WordPress Blog Güvenlik İpuçları

Sonuçları kaldırmak yeterli değildir, nedenlerini anlamanız gerekir. Bunu zaten yazdım hacklendik ve sözde hepimiz karar verdik. Ancak, bir hafta sonra hikaye tekrarlandı, başka bir jquery betiği ve .htaccess dosyaları değiştirildi. Ve .htaccess'te sadece mobil cihazlar ve tabletler için bazı sol sitelere yönlendirmeler yapıldı ve bu yüzden bunu hemen fark etmedim.

Birkaç gün içinde, saldırgan tarafından değiştirilen tüm dosyaları ve onun tarafından özel olarak penetrasyon (kabuk) için oluşturduğu dosyaları bulmayı başardım. Ve yine, yardımları için barındırma sayesinde. Bundan sonra internette açıklanan tüm önlemleri almaya karar verdim.

Makalenin içeriği

Benim küçük blogger SSS tüm parçaları:

Blog yazmayla ilgili bir dizi makale yazdım. Tam teşekküllü bir kılavuz gibi davranmazlar, ancak yeni başlayanlar yararlı olabilir. Eğer ilgilenirseniz okuyabilirsiniz.

0. Kursu tavsiye ederim «Nasıl milyoner blogcu olunur ve para kazanılır»
1. Blog nasıl başlatılır?
2. Bir blog nasıl tanıtılır - eylemlerimin bir listesi
3. Bir blogda ve seyahatte nasıl para kazanılır
4. Blogumuzda kazanç elde etme örneği - Finstrip 2013, finstrip 2012, Finstrip 2011
beş. Okuyucu ve arama trafiği ve okuyucuların neden geri gelmediği
6. Seyahat bloglama hakkında küçük bir gerçek
7. WordPress Blog Koruma İpuçları

WordPress Blog Güvenlik İpuçları

WordPress Blog Güvenlik İpuçları

Listenin tam olması olası değildir ve dedikleri gibi, kime ihtiyacı var, yine de kıracaklar. Ancak en azından hemen hemen her blogcu bu eylemleri en azından kendini biraz korumak için yapabilir..

Sayaç ve widget kodlarını güncelleme

Blogunuzdaki ve sitedeki tüm sayaçların ve sosyal widget'ların kodlarını kontrol edin..
Belki de güncellendi. Facebook'un widget'ların kodunu sık sık değiştirdiğini fark ettim, görünüşe göre güvenliği artırdı.

Tüm eklentileri ve WordPress'i en son sürümlere güncelleyin ve kullanılmayanları kaldırın

Burada yorumlar gereksiz, herkes bunu nasıl yapacağını biliyor. Güvenlik açıkları genellikle eklentilerde ve temalarda yer alır, bu nedenle en azından kullanılmayanların tümü kaldırılmalıdır.

Timthumb.php dosyasını güncelleyin

Temanız timthumb.php kullanarak küçük resimleri yeniden boyutlandırıyorsa, eski sürümlerde bilinen bir güvenlik açığı olduğu için bu dosyayı kesinlikle en son sürüme güncellemeniz gerekir..

Klasörler ve dosyalar üzerindeki izinleri kontrol edin

.Htaccess - 444 izinleri ve karşıya yükleme klasörleri - 777 izinleri dışında tüm dosyaların 644 izni ve 755 klasörü olmalıdır..

Yönetici kullanıcı adını değiştirme

En hızlı seçenek phpadmin'e gitmektir ve orada, veritabanınızda bu sorguyu yürütün:

GÜNCELLEME wp_users SET user_login = ‘Yeni giriş bilgileriniz’ NEREDEN user_login = ‘yönetim’;

Ya da blogun yönetici panelinden yeni bir kullanıcı oluşturabilir, tüm makaleleri ona yeniden atayabilir ve eski yönetici kullanıcıyı silebilirsiniz..

Tüm şifreleri daha karmaşık şifrelerle değiştirin

Banal tavsiye, ancak şifreler farklı kayıtların sayıları ve harflerinden oluşan karmaşık olmalıdır. Ayrıca, virüslerle mücadeleden sonra, tüm şifreleri herhangi bir şekilde değiştirmeniz gerektiğini unutmayın (blog yöneticisi, barındırma yöneticisi, ftp, sql veritabanı) ve ayrıca wp-config.php dosyasındaki gizli anahtarları değiştirmenin mantıklı olduğunu unutmayın..

.Htaccess ve wp-config.php dosyalarını herkes için erişime karşı koruyun

Blogun kökündeki .htaccess'inize şu kodu ekleyin:

Sipariş reddetme, izin verme
hepsinden inkar
sipariş ver, reddet
hepsinden inkar

Wp-include klasörünü .htaccess ile koruyun

Düz bir metin dosyası oluşturun, dosyayı .htaccess olarak adlandırın ve kodu dosyaya ekledikten sonra wp-include klasörüne kopyalayın:

Sipariş İzin Ver, Reddet
Hepsinden reddet
Herkesten izin ver

Wp-admin klasörünü .htaccess ve .htpasswd ile koruyun

Düz bir metin dosyası oluşturun, .htaccess olarak adlandırın ve dosyayı dosyaya ekleyerek wp-admin klasörüne kopyalayın:

AuthUserFile /home/public/.htpasswd
AuthType Temel
AuthName “kısıtlı”
Sipariş Reddi, İzin Ver
Hepsinden reddet
Geçerli kullanıcı gerektir
Herhangi birini tatmin et

Nerede, «/home/public/.htpasswd» .Htpasswd dosyasının tam yoludur. Bu dosyanın blogunuzun dizininin üzerinde olması önerilir.

.Htpasswd dosyası, wp-admin bölgesine şifrelenmiş biçimde erişim için parola içerir. Bu dosyayı oluşturmanın en kolay yolu kullanıcı adını ve şifreyi her zamanki gibi girmektir. Mevcut hesaplardan farklı verileri tekrar etmemek ve belirtmemek en iyisidir.

Bu yöntemle ilgili yalnızca bir sorun vardır - tüm kullanıcılardan şifre isteneceği için çok kullanıcılı bir blogunuz varsa geçerli değildir.

Veritabanı önekini değiştir

SQL veritabanınızın önekini standarttan değiştirin «wp_» bazı «wpsdjflk647_» Blogun oluşturulmasının en başında mümkün oldu. Ama şimdi bu bir sorun değil. Aşağıda tartışılacak bir eklenti yaptım. Her ne kadar phpadmin'e girebilseniz de, oradaki tüm tablo adlarını değiştirin ve wp-config.php dosyasındaki öneki değiştirin

Belavir Eklentisini Yükle

Blogunuzun tüm php dosyalarındaki değişiklikleri izleyecek Belavir eklentisini yükleyin. Eklentinin kendisi hiçbir şey izlemez, ancak Konsol sayfasındaki blog yönetici paneline gittiğinizde taramayı başlatır ve burada değişiklikleri görüntüler. Ayarı yok.

WP Güvenlik Tarama Eklentisini Yükleme

Özellikle bazı şeyler yapabileceğiniz WP Güvenlik Taraması eklentisini yükleyin:
- veritabanı önekini değiştir
- klasörler ve dosyalar üzerindeki izinleri kontrol et
- WordPress sürümünü gizle
- bir blog için bir antivirüs bağlayın ve kontrol edin

Daha İyi WP Güvenlik Eklentisi Yükleyin

Better WP Security eklentisini yükleyin, önceki ikisinden daha da gereklidir. Özelliklerinin listesi çok büyük, bir kısmı listeleyeceğim:
- veritabanı önekini değiştirmenize izin verir
- wordpress sürümünün türüne göre gereksiz bilgileri blog kodundan kaldırır
- tüm dosyalardaki değişiklikleri izler
- blogunuzun adından sonra tarayıcıya garip adresler girenlerin ipini 404 hatası alarak yasaklar
- yönetici paneli için bir şifre seçilmesini yasaklar, ip ip
- standart yönetici giriş adreslerini değiştirir, kaba kuvvet saldırılarına karşı mükemmel koruma
- ve daha fazlası.

Ftp'nizdeki değişiklikleri izleme

Ftpfo programınızı bilgisayarınıza yükleyin, bu da ftp sunucunuza bağlanmanızı ve tüm hesap dosyalarının görünümlerini / silinmelerini / değişimlerini izlemenizi sağlar. Virüs saldırıları sırasında çok kullanışlı bir şey. Yalnızca tüm dosyaları izlemekle kalmaz, aynı zamanda dosya ve klasörler için maske de oluşturabilirsiniz.

Veritabanlarının ve dosyaların birkaç günde bir yedeklenmesi

Çok faydalı bir şey, virüslerle savaşmak için kullanışlı olabilir. Orijinal dosyalar her zaman elinizin altında olacak ve siteyi virüslerden temizlemek mümkün değilse geri alma fırsatı olacaktır. BackWPup eklentisini kullanıyorum. Verileri Dropbox'a kopyalamak da dahil olmak üzere birçok özelliği vardır - İnternette 2GB boş alan ve bilgisayarınızla senkronizasyon sağlayan kullanışlı bir hizmet.

Bunlar, blogumuza uyguladığım bir WordPress blogunu korumanın ipuçları. Herhangi bir sorunuz veya eklemeniz varsa (belki başka bir şey yapılabilir), yorumlara yazın :)