Ինչպե՞ս պաշտպանել WordPress կայքը հաքերներից

WordPress- ի անվտանգության ուղեցույց փոքր բիզնեսի համար & ձեռներեցները: Իմացեք, թե ինչպես պաշտպանել ձեր WordPress կայքը հաքերներից `այս պրակտիկ քայլերով.


WordPress անվտանգության խորհուրդներ

Կա մի ասացվածք. «Եթե այն կառուցես, նրանք կգան»: Եվ առցանց աշխարհում սա նշանակում է հակերներ: Բայց ի՞նչ ես անում, որ դադարեցնես դրանք: Անվտանգությունը կարևոր է, և պրակտիկ մոտեցում ցուցաբերելը ձեր կայքը պաշտպանելու լավագույն միջոցն է: Likeիշտ այնպես, ինչպես ձեր տան կամ բիզնեսի հետ կապված, դուք ցանկանում եք ձեր ակտիվներն ապահով պահել: WordPress- ի վեբ կայքերի մեծ մասը վարակվում է ֆայլերը թարմացնելու պատճառով, մուտքի որևէ մեկը կոտրելու կամ դաժան ուժային հարձակման պատճառով: Ամենադժվար մասը գիտակցումն է, որ չարամիտ վարակը կարող է պատահել ցանկացած կայքի: Ես տեսել եմ դաժան ուժային հարձակումը փորձարկման կայքում, որը նույնիսկ Google- ի կողմից չի ինդեքսավորվել և այցելուներ չուներ: Չնայած որ ոչինչ երբեք 100% լիարժեք ապացույց չէ, կան վատթարագույն դեպքերից խուսափելու եղանակներ: Ահա այն պարզ քայլերը, որոնք կարող են ձեռնարկվել փոքր բիզնեսի սեփականատերը ՝ իրենց առցանց բիզնեսը ապահով պահելու համար, որոնք չեն պահանջում որևէ ծրագրավորող կամ կոդավորում ձեր կողմից.

Գաղտնաբառերի կարևորությունը

Հիանալի գաղտնաբառ `պաշտպանության առաջին գիծն է` անցանկալի մարդկանց ձեր կայքերից դուրս պահելու համար: Երբ մի բոտ է գալիս փորձել մուտք գործել WordPress վահանակ, առաջին բանը, որ նրանք փորձում են օգտագործել մուտք գործելիս «admin» և «գաղտնաբառ» են, քանի որ այդ համադրությունը ամենատարածված մուտքն է: «Pa $ $ w0rd» դառնալու համար այն ավելի անվտանգ չի դարձնում ոչ այն պատճառով, որ այն դեռ կարդում է «գաղտնաբառ»: Անունները կամ որևէ այլ բան, որը դեռ կարդալու է որպես ընթեռնելի բառ, ամենադյուրին թալանված գաղտնաբառերն են: Սովորաբար ցանկացած գաղտնաբառ պետք է լինի առնվազն 12 նիշ, որոնք անօրինական են, պարունակում են վերին և փոքրատառ տառեր, համարներ և հատուկ նիշեր: Որքան գաղտնաբառում ավելի շատ նիշ կա, այնքան դժվար է կոտրել: Եթե ​​ցանկանում եք ստուգել, ​​թե որքանով են ապահով ձեր գաղտնաբառերը, ստուգեք Որքան անվտանգ է իմ գաղտնաբառը շաշկի Սա ցույց կտա ձեզ, թե որքան ժամանակ կպահանջվի համակարգչային բոտը կոտրելու ձեր գաղտնաբառը: Ստուգիչը ասաց ինձ, որ գաղտնաբառս կոտրելու համար անհրաժեշտ է աշխատասեղանի համակարգիչ մոտ 377 միլիարդ տարի: Դա այն դեպքում, երբ գիտեք, որ հիանալի գաղտնաբառ ունեք!

Անվտանգության սարքերը օգնում են

Կան անվտանգության տեսակների բազմաթիվ տեսակներ, որոնք կատարում են մի շարք գործառույթներ: Կարող եք օգտագործել ձեր անվտանգության ապահովման ավելի քան մեկ plugin այնքան ժամանակ, քանի դեռ դրանք չունեք նույն գործերը կատարելու համար: Ահա WordPress- ի անվտանգության մի քանի հիանալի հավելումների ցուցակը, որոնք մատչելի են: Բայց այս հոդվածի համար ահա, թե ինչպես ես ստեղծեցի իմ բոլոր կայքերը առավելագույն անվտանգության համար.

Jetpack – Ես օգտագործում եմ բազմաֆանտաստիկ plugin Jetpack- ը իմ բոլոր կայքերում: Նրանք ունեն մի քանի առանձնահատկություններ, որոնք ներկառուցված են անվտանգության միջոցառումների համար, որոնք ես միացնում եմ.

  • Մոնիտոր – Jetpack- ը ձեզ կտեղեկացնի, երբ ձեր կայքը իջնի և երբ նորից վերադառնա: Միշտ տեղյակ եղեք, երբ ձեր հաճախորդները չեն կարող մուտք գործել ձեր վեբ կայք.
  • Պաշտպանել. Նախկինում պաշտպանվում էր որպես անկախ plugin, որը կոչվում էր BruteProtect: Դա ամենաօգտագործված plugin- ներից մեկն էր, որպեսզի արգելափակի դաժան ուժային գրոհները: Automattic- ը այն ձեռք է բերել անցյալ տարի և այժմ այն ​​մտել է Jetpack.
  • Կառավարել – Jetpack- ի Կառավարումը թույլ է տալիս թարմացնել ձեր plugins- ը, թեմաները և բոլոր ինքնակառավարվող կայքերի մեկ հիմնական վահանակը, և հնարավորություն է տալիս ավտոմատ թարմացումներ ունենալ.

iThemes Security (նախկինում ավելի լավ WP Security) – Թեև iThemes Security- ը անվտանգության firewall չէ, այն մեծ օգուտներ է տալիս վեբ կայք ապահովելու համար ՝ առանց կոդը ինքներդ փոխելու: Նրանք ունեն անվճար և Pro տարբերակ: Ահա այն հատկանիշները, որոնք Jetpack- ի օգտագործման ընթացքում պետք է միացված լինեն այս հավելվածով.

  • Միշտ թույլ տվեք iThemes Security- ին գրել wp-config.php և .htaccess: Այս plugin- ը վեբին ասում է, թե ինչպես խստացնել անվտանգությունը.
  • Միացնել սև ցուցակի կրկնությունը հանցագործին
  • Միացնել 404 հայտնաբերումը
  • Օգտվեք Away ռեժիմից, երբ գիտեք, որ ոչ ոք չպետք է մուտք գործի ձեր վահանակ: Հանգստացեք, եթե ձեր վեբ կայքում աշխատում եք օրվա բոլոր ժամերին.
  • Միացրեք արգելքի օգտագործողներին և HackRepair.com- ի սև ցուցակի հնարավորությունը: Սա հայտնի վնասակար IP- ն հեռու է պահելու ձեր կայքէջից.
  • Միացնել ֆայլի փոփոխության հայտնաբերումը և ֆայլը ստուգելը բաժանել բալերի: iThemes- ը ձեզ կտեղեկացնի, եթե ֆայլերից որևէ մեկը փոխվել է և չի համընկնում պահեստի բնօրինակ ֆայլերի հետ:.
  • Միացրեք թաքնված գործառույթը: Սա կփոխի ձեր մուտքը YourSite.com/wp-login.php- ից դեպի ձեր ընտրության սովորական էջ: Մի դրեք այն որպես ընթացիկ կամ ապագա էջ կամ հաղորդագրություն: Հիանալի օրինակները մուտքագրված են, հիմնական կամ անվտանգ.
  • iThemes Security- ն այժմ առաջարկում է Sucuri SiteCheck- ի սկաներ բոլոր plugin օգտագործողների համար.
  • Միացրեք ուժեղ գաղտնաբառերը բոլոր օգտագործողների համար, ներառյալ բաժանորդները.
  • Ստուգեք բոլոր տուփերը համակարգի թվիթերում.
  • WordPress Tweaks- ի տարածքում Jetpack- ի օգտագործման ժամանակ ամբողջովին անջատեք XML-RPC- ը, քանի որ դա կարող է պատճառ դառնալ, որ Jetpack- ը այլևս չի աշխատում ինչպես հարկն է.
  • Pro- ի վարկածը հնարավորություն է տալիս օգտագործել երկկողմանի վավերացում `այլ հնարավորությունների մեջ մտնելու համար.

WordFence – Մինչ ես սիրում եմ WordFence- ի սկաներ, ես սովորաբար այն ներբեռնում եմ կայքում, երբ ես կրկնակի ստուգում եմ ՝ համոզվելու համար, որ բոլոր չարամիտները ջնջված են: Եթե ​​զգում եք, որ ձեր կայքը վարակված է, WordFence- ը կարող է հայտնաբերել WordPress- ի ցանկացած ֆայլ, որը փոխվել է բնօրինակից: WordFence- ը առաջարկում է նաև պահոցավորման գործիք: Եթե ​​նախընտրում եք օգտագործել WordFence, կարող եք միացնել բոլոր տարբերակները, բայց մի գործեք iThemes Security- ի, Jetpack- ի պաշտպանության կամ Sucuri Security- ի հետ, քանի որ դրանք կարող են բախումներ առաջացնել միմյանց հետ:.

Sucuri Security – Sucuri- ն ունի ինչպես Firewall, այնպես էլ AntiVirus, որը կարող է օգնել արգելափակել չարագործներին ձեր կայքից: Sucuri- ն ունի արդյունաբերության մեջ ամենատարածված WordPress firewall- ը: Կարող եք գործարկել Sucuri CloudProxy Firewall- ը iThemes Security- ով, բայց ստացեք CloudProxy IP- ի ցանկը Sucuri- ից `ձեր IP WhiteList- ը iThemes- ի անվտանգության պարամետրերում տեղադրելու համար:.

Երկու գործոնով վավերացում

Logանկացած մուտք, որի վրա կարող եք ունենալ երկու կողմի վավերացում, միշտ ցանկալի է օգտագործել: Կան տարբեր եղանակներ, որոնք կարելի է ստեղծել: Կարող է լինել CAPTCHA, Google թույլտվության կոդ կամ մաթեմատիկայի պարզ հարց `ապացուցելու, որ դու մարդ ես: Եթե ​​նախընտրում եք օգտագործել դրանցից որևէ մեկը, համոզվեք, որ վահանակ մուտք գործող յուրաքանչյուր անձ ունի իր մուտքը: Համօգտագործվող մուտքերը կարող են խնդիրներ առաջացնել, հատկապես եթե օգտագործեք Google թույլտվության կոդ, որն ուղարկվում է բջջային հեռախոս.

  • iThemes Security Pro- ն – ունի բազմաթիվ երկկողմանի տարբերակներ `ներառյալ CAPTCHA- ն: Google թույլտվություն և պարզ մաթեմատիկա.
  • Քլեֆ – Օգտագործելով ձեր բջջային հեռախոսը, Clef- ը առաջարկում է առանց գաղտնաբառի մոտեցում ՝ ձեր WordPress վահանակում մուտք գործելու համար.
  • Google Authenticator – Օգտագործում է երկու գործոնով վավերացում Google Authenticator հավելվածի կողմից `Android / iPhone / Blackberry- ի համար.

Միշտ թարմացրեք

Վնասակար ծածկագիրը վեբ կայք մտնելու ամենամեծ պատճառը պայմանավորված է հավելվածի, թեմայի կամ կայքի համար կոդով հայտնաբերված խոցելիությամբ: Դա հեշտությամբ շտկվում է ՝ ձեր կայքը թարմացման ցիկլում ունենալով: Որոշ սեփականատերեր կունենան շաբաթվա սահմանված օր ՝ իրենց կայքը թարմացնելու համար, իսկ մյուսները կթարմացնեն ամեն անգամ մուտք գործելիս: Կան plugin- ներ, որոնք կարող են օգնել ձեր կայքերը թարմացնել.

  • Jetpack – Կառավարեք ձեր Jetpack- ի միացված բոլոր կայքերը WordPress.com- ի մեկ վահանակում
  • iThemes համաժամեցում – Համաժամեցեք մինչև 10 կայքեր անվճար, այնպես որ կա մեկ վահանակ ՝ թարմացնելու, գործարկելու BackupBuddy- ն և iThemes- ի անվտանգության կողպեքները բացելու համար:.

Ունեք պահուստային համակարգ

Շատ քիչ բան է, որ ավելի կարևոր է կայքի հետ, այնուհետև ունենալ պահուստային համակարգ: Քանի դեռ կա կայքի ամբողջական կրկնօրինակում, ներառյալ տվյալների բազան, դուք երբեք չեք կորցնի ձեր կայքը: Կայքը կրկնօրինակելու բազմաթիվ եղանակներ կան, ոմանք ավտոմատացված են, ոմանք ՝ ձեռնարկ: Միշտ ուղարկեք ձեր կրկնօրինակը ձեր սերվերից այլ տեղ.

  • Updraft Plus- ը – Նրանք ունեն ձեր վեբ կայքը կրկնօրինակելու անվճար և պրեմիում տարբերակ.
  • BackupBuddy – Պրեմիում կրկնօրինակային հավելված, որը ինտեգրվում է iThemes Security- ի և Sync- ի հետ.

Անվտանգության տարբեր խորհուրդներ

Չնայած դրանք չեն մտնում ավելի մեծ կատեգորիայի մեջ, դրանք նույնքան կարևոր են հիշելու համար

  • Միշտ օգտագործեք SFTP ֆայլերի կառավարիչ օգտագործելիս.
  • Մի պահեք դիրեկտորիաները 755-ում և ֆայլերը ՝ 644-ում: Երբեք մի՛ ստացեք 777 կամ 666 համար, քանի որ դրանք բոլորի կողմից գործադիր են թողնում.
  • Համոզված է, որ ձեր տվյալների բազայի օգտագործողի անունը և գաղտնաբառը բարդ են.
  • Մի ուղարկեք գաղտնաբառերը էլ. Կցեք դրանք որպես zipped տեքստային փաստաթուղթ.
  • Օգտագործեք գաղտնաբառի կառավարիչ ՝ ձեր մուտքերը պահելու համար: LastPass- ը և 1Password- ը հիանալի գործիքներ են, որոնք կարող են օգտագործվել ցանկացած զննարկչի և ձեր բջջային սարքերի վրա.
  • Վնասակար կայքէջից ավտոմատ ներբեռնումը դադարեցնելու համար ձեր համակարգչում պահեք հակավիրուս.

Այս քայլերին հետևելը կօգնի ձեզ և ձեր առցանց բիզնեսին `ապահով մնալ: Հիշեք, որ պրակտիկ լինելը WordPress- ի անվտանգության լավագույն մոտեցումն է!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me