Suggerimenti sulla sicurezza del blog di WordPress

Non è sufficiente rimuovere le conseguenze, è necessario capirne le cause. L'ho già scritto siamo stati hackerati e presumibilmente abbiamo deciso tutti. Tuttavia, una settimana dopo, la storia si è ripetuta, un altro script jquery è stato modificato, così come i file .htaccess. E in .htaccess c'erano reindirizzamenti verso alcuni siti di sinistra solo per dispositivi mobili e tablet, e quindi ho notato questo non immediatamente.

In un paio di giorni, è stato possibile trovare tutti i file modificati dall'attaccante, oltre a quelli creati da lui appositamente per la penetrazione (shell). E ancora, grazie all'hosting per il loro aiuto. Dopo di che ho deciso di prendere tutte le misure descritte su Internet.

Il contenuto dell'articolo

Domande frequenti su tutte le parti del mio piccolo blogger:

Ho scritto numerosi articoli relativi ai blog. Non sostengono di essere un manuale a tutti gli effetti, ma i principianti possono essere utili. Puoi leggerlo, se interessato.

0. Raccomando un corso «Come diventare un blogger milionario e guadagnare soldi»
1. Come avviare un blog
2. Come promuovere un blog: un elenco delle mie azioni
3. Come fare soldi su un blog e viaggiare
4. Un esempio di guadagno sul nostro blog - Finstrip 2013, finstrip 2012, Finstrip 2011
cinque. Lettore e traffico di ricerca e perché i lettori non tornano
6. Una piccola verità sul blog di viaggio
7. Suggerimenti per la protezione del blog di WordPress

Suggerimenti sulla sicurezza del blog di WordPress

Suggerimenti sulla sicurezza del blog di WordPress

Suggerimenti sulla sicurezza del blog di WordPress

È improbabile che l'elenco sia completo e, come si suol dire, chiunque ne abbia bisogno verrà comunque rotto. Ma almeno quasi tutti i blogger possono fare queste azioni per proteggersi almeno un po '..

Aggiorna i codici contatore e widget

Controlla i codici di tutti i contatori e widget sociali sul tuo blog e sul sito, dove li hai presi.
Forse sono stati aggiornati. Ho notato che Facebook cambia spesso il codice per i widget, migliora apparentemente la sicurezza.

Aggiorna tutti i plugin e WordPress alle ultime versioni e rimuovi inutilizzati

Qui i commenti sono superflui, tutti sanno come farlo. Le vulnerabilità sono generalmente contenute in plugin e temi, quindi, almeno, tutti quelli inutilizzati dovrebbero essere rimossi.

Aggiorna timthumb.php

Se il tuo tema utilizza il ridimensionamento delle anteprime utilizzando timthumb.php, allora devi assolutamente aggiornare questo file all'ultima versione, poiché le versioni precedenti hanno una vulnerabilità nota.

Controlla le autorizzazioni su cartelle e file

Tutti i file devono avere 644 autorizzazioni, 755 cartelle tranne .htaccess - 444 autorizzazioni e cartelle di upload - 777 autorizzazioni.

Cambia il nome utente dell'amministratore

L'opzione più veloce è andare in phpadmin e lì, nel tuo database, eseguire questa query:

AGGIORNAMENTO wp_users SET user_login = ‘Il tuo nuovo accesso’ DOVE user_login = ‘Admin’;

Oppure puoi semplicemente creare un nuovo utente tramite il pannello di amministrazione del blog, riassegnare tutti gli articoli a lui ed eliminare il vecchio utente amministratore..

Cambia tutte le password in più complesse

Consigli banali, ma le password dovrebbero essere complesse, costituite da numeri e lettere di diversi registri. Inoltre, non dimenticare che dopo la lotta contro i virus, è necessario modificare tutte le password in qualsiasi modo (blog admin, hosting admin, ftp, database sql) e ha anche senso cambiare le chiavi segrete nel file wp-config.php.

Proteggi i file .htaccess e wp-config.php dall'accesso per tutti

Aggiungi al tuo .htaccess nella radice del blog, questo codice:

Ordine negare, consentire
rifiutato da tutti
l'ordine consente, nega
rifiutato da tutti

Proteggi la cartella wp-Includes con .htaccess

Creare un file di testo semplice, chiamarlo .htaccess e copiarlo nella cartella wp-Includes, dopo aver aggiunto il codice al file:

Ordine Consenti, Nega
Rifiutato da tutti
Consenti a tutti

Proteggi la cartella wp-admin con .htaccess e .htpasswd

Creare un file di testo semplice, chiamarlo .htaccess e copiarlo nella cartella wp-admin, dopo aver aggiunto il codice al file:

AuthUserFile /home/public/.htpasswd
AuthType Basic
AuthName “limitato”
Ordina Nega, Consenti
Rifiutato da tutti
Richiede un utente valido
Soddisfa qualsiasi

Dove, «/home/public/.htpasswd» È il percorso completo del file .htpasswd. È consigliabile che questo file si trova sopra la directory del tuo blog.

Il file .htpasswd contiene la password per l'accesso all'area wp-admin in forma crittografata. Il modo più semplice per creare questo file è inserire il nome utente e la password nel solito modo. È meglio non ripetere e indicare dati diversi dagli account esistenti.

C'è solo un inconveniente con questo metodo: non è applicabile se si dispone di un blog multiutente, poiché la password verrà richiesta a tutti gli utenti.

Cambia prefisso database

Cambia il prefisso del tuo database sql dallo standard «wp_» su alcuni «wpsdjflk647_» È stato possibile all'inizio della creazione del blog. Ma ora questo non è un problema. L'ho fatto un plugin, che sarà discusso di seguito. Sebbene tu possa andare in phpadmin, sostituisci lì tutti i nomi delle tabelle e quindi modifica il prefisso nel file wp-config.php

Installa il plugin Belavir

Installa il plugin Belavir, che terrà traccia delle modifiche in tutti i file php del tuo blog. Il plug-in stesso non monitora nulla, ma avvia la scansione quando accedi al pannello di amministrazione del blog nella pagina Console, dove vengono effettivamente visualizzate le modifiche. Non ha impostazioni.

Installa il plugin WP Security Scan

Installa il plug-in WP Security Scan, con il quale puoi fare alcune cose, in particolare:
- cambia prefisso del database
- controlla le autorizzazioni su cartelle e file
- nascondi la versione di WordPress
- collega l'antivirus per il blog e controllalo

Installa un plug-in di sicurezza WP migliore

Installa il plug-in Better WP Security, è ancora più necessario rispetto ai due precedenti. L'elenco delle sue funzionalità è molto ampio, elencherò una parte:
- consente di modificare il prefisso del database
- rimuove le informazioni non necessarie dal codice del blog per tipo di versione di wordpress
- controlla le modifiche in tutti i file
- vieta l'ip di coloro che inseriscono strani indirizzi nel browser dopo il nome del tuo blog, ricevendo un errore 404
- vieta la selezione di una password per il pannello di amministrazione, vieta ip
- modifica gli indirizzi di accesso dell'amministratore standard, un'eccellente protezione contro gli attacchi di forza bruta
- e altro ancora.

Monitoraggio delle modifiche sul tuo ftp

Installa il programma ftpinfo sul tuo computer, che ti consente di connetterti al tuo server ftp e monitorare le modifiche di tutti i file dell'account per il loro aspetto / cancellazione / modifica. Cosa molto utile durante gli attacchi di virus. Puoi monitorare non solo tutti i file, ma anche creare maschere per file e cartelle.

Backup di database e file una volta ogni pochi giorni

Una cosa molto utile, può tornare utile per combattere i virus. I file originali saranno sempre a portata di mano e ci sarà l'opportunità di tornare indietro se non è possibile ripulire il sito dai virus. Sto usando il plugin BackWPup. Ha molte funzionalità, tra cui la copia dei dati su Dropbox, un comodo servizio che fornisce 2 GB di spazio libero su Internet e la sincronizzazione con il computer.

Questi sono i suggerimenti per proteggere un blog WordPress che ho applicato al nostro blog. Se ci sono domande o aggiunte (forse si può fare qualcos'altro), scrivere nei commenti 🙂

logo