Przejdź do głównej treści

Jakie zmiany w wp-config.php aby zabezpieczyć swój blog WordPress

Divi: najłatwiejszy w użyciu motyw WordPress

Divi: Najlepszy motyw WordPress wszechczasów!

więcej Pobieranie 901.000, Divi jest najpopularniejszym motywem WordPress na świecie. Jest kompletny, łatwy w użyciu i zawiera więcej niż darmowe szablony 62. [Zalecane]

Jeśli uważasz, że Twoja witryna jest bezpieczna, ponieważ nie jest interesująca dla hakerów, to się mylisz, ponieważ zdecydowana większość naruszeń bezpieczeństwa nie ma na celu kradzieży danych lub oszpecenia witryny.

Hakerzy zazwyczaj chcą używać Twojego serwera jako przekaźnika wiadomości spamowych lub skonfigurować tymczasowy serwer WWW, zwykle do obsługi nielegalnych plików. Jeśli zostaniesz zhakowany, przygotuj się na wydanie gotówki na koszty związane z serwerem.

Istnieje kilka różnych sposobów na zwiększenie bezpieczeństwa witryny lub sieci z wieloma lokalizacjami, ale jednym z najłatwiejszych jest edycja pliku. wp-config.php. Aktualizacja tego pliku konfiguracyjnego, mimo że nie ma jednego uniwersalnego rozwiązania, jest zasadą, której należy przestrzegać dla ogólnego bezpieczeństwa.

Mając to na uwadze, zbadamy różne zmiany, które możesz wprowadzić, aby zabezpieczyć swój blog WordPress.

Konfiguracja stałych WordPressa

W twoim pliku konfiguracyjnym WordPress, zwanym także wp-config.php , możesz zdefiniować tak zwane stałe PHP do wykonywania określonych zadań. WordPress ma wiele stałych, których możesz użyć.

Stałe są również opakowane w funkcję define() jak pokazano w tym przykładzie składni:

define ('NOM_DE_LA_CONSTANTE', wartość);

W WordPress plik wp-config.php jest ładowany przed resztą plików tworzących jądro. Oznacza to, że jeśli zmienisz wartość stałej w wp-config.php, możesz zmienić sposób, w jaki WordPress reaguje i działa. Możesz wyłączyć niektóre funkcje lub włączyć je, zmieniając wartość. W wielu przypadkach można to zrobić zmieniając true za fałszywe i odwrotnie, na przykład.

Poniżej znajdziesz różne stałe, a także inne typy kodu PHP, których możesz użyć w swoim pliku wp-config.php  aby zwiększyć swoje bezpieczeństwo. Umieść je wszystkie powyżej następnej linii w pliku wp-config.php:

/ * To wszystko, zatrzymać edycję! Miłego blogowania. * /

Uwaga: uważaj

Ponieważ zmiany, które zamierzasz wprowadzić, mogą radykalnie zmienić Twoją witrynę, jest to dobre pomysł na wykonanie kopii zapasowej. Jeśli wystąpi błąd, możesz szybko przywrócić witrynę do stanu sprzed tych zmian, a gdy witryna będzie działać normalnie, możesz spróbować ponownie.

1. Zmień swoje klucze bezpieczeństwa

Być może znasz już różne klucze bezpieczeństwa i być może dodałeś już unikalne klucze, co jest całkiem dobrą rzeczą.

Łatwo stwórz swoją stronę internetową dzięki Elementor

Elementor pozwala łatwo stworzyć dowolny projekt strony internetowej o profesjonalnym wyglądzie. Przestań płacić drogo za to, co możesz zrobić sam. [Bezpłatny]

Klucze bezpieczeństwa informacji szyfrują dane przechowywane w plikach cookie i może być przydatna do ich zmiany, zwłaszcza po zhakowaniu Twojej witryny. Spowoduje to zakończenie wszystkich otwartych sesji zalogowanych użytkowników w Twojej witrynie, co oznacza, że ​​hakerzy również zostaną wylogowani.

Po zresetowaniu haseł i upewnieniu się, że witryna jest wolna od exploitów typu backdoor i tym podobnych.

Możesz wygenerować nowy zestaw kluczy bezpieczeństwa za pomocą Klucz wygenerowany przez program WordPress Security Key. Skopiuj całą zawartość i wklej ją, aby zastąpić sekcję, która wygląda następująco:

define ('AUTH_KEY', 't`DK% X:> xy | eZ (BXb / f (Ur`8 # ~ UzUQG - ^ _ Cs_GHs5U- & Wb? pgn ^ p8 ([email chroniony]} IcnCa | ' ); define ('SECURE_AUTH_KEY', 'D & ovlU # | CvJ ## uNq} bel + ^ MFtT & .b9 {UvR] g% ixsXhGlRJ7q! h} XWdEC [BOKXssj'); define ('LOGGED_IN_KEY', 'MGKi8Br (& {H * ~ & 0s; {k0[email chroniony]{8XE [DenYI ^ BVf {L: jvF, hf} zBf883td6D; Vcy8, S) - & G '); define ('SECURE_AUTH_SALT', 'I6`V | mDZq21-J | ihb u ^ q0F} F_NUcy`l, = obGtq * p # Ybe4a31R, r = | n # =] @] c #'); define ('LOGGED_IN_SALT', 'w <$ 4c $ Hmd% / *] ʻOom> (hdXW | 0M = X = {we6; Mpvtg + Vo <$ | #_} qG (GaVDEsn, ~ * 4i'); zdefiniuj ('NONCE_SALT', 'a | #h {c5 | P & xWs4IZ20c2 &% 4! C (/ uG} W: mAvy

2. Wymuś użycie SSL

Certyfikat SSL szyfruje połączenie między Twoją witryną a przeglądarką odwiedzającego, więc hakerzy nie mogą przechwytywać i kraść danych osobowych. Jeśli masz już zainstalowany certyfikat SSL, musisz zmusić WordPress do korzystania z niego, może to zwiększyć Twoje bezpieczeństwo.

Aby wymusić użycie certyfikatu SSL podczas połączenia, dodaj ten wiersz:

define ('FORCE_SSL_LOGIN', true);

Możesz również wymusić certyfikat SSL w panelu administratora za pomocą tego wiersza:

define ('FORCE_SSL_ADMIN', true);

Są to świetne miejsca na rozpoczęcie, chociaż idealnie byłoby użyć certyfikatu SSL w całej witrynie.

Szukasz najlepszych motywów i wtyczek WordPress?

Pobierz najlepsze wtyczki i motywy WordPress na Envato i łatwo stwórz swoją stronę. Już więcej niż pobrań 49.720.000. [EXCLUSIVE]

3. Zmodyfikuj prefiks bazy danych

Prefiks jest umieszczany przed nazwami wszystkich tabel w bazie danych. Domyślnie tabela używa przedrostka „ wp_" a dodanie go do bazy danych spowoduje dla hakera dodatkowe zadanie do wykonania. Im więcej przeszkód dodasz, tym trudniej będzie zhakować Twój blog.

Zmiana domyślnego prefiksu pomaga i wszystko, co musisz zrobić, to zmienić stałą w pliku " wp-config.php ", ale konieczne byłoby również, aby tabele bazy danych w instalacji miały ten sam nowy prefiks. Możesz zmienić wp_ na coś takiego g628_. Musisz wybrać coś, co naprawdę nie jest łatwe do odgadnięcia.

4. Wyłącz edycję motywów i wtyczek

W każdej instalacji WordPress możesz bezpośrednio edytować wtyczki i motywy za pośrednictwem pulpitu nawigacyjnego. Jeśli hakerowi udało się uzyskać dostęp do Twojego pulpitu nawigacyjnego, ma dostęp do tego specjalnego edytora, w którym może następnie zrobić, co chciał, w ramach wtyczki i plików motywów, takich jak dodawanie złośliwego oprogramowania, wirusów lub spam.

5. Wyłącz debugowanie

Jeśli kiedykolwiek włączyłeś debugowanie w swojej witrynie lub sieci, prawdopodobnie to robisz, ponieważ jest to świetne narzędzie do rozwiązywania problemów, ale nie zapomnij go wyłączyć, gdy skończysz. Pozostawienie włączonej tej opcji może ujawnić hakerom ważne informacje o Twojej witrynie i lokalizacji jej plików każdemu, kto ją odwiedzi.

Aby wyłączyć tryb debugowania, możesz zmienić stałą WP_DEBUG z true na false w następujący sposób:

define ('WP_DEBUG', false);

6. Wyłącz logowanie błędów w WordPress

 Jeśli nie możesz wprowadzić poprzedniej zmiany, ponieważ nadal musisz aktywnie debugować witrynę, nadal możesz chronić najważniejsze informacje o witrynie, wyłączając błędy interfejsu użytkownika i wyłączając rejestrowanie błędów.

Aby wyłączyć raportowanie błędów frontendu, dodaj ten wiersz, zachowując debugowanie (WP_DEBUG) ustawione na true:

define ('WP_DEBUG_DISPLAY', false);

7. Włącz automatyczne aktualizacje

Aktualizowanie witryny do najnowszych wersji WordPressa, a także wtyczek i motywów powinno być ważną częścią tworzenia strategii bezpieczeństwa. PonieważTe aktualizacje zapewniają poprawki bezpieczeństwa dla znanych luk, więc nie aktualizuj narażenia swojego bloga na te potencjalne zagrożenia.

Od wersji WordPress 3.7 drobne poprawki bezpieczeństwa są automatycznie stosowane do witryn WordPress, ale podstawowe wersje nie. Możesz jednak włączyć automatyczne aktualizacje dla wszystkich nowych wersji, zmieniając wartość stałej automatycznych aktualizacji:

define ('WP_AUTO_UPDATE_CORE', true);

Podobnie możesz dodać następujący wiersz poniżej poprzedniego, aby włączyć automatyczne aktualizacje wtyczek:

Z łatwością stwórz swój sklep internetowy

Uzyskaj woocommerce, najlepsze wtyczki e-commerce do sprzedaży produktów swoich fizycznych i cyfrowych na WordPressie. [Zalecane]

add_filter ('auto_update_plugin', '__return_true');

Możesz także postępować zgodnie z tym wierszem, aby zezwolić na automatyczne aktualizacje motywów:

add_filter ('auto_update_theme', '__return_true');

To wszystko w tym samouczku. Mam nadzieję, że pozwoli ci to lepiej zabezpieczyć swój blog WordPress.

 

Ten artykuł zawiera komentarze 2

  1. Witam wszystkich członków zespołu,
    BRAVO dla Twojej witryny, która wydaje się być pełna zasobów i bardzo interesująca: jeśli mój budżet na to pozwoli, nie zaniedbam Twoich usług (naprawdę tego potrzebuję…)!
    Mała wada artykułu o bezpieczeństwie autorstwa * Hervé *: szybko gubisz się w wyjaśnieniach, jeśli nie znasz php. [Ponadto przy redagowaniu tekstu warto ponownie przeczytać: niektóre słowa zostały pominięte - ale nie błędy w pisowni. ;-)))]

Zostaw komentarz

Twoj adres e-mail nie bedzie opublikowany. Wymagane pola są oznaczone *

Ta strona używa Akismet, aby zmniejszyć niechciane. Dowiedz się więcej o sposobie wykorzystania danych komentarzy.

Powrót do góry
4 akcji
udział
ćwierkanie
Enregistrer4