Du vet sikkert allerede de åpenbare sikkerhetsforanstaltninger som skal tas i bruk for å beskytte ditt WordPress-nettsted.

Muligvis vet du at du må gjøre nettstedets passord "sterkt" (en blanding av spesialtegn, store bokstaver, små bokstaver og tall). Du bør ikke bruke "admin" som brukernavn, og du bør ofte endre passord. Du bruker sannsynligvis allerede tofaktorautentisering på WordPress-siden din og har nettstedet ditt sikkerhetskopiert. Og du laster aldri ned premium plugins gratis eller fra ukjente kilder. Så hva er det der?

Her diskuteres noen få WordPress-sikkerhetstips ved å bruke lite kjente, men dypt effektive metoder som du kan, og bør bruke for å beskytte ditt WordPress-nettsted.

1. Gi nytt navn eller flytt innloggingssiden din

Standardinnloggingssiden for nettstedet ditt er "www.websitename.com/wp-login.php" (eller "www.websitename.com/wp-admin"). En av måtene å beskytte nettstedet ditt er å skjule eller skjule innloggingssiden, slik at hackere ikke finner det enkelt. Kontrollere innloggingstilgangen din ved å begrense antall påloggingsforsøk hver gang, og tidsperioden mellom innloggingsprøver vil også forbedre sikkerheten.

Hvis du allerede har Jetpack installert, kan du aktivere modulen "Brute Force Protection". Med denne modulen aktivert, vil Jetpack oppdatere Dashboad med antall skadelige påloggingsforsøk på nettstedet ditt. Du har også mulighet til å whitelisting en rekke IP-adresser. Fra Jetpack går du til "Innstillinger" og deretter til "Beskytt", etterfulgt av "Konfigurer", og du ser hva som ser ut som bildet nedenfor.

Cerber Security og Limit Login Poging er et alternativt plugin for Jetpack. Hvis du heller ikke vil bruke Jetpack, er Limit login et alternativ. Fra skrivingsdatoen er plugin installert over 40.000 ganger og opprettholder et nesten uberørt rykte som 108 av 111 brukere har vurdert det fem stjerner.

Limit Login er ganske enkelt å bruke, men konfigurering av "Herding" -delen forbedrer nettstedets sikkerhet. All tilgang til XML-RPC-serveren, som inkluderer trackbacks og pingbacks, er blokkert som standard. Hvis du av en eller annen grunn skulle få tilgang til WordPress 'resten API (for eksempel, trenger bloggen din Android eller iOS app det), så la WP resten API & XML-RPC være tilgjengelig.

2. Vert hvor det er trygt

Siden en hel og førti prosent av WordPress-områdenees sikkerhetsbrudd stammer fra vertsens ende og ikke selve nettstedet, er det fornuftig å forsikre deg om at verten din er sikker. Faktisk bærer hosting mest vekt når det gjelder sikkerhet. Bare åtte prosent av hackene skje på grunn av svake passord, tjuefem prosent på grunn av tema og tjuefem prosent på grunn av plugins. Så om lag halvparten av nettstedet ditt er avhengig av hosting.

Kontroller at kontoen din inneholder kontoisolering hvis du bruker delt hosting. Din konto vil bli beskyttet mot hva som skjer på andres nettsteder. Det er imidlertid best at du bruker en tjeneste som er designet med WordPress-brukere i tankene. Slike tjenester vil inkludere WordPress-brannmur, beskyttelse mot nullbeskyttelse av malware, oppdatert MySQL og PHP, spesialiserte WordPress-servere og en WordPress-kunnskapsrik kundeservice. Verter som WP Engine, Siteground og Pagely har sterke sikkerhetssporrekord.

3. Hold deg oppdatert og bruk bare oppdatert programvare

Du vet at du må bruke oppdatert antivirus og annen relevant beskyttelse mot skadelig programvare for datamaskinen din. Denne forholdsregelen gjelder også for plugins og temaer. Hold dem oppdatert, og hvis du har noen temaer eller plugins i depotet ditt som ikke er i bruk, fjern dem. Hvis det er riktig for nettstedet ditt, bør du vurdere å sette inn programtillegg og temaer for å oppdatere automatisk. For å sette opp automatiske oppdateringer, legg inn kode i wp-config.php. Følgende er koden for plugins:

 add_filter ('auto_update_plugin', '__return_true');

Og for temaer, bruk denne koden:

 add_filter ('auto_update_theme', '__return_true');

Hvis du vil ha en hands-off tilnærming til vedlikehold av nettstedet, kan du vurdere å automatisere WordPress-oppdateringer. Vær imidlertid oppmerksom på at det å sette opp en automatisk oppdatering kan ødelegge nettstedet ditt, spesielt hvis plugins som er uforenlige med den nyeste WordPress-oppdateringen, kjøres på nettstedet ditt. For å sette opp en automatisk oppdatering for WordPress-siden din, legg inn koden under i wp-config.php- filen din:

 # Aktiver alle kjerneoppdateringer, inkludert mindre og større: define ('WP_AUTO_UPDATE_CORE', true);

4. Fjern plugin tema editor og PHP feil rapportering

Deaktiver den innebygde redaktøren for plugins og temaer hvis du ikke rutinemessig justerer og endrer innstillinger (eller kjører noe annet vedlikehold på pluginene og temaene dine). Dette er for sikkerheten til nettstedet ditt.

Autoriserte WordPress-brukere har tilgang til denne redaktøren, noe som gjør nettstedet ditt sårbart for et sikkerhetsbrudd hvis kontoene deres blir hacket. Faktisk kan hackere ta ned nettstedet ditt ved å endre koden i den redaktøren. For å deaktivere redigeringsprogrammet, sett inn koden nedenfor i wp-config.php :

 define ('DISALLOW_FILE_EDIT', true);

Feilrapporteringen er god. Det hjelper deg med feilsøking. Det eneste problemet (og det er et stort problem) er at feilmeldingene også bærer med dem din serverbane. Hackere kan se på serverbanen din og få en klar forståelse av nettstedets struktur. Selv om PHP feilrapportering er bra, er det BEST deaktivert helt. Bruk kodestykket nedenfor for din wp-config.php- fil:

 error_reporting (0); @ini_set ('display_errors', 0);

5. Bruk .htaccess for å beskytte spesielle formål

.htaccess-filen er viktig fordi det er hjertet av WordPress-nettstedet ditt. Denne filen er ansvarlig for nettstedets permalinkstruktur og sikkerhet. Utenfor #BEGIN WordPress og #END WordPress tagger, er det ingen grense for antall kodeutdrag som du kan legge til i .htaccess-filen din for å endre synligheten av filer inni webområdet ditt.

Hvis du ikke allerede har gjort det, skjul du wp-config.php-filen på nettstedet ditt. Den filen er avgjørende for aktivitetene til nettstedet ditt, og inneholder dine personlige opplysninger, samt andre viktige detaljer som er relevante for nettstedet ditt. Du kan bruke kodestykket under for å skjule det.

 rekkefølge tillat, nekte å nekte fra alle

For å begrense administrasjonstilgang, må du bare opprette en ny .htaccess-fil og laste den opp til "wp-admin" -katalogen. Etterpå, sett inn denne koden:

 rekkefølge nektet, tillate tillatelse fra 192.168.5.1 nekte fra alle

Skriv inn din IP-adresse på riktig sted. For å gi tilgang til wp-admin fra flere IP-adresser, oppgi de IP-adressene, hver av dem på en egen linje, som allow from IP Address . Du kan begrense tilgangen til wp-login.php på omtrent samme måte. Bare legg til dette kodestykket i .htaccess:

 rekkefølge nektet, tillat nekte fra alle # tillat tilgang fra min IP-adresse tillate fra 192.168.5.1

Hvis du ikke vil blokkere alle IP-adresser, bare bestemte IP-adresser som ønsker å få tilgang til wp-admin eller wp-login.php, kan du blokkere individuelle IP-adresser ved hjelp av denne koden:

 ordre tillat, nektet nekte fra 456.123.8.9 tillat fra alle

Du kan også blokkere folk fra å vise nettstedet ditt ved å ikke gjøre det mulig å bla. Du kan bruke denne kodestykket til å gjøre det:

 Alternativer All -Indexes

Konklusjon

Dette har vært en handlingsguide som hjelper deg med å forbedre ditt WordPress-nettsteds sikkerhet. Den mest avgjørende for disse alternativene er en som er ganske enkelt å implementere nå - finn en vert med et uberørt rykte for sikkerhet, ettersom halvparten av sikkerheten til nettstedet ditt hviler på verten din.

Hvilken sikkerhetstips var mest nyttig for deg og hvorfor? Har du andre sikkerhetstips som ikke er oppført her? Nevn det (eller dem) i kommentarene.