WordPress és un dels sistemes de gestió de continguts més utilitzat a Internet. WordPress s'ha convertit en un sistema de gestió de contingut preferit a causa de les seves funcions riques. Al mateix temps, també s'havia convertit en el sistema de gestió de contingut preferit per als atacs dels pirates informàtics. Si teniu un lloc de WordPress preocupat per la seguretat de les vostres dades al lloc de WordPress, aquí teniu el que heu de fer.
Tingueu en compte que les mesures de seguretat que tractaré aquí són les mesures bàsiques de seguretat que haurien d’utilitzar tots els llocs. Per protegir-vos dels atacs de robots endurint el vostre wordpress. I també hauríeu de completar el funcionalisme dels vostres connectors al vostre lloc de WordPress, és a dir, heu de saber què passareu al vostre lloc a partir de la mesura que esteu prenent.
Aquí teniu algunes mesures bàsiques de seguretat completes que heu d’implementar al vostre lloc de WordPress per protegir-vos del pirateig.
Abans de continuar llegint, assegureu-vos que l’ordinador / ordinador portàtil que utilitzeu per iniciar la sessió al tauler de WordPress i al tauler d’allotjament no estigui completament lliure de programari maliciós ni virus. lloc. Consulteu les funcions del connector de seguretat i els funcionalistes complets d’aquest connector, ja que algunes de les mesures que s’esmenten a continuació també poden ser implementades pels connectors. Per tant, és obligatori que passeu pel vostre connector per evitar conflictes.
I assegureu-vos de fer la còpia de seguretat completa del vostre lloc de WordPress.
Utilitzeu contrasenyes segures:
Sempre es recomana utilitzar la contrasenya segura. Sempre tingueu el costum d’utilitzar una contrasenya aleatòria per als vostres comptes sensibles. Si no voleu utilitzar una contrasenya aleatòria, heu de triar quina hauria d’estar molt lluny d’endevinar la vostra contrasenya. Si creieu que podeu oblidar la contrasenya. A continuació, utilitzeu millor els gestors de contrasenyes.
I també és una bona idea protegir el vostre compte de WordPress amb una doble autenticació. Podeu habilitar la doble autenticació al vostre lloc de WordPress, el connector de seguretat DUO WordPress, Clef i un altre nom de complement,
No utilitzeu el nom d'usuari d'administrador:
Sempre es recomana no utilitzar el nom d’usuari predeterminat Admin com a nom d’usuari del compte de WordPress. Com que aquest nom d'usuari és el nom d'usuari per defecte, alguns atacants creen un bot que intenta iniciar la sessió amb una contrasenya diferent en aquest nom d'usuari (atac de força bruta). Com que la majoria dels atacs de forces brutes es prenen amb valors predeterminats, podem evitar pocs atacs de bot al nostre lloc utilitzant valors diferents dels predeterminats. Aquesta és la raó per la qual algunes empreses d’allotjament com SiteGround, BlueHost ens permetran obtenir el nom d’usuari desitjat abans d’instal·lar-se . Si utilitzeu un nom d'usuari per defecte, consulteu aquest missatge per canviar el nom d'usuari del compte de WordPress PHPMYADMIN.
Actualitzeu el vostre WordPress: -
No heu d’aturar mai l’actualització del vostre lloc de WordPress. Si oblideu actualitzar el vostre lloc de WordPress, convideu els pirates informàtics amb catifa vermella a piratejar el vostre lloc. Les actualitzacions de WordPress no només contenen les funcions, sinó que també contenen algunes actualitzacions de seguretat.
Amaga la versió de WordPress: -
Heu d’amagar la vostra versió de WordPress. Perquè si reveles el teu número de cérvol de WordPress. Serà més fàcil per als pirates informàtics conèixer els venluaribits de WordPress en aquesta versió i poden treballar fàcilment en aquesta venerabilitat per aconseguir el vostre lloc.
Per eliminar la versió de WordPress, només cal afegir la següent funció
al fitxer functions.php que es trobarà al fitxer del tema.
Utilitzeu només complements i temes de confiança: -
Sempre és recomanable que descarregueu i utilitzeu sempre els temes dels connectors i reprosicotips de WordPress. No hauríeu d’instal·lar mai els connectors ni els temes (anul·lats) d’altres fonts sense restriccions. Normalment, la gent sol utilitzar gratuïtament els temes i connectors premium de fonts poc fiables. Aquesta és una trampa per part dels atacants, que agafen els complements i temes de primera qualitat i insereixen el codi maliciós als connectors i temes, cosa que envia informació valuosa del vostre lloc a l'atacant per piratejar-lo. Per tant, no utilitzeu mai els connectors de fonts no fiables i recordeu: Abans d’utilitzar connectors o temes d’altres recursos, podeu provar els connectors del lloc de demostració de WordPress i provar-los amb alguns connectors d’escàner que funcionen igual que els antivirus del vostre equip. Aquí hi ha alguns connectors que hauríeu d’utilitzar al lloc de demostració per escanejar-los:
El comprovador d'autenticitat de temes (TAC) s'obté de aquí
El comprovador d’autenticitat de temes és un complement gratuït que us ajuda a cercar el codi maliciós dels temes.
Sucuri: -
Sucuri és un dels millors connectors d’escàner per al vostre WordPress que analitza el vostre lloc complet de WordPress per obtenir codi maliciós al vostre lloc. Sucuri ofereix una versió de pagament que ofereix l'eliminació de codi maliciós. Hi ha una versió gratuïta d’aquest connector, però el complement de pagament ofereix un gran suport al vostre lloc.
Exploit Scanner: - Si busqueu la millor alternativa al Sucuri, haureu d’aconseguir l’Explorer Scanner.
Supressió dels connectors i temes no desitjats.
Tot i que no hi haurà cap efecte directe sobre el rendiment del vostre lloc de WordPress, sempre heu d’eliminar els connectors i temes no desitjats i no utilitzats del vostre lloc. .
Actualització de les claus de seguretat de WordPress
WordPress utilitza algunes claus de seguretat que són un conjunt de lletres, números i símbols aleatoris per xifrar la informació de les cookies. A continuació, es pot actualitzar les claus de seguretat de WordPress al seu lloc.
Primer obteniu el conjunt de claus de seguretat aquí. (Generador de claus de seguretat oficial de WordPress).
Tan bon punt feu clic a l'enllaç, es generaran les claus. Copieu-los i col·loqueu-los al fitxer wp-config.php. Si els valors ja hi són al fitxer, substituïu-los per les claus recentment generades.
Desactiveu l'edició de fitxers: -
Per defecte, WordPress us permet editar els fitxers php (de connectors i temes) des del tauler de WordPress. La qual cosa és una característica fantàstica, però es pot utilitzar amb finalitats malicioses si es dóna accés a altres persones (permetre els registres). Per tant, es recomana desactivar aquesta funció per evitar problemes innecessaris.
Només podeu afegir la següent línia
define ('DISALLOW_FILE_EDIT', cert);
al fitxer wp-config.php.
Tingueu en compte que això no pot impedir que l'atacant executi el codi des del back-end, sinó que s'aturarà al frontend. Si afegiu aquesta línia al fitxer, s'eliminaran totes les funcions d'edició de PHP per a cada usuari.
Canvieu el prefix predeterminat de la base de dades de WordPress: -
WordPress mentre la instal·lació automàtica crea una nova base de dades per al vostre lloc de WordPress. Per defecte, WordPress crea una nova base de dades amb wp_ com a prefix de taula. Això permet als vostres atacants i robots saber fàcilment les taules de la vostra base de dades sobre les quals haurien d’atacar. Per tal d’aturar-ho, hem de canviar el prefix de la base de dades del valor per defecte al prefix generat aleatòriament. (Tingueu en compte que alguns allotjadors web substitueixen automàticament el prefix de la taula per defecte, ja que no cal canviar).
Feu servir aquest connector Canvieu el prefix DB per canviar el prefix de la vostra base de dades des del tauler de WordPress
Desactiveu la navegació de directoris:-
Haureu de desactivar la navegació de directoris al vostre lloc de WordPress. Si activeu la navegació de directoris al vostre lloc, el món podrà veure els directoris presents al vostre lloc, cosa que revela l'estructura del vostre lloc i informació valuosa als atacants. Podeu aturar-ho afegint un fitxer index.html o index.php buit a tots els fitxers. Aquest mètode és útil per a llocs petits amb menys nombre de directoris, en cas que sigui gran, requereix molt de temps, de manera que podem afegir aquesta petita línia al fitxer .htaccess.
Opcions: índexs
Protegiu el vostre wp-config.php
La protecció del fitxer wp-config.php del món exterior és obligatòria perquè aquest fitxer consta de molta informació sensible sobre el vostre lloc. Donar accés a aquest fitxer al món exterior és convidar-los amb una catifa vermella a piratejar el vostre lloc.
A continuació s’explica com podeu protegir el fitxer wp-config.php. Afegiu les línies següents al fitxer .htaccess.
<Files wp-config.php />
order allow,deny
deny from all
</Files>
Protegiu el fitxer .htaccess
Protegir el fitxer .htaccess és tan important. Podeu protegir el fitxer .htaccess perquè no hi accedeixi afegint les línies següents al fitxer .htaccess
<Files .htaccess />
order allow,deny
deny from all
</Files>
Deixeu de mostrar missatges d'error: -
Haureu de deixar de mostrar els missatges d'error a la pàgina d'inici de sessió. Perquè quan introduïu credencials no vàlides a la vostra pàgina d’inici de sessió, WordPress mostra un exemple de missatge d’error genèric quan introduïu un nom d’usuari incorrecte, rebreu un missatge d’error com segueix: ERROR: Nom d'usuari no vàlid i quan l'atacant introdueix el nom d'usuari correcte i introdueix la contrasenya incorrecta, el missatge d'error serà Contrasenya no vàlida per a la contrasenya donada. Aquí dóna una pista completa a l'atacant per estalviar temps. Així que eviteu-ho, simplement podem afegir la següent funció al fitxer functions.php (present al vostre tema actual)
add_filter ('login_errors', create_function ('$ a', "return null;"));
Afegiu una llista negra 5G: -
Si afegiu 5G BlackList al vostre lloc, us proporcionarà una protecció addicional contra les sol·licituds incorrectes i les activitats malicioses del vostre lloc.
Aquí hi ha una llista completa de la llista negra 5G per afegir aquest script al fitxer .htaccess. Aquest script de Jeff de perishablepress és completament segur d’utilitzar. Si teniu algun problema després d’afegir aquest script, penseu en suprimir-lo o considerar la raó.
# 5G BLACKLIST / FIREWALL (2013) # @ http://perishablepress.com/5g-blacklist-2013/ # 5G: [QUERY STRINGS] RewriteEngine On RewriteBase / RewriteCond% {QUERY_STRING} ("|% 22). * (< |> |% 3) [NC, OR] RewriteCond% {QUERY_STRING} (javascript:). * (;) [NC, OR] RewriteCond% {QUERY_STRING} (<|% 3C). * Script. * (> |% 3) [NC, OR] RewriteCond% {QUERY_STRING} (| ../ | `| = '$ | =% 27 $) [NC, OR] RewriteCond% {QUERY_STRING} (; |' |" |% 22). * (union | select | insert | drop | update | md5 | benchmark | or | and | if) [NC, OR] RewriteCond% {QUERY_STRING} (base64_encode | localhost | mosconfig) [NC, OR] RewriteCond% {QUERY_STRING} ( boot.ini | echo. * kae | etc / passwd) [NC, OR] RewriteCond% {QUERY_STRING} (GLOBALS | SOL·LICITUD) (= | [|%) [NC] RewriteRule. * - [F]
Això és tot això són algunes de les mesures bàsiques de seguretat de WordPress que heu de prendre al vostre lloc.
