WordPress için koruma ipuçları.Sitenizi korumak için 12 ipucu

WordPress, dünyanın en popüler CM’lerinden biridir. Tüm İnternet sitelerinin% 18,9’undan fazlası bunu kullanıyor ve kurulum sayısı 76,5 milyonu aştı. Ne yazık ki, böyle bir popülerliğin zayıf yönleri vardır. Sucuri raporlarına (Güvenlik ve Web sitesi koruması) göre, WordPress dünyanın en çok hacklenen CM’leridir. Bununla birlikte, bu konuda en iyi uygulamayı takip ederseniz ve bu kılavuzdan bazı teknikleri uyguluyorsanız, WordPress korumasının birkaç basit adımla kolayca güçlendirilebileceğini fark edeceksiniz. Neye ihtiyacın var? Başlamadan önce aşağıdakileri kontrol edin:
WordPress kontrol paneli erişimi;
Barındırma hesabınıza erişin (isteğe bağlı).
1. Adımı doldurun, geçerli WordPress sürümünü koruyun; Adım 2. Standart olmayan giriş bilgileri kullanma; Adım 3. İki adım kimlik doğrulamasını etkinleştirmek; Adım 4. PHP hata raporunu devre dışı bırakır; Adım 5. WordPress için boş şablonlar kullanmayın; Adım 6. Kötü amaçlı yazılım için WordPress taraması; Adım 7. Web sitenizi daha güvenli barındırmaya aktarın; Adım 8. Verilerinizi olabildiğince sık yeniden üretme; Adım 9. Dosya Düzenleme seçeneğini devre dışı bırakın; Adım 10. Kullanılmayan şablonları ve eklentiyi silin; Adım 11. WordPress güvenliğini artırmak için .htaccess’i kullanma; Adım 12. Sonucun SQL enjeksiyonunu önlemek için standart WordPress veritabanı önekini değiştirin
Adım 1. Mevcut WordPress sürümünü korumak, WordPress güvenliğini geliştirmek için ilk ve en önemli adım olacaktır. Kötü amaçlı yazılım olmadan temiz bir web sitesine ihtiyacınız varsa, WordPress sürümünüzün en son olduğundan emin olmanız gerekir. Bu öneri basit görünebilir, ancak tüm WordPress kurulumlarının sadece% 22’si en son sürümü kullanır. WordPress, sürüm 3.7’de otomatik bir güncelleme özelliği uyguladı, ancak yalnızca küçük güvenlik güncellemeleri için işlevler. Büyük anahtar güncellemeleri manuel olarak yüklenmelidir. WordPress’i nasıl güncelleyeceğinizi bilmiyorsanız, buna bakın. Cevap “evet” ise, WordPress’in güvenliğini ciddi şekilde azaltır ve kontrol panelinizi hacklemeyi kolaylaştırırsınız. Yönetici kullanıcı adını başka bir şeye değiştirmeniz (nasıl yapılacağından emin değilseniz bu öğreticiye bakın) veya farklı verilerle yeni bir yönetici hesabı oluşturmanız şiddetle tavsiye edilir. İkinci seçeneği tercih ederseniz bu adımları izleyin:
WordPress kontrol panelini girin;
“Kullanıcı” bölümünü bulun ve “Yeni Ekle” düğmesini tıklayın;
Yeni kullanıcılar için ve yönetici haklarını belirlemek;
Yeni verilerinizle WordPress’i girin;
Kullanıcı bölümüne dönün ve varsayılan yönetici hesabını silin.
İyi bir şifre, WordPress güvenliğinde önemli bir rol oynar. Sayılar, büyük harf ve küçük harfler ve özel sembollerden oluşan bir şifreyi çözmek çok daha zor. LastPass ve 1Password gibi araçlar karmaşık şifreler oluşturmanıza ve yönetmenize yardımcı olabilir. Buna ek olarak, güvenli olmayan ağlara bağlanırken WordPress kontrol paneline girmeniz gerekiyorsa (örneğin kahve dükkanları, halk kütüphaneleri vb.), Giriş bilgilerinizi koruyan güvenli VPN’leri kullanmayı unutmayın. Adım 3. Etkinleştir – Adım Kimlik Doğrulama Kimlik Doğrulaması İki adım Yetkilendirme sayfanıza ek bir güvenlik katmanı ekleyin. Kullanıcı adı onaylandıktan sonra, yönetimde başarılı olmak için tamamlamanız gereken başka adımlar ekler. Büyük olasılıkla bunu e -postaya, çevrimiçi bankalara ve gizli bilgiler içeren diğer hesaplara erişmek için kullandınız. Neden WordPress’te de kullanmıyorsunuz? Bu karmaşık görünse de, WordPress’te iki adımlı kimlik doğrulamayı etkinleştirmek çok kolaydır. Tek yapmanız gereken iki adım kimlik doğrulaması için bir uygulama yüklemek ve WordPress için yapılandırmaktır. WordPress’te iki adımlık kimlik doğrulamasının nasıl etkinleştirileceği hakkında daha ayrıntılı bilgi bulabilirsiniz.
Adım 4. PHP hata raporlarını devre dışı bırakma PHP hata raporları bir web sitesi geliştiriyorsanız ve her şeyin düzgün çalıştığından emin olmak istiyorsanız çok kullanışlı olabilir. Ancak, herkese hatalar göstermek WordPress güvenliğinde ciddi bir ihmaldir. Bunu mümkün olan en kısa sürede düzeltmelisiniz. Endişelenmeyin, WordPress’teki PHP hata raporlarını devre dışı bırakmak için bir programcı olmanıza gerek yok. Çoğu barındırma servis sağlayıcısı bu seçeneği kontrol panelinde sunar. Değilse, aşağıdaki satırı wp-config.php dosyanıza ekleyin. Wp-config.php.error_reporting (0) dosyasını düzenlemek için FTP istemcisini veya dosya yöneticisini kullanabilirsiniz; @ini_set (‘Display_errors’, 0); Adım 5. WordPress için Nulled Şablonları kullanmayın, “Tek ücretsiz peynir bir sıçan tuzağında.” Aynı şey boş şablonlar ve eklentiler için de geçerlidir. İnternet genelinde binlerce eklenti ve geçersiz şablon var. Kullanıcılar, farklı torrent dosyaları veya dosyalar kullanarak ücretsiz olarak indirebilir. Birçoğunun kötü amaçlı yazılım veya siyah arama motoru optimizasyon yöntemine bağlantılar bulaştığını bilmiyorlar. Eklentileri ve geçersiz şablonları kullanmayı bırakın. Bu sadece etik dışı değil, aynı zamanda WordPress’in güvenliğini tehlikeye atıyor. Son olarak, web sitenizi temizlemek için geliştiriciye daha fazla ödeme yapacaksınız.
Adım 6. Kötü amaçlı yazılım hacker için WordPress tarama genellikle WordPress’i enfekte etmek için şablonlarda veya eklentilerde delikler kullanır. Bu nedenle, blogunuzu daha sık kontrol etmek önemlidir. Bu amaç için çok iyi yazılmış eklentiler var. WordFence kalabalığın dışında öne çıkıyor. Kullanım yönergeleri ve diğer birçok farklı ayarla birlikte otomatik olarak test etme yeteneği sunar. Modifiye/enfekte olmuş dosyaları birkaç tıklamada bile kurtarabilirsiniz. Bu ücretsiz olarak kullanılabilir. Bu gerçekler şimdi yüklemeniz için yeterli olmalıdır. WordPress güvenliğini artırmak için diğer popüler eklenti:
Mahkeme Karşıtı. Daha önce bahsettiğimiz WordFence’ın aksine, kurşun geçirmez dosyalarınızı taramıyor, ancak size bir güvenlik duvarı, veritabanı koruması vb. Ayırt edici özelliği, eklentileri birkaç tıklamada yapılandırma ve yükleme yeteneğidir.
Sucuri Güvenliği. Bu eklenti sizi DDOS saldırılarından korur, siyah bir listeye sahiptir, web sitenizi kötü amaçlı yazılımdan tarar ve güvenlik duvarınızı kontrol eder. Bir şey bulursanız, size e -posta yoluyla söylenecektir. Google, Norton, McAfee – Bu eklenti bu programın tüm siyah listelerini içerir.
Adım 7. Web sitenizi daha güvenli bir barındırma bu öneri garip görünebilir, ancak istatistikler, WordPress web sitesinin% 40’ından fazlasının barındırma hesaplarındaki güvenlik delikleri nedeniyle saldırıya uğradığını göstermektedir. Bu istatistikler, WordPress’i daha güvenli barındırmaya taşımaya teşvik edecektir. Yeni bir barındırma seçerken hatırlanması gereken bazı önemli gerçekler:
Paylaşılan barındırma ise, hesabınızın diğer kullanıcılardan izole edildiğinden ve sunucudaki diğer web sitelerinden enfeksiyon riski olmadığından emin olun. Hosting’in otomatik rezerv özelliği vardır;
Sunucunun üçüncü bir tarafı güvenlik duvarı ve bir tarama aracı vardır.
Adım 8. Verilerinizi mümkün olduğunca sık kolaylaştırın, sahibinin WordPress güvenliğini iyileştirmek için binlerce harcamasına bakılmaksızın, her gün en büyük web sitesi bile saldırıya uğrar. Bu alandaki en iyi uygulamayı takip etseniz ve bu makalede ipuçları uygulasanız bile, yine de web sitenizin rutin yedeklemelerini yapmanız gerekir. Yedekleme yapmanın birkaç yolu vardır, örneğin site dosyalarını manuel olarak indirebilir ve veritabanlarını dışa aktarabilir veya barındırma şirketiniz tarafından sunulan araçları kullanabilirsiniz. Başka bir yol WordPress eklentilerini kullanmaktır. Bunların en popüler olanı:
Vaulttekan;
Backupwresspress;
BackupGuard.
Dropbox’ta WordPress rezervleri oluşturma ve depolama sürecini bile otomatikleştirebilirsiniz. Adım 9. Dosya Düzenleme seçeneğini devre dışı bırakın Bildiğiniz gibi, WordPress, PHP dosyalarını düzenlemenize olanak tanıyan varsayılan bir düzenleyiciye sahiptir. Bu özellik tehlikeli olasılık kadar yararlıdır. Hacker kontrol panelinize erişirse, dikkat ettikleri ilk şey dosya düzenleyicisidir. Bazı WordPress kullanıcıları bu özelliği tamamen devre dışı bırakmayı tercih eder. Aşağıdaki kodu ekleyerek wp-config.php dosyalarını düzenleyerek devre dışı bırakılabilir: tanımlama (‘dislax_file_dit’, true);
WordPress’te bu özelliği devre dışı bırakmak için ihtiyacınız olan tek şey bu. ÖNEMLİ. Bu özelliği tekrar etkinleştirmek istiyorsanız, barındırma için FTP istemcisini veya dosya yöneticisini kullanın ve bu kodu wp-config.php dosyasından silin. Adım 10. Web sitenizi WordPress’te temizlemek için kullanılmayan şablonları ve eklentileri silin ve kullanılmayan tüm şablonları ve eklentileri silin. Bilgisayar korsanları genellikle kontrol panellerinize erişmek veya sunucunuza tehlikeli içeriği indirmek için devre dışı bırakılan ve eski (resmi WordPress eklentileri) şablonları ve eklentileri kullanır. Uzun zamandır durduğunuz (ve belki de güncellenmeyi unuttuğunuz) eklentileri ve şablonları kaldırarak, riskinizi azaltır ve WordPress web sitenizi daha güvenli hale getirirsiniz. Adım 11. WordPress’in güvenliğini artırmak için .htaccess kullanma .htaccess, doğru WordPress bağlantı çalışması için gereken bir dosyadır. .Htaccess dosyasına doğru giriş olmadan, 404 çok fazla alacaksınız. Pek çok kullanıcı, .htaccess’in WordPress korumasını artırmak için kullanılabileceğini bilmiyor. Örneğin, belirli bir klasörde PHP’nin yürütülmesini erişimi engelleyebilir veya devre dışı bırakabilirsiniz. ÖNEMLİ. Dosyada herhangi bir değişiklik yapmadan önce, eski bir .htaccess dosya yedekleme yapın. Bunu yapmak için FTP istemcileri veya dosya yöneticileri kullanabilirsiniz. Aşağıdaki WordPress kodunun yönetim bölümüne erişimi devre dışı bırakma, WordPress’in yönetim bölümüne yalnızca belirli bir IP’den erişmenizi sağlar. AuthUSERFILE /dev /null authgroupFile /dev /null authName “Kontrol Erişim Yöneticisi WordPress” Auttype Basic komutu reddedin, izin ver. Xx.xx.xx.xx.xxx’ten izin veren herkesten reddedin xx.xx.xx.xx.xxx

xx.xx.xx.xx.xxx “IP adresinizdir. Mevcut IP adresinizi kontrol etmek için bu web sitesini kullanabilirsiniz. Siteyi WordPress’te yönetmek için birden fazla bağlantı kullanıyorsanız, başka bir IP adresi yazdığınızdan emin olun ( İhtiyacınız olduğu kadar çok adres ekleyin). Dinamik bir IP adresiniz varsa bu kodu kullanmanız önerilmez. Belirli bir klasörde PHP’nin yürütülmesini devre dışı bırak Hacker, arka kapı komut dosyasını WordPress indir klasörüne yüklemeyi sever. Klasör yalnızca medya dosyalarını kaydetmek için kullanılır. Bu nedenle, herhangi bir PHP dosyası içermemelisiniz./wp-content/uploads içinde/wp-content/uploads içinde yeni bir .htaccess dosyası oluşturarak PHP yürütmesini kolayca devre dışı bırakabilirsiniz: Tüm WP’den reddet -Config.php Dosya Koruma WP- Dosya WP- Config.php WordPress Yapılandırma Çekirdeği ve MySQL veritabanı ayrıntılarını içerir. Bu nedenle, bu WordPress’teki en önemli dosyadır. Bu nedenle, genellikle Hacke’nin ana hedefidir. R WordPress. Ancak, aşağıdaki. Htaccess kurallarını kullanarak kolayca güvence altına alabilirsiniz:
İzin ver, reddet. Tüm adımları reddedin 12. WordPress veritabanı SQL enjeksiyonunu önlemek için standart WordPress veritabanı önekini değiştirin ve web sitenizin çalışması için gereken tüm önemli bilgileri depolar. Sonuç olarak, SQL kodunu uygulamak için otomatik kodlar yapan bilgisayar korsanları ve spam gönderenler için başka bir hedeftir. WordPress kurulumu sırasında, birçok kişinin standart WP_ veritabanı önekini değiştirmesi gerekmez. WordFence’e göre, 5 WordPress hack’inden 1’i SQL kodunun uygulanmasına bağlıdır. WP_ standart değerlerden biri olduğundan, bilgisayar korsanları önce başlar. Bu aşamada, WordPress’teki web sitesini bu tür saldırılardan korumayı kısaca düşüneceğim. Mevcut WordPress siteleri için önek tablosunu değiştirin. İlk güvenlik! Başlamadan önce, MySQL veritabanı yedeklemenize sahip olduğunuzdan emin olun. Bölüm Bir. WP-C’deki öneki değiştirin Config.php WP-Config.php dosyanızı bir FTP istemcisi veya dosya yöneticisi kullanarak bulun ve $ table_priix ile bir satır bulun. Ek numaralar, harfler veya alt satırlar ekleyebilirsiniz. Bundan sonra, değişikliklerinizi kaydedin ve bir sonraki adıma devam edin. Bu kılavuzda, WP_1Secure1_’i yeni bir tablo önek olarak kullanacağım. WP-Config.php dosyanızdayken, hangisini değiştireceğinizi öğrenmek için veritabanı adınızı bulun. Tanımlama bölümüne bakın (‘db_name’
. İkinci kısım. Tüm veritabanı tablolarını güncelleme Şimdi veritabanınızdaki tüm notları güncellemeniz gerekir. Bu phpmyadmin kullanılarak yapılabilir. İlk bölümde belirtilen veritabanını bulun ve orada oturum açın. Varsayılan olarak, WordPress kurulumunda 12 tablo vardır ve her tablo güncellenmelidir. Bununla birlikte, bu phpmyadmin’de SQL bölümleri kullanılarak daha hızlı yapılabilir. Her tabloyu manuel olarak değiştirmek çok zaman alır, bu nedenle işlemi hızlandırmak için SQL sorguları kullanın. Aşağıdaki sözdizimi, veritabanınızdaki tüm tabloları güncellemenize izin verecektir: ‘wp_commentmeta’ tablosunu ‘wp_1secure1_commentmeta’ olarak yeniden adlandıracaktır; ‘Wp_comments’ tablosunu ‘wp_1secure1_comments’ olarak yeniden adlandırın; ‘Wp_1secure1_links`’ wp_links ‘tablosunu yeniden adlandırın; ‘Wp_options’ tablosunu ‘wp_1secure1_options’ adresine yeniden adlandırın; ‘WP_POSTMETA’ tablosunu ‘wp_1secure1_postmeta’ olarak yeniden adlandırın; ‘Wp_1secure1_posts’ to ‘wp_posts’ tablosunu yeniden adlandırın; ‘Wp_terms` to’ wp_1secure1_terms ‘to rege regre; ‘WP_TERMETA’ tablosunu ‘wp_1secure1_termmeta’ olarak yeniden adlandırın; ‘Wp_1secure1_term_relationships’ adresine ‘wp_term_relationships’ adını yeniden adlandırın; ‘Wp_1secure1_term_taxonomy’ olarak ‘wp_term_taxonomy’ tablosunu yeniden adlandırın; ‘WP_USEMETA’ tablosunu ‘wp_1secure1_usemeta’ olarak yeniden adlandırın; ‘WP_USER’ tablosunu ‘wp_1secure1_users’ olarak yeniden adlandırın;