СПОДЕЛИ

Хакирањето блог, кога преку ноќ ќе изгубите години и години од вашата блогерска работа, е тажна реалност за некои луѓе кои поминале низ тој пекол. Впрочем, истражувањата покажуваат дека 37,000 веб сајтови се хакираат секој ден, а самиот факт дека WordPress опслужува 35% од вкупниот број на веб сајтови, може да е само показател дека добар дел од WordPress блоговите се нападнати секој ден.

WordPress безбедноста за блогови е сосема поинаква игра. Кога веќе поседувате WordPress блог, советите од типот дека треба да имате корисничко име кое тешко може да се погоди или тешка лозинка не е доволно. Една тема со багови, еден погрешен додаток, или несоодветно заштитена датотека, може да резултираат во хакиран блог.

Независно дали сте неискусен со WordPress, или работите со платформата од нејзиниот почеток, во овој текст ви направивме листа од 10 практични и ефикасни начини за заштита на вашиот WordPress блог кои секој може да ги имплементира. Овие совети не можете да ги најдете во популарните “како да го заштитите вашиот блог” текстови, но, еден ден тие може да го спасат вашиот благ.

1. Оневозможете го уредувачот за WordPress тема & додатоци

WordPress има корисна опција која им дава поголема флексибилност на сопствениците на веб сајтови, дозволувајќи им да ги прилагодуваат и уредуваат нивните теми и додатоци директно од контролната табла на WordPress, но оваа опција често е причината за проблеми кај повеќето блогови.

Со оваа опција, една мала грешка може да го расипе вашиот сајт и да не ви дозволи да влезете во него. Хакерите може да вметнат лош код во вашата тема за да имаат пристап до вашиот сајт, па дури и комплетно да го превземат, добивајќи ја контролата преку сметка која има доволно привилегии за да употребува уредувачи на тема и додатоци.

Може да се заштитите дебагирајќи го уредувачот за додатоци и тема, оневозможувајќи модифицирање на темите и додатоците без FTP пристап.

Само додадете го следниов код во вашата wp-config.php датотека:

define( 'DISALLOW_FILE_EDIT', true );

2. Овозможете проверување на идентитетот со два фактора

Проверувањето на идентитетот со два фактори е еден од најсигурните начини за заштита на корисничките сметки на интернет, и најбезбедните сајтови инсистираат нивните корисници да ја имаат овозможено оваа опција.

Иако WordPress нема вградено ваква идентификација, вие може да ја овозможите на вашиот блог со инсталирање на следниве додатоци:

3. Ограничете ги најавувањата врз основа на бројот на неуспешни обиди

Постојат многу начини на кои хакерите може да добијат пристап до вашиот блог, а една од најчестите техники која тие ја употребуваат е bruteforce attack (груб напад): хакерот се обидува со различни комбинации на кориснички имиња и лозинки, одново и одново, сé додека не успее да добие пристап на вашиот блог.

Стандардно, WordPress не е заштитен од овој тип на напади. Инсталирањето додатоци кои ограничуваат најавувања врз основа на бројот на неуспешни обиди од одреден IP, може да ви помогне да им го отежните пристапот на хакерите.

Jetpack Protect Module додатокот може да ве заштити од споменатите напади на хакерите .

4. Редовно скенирајте го вашиот блог

Датотеките со теми, додатоците, линковите, и другите елементи, кои наизглед се чинат безопасни, може да се употребат за добивање на пристап кон вашиот блог. Не чекајте вашиот веб сајт да е целосно заразен за да превземете соодветни мерки. Инсталирајте додатоци за скенирање на безбедноста за редовно да го скенирате сајтот и да добиете известување за евентуална промена на вашите датотеки.

Еден одличен додаток за оваа намена е Wordfence. Покрај тоа што ви дава опција рачно/автоматски да го скенирате сопствениот WordPress блог, тој исто така ве известува за постоење на сомнителна активност на вашиот блог.

Ви испраќа и информации за потенцијално злонамерни коментари, и ги споредува вашите датотеки за тема и додатоци со WordPress архивата за да ве извести дали вашата верзија на додатокот или темата била модифицирана и може да служи како влез за хакерите.

Други додатоци за бесбедност кои откриваат експлоатирања се:

5. Сменете го вашиот хост

Иако ова изгледа како едноставен совет, сепак овој совет е многу важен. Истражувањата покажуваат дека 41% од хакираните WordPress веб сајтови биле хакирани преку ранливата безбедност на нивната хостинг платформа. Овој процент е многу поголем отколку процентот од другите извори, меѓу кои и слаба лозинка.

Вашиот хост може да игра главна улога во однос на тоа тоа дали ќе бидете хакирани или не. Секогаш избирајте сигурни услуги за веб хостинг кои подолго време егзистираат и се во согласност со најдобрите практики во индустријата.

6. Сoкријте го бројот на WordPress верзијата

Предодредено, WordPress го прикажува бројот на вашата WordPress верзија, бидејќи така му се олеснува можноста на WordPress да го следи бројот на активни WordPress блогови ширум светот. Сепак, ова може да е вистински извор на проблеми. Хакерите може да го скенираат вебот за блогови употребувајќи го бројот на WordPress верзија со познати пропусти и ранливост, правејќи вашиот блог да е мета.

Овој проблем можете да го решите со криење на бројот на WordPress верзијата. За да го скриете треба само да го додадете следниов код во вашата functions.php датотека:

add_filter( 'the_generator', '__return_null' );

7. Оневозможете известување за PHP грешки

Кога некој додаток или тема не работат на WordPress блог, известувањата за PHP грешки може да ви помогнат, прикажувајќи ви порака која ја открива причината за грешката. Сепак, во оваа придобивка лежи голем недостаток. Кога се известува за PHP грешка, се вклучува целата серверска патека до грешката, откривајќи информации кои хакерите може да ги искористат против вас.

Може да се заштитите себе си со оневозможување на опцијата за известување за PHP грешки. Додадете го следниов код во вашата wp-config.php датотека:

1

2

error_reporting(0);

@ini_set(‘display_errors', 0);

8. Поработете на дозволите на датотеките

Кога станува збор за спречување на напади и злоупотреба на вашиот WordPress сајт, важно е да обезбедите точни дозволи на датотеки. Ова прави хакерите потешко да манипулираат со вашите додатоци, теми или датотеки за да го превземат вашиот сајт.

Дозволите на WordPress папката треба да ви се поставени на 755 или 750; дозволите на датотеките на 640 или 644; а wp-config.php на 600.

9. Обезбедете редовен Backup

Дури и големите веб сајтови со тим на експерти и консултанти за безбедност се жртви на хакирање, и, иако следењето на најдобрите практики може да го направи вашиот веб сајт посилен од 99.9% од веб сајтовите, нештата може да се расипат.

Најдобрата заштита од WordPress хакерски напади е добар backup, кој треба редовно да го правите, а по можност и секој ден. На тој начин ако вашиот сајт стане жртва на хакери, вие ќе си ги имате датотеките и веднаш ќе може да ги вратите назад.

Подолу се некои од најдобрите WordPress додатоци за backup:

10. Ограничете го пристапот до вашата страница за најавување

Понекогаш мора да превземете подрастични мерки. Многу сигурен начин на заштита на вашиот блог од обиди за хакирање е целосно да го блокирате пристапот до вашата  wp-admin /wp-login.php страница.

Ова се препорачува само ако употребувате една IP адреса која не се менува (не сакате да се најдете во ситуација кога самиот себе си ќе си оневозможите пристап). Оваа опција може да ја употребите и кога употребувате повеќе IP адреси, но тогаш мора да ги следите сите адреси.

За да оневозможите пристап на вашата login страница, додадете го следниов код во вашата .htaccess датотека:

1

2

3

4

5

6

7

8

9

10

11

<IfModule mod_rewrite.c>

RewriteEngine on

RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]

RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$

RewriteCond %{REMOTE_ADDR} !^Your IP address 1$

RewriteCond %{REMOTE_ADDR} !^ Your IP address 2$

RewriteCond %{REMOTE_ADDR} !^ Your IP address 3$

RewriteCond %{REMOTE_ADDR} !^ Your IP address 4$

RewriteCond %{REMOTE_ADDR} !^ Your IP address 5$

RewriteRule ^(.*)$ - [R=403,L]

</IfModule>

Не заборавајте да ги уредите Your IP address 1 до Your IP address 5 со различни IP адреси од кои сакате да овозможите пристап. Може да додадете или исфрлите неколку реда за да додадете или отстраните IP адреси кои ќе имаат пристап до вашиот сајт.

Заклучок

Се разбира дека не треба да ги игнорирате основните правила за безбедност како на пр. да имате помалку предвидливо корисничко име, да не го користите admin корисничкото име, појака лозинка, редовно да ја ажурирате вашата WordPress инсталација, итн. Сепак, горе споменатите совети се помалку познати и често се игнорираат, иако може да помогнат во заштитата на вашиот WordPress блог и да го направат побезбеден.


Сакате да заработувате со WordPress?

WordPressЗа почеток совладајте го WordPress. Пријавете се на курсот: Управување со содржини со WordPress и со помош на искусен ментор направете ја вашата прва веб страница и започнете да заработувате веднаш!

Курсот можете да го следите од дома, во време кое најмногу ви одговара. Ако досега сте немале искуство со учење на далечина, погледнете го делот Одговори на најчесто поставувани прашања и запишете се на нашиот бесплатен курс “Вовед во веб технологии“.

Ти се допадна овој напис?
Се согласувам моите податоци да бидат префлени на MailChimp ( повеќе информации )
Стани член на клубот на веб професионалци Еверест и прв добивај информации кои можат да ти помогнат за твојот натамошен професионален развој.
И ние како и ти ги мразиме спамерите. Твојата email адреса никогаш нема да биде (про)дадена некому. Чесен збор.