Om du tror att din webbplats är säker för att den inte är av intresse för hackare, har du fel, eftersom de allra flesta säkerhetsöverträdelser inte syftar till att stjäla dina data eller göra din webbplats vanärande.

Hackare vill vanligtvis använda din server som ett relä för skräppostmeddelanden eller för att ställa in en tillfällig webbserver, vanligtvis för att servera olagliga filer. Om du blir hackad, var beredd att betala ut pengar för serverrelaterade kostnader.

Det finns flera olika sätt att stärka säkerheten på din webbplats eller ett nätverk för flera platser, men ett av de enklaste är att redigera din fil. wp-config.php. Uppdatering av denna konfigurationsfil, även om det inte finns någon lösning som passar alla, är en policy som måste följas för övergripande säkerhet.

Med det i åtanke kommer vi att utforska de olika ändringar du kan göra för att säkra din Wordpress blogg.

Konfigurera konstanterna i WordPress

I din WordPress-konfigurationsfil, även kallad wp-config.php , kan du definiera vad som kallas PHP-konstanter för att utföra vissa uppgifter. WordPress har många konstanter som du kan använda.

Konstanter är också inslagna i definieringsfunktionen() som visas i detta syntaxexempel:

definiera ('STRING_NAME', värde);

På WordPress, filen wp-config.php laddas innan resten av filerna som utgör kärnan. Det betyder att om du ändrar värdet på en konstant i wp-config.php, kan du ändra hur WordPress reagerar och fungerar. Du kan inaktivera vissa funktioner eller aktivera dem genom att ändra värdet. I många fall kan detta göras genom att ändra true för falskt, och vice versa, till exempel.

Nedan hittar du de olika konstanterna samt andra typer av PHP-kod som du kan använda i din fil wp-config.php  för att öka din säkerhet. Placera dem alla ovanför nästa rad i din fil wp-config.php:

/ * Det är allt, sluta redigera! Lycklig blogga. * /

Uppmärksamhet: Var försiktig

Eftersom de ändringar du håller på att göra kan ändra din webbplats dramatiskt är det bra idé om att backa upp det. Om ett fel inträffar kan du snabbt återställa din webbplats till en punkt före dessa ändringar och när din webbplats fungerar normalt kan du försöka igen.

1. Ändra dina säkerhetsnycklar

Du kanske redan är medveten om de olika säkerhetsnycklarna och du kanske redan har lagt till unika nycklar, vilket är ganska bra.

Informationssäkerhetsnycklar krypterar data som lagras i kakor och det kan vara användbart att ändra dem, särskilt efter att din webbplats har hackats. Detta skulle avsluta alla öppna sessioner för inloggade användare på din webbplats vilket innebär att hackare också loggas ut.

När du återställer lösenord och ser till att din webbplats är fri från bakdörrsutnyttjande och liknande.

Du kan skapa en ny uppsättning säkerhetsnycklar med hjälp av WordPress Security Key Generator. Kopiera allt innehåll och klistra in det för att ersätta det avsnitt som ser ut som följande:

define( 'AUTH_KEY', 't`DK%X:>xy|eZ(BXb/f(Ur`8#~UzUQG-^_Cs_GHs5U-&Wb?pgn^p8(2@}IcnCa|'); define( 'SECURE_AUTH_KEY ', 'D&ovlU#|CvJ##uNq}bel+^MFtT&.b9{UvR]g%ixsXhGlRJ7q!h}XWdEC[BOKXssj' ); define( 'LOGGED_IN_KEY', 'MGKi8Br(&{H*~&0s;{k0  (hdXW|5M=X={we4;Mpvtg+Vo<$|#_}qG(GaVDEsn,~*2i'); define( 'NONCE_SALT', 'a|#h{c7|P &xWs0IZ2c8&%883!c( /uG}W:mAvy

2. Tvinga användningen av SSL

Ett SSL-certifikat krypterar anslutningen mellan din webbplats och din besökares webbläsare, så hackare kan inte fånga upp och stjäla personlig information. Om du redan har ett SSL-certifikat installerat måste du tvinga WordPress att använda det, det kan öka din säkerhet.

För att tvinga användningen av ditt SSL-certifikat under anslutningen, lägg till den här raden:

definiera ("FORCE_SSL_LOGIN", sant);

Du kan också tvinga ditt SSL-certifikat på admin-instrumentpanelen med den här raden:

definiera ("FORCE_SSL_ADMIN", sant);

Dessa är mycket bra punkter att börja med, även om det idealiska vore att använda SSL-certifikatet på alla dina webbplats.

3. Ändra databasprefixet

Prefixet placeras framför namnen på alla tabeller i din databas. Som standard använder tabellen prefixet " wp_" och lägga till den i din databas kommer att lägga till en extra uppgift för hackaren att göra. Ju fler hinder du lägger till, desto fler din blogg kommer att bli svårt att hacka.

Att ändra standardprefixet hjälper och allt du behöver göra är att ändra konstanten på filen " wp-config.php ", men det skulle också vara nödvändigt för databastabellerna i din installation att ha samma nya prefix. Du kan ändra wp_ för något liknande g628_. Du måste välja något som verkligen inte är lätt att gissa.

4. Inaktivera redigering av teman och plugins

I varje WordPress-installation kan du redigera plugins och teman direkt via instrumentpanelen. Om en hacker kunde få tillgång till din instrumentpanel, har de tillgång till den här specialredigeraren där de sedan kan göra vad de vill inom ditt plugin-program och temafiler som att lägga till skadlig kod, virus eller skräppost.

5. Inaktivera felsökning

Om du någonsin har aktiverat felsökning på din webbplats eller i ett nätverk gör du det förmodligen eftersom det är ett utmärkt verktyg för felsökning, men glöm inte att inaktivera det när du är klar. Om du lämnar det här alternativet aktiverat kan viktig information om din webbplats och platsen för dess filer avslöjas för hackare för alla som besöker din webbplats.

För att stänga av felsökningsläget kan du växla WP_DEBUG-konstanten från true till false enligt följande:

define ('WP_DEBUG', false);

6. Inaktivera felloggning i WordPress

 Om du inte kan göra den tidigare ändringen eftersom du fortfarande behöver aktivt felsöka din webbplats kan du fortfarande skydda webbplatsens viktiga information genom att stänga av front-end-fel och stänga av felloggning.

För att inaktivera felrapportering av frontend, lägg till den här raden medan du håller din felsökning (WP_DEBUG) inställd på true:

define ('WP_DEBUG_DISPLAY', false);

7. Aktivera automatiska uppdateringar

Att hålla din webbplats uppdaterad med de senaste versionerna av WordPress, tillsammans med dina plugins och teman, bör vara en viktig del i utvecklingen av en säkerhetsstrategi. SedanUppdateringar tillhandahåller säkerhetskorrigeringar för kända sårbarheter, inte uppdatering av exponeringar din blogg till dessa potentiella risker.

Från och med WordPress version 3.7 tillämpas mindre säkerhetsfixar automatiskt på WordPress-webbplatser, men grundläggande versioner inte. Du kan dock aktivera automatiska uppdateringar för alla nya versioner genom att ändra konstantens värde för automatiska uppdateringar:

definiera ('WP_AUTO_UPDATE_CORE', true);

På samma sätt kan du lägga till följande rad under den föregående för att aktivera automatiska uppdateringar för plugins:

add_filter ('auto_update_plugin', '__return_true');

Du kan också följa den här raden för att tillåta automatiska uppdateringar för teman:

add_filter ('auto_update_theme', '__return_true');

Det var allt för den här handledningen. Jag hoppas att det kommer att göra det möjligt för dig att bättre säkra din Wordpress blogg.