5 WordPress-beveiligingstips die u op dit moment moet implementeren
U kent waarschijnlijk al de voor de hand liggende beveiligingsmaatregelen om uw WordPress-website te beschermen.
Mogelijk weet u dat u het wachtwoord van uw site "krachtig" moet maken (een combinatie van speciale tekens, hoofdletters, kleine letters en cijfers). U moet "admin" niet als gebruikersnaam gebruiken en u moet vaak wachtwoorden wijzigen. Waarschijnlijk gebruikt u al twee-factor-authenticatie op uw WordPress-site en maakt u een back-up van uw site. En u downloadt nooit premium-plug-ins gratis of van onbekende bronnen. Dus wat is er nog meer?
Hier bespreken we een paar WordPress-beveiligingstips met behulp van weinig bekende, maar diepgaand effectieve methoden die u kunt en zou moeten gebruiken om uw WordPress-site te beschermen.
1. Hernoem of verplaats uw inlogpagina
De standaard loginpagina voor uw site is "www.websitename.com/wp-login.php" (of "www.websitename.com/wp-admin"). Een van de manieren om uw site te beschermen, is de aanmeldingspagina te verbergen of te verbergen, zodat hackers deze niet eenvoudig kunnen vinden. Beheer van uw inlogtoegang door telkens het aantal inlogproeven te beperken en de tijdspanne tussen inlogpogingen zou ook de veiligheid verbeteren.
Als Jetpack al is geïnstalleerd, kunt u de module "Brute Force Protection" activeren. Als deze module is geactiveerd, werkt Jetpack het Dashboad bij met het aantal schadelijke aanmeldpogingen voor uw website. U hebt ook de mogelijkheid om een aantal IP-adressen op de witte lijst te zetten. Ga vanuit Jetpack naar "Instellingen" en vervolgens naar "Beveiligen", gevolgd door "Configureren" en u zult zien wat er op de afbeelding hieronder uitziet.
Cerber Security en Limit Login Attempt is een alternatieve plug-in voor Jetpack. Als u Jetpack liever niet gebruikt, is Limit-inloggen een optie. Vanaf de datum van schrijven is de plug-in meer dan 40.000 keer geïnstalleerd en heeft deze een bijna onaangetaste reputatie, aangezien 108 van de 111 gebruikers het als vijf sterren beoordeelden.
Limit Login is redelijk eenvoudig te gebruiken, maar het configureren van de "Hardening" -sectie verbetert de veiligheid van uw site. Alle toegang tot de XML-RPC-server, inclusief trackbacks en pingbacks, is standaard geblokkeerd. Als u om welke reden dan ook de rest-API van WordPress zou gebruiken (bijvoorbeeld, de Android- of iOS-app van uw blog heeft dit nodig), laat dan WP rest API & XML-RPC toegankelijk zijn.
2. Host waar het veilig is
Aangezien maar liefst eenenveertig procent van de beveiligingslekken van WordPress-sites afkomstig is van het einde van de host en niet van de site zelf, is het gezond verstand om ervoor te zorgen dat uw host veilig is. In feite draagt hosting het meeste gewicht als het gaat om beveiliging. Slechts acht procent van de hacks gebeurt vanwege zwakke wachtwoorden, negenentwintig procent vanwege het thema en tweeëntwintig procent vanwege plug-ins. Dus ongeveer de helft van de veiligheid van uw site is afhankelijk van hosting.
Zorg ervoor dat uw account accountisolatie bevat als u shared hosting gebruikt. Uw account zal worden beschermd tegen wat er ook gebeurt op de websites van andere mensen. Het is echter het beste dat u een service gebruikt die is ontworpen met WordPress-gebruikers in gedachten. Voorbeelden van dergelijke services zijn de WordPress-firewall, zero-day malware-aanvalsbeveiliging, bijgewerkte MySQL en PHP, gespecialiseerde WordPress-servers en een WordPress-handige klantenservice. Gastheren zoals WP Engine, Siteground en Pagely hebben sterke trackrecords voor de veiligheid.
3. Blijf op de hoogte en gebruik alleen bijgewerkte software
U weet dat u bijgewerkte antivirus en andere relevante anti-malware-bescherming voor uw computer moet gebruiken. Deze voorzorgsmaatregel geldt ook voor plug-ins en thema's. Houd ze up-to-date en als je thema's of plug-ins in je repository hebt die niet in gebruik zijn, verwijder ze. Als het goed is voor uw site, kunt u overwegen om uw plug-ins en thema's automatisch bij te werken. Om automatische updates in te stellen, plaats je wat code in je wp-config.php. Het volgende is de code voor plug-ins:
add_filter ('auto_update_plugin', '__return_true');
En voor thema's, gebruik deze code:
add_filter ('auto_update_theme', '__return_true');
Als u een handmatige benadering van site-onderhoud wilt, kunt u overwegen om WordPress-updates te automatiseren. Houd er echter rekening mee dat het instellen van een automatische update uw site mogelijk zal beschadigen, vooral als plug-ins die niet compatibel zijn met de nieuwste WordPress-update op uw site worden uitgevoerd. Om een automatische update voor uw WordPress-site in te stellen, voert u de onderstaande code in uw wp-config.php- bestand in:
# Schakel alle core-updates in, inclusief minor en major: define ('WP_AUTO_UPDATE_CORE', true);
4. Verwijder plug-in thema-editor en PHP-foutrapportage
Schakel uw ingebouwde editor voor plug-ins en thema's uit als u niet routinematig aanpassingen aanbrengt en instellingen wijzigt (of ander onderhoud uitvoert aan uw plug-ins en thema's). Dit is voor de beveiliging van uw website.
Geautoriseerde WordPress-gebruikers hebben toegang tot deze editor, waardoor uw site kwetsbaar is voor een beveiligingslek als hun accounts worden gehackt. Hackers kunnen zelfs uw site verwijderen door de code in die editor aan te passen. Voer de onderstaande code in uw wp-config.php uit om de editor uit te schakelen:
define ('DISALLOW_FILE_EDIT', true);
Foutrapportage is goed. Het helpt je bij het oplossen van problemen. Het enige probleem (en het is een groot probleem) is dat foutmeldingen ook jouw serverpad bij zich hebben. Hackers kunnen naar uw serverpad kijken en krijgen eenvoudig inzicht in de structuur van uw website. Hoewel de PHP-foutrapportage goed is, is de BEST-functie helemaal uitgeschakeld. Gebruik het onderstaande codefragment voor uw wp-config.php- bestand:
error_reporting (0); @ini_set ('display_errors', 0);
5. Gebruik .htaccess om bestanden voor speciale doeleinden te beschermen
Het .htaccess-bestand is belangrijk omdat het het hart van uw WordPress-website is. Dit bestand is verantwoordelijk voor de permalinksstructuur en beveiliging van uw site. Buiten de #BEGIN WordPress
en #END WordPress
tags, is er geen limiet aan het aantal codefragmenten dat u kunt toevoegen aan uw .htaccess-bestand om de zichtbaarheid van bestanden in de directory van uw website te wijzigen.
Als u dit nog niet hebt gedaan, verbergt u het bestand wp-config.php van uw site. Dat bestand is cruciaal voor de activiteiten van uw site en bevat uw persoonlijke gegevens en andere belangrijke gegevens die relevant zijn voor uw site. U kunt het onderstaande codefragment gebruiken om het te verbergen.
Bestelling toestaan, ontkennen van iedereen
Als u de beheerderstoegang wilt beperken, maakt u eenvoudig een nieuw .htaccess-bestand en uploadt u dit naar de map "wp-admin". Voer daarna deze code in:
order weigeren, sta toestemming van 192.168.5.1 toe om van allen te ontkennen
Voer uw IP-adres op de juiste plek in. Om toegang tot uw wp-admin toe te staan vanaf meerdere IP-adressen, geeft u die IP-adressen op, allemaal op een aparte regel, zoals allow from IP Address
. U kunt de toegang tot uw wp-login.php op vrijwel dezelfde manier beperken. Voeg dit codefragment toe aan uw .htaccess:
volgorde weigeren, Deny toestaan van alles # toestemming van mijn IP-adres toestaan vanaf 192.168.5.1
Als u liever niet alle IP-adressen blokkeert, alleen specifieke IP-adressen die toegang willen krijgen tot uw wp-admin of wp-login.php, kunt u afzonderlijke IP-adressen blokkeren met behulp van deze code:
order toestaan, ontken den van 456.123.8.9 toestaan van iedereen
U kunt ook voorkomen dat mensen uw sitemap bekijken door deze niet te kunnen bladeren. U kunt dit codefragment gebruiken om dat te doen:
Opties Alle -Indexen
Conclusie
Dit is een bruikbare gids om u te helpen de beveiliging van uw WordPress-website te verbeteren. De meest cruciale optie is een oplossing die nu vrij eenvoudig kan worden geïmplementeerd: vind een host met een onberispelijke reputatie op het gebied van beveiliging, aangezien de helft van de beveiliging van uw site op uw host rust.
Welke beveiligingstip was het meest nuttig voor u en waarom? Heeft u nog andere beveiligingstips die hier niet worden vermeld? Vermeld het (of hen) in de commentaren.