เคล็ดลับความปลอดภัยของบล็อก WordPress
การลบผลที่ตามมาไม่เพียงพอคุณต้องเข้าใจสาเหตุ ฉันเขียนไปแล้ว เราถูกแฮ็ก และเราทุกคนควรจะตัดสินใจ อย่างไรก็ตามอีกหนึ่งสัปดาห์ต่อมาเรื่องราวซ้ำอีกสคริปต์ jquery ก็เปลี่ยนไปเช่นเดียวกับไฟล์. htaccess และใน. htaccess มีการเปลี่ยนเส้นทางไปยังไซต์ด้านซ้ายบางแห่งสำหรับอุปกรณ์มือถือและแท็บเล็ตเท่านั้นและดังนั้นฉันจึงสังเกตเห็นว่าไม่ใช่ทันที.
ในสองสามวันฉันจัดการเพื่อค้นหาไฟล์ทั้งหมดที่แก้ไขโดยผู้โจมตีรวมทั้งไฟล์ที่สร้างโดยเขาสำหรับการเจาะ (เชลล์) โดยเฉพาะ และขอขอบคุณอีกครั้งที่โฮสติ้งสำหรับความช่วยเหลือของพวกเขา หลังจากนั้นฉันตัดสินใจที่จะใช้มาตรการทั้งหมดที่อธิบายไว้บนอินเทอร์เน็ต.
เนื้อหาของบทความ
- 1 คำถามที่พบบ่อยทั้งหมดใน blogger เล็กน้อยของฉัน:
- 2 เคล็ดลับความปลอดภัยของบล็อก WordPress
- 2.1 อัปเดตรหัสตัวนับและวิดเจ็ต
- 2.2 อัปเดตปลั๊กอินและ WordPress ทั้งหมดเป็นเวอร์ชันล่าสุดและลบที่ไม่ได้ใช้
- 2.3 อัปเดต timthumb.php
- 2.4 ตรวจสอบสิทธิ์ในโฟลเดอร์และไฟล์
- 2.5 เปลี่ยนชื่อผู้ดูแลระบบ
- 2.6 เปลี่ยนรหัสผ่านทั้งหมดเป็นรหัสที่ซับซ้อนมากขึ้น
- 2.7 ปกป้องไฟล์. htaccess และ wp-config.php จากการเข้าถึงสำหรับทุกคน
- 2.8 ป้องกันโฟลเดอร์ wp-include ด้วย. htaccess
- 2.9 ปกป้องโฟลเดอร์ wp-admin ด้วย. htaccess และ. htpasswd
- 2.10 เปลี่ยนคำนำหน้าฐานข้อมูล
- 2.11 ติดตั้งปลั๊กอิน Belavir
- 2.12 ติดตั้งปลั๊กอิน WP Security Scan
- 2.13 ติดตั้งปลั๊กอินความปลอดภัย WP ที่ดีขึ้น
- 2.14 ตรวจสอบการเปลี่ยนแปลง ftp ของคุณ
- 2.15 สำรองฐานข้อมูลและไฟล์ทุกๆสองสามวัน
คำถามที่พบบ่อยทั้งหมดใน blogger เล็กน้อยของฉัน:
ฉันได้เขียนบทความเกี่ยวกับบล็อกเป็นจำนวนมาก พวกเขาไม่ได้หลอกว่าเป็นคู่มือเต็มรูปแบบ แต่ผู้เริ่มต้นจะมีประโยชน์ คุณสามารถอ่านได้ถ้าสนใจ.
0. ฉันแนะนำหลักสูตรนี้ «วิธีที่จะเป็นเศรษฐีบล็อกเกอร์และรับเงิน»
1. วิธีการเริ่มบล็อก
2. วิธีโปรโมตบล็อก - รายการการกระทำของฉัน
3. วิธีหาเงินในบล็อกและท่องเที่ยว
4. ตัวอย่างของรายได้ในบล็อกของเรา - Finstrip 2013, finstrip 2012, Finstrip 2011
ห้า. ผู้อ่านและปริมาณการค้นหาและทำไมผู้อ่านถึงไม่กลับมา
6. ความจริงเล็กน้อยเกี่ยวกับบล็อกการเดินทาง
7. เคล็ดลับการป้องกันบล็อก WordPress
เคล็ดลับความปลอดภัยของบล็อก WordPress
รายการไม่น่าจะเสร็จสมบูรณ์และอย่างที่พวกเขาบอกว่าใครก็ตามที่ต้องการมันจะทำลายมันต่อไป แต่อย่างน้อยบล็อกเกอร์เกือบทุกคนสามารถทำสิ่งเหล่านี้เพื่อปกป้องตัวเองได้อย่างน้อย.
อัปเดตรหัสตัวนับและวิดเจ็ต
ตรวจสอบรหัสของตัวนับและวิดเจ็ตโซเชียลทั้งหมดในบล็อกของคุณและบนไซต์ที่คุณได้รับมา.
บางทีพวกเขาได้รับการปรับปรุง ฉันสังเกตเห็นว่า Facebook มักจะเปลี่ยนรหัสสำหรับเครื่องมือมันช่วยเพิ่มความปลอดภัยอย่างเห็นได้ชัด.
อัปเดตปลั๊กอินและ WordPress ทั้งหมดเป็นเวอร์ชันล่าสุดและลบที่ไม่ได้ใช้
ความคิดเห็นที่นี่ไม่มีความหมายทุกคนรู้วิธีที่จะทำ ช่องโหว่มักจะมีอยู่ในปลั๊กอินและธีมดังนั้นอย่างน้อยควรลบสิ่งที่ไม่ได้ใช้ทั้งหมดออก.
อัปเดต timthumb.php
หากธีมของคุณใช้การปรับขนาดภาพย่อโดยใช้ timthumb.php คุณต้องอัปเดตไฟล์นี้เป็นเวอร์ชันล่าสุดอย่างแน่นอนเนื่องจากเวอร์ชันที่เก่ากว่ามีช่องโหว่ที่ทราบ.
ตรวจสอบสิทธิ์ในโฟลเดอร์และไฟล์
ไฟล์ทั้งหมดจะต้องมีสิทธิ์ 644 โฟลเดอร์ 755 ยกเว้น. htaccess - 444 สิทธิ์และอัพโหลดโฟลเดอร์ - 777 สิทธิ์.
เปลี่ยนชื่อผู้ดูแลระบบ
ตัวเลือกที่เร็วที่สุดคือเข้าไปที่ phpadmin และในฐานข้อมูลของคุณให้ดำเนินการแบบสอบถามนี้:
อัปเดต wp_users SET user_login = ‘เข้าสู่ระบบใหม่ของคุณ’ WHERE user_login = ‘ผู้ดูแลระบบ’;
หรือคุณเพียงแค่สร้างผู้ใช้ใหม่ผ่านแผงผู้ดูแลระบบบล็อกมอบหมายบทความทั้งหมดให้กับเขาและลบผู้ใช้ผู้ดูแลระบบเก่า.
เปลี่ยนรหัสผ่านทั้งหมดเป็นรหัสที่ซับซ้อนมากขึ้น
คำแนะนำซ้ำ ๆ แต่รหัสผ่านควรมีความซับซ้อนประกอบด้วยตัวเลขและตัวอักษรของการลงทะเบียนที่แตกต่างกัน นอกจากนี้อย่าลืมว่าหลังจากการต่อสู้กับไวรัสคุณต้องเปลี่ยนรหัสผ่านทั้งหมดในทางใดทางหนึ่ง (บล็อกผู้ดูแลระบบโฮสต์ผู้ดูแลระบบฐานข้อมูล ftp, sql) และมันก็สมเหตุสมผลที่จะเปลี่ยนคีย์ลับในไฟล์ wp-config.php.
ปกป้องไฟล์. htaccess และ wp-config.php จากการเข้าถึงสำหรับทุกคน
เพิ่ม. htaccess ของคุณในรูทของบล็อกรหัสนี้:
คำสั่งปฏิเสธอนุญาต
ปฏิเสธจากทั้งหมด
คำสั่งอนุญาต, ปฏิเสธ
ปฏิเสธจากทั้งหมด
ป้องกันโฟลเดอร์ wp-include ด้วย. htaccess
สร้างไฟล์ข้อความปกติเรียกว่า. htaccess และคัดลอกไปยังโฟลเดอร์ wp-include หลังจากเพิ่มรหัสลงในไฟล์:
คำสั่งอนุญาต, ปฏิเสธ
ปฏิเสธจากทั้งหมด
อนุญาตจากทั้งหมด
ปกป้องโฟลเดอร์ wp-admin ด้วย. htaccess และ. htpasswd
สร้างไฟล์ข้อความธรรมดาเรียกว่า. htaccess และคัดลอกไปยังโฟลเดอร์ wp-admin หลังจากเพิ่มรหัสลงในไฟล์:
AuthUserFile /home/public/.htpasswd
AuthType พื้นฐาน
Authname “ถูก จำกัด”
ปฏิเสธคำสั่งอนุญาต
ปฏิเสธจากทั้งหมด
ต้องการผู้ใช้ที่ถูกต้อง
พึงพอใจใด ๆ
ที่ไหน, «/home/public/.htpasswd» เป็นพา ธ แบบเต็มไปยังไฟล์. htpasswd ขอแนะนำให้ไฟล์นี้อยู่เหนือไดเรกทอรีของบล็อกของคุณ.
ไฟล์. htpasswd มีรหัสผ่านสำหรับการเข้าถึงโซน wp-admin ในรูปแบบที่เข้ารหัส วิธีที่ง่ายที่สุดในการสร้างไฟล์นี้คือการใส่ชื่อผู้ใช้และรหัสผ่านตามปกติ เป็นการดีที่สุดที่จะไม่ทำซ้ำและระบุข้อมูลที่แตกต่างจากบัญชีที่มีอยู่.
มีความไม่สะดวกเพียงวิธีเดียวเท่านั้น - ไม่สามารถใช้ได้หากคุณมีบล็อกที่มีผู้ใช้หลายคนเนื่องจากรหัสผ่านจะถูกร้องขอจากผู้ใช้ทั้งหมด.
เปลี่ยนคำนำหน้าฐานข้อมูล
เปลี่ยนคำนำหน้าของฐานข้อมูล sql ของคุณจากมาตรฐาน «wp_» ในบาง «wpsdjflk647_» มันเป็นไปได้ที่จุดเริ่มต้นของการสร้างบล็อก แต่ตอนนี้ไม่เป็นปัญหา ฉันทำมันเป็นปลั๊กอินซึ่งจะกล่าวถึงด้านล่าง แม้ว่าคุณสามารถเข้าไปใน phpadmin ให้แทนที่ชื่อตารางทั้งหมดที่นั่นและเปลี่ยนคำนำหน้าในไฟล์ wp-config.php
ติดตั้งปลั๊กอิน Belavir
ติดตั้งปลั๊กอิน Belavir ซึ่งจะติดตามการเปลี่ยนแปลงในไฟล์ php ทั้งหมดในบล็อกของคุณ ปลั๊กอินนั้นไม่ได้ตรวจสอบอะไรเลย แต่เริ่มการสแกนเมื่อคุณไปที่แผงผู้ดูแลระบบบล็อกในหน้าคอนโซลซึ่งแสดงการเปลี่ยนแปลงจริง เขาไม่มีการตั้งค่า.
ติดตั้งปลั๊กอิน WP Security Scan
ติดตั้งปลั๊กอิน WP Security Scan ซึ่งคุณสามารถทำบางสิ่งได้โดยเฉพาะอย่างยิ่ง:
- เปลี่ยนคำนำหน้าฐานข้อมูล
- ตรวจสอบสิทธิ์ในโฟลเดอร์และไฟล์
- ซ่อนรุ่นของ WordPress
- เชื่อมต่อโปรแกรมป้องกันไวรัสเพื่อหาบล็อกและตรวจสอบ
ติดตั้งปลั๊กอินความปลอดภัย WP ที่ดีขึ้น
ติดตั้งปลั๊กอิน Better WP Security มันเป็นสิ่งจำเป็นมากยิ่งขึ้นกว่าสองปลั๊กอินก่อนหน้า รายการคุณสมบัติของมันมีขนาดใหญ่มากฉันจะแสดงรายการส่วนหนึ่ง:
- ให้คุณเปลี่ยนคำนำหน้าฐานข้อมูล
- ลบข้อมูลที่ไม่จำเป็นออกจากรหัสบล็อกตามประเภทของรุ่น wordpress
- ตรวจสอบการเปลี่ยนแปลงในไฟล์ทั้งหมด
- ห้าม ip ของผู้ที่ป้อนที่อยู่แปลก ๆ ในเบราว์เซอร์หลังจากชื่อบล็อกของคุณโดยได้รับข้อผิดพลาด 404
- ห้ามการเลือกรหัสผ่านสำหรับแผงการดูแลระบบแบนไอพี
- เปลี่ยนที่อยู่ล็อกอินของผู้ดูแลระบบมาตรฐานการป้องกันที่ดีเยี่ยมต่อการโจมตีที่ดุร้าย
- และอีกมากมาย.
ตรวจสอบการเปลี่ยนแปลง ftp ของคุณ
ติดตั้งโปรแกรม ftpinfo บนคอมพิวเตอร์ของคุณซึ่งอนุญาตให้คุณเชื่อมต่อกับเซิร์ฟเวอร์ ftp ของคุณและตรวจสอบการเปลี่ยนแปลงของไฟล์บัญชีทั้งหมดเพื่อดู / ลบ / เปลี่ยนแปลง สิ่งที่มีประโยชน์มากในระหว่างการโจมตีของไวรัส คุณสามารถตรวจสอบไม่เพียง แต่ไฟล์ทั้งหมด แต่ยังสร้างมาสก์สำหรับไฟล์และโฟลเดอร์.
สำรองฐานข้อมูลและไฟล์ทุกๆสองสามวัน
สิ่งที่มีประโยชน์มากมันมีประโยชน์ในการต่อสู้กับไวรัส ไฟล์ต้นฉบับจะอยู่ในมือและจะมีโอกาสในการย้อนกลับหากไม่สามารถล้างไซต์จากไวรัส ฉันใช้ปลั๊กอิน BackWPup มันมีคุณสมบัติมากมายรวมถึงการคัดลอกข้อมูลไปยัง Dropbox ซึ่งเป็นบริการที่สะดวกสบายที่ให้พื้นที่ว่าง 2GB บนอินเทอร์เน็ตและการซิงโครไนซ์กับคอมพิวเตอร์ของคุณ.
นี่คือเคล็ดลับในการปกป้องบล็อก WordPress ที่ฉันใช้กับบล็อกของเรา หากมีคำถามหรือข้อสงสัยเพิ่มเติม (อาจเป็นอย่างอื่นสามารถทำได้) เขียนความคิดเห็น :)