Ha úgy gondolja, hogy webhelye biztonságos, mert nem érdekli a hackerek, akkor téved, mert a biztonsági megsértések túlnyomó többségének nem az a célja, hogy ellopja az adatait vagy a webhelyét.
A hackerek általában a szerverét szeretnék továbbítani a spam levelek küldéseként, vagy ideiglenes webszervert kívánnak létrehozni, általában illegális fájlok kiszolgálására. Ha feltörnek, készen áll arra, hogy pénzt fizessen ki a szerverrel kapcsolatos költségek fedezésére.
Számos különböző módon növelheti webhelye vagy többhelyes hálózat biztonságát, de az egyik legegyszerűbb a fájl szerkesztése. wp-config.php. A konfigurációs fájl frissítése, bár nincs egy mindenki számára megfelelő megoldás, az általános biztonság érdekében betartandó házirend.
Ezt szem előtt tartva megvizsgáljuk azokat a különféle módosításokat, amelyekkel biztonságban tudhatja magát WordPress blog.
Konfigurálja a WordPress állandókat
A WordPress konfigurációs fájljában, más néven wp-config.php , definiálhatjuk az úgynevezett PHP konstansokat bizonyos feladatok elvégzéséhez. A WordPress sok olyan állandóval rendelkezik, amelyeket használhat.
Az állandók a definiált függvénybe is be vannak csomagolva()
amint az ebben a szintaxis példában látható:
define ('NAME_OF_CONSTANT', érték);
A WordPress-en a fájl wp-config.php a kernelt alkotó többi fájl előtt töltődik be. Ez azt jelenti, hogy ha megváltoztatja a konstans értékét a wp-config.php, megváltoztathatja a WordPress reakció- és működési módját. Egyes funkciókat letilthat vagy bekapcsolhat az érték megváltoztatásával. Sok esetben ezt megváltoztatásával lehet megtenni true
például hamis, és fordítva.
Az alábbiakban megtalálja a különböző állandókat, valamint más típusú PHP kódokat, amelyeket a fájljában használhat wp-config.php hogy növelje a biztonságát. Helyezze mindet a fájl következő sora fölé wp-config.php:
/ * Ez minden, állítsa le a szerkesztést! Boldog blogolás. * /
Figyelem: Legyen óvatos
Mivel a most végrehajtandó változtatások drámai módon megváltoztathatják webhelyét, ez jó ötlet a biztonsági mentésről. Ha hiba lép fel, akkor gyorsan visszaállíthatja a webhelyet egy pontra, mielőtt ezek a változások megtörténnének, és miután a webhely rendesen működik, próbálkozzon újra.
1. Cserélje ki a biztonsági kulcsokat
Lehet, hogy már ismeri a különböző biztonsági kulcsokat, és lehet, hogy már hozzáadott egyedi kulcsokat, ami nagyon jó dolog.
Az információbiztonsági kulcsok titkosítják a cookie-kban tárolt adatokat, és hasznos lehet ezek megváltoztatása, különösen a webhely feltörése után. Ezzel véget érne a webhelye minden bejelentkezett felhasználójának nyitott munkamenete, ami azt jelenti, hogy a hackerek is ki vannak jelentkezve.
Amikor visszaállítja a jelszavakat, és győződjön meg arról, hogy webhelye mentes-e a hátsó ajtóktól és hasonlóktól.
Új biztonsági kulcskészletet generálhat a WordPress biztonsági kulcsgenerátor. Másolja át az összes tartalmat, és illessze be a következőképpen néz ki:
define( 'AUTH_KEY', 't`DK%X:>xy|eZ(BXb/f(Ur`8#~UzUQG-^_Cs_GHs5U-&Wb?pgn^p8(2@}IcnCa|' );) define( 'SECURE_AUTH_KEY ', 'D&ovlU#|CvJ##uNq}bel+^MFtT&.b9{UvR]g%ixsXhGlRJ7q!h}XWdEC[BOXSsj' ); define( 'LOGGED_IN_KEY', 'MGKi8Br(&{H*~0&0s; (hdXW|5M=X={we4;Mpvtg+Vo<$|#_}qG(GaVDEsn,~*2i' ); define( 'NONCE_SALT', 'a|#h{c7|P &xWs0IZ2c8&%883!c( /uG}W:mAvy
2. Kényszerítse az SSL használatát
Az SSL tanúsítvány titkosítja a kapcsolatot a webhely és a látogató böngészője között, így a hackerek nem tudják elfogni és ellopni a személyes adatokat. Ha már telepített egy SSL tanúsítványt, akkor kényszerítenie kell a WordPress használatát, ez növelheti a biztonságot.
Az összekapcsolás során az SSL-tanúsítvány használatának kényszerítéséhez adja hozzá ezt a sort:
define ('FORCE_SSL_LOGIN', igaz);
Erre a sorra kényszerítheti SSL-tanúsítványát az adminisztrációs irányítópultra:
define ('FORCE_SSL_ADMIN', igaz);
Kezdésként ezek nagyon jó pontok, bár az ideális az SSL-tanúsítvány használata az összes eszközön weboldal.
3. Módosítsa az adatbázis előtagot
Az előtag az adatbázis összes táblája neve előtt helyezkedik el. Alapértelmezés szerint a tábla a " wp_"
és ha hozzáadja az adatbázishoz, akkor a hacker további feladatot ad hozzá. Minél több akadályt ad hozzá, annál több a blogod nehéz lesz feltörni.
Az alapértelmezett előtag megváltoztatása segít, és csak annyit kell tennie, hogy megváltoztatja a fájl konstansát " wp-config.php ", ugyanakkor szükséges, hogy a telepített adatbázis táblákon ugyanaz az új előtag legyen. Meg lehet változtatni wp_
valamiért g628_.
Valamit ki kell választania, amit valóban nem könnyű kitalálni.
4. Tiltsa le a témák és a beépülő modulok szerkesztését
Az egyes WordPress-telepítéseknél közvetlenül szerkesztheti a bővítményeket és a témákat az irányítópulton keresztül. Ha egy hacker hozzáférhetett az irányítópulthoz, akkor hozzáférhet ehhez a speciális szerkesztőhöz, ahol aztán bármit megtehetett a plugin és a témafájlok között, például kártékony programokat, vírusokat vagy spam.
5. Letiltja a hibakeresést
Ha valaha is engedélyezte a hibakeresést a webhelyén vagy a hálózaton, valószínűleg azért teszi ezt, mert ez egy nagyszerű hibaelhárítási eszköz, de ne felejtse el letiltani, ha végzett. Ha engedélyezve hagyja ezt az opciót, akkor a hackerek számára fontos információk jelenhetnek meg a webhelyéről és a fájljainak helyéről.
A hibakeresési mód kikapcsolásához a WP_DEBUG konstans értékét igazról hamisra állíthatja az alábbiak szerint:
define ('WP_DEBUG', false);
6. Tiltsa le a hibanaplózást a WordPress alkalmazásban
Ha nem tudja végrehajtani az előző módosítást, mert továbbra is aktívan kell hibakeresnie a webhelyet, akkor is megvédheti webhelyének létfontosságú információit azáltal, hogy kikapcsolja a kezelőfelület hibáit és kikapcsolja a hibanaplózást.
A kezelőfelület hibajelentésének letiltásához adja hozzá ezt a sort, miközben a hibakeresést (WP_DEBUG) igazra állítja:
define ('WP_DEBUG_DISPLAY', hamis);
7. Az automatikus frissítések engedélyezése
Fontos szerepet kell játszania webhelyének a WordPress legújabb verzióival, a beépülő modulokkal és a témákkal együtt, a biztonsági stratégia kidolgozásában. Mivel aA frissítések biztonsági javításokat biztosítanak az ismert sérülékenységekhez, nem frissítik a leleplező helyeket a blogod ezekre a lehetséges kockázatokra.
A WordPress 3.7-es verziójától kezdve a kisebb biztonsági javítások automatikusan alkalmazódnak a WordPress-webhelyeken, az alapverziók azonban nem. Az automatikus frissítéseket azonban engedélyezheti az összes új verzió esetében az állandó frissítésének módosításával:
define ('WP_AUTO_UPDATE_CORE', igaz);
Hasonlóképpen hozzáadhatja a következő sort az előző alá, hogy engedélyezze a bővítmények automatikus frissítését:
add_filter ('auto_update_plugin', '__return_true');
Ezt a sort követheti a témák automatikus frissítésének engedélyezéséhez:
add_filter ('auto_update_theme', '__return_true');
Ennyi az oktatóanyag. Remélem, ez lehetővé teszi Önnek, hogy jobban biztonságban tudjon lenni WordPress blog.
Üdvözlet az egész csapatnak,
BRAVO az Ön webhelyéhez, amely erőforrásokkal teli és nagy érdeklődésűnek tűnik: amikor a költségvetésem lehetővé teszi, nem mulasztom el felhívni az Ön szolgáltatásait (nagyon szükségem van rá ...)!
Egy kis hátrány a * Hervé * biztonsági cikkéhez: gyorsan eltévedünk a magyarázatokban, ha nem ismerjük a php-t. [Ezenkívül a szöveg szerkesztésekor előnyös lehet újra elolvasni: néhány szót kihagytak - a helyesírási hibákat azonban nem. ;-)))]
Köszönöm Ivan a hibáért való visszatérésért és megbocsátásért.