Hur du säkra din WordPress-blogg, användbara tips för alla användare

Det är alltid allt roligt och spel tills du inte kan logga in på din älskade WordPress-webbplats eftersom dåliga killarna tog över. Allt kul och spel tills någon blir hackad, förlorar åtkomsten till WordPress admin-instrumentbrädan och helvetet går loss.


Dina stämningar tar den första hiten. De dämpas snabbt när du upptäcker att du har blivit avskedad. Det är ont och frustrerande att säga minst, för en kille där ute krossar med ditt försörjning, blandar sig i ditt företag och spottar i ansiktet.

Och pojke kommer du att springa in i handling, springa omkring med frustrerande försök att återställa din WordPress-webbplats, därmed ditt företag, till dess tidigare ära. Lita på mig, du vill inte bli hackad, ingen gör det. Men ändå händer det med alla och olika dagligen.

Vi har emellertid alltid dina bästa intressen i hjärtat, och som sådan har vi satt ihop flera åtgärder du kan använda för att stärka WordPress-säkerheten och minska chansen att hålla oinbjudna gäster.

Med dessa bästa praxis för WordPress-säkerhet vill vi att du ska ha det säkraste av WordPress-webbplatser. Vi kommer att göra vårt bästa för att dela upp punkterna, men om du behöver hjälp med vad som helst, ställ dina frågor och / eller dela din åsikt i kommentarerna.

Det här ur vägen, låt oss härda din WordPress-webbplats.

Börja med Quality WordPress Hosting

Att välja en värdplan

Visst kan du inte förvänta dig högsta säkerhet från en webbhotell som tar ut en dollar per månad. Vi har alla sett de “vi-har-det-allt-för-en-öre” värdplanerna. De skuggiga planerna av skuggiga värdföretag som lovar himlen för så lite som $ 2 till $ 4 dollar per månad. Åh, är de inte så lockande?

De är huvudsakligen delade värdpaket som har din webbplats, därmed ditt företag, som bor på samma server med en miljon och en annan webbplats. Alla sätt av webbplatser – bra och dåligt. De är vanligtvis mindre säkra i motsats till att säga, hanterad WordPress-värd som kostar cirka $ 30 per månad.

Om och / och när en av webbplatserna äventyras riskerar du också att äventyras. I själva verket kommer du att äventyras även om du är lika vaksam som nästa kille. Det enda sättet att mildra webhotell-relaterade attacker är att gå med en betrodd värd och säker värdplan från början.

Att välja den bästa WordPress-värden för ditt företag behöver inte vara en utmaning, med tanke på att det bara är några få faktorer att se upp för. De inkluderar kostnad, supportkvalitet, policyer för säkerhetskopiering och datahantering, uppdateringar till servern och programvara på den och allt annat däremellan.

Kolla in artikeln länkad i avsnittet ovan och var intresserad av att välja en nådig WordPress-värd baserad på bland annat säkerhetsfunktioner. Om du vill hoppa över forskningen och gå direkt till din WordPress-blogg på säkra servrar använder vi, älskar och rekommenderar WPEngine. De tillhandahåller WordPress-värd som är heltäckande med säkerhetsalternativ som kommer att blåsa ditt sinne. Allt till en bra affär. Media Temple och Siteground är också andra bra WordPress-värdval.

Bluehost delad värd är ett bra val också för nybörjare som testar vattnet, men om du behöver säker hosting för din WordPress-webbplats måste du uppgradera från det delade värdpaketet till ett av de andra paketen.

Varför är din värd så viktig? Jag har hackats tre gånger (ja, tre gånger) på deras delade paket. Tja, det var delvis mitt fel eftersom jag hade försummat offerplatserna, vilket gav hackare en fältdag att spela som de ville. Sedan har jag dragit ner dessa webbplatser eftersom de var potentiella risker för andra webbplatser på den specifika servern (håll dig fast eftersom vi kommer att nämna en sak eller två hur att försumma din webbplats kan leda till otäcka insatser med avskum av internet aka hackare. fokuserad; var uppmärksam eller så betalar du med din webbplats).

Tillbaka till valet av högkvalitativ WordPress-värd, hur gör du det? Ett enkelt telefonsamtal till din webbhotell som du väljer borde räcka. Du bör sikta på om de kör de senaste servrarna. Fråga om deras serverversioner, säkerheten för nämnda servrar och programvaran de kör på dessa servrar.

Utför sedan en snabb Google-sökning för att kontrollera (eller bekräfta) releasdatum för serverprogramvaran. Detta bör ge dig en aning om de använder den senaste programvaran eller inte. Det hjälper dig också att avgöra hur ofta de uppdaterar sina servrar. Om de går under långa perioder utan uppdateringar, bör du inte lita på dem med din online-verksamhet.

Var vaksam och ställ andra relaterade frågor och sluta aldrig förrän du är nöjd med att din är den säkraste webbhotellpengarna kan köpa.

Gör hö medan solen skiner och vara beredd

Säkerhetskopieringsnyckel i blå för arkivering och lagring

Säkerhetskopieringsnyckel i blå för arkivering och lagring

Även om det kanske inte hindrar dåliga killar från att bryta sig in i din WordPress-blogg eller onlinebutik, kan beredskapen minska effekten av attacken. Jag pratar om säkerhetskopiering av data här min vän; regelbundna säkerhetskopior som skyddar dig från att förlora viktiga data.

En säkerhetskopia ger dig sinnesfrid så att du kan sova bättre på natten. En säkerhetskopia är den snabbkorrigering du vill ha när saker går söderut. När din fantastiska receptwebbplats börjar detaljhandla Viagra på alla sidor kan du bara lita på en säkerhetskopia för att återhämta sig från en sådan attack.

Du bör sikta på att säkerhetskopiera hela WordPress-installationen; kärnfiler, databaser och allt annat. Experter rekommenderar vidare att kryptera dina säkerhetskopior och lagra en kopia av densamma på skrivskyddad media.

Du kan enkelt schemalägga dagliga säkerhetskopior eller dra nytta av verktyg som t.ex. MySQL Workbench, WordPress Database Backup (WP-DB-Backup) och BackWPup bland andra. Du kan också lära dig mer:

WordPress Plugins

Bara häromdagen, Ryan Dewhurst av WPScan upptäckt (och rapporterat) en blind SQL-injektionssårbarhet i WordPress SEO av Yoast. Nu är WordPress SEO av Yoast ett populärt SEO-plugin, vad med över en miljon aktiva installationer. Detta innebär att om en hackare skulle utnyttja detta säkerhetshål skulle de ha haft mer än en miljon WordPress-webbplatser på deras nåd. En miljon plus webbplatser!

Å nej snälla, bli inte rädd. Yoast släppte en säkerhetsfix samma dag som sårbarheten upptäcktes. Det finns dock bara ett problem. Till skillnad från WordPress uppdateras inte plugins automatiskt, vilket innebär att du fortfarande är sårbar om du inte har uppdaterat till den senaste versionen av WordPress SEO.

Du kan lika gärna argumentera för att du inte visste något om detta, men hackare har alla detaljer eftersom informationen är i den allmänna domänen, där den är lätt tillgänglig för alla. Vad i helvete väntar du på? Tryck redan på uppdateringsknappen. Uppdatera alla dina andra plugins också.

Fortfarande i denna WordPress-pluginverksamhet bör du bara köpa eller ladda ner WordPress-plugins från pålitliga källor. För att vara på den säkra sidan, källa dina plugins från det omfattande WordPress Plugin Repository eller från välrenommerade leverantörer som CodeCanyon.

Det finns hackare som kommer att maskeras som legitima plugin-utvecklare i ett bud att tjäna dina plugins som är fodrade med skadlig kod. Gå inte för deras billiga trick, hämta dina plugins från betrodda webbplatser. Låt inte dessutom inaktiva plugins ligga – ta bort alla oanvända plugins eftersom de är en favoritinträde för hackare. Ja det är de, även när de är inaktiverade.

Förresten, om du inte är som WPEngine och Siteground, räkna inte med din webbhotell för att hålla dig säker när det gäller plugin-sårbarheter – ta ansvar och bitt i kulan.

WordPress-teman

Om hackare inte tvingar sig in via föråldrade, komprometterade eller dåligt kodade plugins, hittar de kryphål i dina teman. Faktum är att de flesta attacker sker via teman och plugins, så ja, du måste vara extra vaksam här.

För det första, precis som med WordPress-plugins, har du inte råd att springa runt och plocka upp teman var du än är. Du kommer att fånga ett virus, skadlig programvara eller värre och gråta dåligt när det inte kommer till fläkten.

Om du arbetar med en mycket snäv budget eller bara börjar kan du kolla in några av våra gratis men professionellt kodade WordPress-teman eller tusentals av gratis teman på WordPress.org. För närvarande använder jag det fria eleganta temat från vår egen stall, och det har gjort underverk. Ser? Inget predikande vatten och vinkla vin här ��

På premiumtema kommer ett fantastiskt tema att sätta dig tillbaka $ 60 dollar eller så på några av de bästa temamarknaderna som eleganta teman och Themeforest. Du får en fantastisk produkt, topplådesupport och säkerhetsuppdateringar bland annat. Om du behöver peka i rätt riktning skulle jag gärna rekommendera det älskvärda Total WordPress-temat som inte är vackert och säkert.

Du bör sträva efter att hålla ditt tema (n) uppdaterat hela tiden så att du inte har problem med domstolen. Som sagt, ta bort alla oanvända teman av uppenbara skäl.

Om du har lite extra grönt att spendera eller själv är WordPress-utvecklare kan du undersöka hur du skapar egna egna teman. Detta är det enda säkra, om än dyrare sättet att få säkra WordPress-teman.

Naturligtvis måste du (eller din utvecklare) följa de bästa standarderna för webbkodning och uppdatera temat (erna) om det behövs. Om du anställer en webbutvecklare för att bygga ett tema, se till att de är ansedda först. Du kan också kontrollera om ditt tema uppfyller de senaste WordPress-temanormerna med hjälp av ett plugin som t.ex. Temakontroll. Gå vidare…

Uppdatera WordPress

wordpress-updates

Du bör alltid driva ditt onlineaffär med den senaste versionen av WordPress som inte är bra. Du bör tro att det är uppenbart att alla uppdaterar WordPress regelbundet med tanke på att vi alla får meddelande i instrumentpanelen.

Detta är emellertid inte alltid fallet, eftersom du ofta fångar onlineföretagare som inte uppdaterar till den senaste versionen veckor och månader efter det att uppdateringen släpptes.

Du kan alltid få den officiella och senaste smaken av WordPress på WordPress.org. Du varnas ytterligare mot att ladda ner eller installera WordPress från någon annan webbplats, eftersom du kanske fångar något. Något riktigt dåligt som en bakdörr utnyttjar hack, eller någon JavaScript-kod som laddar upp skräp och andra hack till din server. Ladda bara inte WordPress från någon annan webbplats än WordPress.org.

Det är enkelt att uppdatera din WordPress-installation – bara en peka och klicka. Du rekommenderas dock att säkerhetskopiera din webbplats innan någon uppdatering skulle ske om något skulle bryta i processen. Dessutom kommer du att förlora alla ändringar du gjort i kärnfiler eftersom uppgraderingsprocessen påverkar alla WordPress-filer och -mappar.

Funktionen för automatisk uppdatering introducerades i WordPress 3.7 för att ta hand om mindre säkerhetsfixer och göra hela uppdateringsprocessen enklare för både utvecklare och slutanvändare. Nu behöver du bara bekymra dig om stora versionuppdateringar, så ja, ditt arbete borde vara enkelt. Du behöver bara aktivera automatisk uppdatering.

Uppdatera, uppdatera, uppdatera eller gör dig redo att ångra, ångra, ångra.

Rengör din dator

Efter gymnasiet för tio år sedan arbetade jag kort på ett cybercafé. Det var ganska mycket intressant eftersom jag träffade så många människor och gjorde min paus i världen av digital marknadsföring.

Men det var inte alltid kul tack vare maskar, trojanhästar, virus, skadlig kod och liknande. Jag minns ibland att jag var tvungen att stänga caféet för dagen bara för att formatera datorerna. Det spelade ingen roll jag hade antivirusprogram installerat och körs på alla datorer. Men jag tappar.

Om någon hacker lyckas få en nyckellogger på din maskin som en trojanhäst (vilket innebär att nyckelloggen är dold i ett annat program för att maskera det faktum att hackaren registrerar varje nyckelslag på din PC) kommer du aldrig att säkra din webbplats oavsett Vad.

Din webbplats kommer att hackas om och om igen, eftersom du bara matar in din inloggningsinformation till de dåliga killarna. Och eftersom de kan se alla dina tangenttryckningar kommer de att ha tillgång till dina onlinekonton – alla. Prata om e-post, Facebook, Twitter, YouTube osv.

Viktiga loggare hjälper, det finns värre saker på den mörka sidan av internet. Till exempel:

Det finns faktiskt virus i naturen som kommer att infektera din lokala dator och sedan leta efter öppna FTP-anslutningar och automatiskt ladda upp en hackfil till din webbhotell med den anslutningen. – Brad Williams, låser WordPress

Cybercafédatorer är inte exakt hur du vill ha åtkomst till din WordPress admin-instrumentbräda. Det är kanske oundvikligt, men se alltid till att alla datorer du använder inte har skadlig programvara, virus och spionprogram. Annars kommer du att lämna hackare din inloggningsinfo och mer på ett silverfat.

Se till att ditt operativsystem och program på din dator är uppdaterade. Slå sedan på dina brandväggar och få det bästa antivirusprogrammet. Jag blev trött på att formatera datorerna hela tiden, så jag åkte till resan för att hitta det bästa antivirusprogrammet. Och jag hittade det. Sedan dess har jag använt och älskat Eset.

Håll dig dessutom borta från opålitliga webbplatser, men om du måste för – nyfikenhet, inaktivera alla skript, dvs. Java, JavaScript, Flash etc i din webbläsare. Eller besök bara de blodiga effin webbplatser.

Skapa starkare lösenord

reset-wordpress-lösenord

Det är historien. Den här gången hade jag ett kaffe för många och jag skapade en WordPress-webbplats som jag “kreativt” döpte # YouCan’tHackThis. Kreativt är i citat eftersom jag reste på vågorna på ett kaffe högt. Kanske hade jag haft en drink eller två innan kaffet; Jag minns bara inte. Jag skapar många WordPress-webbplatser bara för skojs skull.

Mitt användarnamn var … vänta på det … Unhackulture (vi skyller på kaffet) och mitt lösenord var, ja, jag kommer inte ihåg det. Det var dock en skam, lösenordet, och just av denna anledning höll det aldrig mark när någon oförskämd internetperson (eller sak) träffade inloggningssidan med “brute force”.

Lång historia kort, mina försvar grävde in och # YouCan’tHackDetta föll som Jerichos väggar. Google skickade mig det fruktade e-postmeddelandet “Hacking Suspected” med ett exempel på URL, och vid ytterligare utredning hittade jag gott om skräp.

Hackaren hade det modiga att lägga upp en skärmdump av skrivbordet på min älskade # YouCan’tHackDet var som för att spåra mig. Han / hon / det hade tarmar, berättar jag, för på toppen av skärmdumpen fanns det sidor och sidor med fluff, fyllmedel som inte hade någon riktning.

Jag drog ner hela webbplatsen och utökade säkerheten på mina andra webbplatser. Jag installerade iThemes Security, och idag är allt jag får “Site Lockout Notification” -meddelanden. Om någon försöker tvinga sig in på någon av mina webbplatser med hjälp av brute force, är de låsta i ett sekel! Ja, det är 100 år i papperskorgen. Haha, jag blir bortkörd.

site-lockout-anmälan

Svaga lösenord får dig hackad. På samma sätt kommer det adminanvändarnamn som du håller fast vid så dyrt att göra det enkelt för hackare. Skapa personliga användarnamn när du installerar WordPress, och använd styrkaindikatorn när du skapar ditt lösenord. Det borde räcka, men om du vill gå en extra mil bör du kassa till 1Password och KeePass verktyg.

Rapportera säkerhetssårbarhet

Det är ditt ansvar som WordPress-användare att rapportera en säkerhetssårbarhet så snart du upptäcker den.

Först är det bra karma. För det andra kommer det som går runt. För det tredje, om sårbarheten finns i ett plugin eller ett tema du använder, får du säkerhetsuppdateringar och ett stort tack. Din webbplats kompromitteras inte som ett resultat och du bygger ett bra rep medan du gör världen till en bättre plats.

Det är vårt gemensamma ansvar som WordPressers att påpeka alla säkerhetshål som vi stöter på. När allt är det till vårt eget bästa.

Dra åt fil- / mappbehörigheter

Vi går nu in i WordPress-säkerheten. Som en absolut nybörjare skulle jag hata för dig att knepa. Jag kommer att skaka den och servera den kyld precis som du vill. Nu kör vi.

Om alla Tom, Dick och Harry som får tillgång till din server kan redigera (även skriva till) dina filer och mappar, så finns det så lite du kan göra för att stoppa skadorna.

Men tänk om vi gjorde vissa filer och mappar bara skrivbara av dig? Tja, hackarna vet inte vad de ska göra. De kan bryta in okej, men skadan de skulle orsaka när dina filer inte är redigerbara / skrivbara är minimal. Att låsa ner dina filbehörigheter är en säkerhetsåtgärd du vill genomföra, mer om du har en delad värdplan.

Men hur gör du med det här tillståndet för fil / mapptillstånd? Här är ett möjligt schema att följa:

  • Alla filer i rotmappen ska bara kunna skrivas av dig
  • / wp-admin / – alla filer ska bara kunna skrivas av dig
  • / wp-inkluderar / – alla filer ska endast kunna skrivas av dig
  • / wp-content / teman – alla filer ska kunna skrivas av dig och webbservern
  • / wp-content / plugins – alla filer ska kunna skrivas av dig

Hur ställer du in fil- / mappbehörigheter?

För att tillfredsställa schemat ovan måste du ställa in behörigheter till 755 för mappar och 644 för filer. På vilket sätt? Det är den enklaste delen. Du kan använda din FTP-klient (t.ex. Filezilla) eller logga in direkt i din File Manager via cPanel.

Med FTP

När du har loggat in på din webbserver via FTP, leta upp katalogen / filen du vill ställa in behörigheter, högerklicka på den och välj ‘Filbehörigheter’. På popup-skärmen som visas väljer du behörigheterna som du anser vara lämpliga. Pop-up kan se ut så här:

fil-permissions-popup-filezilla

Och här är den fullständiga listan över filtillstånd från 000 till 777.

fil-permissions-full lista

Använda File Manager

wordpress-security-Bluehost-cpanel

Logga in på din cPanel och navigera till File Manager. När det laddas väljer du din katalog eller fil och klickar på “Ändra behörigheter” på menyn längst upp. Alternativt kan du välja din mapp eller fil, högerklicka på den och välja “Ändra behörigheter” på rullgardinsmenyn som visas.

Här är lite vägledning:

wordpress säkerhet-Change-file-tillstånd

Högerklicka alternativet …

wordpress säkerhet-Change-file-permissions-högerklicka

Popupen “Ändra behörigheter”:

wordpress säkerhet-Change-file-permissions-popup

Vill du lära dig mer? Läs mer om filtillstånd här. Fortsätter snabbt …

Tvåstegs-autentisering

Det bästa sättet att skydda dina onlinetillgångar är att göra det oerhört svårt för de onda att logga in. Om du kan hålla dem ute har du vunnit halva striden. Det är här autentisering i två steg (eller tvåfaktorer) kommer in.

När du kombinerar starka lösenord och autentisering med två faktorer lägger du till ett lager av skydd på din webbplats. Du förbättrar säkerheten på din WordPress-webbplats tvåfaldigt.

Och eftersom vi har plugins som Google Authenticator, WordFence, Authy och Duo, implementering av tvåstegs-autentisering borde vara den enklaste WordPress-säkerhetsåtgärden du kan sätta i kraft just nu.

Använd SSL

SSL är förkortning för Secure Sockets Layer, som är ett vanligt sätt att skapa en säker, krypterad länk mellan en webbplatss server och en användares webbläsare.

Ibland, i stället för att försöka bryta ner dina webbplatsförsvar, kan hackare besluta att kapa paketet med data som du skickar från din webbläsare till webbservern. När de öppnar dessa paket får de lätt åtkomst till din inloggningsinformation etc..

Vad ska man göra? Du måste använda SSL-kryptering som skyddar integriteten och integriteten för all data som passerar mellan din webbplats och servern. Det är just därför du hittar alla större webbplatser som använder HTTPS i motsats till HTTP i deras domäner.

Det är lätt att implementera och kan spara mycket tid och frustration. Kolla bara med din domänregistrator eller webbhotell så kommer de gärna att installera SSL för dig. SSL-certifikat är vanligtvis också billiga, så du får spara en dollar eller två.

Inaktivera oanvända användarkonton

Tänk på användarkonton på dina WordPress-webbplatser som platser i en buss. Om det finns en tom plats, kommer någon att gå vidare. Om sätet på annat sätt är upptaget eller inte existerar, ja, ingen kommer att ta just den platsen.

Om du har aktiverat användarregistrering på din WordPress-webbplats kan du kamma igenom användarkontona en gång i taget och eliminera oanvända konton och alla konton som skapats av spammare. Om du lämnar dessa, frågar du bara att bli hackad – och hackad blir du.

Alternativt kan du inaktivera användarregistrering helt genom att gå till Inställningar -> Allmänt och avmarkera ‘Vem som helst kan registrera dig’ där du har Medlemskap. Du kan se alla användare genom att navigera till Användare -> Alla användare på din WordPress Admin-meny.

Samtidigt kan du begränsa behörigheter för nya användarkonton. Du gör detta enkelt genom att navigera till Inställningar -> Allmänt – Standard för ny användare och ställa in alternativet till ‘Prenumerant’. Andra roller inkluderar bidragsgivare, författare, redaktör och administratör. Du vill definitivt inte att nya användare ska ha administratörsbehörighet. Bäst att tilldela användare bara de privilegier de behöver för att göra sitt jobb.


Jag kunde fortsätta och gå, men jag kommer bara att överväldiga dig med mycket information, vilket definitivt aldrig är min avsikt. Vi vill gärna att du har handlingsbara tips som du kan börja genomföra just nu, men det kommer att vara en drömdröm om jag drunknade din uppmärksamhet i en dam av factoider och vad inte. Så det är här jag tar min båge och låter gardinerna stängas.

Tillbaka till dig, börja arbeta med de områden vi har nämnt just nu, eftersom ju längre du väntar, desto lättare blir det för ondska. Börja bara med ett område och gå vidare därifrån, och om du står fast eller är osäker, ta med dig dina bekymmer till kommentarsektionen nedan. Eller om du har ett tips att lägga till, låt oss veta – vi väntar, och det är ett högtidligt löfte. Alla de bästa amigos!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map