Annons
Att driva en WordPress-baserad webbplats är ofta ett nöje, vilket gör att du kan fokusera på innehåll och bygga relationer med läsare och andra webbplatser.
Men inte alla på webben är lika vänliga som dig. Någonstans ute finns en lista med din bloggs namn på den, där den sitter och väntar på att bli riktad av hackare. När de kommer till din blogg kommer de att prova olika taktiker för att få tillgång till den, kanske i syfte att sälja legala läkemedel eller infektera din besökares datorer med skadlig programvara.
Lyckligtvis finns det olika sätt på vilka du kan skydda din WordPress-blogg från hackare.
Uppdatera WordPress regelbundet
En av de mest kraftfulla men ofta förbisatta lösningarna för att skydda WordPress från hackare är att se till att den uppdateras regelbundet.
Självklart finns det en nackdel med detta - några av dina bästa WordPress-plugins De bästa WordPress-plugins Läs mer kan sluta fungera om WordPress uppdateras - men det bör samtidigt ses på som en möjlighet att uppdatera dina plugins, hitta ersättare som själva är säkra och pålitliga och i princip skärpa upp din webbplats eller blogga. Att hålla sig till plugins som finns i WordPress-katalogen är också ett bra sätt att hålla saker under kontroll.
Uppdatering av WordPress är möjligt från instrumentpanelen, men ta alltid en säkerhetskopia av din databas innan du gör det.
Håll regelbundna säkerhetskopior
En viktig procedur för alla WordPress-bloggägare är att se till att säkerhetskopior görs regelbundet och att de lätt kan återställas om det värre skulle hända.
Lösningarna är rikliga, men Cloudsafe365 är en av de mest kraftfulla och kombinerar molnbackup (Dropbox kan användas) med olika säkra skyddsverktyg mot tekniker som skript på olika platser, SQL-injektion och till och med övervakar innehåll stöld.
Cloudsafe365, tillgänglig från WordPress plugins webbplats, finns i tre smaker. Ett gratis alternativ täcker de saker som anges ovan, medan de betalda alternativen erbjuder ytterligare funktioner som skydd mot kodinjektion och brute force attacker.
Installera ett krypterat inloggningsplugin
Att skydda den faktiska inloggningen på din WordPress-baserade webbplats görs bäst genom att använda ett krypterat inloggningsplugin, eftersom webbplatsens mjukvara inte har den här funktionen som standard. Förmodligen den bästa lösningen för detta - perfekt för att skydda dina inloggningsuppgifter för blogg från paketsniffer i trådlösa nätverk - är Chap Secure Login, som använder SHA-256-algoritmen för att skydda ditt användarnamn och lösenord.
Under tiden Logga in låsning plugin är ett användbart sätt att blockera IP: er som registrerar upprepade misslyckade försök att komma åt din webbplats.
Andra steg för inloggningsskydd som du kan vidta inkluderar installation av en stark CAPTCHA-plugin. RetinaPost är en särskilt imponerande plugin, som kräver att användare ska ange markerade tecken från en fras snarare än att försöka dechiffrera skruvade textbilder eller göra matematiska utmaningar. Alla försök att störa din blogg med hjälp av kommentarsystemet kan minskas markant med detta plugin.
Dölj “Drivs av WordPress”
Hackare har en annan taktik för var och en av de olika typerna av programvara som används, men Du kan göra saker tuffare för dem genom att inte annonsera att din webbplats är "Powered by Wordpress”.
Som standard kan denna information hittas i footer.php-filen, nås genom att ange din bloggs instrumentpanel och välja Utseende> Editor att redigera i webbläsarfönstret. Olika teman kommer att kräva olika metoder för att ta bort den här texten, så du bör kolla online för att hitta den bästa metoden (om vanlig text används för att visa legenden, ta bort den här; om PHP-kod används ska du slita noga om du inte vet vad du gör).
Ändra administratörens användarnamn
Ett sätt på vilket hackare kan hitta ett sätt att komma in på din webbplats är att använda mjukvaruprogramvara som kommer att försöka flera inloggningar med vanliga ord och fraser som lösenord, i kombination med ett urval av uppenbara användarnamn.
Administratörens användarnamn i WordPress kan väljas när programvaran är inställd, men i brådskan att få saker gjort gör många användare det som standardvalet ”admin”. Som uppenbara användarnamn går, kommer detta högst upp på listan, varför det är viktigt att ändra det.
Det finns två sätt att ändra admin-användarnamnet. Först kan du skapa ett andra administratörskonto med ett användarnamn som inte är uppenbart och sedan ta bort den ursprungliga användaren. Observera dock att detta kan påverka alla artiklar som skrivs under administratörskontot (de kommer kanske att publiceras tills ett nytt namn har ställts in eller visa ett fel på inläggssidan).
Förmodligen det mest effektiva sättet att göra detta är att komma åt din webbplats phpMyAdmin, välj WordPress i databasen, hitta wp_users-tabellen (“wp_” är ett standardprefix som kan ha ändrats vid installationen) och Använd Bläddra för att hitta "admin" användarnamn.
När upptäckt hittar du kolumnen user_login, klicka på redigera -knappen på rätt rad och ändra sedan "admin" till ditt inloggningsnamn för ditt administratörskonto genom att klicka på Gå när du är klar.
Flytta wp-config-filen
En bländande fråga med WordPress är att de viktigaste säkerhetsdetaljerna lagras i en enda okrypterad fil som kan hackas och användas för att ta kontroll över din blogg. Wp-config.php-filen innehåller admin-inloggningsdetaljer samt användarnamn och lösenord för MySQL-databasen.
Därför är det viktigt att skydda den här filen om du vill skydda webbplatsen från hackare.
En sak du dock inte bör göra är att ta bort wp-config - detta skulle göra din webbplats obrukbar (och ganska tom). Så hur skyddar du din webbplats från denna bisarra sårbarhet?
Sedan WordPress 2.8 släpptes har bloggägare haft förmågan att flytta filen till root-webbkatalogen på servern. Vad detta till exempel betyder är att om du har din webbplats installerad i www.mysite.com/wordpress, kan filen wp-config.php flyttas upp en nivå till mysite-katalogen.
Slutsats
Oavsett hur teknisk eller icke-teknisk du är, om du driver en WordPress-blogg finns det ingen ursäkt för att inte implementera några av eller alla dessa verktyg för att skydda din webbplats från hackare.
När allt kommer omkring, vad är poängen med att sätta in allt det hårda arbetet bara för att upptäcka att någon har tagit över webbplatsen och nu kostar dig dina vanliga besökare genom att marknadsföra Viagra?
Dessa steg kan genomföras på bara ett par timmar - kanske en enda helgen på morgonen om du är pressad i tid - så ignorera inte, agera nu.
Christian Cawley är vice redaktör för säkerhet, Linux, DIY, Programmering och Tech Explained. Han producerar också The Really Useful Podcast och har lång erfarenhet av stationär och mjukvarosupport. Christian är en bidragsyter till Linux Format-magasinet, en Raspberry Pi-tinkerer, Lego-älskare och retro-spel-fan.
