WordPress – egy weboldal biztosításának módszerei


A WordPress tartalomkezelő rendszer (CMS) kétségkívül a legnépszerűbb alkalmazás a webhelyek elindításához. Népszerűsége miatt ugyanolyan népszerű a hackerek körében, akik gyakran átveszik az irányítást a nem biztonságos és / vagy elavult webhelyeken.

Az alábbiakban bemutatunk azokat a bevált gyakorlatokat, amelyek segíthetnek a WordPress alapú oldala biztonságosabbá tételében.

Olyan megoldások, melyek javítják a WordPress biztonságát

  1. A legfontosabb! Ne feledje a WordPress frissítéseit, valamint a plugin és a téma frissítéseit! Ez a legfontosabb szabály, ha nem tartja be, akkor elmulaszthatja a következő tippeket.
    A WordPress 3.7 verzióval az alkalmazásfejlesztők bevezettek egy automatikus frissítési mechanizmust. Ez a szolgáltatás az Ön beavatkozása nélkül végrehajtja a WordPress rendszerfrissítéseit, amint a gyártó új frissítéseket tesz közzé a felhasználók számára.
  2. Módosítsa az alapértelmezett wp_ előtagot az adatbázis tábláiban. Megváltoztathatja az alapértelmezett előtagot a saját előtagjához a WordPress telepítése közben. A telepítés után megváltoztathatja a már létező előtagot is. Ehhez használhatja a phpMyAdmin eszközt. Miután bejelentkezett az adatbázisba, válassza ki az összes táblát, válassza a ‘Táblázat előtagjának módosítása’ lehetőséget, és írja be az új előtagot, amelyet be szeretne állítani a WordPress táblázatokhoz.
    A táblázatok előtagjának átnevezése a két WordPress-táblában szereplő bejegyzések frissítését igényli: xltw4_options és xltw4_usermeta. Javasoljuk, hogy a következő parancsok segítségével keressen bejegyzéseket a régi tábla előtaggal, amelyet megváltoztatunk:
    prefix_options tábla:
    SELECT * FROM `xltw4_options` WHERE `option_name` LIKE '%wp_%';

    prefix_usermeta tábla:

    SELECT * FROM `xltw4_usermeta` WHERE `meta_key` LIKE '%wp_%';

    A lekérdezés eredményeként sorok listája jelenik meg, amelyekben a „wp_” táblázat régi előtagját egy újra kell cserélni, esetünkben ez „xltw4_”.

    Ne feledje! Az adatbázis előtagjának megváltoztatása után frissítse az előtagot a wp-config.php fájlban. Ellenkező esetben az oldal nem jelenik meg.
    Miután beállított egy egyedi előtagot az adatbázishoz (lehetőleg véletlenszerű karakterlánc), webhelyünk kevésbé lesz érzékeny az automatikus SQL támadásokra.
  3. A fő adminisztrátori azonosító és a bejelentkezés megváltoztatása. Az azonosítónál jó, ha egy hosszú számsort használunk. Az alapértelmezett “admin” bejelentkezés megváltoztatásának ellen szólhat, hogy nem különösebben fontos (különösen, ha az összes többi ajánlást betartjuk), de a biztonság kedvéért jobb, ha nem használjuk.
    Megváltoztathatja az adminisztrátori azonosítót és a bejelentkezést a phpMyAdmin segítségével (csatlakozva ahhoz az adatbázishoz, amelybe a WordPress telepítve van). Ezután megváltoztathatja a felhasználói adatokat (azonosító és bejelentkezés) az xxx_users táblában.
    FONTOS! A felhasználói azonosító megváltoztatása után ezeket a változtatásokat (az ÚJ azonosító beállítása) az xxx_usersmet táblában is el kell végeznie.
  4. Korlátozza a / wp-admin / .htaccess használatát (csak a megadott IP-címekhez férjen hozzá a WordPress adminisztrációs panel). Az egyetlen IP-címhez való hozzáférés korlátozásához helyezze a következő kódot a .htaccess fájlba:
    AuthName "Example Access Control"
    AuthType Basic
    
    order deny,allow
    deny from all
    allow from 212.85.96.1
    FONTOS! Az ilyen tartalommal rendelkező .htaccess fájlt a / wp-admin / könyvtárba kell helyezni. A “212.85.96.1” helyett írja be állandó IP-címét. Ha nem biztos abban, hogy az internetszolgáltató állandó IP-címet adott-e meg, vegye fel velük a kapcsolatot eaz információk beszerzése érdekében.
  5. Változtassa meg a bejelentkezési címet a WordPress háttérrendszerére. A WordPressre épített oldalakat támadó szkriptek mindig ugyanazt a címszerkezetet próbálják elérni (például / wp-content /, / wp-admin / stb.). Egy jó megoldás az, ha megváltoztatja azt a címet, ahová bejelentkezik a WordPress panelen, hogy megnehezítse a fiók átvételét. Javasoljuk a WPS Hide Login beépülő modult – a telepítés után beállít egy új bejelentkezési utat a back office-hoz, és már kész is!
    Ne feledje – a plugin azonnal működni fog a beállítások módosításainak mentése után, tehát amikor legközelebb bejelentkezik a WordPress panelen, írja be az új háttércímet.
  6. Engedélyezze a bejelentkezést e-mail címmel. Sok webhelyre jelentkezik be, e-mail cím megadásával a bejelentkezés helyett. Miért nem használja ezt a lehetőséget a WordPress programban? A WP Email Login plugin használatával engedélyezni kell az e-mail cím megadását, amikor bejelentkezik a WordPress háttérbe. WordPress – Bejelentkezés ablak – Jelentkezzen be a webhelyre az e-mail cím használatával
  7. Ha nem használja a témát és a plug-in-szerkesztőt a WordPress számára – tiltsa le! Az adminisztrátorok letilthatják a téma és a plug-in fájlok módosítását a WP admin panelen. Ebben a helyzetben csak az FTP-kiszolgálóhoz hozzáféréssel rendelkezők tudják módosítani a fájlokat. Ehhez egyszerűen adja hozzá a következő sort a wp-config.php fájlhoz:
    define ('DISALLOW_FILE_EDIT', igaz);

    Ily módon csökkenti annak kockázatát, hogy az emberek jogosulatlanul hozzáférjenek a webhely WordPress adminisztrációs paneljéhez.

  8. Kapcsolja ki a felhasználói regisztrációs funkciót. Ha nem tervezi engedélyezni a fiókok regisztrálását a webhelyén, javasoljuk, hogy teljesen tiltsa le a regisztrációt a WordPress beállításaiban (Beállítások -> Általános beállítások -> Tagság).
  9. Állítsa be a kétfaktoros hitelesítést (2FA). A kettős hitelesítés (2FA) egy második lépés hozzáadása a WordPress bejelentkezési folyamathoz. Amellett, hogy emlékszik (jelszó), a rendszernek is szüksége lesz valamire, ami mindig van veled (okostelefon). Ennek köszönhetően, még ha valaki is tudja a jelszavát, nem fog bejelentkezni a WordPressbe az okostelefonhoz való hozzáférés nélkül.
    Két tényezős hitelesítés futtatásához a WordPress-ben telepítenie kell a megfelelő plug-in-t (például a Két tényező hitelesítését), és telepítenie kell a Google Authenticator alkalmazást Android- vagy iOS-okostelefonjára. Miután bejelentkezett a WordPressbe, és telepítette a Két tényezős hitelesítés beépülő modult, csatlakoztathatja azt a Google Authenticator alkalmazáshoz, amely előállítja a telefonon történő bejelentkezéshez szükséges kódokat.
  10. További biztonsági dugók. További WordPress-bővítményeket találhat az interneten a WordPress-biztonság javítása érdekében. A legnépszerűbbek kétségkívül a Shield, Sucuri, WordFence és az iThemes Security.
    A fenti pluginek mindegyike lehetővé teszi a WordPress telepítésének egyszerű biztonságát, és olyan funkciókat kínál, mint például: a táblák előtagjának megváltoztatása az adatbázisban, a fő felhasználói azonosító megváltoztatása, a BruteForce támadások blokkolása, az XSS támadások blokkolása, a WordPress verziók elrejtése, a fájlváltozások figyelése a szerveren és értesítések a rendszergazdának a változások észlelésekor, a webhely automatikus biztonsági mentése (általában fizetett verziókban)
    Melyik plug-inet telepíteni? A WordPress felhasználók között a fenti pluginok hatékonyságáról szóló vélemények megoszlanak. Ugyanazt a szavazatot találjuk ezeknek a bővítményeknek a telepítéséhez és az ellenük történő ellen. A döntést az Ön választására hagyjuk.
  11. Végezzen rendszeres biztonsági másolatot (adatmentés). Az összes ionos.hu szerver adatait ciklikusan archiválják (minden este). A biztonsági mentési adatok archiválása pontokban történik meghatározott időpontokban, éjjel. Ezért érdemes bármikor biztonsági másolatot készíteni (például közvetlenül a webhely fontos változtatása után).
    Erre a célra használhatja a népszerű plugint: a Másolót, amely egy fejlett és egyszerűen használható biztonsági mentési eszköz. Ennek köszönhetően visszaállíthatja WordPressét válsághelyzetben, amikor a webhely nem működik.
  12. Törölje a felesleges beépülő modulokat és témákat. Távolítsa el a nem használt szoftvert, mert egy ilyen nem használt és elavult plug-in vagy téma a jövőbeli támadások célpontjaként szolgálhat.
    Javasoljuk, hogy a bővítményeket és sablonokat csak megbízható forrásokból telepítse!
    A hivatalos lerakat biztos hely a WordPress bővítmények és témák letöltésére. Az oda meghosszabbított kiterjesztések, mielőtt megosztnák őket, egy ellenőrzési folyamaton mennek keresztül, amely magában foglalja többek között az ellenőrzést rosszindulatú kód jelenlétére. Minden nap több ezer felhasználó használja a lerakatot, akik nagyon gyorsan észreveszik és jelentik a problémákat.
  13. Engedélyezze a HTTPS: // (SSL tanúsítvány) támogatást. Az SSL-tanúsítványok már a legtöbb weboldal követelményei. A webhelyen tárolt adatok, az ügyfelek által küldött adatok (kapcsolattartási űrlapok, kosarak az online áruházakban) biztonságának fokozása, és végül – a weboldal nagyobb megbízhatósága mind a látogatók, mind a keresőmotorok (például a Google) számára.
    SSL tanúsítványt rendeljen még ma. Vigyázzon a webhely, az e-mail és a felhasználói adatok biztonságára. Regisztrálja az SSL-t az ionos.hu webhelyen, és az összes szolgáltatást egyetlen vevőpanelen vezérelheti. Kattintson és keresse meg az ajánlatot, hogy SSL-tanúsítványt rendeljen.
    Még a WordPress szerzői hivatalosan közlik az SSL-tanúsítványok telepítésének szükségességét a WordPress-alapú webhelyeken.

    Ha az SSL tanúsítvány már telepítve van a kiszolgálón, engedélyezze azt a WordPress programban. Ez a művelet azt eredményezi, hogy a helyes címet (https: // a http: // helyett) írja be az alkalmazás beállításaiba (Beállítások -> Általános). Ezenkívül a következő bejegyzést kell hozzáadni a .htaccess fájlhoz a WordPress gyökérkönyvtárában:

    RewriteEngine be
    RewriteCond% {HTTPS}! = Be [NC]
    RewriteRule ^ (. *) $ Https: //% {HTTP_HOST}% {REQUEST_URI} [R = 301, L]
  14. Használjon hosszú biztonságos hozzáférési jelszavakat (beleértve a WordPress adminisztrációs panelt és az FTP szervert), és használja a legfrissebb víruskereső szoftvereket, például a Kaspersky szoftvert.
    A biztonság nem lesz hatékony, ha egy könnyen feltörhető jelszót használ!

Összegzés – ne felejtse el ellenőrizni a weboldalt! A WordPress-alapú webhelyeket célzó rosszindulatú szkriptek többségének nem célja a webhely megsemmisítése. Általában szabályokat adnak hozzá azokhoz az oldalakhoz, amelyek spam-eket küldnek, vagy átirányítják a látogatókat más URL-ekre (ezenkívül a rosszindulatú oldalakat egy rejtett iframe-be is betölti). A webhely felhasználói valószínűleg nem tudják, hogy a rosszindulatú szkriptek kerültek a webhelyükre.

A WordPress számára létrehozott tárhely

Van már WordPress webhelye? Mi is szeretjük ezt a rendszert. Ezért hoztunk létre olyan tárhelyet, mely megfelel a WordPress felhasználók számára.


  • Hasznos volt a cikk?
  • IGEN   NEM
Keresés
Generic filters
Tylko dokładne dopasowania
Szukaj w tytułach
Szukaj w treści
Filter by Article Categories
Gyakori kérdések
Szolgáltatás regisztrációja
Ügyfél panel
Települések
Domains
Hosting
Automatikus telepítő
Adatbázis
FTP
E-mail
SSL bizonylat
Website Builder
eCommerce
G Suite
Office 365
Biztonság
Tudásbázis
WordPress
vagy