leynilyklar eru handhægur öryggisþáttur WordPress.
Þessir lyklar innihalda handahófi myndaðan texta sem hjálpar við að dulkóða upplýsingarnar sem vistaðar eru í smákökum. Þú ættir að nota málsmeðferðina hér að neðan til að athuga hvort þú hafir þau á síðunni þinni. Ef þú ert ekki með þær geturðu búið til þær.
Jafnvel þó að þú hafir þau nú þegar, ef það hefur verið brotist inn á síðuna þína, þá er nú góður tími til að breyta þeim.
Fyrst af öllu, búið til sett af leynilegum lyklum með því að nota á þennan tengil. Handahófi kóða rafall mun búa til nýtt sett af einstökum kóða í hvert skipti sem þú endurnýjar síðuna.
Farðu núna á vefsíðuna þína og opnaðu WP-opnað stillingaskrá skjal. Farðu í átt að línu 49 og þú munt sjá eitthvað eins og eftirfarandi. Línanúmerið getur verið breytilegt eftir skránni en þú þarft að komast að eftirfarandi kafla:
Afritaðu og límdu gildi úr þeim sem þú varst að búa til í hlekknum hér að ofan. Vistaðu skrána. Þetta mun endurstilla allar smákökur og alla innskráða notendur, þannig að ef þú varst innskráður hjá stjórnandanum verður þú beðinn um að skrá þig inn aftur.
7. Breyttu ÖLLU lykilorðum
Þetta er algengt en mikilvægt skref til að endurheimta tölvusnáða WordPress vefsíðu - endurstilltu öll lykilorðin þín. Algeng lykilorð eru WP admin, cPanel, MySQL, FTP osfrv.
Endurstilltu öll þessi lykilorð ásamt lykilorðum hvers konar þjónustu sem þú notar á vefsíðunni.
Hér er hvernig á að breyta lykilorðunum:
- Til að breyta lykilorðinu, farðu í Notendur> Prófíllinn þinn frá mælaborðinu. Þú finnur nýja lykilorðareitinn í hlutanum „Reikningsstjórnun“.
- Til að breyta cPanel, MySQL, FTP lykilorðum, skráðu þig inn á stjórnborðið á hýsingarreikningnum þínum og fylgdu þeim valkostum sem til eru. Ef þú ert ringlaður skaltu hafa samband við þjónustustuðninginn til að fá hjálp.
Þegar þú endurstillir eða breytir lykilorðunum skaltu ganga úr skugga um að þú notir nú sterkt lykilorð. Þú ættir einnig að neyða núverandi notendur þína til að endurstilla lykilorð fyrir reikninga sína líka.
Þú getur notað viðbótina Endurstilla lykilorðs lykilorð til að knýja fram endurstillingu lykilorðs fyrir alla notendur.
Framtíðarskref til að forðast að verða tölvusnápur
Þó að skrefin sem nefnd eru hér að ofan muni hjálpa þér að endurheimta vefsíðuna þína, þá ættir þú að líta á þetta sem viðvörunarmerki. Hér eru nokkur mikilvæg skref sem þú ættir að taka til að tryggja að vefsvæðið þitt verði áfram verndað í framtíðinni frá öðrum WordPress reiðhestatilraunum:
Búðu til afritunaráætlun
Eins og þú gerir þér grein fyrir núna skiptir sköpum að taka reglulega öryggisafrit af vefsíðunni þinni. Afrit geta bjargað þér ef brotist var inn á síðuna þína. Margfeldi öryggisafrit eru enn betri því þau leyfa þér að fara aftur í tímann á mynd af síðunni áður en hakkið átti sér stað.
Sem betur fer þarftu ekki að gera þetta handvirkt. Það eru fullt af ókeypis og úrvals viðbótum sem hjálpa þér að halda reglulegu öryggisafriti af síðunni þinni. UpdraftPlus er vinsælt viðbótarforrit, en BackupBuddy og Jetpack eru nokkrar mjög ráðlagðar aukagjaldafritalausnir.
Uppfæra allt
Við giska á að við þurfum ekki að leggja áherslu á mikilvægi þess að halda síðunni þinni uppfærð. Þú ættir að uppfæra WordPress kjarna, virk þemu, viðbætur og allt annað sem er möguleiki á að uppfæra. Á sama tíma, vertu viss um að eyða ónotuðu þemunum og viðbótunum líka.
Settu upp öryggisviðbót
Ef þú vilt auka öryggi vefsíðunnar þinnar ættirðu að nota herðandi tappi eins og iThemes Security, Wordfence Security eða Defender. Þessi viðbætur hjálpa þér við að búa til eldvegg svo að þú getir komið í veg fyrir skaðlega umferð, hindrað árásarmenn og tekist á við aðrar ógnir. Þú gætir líka íhugað að setja upp a fullur vefforritarveggur svo sem Sucuri eldvegg.
Íhugaðu stýrða hýsingu
Þegar þú velur stýrða hýsingu munu þeir sjá um öryggi, viðhald, frammistöðu og önnur mál fyrir vefsíðuna þína. Það þýðir að þú þarft ekki að hafa áhyggjur af öllum þessum skrefum. Sumir áreiðanlegir hýsingaraðilar eru InMotion, WPEngine, og Kinsta.
Limit Login Attempts
Sem sjálfgefið leyfir WordPress öllum að prófa ótakmarkað lykilorð fyrir hvaða reikning sem er. Þetta leiðir til árása á herskara afl og mögulega varnarleysi á vefsvæðinu. Sem betur fer eru nokkur ókeypis viðbætur eins og Innskráning læst og Loginizer Öryggi til að hjálpa þér að takmarka tilraunir til innskráningar.
Slökkva á PHP framkvæmd
Í flestum tilfellum búa tölvuþrjótar til bakdyrar með því að búa til PHP skrár sem líta út eins og kjarna skrár. Þú getur komið í veg fyrir þessar ógnir með því að slökkva á framkvæmd PHP í viðkomandi skráasöfnum, eins og upphleðslu og inniheldur möppu. Hér er a skref-fyrir-skref námskeið að gera það.
Bættu við auka lykilorði fyrir stjórnanda
Annað handhægt bragð til að halda vefsíðu þinni öruggri er að nota viðbótar lykilorð til að fá aðgang að admin hlutanum. Þetta er mjög auðvelt í cPanel. Fylgja Þessi kennsla til að bæta lykilorðinu við WP stjórnanda þinn.
Viltu frekar vídeó? Horfðu á þetta myndband frá Sucuri
Ef þú hefur tíma til að fara í gegnum eftirfarandi myndband sem getur hjálpað til við að bera kennsl á WordPress tölvusnápur og hvernig á að laga þær. Við höfum minnst á Sucuri nokkrum sinnum í þessari grein, þetta myndband frá Sucuri er alveg fullkomin sýn á tölvusnápur.
Lokaorð: hvernig á að laga tölvusnápaða vefsíðuna þína
Að vera fórnarlamb WordPress tölvusnápur er hræðileg reynsla, sérstaklega ef þetta er í fyrsta skipti. Nú, þegar þú hefur lesið þessa grein, ættirðu að hafa skýra hugmynd um nauðsynlegar ráðstafanir til að fá tölvusnápaða vefsíðuna þína aftur.
Ekki hika við að setja bókamerki og deila þessari grein svo aðrir geti vitað um skrefin líka.
Bottom Line
Ef þú ert ringlaður skaltu bara fara í stjórnaða hýsingarlausn og leyfðu einhverjum öðrum að höndla það fyrir þig.
Þetta er aðeins byrjunin. Þegar vefurinn heldur áfram að þróast munu tölvuþrjótarnir og tilraunir þeirra til að síast inn á síðuna þína og kjafta þig út. Vertu skrefi á undan með því að læra meira um vingjarnlegt CMS og fylgjast með uppfærslum og dvöl þinni á öryggi WordPress - þetta tryggir örugglega að þú komist í veg fyrir tölvusnápur.
Vertu öruggur.
Þarftu hjálp við að hreinsa vefsíðuna þína? Prófaðu þessi vinsælustu tónleikar á Fiverr!
Ýttu hér að finna sérfræðinga um WordPress öryggi.
Ýttu hér til að búa til full WordPress vefsíða.
vinsamlegast yfirgefa a gagnlegt skrifaðu athugasemdir við hugsanir þínar, deildu þessu síðan á Facebook hópinn þinn / hverjum sem myndu finnast þetta gagnlegt og við skulum uppskera ávinninginn saman. Takk fyrir að deila og vera fín!
Birting: Þessi síða getur innihaldið tengla á ytri vefsíður fyrir vörur sem við elskum og mælum af heilum hug. Ef þú kaupir vörur sem við leggjum til gætum við unnið okkur inn tilvísunargjald. Slík gjöld hafa ekki áhrif á ráðleggingar okkar og við tökum ekki við greiðslum fyrir jákvæða dóma.
og margir fleiri ...