Säkerhet är en fråga som oroar alla bloggare. Så mycket i verkliga livet behöver vi skydda våra tillgångar, så mycket på bloggning måste vi säkra vår inkomstkälla. WordPress har som standard ett acceptabelt säkerhetssystem. Men detta system är vanligtvis skadat med många installerade plugins och teman.
För att hjälpa dig att förbättra säkerheten för din WordPress-blogg, erbjuder jag dig i denna handledning 8 manipulationer som du kan använda på din blogg för att förbättra säkerheten för den senare.
1. Dölj onödig information
Oroa dig
När du inte kan ansluta till en WordPress-blogg visar CMS lite information för att berätta vad som gick fel. Detta är användbart om du har glömt lösenordet, men det är också en sårbarhet. Så varför inte undvika att visa felmeddelanden för att indikera att en anslutning inte fungerade?
Lösningen
om du vill ta bort anslutningsfelmeddelanden, öppnar du bara temafilen "functions.php" och lägger till följande kod:
add_filter ('login_errors', create_function ('', 'return null; "));
Spara filen och försök ansluta till din blogg, fejka ett anslutningsfel för att se om felet visas.
2. Tvinga användningen av SSL-protokollet
Problemet
Om du är orolig för att dina data fångas upp bör du överväga att använda SSL. Så länge du inte vet vad det är, uppmanar jag dig att läsa den här guiden som vi skrev om Integrering av SSL-protokoll.
Visste du att det är möjligt att tvinga användningen av SSL-protokoll på WordPress? Du måste dock se till att din värd accepterar SSL.
Lösningen
När du har verifierat att din server är kompatibel, öppnar du bara din wp-config.php-fil (finns i roten till din WordPress-installation) och klistra in följande:
definiera ('FORCE_SSL_ADMIN', true);
Spara din fil och skicka den tillbaka till din server.
3. Använd din .htaccess-fil för att skydda din wp-config.php-fil
Problemet
Som WordPress-användare vet du förmodligen hur mycket filen är wp-config.php är viktigt. Den här filen innehåller all information som krävs för att komma åt din databas: användarnamn, lösenord, servernamn och så vidare. Filen wp-config.php är känslig, då måste vi göra allt för att skydda den här filen.
Lösningen
filen .htaccess sitter vid roten till din WordPress-installation. Efter att du har skapat en säkerhetskopia av den här filen (under ett annat namn), lägg till följande text i filen .htaccess.
ordning tillåta, förneka förnekelse från alla
4. Så svartlista användare och sökmotorer
Problemet
Detta är lika sant online som det är i verkligheten: någon som trakasserar dig idag troligen trakasserar dig igen imorgon. Har du märkt hur e-postadressbots kommer tillbaka till din blogg? Ibland kan det nå tio besök per dag. Detta besök kan ofta åtföljas av oönskade kommentarer.
Lösningen
Vi blockerar åtkomsten till din blogg genom att tillhandahålla en extra kod för att lägga till filen .htaccess. Glöm inte att ändra IP-adressen 123.456.789 till den du vill blockera.
beställa tillåta, neka tillåt från allt neka från 123.456.789
Du kan identifiera robotarna med Google Analytics. Du kan lägga till så många IP-adresser enligt följande:
beställa tillåt, neka tillåt från allt neka från 123.456.789 neka från 93.121.788 neka från 223.956.789 neka från 128.456.780
5. Hur du skyddar din blogg från skriptinjektioner
Problemet
Det är särskilt viktigt att skydda din blogg. De flesta utvecklare skyddar fortfarande GET- och POST-förfrågningar, men ibland räcker det inte. Vi måste också skydda vår blogg från skriptinjektioner och alla försök att ändra variablerna PHP GLOBALS och _REQUEST.
Lösningen
Lösningen för att blockera injektion av skript och alla försök att ändra GLOBALS-variabler, du behöver bara lägga till följande kod, men se till att alltid säkerhetskopiera din .htaccess-fil.
Alternativ + FollowSymLinks RewriteEngine On RewriteCond% {QUERY_STRING} (<|% 3C). * skript. * (> |% 3E) [NC, OR] RewriteCond% {QUERY_STRING} GLOBALS (= | [|% [0 - 9A - Z] {0, 2}) [OR] RewriteCond% {QUERY_STRING} _REQUEST (= | [ |% [0 - 9A - Z] {0, 2}) RewriteRule ^ (. *) $ Index. php [F, L]
7. Hur man skapar ett plugin för att skydda din blogg från skadliga frågor
Problemet
Hackare använder ofta skadliga förfrågningar för att utföra en attack på en blogg på dess känsliga punkter. WordPress har bra skydd, men att förbättra det är inte en dålig sak.
Lösningen
Du måste skapa ett plugin för att utföra detta steg. Du måste sedan lägga till följande kod i pluginens huvudfil. När det är klart installerar du ditt plugin.
global $user_ID;
if($user_ID) {
if(!current_user_can('level_10')) {
if (strlen($_SERVER['REQUEST_URI']) > 255 ||
strpos($_SERVER['REQUEST_URI'], "eval(") ||
strpos($_SERVER['REQUEST_URI'], "CONCAT") ||
strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||
strpos($_SERVER['REQUEST_URI'], "base64")) {
@header("HTTP/1.1 414 Request-URI Too Long");
@header("Status: 414 Request-URI Too Long");
@header("Connection: Close");
@exit;
}
}
}8. Hur döljer du versionen av din WordPress-installation
Problemet
Som du kanske vet visar WordPress automatiskt den version som används i din blogghuvud. Det är ofarligt om din blogg alltid uppdateras i tid (vad som normalt ska vara din standardinställning). Men om den av en eller annan anledning inte är uppdaterad kan den aktuella versionen ha en sårbarhet och genom att upptäcka versionen av din WordPress-installation kan hackare hacka ditt konto.
Lösningen
Allt du behöver göra är att lägga till följande kod i huvudfilen för ditt plugin.
remove_action ('wp_head', 'wp_generator');
För att utföra vissa åtgärder använder WordPress en mekanism som kallas "Hooks", vilket gör WordPress ganska flexibel. Funktion " wp_generator »Visar WordPress-versionen och genom att ta bort den här funktionen från listan över funktioner som sparats i kön kommer den inte längre att köras.
Det är det för denna handledning. Hoppas det gör att du kan säkra din WordPress-blogg bättre. Dela gärna det med dina vänner på dina sociala favoritnätverk.
