Sådan sikres din WordPress-blog, nyttige tip til enhver bruger

Det er altid alt sjovt og spil, indtil du ikke kan logge ind på dit elskede WordPress-websted, fordi de slemme fyre overtog. Alt sjov og spil, indtil nogen bliver hacket, mister adgangen til WordPress admin dashboard og helvede bryder løs.


Dine stemninger tager det første hit. De dæmpes hurtigt, når du opdager, at du er blevet afskediget. Det er ondt og frustrerende at sige det mildt, for godt nok, en fyr derude har rod med dit levebrød, blander sig i din virksomhed og spytter i dit ansigt.

Og dreng vil du springe ind i handling, løbe rundt med hektisk forsøg på at genindsætte dit WordPress-sted, og dermed din virksomhed, til sin tidligere ære. Tro mig, du vil ikke blive hacket, ingen gør det. Men stadig sker det for alle og diverse dagligt.

Vi har dog altid dine bedste interesser i hjertet, og som sådan har vi sammensat flere foranstaltninger, du kan bruge til at styrke WordPress-sikkerhed og reducere chancerne for at være vært for ubudne gæster.

Med disse bedste praksis for WordPress-sikkerhed, ønsker vi, at du skal have den mest sikre af WordPress-websteder. Vi vil gøre vores bedste for at nedbryde punkterne, men hvis du har brug for hjælp til noget, skal du stille dine spørgsmål og / eller dele din mening i kommentarerne.

Det ud af vejen, lad os hærde dit WordPress-sted.

Start med WordPress-kvalitet

Valg af en hostingplan

Du kan helt sikkert ikke forvente topsikkerhed fra en webhost, der opkræver et buk pr. Måned. Vi har alle set disse ‘vi-har-det-alt-for-en-krone’ hosting-planer. Disse skyggefulde planer fra skyggefulde hostingfirmaer, der lover himlen for så lidt som $ 2 til $ 4 dollars om måneden. Åh, er de ikke så lokkende?

De er hovedsageligt delte hosting-pakker, der har dit websted, og dermed din virksomhed, der bor på den samme server med en million og en anden side. Alle måder af websteder – godt og dårligt. De er normalt mindre sikre i modsætning til at sige, administreret WordPress-hosting, der koster omkring $ 30 om måneden.

Hvis og / og når et af webstederne er kompromitteret, risikerer du også at blive kompromitteret. Faktisk vil du blive kompromitteret, selvom du er så årvågen som den næste fyr. Den eneste måde at afbøde webhostrelaterede angreb er at gå med en betroet vært og sikker hostingplan fra starten.

At vælge det bedste WordPress-hosting til din virksomhed behøver ikke være en udfordring, da der kun er nogle få faktorer, man skal kigge efter. De inkluderer omkostninger, kvalitet af support, politikker for sikkerhedskopiering og datastyring, opdateringer til serveren og software på den og alt andet derimellem.

Tjek artiklen, der er knyttet i ovenstående afsnit, og vær ivrig efter at vælge en elskværdig WordPress-vært baseret på blandt andet sikkerhedsfunktioner. Hvis du gerne vil springe over forskningen og gå direkte til at være vært for din WordPress-blog på sikre servere, bruger vi, elsker og anbefaler WPEngine. De leverer top-notch WordPress-hosting fuld af sikkerhedsindstillinger, der sprænger dit sind. Alt sammen til en god handel. Media Temple og Siteground er også andre store WordPress hosting valg.

Bluehost delt hosting er et godt valg også for begyndere, der tester farvande, men hvis du har brug for sikker hosting til dit WordPress-websted, bliver du nødt til at opgradere fra den delte hosting-pakke til en af ​​de andre pakker.

Hvorfor er din vært så vigtig? Jeg er blevet hacket tre gange (ja, tre gange) på deres delte pakke. Nå, det var delvis min skyld, da jeg havde overset offerets websteder, som gav hackere en feltdag at spille, som de ønskede. Jeg har siden trukket disse websteder ned, da de var potentielle risici for andre websteder på den pågældende server (hold dig rundt, da vi vil nævne en ting eller to, hvor forsømmelse af dit websted kan føre til grimme kørslen med skum af internettet aka hackere. Bliv fokuseret; vær opmærksom, eller du betaler med dit websted).

Tilbage til at vælge WordPress-hosting af høj kvalitet, hvordan gør du det? Et simpelt telefonopkald til din valgte webhost skulle være tilstrækkelig. Du skal sigte mod at se, om de kører de nyeste servere. Spørg om deres serverversioner, sikkerheden på nævnte servere og den software, de kører på disse servere.

Foretag derefter en hurtig Google-søgning for at kontrollere (eller bekræfte) frigørelsesdatoer for serversoftwaren. Dette skulle give dig en anelse om, hvorvidt de kører den nyeste software eller ej. Det vil også hjælpe dig med at bestemme, hvor hyppigt de opdaterer deres servere. Hvis de går i lange perioder uden opdateringer, skal du ikke stole på dem med din online forretning.

Vær opmærksom, og still andre relaterede spørgsmål, og stop aldrig, før du er tilfreds med, at din er den mest sikre webhost-penge, der kan købes.

Lav hø, mens solen skinner og være forberedt

Sikkerhedskopi af computerens nøgle Blåt til arkivering og opbevaring

Sikkerhedskopi af computerens nøgle Blåt til arkivering og opbevaring

Selvom det måske ikke forhindrer de onde i at bryde ind i din WordPress-blog eller din online butik, kan beredskab mindske virkningen af ​​angrebet. Jeg taler om sikkerhedskopier af data her min ven; regelmæssige sikkerhedskopier, der vil beskytte dig mod at miste vigtige data.

En sikkerhedskopi giver dig ro i sindet, så du kan sove bedre om natten. En sikkerhedskopi er den hurtige løsning, du vil have, når tingene går sydpå. Når dit fantastiske opskriftwebsted begynder at handle Viagra på alle sider, kan du kun stole på en sikkerhedskopi, der kan komme sig fra et sådant angreb.

Du skal sigte mod at tage sikkerhedskopi af hele din WordPress-installation; kernefiler, databaser og alt andet. Eksperter anbefaler endvidere at kryptere dine sikkerhedskopier og gemme en kopi af det samme på skrivebeskyttet medie.

Du kan nemt planlægge daglige sikkerhedskopier eller drage fordel af værktøjer som f.eks MySQL Workbench, WordPress Database Backup (WP-DB-Backup) og BackWPup blandt andre. Du kan også lære mere:

WordPress-plugins

Bare den anden dag, Ryan Dewhurst af WPScan opdaget (og rapporteret) en blind SQL-injektionssårbarhed i WordPress SEO af Yoast. Nu er WordPress SEO af Yoast et populært SEO-plugin, hvad med over en million aktive installationer. Dette betyder, at hvis en hacker skulle udnytte dette sikkerhedshul, ville de have haft mere end en million WordPress-websteder på deres nåde. En million plus websteder!

Åh nej, vær ikke bange. Yoast frigav en sikkerhedsrettelse samme dag, hvor sårbarheden blev opdaget. Der er dog kun et problem. I modsætning til WordPress opdateres plugins ikke automatisk, hvilket betyder, at du stadig er sårbar, hvis du ikke har opdateret til den nyeste version af WordPress SEO.

Du kan lige så godt argumentere for, at du ikke vidste noget om dette, men hackere har alle detaljerne, da info er i det offentlige rum, hvor det er let tilgængeligt for alle. Hvad fanden venter du på? Tryk allerede på opdateringsknappen. Opdater alle dine andre plugins også.

Stadig med denne WordPress-plugin-forretning skal du kun købe eller downloade WordPress-plugins fra betroede kilder. For at være på den sikre side skal du kilde dine plugins fra det omfattende WordPress Plugin Repository eller fra velrenommerede leverandører som CodeCanyon.

Der er hackere, der vil maskere som legitime plugin-udviklere i et bud på at tjene dig plugins, der er foret med ondsindet kode. Bliv ikke for deres billige tricks, få dine plugins fra betroede websteder. Derudover må du ikke forlade inaktive plugins liggende – slet alle ubrugte plugins, fordi de er et yndlingsindgangspunkt for hackere. Ja, det er de, også når de er deaktiveret.

For øvrigt, medmindre du er interesseret i WPEngine og Siteground, skal du ikke stole på din webhost for at holde dig sikker, når det drejer sig om plugin-sårbarheder – tage ansvar og bid en kugle.

WordPress-temaer

Hvis hackere ikke vil tvinge sig ind via forældede, kompromitterede eller dårligt kodede plugins, finder de smuthuller i dine temaer. Faktisk sker de fleste angreb via temaer og plugins, så ja, du skal være ekstra årvågen her.

For det første, ligesom med WordPress-plugins, har du ikke råd til at løbe rundt og hente temaer hvor som helst. Du vil fange en virus, malware eller værre og derefter græde ondt, når den ikke rammer fan.

Hvis du arbejder med et meget stramt budget eller bare starter, kan du tjekke nogle af vores gratis, men professionelt kodede WordPress-temaer eller tusindvis af gratis temaer på WordPress.org. I øjeblikket bruger jeg det gratis elegante tema fra vores helt egen stald, og det har været vidunderligt. Se? Intet forkyndende vand og spildt vin her ��

På premium-temaer giver et fantastisk tema dig $ 60 dollars tilbage på nogle af de bedste temamarkeder såsom Elegante temaer og Themeforest. Du får blandt andet et fantastisk produkt, top-skuffesupport og sikkerhedsopdateringer. Hvis du har brug for at pege i den rigtige retning, vil jeg meget gerne anbefale det elskværdige Total WordPress-tema, der intet mindre end smukt og sikkert.

Du bør bestræbe dig på at holde dit (e) tema (r) opdaterede på alle tidspunkter, for at du ikke får ret til problemer. Når det er sagt, slet alle ubrugte temaer af åbenlyse grunde.

Hvis du selv har noget ekstra grønt at bruge, eller er en WordPress-udvikler, kan du undersøge, hvordan du opretter dine egne tilpassede temaer. Dette er det eneste helt sikkert, om end dyrt middel til at få sikre WordPress-temaer.

Naturligvis skal du (eller din udvikler) følge de bedste webkodningsstandarder og eventuelt opdatere temaet / temaerne. Hvis du ansætter en webudvikler til at bygge dig et tema, skal du sikre dig, at de først er hæderlige. Du kan også kontrollere, om dit tema opfylder de nyeste WordPress-temastandarder ved hjælp af et plugin som f.eks Tematjek. Komme videre…

Opdater WordPress

wordpress-opdateringer

Du skal altid køre din online forretning på den nyeste version af WordPress, der ikke er en brainer. Du skulle tro, det er indlysende, at alle opdaterer WordPress regelmæssigt, i betragtning af at vi alle modtager anmeldelse i instrumentbrættet.

Dette er dog ikke altid tilfældet, da du ofte fanger online-iværksættere, der ikke opdaterer til den seneste version uger og endda måneder efter, at opdateringen blev frigivet.

Du kan altid få den officielle og seneste smag af WordPress på WordPress.org. Du advares yderligere mod at downloade eller installere WordPress fra ethvert andet websted, fordi du muligvis fanger noget. Noget virkelig dårligt som en bagdør udnytte hack, eller en JavaScript-kode, der uploader papirkurven og andre hacks til din server. Lad bare ikke downloade WordPress fra noget andet sted end WordPress.org.

Det er nemt at arbejde med at opdatere din WordPress-installation – bare et spørgsmål om at pege og klikke. Det rådes dog, at du sikkerhedskopierer dit websted, inden enhver opdatering skulle ske, hvis noget går i stykker. Dertil kommer du til at miste alle ændringer, du har foretaget i kernefiler, da opgraderingsprocessen påvirker alle WordPress-filer og -mapper.

Auto-opdateringsfunktionen blev introduceret i WordPress 3.7 for at tage sig af mindre sikkerhedsrettelser og gøre hele opdateringsprocessen lettere for både udviklere og slutbrugere. Nu skal du bare bekymre dig om større versionopdateringer, så ja, dit arbejde burde være let. Du skal bare slå auto-opdatering til.

Opdater, opdater, opdater eller gør dig klar til at fortryde, fortryde, fortryde.

Rengør din computer

Efter gymnasiet for ca. ti år siden arbejdede jeg kort på en cybercafé. Det var stort set interessant, da jeg mødte så mange mennesker og gjorde mit indbrud i den digitale markedsføringsverden.

Men det var ikke altid sjovt takket være orme, trojanske heste, vira, malware osv. Jeg kan huske at jeg til tider måtte lukke caféen for dagen bare for at formatere computere. Det gjorde ikke noget, jeg havde antivirusprogrammer installeret og kørt på alle computere. Men jeg tager af.

Hvis nogle hacker formår at få en nøglelogger på din maskine som en trojansk hest (hvilket betyder, at nøgleloggeren er skjult i et andet program for at maskere det faktum, at hacker registrerer hvert nøgleslag på din pc), vil du aldrig sikre dit websted uanset hvad.

Dit websted bliver hacket igen og igen, da du bare fodrer dine loginoplysninger til de onde. Og da de kan se alle dine tastetryk, har de adgang til dine online konti – alle sammen. Tal om e-mail, Facebook, Twitter, YouTube osv.

Nøglelogger hjælper, der er værre ting på den mørke side af internettet. For eksempel:

Der er faktisk vira i naturen, der vil inficere din lokale computer og derefter kigge efter åbne FTP-forbindelser og automatisk uploade en hack-fil til din webhost ved hjælp af denne forbindelse. – Brad Williams, låser WordPress

Cybercafecomputere er ikke nøjagtigt, hvordan du vil have adgang til dit WordPress admin-kontrolpanel. Det er måske uundgåeligt, men sørg altid for, at alle computere, du bruger, ikke har malware, vira og spyware. Ellers overleverer du hackere dine login-oplysninger og mere på en sølvfad.

Sørg for, at dit operativsystem og dine programmer på din computer er ajour. Tænd derefter dine firewalls og få det bedste antivirusprogram. Jeg blev træt af at formatere computere hele tiden, så jeg rejste for at finde det bedste antivirusprogram. Og jeg fandt det. Siden da har jeg brugt og elsket Eset.

Desuden skal du holde dig væk fra upålidelige websteder, men hvis du skal – nysgerrighed, skal du deaktivere alle scripts, dvs. Java, JavaScript, Flash osv. I din browser. Eller bare ikke besøge de blodige effin’ sites.

Opret stærkere adgangskoder

reset-wordpress-adgangskode

Det er historietid. Denne ene gang havde jeg en kaffe for mange, og jeg oprettede et WordPress-sted, som jeg “kreativt” døbte # YouCan’tHackThis. Kreativt er i citater, fordi jeg red bølgerne af en kaffe høj. Måske havde jeg haft en drink eller to inden kaffen; Jeg kan bare ikke huske det. Jeg opretter mange WordPress-websteder bare for sjov.

Mit brugernavn var … Vent på det … Uhackulture (vi får skylden på kaffen) og mit kodeord var, ja, jeg kan ikke huske det. Det var dog en beskadigelse, adgangskoden, og netop af denne grund holdt det aldrig grund, når en uhøflig internetperson (eller ting) ramte login-siden med ‘brute force’.

Lang historie kort, mine forsvar kom ind og # YouCan’tHack Dette faldt som Jerichos vægge. Google sendte mig den frygtede “Hacking Suspected” e-mail med en prøve-URL, og ved yderligere undersøgelse fandt jeg masser af affald.

Hackeren havde modenhed til at lægge et skærmbillede af deres desktop på min elskede # YouCan’tHack. Dette var som for at plage mig. Han / hun / det havde tarme, siger jeg jer, for oven på skærmbilledet var der sider og sider med fnug, fyldstofindhold, der ikke havde nogen retning.

Jeg trak hele webstedet ned og øgede sikkerheden på mine andre websteder. Jeg installerede iThemes Security, og i dag er alt, hvad jeg får, e-mails med “Site Lockout Notification”. Hvis nogen forsøger at tvinge sig ind på et af mine websteder ved hjælp af brute force, er de låst i et århundrede! Ja, det er 100 år i bin hacker. Haha, jeg bliver ført væk.

site-lockout-meddelelse

Svage adgangskoder får dig til at blive hacket. Tilsvarende vil det admin-brugernavn, du holder fast så kært, gøre det let for hackere. Opret personaliserede brugernavne, når du installerer WordPress, og brug styrkeindikatoren, når du opretter din adgangskode. Det burde være nok, men hvis du gerne vil gå den ekstra kilometer, skal du tjekke ud 1Password og KeePass værktøjer.

Rapporter sikkerhedssårbarhed

Det er dit ansvar som WordPress-bruger at rapportere en sikkerhedssårbarhed, så snart du opdager det.

For det første er det god karma. For det andet kommer det der går rundt. For det tredje, hvis sårbarheden er i et plugin eller et tema, du bruger, får du sikkerhedsopdateringer og en stor tak. Dit websted er ikke kompromitteret som et resultat, og du bygger en god rep, mens du gør verden til et bedre sted.

Det er vores kollektive ansvar som WordPressers at påpege alle sikkerhedshuller, vi støder på. Når alt kommer til alt er det til vores eget bedste.

Stram fil- / mappetilladelser

Vi kommer nu ind i WordPress-sikkerhed. Som en absolut nybegynder ville jeg hader for dig at narre ud. Jeg ryster og serverer det kølet, lige som du vil. Nu sker det.

Hvis hver Tom, Dick og Harry, der får adgang til din server, kan redigere (alias skrive til) dine filer og mapper, er der så lidt, du kan gøre for at stoppe den skade, der følger.

Men hvad nu hvis vi lavede visse filer og mapper, der kun kunne skrives af dig? Nå, hackerne ved ikke, hvad de skal gøre. De bryder muligvis i orden, men skaden, de ville forårsage, når dine filer ikke kan redigeres / skrives, er minimal. At låse dine filtilladelser er en sikkerhedsforanstaltning, du vil implementere, mere hvis du har en delt hostingplan.

Men hvordan skal du gøre med denne fil / mappetilladelsesvirksomhed? Her er en mulig plan at følge:

  • Alle filer i rodmappen skal kun kunne skrives af dig
  • / wp-admin / – alle filer skal kun kunne skrives af dig
  • / wp-inkluderer / – alle filer skal kun kunne skrives af dig
  • / wp-indhold / temaer – alle filer skal kunne skrives af dig og webserveren
  • / wp-content / plugins – alle filer skal kunne skrives af dig

Hvordan indstiller du fil- / mappetilladelser?

For at tilfredsstille ovenstående skema skal du indstille tilladelser til 755 for mapper og 644 for filer. Hvordan? Det er den nemmeste del. Du kan bruge din FTP-klient (såsom Filezilla) eller logge direkte ind i din File Manager via cPanel.

Brug af FTP

Når du er logget ind på din webserver via FTP, skal du finde det bibliotek / fil, du vil indstille tilladelser, højreklikke på den og vælge ‘Filtilladelser’. I de popup-skærmbilleder, der vises, skal du vælge de tilladelser, som du finder passende. Pop-up’en kan se sådan ud:

fil-tilladelser-popup-filezilla

Og her er den fulde liste over filtilladelser fra 000 til 777.

fil-tilladelser-fuld-liste

Brug af Filhåndtering

wordpress-sikkerhed-bluehost-cpanel

Log ind på din cPanel, og naviger til File Manager. Når det indlæses, skal du vælge dit bibliotek eller din fil og klikke på “Skift tilladelser” i menuen øverst. Alternativt kan du vælge din mappe eller fil, højreklikke på den og vælge “Skift tilladelser” i rullemenuen, der vises.

Her er nogle vejledninger:

wordpress-sikkerheds-change-fil-tilladelser

Højreklik på indstillingen …

wordpress-sikkerheds-change-fil-tilladelser-højre-klik

Pop-up “Skift tilladelser”:

wordpress-sikkerheds-change-fil-tilladelser-popup

Vil du lære mere? Læs mere om filtilladelser her. Går hurtigt videre …

To-trins autentificering

Den bedste måde at beskytte dine online aktiver er at gøre det utroligt svært for de onde at logge ind. Hvis du kan holde dem ude, har du vundet halve kampen. Det er her to-trins (eller to-faktor) autentificering kommer ind.

Når du kombinerer stærke adgangskoder og tofaktorautentisering, tilføjer du et lag beskyttelse til dit websted. Du forbedrer sikkerheden på dit WordPress-sted to gange.

Og da vi har plugins som f.eks Google Authenticator, WordFence, Authy og Duo, implementering af totrins-godkendelse burde være den nemmeste WordPress-sikkerhedsforanstaltning, du kan indføre lige i dette øjeblik.

Brug SSL

SSL er forkortelse for Secure Sockets Layer, som er en standard måde at etablere et sikkert, krypteret link mellem et websteds server og en brugers browser.

Til tider i stedet for at forsøge at nedbryde dit websted forsvar, kan hackere muligvis beslutte at kapre de pakker med data, som du sender fra din browser til webserveren. Når de åbner disse pakker, får de let adgang til dine loginoplysninger osv.

Hvad skal man gøre? Du skal bruge SSL-kryptering, som beskytter fortroligheden og integriteten af ​​alle de data, der passerer mellem dit websted og serveren. Dette er nøjagtigt hvorfor du finder alle større websteder, der bruger HTTPS i modsætning til HTTP i deres domæner.

Det er let at implementere og kan spare dig for meget tid og frustration. Bare kontakt din domæneregistrator eller webhost, så installerer SSL dig. SSL-certifikater er normalt også billige, så du skal spare et penge eller to.

Deaktiver ubrugte brugerkonti

Tænk på brugerkonti på dine WordPress-websteder som pladser i en bus. Hvis der er et tomt sæde, vil nogen komme videre. Hvis sædet ellers er besat eller ikke findes, ja, er det ingen, der tager det særlige sæde.

Hvis du har aktiveret brugerregistrering på dit WordPress-websted, skal du kamme gennem brugerkonti en gang imellem og fjerne ubrugte konti og alle konti oprettet af spammere. Hvis du forlader disse, beder du bare om at blive hacket – og blive hacket, bliver du.

Alternativt kan du deaktivere brugerregistrering helt ved at gå til Indstillinger -> Generelt og fravælge ‘Alle kan registrere’, hvor du har Medlemskab. Du kan se alle brugere ved at navigere til Brugere -> Alle brugere på din WordPress-administratormenu.

På samme tid kan du begrænse tilladelser på nye brugerkonti. Dette gør du let ved at navigere til Indstillinger -> Generelt – Ny bruger standardrolle og indstilling af indstillingen til ‘Abonnent’. Andre roller inkluderer bidragyder, forfatter, redaktør og administrator. Du ønsker bestemt ikke, at nye brugere skal have administratorrettigheder. Bedst at tildele brugere kun de privilegier, de har brug for til at udføre deres job.


Jeg kunne fortsætte og gå, men jeg vil bare overvælde dig med masser af information, hvilket bestemt aldrig er min intention. Vi vil meget gerne have, at du har handlingsrige tip, som du kan begynde at implementere lige i dette øjeblik, men det vil være en rørdrøm, hvis jeg druknede din opmærksomhed i en dæmning med factoider og hvad ikke. Så det er her jeg tager min bue og lader gardinerne lukke.

Tilbage til dig, skal du begynde at arbejde på de områder, vi har nævnt lige nu, fordi jo længere du venter, jo lettere bliver det for de onde. Start bare med et område, og gå videre derfra, og hvis du sidder fast eller er i tvivl, skal du bringe dine bekymringer til kommentarsektionen nedenfor. Eller hvis du har et tip til at tilføje, så fortæl os det – vi venter, og det er et højtideligt løfte. Alle de bedste amigos!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map