Hvis du tror nettstedet ditt er trygt fordi det ikke er av interesse for hackere, tar du feil, fordi de aller fleste sikkerhetsbrudd ikke er rettet mot å stjele dataene dine eller skjemmende siden din.

Hackere vil vanligvis bruke serveren din som et stafett for spam e-post, eller å sette opp en midlertidig webserver, vanligvis for å servere ulovlige filer. Hvis du blir hacket, vær forberedt på å betale ut penger for serverrelaterte kostnader.

Det er flere forskjellige måter å styrke sikkerheten til nettstedet ditt eller et nettverk på flere nettsteder, men en av de enkleste er å redigere filen. wp-config.php. Oppdatering av denne konfigurasjonsfilen, selv om det ikke finnes en løsning som passer for alle, er en policy som må følges for total sikkerhet.

Med det i tankene, skal vi utforske de ulike modifikasjonene du kan gjøre for å sikre din WordPress blog.

Konfigurer konstanter av WordPress

I din WordPress-konfigurasjonsfil, også kalt wp-config.php , kan du definere det som kalles PHP-konstanter for å utføre bestemte oppgaver. WordPress har mange konstanter som du kan bruke.

Konstanter er også pakket inn i definisjonsfunksjonen() som vist i dette syntakseksemplet:

definer ('STRING_NAME', verdi);

På WordPress, filen wp-config.php lastes inn før resten av filene som utgjør kjernen. Dette betyr at hvis du endrer verdien av en konstant i wp-config.php, kan du endre måten WordPress reagerer og fungerer. Du kan deaktivere noen funksjoner eller slå dem på ved å endre verdien. I mange tilfeller kan dette gjøres ved å endre true for falsk og omvendt, for eksempel.

Nedenfor finner du de forskjellige konstantene, samt andre typer PHP-koder som du kan bruke i filen wp-config.php  for å øke sikkerheten din. Plasser dem alle over neste linje i filen wp-config.php:

/ * Det er alt, slutte redigering! Glad blogging. * /

OBS: Vær forsiktig

Siden endringene du er i ferd med å gjøre kan endre nettstedet ditt dramatisk, er dette bra ideen om å sikkerhetskopiere den. Hvis det oppstår en feil, kan du raskt gjenopprette nettstedet ditt til et punkt før disse endringene, og når nettstedet ditt fungerer normalt, kan du prøve igjen.

1. Endre sikkerhetsnøklene

Du kan allerede være klar over de forskjellige sikkerhetsnøklene, og du har kanskje allerede lagt til unike nøkler, noe som er ganske bra.

Informasjonssikkerhetsnøkler krypterer dataene som er lagret i informasjonskapsler, og det kan være nyttig å endre dem, spesielt etter at nettstedet ditt er blitt hacket. Dette vil avslutte alle åpne økter med påloggede brukere på nettstedet ditt, noe som betyr at hackere også er logget av.

Når du tilbakestiller passord og sørger for at nettstedet ditt er fritt for bakdører og lignende.

Du kan generere et nytt sett med sikkerhetsnøkler ved å bruke WordPress Security Key Generator. Kopier alt innholdet og lim det inn for å erstatte delen som ser slik ut:

define( 'AUTH_KEY', 't`DK%X:>xy|eZ(BXb/f(Ur`8#~UzUQG-^_Cs_GHs5U-&Wb?pgn^p8(2@}IcnCa|'); define( 'SECURE_AUTH_KEY ', 'D&ovlU#|CvJ##uNq}bel+^MFtT&.b9{UvR]g%ixsXhGlRJ7q!h}XWdEC[BOKXssj' ); define( 'LOGGED_IN_KEY', 'MGKi8Br(&{H*~&0s;{k0  (hdXW|5M=X={we4;Mpvtg+Vo<$|#_}qG(GaVDEsn,~*2i'); define( 'NONCE_SALT', 'a|#h{c7|P &xWs0IZ2c8&%883!c( /uG}W:mAvy

2. Tving bruken av SSL

Et SSL-sertifikat krypterer forbindelsen mellom nettstedet ditt og den besøkendes nettleser, slik at hackere ikke kan fange opp og stjele personlig informasjon. Hvis du allerede har et SSL-sertifikat installert, må du tvinge WordPress til å bruke det, det kan øke sikkerheten din.

For å tvinge bruken av SSL-sertifikatet ditt under tilkoblingen, legg til denne linjen:

definer ('FORCE_SSL_LOGIN', sant);

Du kan også tvinge SSL-sertifikatet ditt på admin-dashbordet med denne linjen:

define ('FORCE_SSL_ADMIN', true);

Dette er veldig gode punkter å begynne med, selv om det ideelle ville være å bruke SSL-sertifikatet på alle dine nettside.

3. Endre databaseprefikset

Prefikset er plassert foran navnene på alle tabellene i databasen din. Som standard bruker tabellen prefikset " wp_" og legge den til i databasen din vil legge til en ekstra oppgave for hackeren å gjøre. Jo flere hindringer du legger til, jo flere bloggen din vil være vanskelig å hacke.

Å endre standardprefikset hjelper, og alt du trenger å gjøre er å endre konstanten på filen " wp-config.php ", men det vil også være nødvendig at databasetabellene i installasjonen din har det samme nye prefikset. Du kan endre wp_ for noe sånt g628_. Du må velge noe som egentlig ikke er lett å gjette.

4. Deaktiver redigering av temaer og plugins

I hver WordPress-installasjon kan du redigere plugins og temaer direkte gjennom dashbordet. Hvis en hacker klarte å få tilgang til dashbordet ditt, har de tilgang til dette spesialredigeringsprogrammet der de kan gjøre hva de vil i plugin- og temafilene, for eksempel legge til skadelig programvare, virus eller spam.

5. Deaktiver feilsøking

Hvis du noen gang har aktivert feilsøking på nettstedet ditt eller på et nettverk, gjør du det sannsynligvis fordi det er et flott verktøy for feilsøking, men ikke glem å deaktivere det når du er ferdig. Hvis du lar dette alternativet være aktivert, kan det avsløre viktig informasjon om nettstedet ditt og plasseringen av filene til hackere for alle som besøker nettstedet ditt.

For å slå av feilsøkingsmodus, kan du slå WP_DEBUG-konstanten fra sann til usann som følger:

define ('WP_DEBUG', falsk);

6. Deaktiver feillogging i WordPress

 Hvis du ikke kan gjøre den forrige endringen fordi du fremdeles trenger å feilsøke nettstedet ditt aktivt, kan du fremdeles beskytte nettstedets viktige informasjon ved å slå av frontend-feil og slå av feillogging.

For å deaktivere feilrapportering av frontend, legg til denne linjen mens du holder feilsøking (WP_DEBUG) satt til sann:

define ('WP_DEBUG_DISPLAY', false);

7. Aktiver automatiske oppdateringer

Å holde nettstedet ditt oppdatert med de nyeste versjonene av WordPress, sammen med plugins og temaer, bør være en viktig del i utviklingen av en sikkerhetsstrategi. SidenOppdateringer gir sikkerhetsfikser for kjente sårbarheter, ikke oppdatering av eksponeringer bloggen din til disse potensielle risikoene.

Fra og med WordPress versjon 3.7 blir mindre sikkerhetsoppdateringer automatisk brukt på WordPress-nettsteder, men grunnleggende versjoner er det ikke. Du kan imidlertid aktivere automatiske oppdateringer for alle nye versjoner ved å endre verdien på konstanten for automatiske oppdateringer:

define ('WP_AUTO_UPDATE_CORE', true);

På samme måte kan du legge til følgende linje under den forrige for å aktivere automatiske oppdateringer for plugins:

add_filter ('auto_update_plugin', '__return_true');

Du kan også følge denne linjen for å tillate automatiske oppdateringer for temaer:

add_filter ('auto_update_theme', '__return_true');

Det var alt for denne opplæringen. Jeg håper det vil tillate deg å sikre deg bedre WordPress blog.