Hur INTE säkrar din WordPress-webbplats

Hur INTE säkrar din WordPress-webbplats

Vad är det första du skulle göra när du vill säkra din WordPress-webbplats? Ta reda på de fem bästa pluginprogrammen, överväg hur prisvärda de är och gå sedan vidare och installera en. Det gjort, nu kan du luta dig tillbaka och koppla av, eller hur? Fel!


Att använda ett säkerhetsplugin garanterar inte säkerheten. Säkerhet är inte en absolut sak och ingen kan garantera fullständig säkerhet. Det bästa vi kan göra är att minska risken för en hack. Och i motsats till vad folk tror, ​​måste webbplatsägaren vara med och hålla webbplatsen säker. Att veta vad du ska göra och inte bör är viktigt.

Det finns flera guider till vad du bör göra för att skydda din WordPress-webbplats, men vi erbjuder dig en guide om vad du bör undvika att göra istället. Du kommer att notera att råden här strider mot den allmänna tron. Men från vår erfarenhet är många råd där ute föråldrade och erbjuder en falsk känsla av säkerhet.

Om frågan om säkerhet i WordPress slår dig så mycket som det gör för oss, titta på följande.

1. Använd inte för många säkerhetsplugins

Med tanke på det stora utbudet av plugins som finns tillgängliga där ute, med olika funktionsuppsättningar, är det frestande att använda mer än ett WordPress-säkerhetsplugin. För att vara ärlig är det en överdödelse. Att vara orolig för din webbplats säkerhet är normalt men du måste fråga dig själv om du verkligen behöver mer än ett säkerhetsplugin? Vilka är de funktioner som är viktiga för din webbplats? Kommer funktionerna att kliva på varandras tår?

Till exempel kan en konflikt uppstå när plugins börjar ändra filer som wp-config.php eller htaccess. Plugins kan enkelt spela med dessa filer men de ändrar dem inte på ett enhälligt sätt. Detta kan skapa konflikter och göra din webbplats långsam.

Med WordPress-webbplatser kan saker och ting gå fel då och då. Alla hatar den fruktade vita dödsskärmen. Att ha flera plugins som djupt påverkar din webbplats kan göra problem med felsökning svåra. Hade det bara funnits ett plugin hade det varit lättare och mindre komplicerat att hitta och fixa orsaken till felet.

2. Ändra inte DB-prefixet

Det finns flera sätt på vilka en WordPress-webbplats kan äventyras. Hacker kan få tillgång till en webbplatss databas genom SQL-injektionsattack. En sårbarhet i ett plugin eller ett tema kan användas för att bryta in i webbplatsens databas (varför vi föreslår att du istället använder en WordPress-databas backup-plugin för att undvika liknande fallgrop). En populär metod för att förhindra hackare från att gå djupare in på din webbplats är genom att ändra standardtabellets prefix. Som du kan se på bilden nedan, i WordPress, är standardtabelfixet ‘wp_.’ Med WordPress kan du ändra tabellprefix (för att säga ‘xzy_’) för att dölja vissa tabeller.

WordPress-databasprefixer

På ytan ser det ut som en bra idé. Om hackarna inte känner till tabellnamnet kan de inte hämta data från det. Detta är dock ett falskt resonemang. När någon kommer in i din databas finns det fortfarande sätt att ta reda på tabellerna. Därför är det inte användbart att ändra namn på prefixet. Dessutom kan modifiering av standardprefixet orsaka att flera plugins fungerar felaktigt.

Dessutom är det svårt att implementera databasprefixet midflight och kan göra att din webbplats kraschar. Det beror på att det finns många förändringar som måste göras på alla nivåer. Alla fel i processen kommer att visa sig vara katastrofala för din webbplats.

3. Undvik att dölja din inloggningssida

Det är alltid någon som försöker bryta sig in på din webbplats genom att spricka ditt lösenord. Under brute force-attacker försöker hackare att logga in på din webbplats med en kombination av populära användarnamn och lösenord. Så vad händer om vi döljer inloggningssidan? Det kommer att döda två fåglar med en sten, eller hur? Hacker skulle inte kunna hitta inloggningssidan och belastningen på din server kommer att reduceras.

WordPress har en standardinloggningssida. URL till sidan ser vanligtvis ut som det här exemplet.com/wp-login.php. Ett välkänt sätt att rädda din webbplats från brute force attack är att dölja eller ändra standardinloggningssidan till något annat som exempel.com/mylogin.php. Även om detta låter som en idiotsäker plan, låt oss ta reda på hur effektiv metoden är för att hålla din WordPress-webbplats säker.

Serverbelastningsminskning

När du har gömt eller ändrat platsen för din inloggningssida, varje gång någon försöker öppna den, kommer de att få ett 404-fel. Inloggningsförsök är dock en tung process. När 404-felsidan laddas upp äter den mycket av dina serverresurser. Och slutar med att sakta ner din webbplats. Därför är den vanliga uppfattningen att dölja din inloggningssida kommer att minska belastningen på servern är felaktig.

Alternativ URL inte svårt att gissa

En del av WordPress framgång som CMS beror på plugins som underlättar ändringar av en webbplats. Det är inte förvånande att ett populärt sätt att dölja en inloggningssida på en webbplats är med ett plugin. Dessa plugins har en uppsättning standardalternativ för inloggningsadresser som xzy.com/wplogin.php, etc. Vi har utbildats att bara gå med standardinställningar. När vi har installerat plugin-programmet och ändrat vår webbadress tänker vi inte så mycket på det. Men det finns bara så många webbadresser som ett plugin kan erbjuda. Det är inte så svårt att ta reda på den förinställda inloggningsadressen. Därför kan användning av alternativ URL vara ineffektivt i de flesta fall.

Problem med användbarhet

Det fina med WordPress är att det är lätt att använda. Det är en välkänd plattform. För en webbplats med en mängd användare kan ändra eller dölja inloggningssidan medföra vissa problem. Flera gånger har vi stött på inlägg på WordPress-forum där användare är inlåsta från en webbplats på grund av en ändring av inloggningsadressen. I de flesta fall gjordes ändringarna med ett plugin och användarna blev inte medvetna om situationen som orsakade kaos.

4. Blockera inte IP-adresser manuellt

Om du har installerat ett säkerhetsplugin på din webbplats får du ett meddelande när någon försöker logga in på din webbplats. Du kan enkelt få tag på IP-skickningen som skickar skadliga förfrågningar och blockera dem med hjälp av .htaccess-filen. Det är ett manuellt intensivt arbete och inte mycket praktiskt.

Inte användarvänlig

En icke-teknisk person som försöker ändra .htaccess-filerna är ett recept på katastrof. Ett innehållshanteringssystem som WordPress har mycket strikt formatering. Även att använda de mest populära verktygen som FTP / SFTP är mycket riskabla. Ett litet fel eller felaktig kommandoplacering kan göra att webbplatsen kraschar.

För många IP: er att blockera

För att undvika att bli svartlistade använder hackare IP-adresser från hela världen. Tidigare diskuterade vi manuellt blockering av IP-adresser som ständigt försöker bryta sig in på din webbplats. Arbetet (som vi nämnt tidigare) kräver mycket tid och ansträngning men är inte exakt en mycket effektiv tidsanvändning. Men om du använder någon av de bästa WordPress-säkerhetsplugins, till exempel Malcare, kan du automatisera blockeringsprocessen. Sådana säkerhetsplugins tar hand om alla WP-säkerhetsslingor.

5. Dölja WordPress

Det finns ett allmänt antagande om att dölja ditt CMS gör det svårare för människor med svåra avsikter att bryta sig in på din webbplats. Tänk om vi kunde dölja det faktum att din webbplats körs på WordPress. Det skulle skydda din webbplats från hackare som vill utnyttja vanliga sårbarheter. Ett enkelt sätt att göra detta är genom att (du gissade det) använda ett plugin. Men metoden misslyckas när hackarna inte bryr sig vilken plattform din webbplats kör på. Dessutom finns det många sätt att ta reda på om en webbplats körs på WordPress.

Förutom att använda ett plugin kan man välja att göra arbetet manuellt. Men det är en tidskrävande process. En enda WordPress-uppdatering kan ångra allt du arbetar inom några sekunder. Vilket innebär att du antingen måste upprepa processen om och om igen eller förhindra WP-uppdateringar. Att hoppa över WordPress-uppdateringar är som att öppna ytterdörren för en hackare att gå rätt in i ditt hem.

6. Lösenordskydd wp-admin fungerar inte

Standards inloggningssida för WordPress (som ser ut så här – exempel.com/wp-admin) är en gateway till din webbplats. En typisk inloggningssida ser ut som bilden nedan.

Här måste du använda dina referenser för att komma åt WordPress-instrumentpanelen. Lösenord som skyddar inloggningssidan hjälper till att dölja eller skydda denna gateway till instrumentpanelen. Det är en bra idé, men inte utan sina kryphål.

LookLinux lösenordsskyddsexempel

Bild med tillstånd: LookLinux

För det första är det svårt att underhålla eller till och med ändra lösenordet, om du råkar förlora det. Förutom att den är ineffektiv när det gäller att tillhandahålla ytterligare säkerhet kan sådana ändringar på din webbplats visa sig vara mycket farliga. När du till exempel lösenordsskyddar admin-sidan kan begäran som /wp-admin/admin-ajax.php inte kringgå skyddet. Det finns plugins som kan vara beroende av Ajax-funktionen på din webbplats. Och när de inte har tillgång till den här funktionen, börjar de inte fungera. Därför kan detta göra att webbplatsen går sönder.

Över till dig

Om du har några frågor eller förslag om vad man behöver undvika för att säkra sin WordPress-webbplats, låt oss veta i kommentarerna.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map