Hvernig EKKI að tryggja WordPress vefsíðuna þína

Hvernig EKKI að tryggja WordPress síðuna þína

Hvað er það fyrsta sem þú myndir gera þegar þú vilt tryggja WordPress síðuna þína? Finndu út fimm öryggisviðbótina, skoðaðu hversu hagkvæm þau eru og farðu síðan og settu upp eitt. Það gert, nú geturðu hallað þér aftur og slakað á, ekki satt? Rangt!


Notkun öryggisviðbóta tryggir ekki öryggi. Öryggi er ekki alger hlutur og enginn getur ábyrgst fullkomið öryggi. Það besta sem við getum gert er að draga úr hættu á hakk. Andstætt vinsældum þarf eigandi vefsins að taka þátt í að halda vefsíðunni öruggri. Það er mikilvægt að vita hvað þú ættir að gera og ætti ekki.

Þó að það séu til nokkrar leiðbeiningar um hvað þú ættir að gera til að halda WordPress vefnum þínum öruggum, erum við að bjóða þér leiðbeiningar um það sem þú ættir að forðast að gera í staðinn. Þú munt taka fram að ráðin hér eru í andstöðu við almenna trú. En af reynslu okkar eru mörg ráð úti í gamaldags og bjóða upp á falska öryggistilfinningu.

Ef málið varðandi WordPress öryggi neglir þig eins mikið og það gerir okkur, kíktu á eftirfarandi.

1. Ekki nota of mörg öryggistengi

Í ljósi þess að fjölbreyttu viðbætur eru í boði, með ýmsum aðgerðum, þá er það freistandi að nota fleiri en eitt WordPress öryggisviðbætur. Til að vera heiðarlegur er það ofgnótt. Að hafa áhyggjur af öryggi síðunnar þinnar er eðlilegt en þú verður að spyrja sjálfan þig hvort þú þurfir virkilega fleiri en eitt öryggistengi? Hvaða eiginleikar eru nauðsynlegir fyrir kröfur vefsins þíns? Ætla eiginleikarnir að stíga á tærnar hvors annars?

Til dæmis gæti komið upp átök þegar viðbætin byrja að breyta skrám eins og wp-config.php eða htaccess. Viðbætur geta auðveldlega fikrað við þessar skrár en þær eru ekki að breyta þeim á einn einróma hátt. Þetta gæti skapað átök og gert vefsíðu þína hægt.

Með WordPress síðum geta hlutirnir farið úrskeiðis annað slagið. Allir hata óttalegan White Screen of Death. Með því að hafa mörg viðbætur sem hafa djúp áhrif á vefsíðuna þína getur það gert vandræðavandamál. Hefði aðeins verið til eitt viðbót, hefði verið auðveldara og minna flókið að finna og laga orsök villunnar.

2. Ekki breyta forskeyti DB

Það eru nokkrar leiðir til að skerða WordPress síðu. Tölvuþrjótur getur fengið aðgang að gagnagrunni vefsins með SQL innsprautunarárás. Hægt er að nota varnarleysi í viðbót eða þema til að brjótast inn í gagnagrunn vefsins (þess vegna mælum við með að þú notir WordPress gagnaforritunarforrit til að forðast svipaða gryfju). Ein vinsæl aðferð til að koma í veg fyrir að tölvusnápur fari dýpra inn á síðuna þína er með því að breyta sjálfgefnu forskeyti töflunnar. Eins og þú sérð á myndinni hér að neðan, í WordPress, er sjálfgefna töfluforskeytið „wp_.“ WordPress gerir þér kleift að breyta forskeyti töflu (til að segja, ‘xzy_’) til að fela ákveðnar töflur.

WordPress gagnagrunnar forskeyti

Á yfirborðinu lítur þetta út eins og góð hugmynd. Ef tölvuþrjótarnir vita ekki heiti töflunnar geta þeir ekki sótt gögnin frá því. Þetta er hins vegar fölsk rök. Þegar einhver lendir í gagnagrunninum þínum eru ennþá leiðir til að finna út töflurnar. Þess vegna er ekki gagn að breyta nöfnum á forskeyti. Að auki getur sjálfgefið forskeyti breytt því að nokkrir viðbætur hegða sér ekki.

Ennfremur er erfitt að útfæra millivigt gagnagrunnsins við forskeyti og getur valdið því að vefsíðan þín hrynur. Þetta er vegna þess að það eru margar breytingar sem þarf að gera á öllum stigum. Allar villur í ferlinu munu reynast skelfilegar fyrir síðuna þína.

3. Forðist að fela innskráningarsíðuna þína

Það er alltaf einhver að reyna að brjótast inn á síðuna þína með því að sprunga lykilorðið þitt. Við árásir á skepnur, reyna tölvusnápur að skrá sig inn á vefsíðuna þína með því að nota blöndu af vinsælum notendanöfnum og lykilorðum. Svo hvað ef við fela innskráningarsíðuna? Það drepur tvo fugla með einum steini, ekki satt? Tölvuþrjótur gæti ekki fundið innskráningarsíðuna og álag á netþjóninn minnkað.

WordPress er með sjálfgefna innskráningarsíðu. Slóð að síðunni lítur venjulega út eins og þetta dæmi.com/wp-login.php. Ein þekkt leið til að bjarga vefsíðunni þinni frá líkamsárás er með því að fela eða breyta sjálfgefnu innskráningarsíðunni í eitthvað annað eins og example.com/mylogin.php. Þó að þetta hljómi eins og pottþétt áætlun, skulum við komast að því hve áhrifarík aðferðin er til að halda WordPress vefnum þínum öruggum.

Minnkun netþjóns

Eftir að þú hefur falið eða breytt staðsetningu innskráningarsíðunnar þíns, í hvert skipti sem einhver reynir að opna hana, munu þeir eiga við 404 villu að stríða. Hins vegar eru innskráningartilraunir þungur ferill. Alltaf þegar 404 villusíðan hleðst upp borðar það mikið af netþjónunum þínum. Og endar með því að hægja á vefsíðunni þinni. Þess vegna er hin almenna trú að það að fela innskráningarsíðuna þína muni draga úr álagi á netþjóninn.

Ekki er hægt að giska á aðra slóð

Hluti af velgengni WordPress sem CMS er vegna viðbótar sem gera breytingar á vefsíðu auðveldari. Það kemur ekki á óvart að vinsæl leið til að fela innskráningarsíðu vefsíðu er með því að nota viðbót. Þessar viðbætur eru með mengi sjálfgefinnar innskráningar URL eins og xzy.com/wplogin.php osfrv. Við höfum verið þjálfaðir í að fara bara með sjálfgefnar stillingar. Þegar við höfum sett upp viðbótina og breytt slóðinni okkar, leggjum við ekki mikið upp úr því. En það eru aðeins svo margar slóðir sem viðbótin getur boðið. Það er ekki of erfitt að finna út þessa forstilltu innskráningarvefslóð. Þess vegna getur notkun í slóðinni verið árangurslaus í flestum tilvikum.

Mál varðandi nothæfi

Fegurð WordPress er að það er auðvelt í notkun. Þetta er þekktur vettvangur. Fyrir vefsvæði með fjölmörgum notendum gæti það verið ákveðin vandamál að breyta eða fela innskráningarsíðuna. Við höfum nokkrum sinnum rekist á færslur á WordPress umræðunum þar sem notendur eru lokaðir út af vefsvæði vegna breytinga á innskráningarslóðinni. Í flestum tilvikum voru breytingarnar gerðar með því að nota viðbætur og notendunum var ekki gert kunnugt um ástandið sem olli glundroða.

4. Ekki loka IP-tölum handvirkt

Ef þú ert með öryggistengibúnað uppsett á síðunni þinni verður þér tilkynnt hvenær einhver reynir að skrá sig inn á vefsíðuna þína. Þú getur auðveldlega náð í IP-tölvuna með því að senda þessar skaðlegu beiðnir og lokaðu á þær með .htaccess skránni. Þetta er handavinnandi vinna og ekki mjög hentug framkvæmd.

Ekki notendavænt

Persónulegur einstaklingur sem reynir að breyta .htaccess skjölunum er uppskrift að hörmungum. Innihaldstjórnkerfi eins og WordPress er með mjög strangt snið. Jafnvel notkun vinsælustu tólanna eins og FTP / SFTP er mjög áhættusöm. Minniháttar villur eða röng skipulagning getur valdið því að vefurinn hrynur.

Of mörg IP-tölu til að loka fyrir

Til að forðast að fá svartan lista nota tölvusnápur IP netföng víðsvegar um heiminn. Áður ræddum við um að hindra IP-netföng handvirkt sem eru stöðugt að reyna að brjótast inn á síðuna þína. Vinnan (eins og áður hefur komið fram) krefst mikils tíma og fyrirhafnar en er ekki nákvæmlega mjög duglegur tími. En ef þú notar eitthvað af helstu WordPress öryggisviðbótum, til dæmis Malcare, geturðu gert sjálfvirkan útilokunarferli. Slík öryggisviðbætur sjá um allar glufur í WP öryggi.

5. Fela WordPress

Almenn forsenda er að það að leyna CMS þinn gerir fólki erfiðara með að brjótast inn á síðuna þína. Hvað ef við gætum falið þá staðreynd að vefsíðan þín er að keyra á WordPress. Það myndi vernda síðuna þína gegn tölvusnápur sem vilja nýta algengar varnarleysi. Auðveld leið til að gera þetta er með því að (þú giskaðir á það) að nota viðbót. En aðferðin mistekst þegar tölvuþrjótum er alveg sama um hvaða vettvang vefsíðan þín er að keyra. Að auki eru til margar leiðir til að komast að því hvort vefur er í gangi á WordPress.

Fyrir utan að nota viðbót, þá getur maður valið að vinna verkið handvirkt. En það er tímafrekt ferli. Ein WordPress uppfærsla getur afturkallað allt sem þú vinnur á nokkrum sekúndum. Sem þýðir að þú þarft annað hvort að endurtaka ferlið aftur og aftur eða sleppa við WP uppfærslur. Að sleppa WordPress uppfærslum er eins og að opna útidyrnar fyrir tölvusnápur að ganga rétt inn á heimilið þitt.

6. Að vernda lykilorð wp-admin virkar ekki

Sjálfgefna innskráningarsíðan á WordPress (sem lítur svona út – dæmi.com/wp-admin) er hlið á síðuna þína. Dæmigerð innskráningarsíða lítur út eins og myndin hér að neðan.

Hér verður þú að nota persónuskilríki þín til að fá aðgang að stjórnborðinu í WordPress. Lykilorð sem verndar innskráningarsíðuna hjálpar til við að fela eða vernda þessa hlið að mælaborðinu. Það er góð hugmynd en ekki án skotgatanna.

LookLinux lykilorð vernda dæmi

Mynd kurteisi: LookLinux

Í fyrsta lagi er erfitt að viðhalda eða jafnvel breyta lykilorðinu ef þú glatast. Að auki að vera árangurslaus í að veita aukið öryggi, geta slíkar breytingar á vefsvæðinu reynst mjög hættulegar. Til dæmis, þegar þú lykilorð verndar stjórnendasíðuna, geturðu beðið eins og /wp-admin/admin-ajax.php ekki framhjá vörninni. Það eru til viðbótar sem geta verið háð Ajax virkni vefsvæðisins. Og þegar þeir geta ekki fengið aðgang að þessari virkni, byrja þeir að hegða sér. Þess vegna getur þetta valdið því að vefsíðan brotnar.

Yfir til þín

Ef þú hefur einhverjar spurningar eða ábendingar varðandi það sem þarf að forðast til að tryggja WordPress síðu, láttu okkur vita í athugasemdunum.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map