Da hacker
Non ci sono alcuni semplici passaggi è possibile adottare per proteggere ogni setup di installazione di WordPress. ? Ma perché preoccuparsi della sicurezza
Questo è il motivo per cui
Avevo due blog WordPress violati in passato. E ‘stato in un momento in cui stavo facendo molto poco di internet marketing, e fino a quando ho trovato il tempo per affrontare la situazione (mesi più tardi), questi siti sono stati penalizzati nei motori di ricerca. Essi non sono stati rimossi, ma la classificazione è ridotta.
guardo alla fine, ma non trattare con esso per diversi mesi. Per una buona quantità di tempo, io non so nemmeno il problema.
Il risultato? Immagino Ho perso su un paio di centinaia di chili di introiti pubblicitari.
Gran parte della sicurezza di WordPress è solo buon senso. Si sta utilizzando una password sicura? Si sta utilizzando una password diversa per ogni sito web?
Per anni, non ho fatto quello. Ho avuto tre o quattro le password di uso comune. Ma ci sono due modi in cui si può sempre generare una buona, forte password per ogni sito che viene registrato. (Naturalmente, questo include i loro blog WordPress.)
L’approccio più debole (ma ancora piuttosto buona) è quello di iniziare con una password comune; aggiungere alcuni numeri di quello che probabilmente ti ricordi, come il numero civico di prima direzione; quindi aggiungere il primo, per esempio, cinque lettere nome di dominio. Ad esempio, se la password che hai iniziato con era reindeer230, se si stesse utilizzando un sito chiamato example.com, sarebbe diventato reindeer230examp. Questo è un molto forte password. Questa tecnica protegge contro gli attacchi del dizionario in cui un aggressore può tentare più volte per accedere al proprio account usando parole in inglese, parole da altre lingue, nomi, e così via.
L’approccio più forte e mi raccomando personalmente è quello di utilizzare uno dei plugin per la generazione e la memoria disponibile per il browser password. Molte persone come RoboForm, ma penso che dopo un periodo di prova gratuito, si deve pagare per questo. Io uso la versione gratuita di LastPass, e lo consiglio per quelli di voi che usano Internet Explorer o Firefox. Che generare password casuali per voi; quindi utilizzare una password principale per accedere.
stiamo entrando cose specifiche WordPress. Ogni volta che si installa WordPress, modificare il file config-sample.php e rinominarlo in config.php. È necessario installare i dati del database lì.
Ci sono alcune altre modifiche per farlo.
C’è una sezione config-sample.php intitolata “autenticazione Unique Keys”. Ci sono quattro definizioni contenute all’interno del blocco. C’è un collegamento ipertestuale all’interno di quella sezione di codice. È necessario inserire questo link nel browser, copiare il contenuto che torni, e sostituire le chiavi ancora con chiavi univoche, pseudo-casuali fornito dal sito. Questo rende più difficile ai pirati di generare automaticamente un cookie “registrato” per il vostro sito.
Il passo successivo è quello di cambiare il prefisso delle tabelle di “wp_” per impostazione predefinita. Questo è in sezione database Tabella Prefisso WordPress. Non importa ciò che lo cambia; È possibile utilizzare caratteri alfanumerici, trattini e underscore. Questo dovrebbe contrastare attacchi di SQL injection, dove al contrario è destinato a causare WordPress per eseguire del codice SQL che effetto indesiderato sul tuo sito. Questo codice potrebbe aggiungere un nuovo utente con i privilegi di superutente per il vostro sito WordPress.
Si noti che si deve solo fare questo ultimo passo per le nuove installazioni. Se si vuole farlo per gli impianti già esistenti, avrà anche bisogno di cambiare i nomi delle tabelle nel database.
Infine, l’installazione di WordPress Plugin Security Scan controllare la maggior parte di questo per voi, e vi avvisa di tutto quello che potrebbe avere perso. Sarà anche dirvi c’è un utente chiamato “admin”. Naturalmente, questo è il nome utente amministrativo. È possibile seguire un link e le istruzioni per la modifica del nome, se lo si desidera. Personalmente, credo che una forte protezione tramite password è abbastanza buono, e dal momento che ho seguito questi passi, non ci sono stati attacchi di successo sui molti blog che incontro.
Infine, WordPress sicurezza anche dire che non c’è .htaccess nella / wp-admin. È possibile inserire il file a.htaccess in questa directory se lo si desidera, e può essere utilizzato per controllare l’accesso a wp-admin per indirizzo IP o un intervallo di indirizzi directory. Dettagli su come fare che sono facilmente disponibili in rete.
Tuttavia, vi consiglio di installare Login LockDown plug invece di controlli any.htaccess. Che fermerà le richieste di accesso siano consentite da un indirizzo IP specifico per un’ora dopo tre tentativi di accesso non riusciti. Se lo fai, è ancora possibile accedere al pannello di amministrazione, mentre lontano dal tuo ufficio, e ancora avere una buona protezione contro gli hacker.