Du har sikkert allerede kendskab til de indlysende sikkerhedsforanstaltninger, der skal tages for at beskytte din WordPress-hjemmeside.

Muligvis ved du, at du skal gøre dit websites adgangskode "stærk" (en blanding af specialtegn, store bogstaver, små bogstaver og tal). Du bør ikke bruge "admin" som brugernavn, og du skal ofte ændre adgangskoder. Du bruger sandsynligvis allerede tofaktorautentificering på dit WordPress-websted og har dit websted sikkerhedskopieret. Og du downloader aldrig premium plugins gratis eller fra ukendte kilder. Så hvad mere er der?

Her diskuteres nogle få WordPress-sikkerhedstips ved at bruge lidt kendte, men dybt effektive metoder, som du kan, og bør bruge til at beskytte dit WordPress-websted.

1. Omdøb eller flyt din login side

Standard login side for dit websted er "www.websitename.com/wp-login.php" (eller "www.websitename.com/wp-admin"). En af måderne til beskyttelse af dit websted er at skjule eller skjule login-siden, så hackere ikke kan finde det nemt. Kontrol af din login adgang ved at begrænse antallet af login forsøg hver gang og tidsrummet mellem login forsøg vil også forbedre sikkerheden.

Hvis du allerede har Jetpack installeret, kan du aktivere modulet "Brute Force Protection". Med dette modul aktiveret, vil Jetpack opdatere Dashboad med antallet af ondsindede login forsøg på din hjemmeside. Du har også mulighed for at whitelisting en række IP-adresser. Fra Jetpack gå til "Indstillinger" og derefter til "Beskyt", efterfulgt af "Konfigurer", og du kan se, hvad der ligner billedet nedenfor.

Cerber Security og Limit Login Poging er et alternativ til Jetpack. Hvis du hellere ikke vil bruge Jetpack, er Limit login en mulighed. Fra skrivelsesdatoen er plugin installeret over 40.000 gange og opretholder et næsten uberørt ry som 108 ud af 111 brugere vurderede det fem stjerner.

Limit Login er temmelig nemt at bruge, men konfigurere dens "Hærdning" sektion forbedrer dit websteds sikkerhed. All adgang til XML-RPC-serveren, som indeholder trackbacks og pingbacks, er som standard blokeret. Hvis du af en eller anden grund skulle have adgang til WordPress 'resten API (for eksempel kræver din blogs Android eller iOS app det), så lad WP resten API & XML-RPC være tilgængelig.

2. Vær, hvor det er sikkert

Da en kæmpe fjerdedel procent af WordPress-websites sikkerhedsbrud stammer fra værtsens ende og ikke selve webstedet, er det logisk at sikre, at din vært er sikker. Faktisk bærer hosting mest vægt, når det kommer til sikkerhed. Kun otte procent af hacks sker på grund af svage adgangskoder, 29 procent på grund af tema og toogtyve procent på grund af plugins. Så omkring halvdelen af ​​dit websteds sikkerhed er afhængig af hosting.

Sørg for, at din konto indeholder kontoisolering, hvis du bruger delt hosting. Din konto bliver beskyttet mod hvad der sker på andres hjemmesider. Det er dog bedst, at du bruger en tjeneste, der er designet med WordPress-brugere i tankerne. Sådanne tjenester vil omfatte WordPress-firewall, beskyttelse mod nul-dages malwareangreb, opdateret MySQL og PHP, specialiserede WordPress-servere og en WordPress-kyndig kundeservice. Værter som WP Engine, Siteground og Pagely har stærke sikkerhedsspor records.

3. Hold dig ajour og brug kun opdateret software

Du ved, at du skal bruge opdateret antivirus og anden relevant anti-malware beskyttelse til din computer. Denne forholdsregel gælder også for plugins og temaer. Hold dem opdaterede, og hvis du har temaer eller plugins i dit depot, der ikke er i brug, skal du fjerne dem. Hvis det er rigtigt for dit websted, overvej at indstille dine plugins og temaer for at opdatere automatisk. For at oprette automatiske opdateringer skal du sætte kode i din wp-config.php. Følgende er koden til plugins:

 add_filter ('auto_update_plugin', '__return_true'); 

Og for temaer, brug denne kode:

 add_filter ('auto_update_theme', '__return_true'); 

Hvis du vil have en håndfri tilgang til vedligeholdelse af webstedet, kan du overveje at automatisere WordPress-opdateringer. Bemærk dog, at opsætning af en auto-opdatering kan ødelægge dit websted, især hvis plugins er uforenelige med den seneste WordPress-opdatering, der kører på dit websted. For at oprette en automatisk opdatering til dit WordPress-websted skal du indsætte koden nedenfor i din wp-config.php- fil:

 # Aktiver alle centrale opdateringer, herunder mindre og større: define ('WP_AUTO_UPDATE_CORE', true); 

4. Fjern plugin tema editor og PHP fejl rapportering

Deaktiver din indbyggede editor til plugins og temaer, hvis du ikke rutinemæssigt justerer og ændrer indstillinger (eller kører andre vedligehold på dine plugins og temaer). Dette er for sikkerheden for dit websted.

Autoriserede WordPress-brugere har adgang til denne editor, hvilket gør dit websted sårbart for en sikkerhedsbrud, hvis deres konti bliver hacket. Faktisk kan hackere nedlægge dit websted ved at ændre koden i den editor. For at deaktivere editoren skal du indsætte koden nedenfor i din wp-config.php :

 define ('DISALLOW_FILE_EDIT', sandt); 

Fejlrapporteringen er god. Det hjælper dig med fejlfinding. Det eneste problem (og det er et stort problem) er, at fejlmeddelelser også medfører deres servervej. Hackere kunne se på din serverbane og få en klar forståelse af dit websteds struktur. Selvom PHP fejlrapportering er god, er det bedst deaktiveret helt. Brug kodestykket nedenfor til din wp-config.php- fil:

 error_reporting (0); @ini_set ('display_errors', 0); 

5. Brug .htaccess til at beskytte specielle formål

.htaccess filen er vigtig, fordi det er hjertet af din WordPress hjemmeside. Denne fil er ansvarlig for dit websteds permalinks struktur og sikkerhed. Udenfor #BEGIN WordPress og #END WordPress tags er der ingen grænse for antallet af kodestykker, som du kan tilføje i din .htaccess-fil for at ændre synligheden af ​​filer inde i dit websites mappe.

Hvis du ikke allerede har gjort det, skal du skjule wp-config.php-filen på dit websted. Denne fil er afgørende for dit websteds aktiviteter og indeholder dine personlige oplysninger samt andre vigtige detaljer, der er relevante for dit websted. Du kan bruge kodestykket nedenfor til at skjule det.

 orden tillade, nægte at nægte fra alle 

For at begrænse administrativ adgang skal du blot oprette en ny .htaccess-fil og uploade den til din "wp-admin" -katalog. Herefter indsæt denne kode:

 rækkefølge nægte, tillad tilladelse fra 192.168.5.1 nægte fra alle 

Indtast din IP-adresse på det rigtige sted. For at give adgang til din wp-admin fra flere IP-adresser, liste disse IP-adresser, hver af dem på en separat linje, som allow from IP Address . Du kan begrænse adgangen til din wp-login.php på omtrent samme måde. Tilføj kun denne kodestykke i din .htaccess:

 rækkefølge nægte, tillade nægtelse fra alle # Tillad adgang fra min IP-adresse tillade fra 192.168.5.1 

Hvis du hellere ikke vil blokere alle IP-adresser, kan du kun specifikke IP-adresser, der ønsker at få adgang til din wp-admin eller wp-login.php. Du kan blokere individuelle IP-adresser ved hjælp af denne kode:

 rækkefølge tillade, nægte nægte fra 456.123.8.9 tillade fra alle 

Du kan også blokere folk fra at se dit webkatalog ved at gøre det ikke muligt at blive gennemset. Du kan bruge denne kodestykke til at gøre det:

 Indstillinger All-Indekser 

Konklusion

Dette har været en handlingsvejledning til at hjælpe dig med at forbedre din WordPress-websteds sikkerhed. Den mest afgørende af disse muligheder er en, der er ret enkel at implementere nu - find en vært med et uberørt omdømme for sikkerhed, da halvdelen af ​​dit websteds sikkerhed hviler på din vært.

Hvilket sikkerhedstips var mest nyttigt for dig og hvorfor? Har du andre sikkerhedstips, der ikke er angivet her? Næv det (eller dem) i kommentarerne.