18 Wordpress-säkerhetsplugins och tips för att säkra din blogg

Annons

Utan tvekan, för en självhostad blogg, är WordPress den bästa blogg CMS som du kan få. Att vara en populär och öppen källkodsprogram innebär emellertid också att hackare har full tillgång till kod som de kan granska för att hitta alla exploater de kan använda för att hacka till alla WordPress-aktiverade webbplats.

På den goda sidan är en av de bästa sakerna med WordPress dess plugin-system som låter vem som helst göra det installera eventuella plugins eller skapa dina egna plugins för att utöka dess funktionalitet, inklusive förbättring säkerhet.

Här har jag listat några Wordpress-säkerhetsplugins (och ett par knep) som du kan använda för att säkra WordPress-blogg.

Alla plugins och tricks som listas nedan är avsedda för WP 2.7 och högre. Om du fortfarande använder en äldre version av WordPress är det dags att uppgradera din blogg.

Skydda din inloggning

Denna plugin använder KILLE protokoll för att kryptera ditt lösenord. Lösenordet saltas först med ett slumpmässigt antal (nonce) som genererats av sessionen, följt av md5-transformationsalgoritmen. Detta resultat skickas sedan till servern där det dekrypteras och autentiseras. Detta är en nollkonfigurationsplugin, vilket innebär att du kan använda den direkt efter att du har aktiverat den.

2. Stealth-inloggning

Stealth-inloggning döljer din inloggningssida genom att låta dig definiera en anpassad inloggningssida snarare än standard wp-login.php. I händelse av att ditt lösenord läcker ut, kommer hackeren också att ha svårt att hitta rätt inloggningsadress. En bra användning av detta är att förhindra att skadliga bots får åtkomst till din wp-login.php-fil och försöker bryta sig in.

Inloggningslåsning är användbar för att förhindra en våldattack. Vad Login LockDown gör är att registrera IP-adressen och tidsstämpeln för alla misslyckade inloggningsförsök. Om mer än ett visst antal försök upptäcks inom en kort tidsperiod från samma IP-område låser det inloggningsfunktionen och förhindrar att personer från det IP-området loggar in.

Detta plugin lägger till en extra HTTP-verifiering för att ge ett andra försvarslager för din blogg. Du kan ställa in lösenordsskydd för din blogg med hjälp av HTTP Basic Authentication, eller du kan välja att använda den säkrare HTTP Digest Authentication.

Observera att det här pluginet kanske inte kanske fungerar beroende på din serverfunktion. Om din webbplats inte klarar AskApache-konfigureringstester (testen körs av plugin för att upptäcka dina serverfunktioner), kontakta din webbhotell och se om de kan göra ändringar på servern sida.

Detta plugin ger en "semisecure" inloggningsmiljö genom att kryptera ditt lösenord med RSA kryptografi

Skydda din databas

Kanske för några av er kan säkerhetskopiering av en databas innebära en besvärlig teknisk jobb. Med WP-DB-säkerhetskopiering behöver du bara konfigurera den en gång och få den att köras automatiskt med regelbundna intervall.

Vad detta plugin gör är att automatisera säkerhetskopieringen av din databas och få den skickad till din e-postinkorg. Annat än standardtabellen skapad av WordPress kan du också säkerhetskopiera anpassade tabeller skapade av plugins. Om ditt konto kraschar kan du enkelt importera och återställa databasen med säkerhetskopian.

Wp-DBManager är precis som en phpmyadmin i din instrumentbräda. Du kan enkelt hantera din databas direkt i din instrumentpanel. Det finns användbara funktioner som att optimera / reparera / säkerhetskopiera / återställa din databas och om du är tillräckligt teknisk kan du till och med köra din egen SQL-fråga från alternativsidan.

På den dåliga sidan, om några hackare lyckas logga in på din webbplats, kommer detta plugin att bli en gateway för dem att skapa förödelse i din databas.

8. Ändra prefix för databastabell

Standardprefixet som används av WordPress är "wp". Du kan enkelt ändra prefixet till andra termer som är svåra att gissa med WP-Security-Scan. Mer information om detta plugin nedan.

9. Skydda din wp-config.php-fil

Din wp-config.php-fil innehåller alla dina inloggningsuppgifter för databasen och den bör döljas från allmän syn under alla omständigheter. Lägg i den här raden i din htaccess-fil:

beställ tillåta, förneka. förneka från alla. 

för att förhindra att någon tittar på filen wp-config.php.

Skydda din administratörssida

Denna plugin tvingar SSL på alla sidor där lösenord kan matas in så att all överförd information krypteras.

En sak måste du dock ha ett SSL-certifikat innan du kan göra det. Om du inte är villig att betala ut extra pengar för att köpa ett privat SSL-certifikat kan du fråga din webbhotell om Shared SSL. De flesta webbhotell tillhandahåller delad SSL för alla sina kunder och det är enkelt att konfigurera.

11. Ändra användarnamn för inloggning

Att använda "admin" som ditt användarnamn för inloggning är det sista du vill göra. När du först installerade WordPress bör du omedelbart skapa ett annat administratörskonto med ditt eget användarnamn och lösenord och ta bort "admin" -konto.

Förhindra att andra visar din interna filstruktur

12. Gömmer WP-versionen

I de flesta WordPress-teman under

avsnittet finns det alltid en kodrad som visar WordPress-versionen som du använder. Att ge bort ditt WordPress-versionsnummer betyder att berätta för hackaren vilken exploatering som ska användas för att hacka till din webbplats.

Sedan WP2.6.5 har WordPress gjort det ännu svårare att ta bort wp-versionen eftersom den bäddar in den informationen i wp_header märka. En plugin som du kan använda för att ta bort den informationen är WP-Security-Scan.

13. Dölja WP-innehållet

WP-innehållsmappen är där du lagrade alla dina plugins och temafiler. Det är här du vill förhindra att andra människor tittar på. Du kan antingen ladda upp ett tomt index.html fil till wp-innehållsmappen, eller skapa en .htaccess-fil i wp-innehållsmappen och lägg till denna rad:

Alternativ Alla -index
14. Blockera wp-mapp från indexering av sökmotorer
Medan du vill att sökmotorerna ska indexera din blogg och få in mycket trafik, är det sista du vill se att låta sökmotorerna exponera din interna filstruktur för allmänheten. Vad du kan göra är att blockera all din wp-mapp från att indexera med sökmotor genom att lägga till följande poster i robot.txt:
Disallow: / wp- * 
Underhåll
Jag har nämnt detta plugin flera gånger, så det är dags för mig att förklara vad den gör. WP-Security-Scan kontrollerar din WordPress för säkerhetsproblem och föreslår / ger korrigerande åtgärder. De korrigerande åtgärderna inkluderar att ändra ditt databasprefix, dölja WordPress-versionens nummer från rubriken och låter dig testa styrka ditt lösenord.
En gång i taget är det en bra idé att köra den inbyggda säkerhetsskannern och kontrollera om det finns några säkerhetsskador på din blogg.
16. Ändra lösenord regelbundet
Inte bara ska du ändra ditt lösenord regelbundet, du måste också se till att det är ett starkt lösenord. Om du har svårt att skapa en, hitta en hur du kan skapa starka lösenord som du lätt kommer ihåg Hur man skapar starka lösenord som du enkelt kommer ihåg Läs mer .
17. Uppdatera WordPress och alla plugins till den senaste versionen
Naturligtvis är det bästa sättet att skydda dig själv att uppgradera till den senaste versionen av WordPress och plugins.
Skydda din anslutning
18. SFTP
Att överföra filer till ditt onlinekonto är vanligt att göra. Istället för att använda den osäkra FTP-enheten bör du dock använda SFTP (Säker FTP). Detta skapar en SSH-anslutning och skickar alla dina filer krypterade till servern. Om du behöver hjälp med att skapa en SFTP-anslutning är här guide.
Ovanstående information bör vara tillräcklig för att du ska kunna skapa en säker WordPress-blogg. Om du inte har implementerat något av dessa vill jag uppmana dig att göra det nu.
Vilka andra metoder använder du för att säkra din WordPress-blogg?