5 Standard sikkerhedstrusler i WordPress og hvordan man løser dem

WordPress Security

WordPress er et massivt populært, fuldstændigt open source stykke software. Det store ved sikkerhedsmæssigt er, at der er et kæmpe samfund, der arbejder med det, der er i stand til at opdage fejl såvel som sikkerhedsrisici hurtigere end man måtte have med en intern CMS-løsning. (Det er svært at finde ud af om svagheder, når en måde at finde ud af det faktisk er at udnytte svagheden, og at have en enorm brugerbase gør opdagelsen meget mere sandsynlig.)


Ulempen er, at hackere med dårlige intentioner ved nøjagtigt, hvordan dit websted er bygget. De har allerede ‘blueprint’ på dit websted. Og hvis der er nogen svagheder i kernen, de temaer eller plugins, du bruger, er det noget, de vil være i stand til at vide uden nogensinde at få adgang til backend på dit websted.

Så i dette indlæg viser jeg dig, hvordan du løser 5 sikkerhedstrusler, der er til stede i enhver fuldstændig standardinstallation af WordPress. (Hvis du allerede har taget nogle forholdsregler, kan du opleve, at du allerede har rettet en eller to, men det er vigtigt at løse alle fem for at minimere din risiko for at blive hacket.)

Dit websted viser, at du bruger WordPress, plus versionen

WordPress version

Standardversionen af ​​WordPress har kodelinjer, der giver væk, at dit websted er bygget ved hjælp af WordPress, selv ned til versionen til folk, der ved, hvor de skal se. Afhængig af temaet vises det måske endda visuelt på hver side på dit websted.

Årsagen til, at dette kan være en sikkerhedsrisiko, er, at folk måske målretter dit websted uden anden grund end at det er bygget på WordPress. Hvis nogen finder en sikkerhedssvaghed i WordPress-kernen, et tema eller plugin, kan de muligvis finde vej til dit websted for at udnytte det. Mens du har skjult, at dit websted blev bygget med WordPress, ville folk, der søger efter WordPress-websteder ved hjælp af bots eller crawlere, blive narret til at tro, at dit websted ikke var et levedygtigt mål.

Sådan rettes det:
For at løse dette kan du bruge Hide My WP Plugin. Med dette hjælpsomme lille plugin kan du undgå unødvendig trafik på din server og på samme tid forblive sikker mod angreb, der specifikt er rettet mod WordPress-websteder.

Alle ved, hvor din login-side / administratorområde er placeret

WordPress Login

Hvis du stadig viser, at du bruger WordPress (alias, ikke aktivt skjule det ved f.eks. At bruge et plugin som Hide My WP), vil folk med dårlige intentioner allerede vide, hvor de skal forsøge et brute-force-angreb på dit websted.

Sådan rettes det:
For at løse denne trussel og drastisk sænke chancerne for at blive hacket og for at reducere server stress, er vi nødt til at forhindre ondsindede mennesker og bots i at nå vores login-side.

Der er to hovedmåder til at gøre dette. Du kan enten ændre den fysiske placering af din login-side til noget andet ved hjælp af et plugin (eller et par kodelinjer), eller du kan begrænse adgangen til din login-side og admin-området med IP-adresser. Du kan gøre dette med et plugin dedikeret til netop denne ting, eller med et sikkerhedsplugin som Sucuri, Wordfence, iThemes Security Pro eller Alt i én WP-sikkerhed og firewall.

WordPress har et standardtabelpræfiks, som alle bruger

WordPress-tabelpræfiks

Et tabelpræfiks er det, der kommer foran navne på tabeller i din database. I stedet for brugere med standard WordPress-præfikset ville det være wp_users. Hvis du bruger standardtabelpræfikset, gør det det lettere for folk at få adgang til dit websted ved at udnytte mulige svak-injektionssvagheder. Fordi de ved nøjagtigt, hvor de skal injicere info i din database for derefter at få adgang til dit websted.

Jeg havde faktisk et af mine websteder hacket på grund af sql-injektion, så dette er en meget reel trussel, som du har brug for at tage modforanstaltninger mod.

Sådan rettes det:
Heldigvis er det meget let at fjerne denne trussel. Hvis du allerede har installeret WordPress ved hjælp af standardwp_-præfikset, kan du nemt ændre det ved hjælp af et plugin som Sucuri. Først skal du tage backup af din database, før du bruger denne mulighed, da der er en mindre chance for, at noget går galt. Du kan gøre dette med et klik på en knap. Derefter kan du vælge et nyt præfiks, eller blot lade Sucuri tilfældigt generere det nye præfiks til dig.

Bemærk: Hvis du lige installerer WordPress for første gang, kan du ændre det i installationsgrænsefladen.

WordPress-tema- og plugin-filer kan redigeres via betjeningspanelet

WordPress Plugin Editor

Problemet med dette er, at hvis en hacker får adgang til dit websted, kan de gøre meget skade. De kan få dit websted til at angribe andre mennesker med malware (som kan ende med, at dit websted bliver sat på Googles sortliste og afindekseret fra søgemaskiner), udskyde dit websted eller let åbne bagdøre.

Sådan rettes det:
Du kan enten tilføje denne kodelinje til din wp-config.php fil:

definere ('DISALLOW_FILE_EDIT', sandt);

Eller brug et sikkerhedsplugin til at gøre det for dig (det vil dybest set kun indsætte den kodelinje for dig). Det eneste problem er, at der er plugins, der giver folk mulighed for at tænde og slukke for denne mulighed, så en meget dedikeret hacker kan muligvis installere et plugin, tænde plugin og derefter få adgang til redigeringskode uden FTP-adgang.

Hvis du vil være ekstremt grundig og beskytte mod dette, kan du deaktivere alle plugin- og temaopdateringer / installation ved at tilføje denne kodelinje til wp-config.php:

definere ('DISALLOW_FILE_MODS', sandt);

Men selvfølgelig ville det betyde, at du bliver nødt til at ændre dets værdi til falsk, hver gang du ville opdatere eller installere et plugin eller et tema (vi anbefaler ikke rigtig denne mulighed, da det at holde temaer og plugins ajour er en af ​​de bedste måder for at sikre, at dit websted er mindre sårbart).

WordPress har meget åbne firewall-indstillinger, der kan tillade endda kendte ondsindede bots at forsøge angreb

WordPress Firewall Serrings

Standard firewall-indstillingerne for WordPress er faktisk på den liberale side. Dette betyder, at nogle uheldige bots og andre uønskede besøgende får et grønt lys.

Sådan rettes det:
Du kan gøre dette bedre ved at installere de grundlæggende 5G-blacklist-firewall-regler, enten ved at kopiere det manuelt til din .htaccess-fil, (du kan finde den her) eller ved at installere dette plugin, eller brug et sikkerhedsplugin for bedre at optimere reglerne i din .htaccess.

Ubegrænset WordPress login forsøg

Mens standardindstillingen faktisk er ubegrænsede loginforsøg, har du muligvis valgt at begrænse loginforsøg, da du installerede WordPress på dit websted. Hvis du ikke gjorde det, er det imidlertid en utrolig nem løsning.

Sådan rettes det:
Bare installer Begræns login Forsøg plugin. Eller, hvis du bruger WPEngine-hosting, er dette en funktion, de allerede har indbygget til dig – ingen plugin kræves! Hvis du allerede beskytter dit login-område ved kun at give dine egne IP-adresser adgang til dasbhboardet, behøver du ikke gøre dette. Men hvis du bare gemte din login-sides adresse, er det en dejlig dobbelt beskyttelse mod potentielle brute-force-angreb.

Konklusion

Cyberkriminalitet vokser hurtigt, og internettet er på vej til at blive hjemsted for flere kriminelle end ‘den virkelige verden’. I nogle lande er dette allerede sket. Og selvom meget af dette er kreditkort- og banksvindel, er der et voksende antal hackere derude, og som webstedsejere er vi nødt til at beskytte os selv og vores websteder så godt vi kan.

Mens en standardinstallation af WordPress har nogle svagheder, er skønheden ved WordPress virkelig i den lethed, som du kan løse stort set alle dine problemer med dit websted, herunder de sikkerhedstrusler, der er nævnt i dette indlæg. Ud over at have et unikt brugernavn og en stærk adgangskode ved at installere et sikkerhedsplugin, redigere nogle indstillinger og måske indsætte en linje med kode eller to, kan du allerede reducere risikoen for, at dit websted bliver hacket eller inficeret med malware.

Har du truffet nogen foranstaltninger for at forbedre sikkerheden på dit WordPress-sted? Hvilken slags? Vi vil meget gerne høre nogle af dine tip & tricks! Fortæl os venligst i kommentarerne.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map