Hardening WordPress Security 25 ปลั๊กอินสำคัญ + เคล็ดลับ

หากคุณใช้งานเว็บไซต์ที่ใช้ WordPress ความปลอดภัยควรเป็นความกังวลหลักของคุณ ในกรณีส่วนใหญ่บล็อก WordPress มักถูกบุกรุกเนื่องจากไฟล์หลักและ / หรือปลั๊กอินล้าสมัย ไฟล์ที่ล้าสมัยนั้นสามารถติดตามได้และเป็นคำเชิญที่เปิดให้แฮกเกอร์.

จะทำให้คุณบล็อกห่างจากคนเลวอย่างไรให้ดี? สำหรับผู้เริ่มต้นตรวจสอบให้แน่ใจว่าคุณได้รับการอัปเดตด้วย WordPress เวอร์ชันล่าสุดเสมอ แต่ยังมีอีกมากมาย ในโพสต์วันนี้ฉันจะแบ่งปันปลั๊กอินที่มีประโยชน์กับคุณและเคล็ดลับในการรักษาความปลอดภัย WordPress ของคุณ.

รายการทั้งหมดหลังจากกระโดด!

ปลั๊กอินเพื่อความปลอดภัยที่ดีขึ้น

สำรอง WP DBWP DB Backup เป็นปลั๊กอินที่ใช้งานง่ายซึ่งช่วยให้คุณสำรองข้อมูลตารางฐานข้อมูล WordPress หลักของคุณได้ด้วยการคลิกเพียงไม่กี่ครั้ง นอกจากนี้ยังเป็นเรื่องง่ายมากมันเป็นปลั๊กอินที่ใช้มากที่สุดตัวหนึ่งในการสร้างความปลอดภัยให้เว็บไซต์ของคุณ.

WP Security Scanด้วยปลั๊กอินนี้การสแกนเว็บไซต์ที่ใช้ WordPress ของคุณจะเป็นงานง่าย ค้นหาช่องโหว่ในไซต์ของคุณและเสนอเคล็ดลับที่เป็นประโยชน์ในการลบออก.

ถาม Apache Password Protectปลั๊กอินนี้ไม่ได้ควบคุม WordPress หรือยุ่งกับฐานข้อมูลของคุณ แต่ใช้คุณสมบัติความปลอดภัยในตัวที่รวดเร็วและพยายามจริงเพื่อเพิ่มความปลอดภัยหลายชั้นให้กับบล็อกของคุณ.

เข้าสู่ระบบชิงทรัพย์ปลั๊กอินเข้าสู่ระบบ Stealth จะช่วยให้คุณสร้างที่อยู่ URL ที่กำหนดเองสำหรับการเข้าสู่ระบบการลงทะเบียนและออกจากระบบของ WordPress.

ล็อคเข้าสู่ระบบการล็อคเข้าสู่ระบบจะช่วยให้คุณล็อคความพยายามเป็นระยะเวลาหนึ่งในการเข้าสู่แผงการดูแลระบบของคุณหลังจากพยายามหลายครั้ง.

WP-DB Managerนี่เป็นอีกหนึ่งปลั๊กอินที่ยอดเยี่ยมที่ช่วยให้คุณจัดการฐานข้อมูล WP ของคุณ มันสามารถใช้เป็นทางเลือกแทน WordPress Backup Manager.

ปลั๊กอินการรักษาความปลอดภัย SSL ของผู้ดูแลระบบปลั๊กอินอื่นสำหรับทำให้แผงผู้ดูแลระบบของคุณปลอดภัย มันทำหน้าที่ในการเข้ารหัส SSL และมีประโยชน์ต่อแฮกเกอร์หรือผู้ที่พยายามเข้าถึงแผงควบคุมของคุณโดยไม่ได้รับอนุญาต มันเป็นคู่ปรับสำหรับปลั๊กอินการรักษาความปลอดภัยของ Chap.

ล็อกเกอร์ผู้ใช้หากคุณต้องการหลีกเลี่ยงการแฮ็คกำลังดุร้ายเว็บไซต์ของคุณปลั๊กอิน User Locker นั้นเหมาะสำหรับคุณ มันทำงานบนระบบเดียวกันกับ Login Lockdown อย่างไรก็ตามมันเป็นปลั๊กอิน WP ระดับ 5 ดาวที่มีชื่อเสียงในหมู่ผู้ใช้.

จำกัด ความพยายามเข้าสู่ระบบจำกัด ความพยายามในการเข้าสู่ระบบบล็อกที่อยู่อินเทอร์เน็ตไม่ให้พยายามต่อไปหลังจากถึงขีด จำกัด ที่ระบุในการลองใหม่ทำให้การโจมตีด้วยกำลังดุร้ายยากหรือเป็นไปไม่ได้.

การเข้ารหัสการเข้าสู่ระบบเข้าสู่ระบบเข้ารหัสลับเป็นปลั๊กอินรักษาความปลอดภัย มันใช้การผสมผสานที่ซับซ้อนของ DES และ RSA เพื่อเข้ารหัสและรักษาความปลอดภัยของกระบวนการเข้าสู่แผงการดูแลระบบ.

รหัสผ่านครั้งเดียวปลั๊กอินที่ไม่ซ้ำกันนี้จะช่วยให้คุณตั้งรหัสผ่านครั้งเดียวสำหรับการเข้าสู่ระบบของคุณเพื่อป้องกันการบันทึกของผู้ใช้ที่ไม่ต้องการจากอินเทอร์เน็ตคาเฟ่หรือเช่น.

ป้องกันไวรัสAntivirus เป็นปลั๊กอินความปลอดภัยที่ได้รับความนิยมซึ่งจะช่วยให้บล็อกของคุณปลอดภัยจากบอทไวรัสและมัลแวร์.

พฤติกรรมที่ไม่ดีBad Behavior คือปลั๊กอินที่ช่วยให้คุณต่อสู้กับสแปมเมอร์ที่น่ารำคาญเหล่านั้น ปลั๊กอินจะไม่เพียง แต่ช่วยคุณป้องกันข้อความสแปมในบล็อกของคุณ แต่ยังจะพยายาม จำกัด การเข้าถึงบล็อกของคุณเพื่อให้พวกเขาไม่สามารถอ่านได้.

ใช้ประโยชน์จากสแกนเนอร์ค้นหาไฟล์และฐานข้อมูลของการติดตั้ง WordPress ของคุณเพื่อหาสัญญาณที่อาจบ่งบอกว่าไฟล์หรือฐานข้อมูลตกเป็นเหยื่อแฮกเกอร์ที่เป็นอันตราย แม้ว่าจะเป็นปลั๊กอินสแกนอีกอัน แต่ก็คุ้มค่าที่จะลอง.

ผู้ใช้กำจัดอีเมลขยะชื่อของปลั๊กอินจะบอกถึงฟังก์ชั่นซึ่งเป็นปลั๊กอินยอดนิยมที่จะช่วยคุณป้องกันและลบข้อความสแปมที่ไม่ต้องการ.

บล็อกแบบสอบถามที่ไม่ดี ปลั๊กอินนี้พยายามบล็อกคำค้นหาที่เป็นอันตรายทั้งหมดที่พยายามทำบนเซิร์ฟเวอร์และบล็อก WordPress ของคุณ มันทำงานในพื้นหลังตรวจสอบสตริงคำขอที่ยาวเกินไป (นั่นคือมากกว่า 255 ตัวอักษร) รวมถึงการปรากฏตัวของ "EVAL (" หรือ "base64" ในคำขอ URI.

8 เคล็ดลับที่จำเป็น

การเปลี่ยนคำนำหน้า "wp_" เริ่มต้น

เว็บไซต์ของคุณอาจเสี่ยงหากคุณใช้คำนำหน้า wp_ ที่คาดการณ์ได้ในฐานข้อมูลของคุณ บทช่วยสอนต่อไปนี้สอนวิธีการเปลี่ยนแปลงผ่าน phpMyAdmin ใน 5 ขั้นตอนง่ายๆ.

คุณสามารถทำสิ่งนี้ได้ด้วยปลั๊กอิน WP Security Scan.

ซ่อนข้อความแสดงข้อผิดพลาดเข้าสู่ระบบ

ข้อความแสดงข้อผิดพลาดอาจเปิดเผยและให้แนวคิดแก่แฮกเกอร์หากพวกเขาได้รับชื่อผู้ใช้ที่ถูกต้อง / ไม่ถูกต้องในทางกลับกัน เป็นการดีที่จะซ่อนจากการเข้าสู่ระบบที่ไม่ได้รับอนุญาต.

เพื่อซ่อนข้อความแสดงข้อผิดพลาดเข้าสู่ระบบเพียงแค่ใส่รหัสต่อไปนี้ใน functions.php

add_filter ('login_errors', create_function ('$ a', "return null;"));

[ที่มา]

รักษาไดเรกทอรี wp-admin ไว้

การรักษาโฟลเดอร์ "wp-admin" ที่ได้รับการป้องกันจะเพิ่มการปกป้องอีกชั้นหนึ่ง ผู้ใดก็ตามที่พยายามเข้าถึงไฟล์หรือไดเรกทอรีหลังจาก "wp-admin" จะได้รับแจ้งให้ลงชื่อเข้าใช้.

การปกป้องโฟลเดอร์ "wp-admin" ของคุณด้วยการเข้าสู่ระบบและรหัสผ่านสามารถทำได้หลายวิธี:

• ปลั๊กอิน WordPress - การใช้ปลั๊กอินป้องกันรหัสผ่าน AskApache ของ WordPress.
• cPanel - หากโฮสติ้งของคุณรองรับการเข้าสู่ระบบของผู้ดูแลระบบ cPanel คุณสามารถตั้งค่าการป้องกันในโฟลเดอร์ใด ๆ ได้อย่างง่ายดายผ่านทาง cPanel ไดเรกทอรีป้องกันรหัสผ่าน ส่วนต่อประสานกราฟิกกับผู้ใช้ ค้นหาเพิ่มเติมจากบทช่วยสอนนี้.
• .htaccess + htpasswd - การสร้างโฟลเดอร์ที่ป้องกันด้วยรหัสผ่านสามารถทำได้อย่างง่ายดายโดยการตั้งค่าโฟลเดอร์ที่คุณต้องการป้องกันภายใน .htaccess และผู้ใช้ได้รับอนุญาตให้เข้าถึงภายใน .htpasswd. บทช่วยสอนต่อไปนี้แสดงวิธีดำเนินการใน 7 ขั้นตอน.

การบำรุงรักษาข้อมูลสำรอง

การเก็บสำเนาสำรองของบล็อก WordPress ทั้งหมดของคุณมีความสำคัญเท่ากับการทำให้ไซต์ปลอดภัยจากแฮกเกอร์ หากหลังล้มเหลวอย่างน้อยคุณก็ยังคงมีไฟล์สำรองข้อมูลที่สะอาดที่จะเปลี่ยนกลับ.

ก่อนหน้านี้เราได้กล่าวถึงรายการโซลูชั่นเพื่อสำรองไฟล์และฐานข้อมูล WordPress ของคุณรวมถึงปลั๊กอินที่มีประโยชน์และบริการสำรองข้อมูล.

ป้องกันการเรียกดูไดเรกทอรี

ช่องโหว่ความปลอดภัยที่สำคัญอีกประการหนึ่งคือการเปิดไดเรกทอรีของคุณ (และไฟล์ทั้งหมด) ให้ประชาชนทั่วไปเข้าถึงได้ นี่คือการทดสอบง่ายๆเพื่อตรวจสอบว่าไดเรกทอรี WordPress ของคุณได้รับการปกป้องอย่างดี:

• ป้อน URL ต่อไปนี้ในเบราว์เซอร์โดยไม่มีเครื่องหมายคำพูด "http://www.domain.com/wp-includes/"

ถ้ามันว่างเปล่าหรือเปลี่ยนเส้นทางคุณกลับไปที่หน้าแรกคุณจะปลอดภัย อย่างไรก็ตามหากคุณเห็นหน้าจอคล้ายกับภาพด้านล่างคุณจะไม่.

เพื่อป้องกันการเข้าถึงไดเรกทอรีทั้งหมดให้วางรหัสนี้ไว้ใน .htaccess ไฟล์.

# ป้องกันตัวเลือกการเรียกดูโฟลเดอร์ทั้งหมด - ดัชนี

อัปเดตไฟล์หลัก & ปลั๊กอินของ WordPress อยู่เสมอ

วิธีที่ปลอดภัยที่สุดวิธีหนึ่งในการทำให้ไซต์ WordPress ของคุณปลอดภัยคือการทำให้แน่ใจว่าไฟล์ของคุณได้รับการอัพเดตเป็นรุ่นล่าสุดเสมอ ต่อไปนี้เป็นสองวิธี (การปฏิบัติ) ที่คุณสามารถทำได้:

• เข้าสู่แดชบอร์ดบ่อยครั้ง - การแจ้งเตือนสีเหลืองจะปรากฏที่ด้านบนของแดชบอร์ดหากมีการอัปเดต เข้าสู่ระบบบ่อยครั้งและอัปเดตตัวคุณเองเป็นไฟล์หลักของเวิร์ดเพรสล่าสุด.
• ปิดใช้งานและลบปลั๊กอินที่ไม่ได้ใช้ - ปลั๊กอินที่ไม่ได้ใช้ในที่สุดจะล้าสมัยและอาจมีความเสี่ยงด้านความปลอดภัย หากคุณไม่ได้ใช้งานให้ลบทิ้ง.
• สมัครสมาชิก WordPress เผยแพร่ RSS.

เลือกรหัสผ่านที่แข็งแกร่ง

รหัสผ่านของคุณปลอดภัยหรือไม่ รหัสผ่านที่รัดกุมและปลอดภัยนั้นเป็นอะไรที่มากกว่าตัวเลขที่น่าจดจำ (เช่น john123) สำหรับผู้เริ่มต้นนั้นควรประกอบด้วยอักขระมากกว่า 12 ตัวพร้อมตัวเลขและตัวอักษรผสมกันเป็นตัวพิมพ์เล็กและตัวพิมพ์ใหญ่.

นี่คือแอปพลิเคชั่นบางตัวที่อนุญาตให้คุณสร้างรหัสผ่านที่คาดเดายาก:

• GoodPassword
• Multicians
• KeePass
• LastPass
• PCTools
• 1Password

หรือคุณสามารถตรวจสอบว่ารหัสผ่านปัจจุบันของคุณแข็งแรงแค่ไหนและปลอดภัยแค่ไหนกับ howsecureismypassword.net.

ลบผู้ใช้ผู้ดูแลระบบ

การติดตั้ง WordPress โดยทั่วไปนั้นมาพร้อมกับผู้ใช้เริ่มต้นที่ชื่อ "admin" หากนั่นคือชื่อผู้ใช้ไปยังไซต์ WordPress ของคุณแสดงว่าชีวิตของแฮ็คเกอร์ง่ายขึ้น 50% ควรหลีกเลี่ยงการใช้ผู้ใช้ "admin" ตลอดเวลา.

แนวทางที่ปลอดภัยยิ่งขึ้นในการเข้าสู่ระบบผู้ดูแลระบบของคุณอย่างปลอดภัยคือการสร้างผู้ดูแลระบบใหม่และลบ "ผู้ดูแลระบบ" ออก และนี่คือวิธีที่คุณทำ:

1. เข้าสู่ระบบไปยังแผง admin WordPress
2. ไปที่ ผู้ใช้ -> เพิ่มใหม่
3. เพิ่มผู้ใช้ใหม่ด้วย ผู้บริหาร บทบาทตรวจสอบให้แน่ใจว่าคุณใช้รหัสผ่านที่คาดเดายาก.
4. ออกจากระบบของ WordPress อีกครั้งเข้าสู่ระบบด้วยผู้ใช้ผู้ดูแลระบบใหม่ของคุณ.
5. ไปที่ ผู้ใช้
6. ลบผู้ใช้ "admin"
7. หาก "ผู้ดูแลระบบ" มีโพสต์โปรดอย่าลืมกำหนดโพสต์และลิงก์ทั้งหมดกลับไปยังผู้ใช้ใหม่.

ทรัพยากรที่มีประโยชน์เพิ่มเติม:

• ชุบแข็ง WordPress (WordPress)
• คำถามที่พบบ่อยเกี่ยวกับความปลอดภัยของ WordPress (WordPress)
• จะทำอย่างไรถ้าไซต์ของคุณถูกแฮ็ก (WordPress)
• ทำความเข้าใจ. htaccess และ. htpasswd (Apache)
• ทำความเข้าใจ. htaccess และ. htpasswd (Javascriptkit.com)
• การปกป้องไดเร็กทอรี wp-admin (nicolaskuttler.com)
• การทำความสะอาดการติดตั้ง WordPress ที่แฮ็ก (Blogsblogsblogs.com)