Como proteger wordpress de intrusão: sua lista de leitura obrigatória

Botnets em todo o mundo voltaram sua atenção de enviar e-mails de spam para cortar sistematicamente em WordPress installs- é um negócio lucrativo, dado que WordPress poderes de 40% de todos os blogs. Especialmente considerando que mesmo que foi vítima a este, é sobre o tempo que fizemos um post completo sobre exatamente como proteger instalar o WordPress auto-hospedado.

Nota: este conselho só se aplica a auto hospedado instalações WordPress. Se você usar o WordPress.com, você geralmente não precisa se preocupar com segurança, porque eles lidar com tudo isso para você. Qual é a diferença entre WordPress.com e WordPress.org?Qual é a diferença entre executar o seu blog no Wordpress.com & Wordpress.org?Qual é a diferença entre executar o seu blog no Wordpress.com & Wordpress.org?Com Wordpress agora alimentando 1 em cada 6 sites, eles devem estar fazendo algo certo. Para ambos os desenvolvedores experientes e os novatos completa, Wordpress tem algo para lhe oferecer. Mas, assim como você começar em ...consulte Mais informação

Instale o Google autenticador de duas etapas

Se você já tem autenticação em dois passos ativada para sua conta do Gmail ou outros serviços, você pode usar o mesmo aplicativo autenticador com este plugin para WordPress.

Felizmente, você pode restringir a autenticação de dois passos para ser usado apenas em contas de nível superior assim você não precisa incomodar todos os seus usuários.

proteger wordpress

Entrada Lockdown

Um plugin de idade, mas ainda trabalhando como intended- Entrada Lockdown verifica o IP de tentativas de login e bloqueia uma faixa de IP por uma hora se ele falhar 3 vezes em 5 minutos. Simples, eficaz.

Fazer backups regulares

Hackers não vai apenas mudar um arquivo, mas vai colocar seu próprio painel de controle escondido em algum lugar e outros backdoors ocultos - de modo que mesmo se você corrigir o corte original, eles vêm de volta e fazer tudo de novo. Tome diárias ou semanais backups para que você possa facilmente restaurar de volta a um ponto onde não havia nenhum vestígio do hacker - e certifique-se de corrigir tudo o que foi que eles fizeram para entrar Pessoalmente, eu só investiu em um $ 150 licença de desenvolvedor de Backup Buddy. - é a solução de backup mais fácil e mais abrangente que eu encontrei ainda.

proteger site WordPress

Impedir indexação de pastas

Verifique a raiz da instalação do WordPress para o arquivo .htaccess (observe o período no início - você pode precisar para mostrar arquivos invisíveis para ver isso), e garantir que ele tem a seguinte linha. Se não, adicioná-lo - mas faça um backup primeiro como este arquivo é muito crucial.

Video: MEUS HÁBITOS DE LEITURA | Estante Cheia

Opções Todos os -Indexes

Ficar atualizado

Não cometa o mesmo erro que fizemos: sempre atualizar WordPress assim que uma atualização está disponível. Às vezes, as atualizações contêm pequenas correções de bugs e não correções de segurança, mas adquirir o hábito e você não terá um problema. Se você tem instalar mais de um WordPress e não pode manter o controle de todos eles, confira ManageWp.com, um painel prémio para todos os seus blogs, que inclui varredura de segurança.

Video: Biblioteca Virtual e Salão de Leitura - CRA-RJ faz por você

Não apenas arquivos WordPress núcleo, mas plugins também: um dos maiores hacks WordPress do passado envolveu uma vulnerabilidade em um script gerador comum de miniatura chamado timthumb.php, e ainda há temas lá fora, que usam a versão antiga. Embora plugins foram atualizados rapidamente, mantendo temas até à data é mais difícil, é claro - WordPress não irá dizer-lhe se o seu tema é vulnerável, e por isso você algum tipo de plugin de varredura de segurança - desloque-se para o Plugins segurança seção abaixo algumas sugestões.

Nunca Baixar aleatórios Temas

A menos que você saiba o que está fazendo com o código PHP, é muito fácil cair na armadilha de download de um tema bonito da aleatória de algum lugar, apenas para descobrir que ele tem algum código desagradável lá - mais comumente backlinks que você não pode remover, mas pior pode ser encontrado. Atenha-se tema designers bem conhecidos premium e (Tal como Smashing Magazine ou WPShower), ou para temas livres usar somente o diretório do tema WordPress.

Excluir Plugins não utilizados e Temas

O código executável menos que você tem no seu servidor, melhor - remover a chance de ter um código antigo, vulnerável, eliminando temas e plugins que você não está usando mais. Desativá-los vai simplesmente parar seu carregamento funcionalidade com WordPress, mas o próprio código ainda pode ser executável por um hacker.

Video: Meta de Leitura #2

Remover Meta Diga-conto em seu cabeçalho

Por padrão, o WordPress transmitir sua versão para o mundo no código do seu arquivo de cabeçalho - uma maneira fácil para hackers para identificar instalações mais antigas. Adicione as seguintes linhas ao seu tema de functions.php arquivo para remover a versão do WordPress, Windows Live informações Escritor e uma linha que ajuda os clientes remotos encontrar o seu arquivo XML-RPC.



remove_action ( `wp_head`, `wp_generator`) -remove_action ( `wp_head`, `wlwmanifest_link`) -remove_action ( `wp_head`, `rsd_link`) -

Remova a conta “admin”

A maioria ataques de força bruta sobre WordPress envolvem repetidamente tentar o administrador conta - o padrão para todos os WordPress instala - e um dicionário de senhas comuns. Se você quer entrar com administrador ou ter a conta de administrador listados na tabela de usuário, você está vulnerável a este.

Duas maneiras de corrigi-lo: ou uso wp-optimize plugin - uma grande plugin que entre outras coisas, permite que você desabilite pós revisões e executar a otimização de banco de dados - para renomear conta de administrador. Ou simplesmente criar outra conta com privilégios de administrador, efetue login como o novo usuário, em seguida, excluir a conta “admin” atribuir todas as mensagens para o novo usuário.

proteger site WordPress

As senhas seguras

Mesmo se você tiver desativado a conta de administrador, pode ser possível identificar o nome de usuário de sua conta de administrador - em que ponto você está vulnerável a um ataque de força bruta novamente. Adote uma senha forte de 16 ou mais caracteres aleatórios consistindo de maiúsculas e minúsculas, pontuação e números.

Ou simplesmente usar o reallyLongSentenceThatsEasyToRememberMethod.

Desactivar a edição de arquivos dentro WordPress

Para aqueles que não gostam de fazer login através de FTP, WordPress inclui um editor fácil no painel de administração para arquivos de tema e plug-in PHP - mas isso torna a sua instalação vulnerável se alguém tem acesso. Na verdade, esta é a forma como alguém conseguiu injetar um redirecionamento de malware em nosso cabeçalho. Adicione a seguinte linha para o fundo do seu wp-config (Na pasta raiz) para desativar todos os recursos de edição de arquivos - e uso SFTP para acessar seu servidor em seu lugar.O SSH é & Como é diferente de FTP [Tecnologia Explicada]O SSH é & Como é diferente de FTP [Tecnologia Explicada]consulte Mais informação

define ( `DISALLOW_FILE_EDIT`, true) -

Ocultar erros de Acesso

Uma senha incorreta ou nome de usuário errado pode ser identificado pelos erros dadas quando efetuar o login, que poderiam ser usados ​​para identificar contas para brute-forcing. Isso não é bom, obviamente, então matar os erros com esta adição ao seu tema de functions.php Arquivo

função no_errors_please () {return `Nope` -} add_filter ( `login_errors`, `no_errors_please`) -

Ative Cloudflare

Bem como acelerar o seu site, CloudFlare mitiga muitas botnets conhecidos e scanners de sequer chegar ao seu blog em primeiro lugar. Ler tudo sobre CloudFlare Aqui. A instalação é um clique se você estiver hospedado no MediaTemple, caso contrário, você vai precisar de acesso ao painel de controle de domínio para alterar os servidores de nomes.Proteger & Acelerar o seu site gratuitamente com CloudFlareProteger & Acelerar o seu site gratuitamente com CloudFlareCloudFlare é uma intrigante start-up dos criadores do Projeto Honey Pot que pretende proteger seu site de spammers, bots e outros monstros do mal web -, bem como acelerar o seu site um pouco ...consulte Mais informação

proteger site WordPress

Plugins segurança

  • Melhor WP Segurança implementa muitas dessas correções para você e é a solução livre mais completo que existe.proteger wordpress
  • WordFence é um pacote premium que verifica ativamente seus arquivos para links de malware, redirecionamentos, vulnerabilidades conhecidas etc - e fixa-los. O preço começa em US $ 18 / ano por um site.
  • solução de segurança de login ambos os limites de sessão tentativas e impõe senhas seguras.
  • segurança BulletProof é um plugin completo, mas complexo que lida com alguns dos aspectos mais técnicos, como XSS injeção e problemas .htaccess. A verison Pro do plugin também está disponível que automatiza grande parte do processo.

Eu acho que você vai concordar este é uma lista bastante abrangente de medidas para endurecer WordPress, mas eu não estou sugerindo que você implementar todos deles. Se eu tivesse que fazer tudo isso para cada site que eu já configurado, eu ainda estaria configurá-los agora. A execução de qualquer tipo de sistema apresenta um risco, e é finalmente até você encontrar o equilíbrio entre o nível de segurança desejado e o esforço que você deseja colocar em protegê-lo - nada está indo cada vez para 100% segura. Os frutos mais baixos aqui são:

  • Mantendo WordPress atualizado
  • Desativando a conta de administrador
  • Adição de autenticação em dois passos
  • A instalação de um plugin de segurança

Fazendo aqueles sozinho deve colocá-lo acima de 99% de todos os outros blogs por aí, o que é suficiente para fazer potenciais hackers passar para alvos mais fáceis.

Você acha que eu perdi alguma coisa? Diga-me nos comentários.


Artigos relacionados