Ha úgy gondolja, hogy webhelye biztonságos, mert nem érdekli a hackerek, akkor téved, mert a biztonsági megsértések túlnyomó többségének nem az a célja, hogy ellopja az adatait vagy a webhelyét.

A hackerek általában a szerverét szeretnék továbbítani a spam levelek küldéseként, vagy ideiglenes webszervert kívánnak létrehozni, általában illegális fájlok kiszolgálására. Ha feltörnek, készen áll arra, hogy pénzt fizessen ki a szerverrel kapcsolatos költségek fedezésére.

Számos különböző módon növelheti webhelye vagy többhelyes hálózat biztonságát, de az egyik legegyszerűbb a fájl szerkesztése. wp-config.php. A konfigurációs fájl frissítése, bár nincs egy mindenki számára megfelelő megoldás, az általános biztonság érdekében betartandó házirend.

Ezt szem előtt tartva megvizsgáljuk azokat a különféle módosításokat, amelyekkel biztonságban tudhatja magát WordPress blog.

Konfigurálja a WordPress állandókat

A WordPress konfigurációs fájljában, más néven wp-config.php , definiálhatjuk az úgynevezett PHP konstansokat bizonyos feladatok elvégzéséhez. A WordPress sok olyan állandóval rendelkezik, amelyeket használhat.

Az állandók a definiált függvénybe is be vannak csomagolva() amint az ebben a szintaxis példában látható:

define ('NAME_OF_CONSTANT', érték);

A WordPress-en a fájl wp-config.php a kernelt alkotó többi fájl előtt töltődik be. Ez azt jelenti, hogy ha megváltoztatja a konstans értékét a wp-config.php, megváltoztathatja a WordPress reakció- és működési módját. Egyes funkciókat letilthat vagy bekapcsolhat az érték megváltoztatásával. Sok esetben ezt megváltoztatásával lehet megtenni true például hamis, és fordítva.

Az alábbiakban megtalálja a különböző állandókat, valamint más típusú PHP kódokat, amelyeket a fájljában használhat wp-config.php  hogy növelje a biztonságát. Helyezze mindet a fájl következő sora fölé wp-config.php:

/ * Ez minden, állítsa le a szerkesztést! Boldog blogolás. * /

Figyelem: Legyen óvatos

Mivel a most végrehajtandó változtatások drámai módon megváltoztathatják webhelyét, ez jó ötlet a biztonsági mentésről. Ha hiba lép fel, akkor gyorsan visszaállíthatja a webhelyet egy pontra, mielőtt ezek a változások megtörténnének, és miután a webhely rendesen működik, próbálkozzon újra.

1. Cserélje ki a biztonsági kulcsokat

Lehet, hogy már ismeri a különböző biztonsági kulcsokat, és lehet, hogy már hozzáadott egyedi kulcsokat, ami nagyon jó dolog.

Az információbiztonsági kulcsok titkosítják a cookie-kban tárolt adatokat, és hasznos lehet ezek megváltoztatása, különösen a webhely feltörése után. Ezzel véget érne a webhelye minden bejelentkezett felhasználójának nyitott munkamenete, ami azt jelenti, hogy a hackerek is ki vannak jelentkezve.

Amikor visszaállítja a jelszavakat, és győződjön meg arról, hogy webhelye mentes-e a hátsó ajtóktól és hasonlóktól.

Új biztonsági kulcskészletet generálhat a WordPress biztonsági kulcsgenerátor. Másolja át az összes tartalmat, és illessze be a következőképpen néz ki:

define( 'AUTH_KEY', 't`DK%X:>xy|eZ(BXb/f(Ur`8#~UzUQG-^_Cs_GHs5U-&Wb?pgn^p8(2@}IcnCa|' );) define( 'SECURE_AUTH_KEY ', 'D&ovlU#|CvJ##uNq}bel+^MFtT&.b9{UvR]g%ixsXhGlRJ7q!h}XWdEC[BOXSsj' ); define( 'LOGGED_IN_KEY', 'MGKi8Br(&{H*~0&0s;  (hdXW|5M=X={we4;Mpvtg+Vo<$|#_}qG(GaVDEsn,~*2i' ); define( 'NONCE_SALT', 'a|#h{c7|P &xWs0IZ2c8&%883!c( /uG}W:mAvy

2. Kényszerítse az SSL használatát

Az SSL tanúsítvány titkosítja a kapcsolatot a webhely és a látogató böngészője között, így a hackerek nem tudják elfogni és ellopni a személyes adatokat. Ha már telepített egy SSL tanúsítványt, akkor kényszerítenie kell a WordPress használatát, ez növelheti a biztonságot.

Az összekapcsolás során az SSL-tanúsítvány használatának kényszerítéséhez adja hozzá ezt a sort:

define ('FORCE_SSL_LOGIN', igaz);

Erre a sorra kényszerítheti SSL-tanúsítványát az adminisztrációs irányítópultra:

define ('FORCE_SSL_ADMIN', igaz);

Kezdésként ezek nagyon jó pontok, bár az ideális az SSL-tanúsítvány használata az összes eszközön weboldal.

3. Módosítsa az adatbázis előtagot

Az előtag az adatbázis összes táblája neve előtt helyezkedik el. Alapértelmezés szerint a tábla a " wp_" és ha hozzáadja az adatbázishoz, akkor a hacker további feladatot ad hozzá. Minél több akadályt ad hozzá, annál több a blogod nehéz lesz feltörni.

Az alapértelmezett előtag megváltoztatása segít, és csak annyit kell tennie, hogy megváltoztatja a fájl konstansát " wp-config.php ", ugyanakkor szükséges, hogy a telepített adatbázis táblákon ugyanaz az új előtag legyen. Meg lehet változtatni wp_ valamiért g628_. Valamit ki kell választania, amit valóban nem könnyű kitalálni.

4. Tiltsa le a témák és a beépülő modulok szerkesztését

Az egyes WordPress-telepítéseknél közvetlenül szerkesztheti a bővítményeket és a témákat az irányítópulton keresztül. Ha egy hacker hozzáférhetett az irányítópulthoz, akkor hozzáférhet ehhez a speciális szerkesztőhöz, ahol aztán bármit megtehetett a plugin és a témafájlok között, például kártékony programokat, vírusokat vagy spam.

5. Letiltja a hibakeresést

Ha valaha is engedélyezte a hibakeresést a webhelyén vagy a hálózaton, valószínűleg azért teszi ezt, mert ez egy nagyszerű hibaelhárítási eszköz, de ne felejtse el letiltani, ha végzett. Ha engedélyezve hagyja ezt az opciót, akkor a hackerek számára fontos információk jelenhetnek meg a webhelyéről és a fájljainak helyéről.

A hibakeresési mód kikapcsolásához a WP_DEBUG konstans értékét igazról hamisra állíthatja az alábbiak szerint:

define ('WP_DEBUG', false);

6. Tiltsa le a hibanaplózást a WordPress alkalmazásban

 Ha nem tudja végrehajtani az előző módosítást, mert továbbra is aktívan kell hibakeresnie a webhelyet, akkor is megvédheti webhelyének létfontosságú információit azáltal, hogy kikapcsolja a kezelőfelület hibáit és kikapcsolja a hibanaplózást.

A kezelőfelület hibajelentésének letiltásához adja hozzá ezt a sort, miközben a hibakeresést (WP_DEBUG) igazra állítja:

define ('WP_DEBUG_DISPLAY', hamis);

7. Az automatikus frissítések engedélyezése

Fontos szerepet kell játszania webhelyének a WordPress legújabb verzióival, a beépülő modulokkal és a témákkal együtt, a biztonsági stratégia kidolgozásában. Mivel aA frissítések biztonsági javításokat biztosítanak az ismert sérülékenységekhez, nem frissítik a leleplező helyeket a blogod ezekre a lehetséges kockázatokra.

A WordPress 3.7-es verziójától kezdve a kisebb biztonsági javítások automatikusan alkalmazódnak a WordPress-webhelyeken, az alapverziók azonban nem. Az automatikus frissítéseket azonban engedélyezheti az összes új verzió esetében az állandó frissítésének módosításával:

define ('WP_AUTO_UPDATE_CORE', igaz);

Hasonlóképpen hozzáadhatja a következő sort az előző alá, hogy engedélyezze a bővítmények automatikus frissítését:

add_filter ('auto_update_plugin', '__return_true');

Ezt a sort követheti a témák automatikus frissítésének engedélyezéséhez:

add_filter ('auto_update_theme', '__return_true');

Ennyi az oktatóanyag. Remélem, ez lehetővé teszi Önnek, hogy jobban biztonságban tudjon lenni WordPress blog.