Ako mislite da je vaša web lokacija sigurna jer hakere ne zanima, onda se varate jer velika većina kršenja sigurnosti nije usmjerena na krađu vaših podataka ili unakazivanje web stranice.

Hakeri obično žele koristiti vaš poslužitelj kao relej za neželjenu poštu ili za postavljanje privremenog web poslužitelja, obično za posluživanje ilegalnih datoteka. Ako vas hakiraju, budite spremni izdvojiti nešto novca za troškove povezane s poslužiteljem.

Postoji nekoliko različitih načina za jačanje sigurnosti vašeg web mjesta ili mreže na više mjesta, ali jedan od najjednostavnijih je uređivanje datoteke. wp-config.php. Ažuriranje ove konfiguracijske datoteke, iako ne postoji jednoznačno rješenje, pravilo je koje se mora poštivati ​​radi cjelokupne sigurnosti.

Imajući to na umu, istražit ćemo razne modifikacije koje možete učiniti kako biste osigurali svoj WordPress blog.

Konfigurirajte konstante WordPressa

U vašoj WordPress konfiguracijskoj datoteci, također nazvanoj wp-config.php , možete definirati ono što se naziva PHP konstantama za obavljanje određenih zadataka. WordPress ima puno konstanti koje možete koristiti.

Konstante su također umotane u funkciju definiranja() kao što je prikazano u ovom primjeru sintakse:

define ('NAME_OF_CONSTANT', vrijednost);

Na WordPressu, datoteka wp-config.php se učitava prije ostatka datoteka koje čine jezgru. To znači da ako promijenite vrijednost konstante u wp-config.php, možete promijeniti način reagiranja i funkcioniranja WordPress-a. Neke značajke možete onemogućiti ili ih uključiti promjenom vrijednosti. U mnogim slučajevima to se može učiniti promjenom true za lažno, i obrnuto, na primjer.

Ispod ćete pronaći različite konstante, kao i druge vrste PHP koda koje možete koristiti u svojoj datoteci wp-config.php  da povećate svoju sigurnost. Postavite ih sve iznad sljedećeg retka u datoteci wp-config.php:

/ * To je sve, prestani uređivati! Sretno bloganje. * /

Pažnja: budite oprezni

Budući da promjene koje ćete napraviti mogu dramatično promijeniti vašu web stranicu, ovo je dobro ideja podupiranja. Ako se dogodi pogreška, možete brzo vratiti svoje mjesto na točku prije ovih promjena i nakon što normalno funkcionira, možete pokušati ponovno.

1. Promijenite svoje sigurnosne ključeve

Možda ste već svjesni različitih sigurnosnih ključeva i možda ste već dodali jedinstvene ključeve, što je sasvim dobro.

Sigurnosni ključevi podataka šifriraju podatke pohranjene u kolačićima i može biti korisno promijeniti ih, posebno nakon hakiranja vaše web stranice. Ovo bi završilo sve otvorene sesije prijavljenih korisnika na vašoj web lokaciji, što znači da su i hakeri odjavljeni.

Kada resetirate lozinke i provjerite je li na vašem web mjestu bez backdoor iskorištavanja i slično.

Možete generirati novi set sigurnosnih ključeva pomoću WordPress Sigurnosni ključ Generator. Kopirajte sav sadržaj i zalijepite ga da biste zamijenili odjeljak koji izgleda ovako:

define( 'AUTH_KEY', 't`DK%X:>xy|eZ(BXb/f(Ur`8#~UzUQG-^_Cs_GHs5U-&Wb?pgn^p8(2@}IcnCa|'); define( 'SECURE_AUTH_KEY ', 'D&ovlU#|CvJ##uNq}bel+^MFtT&.b9{UvR]g%ixsXhGlRJ7q!h}XWdEC[BOKXssj' ); define( 'LOGGED_IN_KEY', 'MGKi8Br(&{H*~&0s;{k0  (hdXW|5M=X={we4;Mpvtg+Vo<$|#_}qG(GaVDEsn,~*2i' ); define( 'NONCE_SALT', 'a|#h{c7|P &xWs0IZ2c8&%883!c( /uG}W:mAvy

2. Prisilite na upotrebu SSL-a

SSL certifikat šifrira vezu između vašeg web mjesta i preglednika vašeg posjetitelja, tako da hakeri ne mogu presresti i ukrasti osobne podatke. Ako već imate instaliran SSL certifikat, tada morate prisiliti WordPress da ga koristi, to može povećati vašu sigurnost.

Da biste prisilno koristili SSL certifikat tijekom veze, dodajte ovaj redak:

define ('FORCE_SSL_LOGIN', true);

Svoj SSL certifikat možete prisiliti i na administratorskoj nadzornoj ploči ovim redom:

define ('FORCE_SSL_ADMIN', true);

Ovo su vrlo dobre točke za početak, iako bi idealno bilo koristiti SSL certifikat na svim svojim web stranica.

3. Izmijenite prefiks baze podataka

Prefiks se nalazi ispred imena svih tablica u vašoj bazi podataka. Prema zadanim postavkama tablica koristi prefiks " wp_" a dodavanje u vašu bazu podataka će hakeru dodati dodatni zadatak. Što više prepreka dodate, to ih je više blog bit će ga teško hakirati.

Promjena zadanog prefiksa pomaže i sve što morate učiniti je promijeniti konstantu u datoteci " wp-config.php ", ali također bi bilo potrebno da tablice baze podataka u vašoj instalaciji imaju isti novi prefiks. Možete se promijeniti wp_ za nešto slično g628_. Morate odabrati nešto što doista nije lako pogoditi.

4. Onemogućite uređivanje tema i dodataka

U svakoj WordPress instalaciji možete izravno uređivati ​​dodatke i teme putem nadzorne ploče. Ako je haker uspio dobiti pristup vašoj nadzornoj ploči, on ima pristup ovom posebnom uređivaču u kojem bi zatim mogao raditi sve što je želio u vašem dodatku i datotekama tema, poput dodavanja zlonamjernog softvera, virusa ili neželjena pošta.

5. Onemogući uklanjanje pogrešaka

Ako ste ikada omogućili otklanjanje pogrešaka na svojoj web stranici ili na mreži, vjerojatno ste to učinili jer je izvrstan alat za rješavanje problema, ali nemojte ga zaboraviti onemogućiti kada završite. Ako ovu opciju ostavite uključenom, hakerima možete otkriti važne informacije o vašoj web-lokaciji i lokaciji njenih datoteka svima koji posjete vašu web-lokaciju.

Da biste isključili način uklanjanja pogrešaka, možete prebaciti konstantu WP_DEBUG s true na false na sljedeći način:

define ('WP_DEBUG', false);

6. Onemogućite prijavu pogrešaka u WordPressu

 Ako ne možete izvršiti prethodnu promjenu jer još uvijek morate aktivno otkloniti pogreške na web mjestu, i dalje možete zaštititi vitalne podatke svoje web lokacije isključivanjem pogrešaka na prednjoj strani i isključivanjem evidentiranja pogrešaka.

Da biste onemogućili izvještavanje o pogreškama sučelja, dodajte ovaj redak zadržavajući ispravljanje pogrešaka (WP_DEBUG) na true:

define ('WP_DEBUG_DISPLAY', false);

7. Omogući automatska ažuriranja

Ažuriranje web mjesta s najnovijim verzijama WordPressa, zajedno s dodacima i temama, trebao bi biti važan dio u razvoju sigurnosne strategije. Budući da jeAžuriranja pružaju sigurnosne popravke za poznate ranjivosti, a ne otkrivaju ažuriranje blog na te potencijalne rizike.

Od WordPress verzije 3.7, manji sigurnosni popravci automatski se primjenjuju na WordPress web stranice, ali osnovne verzije nisu. Međutim, možete omogućiti automatsko ažuriranje za sve nove verzije mijenjanjem vrijednosti konstante za automatsko ažuriranje:

define ('WP_AUTO_UPDATE_CORE', true);

Isto tako, možete dodati sljedeći redak ispod prethodnog da biste omogućili automatsko ažuriranje dodataka:

add_filter ('auto_update_plugin', '__return_true');

Možete slijediti i ovu liniju za omogućavanje automatskog ažuriranja tema:

add_filter ('auto_update_theme', '__return_true');

To je to za ovaj tutorial. Nadam se da će vam omogućiti da bolje osigurate svoj WordPress blog.