Det kan finnas många innehållshanteringssystem runt, men ingen av dem kan hålla ett ljus för WordPress. Med 51.6+ miljoner webbplatser från och med mars 2020 (och ökar varje dag) det ger dig en uppfattning om hur oerhört överlägset och älskat detta system är. WordPress-säkerhet och handlingsbara tips för att förhindra WordPress-hacking men - CMS har fortfarande ett sätt att gå när det gäller säkerhet.
Vi vill dock hjälpa dig att skydda din webbplats från början - förebyggande är bättre än botemedel, så se till att du gör dessa tips, i detta, en av våra många WordPress-handledning - I DAG.
Dessa miljoner webbplatser möter emellertid också allvarliga attacker från skriptkiddies som inte har något bättre att göra med sin tid men sprider elän överallt och andra med mer skändliga och skadliga skäl, de mörka aktörerna på nätet: Hackare.
Det är ganska vanligt att vakna upp en morgon för att hitta din en gång så vackra webbplats vaxande poetisk full av länkar och text om örtförstoringspiller, eller annat tvivelaktigt läkemedel eller någon orsak i Mellanöstern.
Att skrika osammanhängande är förmodligen den första åtgärden du kommer att vidta när din webbplats är värd för helsidesannonser, länkar och omdirigeringar till skuggigare aspekter av "läkemedelsföretag".
Om detta scenario skrämmer dig är det motiverat att känna så.
90,000 XNUMX webbplatser hackas varje dag
Källa: HostingFacts
Alla vill förhindra WordPress-hacking. Eftersom det kan ta tid och ansträngning att återställa och återställa en webbplats.
Så härda din webbplats med dessa WordPress-säkerhetsmetoder, för att förhindra att det hemska ödet händer dig! Och ja, det kommer att ta lite tid och kontinuerligt arbete att undvika hackattacker.
Gillar du inte att bli smutsig med händerna? Prova iThemes security och låt det göra det smutsiga arbetet. Klicka på den här länken för att få 25% RABATT fram till September 2023.
Om du inte vill gå igenom en massa skräp med filer, aktivering av olika plugins och många andra saker du inte riktigt förstår - har vi också den enkla vägen ut för dig. iThemes Security är det bästa WP -säkerhetspluginet för att säkra och skydda din webbplats.
Inte intresserad av WP-plugins ännu? Läs vidare!
Vi kommer att arbeta med lite kodarbete, men låt oss först ta hand om grunderna i webbplatsens säkerhetsfrågor. Börjar med:
17 WordPress säkerhetssteg
1. Att förhindra WordPress-hacking börjar med din arbetsstation
Detta är det första och lättast förbises: din dator.
Du bör alltid hålla ditt system fritt från skadlig kod och virus, särskilt om du använder internet (det är du självklart). Arbetsstationsskydd är ännu viktigare när du genomför transaktioner och har en webbplats för allt som krävs är en keylogger för att slå ut de mest härdade webbplatserna.
En keylogger kommer att läsa alla dina användarnamn och lösenord och skicka dem till hackare - vilket naturligtvis kommer att skapa en mängd problem och problem för din webbplats.
Håll dig säker och uppdatera regelbundet ditt operativsystem, programvara och webbläsare på din dator. Använd en bra antivirustjänst. Håll ögonen på eventuella sårbarheter i ditt system och ta bort det innan det blir en enorm smärta. Om din dator börjar agera konstigt, poppar upp annonser och andra tvivelaktiga saker, kanske du vill kolla in det innan du går till din webbplats
2. Installera alla WordPress-uppdateringar
Varje gång en ny version av WordPress släpps gör den det till stor fanfare och mitt i en våg av spänning.
De flesta av oss är glada, för, hej, nya egenskaper! Hackare är glada för att de omedelbart går för att kontrollera Säkerhets- och underhållsinformation. Tyvärr var och en Wordpress uppdatering medför upptäckten av ett antal säkerhetsproblem i WordPress i äldre versioner.
Med varje ny WordPress-uppdatering får vi ytterligare funktioner och uppgraderingar, tillsammans med en sida som visar säkerhetsfel i den tidigare versionen och deras korrigeringar.
Den sidan är praktiskt taget ett fuskark för hackare överallt. Om du inte uppdaterar i tid kommer dessa brister att utnyttjas för att ta över webbplatser på äldre versioner (och din webbplats kan vara bland dessa om du inte uppdaterar).
Och om din webbplats blir hackad blir det tyvärr för sent att hitta ursäkter för att inte uppdatera till den senaste versionen.
Så ge inte hackare en chans att snurra in. Installera den senaste versionen av WordPress så snart den släpps.
Om du är rädd att det kommer att förstöra din webbplats, se till att du har en fungerande säkerhetskopia innan du uppdaterar. Den uppdaterade versionen löser alla säkerhetsproblem som fanns i den tidigare versionen - och går väldigt långt för att förhindra WordPress-hack.
Vill du att din webbplats ska uppdateras automatiskt? Kolla in InMotion VPS för din webbhotell - de har utmärkta WordPress-specifika funktioner så att du kan uppdatera din webbplats automatiskt så snart de är ute. Vi har en InMotion VPS och vi älskar det!
3. Se till att din värdserver är säker
Visste du att ungefär 2019% av webbplatserna fortfarande använder PHP 54.x till år 5 - en version av PHP som är slut på livet och därmed inte får några säkerhetsuppdateringar. Detta innebär att alla webbplatser som körs på PHP 5.4 är sårbara för hack genom svagheter i serverns programvara. (Källa Sucuri hackad webbplatsrapport 2019)
Till och med PHP version 7.1 upphör att gälla den 1 december 2019. Gamla versioner av programvara som dessa stöds inte längre och har sårbarheter som inte har lappats!
Dessa gamla versioner av programvara är benägna att hacka.
Om du är medveten om att din webbplats är värd för PHP 5 eller eventuellt PHP upp till 7.1, be din värd att kontrollera om din webbplats kan flyttas till en nyare version av PHP.
Inte bara det utan också majoriteten av webbplatser / bloggar finns på delade servrar. I grund och botten, om en webbplats på en delad server smittas, alla andra webbplatser är i fara, hänsynless om hur säker webbplatsen/bloggen annars är.
Du kommer att bli hackad utan något eget fel.
Tankeövning: Har du någonsin varit i ett soppkök? Kan du föreställa dig en och föreställa dig vad som händer där inne? Om du är en av dem som har turen att ha undkommit den travestin, ger jag dig en smakprov (ordlek). Tänk på allt som någonsin har hänt sedan köket tillkom, spill och raster, läckor och stänk. I en soppköksserver är dessa saker aldrig borta. De blir en del av köket.
Tänk dig att samma händer med din webbplats. En värdserver från ett företag som hoppar över underhåll och inte uppdaterar till de senaste programvaruversionerna har redan övergått till ett soppkök.
Dessutom, om du eller din webbansvariga är värd för flera webbplatser tillsammans, staplas oanvända filer, data, webbplatser och mer tills de blir ett hot mot nuvarande webbplatser.
Så välj en pålitlig och säkra värd.
VPS och managed hosting minimerar risken för överträdelser och är utmärkt för e-handelssajter. Om delad hosting räcker för dig, kolla in deras säkerhet innan du prenumererar på utrymme på dem.
Kontrollera att de håller sina servrar underhålls regelbundet och uppdatera även till de senaste versionerna av programvaran. Detta är ett annat steg som bör vara på din prioriteringslista om du vill förhindra WordPress-hacking.
4. Använd säkra överföringar för att förhindra lösenord och dataflytning
Över en osäker anslutning kan data fångas upp och du kan hackas innan du kan säga "okrypterad".
Det är därför du bör fokusera på säkra nätverksanslutningar och krypteringar: serversidan, klientsidan och alla sidor. Hitta en värd som tillåter SFTP / SSH-kryptering för att skydda dina data och information från skadliga avlyssningar.
Din webbplats bör också ha en säkert certifikat installerat och ställ in så att när du loggar in överförs dina referenser säkert.
5. Förhindra hacking genom komplexa lösenord
Viktigt tips: skapa ett starkt lösenord och återanvänd ALDRIG lösenord
Vårt nästa steg om hur du skyddar WordPress från hackare talar om ett mycket cliched ämne: lösenord.
Ett häpnadsväckande antal människor tror att långa, komplicerade lösenord överskattas och föredrar något kortare och lättare att komma ihåg; ett faktum hackare känner till och utnyttjar.
Det finns inget annat sätt att uttrycka detta: ett bra starkt lösenord som består av bokstäver, siffror och andra giltiga tecken kommer faktiskt att gå långt för att skydda din blogg.
En brute force-hackattack kan fungera på ett kort lösenord med ett enkelt ord (till exempel ett ordlista eller ett enkelt vanligt lösenord), ja. Men ju fler tecken det finns i ditt lösenord, desto längre tid tar det att knäcka det.
Det tar exponentiellt längre tid att knäcka långa komplexa lösenord.
Vad du försöker göra är att bryta kända mönster för att göra hackning svårt, om inte omöjligt.
Alla personliga detaljer eller lösenord baserade på dem (t.ex. födelsedagar eller namn på personer) kommer att vara enkla att knäcka. Använd inte enstaka ord (seless av längd), endast bokstäver eller endast lösenord.
Skapa ett lösenord som är lätt att komma ihåg men svårt att gissa för att förhindra WordPress-hacking - om din blogg handlar om säkerhet, gör det till något som pressmyWORDSand5ecurit! $
6. Håll dina databaser säkra och isolerade
Din databas vet allt som någonsin har hänt på din webbplats. Det är en verklig informationskälla och det gör det oemotståndligt för hackare.
Automatiserade koder för SQL-injektioner kan köras för att hacka in i din webbplats databas med relativ lätthet. Om du kör flera webbplatser / bloggar från en enda server (och databas) är alla dina webbplatser i fara.
Som kodresursen uttrycker det, det är bäst att använda enskilda databaser för varje blogg / webbplats och ge dem att hanteras av separata användare. Enkelt uttryckt bör varje webbplats du har en egen databas och en egen databasanvändare.
Endast den databasanvändaren ska ha tillgång till databasen.
Du kan också återkalla alla databasbehörigheter utom data läst samt dataskrivning från användare som bara kommer att arbeta med att lägga upp / ladda upp data och installera plugins.
Det rekommenderas dock inte på grund av schemaförändring behörigheter som krävs i större uppdateringar.
Du bör också byta namn på din databas (genom att ändra dess prefix) för att missleda hackarna som riktar sina attacker mot den. Även om detta inte förhindrar WordPress-hacking i sig, ser det till att om några databaser äventyras kan hackarna inte hoppa till nästa WordPress-installation.
7. Dölj din webbplats inloggnings- och administratörsnamn
Nästa om hur du skyddar WordPress från hackare gäller WordPress Admin.
Att lämna WordPress-standardvärden orörd är praktiskt taget be för problem.
Det är skrattretande enkelt att hitta webbplatsens administratörsnamn om du inte aktivt döljer det.
Allt som en hackare behöver är att lägga till ? författare = 1 efter din URL och den person / medlem som dyker upp är sannolikt administratören. Föreställ dig hur lätt det skulle vara för hackarna att använda brute force när de hittat administratörens användarnamn.
Hur kan du förhindra hacking om du lämnar så mycket information tillgänglig, förenklar utnyttjandet?
Lösning för att avskräcka WordPress-hack: Dölj alla användarnamn med den här koden i filen functions.php:
add_action ('template_redirect', 'bwp_template_redirect');
funktion bwp_template_redirect ()
{
om (är_författare ())
{
wp_redirect (home_url ()); utgång;
}
}
Din inloggningssida är också lätt att komma åt, och inte bara för dig. Om du helt enkelt lägger till wp-admin eller wp-login.php efter din webbadress, fyll i användarnamnet vi lärde oss av? Author = 1, allt som återstår är lite brute-tvingar eller gissar tills ett lösenord är knäckt.
Använd tekniken "säkerhet genom dunkel" och ändra webbadressen för inloggningssidan för att göra hackarnas jobb lite svårare.
Säkerhetsplugins som iThemes Security har en Dölj inloggningsinställning som tar bort enkel åtkomst till WordPress -inloggningen.
Återigen kommer att göra detta enkla steg mycket långt för att förhindra WordPress-hacking.
Inte säker på om du kan hantera allt detta?
Behöver hjälp? Ta en titt på iThemes Security Pro - ett plugin och din webbplats är säker. Garanterat. Klicka på länkarna nedan för att besöka webbplatsen.
8. Förhindra hacking genom WordPress-säkerhetsplugins och tricks för att skydda wp-admin
Din wp-admin är den viktigaste delen av din WordPress-installation - den som har mest "kraft".
Tyvärr är inloggningssidan och administratörskatalogen tillgänglig för alla: inklusive de med skadlig avsikt. För att skydda det och sluta hacka attacker måste du arbeta lite hårdare.
iThemes Security
Ett starkt lösenord, ett annat administratörskonto (med ett användarnamn som är allt annat än 'administration'), och använda iThemes Security plugin för att byta namn på dina inloggningslänkar kommer definitivt att hjälpa till att förhindra hacking.
Malcare
Du kan också stärka vakten kring admin med webbplatsens säkerhetsinsticksprogram som Malcare.
Denna 5-stjärniga tjänst är en tjänst som vi har upptäckt ganska nyligen.
Malcare utvecklas av teamet bakom Blogvault, som vi redan har använt och funnit vara fantastiska.
Deras senaste erbjudande erbjuder en fullständig säkerhet och webbplatshanteringstjänst. Det erbjuder sådan personal som filsökning för kärnändringar (för att upptäcka hack), nödrengöring, en inbyggd brandvägg för att stoppa skadlig trafik, uppdatering av teman och plugins direkt från instrumentpanelen och säkerhetskopior med ett klick.
Det bästa med detta är att du kan hantera ALLA dina webbplatser från en enda instrumentpanel utan att behöva logga in på var och en av dem individuellt.
Limit Login Attempts Reloaded
Med lite kod i kombination med obegränsade inloggningsförsök kommer varje hackare så småningom att bryta in.
Du kan begränsa antalet inloggningsförsök som en enskild användare får utföra på admininloggningssidan med Limit Login Attempts Ladda om plugin. Det begränsar antalet inloggningsförsök för varje IP-adress, inklusive din egen (med auth-cookies).
Really Simple SSL
Använd kraften i privat SSL för att säkra admininloggning, område, inlägg och mer. Använda Really Simple SSL plugin möjliggör kryptering på dina inloggningssessioner, vilket innebär att lösenordet är svårt att fånga upp.
Du måste skaffa ett SSL-certifikat och installera det på din värdserver. InMotion erbjuder SSL-certifikat gratis på deras värdplaner - så om du fortfarande inte har det är det dags att byta till InMotion för att få din SSL också.
När du har bekräftat med din värdleverantör att du har delat SSL kan du aktivera plugin.
Om du hellre inte vill använda ett plugin men vill tvinga SSL endast till inloggningen lägger du till den här koden i filen wp-config.php:
definiera ('FORCE_SSL_ADMIN', sant);
Acunetix Säker WordPress
Denna plugin är en utmärkt säkerhetslösning i allmänhet, men vissa viktiga funktioner gör det ännu bättre.
Först och främst kör den en webbplats säkerhetsskanning. Det ägnar också stor uppmärksamhet åt förebyggande åtgärder så att du faktiskt hindrar WordPress-hackning från att börja. För att skydda adminområdet tar det bort felinformation från inloggningssidan.
Det låter kanske inte så mycket, men felmeddelandet hjälper faktiskt hackare att ta reda på om de hade fått något rätt. Att ta bort meddelandet (ledtråd) tar bort den fördelen.
Om du vill undvika hacking, ställ in åtminstone några av dessa plugins.
Topptips: Resten av artikeln innehåller avancerade webbplatsens säkerhetstips
Resten av tipsen som kräver att tippa med din WordPress-installation, vilket medför viss risk. Om du hellre inte vill fika med din installation kanske du vill hyra en WordPress-utvecklare att hjälpa dig.
9. Hur man skyddar WP genom wp-inkluderar
Låt oss reda ut det här: wp-omfattar mappen är en viktig del av WordPress. Det bör lämnas i fred, även av dig. Och det bör inte lämnas tillgängligt för potentiella hackare.
För att förhindra att skadliga personer / bots skickar oönskade skript direkt till hjärtat på din webbplats för att förhindra hackingattacker.
Lägg till detta innan #BÖRJA WordPress i din .htaccess-fil:
# Blockera endast inkludera filer.
RewriteEngine On
RewriteBase /
RewriteRule ^ wp-admin / inkluderar / - [F, L]
RewriteRule! ^ Wp-inkluderar / - [S = 3]
RewriteRule ^ wp-includes / [^ /] + \. Php $ - [F, L]
RewriteRule ^ wp-includes / js / tinymce / langs /.+ \. Php - [F, L]
RewriteRule ^ wp-includes / theme-compat / - [F, L]
# BEGIN WordPress
Observera att du måste utelämna den tredje omskrivningsregeln om du vill att koden ska fungera på Multisite.
10. Skydda din wp-config för att förbättra webbplatsens säkerhet
Detta är en av de frågor som är lite kontroversiella. Inte alla håller med om att göra detta.
Oavsett om du faktiskt flyttar wp-config.php utanför rotmappen, kan det inte förnekas att lite justering av koden i den här filen kan hjälpa till att härda din webbplats och göra det svårare att utföra WordPress-hack.
Inte säker på om du kan hantera alla dessa tekniska grejer? Det finns en säkerhetsplugin för att styra dem alla.
- Börja med inaktivera redigering av PHP-filer från instrumentpanelen, det är där angriparen kommer att koncentrera sig efter hacking genom en åtkomstpunkt. Lägg till detta till wp-config.php
definiera ('DISALLOW_FILE_EDIT', sant);
- $ table_prefix placeras framför alla dina databastabeller. Du kan förhindra SQL-injektionsbaserade attacker genom att ändra dess värde från standard wp_. Var försiktig om du gör detta, du måste byta namn på en befintlig tabell till det nya prefixet du ställer in.
$ table_prefix = 'r235_';
- Flytta wp-innehållskatalogen från sin standardposition med detta
definiera ('WP_CONTENT_DIR', $ _SERVER ['DOCUMENT_ROOT']. '/ blog / wp-content');
definiera ('WP_CONTENT_URL', 'https: // exempel / blogg / wp-innehåll');
definiera ('WP_PLUGIN_DIR', $ _SERVER ['DOCUMENT_ROOT']. '/ blogg / wp-content / plugins');
definiera ('WP_PLUGIN_URL', 'https: // exempel / blogg / wp-innehåll / plugins');
Nu om du inte är en utvecklare, du har inte mycket användning av felloggar. Du kan hindra dem från att vara tillgängliga med detta:
error_reporting = 4339
display_errors = Av
display_startup_errors = Av
log_errors = På
error_log = /home/exempel.com/logs/php_error.log
log_errors_max_len = 1024
ignore_repeated_errors = På
ignore_repeated_source = Av
html_errors = Av
11. Säkerhetskopiera din webbplats (i alla fall)
Det här är skyddsnätet. En säkerhetskopia är en av de första sakerna du behöver för att återställa din webbplats om du blir hackad.
Säkerhetskopiera din webbplats minst lika ofta som du kör underhåll eller uppdaterar den. Det finns ingen ursäkt för att vara slapp i den här avdelningen, inte när det finns några utmärkta säkerhetskopieringstjänster och plugins som kör automatiska säkerhetskopior åt dig. Några förslag på plugins inkluderar:
- Vaultpress,
- UpdraftPlus,
- WP-DB-säkerhetskopia,
- BackupBuddy,
- och så vidare
Rekommenderad läsning: Native vs plugin - WordPress-säkerhetskopiering med olika metoder
Skapa ett schema och låt pluginet göra resten.
Några av dessa plugins har enkla återställningsalternativ. Kontrollera att plugin-programmet säkerhetskopierar hela webbplatsen, inklusive alla databaser och kataloger. Även om detta inte hindrar WordPress-hack, ger det dig sinnesfrid när du återställer din webbplats om det otänkbara händer.
12. Använd pålitliga källor endast för nedladdningar
Om du har en stram budget (och även om du inte gör det) kan du frestas av möjligheten att få alla funktioner och funktioner i premium-plugins / teman gratis: piratkopierade eller spruckna plugins.
Du kan inte överträffa en hacker om du laddar ner premium grejer från dåligt ansedda eller obehöriga källor - de kommer tillbaka för att bita dig. De är dåligt ansedda eftersom de kommer att fylla dessa legit "premium" plugins / teman med skadlig programvara och låta dig göra resten.
Cracked plugins eller teman innehåller dolda bakdörrar som gör det möjligt för dem att ta kontroll över din webbplats efter behag. Att använda en sådan nedladdning är allt de behöver för att konvertera ditt varumärkes online-utseende till en jätteffisch för förstoringspiller - eller ännu värre, skadlig kod.
Din webbplats blir snabbt svartlistad, även från sökmotorer och webbläsare om den innehåller skadlig kod.
Detta är en känd och mycket populär taktik för hackare.
Piratkopierade teman och plugins är full av bakdörrar och skadlig kod. Detta är en av de enklaste WordPress-säkerhetsproblemen att lösa. Det är bäst att välja ett pålitligt tema från en betrodd källa, som det vi har granskat här: Avada-tema
Piratkopierade, nollade eller knäckta grejer? Bry dig inte.
Du är duktig med officiella teman och plugin -kataloger, så försök att hålla dig till dem. Du kan också lita på källor som ElegantThemes, Temaskog, Code Canyon, etc.
13. Säkra din webbplats genom att se ut som en Pro
En rookie är lättare att hacka.
Det är åtminstone vad de flesta hackare tycker (inte felaktigt).
Ändra alla standardinställningar: inlägg, kommentarer, användarnamn, katalognamn etc.
Det är lättare när du ställer in.
Om du redan har din WordPress igång, gå till Inställningar> Diverse (i dina Admin-kontroller) för att ändra katalognamn. Detta kommer att bli ytterligare ett steg i din enhet för att stoppa WordPress-säkerhetsproblem och göra hackning av din webbplats mycket svårare.
Kom ihåg att dölja vilken version av WordPress du använder radera /wp-admin/install.php samt wp-admin / upgrade.php. Ta det ett steg längre och ta bort det metagenerator-tagg (“”) från wp-content / your_theme_name / header.php. Du borde också ta bort versionsdetaljer från RSS-flöde.
För att göra detta, öppna wp-includes / general-template.php. Runt linje 1860 hittar du detta:
funktion the_generator ($ args) {
echo Apply_filters ('the_generator', get_ the_generator ($ args), $ args). "\ n";
}
Lägg till en hash innan 'eko' kommando och du sorteras.
funktion the_generator ($ args) {
#echo Apply_filters ('the_generator', get_ the_generator ($ args), $ type). "\ n";
}
14. Bra WordPress-säkerhet kräver bra filbehörigheter
Tumregeln är 755 för kataloger och 644 för filer.
Även om detta kan variera beroende på servern och typen av fil i fråga - i de flesta fall bör du arbeta mycket bra med dessa behörigheter.
Det är bäst att be din värd att kontrollera, eller om du har direkt tillgång kan du göra det själv.
För kataloger:
hitta / sökväg / till / din / wordpress / installera / -typ d -exec chmod 755 {} \;
För filer:
hitta / sökväg / till / din / wordpress / installera / -typ f -exec chmod 644 {} \;
15. Säkerhet på webbplatsen: Ställ aldrig in filbehörigheter till 777
Om du menar allvar med att vilja stoppa WordPress -hackare - ställ ALDRIG fil-/katalogtillstånd till 777 unless du vill ge fullständig kontroll över det till alla, inklusive hackare.
Det finns en mycket farlig tendens bland nybörjare att ställa in filbehörigheter till 777, "för att det är enkelt", eller "för att vi fixar det senare", eller "för att jag ändrar det senare".
Detta är extremt farligt - 777 betyder att någon på internet kan ändra innehållet i den filen.
Med dessa behörigheter inställda är din webbplats ett öppet hus. När de har tillgång till en fil, kan du vara säker på att det är väldigt enkelt att hoppa till andra filer eller installera bakdörrar och andra otäcka saker på din webbplats.
Smakämnen WordPress codex har en komplett guide till filbehörigheter: hur man ändrar dem och de rekommenderade behörigheterna för vissa filer.
Du måste balansera säkra din webbplats med funktionalitet, så börja lågt och gradvis öka behörigheterna tills du får rätt. Rätt filbehörighet hjälper säkert till att undvika webbplatshackning. Återigen, detta är en av de enklare WordPress-säkerhetsproblemen att förhindra, du behöver bara vara medveten om det.
16. Tillåt åtkomst till WP-admin och logga in på din IP endast genom IP-filtrering
Ett mycket enkelt, elegant sätt att begränsa åtkomst till inloggningssidan och adminområdet är genom IP-filtrering.
Allt du behöver göra är att lägga till den här koden i .htaccess. Detta förslag kommer med tack till Sucuri, som tillhandahåller en utmärkt WordPress-säkerhetstjänst
Beställ neka, tillåt
Förneka från alla
Tillåt från [Lägg till dina IP-adresser här]
Nu fungerar det bara för statiska IP-adresser, men du kan göra detsamma för dynamiska IP-adresser med detta:
Beställ neka, tillåt
Förneka från alla
Tillåt från [Lägg till ditt domännamn här]
För att begränsa åtkomsten till wp-admin-katalog, lägg till detta till .htaccess:
Beställ neka, tillåt
Förneka från alla
Tillåt från [Lägg till dina IP-adresser här]
Efter domännamn:
Beställ neka, tillåt
Förneka från alla
Tillåt från [Lägg till ditt domännamn här]
källa: blogg.Sucuri.net
17. Säkerhetsinsticksprogram för att blockera WordPress-hack
Även om vi inte brukar förespråka användningen av många plugins, när det gäller WordPress-säkerhetsinsticksprogram, det finns några som du verkligen vill installera för att öka din webbplats motståndskraft.
- iThemes Security Pro - Lyssna, många av ovanstående åtgärder är lite tekniska utan tvekan om det. Vi får det. Om du inte är tekniskt benägen har vi lösningen för dig. iThemes Security är det bästa WordPress -säkerhetspluginet för att säkra och skydda din webbplats.
-
installera WP Security Audit Log plugin - detta är den mest omfattande WordPress-aktivitetsloggplugin. Pluginet håller ett register över allt som händer på din WordPress-webbplats i en revisionslogg (alias WordPress-aktivitetslogg) så att du håller hackare på avstånd. Detta beror på att du kan identifiera deras attackförsök innan de faktiskt hackar in på din WordPress-webbplats, och därmed har tid att omintetgöra deras skadliga handlingar.
Google Authenticator samt Duo tvåfaktorsautentisering är bra val för att lägga till ett extra skydd på din inloggningssida. En auktoriseringskod skickas till din e-post / mobil, utan vilken användaren / hackaren inte kan logga in.
Finns det något bättre än en trevlig grill? Detta plugin blockerar URI-strängar som innehåller eval (bas 64 och andra misstänkt långa strängar för begäran.
Kontrollera ditt tema för skadlig programvara och dolda bakdörrar med detta plugin innan någon utnyttjar dessa svagheter på en annars säker webbplats / blogg.
- Antivirusprogram
Den här är en no-brainer. Genomför frekventa genomsökningar och utrota dem innan de tar tag. Plugins / tjänster som Sucuri, Wordfence, etc. Tidigare nämnda Acunetix Secure WordPress är en annan bra. Utnyttja skannern kommer också att kontrollera din webbplats för skadlig kod.
Om du är intresserad har vi skrivit en bra jämförelse om Sucuri vs Wordfence som jämför dessa två stora pojkar head-to-head.
Den väsentliga checklistan till fullständig webbplatssäkerhet - YouTube-version
Tack till Webucator, en leverantör av WordPress-utbildning, vi har den här checklistan skapad som en video.
Vår nästa del av den här artikeln handlar om att fixa ett WordPress-säkerhetshack när det har hänt.
Webbplats hackad? 7 steg för att helt återställa din webbplats
Sucuri släpper en webbplatshackad trendrapport för varje kvartal. I deras senaste rapporten, de har avslöjat att olika WordPress-utgåvor drev 94% av de webbplatser som hackades under 2019
Hackade WordPress-webbplatser är fortfarande ett verkligt problem. Att vara den mest populära plattformen för att skapa webbplatser är möjligheten att bli hackad betydligt högre för WordPress-webbplatser.
Det är inte förvånande eftersom WordPress är den absolut största plattformen för att skapa nya webbplatser. Så länge WordPress förblir populärt kommer hackare att hitta det lönsamt att leta efter sårbarheter på WordPress-webbplatser. Det är verkligen ett tal.
Och det spelar ingen roll vilka förebyggande åtgärder du vidtar; det är omöjligt att garantera den perfekta säkerheten för någon webbplats. Vad du kan göra är att göra det svårare att hacka så att de som letar efter låghängande frukt inte stör eller inte lyckas hacka den.
I den här handledningen kommer vi att presentera dig för 7 steg du bör ta för att fixa en WordPress-hackad webbplats.
Innan vi börjar proceduren, låt oss ta reda på vad som orsakar problemet i första hand. I allmänhet finns det två typer av sårbarheter:
- Vanliga sårbarheter och
- Säkerhetsproblem.
Låt oss titta närmare på varje typ. Båda typerna kan utnyttjas av hackare.
Innan du börjar - att återställa en hackad webbplats är inte något som kan utföras av människor utan tillräcklig kunskap. Det är mycket tillrådligt att be om hjälp från WordPress-utvecklare som är mycket skickliga innan du försöker göra det om du inte känner dig bekväm.
Vanliga sårbarheter som resulterar i hackade WordPress-webbplatser
De vanliga sårbarheterna kan komma från antingen din lokala maskin eller från värdleverantören. De flesta av oss är förmodligen bekanta med denna typ av problem.
Dessa problem kan uppstå om din dator eller ditt lokala nätverk äventyras. När hackare får åtkomst till din dator eller nätverket kan de enkelt rikta in sig på en webbplats du äger - med resultatet blir en komprometterad eller hackad WordPress-webbplats.
Du kan undvika dessa situationer genom att använda tillförlitliga skanningsverktyg för antivirus och malware. Du måste tillämpa sunt förnuft när du använder internet. Comodo och skadlig programvarabytes har några praktiska tips för att hålla din dator säker från hackare. De flesta av dessa är ganska sunt förnuft om du tänker på dem, till exempel att hålla programvara uppdaterad för både ditt fungerande skrivbord och kringutrustning som din internetrouter.
Den andra typen av sårbarhet kan uppstå från din webbhotell, särskilt om du använder ett delat webbhotellpaket. Som du kanske vet delar ett delat värdpaket servern bland många användare.
Om någon av dessa användare inte följer de bästa metoderna hotas hela servern. Naturligtvis är det mycket osannolikt att i ett delat värdscenario kommer alla användare att använda god säkerhetspraxis, så delade värdpaket är per definition riskabla.
I vissa fall komprometteras en webbplats i ett delat webbhotellpaket och det gör det möjligt för hackaren att flytta i sidled eller hoppa till andra webbplatser på samma server. I det här fallet måste du rådgöra med din webbhotell, och de kommer att vidta nödvändiga steg.
Det betyder att även om din webbplats är fullständigt uppdaterad och skyddad kan du ändå få en WordPress-hackad webbplats.
Förresten, om du letar efter en mycket säker webbhotell, bör du på allvar överväga att läsa vår InMotion värdgranskning - vi känner oss mycket väl skyddade på den här tjänsten.
Nu när vi har identifierat de vanliga sårbarheterna, låt oss ta en titt på säkerhetsaspekterna.
Hackad genom sårbarheter
Det finns flera typer av säkerhetsproblem för WordPress. Vi kommer att prata om de som är vanligast:
Svaga användarnamn / lösenordskombinationer
Vi behöver inte berätta om vikten av att använda ett säkert lösenord. Sedan version 3.0 har WordPress i sig lagt mer fokus på att tvinga användare att använda ett starkt lösenord, till exempel finns det en inbyggd lösenordsstyrningsdetekteringsfunktion i admin-instrumentpanelen.
Tumregeln är att du aldrig ska använda något förutsägbart användarnamn (t.ex. admin) och alltid använda starka lösenord. Dessa kommer att göra det svårare för hackare att komma åt din webbplats.
Tema / plugin buggar och sårbarheter
Även om det är en bästa praxis att använda välkända teman och plugins, kan ibland populära produkter ha en dold säkerhetsfel för. Om det händer kommer du antagligen att höra om detta på populära IT-nyhetsbloggar och andra källor till WordPress-säkerhetsinformation.
Du kommer dock förmodligen att vara säkrare om du ser till att du bara använder betrodda teman eller plugins - eftersom du snabbt kan uppdatera till en lappad version. Kolla in recensioner, betyg, antal nedladdningar etc. för att analysera tillförlitligheten.
Och aldrig använd piratkopierade eller nollställda teman eller plugins. Det är ett känt faktum att de flesta av dessa innehåller skadlig kod, vilket skapar en bakdörr på din webbplats. Detta är bokstavligen ett sätt att ha fullständigt fjärrkommando på din webbplats.
I verkligheten, om du använder ett knäckt, piratkopierat eller nollställt tema eller plugin, är din webbplats redan hackad. Du kommer att använda en webbplats som plötsligt börjar göra konstiga saker som att visa tvivelaktiga länkar, distribuera skadlig kod eller till och med vara en del av DDoS-attacker.
Vad du tycker är gratis kommer att kosta dig mycket mer än du förväntar dig.
Uppdaterar inte WP-kärnan, teman eller plugins
Att använda en föråldrad version av WordPress-kärnan, teman eller plugins är en annan viktig orsak till intrång som kommer att resultera i hackade webbplatser. De flesta uppdateringar inkluderar kod som fixar säkerheten och prestandan på din webbplats. Därför är det nödvändigt att du uppdaterar din webbplats, teman och plugins så snart de är tillgängliga. Se till att du utför en fullständig säkerhetskopiering av webbplatsen innan du uppdaterar.
Vad ska jag göra när din WordPress hackas?
Även om du kanske har vidtagit åtgärder för att mildra riskerna kan du fortfarande ha blivit offer för WordPress-hacking.
Var inte panik och följ stegen som beskrivs nedan.
1. Identifiera typen av hack
Lösningen för att få tillbaka din webbplats beror på typen av WordPress-hack. Det betyder att det första steget är att definiera typen.
Här är de frågor du bör ställa för att göra det:
- Kan du komma åt administratörssektionen?
- Omdirigeras din webbplats till en annan webbplats?
- Finns det några okända länkar på din webbplats?
- Varnar Google besökarna om din webbplats?
- Har din värdleverantör informerat dig om att din webbplats ser misstänksam ut?
- Visar din webbplats okända annonser i sidhuvudet, sidfoten eller andra avsnitt?
- Visas det några oönskade popup-fönster?
- Finns det en oväntad höjning av bandbreddsanvändningen?
Gå igenom frågorna en efter en och försök ta reda på svaren för var och en av dem. Detta hjälper dig att hitta det bästa alternativet för att återfå kontrollen över din hackade WordPress-webbplats.
2. Försök att återställa från säkerhetskopiering
Om du följer de bästa metoderna bör du ha säkerhetskopior varje dag, vecka eller månad av din webbplats. Säkerhetskopieringsfrekvensen beror på hur ofta du publicerar eller gör ändringar på din webbplats.
När du tar regelbundna säkerhetskopior är det lika enkelt att återställa din hackade WordPress-webbplats som att återställa den senaste säkerhetskopian. Om du har skapat ett automatiskt säkerhetskopieringsschema, ta reda på den senaste säkerhetskopian innan din webbplats hackades och återställ den versionen.
Du måste sedan se till att du uppdaterar plugins, teman eller något som inte hade uppdaterats.
Vad händer om du inte tar säkerhetskopior av din webbplats? Betyder det att du har tappat din webbplats för alltid?
Nej faktiskt.
Det finns också andra alternativ. De mest kända värdtjänsterna håller regelbundna säkerhetskopior av sina klientsidor. Fråga din webbhotell om de har en säkerhetskopia. Om de har det kan du be dem att återställa din webbplats från den senaste stabila säkerhetskopian.
Om det inte finns någon säkerhetskopia måste du gå igenom en procedur för rengöring av din hackade WordPress-webbplats som vi visar nedan.
3. Sök hjälp från din webbhotell
Mer än 40% av hackade webbplatser hade viss säkerhetsproblem på värdplattformen. Därför kan det vara en bra idé att be din värdleverantör att hjälpa dig att få tillbaka din webbplats när du hackar din WordPress.
Alla tillförlitliga webbhotell företag bör vara villiga att hjälpa dig i dessa fall. De anställer yrkesverksamma som hanterar dessa situationer varje dag. De är mycket bekanta med värdmiljön och har tillgång till avancerade webbplatsskanningsverktyg.
Därför kommer de att kunna hjälpa dig att återställa de vanligaste attackerna på webbplatsens hacking. Om hacket härstammar från servern skulle ditt webbhotell kunna hjälpa dig att komma tillbaka till webbplatsen.
4. Sök efter skadlig programvara
I många fall får hackare tillgång till din webbplats genom att använda bakdörrar. Bakdörrar skapar obehöriga ingångspunkter till din webbplats. När du använder bakdörrar kan hackare komma åt din webbplats utan att behöva någon inloggningsinformation och förblir praktiskt taget oupptäckta.
Här är några vanliga platser för bakdörrarna som du behöver kontrollera om din webbplats har hackats -
- teman: De flesta hackare föredrar att placera bakdörren i ett av dina inaktiva teman. Genom att göra detta kommer de fortfarande att ha tillgång till din webbplats även om du håller den uppdaterad regelbundet. Det är därför det är viktigt att ta bort alla dina inaktiva teman.
- Insticksprogram: Plugin-mappen är en annan potentiell plats för att dölja den skadliga koden. Det finns flera orsaker till det. Först och främst tänker de flesta aldrig på att kontrollera plugin-filerna. De föredrar också att inte uppdatera plugin-programmen så länge de fungerar. Dessutom finns det några dåligt kodade plugins som kan utnyttjas för att få obehörig åtkomst till någon WP-webbplats.
- Överför mapp: I de flesta scenarier behöver du aldrig bry dig om att kontrollera uppladdningsmappen, eftersom den mappen bara innehåller de filer du laddade upp. Vissa hackare föredrar dock den här mappen eftersom de enkelt kan dölja den skadliga filen bland hundratals eller tusentals filer som sprids i olika mappar. Eftersom mappen är skrivbar, tjänar den också deras syfte.
- Inkluderar mapp: Det här är en annan mapp som ofta ignoreras av de flesta användare. Som ett resultat placerar hackare bakdörren i den här mappen och får fullständig tillgång till din webbplats.
- wp-config.php-fil: Det är mycket vanligt att hitta skadlig kod som gömmer sig i den här filen. Eftersom filen är mycket välkänd undviker sofistikerade hackare att använda den här filen.
Gillar du inte att göra dina händer smutsiga med skadliga skript? Prova iThemes security och låt det göra det smutsiga arbetet.
Det enda sättet att bli av med bakdörren är att ta bort den skadliga koden från webbplatsen. Det finns flera plugins som låter dig skanna din webbplats efter skadlig kod.
Bland dem är följande premium-plugins bra val: iThemes Security, Sucuri Säkerhet, WPMUDev Defender är fantastiska alternativ.
Följande är också bra alternativ, men tänk på att båda inte har uppdaterats på mer än tre år från och med uppdateringen av denna artikel. Det betyder att de kanske inte är lika tillförlitliga som de brukade vara: Utnyttja skannernoch Tema Autenticitetskontroll.
Du kan använda dessa gratis plugins för att upptäcka oönskade förändringar i teman, plugins och kärnfiler på din webbplats. Men om du menar allvar med att fixa din webbplats rekommenderar vi starkt att du väljer en av premiumprodukterna.
De kommer att vara mer uppdaterade och mer pålitliga i allmänhet än någon av de gratis produkterna.
Om plugins hittar någon misstänkt fil, ta en fullständig säkerhetskopia och ta bort filen eller se vilken åtgärdsfunktion plugin föreslår. Om du tar en säkerhetskopia, se till att du noterar att du tar en säkerhetskopia av en hackad webbplats.
Och om ett tema eller plugin äventyras, ta bort det från din webbplats. Ladda ner den senaste kopian och ladda upp den till din webbplats.
Om ändringen upptäcks i någon av kärnfilerna bör du ladda ner en ny installation av WordPress och utföra en manuell uppdatering (dvs. skriva över alla filer med de nya).
Alternativt kan du ladda ner en ny kopia av den WordPress-version du är för närvarande och ersätta endast de komprometterade filerna.
5. Kontrollera WordPress-användare
Det är troligt att du har flera användare på din webbplats. Som du redan vet har de olika funktioner baserat på deras användarroll.
Ibland skapar WordPress-hackare en ny användare med nödvändiga behörigheter så att de kan logga in på din webbplats även om de tappar bakdörren.
Eller så kan de faktiskt använda ett användarnamn som har ett svagt lösenord för att hacka din webbplats.
För att förhindra att detta händer, gå till Inställningar> Användare från instrumentpanelen. Granska alla användare och deras roller. Återställ också ALLA lösenord för ALLA användare.
Viktigast, se till att inget obehörigt konto har administratörsrollen. Vid osäkra konton, ta bort dem direkt. Om de är giltiga användare kan du alltid återskapa kontona senare.
Här är några fler bästa metoder att följa:
- Använd aldrig 'admin' användarnamnet på din webbplats. Om du redan har det användarnamnet, ändra det så snart som möjligt. Undvik också att använda något vanligt användarnamn som hackare kan gissa.
- Använd tvåfaktorautentisering för att förhindra obehörig åtkomst till din webbplats.
- Integrera CAPTCHA eller reCaptcha på dina inloggningsformulär Integrera CAPTCHA eller reCaptcha på dina inloggningsformulär. Detta är ett effektivt sätt att förhindra bots eller automatiserade skript från att komma åt din webbplats.
6. Ändra de hemliga nycklarna
Secret Keys är en praktisk säkerhetsfunktion i WordPress.
Dessa nycklar innehåller slumpmässigt genererad text som hjälper till att kryptera informationen som sparas i cookies. Du bör använda proceduren nedan för att kontrollera om du har dem på din webbplats. Om du inte har dem kan du skapa dem.
Även om du redan har dem, om din webbplats har hackats, är det nu en bra tid att ändra dem.
Generera först och främst en uppsättning hemliga nycklar med denna länk. Den slumpmässiga kodgeneratorn skapar en ny uppsättning unika koder varje gång du uppdaterar sidan.
Gå nu till din webbplats och öppna wp-config.php fil. Kör mot linje 49 så ser du något av följande. Linjenumret kan variera beroende på din fil, men du måste ta reda på följande avsnitt:
Kopiera och klistra in värdet från de du just har skapat i länken ovan. Spara filen. Detta återställer alla cookies och alla inloggade användare, så om du var inloggad på administratören kommer du att bli ombedd att logga in igen.
7. Ändra ALLA dina lösenord
Detta är ett vanligt men kritiskt steg för att återställa en hackad WordPress-webbplats - återställ alla dina lösenord. De vanliga lösenorden inkluderar WP admin, cPanel, MySQL, FTP, etc.
Återställ alla dessa lösenord tillsammans med lösenorden för någon tredje parts tjänst som du använder på webbplatsen.
Så här ändrar du lösenorden:
- För att ändra lösenordet, gå till Användare> Din profil från instrumentpanelen. Du hittar det nya lösenordsfältet i avsnittet 'Kontohantering'.
- För att ändra lösenord för cPanel, MySQL, FTP, logga in på kontrollpanelen på ditt värdkonto och följ de tillgängliga alternativen. Om du är förvirrad, kontakta värdtjänsten för att få hjälp.
När du återställer eller ändrar lösenorden, se till att du nu använder ett starkt lösenord. Du bör också tvinga dina befintliga användare att utföra en lösenordsåterställning för sina konton.
Du kan använda plugin Återställning av nödlösenord för att tvinga en återställning av lösenord för alla användare.
Framtida steg för att undvika att bli hackad
Medan stegen som nämns ovan hjälper dig att återställa din webbplats, bör du betrakta detta som ett varningstecken. Här är några viktiga steg du bör ta för att se till att din webbplats förblir skyddad i framtiden från andra WordPress-hackförsök:
Skapa ett reservschema
Som du inser nu är det avgörande att ha regelbundna säkerhetskopior av din webbplats. Säkerhetskopior kan spara dig om din webbplats har hackats. Flera säkerhetskopior är ännu bättre eftersom de låter dig gå tillbaka i tiden till en ögonblicksbild av webbplatsen innan hacket hände.
Lyckligtvis behöver du inte göra detta manuellt. Det finns massor av gratis och premiumplugins som hjälper dig att hålla regelbundna säkerhetskopior av din webbplats. UpdraftPlus är ett populärt backup-plugin, medan BackupBuddy och Jetpack är några starkt rekommenderade premium backup-lösningar.
Uppdatera allt
Vi antar att vi inte behöver betona vikten av att hålla din webbplats uppdaterad. Du bör uppdatera WordPress-kärnan, aktiva teman, plugins och allt annat det finns möjlighet att uppdatera. Se till att du också raderar oanvända teman och plugins.
Konfigurera ett säkerhetsplugin
Om du vill förbättra säkerheten på din webbplats bör du använda ett härdande plugin som iThemes Security, Wordfence Security eller Defender. Dessa plugins hjälper dig att skapa en brandvägg så att du kan förhindra skadlig trafik, blockera angripare och hantera andra hot. Du kan också överväga att installera en fullständig brandvägg för webbapplikationer som Sucuri-brandvägg.
Tänk på ett Managed Hosting
När du väljer ett hanterat webbhotell hanterar de säkerheten, underhållet, prestandan och andra problem för din webbplats. Det betyder att du inte behöver oroa dig för alla dessa steg. Några pålitliga leverantörer av hanterade webbhotell inkluderar InMotion, WPEngineoch Kinsta.
Limit Login Attempts
Som standard tillåter WordPress vem som helst att prova obegränsade lösenord för alla konton. Detta leder till brutala kraftattacker och möjliga sårbarheter på webbplatsen. Lyckligtvis finns det några gratis plugins som Logga in Lockdown samt Loginizer-säkerhet för att hjälpa dig att begränsa inloggningsförsöken.
Inaktivera PHP-körning
I de flesta fall skapar hackare bakdörrar genom att skapa PHP-filer som ser ut som kärnfiler. Du kan förhindra dessa hot genom att inaktivera PHP-körning i relevanta kataloger, som uppladdningar och inkluderingsmapp. Här är en steg-för-steg handledning att göra det.
Lägg till extra lösenord för administratör
Ett annat praktiskt knep för att skydda din webbplats är att använda ett extra lösenord för att komma åt administratörssektionen. Detta är väldigt enkelt att göra i cPanel. Följ denna handledning för att lägga till lösenordet i din WP-administratör.
Föredrar du video? Titta på den här videon från Sucuri
Om du har lite tid att gå igenom följande video som kan hjälpa dig att identifiera WordPress-hackade webbplatser och hur du fixar dem. Vi har nämnt Sucuri några gånger i den här artikeln, den här videon från Sucuri är en ganska fullständig bild av hackade webbplatser.
Slutord: hur du fixar din hackade webbplats
Att vara offer för WordPress-hackad webbplats är en hemsk upplevelse, speciellt om det här är första gången. Nu när du har läst den här artikeln bör du dock ha en tydlig uppfattning om nödvändiga steg för att få tillbaka din hackade webbplats.
Boka gärna och dela den här artikeln så att andra också kan veta om stegen.
Bottom Line
Om du är förvirrad, gå bara till en hanterad webbhotelllösning och låt någon annan hantera det åt dig.
Detta är bara början. När nätet fortsätter att utvecklas kommer också hackarna och deras försök att infiltrera din webbplats och chucka dig ut. Håll dig ett steg före genom att lära dig mer om ditt vänliga CMS och hålla koll på uppdateringar och din vistelse på WordPress-säkerheten - detta kommer säkert att säkerställa att du förhindrar webbplatshackning.
Håll dig säker.
Behöver du hjälp med att rengöra din webbplats? Prova dessa topprankade prisvärda spelningar på Fiverr!
Klicka här att hitta experter på WordPress-säkerhet.
Klicka här att skapa en hela WordPress-webbplatsen.
Tveka inte, lämna en användbara kommentera med dina tankar, dela sedan detta på din Facebook-grupp (er) som skulle tycka att det var användbart och låt oss skörda fördelarna tillsammans. Tack för att du delade och var trevlig!
Upplysningar: Denna sida kan innehålla länkar till externa webbplatser för produkter som vi älskar och rekommenderar helhjärtat. Om du köper produkter vi föreslår kan vi tjäna en remissavgift. Sådana avgifter påverkar inte våra rekommendationer och vi accepterar inte betalningar för positiva recensioner.
och många fler ...