Hardening WordPress Security 25 ปลั๊กอินสำคัญ + เคล็ดลับ
หากคุณใช้งานเว็บไซต์ที่ใช้ WordPress ความปลอดภัยควรเป็นความกังวลหลักของคุณ ในกรณีส่วนใหญ่บล็อก WordPress มักถูกบุกรุกเนื่องจากไฟล์หลักและ / หรือปลั๊กอินล้าสมัย ไฟล์ที่ล้าสมัยนั้นสามารถติดตามได้และเป็นคำเชิญที่เปิดให้แฮกเกอร์.
จะทำให้คุณบล็อกห่างจากคนเลวอย่างไรให้ดี? สำหรับผู้เริ่มต้นตรวจสอบให้แน่ใจว่าคุณได้รับการอัปเดตด้วย WordPress เวอร์ชันล่าสุดเสมอ แต่ยังมีอีกมากมาย ในโพสต์วันนี้ฉันจะแบ่งปันปลั๊กอินที่มีประโยชน์กับคุณและเคล็ดลับในการรักษาความปลอดภัย WordPress ของคุณ.
รายการทั้งหมดหลังจากกระโดด!
ปลั๊กอินเพื่อความปลอดภัยที่ดีขึ้น
สำรอง WP DBWP DB Backup เป็นปลั๊กอินที่ใช้งานง่ายซึ่งช่วยให้คุณสำรองข้อมูลตารางฐานข้อมูล WordPress หลักของคุณได้ด้วยการคลิกเพียงไม่กี่ครั้ง นอกจากนี้ยังเป็นเรื่องง่ายมากมันเป็นปลั๊กอินที่ใช้มากที่สุดตัวหนึ่งในการสร้างความปลอดภัยให้เว็บไซต์ของคุณ.
WP Security Scanด้วยปลั๊กอินนี้การสแกนเว็บไซต์ที่ใช้ WordPress ของคุณจะเป็นงานง่าย ค้นหาช่องโหว่ในไซต์ของคุณและเสนอเคล็ดลับที่เป็นประโยชน์ในการลบออก.
ถาม Apache Password Protectปลั๊กอินนี้ไม่ได้ควบคุม WordPress หรือยุ่งกับฐานข้อมูลของคุณ แต่ใช้คุณสมบัติความปลอดภัยในตัวที่รวดเร็วและพยายามจริงเพื่อเพิ่มความปลอดภัยหลายชั้นให้กับบล็อกของคุณ.
เข้าสู่ระบบชิงทรัพย์ปลั๊กอินเข้าสู่ระบบ Stealth จะช่วยให้คุณสร้างที่อยู่ URL ที่กำหนดเองสำหรับการเข้าสู่ระบบการลงทะเบียนและออกจากระบบของ WordPress.
ล็อคเข้าสู่ระบบการล็อคเข้าสู่ระบบจะช่วยให้คุณล็อคความพยายามเป็นระยะเวลาหนึ่งในการเข้าสู่แผงการดูแลระบบของคุณหลังจากพยายามหลายครั้ง.
WP-DB Managerนี่เป็นอีกหนึ่งปลั๊กอินที่ยอดเยี่ยมที่ช่วยให้คุณจัดการฐานข้อมูล WP ของคุณ มันสามารถใช้เป็นทางเลือกแทน WordPress Backup Manager.
ปลั๊กอินการรักษาความปลอดภัย SSL ของผู้ดูแลระบบปลั๊กอินอื่นสำหรับทำให้แผงผู้ดูแลระบบของคุณปลอดภัย มันทำหน้าที่ในการเข้ารหัส SSL และมีประโยชน์ต่อแฮกเกอร์หรือผู้ที่พยายามเข้าถึงแผงควบคุมของคุณโดยไม่ได้รับอนุญาต มันเป็นคู่ปรับสำหรับปลั๊กอินการรักษาความปลอดภัยของ Chap.
ล็อกเกอร์ผู้ใช้หากคุณต้องการหลีกเลี่ยงการแฮ็คกำลังดุร้ายเว็บไซต์ของคุณปลั๊กอิน User Locker นั้นเหมาะสำหรับคุณ มันทำงานบนระบบเดียวกันกับ Login Lockdown อย่างไรก็ตามมันเป็นปลั๊กอิน WP ระดับ 5 ดาวที่มีชื่อเสียงในหมู่ผู้ใช้.
จำกัด ความพยายามเข้าสู่ระบบจำกัด ความพยายามในการเข้าสู่ระบบบล็อกที่อยู่อินเทอร์เน็ตไม่ให้พยายามต่อไปหลังจากถึงขีด จำกัด ที่ระบุในการลองใหม่ทำให้การโจมตีด้วยกำลังดุร้ายยากหรือเป็นไปไม่ได้.
การเข้ารหัสการเข้าสู่ระบบเข้าสู่ระบบเข้ารหัสลับเป็นปลั๊กอินรักษาความปลอดภัย มันใช้การผสมผสานที่ซับซ้อนของ DES และ RSA เพื่อเข้ารหัสและรักษาความปลอดภัยของกระบวนการเข้าสู่แผงการดูแลระบบ.
รหัสผ่านครั้งเดียวปลั๊กอินที่ไม่ซ้ำกันนี้จะช่วยให้คุณตั้งรหัสผ่านครั้งเดียวสำหรับการเข้าสู่ระบบของคุณเพื่อป้องกันการบันทึกของผู้ใช้ที่ไม่ต้องการจากอินเทอร์เน็ตคาเฟ่หรือเช่น.
ป้องกันไวรัสAntivirus เป็นปลั๊กอินความปลอดภัยที่ได้รับความนิยมซึ่งจะช่วยให้บล็อกของคุณปลอดภัยจากบอทไวรัสและมัลแวร์.
พฤติกรรมที่ไม่ดีBad Behavior คือปลั๊กอินที่ช่วยให้คุณต่อสู้กับสแปมเมอร์ที่น่ารำคาญเหล่านั้น ปลั๊กอินจะไม่เพียง แต่ช่วยคุณป้องกันข้อความสแปมในบล็อกของคุณ แต่ยังจะพยายาม จำกัด การเข้าถึงบล็อกของคุณเพื่อให้พวกเขาไม่สามารถอ่านได้.
ใช้ประโยชน์จากสแกนเนอร์ค้นหาไฟล์และฐานข้อมูลของการติดตั้ง WordPress ของคุณเพื่อหาสัญญาณที่อาจบ่งบอกว่าไฟล์หรือฐานข้อมูลตกเป็นเหยื่อแฮกเกอร์ที่เป็นอันตราย แม้ว่าจะเป็นปลั๊กอินสแกนอีกอัน แต่ก็คุ้มค่าที่จะลอง.
ผู้ใช้กำจัดอีเมลขยะชื่อของปลั๊กอินจะบอกถึงฟังก์ชั่นซึ่งเป็นปลั๊กอินยอดนิยมที่จะช่วยคุณป้องกันและลบข้อความสแปมที่ไม่ต้องการ.
บล็อกแบบสอบถามที่ไม่ดี ปลั๊กอินนี้พยายามบล็อกคำค้นหาที่เป็นอันตรายทั้งหมดที่พยายามทำบนเซิร์ฟเวอร์และบล็อก WordPress ของคุณ มันทำงานในพื้นหลังตรวจสอบสตริงคำขอที่ยาวเกินไป (นั่นคือมากกว่า 255 ตัวอักษร) รวมถึงการปรากฏตัวของ "EVAL (" หรือ "base64" ในคำขอ URI.
8 เคล็ดลับที่จำเป็น
การเปลี่ยนคำนำหน้า "wp_" เริ่มต้น
เว็บไซต์ของคุณอาจเสี่ยงหากคุณใช้คำนำหน้า wp_ ที่คาดการณ์ได้ในฐานข้อมูลของคุณ บทช่วยสอนต่อไปนี้สอนวิธีการเปลี่ยนแปลงผ่าน phpMyAdmin ใน 5 ขั้นตอนง่ายๆ.
คุณสามารถทำสิ่งนี้ได้ด้วยปลั๊กอิน WP Security Scan.
ซ่อนข้อความแสดงข้อผิดพลาดเข้าสู่ระบบ
ข้อความแสดงข้อผิดพลาดอาจเปิดเผยและให้แนวคิดแก่แฮกเกอร์หากพวกเขาได้รับชื่อผู้ใช้ที่ถูกต้อง / ไม่ถูกต้องในทางกลับกัน เป็นการดีที่จะซ่อนจากการเข้าสู่ระบบที่ไม่ได้รับอนุญาต.
เพื่อซ่อนข้อความแสดงข้อผิดพลาดเข้าสู่ระบบเพียงแค่ใส่รหัสต่อไปนี้ใน functions.php
add_filter ('login_errors', create_function ('$ a', "return null;"));
[ที่มา]
รักษาไดเรกทอรี wp-admin ไว้
การรักษาโฟลเดอร์ "wp-admin" ที่ได้รับการป้องกันจะเพิ่มการปกป้องอีกชั้นหนึ่ง ผู้ใดก็ตามที่พยายามเข้าถึงไฟล์หรือไดเรกทอรีหลังจาก "wp-admin" จะได้รับแจ้งให้ลงชื่อเข้าใช้.
การปกป้องโฟลเดอร์ "wp-admin" ของคุณด้วยการเข้าสู่ระบบและรหัสผ่านสามารถทำได้หลายวิธี:
- ปลั๊กอิน WordPress - การใช้ปลั๊กอินป้องกันรหัสผ่าน AskApache ของ WordPress.
- cPanel - หากโฮสติ้งของคุณรองรับการเข้าสู่ระบบของผู้ดูแลระบบ cPanel คุณสามารถตั้งค่าการป้องกันในโฟลเดอร์ใด ๆ ได้อย่างง่ายดายผ่านทาง cPanel ไดเรกทอรีป้องกันรหัสผ่าน ส่วนต่อประสานกราฟิกกับผู้ใช้ ค้นหาเพิ่มเติมจากบทช่วยสอนนี้.
- .htaccess + htpasswd - การสร้างโฟลเดอร์ที่ป้องกันด้วยรหัสผ่านสามารถทำได้อย่างง่ายดายโดยการตั้งค่าโฟลเดอร์ที่คุณต้องการป้องกันภายใน .htaccess และผู้ใช้ได้รับอนุญาตให้เข้าถึงภายใน .htpasswd. บทช่วยสอนต่อไปนี้แสดงวิธีดำเนินการใน 7 ขั้นตอน.
การบำรุงรักษาข้อมูลสำรอง
การเก็บสำเนาสำรองของบล็อก WordPress ทั้งหมดของคุณมีความสำคัญเท่ากับการทำให้ไซต์ปลอดภัยจากแฮกเกอร์ หากหลังล้มเหลวอย่างน้อยคุณก็ยังคงมีไฟล์สำรองข้อมูลที่สะอาดที่จะเปลี่ยนกลับ.
ก่อนหน้านี้เราได้กล่าวถึงรายการโซลูชั่นเพื่อสำรองไฟล์และฐานข้อมูล WordPress ของคุณรวมถึงปลั๊กอินที่มีประโยชน์และบริการสำรองข้อมูล.
ป้องกันการเรียกดูไดเรกทอรี
ช่องโหว่ความปลอดภัยที่สำคัญอีกประการหนึ่งคือการเปิดไดเรกทอรีของคุณ (และไฟล์ทั้งหมด) ให้ประชาชนทั่วไปเข้าถึงได้ นี่คือการทดสอบง่ายๆเพื่อตรวจสอบว่าไดเรกทอรี WordPress ของคุณได้รับการปกป้องอย่างดี:
- ป้อน URL ต่อไปนี้ในเบราว์เซอร์โดยไม่มีเครื่องหมายคำพูด "http://www.domain.com/wp-includes/"
ถ้ามันว่างเปล่าหรือเปลี่ยนเส้นทางคุณกลับไปที่หน้าแรกคุณจะปลอดภัย อย่างไรก็ตามหากคุณเห็นหน้าจอคล้ายกับภาพด้านล่างคุณจะไม่.
เพื่อป้องกันการเข้าถึงไดเรกทอรีทั้งหมดให้วางรหัสนี้ไว้ใน .htaccess ไฟล์.
# ป้องกันตัวเลือกการเรียกดูโฟลเดอร์ทั้งหมด - ดัชนี
อัปเดตไฟล์หลัก & ปลั๊กอินของ WordPress อยู่เสมอ
วิธีที่ปลอดภัยที่สุดวิธีหนึ่งในการทำให้ไซต์ WordPress ของคุณปลอดภัยคือการทำให้แน่ใจว่าไฟล์ของคุณได้รับการอัพเดตเป็นรุ่นล่าสุดเสมอ ต่อไปนี้เป็นสองวิธี (การปฏิบัติ) ที่คุณสามารถทำได้:
- เข้าสู่แดชบอร์ดบ่อยครั้ง - การแจ้งเตือนสีเหลืองจะปรากฏที่ด้านบนของแดชบอร์ดหากมีการอัปเดต เข้าสู่ระบบบ่อยครั้งและอัปเดตตัวคุณเองเป็นไฟล์หลักของเวิร์ดเพรสล่าสุด.
- ปิดใช้งานและลบปลั๊กอินที่ไม่ได้ใช้ - ปลั๊กอินที่ไม่ได้ใช้ในที่สุดจะล้าสมัยและอาจมีความเสี่ยงด้านความปลอดภัย หากคุณไม่ได้ใช้งานให้ลบทิ้ง.
- สมัครสมาชิก WordPress เผยแพร่ RSS.
เลือกรหัสผ่านที่แข็งแกร่ง
รหัสผ่านของคุณปลอดภัยหรือไม่ รหัสผ่านที่รัดกุมและปลอดภัยนั้นเป็นอะไรที่มากกว่าตัวเลขที่น่าจดจำ (เช่น john123) สำหรับผู้เริ่มต้นนั้นควรประกอบด้วยอักขระมากกว่า 12 ตัวพร้อมตัวเลขและตัวอักษรผสมกันเป็นตัวพิมพ์เล็กและตัวพิมพ์ใหญ่.
นี่คือแอปพลิเคชั่นบางตัวที่อนุญาตให้คุณสร้างรหัสผ่านที่คาดเดายาก:
- GoodPassword
- Multicians
- KeePass
- LastPass
- PCTools
- 1Password
หรือคุณสามารถตรวจสอบว่ารหัสผ่านปัจจุบันของคุณแข็งแรงแค่ไหนและปลอดภัยแค่ไหนกับ howsecureismypassword.net.
ลบผู้ใช้ผู้ดูแลระบบ
การติดตั้ง WordPress โดยทั่วไปนั้นมาพร้อมกับผู้ใช้เริ่มต้นที่ชื่อ "admin" หากนั่นคือชื่อผู้ใช้ไปยังไซต์ WordPress ของคุณแสดงว่าชีวิตของแฮ็คเกอร์ง่ายขึ้น 50% ควรหลีกเลี่ยงการใช้ผู้ใช้ "admin" ตลอดเวลา.
แนวทางที่ปลอดภัยยิ่งขึ้นในการเข้าสู่ระบบผู้ดูแลระบบของคุณอย่างปลอดภัยคือการสร้างผู้ดูแลระบบใหม่และลบ "ผู้ดูแลระบบ" ออก และนี่คือวิธีที่คุณทำ:
- เข้าสู่ระบบไปยังแผง admin WordPress
- ไปที่ ผู้ใช้ -> เพิ่มใหม่
- เพิ่มผู้ใช้ใหม่ด้วย ผู้บริหาร บทบาทตรวจสอบให้แน่ใจว่าคุณใช้รหัสผ่านที่คาดเดายาก.
- ออกจากระบบของ WordPress อีกครั้งเข้าสู่ระบบด้วยผู้ใช้ผู้ดูแลระบบใหม่ของคุณ.
- ไปที่ ผู้ใช้
- ลบผู้ใช้ "admin"
- หาก "ผู้ดูแลระบบ" มีโพสต์โปรดอย่าลืมกำหนดโพสต์และลิงก์ทั้งหมดกลับไปยังผู้ใช้ใหม่.
ทรัพยากรที่มีประโยชน์เพิ่มเติม:
- ชุบแข็ง WordPress (WordPress)
- คำถามที่พบบ่อยเกี่ยวกับความปลอดภัยของ WordPress (WordPress)
- จะทำอย่างไรถ้าไซต์ของคุณถูกแฮ็ก (WordPress)
- ทำความเข้าใจ. htaccess และ. htpasswd (Apache)
- ทำความเข้าใจ. htaccess และ. htpasswd (Javascriptkit.com)
- การปกป้องไดเร็กทอรี wp-admin (nicolaskuttler.com)
- การทำความสะอาดการติดตั้ง WordPress ที่แฮ็ก (Blogsblogsblogs.com)