W artykule:
- Jeśli uważasz, że Twoja witryna jest bezpieczna, ponieważ nie zawiera żadnych treści wartych uwagi hakerów, pomyśl jeszcze raz, ponieważ zdecydowana większość naruszeń bezpieczeństwa nie ma na celu kradzieży danych ani zniszczenia witryny.
- Ustawianie Stałych WordPress
- Ostrzeżenie: W Nagłych Przypadkach
- 1. Zmiana Kluczy Bezpieczeństwa
- 2. Wymuś użycie SSL
- 3. Zmiana Prefiksu Bazy Danych
- 4. Wyłącz wtyczkę i edycję motywów
- 5. Move the wp-config.php Plik
- 6. Egzekwowanie stosowania FTP
- 7. Egzekwowanie stosowania SFTP
- 8. Wyłączanie Debugowania
- 9. Wyłączanie Rejestrowania Błędów Front-End
- 10. Włączanie Automatycznych Aktualizacji
- Automatycznie Zastosuj te poprawki
Jeśli uważasz, że Twoja witryna jest bezpieczna, ponieważ nie zawiera żadnych treści wartych uwagi hakerów, pomyśl jeszcze raz, ponieważ zdecydowana większość naruszeń bezpieczeństwa nie ma na celu kradzieży danych ani zniszczenia witryny.
Hakerzy zazwyczaj chcą używać serwera jako przekaźnika poczty e-mail do spamu lub do konfiguracji tymczasowego serwera internetowego, Zwykle do serwowania nielegalnych plików. Jeśli zostaniesz zhakowany, przygotuj się na wypłatę pieniędzy za rosnące koszty serwera.
Istnieje wiele różnych sposobów na wzmocnienie bezpieczeństwa witryny lub sieci Multisite, ale jednym z najprostszych jest dostosowanie wp-config.php plik. Aktualizacja tego pliku konfiguracyjnego, choć nie jest pewnym rozwiązaniem chroniącym przed hakerami, jest warta zrobienia w ramach ogólnej strategii bezpieczeństwa.
Mając to na uwadze, przyjrzyjmy się, czym są stałe WordPress i jak ich używać do wprowadzania zmian w Twoim wp-config.php plik zwiększający bezpieczeństwo Twojej witryny.
Ustawianie Stałych WordPress
W pliku konfiguracyjnym WordPress, zwanym także wp-config.php, możesz ustawić tak zwane stałe w PHP, aby wykonywać określone zadania. WordPress ma wiele stałych, których możesz użyć.
Dokumentacja PHP opisuje stałe jako:
„Stała jest identyfikatorem (nazwą) dla prostej wartości. Jak sama nazwa wskazuje, wartość ta nie może się zmienić podczas wykonywania skryptu (z wyjątkiem stałych magicznych, które w rzeczywistości nie są stałymi). Stała domyślnie rozróżnia wielkość liter. Zgodnie z konwencją identyfikatory stałe są zawsze wielkimi literami.”
Mówiąc najprościej, możesz ustawić wartość, aby miała nazwę. Jest również stosowany globalnie w całym skrypcie, dzięki czemu można go używać wielokrotnie. Stałe uwzględniają wielkość liter i zazwyczaj zawierają tylko wielkie litery i podkreślenia.
Rzeczywista stała używana w WordPressie to WP_DEBUG jest to świetny przykład, jak poprawnie je nazwać, ponieważ mogą zaczynać się tylko literą lub pojedynczym podkreśleniem. (Możesz przeczytać więcej o tym, jak korzystać WP_DEBUG proszę.)
Stałe są również owinięte w define() funkcja jak pokazano w tym podstawowym przykładzie składni:
W WordPress, the wp-config.php plik jest ładowany przed resztą plików tworzących rdzeń. Oznacza to, że jeśli zmienimy wartość stałej w wp-config.php, możesz zmienić sposób, w jaki WordPress reaguje i działa. Możesz wyłączyć niektóre funkcje lub włączyć je wszystkie, zmieniając wartość. W wielu przypadkach można to zrobić poprzez zmianę false na prawda i odwrotnie, na przykład.
Poniżej znajdują się stałe, a także inne rodzaje kodu PHP, które możesz wykorzystać w swoim wp-config.php plik, który wzmocni twoje bezpieczeństwo. Umieść je wszystkie powyżej poniższej linii w swoim wp-config.php plik:
Ostrzeżenie: W Nagłych Przypadkach
Ponieważ zmiany, które zamierzasz wprowadzić, mogą drastycznie zmienić Twoją witrynę, dobrym pomysłem jest utworzenie jej kopii zapasowej. Jeśli popełnisz błąd, możesz szybko przywrócić witrynę do stanu sprzed wprowadzenia jakichkolwiek zmian, a gdy witryna będzie działać normalnie, możesz spróbować ponownie.
Aby uzyskać więcej informacji na temat tworzenia kopii zapasowej lub przywracania witryny, sprawdź niektóre z naszych innych postów: jak wykonać kopię zapasową witryny WordPress (i wielu witryn) za pomocą migawki, wtyczki do tworzenia kopii zapasowych nie dotyczą tworzenia kopii zapasowych, są o przywracaniu i 7 Top Premium i Freemium wtyczki do tworzenia kopii zapasowych WordPress recenzowane.
Jeśli okaże się, że zostałeś już zhakowany i próbujesz zwiększyć bezpieczeństwo swojej witryny, zainstaluj wtyczkę bezpieczeństwa, taką jak Defender i daj hakerom smackdown.
Po utworzeniu kopii zapasowej możesz rozpocząć wprowadzanie zmian poniżej.
1. Zmiana Kluczy Bezpieczeństwa
Być może jesteś już świadomy sekcji kluczy bezpieczeństwa i być może wcześniej dodałeś unikalne klucze, co jest świetne, ponieważ utrudniają hakerom włamanie.
Klucze bezpieczeństwa pomagają szyfrować informacje przechowywane w plikach cookie i pomocne może być ich zmienianie co jakiś czas, zwłaszcza po zhakowaniu witryny. To skutecznie zakończyłoby otwarte sesje zalogowanych użytkowników na twojej stronie, co oznacza, że hakerzy również są wylogowani.
Tak długo, jak zresetujesz hasła i upewnisz się, że Twoja witryna jest czysta od wszelkich exploitów i tym podobnych, Twoja witryna może być ponownie bezpieczna przed hakerami.
Możesz wygenerować nowy zestaw kluczy bezpieczeństwa za pomocą generatora kluczy bezpieczeństwa WordPress. Skopiuj cały wynik i wklej go, aby zastąpić sekcję, która wygląda podobnie do poniższego przykładu:
2. Wymuś użycie SSL
Certyfikat SSL szyfruje połączenie między witryną a przeglądarką użytkownika, dzięki czemu hakerzy nie mogą przechwytywać i wykradać danych osobowych. Jeśli masz już zainstalowany certyfikat SSL, zmuszenie witryny do korzystania z niego może pomóc w zwiększeniu bezpieczeństwa.
Aby wymusić użycie certyfikatu SSL podczas logowania i przeglądania pulpitu administratora, dodaj tę linię:
Są to świetne początki, ale idealnie nadaje się do korzystania z certyfikatu SSL na wszystkich stronach witryny i możesz uzyskać szczegółowe informacje na temat tego, jak to zrobić w naszym poście jak korzystać z SSL i HTTPS z WordPress.
3. Zmiana Prefiksu Bazy Danych
Przed nazwami wszystkich tabel w bazie danych umieszczany jest prefiks. Domyślnie jest ustawiony na wp_ i chociaż możesz iść swoją wesołą drogą bez robienia czegokolwiek, zmiana jej dodaje kolejny krok do listy zadań hakerów, jeśli chcą dostać się do twojej witryny. Im więcej przeszkód dodasz hakerowi, tym mniejsza szansa, że z powodzeniem przenikną do twojej witryny.
Zmiana domyślnego prefiksu pomaga w tym i jeśli znajdziesz poniższy wiersz w wp-config.php, możesz zmienić wp_ do czegoś innego, takiego jak g628_ lub podobnie trudne przedrostki, które są mniej prawdopodobne do odgadnięcia.
4. Wyłącz wtyczkę i edycję motywów
W każdej instalacji WordPress możesz bezpośrednio edytować wtyczki i motywy za pośrednictwem Pulpitu nawigacyjnego. Jeśli haker byłby w stanie włamać się do zaplecza Twojej witryny, miałby dostęp do tego specjalnego edytora, w którym mógłby robić, co chce, w plikach wtyczek i motywów, takich jak dodawanie złośliwego oprogramowania, wirusów lub spamu.
Powstrzymanie hakera po udanym włamaniu powinno być częścią twojego schematu bezpieczeństwa. Czasami, pomimo twoich najlepszych starań, ktoś może nadal być w stanie zhakować Twoją witrynę, więc ważne jest, aby uczynić to tak trudnym, jak to możliwe, aby wyrządzić jakiekolwiek rzeczywiste szkody.
W tym pociągu myśli możesz wyłączyć edytor motywów i wtyczek, aby hakerzy nie mieli do niego dostępu w przypadku, gdy będą w stanie się dostać. Oznacza to również, że użytkownicy Twojej witryny lub sieci również nie będą mieli do niej dostępu, ale zwykle nie jest to złe, ponieważ uniemożliwia im popełnianie ogromnych błędów, które mogłyby potencjalnie obniżyć twoją witrynę.
Dodaj tę linię, aby wyłączyć wtyczkę i edytor motywów:
5. Move the wp-config.php Plik
Ponieważ twój wp-config.php plik zawiera wiele ważnych informacji, w tym hasła, ważne jest, aby ten plik był jak najbardziej bezpieczny. Oprócz ustawiania odpowiednich uprawnień użytkownika, Możesz również przenieść plik o jeden katalog powyżej domyślnej lokalizacji bez naruszania witryny. Przenoszenie pliku utrudnia również hakerom przewidywanie jego lokalizacji, aby móc się do niego włamać.
Może być ważne, aby pamiętać, że nie zawsze jest to możliwe, zwłaszcza jeśli masz jedną z tych konfiguracji:
- Masz już wp-config.php plik znajduje się o jeden poziom wyżej, tak jak w filmie Góral, może być tylko jeden – w tym samym miejscu
- Twoja witryna znajduje się w podkatalogu zamiast katalogu głównego i jesteś na współdzielonym hostingu lub masz wiele witryn we własnych katalogach, ponieważ powyższa zasada miałaby zastosowanie w tych konfiguracjach
Jeśli nie jesteś w jednej z tych sytuacji, powinieneś być w porządku, aby przenieść plik konfiguracji,ale idąc o krok dalej, możesz przenieść go w dowolne miejsce i utworzyć nowy wp-config.plik php w oryginalnym miejscu z następującą zawartością:
Twoja witryna powinna być w stanie działać tak, jak normalnie, o ile zastąpisz / path / to / wp-config.php z rzeczywistą ścieżką do pliku konfiguracji.
6. Egzekwowanie stosowania FTP
Jeśli twój hosting ma włączony File Transfer Protocol Secure (FTPS), możesz wymusić użycie FTPS podczas przesyłania plików. Zaszyfrowałoby to połączenie między serwerem a użytkownikiem, aby haker nie mógł przechwycić i ukraść plików i informacji.
Aby wymusić użycie FTPS, dodaj następującą linię:
7. Egzekwowanie stosowania SFTP
Podobnie jak w przypadku powyższej porady, jeśli twój hosting ma włączony protokół SSH File Transfer Protocol (SFTP), aby zabezpieczyć i zaszyfrować połączenie podczas korzystania z SSH i wiersza poleceń, możesz wymusić jego użycie dla wszystkich członków za pomocą poniższej linii.
8. Wyłączanie Debugowania
Jeśli wcześniej włączyłeś debugowanie w swojej witrynie lub sieci, jest to świetne narzędzie do rozwiązywania problemów, ale nie zapomnij go wyłączyć po zakończeniu. Pozostawienie tej opcji włączonej może ujawnić hakerom i każdemu, kto odwiedza Twoją witrynę, ważne informacje o witrynie i lokalizacji jej plików, co skutkuje błędem.
Ponieważ często zapominam to zrobić, sam, może to służyć jako przypomnienie dla Ciebie, jeśli jesteś już świadomy tego pomysłu.
Aby wyłączyć tryb debugowania, możesz przełączyć true NA false, aby linia debugowania wyglądała jak w poniższym przykładzie:
Możesz również usunąć linię, jeśli masz pewność, że już jej nie potrzebujesz.
9. Wyłączanie Rejestrowania Błędów Front-End
Jeśli nie możesz wprowadzić powyższej zmiany, ponieważ nadal musisz aktywnie debugować swoją witrynę, nadal możesz chronić ważne informacje witryny, wyłączając wyświetlane błędy interfejsu i umieszczając je w dzienniku błędów, który nie jest publicznie widoczny ani dostępny.
Aby wyłączyć raportowanie błędów front-end, dodaj ten wiersz, zachowując stałe debugowanie i ustaw na prawda:
Możesz sprawdzić jeden z naszych innych postów debugowania WordPress: jak używać WP_DEBUG aby uzyskać więcej informacji na temat debugowania w WordPress.
10. Włączanie Automatycznych Aktualizacji
Utrzymywanie witryny na bieżąco z najnowszymi wersjami rdzenia WordPress wraz z wtyczkami i motywami powinno być ważną częścią strategii bezpieczeństwa. Ponieważ aktualizacje zapewniają poprawki zabezpieczeń znanych luk, brak aktualizacji oznacza, że narażasz swoją witrynę na ryzyko, nie naprawiając tych luk w zabezpieczeniach.
Możesz dowiedzieć się więcej o znaczeniu aktualizacji dla bezpieczeństwa, sprawdzając, dlaczego powinieneś mieć najnowszą wersję WordPress i najlepszy przewodnik po aktualizacji WordPress i Multisite.
Od wersji 3.7 WordPress drobne wersje zabezpieczeń są automatycznie stosowane do witryn WordPress, ale główne wersje aktualizacji podstawowych nie są, chociaż możesz włączyć automatyczne aktualizacje dla wszystkich nowych wersji, zmieniając wartość stałej automatycznej aktualizacji, jak pokazano poniżej:
Jako bonus możesz dodać następującą linię poniżej do wtyczki must use w / wp-content / mu-plugins/ folder umożliwiający automatyczne aktualizacje wtyczek:
Możesz dodatkowo podążać za tym wierszem, aby włączyć automatyczne aktualizacje motywów:
Może być ważne, aby pamiętać, że dodawanie automatycznych aktualizacji wtyczek i motywów zwykle działa tylko wtedy, gdy pochodzą z katalogu WordPress. Wtyczki i motywy Znalezione w innych miejscach, w tym te premium, mogą nie działać, ponieważ nie są wymagane przestrzeganie tych samych wytycznych, które są niezbędne do przesłania do repozytorium WordPress. Oznacza to, że mogą nie zawierać kodu umożliwiającego prawidłowe działanie automatycznych aktualizacji.
Mimo to może być szansa, że spełniają wymagania, więc nadal może być przydatne, aby spróbować i włączyć automatyczne aktualizacje, zwłaszcza jeśli używasz mieszanki darmowych i premium wtyczek.
Automatycznie Zastosuj te poprawki
Te wskazówki powinny ci pomóc w zabezpieczeniu witryny, dodając do wp-config.php pliku, ale może to być czasochłonne zadanie. Nie wspominając o tym, że chociaż te poprawki są przydatne, nie powinny być jedynymi krokami, które podejmujesz w celu zabezpieczenia witryny.
Instalacja wtyczki zabezpieczającej, takiej jak Defender, dla instalacji pojedynczej lub wielostanowiskowej, może automatycznie wprowadzić te korekty dla ciebie bezpiecznie, a także automatycznie. Po wprowadzeniu tych zmian za pomocą kilku kliknięć Defender pozostaje czujny, więc nie musisz tego robić, blokując i dając hakerom klapsa nawet podczas snu.
Jeśli jesteś już członkiem WPMU DEV, Defender jest zawarty w Twojej subskrypcji, ale jeśli jeszcze się nie zarejestrowałeś, możesz wypróbować go za darmo.
Czy udało Ci się z powodzeniem korzystać z tych wskazówek? Jakie są Twoje ulubione poprawki zwiększające bezpieczeństwo witryny? Zachęcamy do podzielenia się swoimi doświadczeniami w komentarzach poniżej.
Tagi:
