Hvordan man IKKE sikrer dit WordPress-websted

Sådan IKKE sikres dit WordPress-sted

Hvad er den første ting, du ville gøre, når du vil sikre dit WordPress-sted? Find ud af de top fem sikkerhedsplugins, overvej, hvor overkommelige de er, og gå derefter videre og installer en. Det er gjort, nu kan du læne dig tilbage og slappe af, ikke? Forkert!


Brug af et sikkerhedsplugin garanterer ikke sikkerhed. Sikkerhed er ikke en absolut ting, og ingen kan garantere fuldstændig sikkerhed. Det bedste, vi kan gøre, er at reducere risikoen for et hack. Og i modsætning til, hvad folk tror, ​​skal ejeren af ​​webstedet være involveret i at holde webstedet sikkert. Det er vigtigt at vide, hvad du skal gøre og ikke skal.

Mens der er flere guider til, hvad du skal gøre for at holde dit WordPress-sted sikkert, tilbyder vi dig en guide til, hvad du skal undgå at gøre i stedet. Du vil bemærke, at rådgivningen her er i konflikt med den generelle tro. Men ud fra vores erfaring er mange råd derude forældede og giver en falsk følelse af sikkerhed.

Hvis spørgsmålet om WordPress-sikkerhed slutter dig så meget som det gør for os, skal du kigge på følgende.

1. Brug ikke for mange sikkerhedsplugins

I betragtning af den brede vifte af plugins, der er tilgængelige derude, med forskellige funktionssæt, er det fristende at bruge mere end et WordPress-sikkerhedsplugin. For at være ærlig er det en overmord. At være ængstelig over dit websteds sikkerhed er normalt, men du bliver nødt til at spørge dig selv, om du virkelig har brug for mere end et sikkerhedsplugin? Hvilke funktioner er essentielle for dit websteds krav? Vil funktionerne træde på hinandens tæer?

F.eks. Kan der opstå en konflikt, når plugins begynder at ændre filer såsom wp-config.php eller htaccess. Plugins kan let fikle med disse filer, men de ændrer dem ikke på en enstemmig måde. Dette kan skabe konflikter og gøre dit websted langsomt.

Med WordPress-websteder kan ting gå galt nu og da. Alle hader den frygtede White Screen of Death. At have flere plugins, der dybt påvirker dit websted, kan gøre problemer med fejlfinding vanskelige. Havde der kun været et plugin, ville det have været lettere og mindre kompliceret at finde og rette årsagen til fejlen.

2. Skift ikke DB-præfiks

Der er flere måder, hvorpå et WordPress-sted kan kompromitteres. Hacker kan få adgang til et websteds database gennem SQL-injektionsangreb. En sårbarhed i et plugin eller tema kan bruges til at bryde ind i webstedets database (hvorfor vi foreslår, at du i stedet bruger en WordPress-database backup-plugin for at undgå lignende faldgruber). En populær metode til at forhindre hackere i at gå dybere ind på dit websted er ved at ændre standardtabelpræfikset. Som du kan se på billedet nedenfor, i WordPress, er standardtabelpræfikset ‘wp_.’ WordPress giver dig mulighed for at ændre tabelpræfiks (for at sige ‘xzy_’) for at skjule bestemte tabeller.

WordPress-databasepræfikser

På overfladen ser det ud som en god idé. Hvis hackerne ikke kender tabellenavnet, kan de ikke hente dataene fra det. Dette er dog en falsk begrundelse. Når nogen kommer ind i din database, er der stadig måder at finde ud af tabellerne på. Derfor er det ikke nyttigt at ændre navnene på præfikset. Desuden kan ændring af standardpræfikset få flere plugins til at opføre sig forkert.

Endvidere er det vanskeligt at implementere at ændre database præfikset midflight og kan medføre, at dit websted går ned. Dette skyldes, at der er mange ændringer, der skal foretages på alle niveauer. Enhver fejl i processen vil vise sig at være katastrofal for dit websted.

3. Undgå at skjule din login-side

Der er altid nogen, der prøver at bryde ind på dit websted ved at knække din adgangskode. Under brute force-angreb forsøger hackere at logge ind på dit websted ved hjælp af en kombination af populære brugernavne og adgangskoder. Så hvad nu hvis vi skjuler login-siden? Det vil dræbe to fugle med en sten, ikke? Hacker kunne ikke finde login-siden, og belastningen på din server reduceres.

WordPress har en standard login-side. URL til siden ligner normalt dette eksempel.com/wp-login.php. En velkendt måde at redde dit websted fra angreb fra brute force er ved at skjule eller ændre standard login-siden til noget andet som eksempel.com/mylogin.php. Selvom dette lyder som en idiotsikker plan, så lad os finde ud af, hvor effektiv metoden er til at holde dit WordPress-sted sikkert.

Serverbelastningsreduktion

Når du har skjult eller ændret placeringen af ​​din login-side, hver gang nogen forsøger at åbne den, får de en 404-fejl. Loginforsøg er imidlertid en tung proces. Hver gang 404-fejlsiden indlæses, spiser den en masse af dine serverressourcer. Og ender med at bremse dit websted. Derfor er den almindelige overbevisning om, at skjule din login-side reducerer belastningen på serveren, ikke korrekt.

Alternativ URL ikke svært at gætte

En del af WordPress ‘succes som CMS skyldes plugins, der gør ændringer af et websted lettere. Det er ikke overraskende, at en populær måde at skjule en login-side på et websted er ved hjælp af et plugin. Disse plugins kommer med et sæt standard alternativ login-URL som xzy.com/wplogin.php osv. Vi er blevet uddannet til bare at gå med standardindstillinger. Når vi installerer plugin og ændrer vores URL, overvejer vi det ikke meget. Men der er kun så mange URL-adresser, som et plugin kan tilbyde. Det er ikke for svært at finde ud af denne forudindstillede login-URL. Derfor kan brug af alternativ URL i de fleste tilfælde være ineffektiv.

Problemer med brugervenlighed

Det smukke ved WordPress er, at det er let at bruge. Det er en velkendt platform. For et websted med et stort antal brugere kan ændring eller skjule login-siden udgøre visse problemer. Flere gange har vi stødt på indlæg på WordPress-fora, hvor brugere er låst ud af et websted på grund af en ændring af login-URL. I de fleste tilfælde blev ændringerne foretaget ved hjælp af et plugin, og brugerne blev ikke gjort opmærksom på situationen, der forårsager kaos.

4. Bloker ikke IP-adresser manuelt

Hvis du har et sikkerhedsplugin installeret på dit websted, får du besked, når nogen forsøger at logge ind på dit websted. Du kan nemt få fat i IP’en, der sender disse ondsindede anmodninger og bloker dem ved hjælp af .htaccess-filen. Det er et manuelt intensivt arbejde og ikke en særlig praktisk praksis.

Ikke brugervenlig

En ikke-teknisk person, der prøver at ændre .htaccess-filerne, er en opskrift på katastrofe. Et indholdsstyringssystem som WordPress har meget streng formatering. Selv at bruge de mest populære værktøjer som FTP / SFTP er meget risikabelt. En mindre fejl eller en forkert placering af kommando kan få webstedet til at gå ned.

For mange IP’er til at blokere

For at undgå at blive sortlistet bruger hackere IP-adresser fra hele verden. Tidligere diskuterede vi om manuelt at blokere IP-adresser, der konstant forsøger at bryde ind på dit websted. Arbejdet (som vi har nævnt før) kræver meget tid og kræfter, men er ikke nøjagtigt en meget effektiv brug af tid. Men hvis du bruger et af de øverste WordPress-sikkerhedsplugins, f.eks. Malcare, kan du automatisere blokeringsprocessen. Sådanne sikkerhedsplugins tager sig af alle WP-sikkerhedsløjfer.

5. Skjul WordPress

Der er en generel antagelse om, at det at skjule din CMS gør det sværere for folk med svag intention at bryde ind på dit websted. Hvad hvis vi kunne skjule det faktum, at dit websted kører på WordPress. Det vil beskytte dit websted mod hackere, der ønsker at udnytte almindelige sårbarheder. En nem måde at gøre dette på er ved (du gætte det) ved hjælp af et plugin. Men metoden mislykkes, når hackere ikke er interesserede i, hvilken platform dit websted kører på. Derudover er der en række måder at finde ud af, om et websted kører på WordPress.

Udover at bruge et plugin kan man vælge at udføre arbejdet manuelt. Men det er en tidskrævende proces. En enkelt WordPress-opdatering kan fortryde alt, hvad du arbejder inden for få sekunder. Hvilket betyder, at du enten skal gentage processen igen og igen eller vige dig væk fra WP-opdateringer. Springe over WordPress-opdateringer er som at åbne hoveddøren for en hacker til at gå lige ind i dit hjem.

6. Beskyttelse af adgangskode wp-admin fungerer ikke

WordPress-standard-login-siden (der ser sådan ud – eksempel.com/wp-admin) er en gateway til dit websted. En typisk login-side ligner billedet herunder.

Her skal du bruge dine legitimationsoplysninger for at få adgang til WordPress-dashboard. Adgangskodebeskyttelse af login-siden hjælper med at skjule eller beskytte denne gateway til instrumentbrættet. Det er en god idé, men ikke uden dens smuthuller.

LookLinux Password Protect-eksempel

Billed høflighed: LookLinux

For det første er det vanskeligt at vedligeholde eller endda ændre adgangskoden, hvis du tilfældigvis mister det. Ud over at være ineffektiv med hensyn til at yde yderligere sikkerhed, kan sådanne ændringer på dit websted vise sig at være meget farlige. Når du for eksempel beskytter admin-siden med en adgangskode, kan anmodning som /wp-admin/admin-ajax.php ikke omgå beskyttelsen. Der er plugins, der kan være afhængige af Ajax-funktionaliteten på dit websted. Og når de ikke har adgang til denne funktionalitet, begynder de at opføre sig ikke korrekt. Derfor kan dette få webstedet til at gå i stykker.

Over til dig

Hvis du har spørgsmål eller forslag til, hvad man har brug for at undgå for at sikre sin WordPress-side, så fortæl os det i kommentarerne.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map