Er dit websted sikkert?
WordPress sikkerhed bliver ofte omtalt som “hardening”. Det giver også god mening. Når alt kommer til alt, er processen at du gerne vil tilføje forstærkninger til dit slot. Det handler om at styrke porte og lægge udkigsposter på hver tårn. Men dette giver dig ikke altid mulighed for forstå de detaljer, der går ud på at forbedre webstedet sikkerhed.
Selv hvis du har gjort næsten ingenting for at forbedre dit websteds sikkerhed, er det sandsynligt, at du har mindst et overfladisk kendskab til nogle populære taktikker. Det er også sandsynligt, du har hørt om et plugin eller to, der kan få arbejdet gjort. Vi kommer ikke til at tale om disse ting i dag, dog.
Denne artikel vil fokusere mere direkte på de måder, du kan sikre dit websteds admin områd, og mere specifikt end det, de måder, der ikke diskuteres i de fleste lister omkring WP derude på nettte. Fordi sikkerhed er ekstremt alvorligt og mega vigtigt.
Fakta:
Vidste du, 73% af de populære websteder, der bruger WordPress blev betragtet som “sårbar” i 2013?
Eller at af de 10 mest sårbare plugins på markedet,var de fem kommercielle plugins der kan købes?
Værre endnu, en af de fem plugins var faktisk et sikkerheds plugin, det er om noget ja, temmelig forfærdeligt.
Mens kerne installation af WordPress er meget let at bruge og relativt sikker, ja så er det sådan at jo mere du tilføjer på toppen af WordPress via plugins, temaer og brugerdefineret kode, jo mere sandsynligt er det at blive hacket. Og jo flere brugere, du føjer til en given installation, stiger sandsynligheden yderligere for mere sårbarhed. Det er dårlige nyheder hele vejen rundt for borgere og virksomheder.
Med det i mente så, lad os bruge lidt tid i dag på at udforske de 12 måder, du kan sikre at dit websteds backend (admin området)dine oplysninger (og dine kunders) så det stadig er sikkert.
Se side 2 og 3 også >>
[nextpage title=”Side2″]
Hvad du bør vide Allerede
Jeg vil ikke bare tale om de mere almindeligt refererede sikkerhedsløsninger her, men i tilfælde af at nogen læser dette og ikke er så velbevandret i WordPress, tager jeg det dog med alligevel i det mindste lister jeg dem op. Selv hvis du er en WordPress pro, er det rart at have denne liste som der kan henvises til, måske kan det være nyttigt, når du i gang med at gennemføre sikkerhedsstrategier på dine egne websteder.
Hold WordPress up-to-date. Noget så enkelt kan have en stor indvirkning på stedets sikkerhed. Når du logger ind på admin / dashboard og ser, et “Update er tilgængelig” banner, så klik på det og opdater din hjemmeside. Hvis du er bekymret for der sker et nedbrud så, lav en sikkerhedskopi, før du installerer den. Det vigtigeste er, at du gør det, og med regelmæssighed. Oplysninger om eventuelle sikkerhedshuller, som er fastsat i den tidligere version er nu altid tilgængelig for offentligheden, hvilket betyder en forældet hjemmeside er endnu mere sårbar.
Hold plugins og temaer up-to-date. Ligesom du opdaterer WordPress Core regelmæssigt, bør du også opdatere plugins og temaer. Hvert plugin og tema installeret på dit websted er som en bagdør ind i dit websteds admin. Medmindre det er ordentligt sikret (undersøgt grundigt, opdateret jævnligt, osv), plugins og temaer er som en åben dør til din personlige info og data.
Slet eventuelle plugins eller temaer, du ikke bruger. i tråd med samme tankegang som hvad der er anført her ovenfor, så kom af med eventuelle plugins eller temaer, du ikke har brug for, det vil reducere sandsynligheden for at blive hacket. Hvis du ikke bruger dem, har du nok heller ikke et ønske om at opdatere dem, så det er en meget bedre idé at slette dem. Læs: Deaktivering af plugins er ikke nok; du skal faktisk klikke på “Slet”.
Hent kun plugins og temaer fra kendte kilder. Når du kan, downloade plugins og temaer fra WordPress.org er det faktisk din bedste satsning, da de vil være blevet grundigt scannet før de bliver released. Hvis du vil have et premium tema eller plugin, bør du kun hente dem fra velrenommerede kilder som Themeforest eller fra en højt respekteret developers hjemmeside som du selv mener er sikker og har hørt, eller læst om.
Skift filrettigheder. Undgå at konfigurere mapper med 777 tilladelser. Du bør vælge 755 eller 750 i stedet, ifølge WordPress.org. Mens du er ved det, skal du indstille filer til 640 eller 644 og wp-config.php til 600.
Brug ikke “admin” som brugernavn. Hvis du allerede har installeret WordPress med “admin” som brugernavn eller noget andet meget simpelt, kan du ændre det ved at indputte en en SQL forespørgsel i PHPMy Admin eller ved at følge instruktionerne, her i dette indlæg om emnet.
Ændr din adgangskode ofte (og gør det godt). Tilfældige strenge af bogstaver og tal er bedst. Hvis du ikke har lyst til at komme op med noget manuelt, kan du bruge en adgangskode generator til at udføre opgaven som Norton Password Generator eller Strong Password Generator. Jamen jeg er vant til mit password så skal jeg jo starte forfra med at lære et ny? Ja du skal hvis du vil undgå at blive hacket så er det et af de “lag” der skal til desværre.
Sørg for at dine brugere etablerer stærke brugernavne og adgangskoder. Det er alt fint og godt, hvis du opretter et godt brugernavn og adgangskode, men hvis dine brugere ikke gør det, vil din personlige indsats ikke være noget værd, og dit websted vil være lige så sårbart.
Tilføj totrins-godkendelse. En rigtig god måde at forhindre brute force-angreb er at oprette to-trins-godkendelse. Det betyder en adgangskode er påkrævet plus en tilladelse kode, der er sendes til din mobil telefon via SMS for at logge ind på dit websted. Adskillige plugins kan bruges til at tilføje denne funktion, herunder Clef, Google Autentificering og Duo Two Factor Authentication.
Installer en firewall på din computer. Det er et ekstra skridt, ja, men let at gøre. Og når det er installeret tilbydes endnu et lag af beskyttelse mod hackere og sikkerhedsbrud. Et par firewall software udbydere der er værd at tjekke ud omfatter Comodo, Norton Internet Security, og ZoneAlarm Free Firewall.
[nextpage title=”Side 3″]
Limit logins. Brute force angreb er taktik # 1 for hackere. Hvis du lader dem bruge den teknik, vil de forsøge at logge ind på din hjemmeside igen og igen, indtil de knækker din adgangskode. Det er derfor, det hedder “brute force”, fordi stormløbet er ubarmhjertig. Men der er plugins, så du kan begrænse antallet af gange, en person fra en bestemt IP kan forsøge at logge ind inden for en tildelt tid. Brugeren er begrænset fra at forsøge at logge ind igen for en given periode. Login Lockdown er fantastisk til at tilbyde denne funktion, men andre plugins, der tilbyder en hel række sikkerhedsfunktioner og ofte omfatter login begrænsning ligesom iThemes Sikkerhed og Sucuri Security.
Begræns brugeradgang. Sommetider er site sikkerhed igennem en “vridemaskine” på grund af noget meget simpelt: nemlig at alt for mange mennesker har adgang. En god tommelfingerregel er at kun give adgang til dem, der absolut har brug for det, og selv da, kun give dem et absolut minimum af tilladelser til at fuldføre deres opgaver. At give alle dine bidragydere administrative tilladelser er bare bede om flere problemer.
Backup dit websted. Jeg mener ikke bare hver gang i et stykke tid. Jeg mener forudsigeligt på en tidsplan. Planlagte backups er en vigtig del af ethvert websted sikkerhed strategi, fordi det sikrer, at hvis dit websted er kompromitteret, vil du være i stand til at gendanne den til en version før skaden med lethed. Vælg en automatiseret løsning som VaultPress, BlogVault, BackupBuddy eller WordPress Backup til Dropbox for simple sikkerhedskopier og med indbygget genskabnings indstillinger.
Check for tema ægthed og udfør sikkerheds-scanninger. Ligesom du installere et antivirusprogram på din computer for at tjekke for malware, så bør du også installere en scanner på WordPress. En sikkerheds scanner vil kontrollere for skadelig kode i dine plugins, core filer og plugins som sikrer intet er blevet manipuleret med. Adskillige scannere eksisterer, overvej at medtage Sucuri SiteCheck, CodeGuard, Tema Autenticitet Checker, og AntiVirus.
Nu da vi har lavet denne gennemgang på de ting, du allerede bør kende om at sikre en WordPress hjemmeside, kan vi gå videre til nogle af de mere obskure ting såvel som dem, du bare måske ikke har tænkt på endnu.Men først, skal du sørge for at oprette et child tema før du foretager ændringer til din functions.php fil. Det kan du se hvordan man gør i den næste artikel der kommer op
