Share
WordPress è open source, il che significa che tutti, compresi gli hacker con intenzioni malevole, possono setacciare il codice sorgente alla ricerca di buchi nella sua sicurezza. Ecco perché ti mostrerò alcuni buoni provvedimenti precauzionali da adottare per proteggere te, il tuo WordPress e, soprattutto, i tuoi utenti.
Probabilmente, la cosa più semplice che potresti fare per proteggerti è iniziare cambiando / rimuovendo il superuser amministratore. Chiunque usi WordPress sa che c'è un utente chiamato admin con un livello di sicurezza di alto livello, in particolare gli hacker. Se il nome utente è admin, quanto può essere difficile decifrare la password. Crea un nuovo account amministrativo ma questa volta con un nome diverso, quindi elimina l'account amministratore.
In effetti, ciò che personalmente consiglierei è di creare un account amministrativo con un nome utente e una password molto complessi (qualcosa come x7duEls91 *), memorizzarlo da qualche parte e creare un altro account per pubblicare contenuti con il tuo nome che non ha un esecutivo poteri. L'account amministratore è essenzialmente necessario solo per gestire temi, plug-in e altri aspetti del sito che non devono essere modificati ogni giorno - un account editor sarebbe sufficiente.
?Tratta la tua password come lo spazzolino. Non permettere a nessun altro di usarlo e ottenerne uno nuovo ogni sei mesi.?
~ Clifford Stoll
Indipendentemente dal tipo di sito che stai utilizzando, potresti essere esposto a un attacco di forza bruta. Nel primo passaggio in cui abbiamo eliminato il nome utente dell'amministratore, probabilmente abbiamo scoraggiato la maggior parte degli hacker ma ci sono sempre quelli che sono molto persistenti o che già conoscono il tuo nome utente. Il prossimo passo da fare è scegliere una password molto complessa e una password diversa. Un buon modo per determinare se la tua password sia protetta o meno è quella di inserirlo in un correttore di password online come passwordmeter.com o di generare una password casuale.
Inoltre, preferisco prendere ulteriori precauzioni durante la protezione del mio blog, l'installazione di plugin può aggiungere un ulteriore livello di sicurezza. Esistono numerosi plugin in grado di gestire le password e gli aspetti di accesso di WordPress. Un plugin che trovo molto utile è Login LockDown; registra l'indirizzo IP e il timestamp di tutti gli accessi non riusciti oltre al blocco IP dopo un certo numero di accessi non riusciti. Questo plugin è particolarmente utile quando si tratta di difendersi da un attacco di forza bruta - la maggior parte degli attaccanti si arrende su un sito se sono bannati IP ogni 5 minuti mentre eseguono il loro programma di forza bruta.
Come ho detto prima, WordPress è open source, rendendolo un obiettivo più facile per gli hacker. Quasi 60 milioni di siti utilizzano WordPress, quando Automattic rilascia un aggiornamento, prima si aggiorna il tuo sito, meglio è perché quando fanno un nuovo aggiornamento pubblicano anche le vulnerabilità che hanno risolto. Inoltre, non richiede molto tempo per aggiornare l'installazione di WordPress, secondo WordPress ci vogliono 5 minuti per completare.
Diciamo che ti sei dimenticato di aggiornare la tua installazione di WordPress, o semplicemente non hai 5 minuti di ricambio. La tua versione di WordPress offre agli hacker una buona idea di come possono hackerare il tuo sito, specialmente se è obsoleto.
Per impostazione predefinita, WordPress mostra la versione, perché vuole che le metriche vedano quante persone stanno usando quale versione, ecc. Tuttavia, questo è come mettere un segno rosso acceso sul tuo sito che dice agli hacker cosa fare.
Se stai usando un tema premium, le probabilità sono che lo sviluppatore si liberi di disabilitare per te, ma è sempre meglio esserne sicuri. Apri il tuo file functions.php e rilascia questa riga di codice.
È molto importante disporre delle autorizzazioni file appropriate per garantire la sicurezza del sito. Ti consiglio di limitare i permessi dei tuoi file fino al valore CHMOD nullo di 744, che in pratica lo rende di sola lettura per tutti tranne te.
Basta aprire il tuo programma FTP e fare clic con il tasto destro del mouse sulla cartella o sul file e fare clic su "Permessi file". Se è 777, sei molto fortunato che non sia già stato violato. Dovresti cambiare il valore CHMOD in 744, dando solo il pieno accesso al "proprietario".
Le whitelist ti consentono di gestire chi è in grado di accedere a determinate parti del tuo sito web. È come costruire la Grande Muraglia Cinese intorno alla tua cartella di amministrazione, in modo che nessuno, tranne te, possa accedere alla cartella. Lo facciamo usando il file .htaccess.
Passare alla cartella / wp-admin /, quindi controllare se esiste già un file .htaccess, se non ce n'è uno, basta crearne uno. Se ce n'è già uno, suggerisco di eseguirne un backup prima di apportare eventuali modifiche. Assicurati di essere nella cartella wp-admin e non nella cartella principale.
Incolla il seguente codice nel file .htaccess:
AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress Admin Access Control" AuthType Basicnegare l'ordine, consentire nega per tutti # Whitelist Il tuo indirizzo IP consente da xx.xx.xx.xxx # Whitelist L'indirizzo IP dell'Utente consente da xx.xx.xx.xxx # Whitelist Il tuo indirizzo IP mentre sei in viaggio (Elimina quando torni indietro Home) consente da xx.xx.xx.xxx
Sostituisci le xx con il tuo indirizzo IP, che puoi trovare su WhatsMyIP.org. Ora ogni volta che accederai da un luogo diverso da quello che hai inserito nel tuo file .htaccess, devi aggiungere il nuovo indirizzo IP prima di poterlo usare.
Indipendentemente dal livello di sicurezza del tuo sito WordPress, è buona norma eseguire sempre il backup del tuo sito. Ci sono molti modi per farlo. Puoi sfruttare i lavori cron, se lo stai ospitando, fornendoti questo comando:
DBNAME = DB_NAME DBPASS = DB_PASSWORD DBUSER = DB_USER EMAIL = "tu@tuo_email.com" mysqldump --opt -u $ DBUSER -p $ DBPASS $ DBNAME> backup.sql gzip backup.sql DATA = "data +% Y% m% d "; mv backup.sql.gz $ DBNAME-backup- $ DATE.sql.gz echo 'BLOG BACKUP: il backup è allegato' | mutt -a $ DBNAME-backup- $ DATE.sql.gz $ EMAIL -s "MySQL Backup" rm $ DBNAME-backup- $ DATE.sql.gz
In alternativa, puoi utilizzare VaultPress, un servizio di Automattic. Se sei interessato a saperne di più su VaultPress, ti consiglio di consultare questo tutorial.
La via più semplice è accedere al pannello di amministrazione, accedere a Strumenti e quindi fare clic su Esporta. Ciò ti semplifica la vita soprattutto quando devi reimpostare il tuo WordPress.
Mettere un file indice vuoto nella cartella / plug-in / wp-content nasconderà tutti i tuoi plugin. Alcuni di voi probabilmente stanno pensando: "A chi importa se qualcuno può vedere i miei plugin?". Bene, i plugin possono dire agli hacker come hackerare il tuo sito, o almeno se è hackerabile.
Come puoi vedere, i plugin sono chiaramente visibili a tutti coloro che navigano nella cartella / wp-content / plugins. Se un hacker non vede plug-in di sicurezza, allora sa immediatamente che questo sarà un lavoro facile. Aggiungere index.html vuoto nella cartella plugins è come inserire un segno di sicurezza nel tuo prato, non importa se hai effettivamente il sistema di sicurezza, ma finché l'hacker non lo sa, sarà meno incline a provare nulla.
Il miglior strumento di sicurezza, indipendentemente dal plug-in / software che si installa, è tu. Per essere sicuro di essere completamente protetto, devi adottare un approccio proattivo alla sicurezza del tuo sito web. Tre volte al giorno controllo i registri del server e l'analisi dei dati web per vedere se c'è un comportamento insolito.
Ora con un'installazione WordPress sicura e sicura, sei pronto per pubblicare liberamente i tuoi contenuti senza doverti spaventare se sei vulnerabile a essere hackerato.
Se avete domande su questo tutorial, sulla sicurezza di WordPress o sulla sicurezza in generale, lasciate un commento e vi risponderemo non appena posso.
Accentsconagua