WordPress-sikkerhedstips til lægmanden: Sikre dit WordPress-login og andre sikkerhedspraksis

Siden det første gang blev introduceret for mere end to årtier siden, er WordPress vokset (og vokset) nu sikkert med at blive navngivet som verdens mest populære indholdsstyringssystem. I dag køres mere end en fjerdedel af de websteder, der findes, på WordPress.


Men siden umindelig tid, jo mere populært noget er, jo flere ønsker folk at udnytte det til ubehagelige midler. Bare se på Microsoft Windows og det enorme antal malware, vira og andre anvendelser, der er beregnet til at målrette mod netop dette ene specifikke operativsystem.

De 10 WordPress-versioner med de fleste sårbarheder (kilde). Forskning i 2017 identificerede 74 forskellige versioner af WordPress på Alexa Top 1 million websteder; 11 af disse versioner er ugyldige – for eksempel version 6.6.6 (kilde).

Hvorfor din WordPress-blog er et værdifuldt mål?

I tilfælde af at du spekulerer på, hvorfor i alverden en hacker ønsker at kontrollere din WordPress-blog, er der flere grunde, herunder;

  • Brug det til hemmelighed at sende spam-e-mails
  • Stjæl dine data, f.eks. En adresseliste eller kreditkortoplysninger
  • Føjelse af dit websted til et botnet, som de kan bruge senere

Heldigvis er WordPress en platform, der giver dig et væld af muligheder for at forsvare dig selv. Efter at have hjulpet med at konfigurere og administrere flere websteder og blogs selv, vil jeg gerne dele med dig nogle af de mere basale ting, du kan gøre for at hjælpe med at sikre dit WordPress-sted.

Her er 10 brugbare sikkerhedstips, du kan bruge.

Sikre din WordPress login-side

Beskyttelse af din login-side kan ikke udføres med en bestemt teknik, men der er bestemt trin og gratis sikkerhedsplugins, du kan tage for at gøre ethvert angreb langt mindre tilbøjeligt til at lykkes.

Dit websteds login-side er bestemt en af ​​de mere sårbare sider på dit websted, så lad os komme i gang med at gøre din WordPress-side login-side lidt mere sikker.

1. Vælg et godt administratorbrugernavn

Brug usædvanlige brugernavne. Tidligere med WordPress, var du nødt til at starte med et standardadministrator-brugernavn, men det er ikke længere tilfældet. De fleste nye webadministratorer bruger stadig brugernavnet og er nødt til at ændre deres brugernavn. Du kan bruge Admin Renamer Extended til at ændre dit admin-brugernavn.

Brute tvinge login sider er en af ​​de almindelige former for webangreb, som dit websted sandsynligvis vil blive udsat for. Hvis du har en let at gætte adgangskode eller brugernavn, vil dit websted næsten helt sikkert ikke kun være et mål, men til sidst et offer. Af erfaring forsøger de fleste site-hackforsøg at logge ind med tre hovedvalg af brugernavne. De to første er altid ‘admin’ eller ‘administrator’, mens den tredje normalt er baseret på dit domænenavn.

For eksempel, hvis dit websted er crazymonkey33.com, kan hackeren muligvis prøve at logge ind med ‘crazymonkey33’.

Ikke en god ide.

2. Sørg for at bruge en stærk adgangskode

I øjeblikket skulle du sandsynligvis tro, at folk ville vide, at de bruger stærke, komplekse adgangskoder til at beskytte deres konto, men der er stadig mange, der synes, ‘adgangskode’ er en god en.

Splash Data udarbejdede en liste over ofte anvendte adgangskoder i 2018. Adgangskode efter rang med hensyn til brug.

  1. 123456
  2. adgangskode
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. solskin
  9. qwerty
  10. jeg elsker dig

Hvis du bruger et af disse adgangskoder, og dit websted overhovedet modtager nogen trafik, vil dit websted næsten helt sikkert blive fjernet før eller senere.

En stærk adgangskode vil indeholde en blanding af:

  • Store og nedre bogstaver med store bogstaver
  • Vær alfanumerisk (A-Z og a-z)
  • Medtag en speciel karakter (!, @, #, $ Osv.)
  • Mindst 8 tegn i længden

Jo mere tilfældig din adgangskode er, desto mere sikker er den. Prøv denne tilfældige generatoradgangskode, hvis du har problemer med at komme med en. https://passwordsgenerator.net/

3. Implementere en reCaptcha

Vægbots fra din WP-blog.

reCaptcha var designet til at forhindre automatiserede værktøjer i at arbejde på et websted. I betragtning af kompleksiteten af ​​hackingværktøjer i dag, kan disse naturligvis ganske nemt omgås, men i det mindste er der det ekstra lag af sikkerhed.

Der er et antal reCaptcha-plugins, du kan bruge til din installation, der fungerer temmelig meget ud af boksen.

4. Brug tofaktorautentisering (2FA)

2FA er en godkendelsesmetode, der kræver en verifikation af dit login. Når du for eksempel har logget på med dit brugernavn og din adgangskode, kan systemet muligvis sende en SMS til din mobiltelefon eller e-maile dig med en kode, du skal indtaste for at bekræfte din identitet.

Denne autentificeringsmetode giver god beskyttelse og bruges af mange banker og finansielle institutioner i dag. Igen kan dette behov let imødekommes med en 2FA-plugin.

Se, hvordan miniOrange (et 2FA-plugin) fungerer med WordPress-login i følgende video.

T

5. Omdøb din login-URL

De fleste hackere vil forsøge at logge ind via standard wordpress login-siden, som normalt er noget lignende

sample.com/wp-admin.

For at tilføje et andet lag af beskyttelse skal du hurtigt og ubesværet ændre login-siden URL med et værktøj som WPS Hide Login.

6. Begræns antallet af loginforsøg

Dette er en utrolig enkel teknik til at stoppe brute force-angreb på din login-side lige i deres spor. Et brute force-angreb fungerer ved at forsøge at få dit brugernavn og din adgangskode ret ved at prøve flere kombinationer igen og igen.

Hvis den bestemte IP, der begår angrebet, spores, kan du blokere de gentagne brute-tvangsforsøg og holde dit websted sikkert. Dette er også grunden til, at globale DDOS-angreb forekommer med flere IP-adresser med forskellige angrebets oprindelser, for at kaste hosting-tjenester og webstedssikkerhed væk..

Login LockDown og Login Security Solution tilbyder begge gode løsninger til at beskytte dit websteds login-sider. De sporer IP-adresser og begrænser antallet af loginforsøg til at beskytte dit websted.

Harden Site Security Wall

Vi har diskuteret forskellige taktikker til sikring af din WordPress-login-side – de nævnte trin ovenfor er det grundlæggende, du kan gøre. Du skal også være opmærksom på, at nogle webhosts kræver nogle af disse sikkerhedspraksis for deres brugere. Der er en række andre sikkerhedspraksis, som du kan implementere på dine websteder.

7. Beskyt dit wp-admin-bibliotek

Tilføj et ekstra lag af sikkerhed til dit værtsbibliotek.

Wp-admin-biblioteket er hjertet i din WordPress-installation. Som en ekstra beskyttelse beskytter denne mappe adgangskoden.

For at gøre det, skal du logge ind på dit kontrolpanel for din hostingkonto. Uanset om du bruger cPanel eller Plesk, er den mulighed, du leder efter, ‘Password-protection Directories’.

Alternativt kan du kodeordbeskytte et bibliotek ved at justere dine .htaccess- og .htpasswds-filer. Detaljer trinvis vejledning og en kodegenerator er gratis tilgængelige på Dynamic Drive.

Bemærk, at adgangskodebeskyttelse af din wp-admin-mappe vil ødelægge den offentlige AJAX for WordPress – du bliver nødt til at tillade tilladelser til at administrere ajax via .htaccess for at undgå webstedsfejl.

8. Brug SSL til at kryptere data

HTTP vs HTTPS-forbindelse (Kilde: Sucuri)

Bortset fra selve webstedet, vil du også beskytte forbindelsen mellem dig og serveren, og det er her SSL kommer ind for at kryptere din kommunikation. Ved at have en krypteret forbindelse vil hackere ikke være i stand til at opsnappe data (f.eks. Din adgangskode), når du kommunikerer med din server.

Bortset fra dette er det også god praksis at implementere SSL nu, da søgemaskiner i stigende grad straffer websteder, som de betragter som ‘ikke-sikre’.

For individuelle bloggere og små virksomheder er en gratis, delt SSL – som du normalt kan få fra din hostingudbyder, Let’s Encrypt eller CloudFlare – normalt mere end god nok. For virksomheder, der behandler kundernes betaling – er det bedst, at du køber et dedikeret SSL-certifikat fra din webhost eller en certifikatmyndighed (CA).

Lær mere om SSL i vores omfattende A-Z-guide til SSL.

9. Brug et CDN (Content Distribution Network)

Selvom dette muligvis ikke redder dit websted fra at blive hacket, hjælper det med at mindske mod ondsindede angreb mod det. Nogle hackere sigter mod at nedbringe websteder, hvilket gør dem utilgængelige for offentligheden. En CDN hjælper med at dæmpe slag af et Distribueret Denial of Service-angreb på dit websted.

Bortset fra det hjælper det også din hastighed på dit websted lidt ved at cache noget indhold. For at udforske denne mulighed skal du se mod CloudFlare som et eksempel. CloudFlare tilbyder CDN-tjenester til flere niveauer prisniveauer, så du kan endda bruge grundlæggende funktioner gratis. https://www.cloudflare.com

10. Sørg for, at ALLE din software er ajour

Uanset hvor god eller dyr software er, vil der altid findes nye svagheder i dem, der muligvis giver dem åbne for at udnytte dem. WordPress er ingen undtagelse, og teamet frigiver konstant nyere versioner med rettelser og opdateringer.

Hackere søger næsten altid at drage fordel af svaghed, og en kendt udnyttelse, der ikke er fast, beder blot om problemer. Dette gælder dobbelt så meget for plugins, som ofte oprettes af meget mindre virksomheder med mindre ressourcer.

Hvis du bruger plugins, skal du sørge for, at opdateringer frigives regelmæssigt, eller overvej at finde populære plugins med lignende funktionalitet, der holdes opdateret.

Når det er sagt, anbefaler jeg IKKE, at du bruger automatiske WordPress- og plugin-opdateringer, især hvis du kører et live site. Nogle opdateringer kan forårsage problemer, hvad enten det er internt eller gennem konflikt med andre plugins og indstillinger.

Opret ideelt et testmiljø, der spejler dit live site og test opdateringerne der. Når du er sikker på, at alt fungerer fint, kan du anvende opdateringen på livewebstedet.

Kontrolpaneler som Plesk giver dig muligheden for at oprette en site-klon til dette formål.

11. Backup, backup og backup!

Uanset hvilke sikkerhedsforanstaltninger eller hvor forsigtig du er, sker der ulykker. Spar dig selv fra en knusende hjertesorg og hundrede timers arbejde ved blot at sikre dig, at du har tilstrækkelige sikkerhedskopieringstjenester på plads.

Normalt kommer din webhost med nogle grundlæggende backupfunktioner mindst, men hvis du er paranoid som mig, skal du altid sørge for at udføre dine egne uafhængige sikkerhedskopier. Sikkerhedskopiering er ikke så simpelt som bare at kopiere nogle filer ud, men også tage hensyn til oplysningerne i din database.

Se efter en sikkerhedskopieløsning, der er afprøvet og bevist. Selv en lille investering er det værd at spare på tårerne i nødstilfælde. Noget som BackupBuddy kan hjælpe dig med at gemme alt inklusive din database på én gang.

12. Din webhost tæller!

Selvom traditionelt webhostingfirmaer simpelthen tilbød plads for os at være vært for vores websteder, har tiderne ændret sig. Webhost-udbydere, der anerkender det presserende behov for øget sikkerhed, er steget op, og mange tilbyder værditilvæksttjenester som supplement til deres webhosting.

Tag for eksempel HostGator, et af de mere etablerede navne i spillet. Bortset fra de grundlæggende Cloudflare-funktioner leveres HostGator (til en pris af $ 10 + / mo) også Spam-gratis beskyttelse, automatisk fjernelse af malware, automatiseret sikkerhedskopiering, domænepersonlige oplysninger og mere.

Administreret WordPress-hostingudbyder, Kinsta, bygger hardware firewalls og overvåger aktivt deres servere for malware og DDoS-angreb med det specialbyggede system.

Hvis dette er noget, der endnu ikke er opstået for dig, opfordrer jeg dig meget til at se på hvilke sikkerhedsfunktioner din vært leverer og sammenligne det med det, der i øjeblikket er tilgængeligt.

For en omfattende liste kan du tjekke WHSRs udarbejdelse af de bedste webhosts her.

Hvad nu?

Før du løber vild og begynder at skure internettet i panik og søge efter en million og en sikkerhedsløsning – tag et dybt indånd. Som med alt andet, vil nogen allerede have hjulpet dig med at få panik og kigge efter en løsning.

Selv hvis du implementerer så mange sikkerhedsløsninger, som du kan finde, er du sikker på, at du er sikker?

Her kommer noget i retning af Security Ninja, som hjælper dig med at undersøge dit websted for svagheder.

Hurtig demo: Sådan fungerer sikkerhed Ninja.

Der er et par tvingende grunde til at bruge noget som Security Ninja, men lad mig sige, at det er et værktøj, som jeg vil anbefale at bruge i flere faser i din rejse til at sikre dit websted.

Kør det først på dit websted ‘som det er’ – inden du foretager ændringer. Lad plugin pirke og prod dit websted, før du giver dig resultaterne.

Derefter baseret på disse resultater, arbejde mod sikring af dit websted. Sikkerhed Ninja udfører mere end 50 test for at undersøge dine forsvar. Selv efter at du har foretaget dine ændringer, skal du køre dem igen (og hver gang der er webstedsændringer eller plugin-opdateringer) bare for at teste dit websted.

Hvis dette lyder som lidt for meget arbejde for dig, kommer Security Ninja også med en række ekstra moduler (pro-version, enkelt site $ 29), der kan hjælpe dig med at løse de problemer, den finder.

Nogle andre nøglefunktioner i disse moduler inkluderer:

  • Scan WP-kernefiler for at identificere problematiske filer
  • Gendan ændrede filer med et enkelt klik
  • Fix ødelagte WP auto-opdateringer
  • Forbud 600 millioner dårlige IP’er indsamlet fra millioner af angrebne websteder
  • Vis automatisk opdateringer, intet behov for vedligeholdelse eller manuelt arbejde
  • Beskyt login-formularen mod brute-force-angreb

Afsluttende tanker

Selvom alt dette kan virke lidt overdreven for den gennemsnitlige WordPress-bruger, kan jeg forsikre dig om, at alt det (og mere) er nødvendigt. Ignorerer verdensomspændende hackingstatistikker og hvad ikke i et stykke tid, lad mig dele med dig nogle personlige oplysninger på et af de mest uklare websteder, jeg hjælper med at administrere.

Oprindeligt startede som et simpelt biografiside, jeg oprettede www.timothyshim.com. Det var klart, det var bare noget, som jeg opsatte, og for det meste forlader jeg alene, blot som et referencepunkt. På hver månedslange periode står dette websted, der stort set ikke gør noget og indsamler ingen data, over 30 angreb – en kombination af brute force og komplekse dem.

Alt det behøver er, at en af ​​dem skal lykkes, og jeg havde en rigtig dårlig dag.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map