Jeśli uważasz, że Twoja witryna jest bezpieczna, ponieważ nie jest interesująca dla hakerów, to się mylisz, ponieważ zdecydowana większość naruszeń bezpieczeństwa nie ma na celu kradzieży danych lub oszpecenia witryny.

Hakerzy zazwyczaj chcą używać Twojego serwera jako przekaźnika wiadomości spamowych lub skonfigurować tymczasowy serwer WWW, zwykle do obsługi nielegalnych plików. Jeśli zostaniesz zhakowany, przygotuj się na wydanie gotówki na koszty związane z serwerem.

Istnieje kilka różnych sposobów na zwiększenie bezpieczeństwa witryny lub sieci z wieloma lokalizacjami, ale jednym z najłatwiejszych jest edycja pliku. wp-config.php. Aktualizacja tego pliku konfiguracyjnego, mimo że nie ma jednego uniwersalnego rozwiązania, jest zasadą, której należy przestrzegać dla ogólnego bezpieczeństwa.

Mając to na uwadze, przyjrzymy się różnym modyfikacjom, które możesz wprowadzić, aby zabezpieczyć swoje blog WordPress.

Konfiguracja stałych WordPressa

W twoim pliku konfiguracyjnym WordPress, zwanym także wp-config.php , możesz zdefiniować tak zwane stałe PHP do wykonywania określonych zadań. WordPress ma wiele stałych, których możesz użyć.

Stałe są również opakowane w funkcję define() jak pokazano w tym przykładzie składni:

define ('NOM_DE_LA_CONSTANTE', wartość);

W WordPress plik wp-config.php jest ładowany przed resztą plików tworzących jądro. Oznacza to, że jeśli zmienisz wartość stałej w wp-config.php, możesz zmienić sposób, w jaki WordPress reaguje i działa. Możesz wyłączyć niektóre funkcje lub włączyć je, zmieniając wartość. W wielu przypadkach można to zrobić zmieniając true za fałszywe i odwrotnie, na przykład.

Poniżej znajdziesz różne stałe, a także inne typy kodu PHP, których możesz użyć w swoim pliku wp-config.php  aby zwiększyć swoje bezpieczeństwo. Umieść je wszystkie powyżej następnej linii w pliku wp-config.php:

/ * To wszystko, zatrzymać edycję! Miłego blogowania. * /

Uwaga: uważaj

Ponieważ zmiany, które zamierzasz wprowadzić, mogą radykalnie zmienić Twoją witrynę, jest to dobre pomysł na wykonanie kopii zapasowej. Jeśli wystąpi błąd, możesz szybko przywrócić witrynę do stanu sprzed tych zmian, a gdy witryna będzie działać normalnie, możesz spróbować ponownie.

1. Zmień swoje klucze bezpieczeństwa

Być może znasz już różne klucze bezpieczeństwa i być może dodałeś już unikalne klucze, co jest całkiem dobrą rzeczą.

Klucze bezpieczeństwa informacji szyfrują dane przechowywane w plikach cookie i może być przydatna do ich zmiany, zwłaszcza po zhakowaniu Twojej witryny. Spowoduje to zakończenie wszystkich otwartych sesji zalogowanych użytkowników w Twojej witrynie, co oznacza, że ​​hakerzy również zostaną wylogowani.

Po zresetowaniu haseł i upewnieniu się, że witryna jest wolna od exploitów typu backdoor i tym podobnych.

Możesz wygenerować nowy zestaw kluczy bezpieczeństwa za pomocą Klucz wygenerowany przez program WordPress Security Key. Skopiuj całą zawartość i wklej ją, aby zastąpić sekcję, która wygląda następująco:

zdefiniuj( 'AUTH_KEY', 't`DK%X:>xy|eZ(BXb/f(Ur`8#~UzUQG-^_Cs_GHs5U-&Wb?pgn^p8(2@}IcnCa|' ); zdefiniuj( 'SECURE_AUTH_KEY ', 'D&ovlU#|CvJ##uNq}bel+^MFtT&.b9{UvR]g%ixsXhGlRJ7q!h}XWdEC[BOKXssj' ); zdefiniować( 'LOGGED_IN_KEY', 'MGKi8Br(&{H*~&0s;{k0  (hdXW|5M=X={we4;Mpvtg+Vo<$|#_}qG(GaVDEsn,~*2i' ); zdefiniować( 'NONCE_SALT', 'a|#h{c7|P &xWs0IZ2c8&%883!c( /uG}W:mAvy

2. Wymuś użycie SSL

Certyfikat SSL szyfruje połączenie między Twoją witryną a przeglądarką odwiedzającego, więc hakerzy nie mogą przechwytywać i kraść danych osobowych. Jeśli masz już zainstalowany certyfikat SSL, musisz zmusić WordPress do korzystania z niego, może to zwiększyć Twoje bezpieczeństwo.

Aby wymusić użycie certyfikatu SSL podczas połączenia, dodaj ten wiersz:

define ('FORCE_SSL_LOGIN', true);

Możesz również wymusić certyfikat SSL w panelu administratora za pomocą tego wiersza:

define ('FORCE_SSL_ADMIN', true);

To bardzo dobre punkty na początek, chociaż idealnym rozwiązaniem byłoby użycie certyfikatu SSL na wszystkich swoich strona internetowa.

3. Zmodyfikuj prefiks bazy danych

Prefiks jest umieszczany przed nazwami wszystkich tabel w bazie danych. Domyślnie tabela używa przedrostka „ wp_" a dodanie go do bazy danych spowoduje dodanie dodatkowego zadania dla hakera. Im więcej przeszkód dodasz, tym więcej Twój blog będzie trudno zhakować.

Zmiana domyślnego prefiksu pomaga i wszystko, co musisz zrobić, to zmienić stałą w pliku " wp-config.php ", ale konieczne byłoby również, aby tabele bazy danych w instalacji miały ten sam nowy prefiks. Możesz zmienić wp_ na coś takiego g628_. Musisz wybrać coś, co naprawdę nie jest łatwe do odgadnięcia.

4. Wyłącz edycję motywów i wtyczek

W każdej instalacji WordPress możesz bezpośrednio edytować wtyczki i motywy za pośrednictwem pulpitu nawigacyjnego. Jeśli hakerowi udało się uzyskać dostęp do Twojego pulpitu nawigacyjnego, ma dostęp do tego specjalnego edytora, w którym może następnie zrobić, co chciał, w ramach wtyczki i plików motywów, takich jak dodawanie złośliwego oprogramowania, wirusów lub spam.

5. Wyłącz debugowanie

Jeśli kiedykolwiek włączałeś debugowanie w swojej witrynie lub sieci, prawdopodobnie robisz to, ponieważ jest to świetne narzędzie do rozwiązywania problemów, ale nie zapomnij wyłączyć go, gdy skończysz. Pozostawienie tej opcji włączonej może ujawnić hakerom ważne informacje o Twojej witrynie i lokalizacji jej plików każdemu, kto odwiedza Twoją witrynę.

Aby wyłączyć tryb debugowania, możesz zmienić stałą WP_DEBUG z true na false w następujący sposób:

define ('WP_DEBUG', false);

6. Wyłącz logowanie błędów w WordPress

 Jeśli nie możesz wprowadzić poprzedniej zmiany, ponieważ nadal musisz aktywnie debugować witrynę, nadal możesz chronić najważniejsze informacje o witrynie, wyłączając błędy interfejsu użytkownika i wyłączając rejestrowanie błędów.

Aby wyłączyć raportowanie błędów frontendu, dodaj ten wiersz, zachowując debugowanie (WP_DEBUG) ustawione na true:

define ('WP_DEBUG_DISPLAY', false);

7. Włącz automatyczne aktualizacje

Aktualizowanie witryny do najnowszych wersji WordPressa, a także wtyczek i motywów powinno być ważną częścią tworzenia strategii bezpieczeństwa. PonieważAktualizacje zapewniają poprawki zabezpieczeń dla znanych luk w zabezpieczeniach, a nie aktualizują ujawnienia Twój blog na te potencjalne zagrożenia.

Od wersji WordPress 3.7 drobne poprawki bezpieczeństwa są automatycznie stosowane do witryn WordPress, ale podstawowe wersje nie. Możesz jednak włączyć automatyczne aktualizacje dla wszystkich nowych wersji, zmieniając wartość stałej automatycznych aktualizacji:

define ('WP_AUTO_UPDATE_CORE', true);

Podobnie możesz dodać następujący wiersz poniżej poprzedniego, aby włączyć automatyczne aktualizacje wtyczek:

add_filter ('auto_update_plugin', '__return_true');

Możesz także postępować zgodnie z tym wierszem, aby zezwolić na automatyczne aktualizacje motywów:

add_filter ('auto_update_theme', '__return_true');

To wszystko w tym samouczku. Mam nadzieję, że pozwoli Ci to lepiej zabezpieczyć swoje blog WordPress.