Siguria e WordPress - Këshilla dhe shtojca. Ne thyejmë dhe mbrojmë WordPress me duart tona

WordPress është padyshim CMS-ja më e njohur dhe për shkak të popullaritetit të tij, hakerët priren të synojnë bloge të tilla. Shtojcat e sigurisë së WordPress do t'ju ndihmojnë të përmirësoni sigurinë e faqes suaj të internetit. Përshëndetje, lexues i dashur. Në artikullin Siguria e faqes në internet në 7 hapa, fola se si mund të kujdeseni personalisht, pra me duart tuaja për sigurinë e...

Ju gjithashtu mund të jeni të interesuar në:

Si të hiqni /category/ nga url e WordPress

Si të hiqni kategorinë nga url-ja e WordPress dhe pse është e nevojshme? Si ndërhyn ky prefiks në promovimin e faqes në internet?

Si të çaktivizoni dhe aktivizoni redaktuesin e skedarëve në tastierën e WordPress

Redaktimi i WP-config.php disi më interesoi pak, por është i dukshëm për ca kohë. Megjithatë, më duhej. Unë hyj në tastierën e faqes sime dhe nuk ka asnjë redaktues skedari atje. Ti e di...

Përpara se të lexoni këtë artikull, duhet të kuptoni qartë se askush nuk mund të japë një garanci 100% për sigurinë e faqes suaj të internetit (pavarësisht nga CMS). Problemi i vetëm është se sa kushton informacioni në faqe. Dhe nëse kushton miliona, do t'ju duhet një ekip programuesish me përvojë për të mbrojtur faqen, dhe nëse kushton disa mijëra dollarë, atëherë këshillat e mëposhtme do të ndihmojnë shumë në përmirësimin e sigurisë së faqes tuaj Wordpress.

Kujdes! Shikoni rregullat bazë të sigurisë, të cilat janë të destinuara për shumicën e vendeve dhe nuk varen nga motori në të cilin janë bërë. Për më tepër, ato nuk përsëriten në këtë artikull, sepse... në të jemi fokusuar në veçoritë e WordPress.

Si të mbroni Wordpress nga hakerimi?

1. Përditësoni motorin

Kontrolloni vazhdimisht Wordpress-in tuaj për përditësime, sepse... zhvilluesit përdorin arna për të eliminuar dobësitë e sistemit. Këtu është një shembull i thjeshtë - një haker gjen një dobësi në motor dhe e hakon atë. Duke marrë parasysh që ky motor përdoret në mijëra sajte, duke përdorur këtë metodë ju mund të hakoni faqet e tjera pothuajse automatikisht. Ju gjithashtu mund të shtoni tema dhe shtojca këtu. Prandaj, mos u bëni dembel dhe përditësoni gjithçka që mund të përditësohet.

2. Mos përdorni shtojca të dyshimta

Mos instaloni asnjë marrëzi në faqen tuaj. Në ditët e sotme ka një numër të madh zhvilluesish të mundshëm që shkruajnë shtojca të ndryshme për asgjë. Të tilla shtojca kanë një numër të madh vrimash sigurie dhe janë një kafshatë e shijshme për hakerat. Prandaj, instaloni në faqen tuaj vetëm ato shtesa që janë vërtet të nevojshme dhe mund ta përmirësojnë atë. Shikoni rishikimet e këtyre shtesave dhe shikoni se kush i zhvillon ato.

3. Përdorni hosting të besueshëm

Nëse shikoni sigurinë e faqes në internet në tërësi, ajo mund të përkufizohet si një kombinim i CMS dhe softuerit që është i instaluar në serverin e ofruesit tuaj të pritjes. Po, po, po, ky softuer i veçantë ka gjithashtu vrima dhe duhet të përditësohet vazhdimisht. Fatkeqësisht, jo të gjithë hostet e bëjnë këtë. Gjithashtu, gjatë sulmeve DDOS në faqet që ndodhen në të njëjtin server me faqen tuaj, një host i keq do ta ketë burimin tuaj të padisponueshëm për një kohë të gjatë. Në përgjithësi, zgjidhni një kompani pritëse cilësore me vlerësime të mira dhe një numër të madh klientësh. Në faqen tonë të internetit ka vlerësime që janë përpiluar për detyra specifike të sajtit; mund t'i gjeni në.

4. Vendosni një hyrje dhe fjalëkalim të fortë

Mos përdorni hyrjen e administratorit, sepse kjo ndihmon një haker të hamendësojë fjalëkalimin në panelin tuaj të administratorit. Sigurohuni gjithashtu që fjalëkalimi të jetë kompleks. Dhe më e rëndësishmja, mos ruani hyrjen / fjalëkalimin tuaj në shfletues dhe sigurohuni që të mos ketë viruse në kompjuterin tuaj (ata monitorojnë gjithçka që futet nga tastiera dhe vjedhin).

5. Kufizoni numrin e përpjekjeve për hyrje

Nëse një haker përpiqet të hakojë një faqe duke marrë me mend një emër përdoruesi dhe fjalëkalim, atëherë teorikisht një ditë ai do ta bëjë atë. Kjo mund të parandalohet duke kufizuar përpjekjet e gabuara të hyrjes nga një adresë IP e vetme. Për ta bërë këtë, përdorni shtojcat Limit Login Tempts dhe Login LockDown.

6. Përdorni tema të besueshme

Përpara se të instaloni një temë, sigurohuni që të shikoni se kush e ka bërë atë, përpiquni të siguroheni që është një ekip i njohur dhe me përvojë. Ju gjithashtu duhet të çaktivizoni redaktimin e skedarëve të temave nga paneli i administratorit. Kjo do të ndihmojë në rast se një haker fiton akses në panelin e administratorit. Për ta bërë këtë, shtoni sa vijon në skedarin wp-config.php:

define("DISALLOW_FILE_EDIT", e vërtetë);

7. Ndryshoni çelësat e enkriptimit

Çelësat e enkriptimit duhet të ndryshohen, sepse... ato standarde mund të jenë të njohura për hakerat. Për ta bërë këtë, shkoni te një shërbim special në faqen zyrtare të Wordpress dhe futni vlerat e variablave të specifikuara atje në wp-config.php. Ose bëni vetë ndonjë kombinim shkronjash.

8. Instaloni komponentët e sigurisë

Përdorni komponentët e mëposhtëm për të ndihmuar në përmirësimin e sigurisë së faqes suaj të WordPress:

• Better WP Security është një nga shtojcat më të njohura të sigurisë me funksionalitet të fuqishëm
• Skanimi i sigurisë WP - kontrollon shumë nga parametrat e sigurisë së faqes suaj
• WP Antivirus - skanon vazhdimisht skedarët e faqes për hakerim, dhe nëse zbulohet, dërgon një mesazh me email
• WP File Monitor - i ngjashëm me shtojcën e mëparshme
• Skaneri Securi - një skaner uebsajti për hakerim dhe dobësi.

9. Ndryshoni prefiksin e bazës së të dhënave

Kur një haker dëshiron të bëjë një injeksion SQL, ai tashmë e di që versioni standard i Wordpress përdor prefiksin wp_, prandaj këshillohet ta ndryshoni atë. Kjo mund të bëhet ose duke përdorur një shtojcë (mënyra e lehtë, por shtojcat nuk funksionojnë gjithmonë siç duhet) ose përmes PhpMyAdmin (pak më e vështirë për t'u bërë, kështu që ne kemi krijuar udhëzime universale).

10. Zhvendosni wp-config.php

Ju duhet ta zhvendosni këtë skedar jashtë dosjes public_html (ose ekuivalentin e tij, ku është instaluar Wordpress), për shembull, ta zhvendosni atë një nivel lart. Ju mund të lexoni se si ta bëni këtë.

11. Blloko panelin e administratorit për të huajt

Bëni atë në mënyrë që vetëm ju të mund të përdorni panelin tuaj të administratorit. Për ta bërë këtë, qasja në dosjen wp-admin është e bllokuar për të gjithë ata që kanë një adresë IP të ndryshme nga e jotja. Për ta bërë këtë, duhet të shtoni skedarin .htaccess në këtë dosje dhe të shtoni në të:

urdhëro refuzo, lejo
lejo nga xxx.xx.xxx.xx
mohoj nga të gjithë

ku "xxx.xx.xxx.xx" është adresa IP nga e cila mund të identifikoheni në panelin e administratorit.

12. Vendosni lejet e nevojshme të dosjeve

Në versionin klasik, duhet të instaloni 755 në të gjitha dosjet, 644 në të gjithë skedarët. Ndonjëherë dosja wp-content vendoset në 777, por më mirë - 755 (edhe pse kjo zakonisht ndalon shtimin e përmbajtjes për përdoruesit e palëve të treta).

Nëse mendoni se këtij artikulli i mungon ndonjë rekomandim, atëherë shkruani për të në komente dhe ne do të jemi të lumtur ta shtojmë atë.

WordPress është ndoshta platforma më e njohur dhe në të njëjtën kohë një nga platformat më të hakuara. Për disa arsye, ekziston një mendim se nëse askush nuk është veçanërisht i interesuar për faqen tuaj, atëherë ata nuk do ta hakojnë atë - pse? Në fakt, fjalë për fjalë çdo faqe interneti (dhe jo vetëm WordPress) është në rrezik të hakerimit, kështu që është e rëndësishme të kujdeseni për mbrojtjen e faqes tuaj. Çfarë mund të bëni - ose më mirë, çfarë shtojcash të instaloni - do të flas për këtë në këtë artikull.

Këto këshilla do të jenë të dobishme jo vetëm kur punoni me WordPress, por edhe me çdo CMS tjetër. Ato janë themelore, por, siç tregon praktika, ka ende njerëz që nuk dinë për to. Pse ta bëni gjithë këtë? Për t'ia vështirësuar jetën sulmuesit. Duke përdorur të dhënat e paracaktuara, një haker mund të hakojë faqen tuaj, si dhe bazën e të dhënave tuaja, me lehtësi relative. Prandaj, duhet të bëni sa më poshtë.

1. Ndryshoni emrin e përdoruesit nga admin në diçka tjetër.

Për ta bërë këtë, së pari duhet të krijoni një përdorues të ri si administrator. Ju mund ta bëni këtë këtu:

Pas krijimit të një përdoruesi, hyni në llogarinë e tij dhe në listën "Të gjithë përdoruesit" fshini llogarinë "admin". Në të njëjtën kohë, përpiquni ta bëni hyrjen e re diçka relativisht komplekse, ose të paktën të përbërë nga disa fjalë: vasyapupkin99. Ju mund të përdorni pseudonimin tuaj, për shembull.

Unë nuk do të shkruaj për fjalëkalimin - është më mirë të përdorni atë që Wordpress do të gjenerojë për ju në fazën e krijimit të një llogarie, në vend që të krijoni tuajën (e cila ka shumë të ngjarë të jetë më e lehtë).

2. Ndryshoni prefiksin e bazës së të dhënave nga wp në një tjetër.

Ka dy mënyra për ta bërë këtë: ose duke redaktuar tabelat vetë në phpMyAdmin (ose edhe vetëm në menaxherin e skedarëve), ose përmes një shtojce. Do të flas shkurtimisht për të dyja opsionet.

Ndryshoni përmes phpMyAdmin

Duhet të them menjëherë se ky veprim kërkon vëmendje ndaj detajeve dhe pak përvojë në phpMyAdmin.

Para së gjithash, krijoni një kopje rezervë të bazës së të dhënave tuaja - do t'ju ndihmojë të rivendosni informacionin nëse diçka shkon keq (ose keni redaktuar diku diçka të gabuar).

Tani shkoni te menaxheri i skedarëve dhe gjeni skedarin wp-config.php, në të rreshtin $ table_prefix = "wp_";

“wp” duhet të ndryshohet në diçka tjetër, më pak e lidhur me WordPress dhe bazat e të dhënave. Ju madje mund ta ndryshoni atë në një grup arbitrar shkronjash dhe numrash (por duhet ta mbani mend ose ta shkruani).

Kujdes.Është më mirë ta bëni këtë ndryshim në një WordPress të sapo instaluar. Ka më shumë informacion mbi faqet e lançuara tashmë - më shumë të dhëna do të duhet të ndryshohen.

Pas kësaj, shkoni te phpMyAdmin (në pritjen e Timeweb kjo mund të bëhet drejtpërdrejt përmes panelit të kontrollit) dhe gjeni bazën e të dhënave për sitin e dëshiruar. Të gjitha tabelat në këtë bazë të dhënash duhet të riemërohen, duke zëvendësuar "wp_" me atë që keni shkruar tashmë më lart.

Si të riemërtoni: zgjidhni tabelën në kolonën e majtë, klikoni në skedën "Operacionet", më pas shikoni bllokun "Opsionet e tabelës" dhe rreshtin "Riemërto tabelën në". Pasi të keni bërë ndryshime, sigurohuni që të klikoni "Përpara".

Pas kësaj, kërkoni tabelën “…_options” në listë. Pasi ta keni zgjedhur atë, klikoni "Shfleto" - në përmbajtje ka afërsisht e dyta faqe në kolonën "meta_key" do të shihni wp_user_roles - ndryshoni prefiksin "wp" në atë që do të përdorni tani. Ruani ndryshimin.

Tabela tjetër për të ndryshuar është “…_usermeta” - në mënyrë të ngjashme shikoni përmbajtjen e saj dhe ndryshoni të gjitha parashtesat e vjetra në të reja.

Nëse pas redaktimit diçka fillon të funksionojë keq për ju ose ndalon së punuari fare, kontrolloni që i keni bërë të gjitha ndryshimet. Si mjet i fundit, përdorni një kopje rezervë.

Ndrysho përmes shtojcës

Kjo shtojcë nuk ka nevojë për prezantim, kështu që unë do të shkoj direkt në atë që duhet bërë.

Pasi të keni instaluar dhe aktivizuar shtojcën, shkoni te seksioni "Mbrojtja e bazës së të dhënave". Aty do të shihni rreshtin "Gjeneroni një prefiks të ri të tabelave të bazës së të dhënave" - ​​shkruani prefiksin që dëshironi të vendosni (ose kontrolloni kutinë pranë "Kontrollo që vetë shtojca të gjenerojë një prefiks prej 6 karakteresh të rastësishme në gjatësi") dhe klikoni "Ndrysho prefiksin e tabelës". Pas kësaj, më poshtë do të shihni një raport mbi ecurinë e ndryshimit të prefiksit. Për të siguruar që rezultati i pritur është arritur, hyni në phpMyAdmin.

Më lejoni t'ju kujtoj edhe një herë se kjo duhet të bëhet në një faqe të re pa artikuj, pasi nëse faqja tashmë ka shumë informacione, shtojca mund të mos funksionojë siç duhet.

Të gjitha në një WP Security & Firewall

Meqenëse tashmë kemi kaluar në përdorimin e kësaj shtojce, unë do t'ju tregoj për gjëra të tjera që mund të ndihmojnë në rritjen e sigurisë së faqes tuaj.

Në seksionin "Cilësimet" të shtojcës, shkoni te skeda "Informacioni i versionit të WP" dhe kontrolloni kutinë pranë "Hiq metadatat e gjeneratorit WP". Meqenëse hakerët shpesh mbështeten në informacionin e përmbajtur në meta të dhënat, do të ishte një ide e mirë që ta hiqni këtë informacion nga kodi i faqes.

Nga rruga, nëse ende nuk e keni ndryshuar emrin e administratorit (duke ndjekur këshillat e mësipërme), atëherë mund ta bëni këtë përmes kësaj shtojce - në skedën "Administruesit". Thjesht shkruani një emër përdoruesi të ri dhe hyni përsëri në panel (fjalëkalimi mbetet i njëjtë).

Këtu mund të shihni skedën "CAPTCHA gjatë regjistrimit" - aktivizoni gjithashtu këtë artikull.

Tani shkoni te seksioni "Firewall" - këtu vendosim një shenjë në blloqet "Funksionet themelore të murit të zjarrit". Pjesa tjetër mund të ndizet/fiket sipas dëshirës.

Seksioni "Mbrojtja kundër sulmeve me forcë brutale": duhet të aktivizoni opsionin për të riemërtuar faqen e hyrjes dhe të shkruani adresën e dëshiruar në kolonën më poshtë. Është e rëndësishme të kuptohet këtu - kjo adresë do të përdoret për të hyrë në panelin e administratorit, është jetike ta mbani mend atë!

Kemi mbaruar me këtë shtojcë, le të kalojmë te tjetra.

AntiVirus

Kjo shtojcë skanon skedarët e faqeve të internetit për kode me qëllim të keq. Përdorimi i tij është mjaft i thjeshtë - pas instalimit, shkoni te cilësimet e tij dhe klikoni "Skanoni modelet e temave tani", pas së cilës do të skanohen të gjithë skedarët tuaj të temave.

Ju gjithashtu mund të vendosni një kontroll ditor me një raport me email.

Gjatë skanimit, shtojca thekson kodin që e sheh të dyshimtë. Në të njëjtën kohë, më mirë kontrolloni me kujdes të gjitha komentet - ato nuk flasin gjithmonë për një virus. Nëse nuk keni aftësi programimi, thjesht mund të krahasoni linjën e gjetur të kodit me rreshtin në kodin e së njëjtës temë të uebsajtit në kompjuterin tuaj ose nga zhvilluesi. Nëse regjistrimi është i pranishëm fillimisht, atëherë nuk ka nevojë të kesh frikë prej tij.

Ashtu si shtojcat e tjera aktive, AntiVirus ngarkon serverin (që do të thotë se faqja juaj funksionon më ngadalë), kështu që është më mirë ta përdorni herë pas here sesa ta mbani aktiv gjatë gjithë kohës.

Siguria e Wordfence

Ky plugin është i ngjashëm në funksionalitet me atë të mëparshëm, ato mund të përdoren paralelisht, nuk do të jetë më keq. Instaloni, aktivizoni në të njëjtën mënyrë, shkoni te skeda "Skano" dhe klikoni në butonin blu të madh "Filloni një skanim të Wordfence". Disa veçori janë të disponueshme vetëm për llogaritë me pagesë (premium), por funksionaliteti bazë është gjithashtu i mirë. Nëse gjithçka është në rregull me faqen tuaj, atëherë do të shihni mbishkrimin e gjelbër "Urime! "Asnjë problem sigurie nuk u zbulua nga Wordfence."

Unë do t'ju tregoj për shtojcat e tjera që mund të përdoren gjithashtu për të mbrojtur faqen tuaj.

Sigurimi Sucuri

Në përgjithësi, Sucuri është një kompani e specializuar në mbrojtjen e faqeve të internetit, kështu që ato ofrojnë mbrojtje për çdo faqe interneti (jo vetëm WordPress). Shtojca nga kjo kompani serioze me një reputacion mbresëlënës ka funksionalitet të gjerë që përfaqëson ciklin e plotë të mbrojtjes së faqes, duke përfshirë parandalimin e hakimeve dhe sulmeve në faqen tuaj. Ju mund të përdorni versionin falas, ose mund të blini një version me pagesë për 16,66 dollarë në muaj - një shumë mjaft e madhe, por mjaft e arsyeshme për një gamë të tillë mjetesh sigurie.

Për të përdorur versionin falas, pas instalimit do t'ju duhet të gjeneroni një çelës falas (në bllokun blu në krye do t'ju duhet të klikoni butonin "Generate API Key", kontrolloni që të dhënat e futura janë të sakta dhe dërgoni aplikacion.

Siguria e iThemes

Ndërsa Sucuri Security mund të quhet shtojca më e mirë e paguar e sigurisë, iThemes Security shpesh quhet shtojca më e mirë falas që ia vlen të instalohet për të siguruar faqen tuaj të internetit. Për më tepër, tani ka më shumë se 800 mijë instalime!

Nuk do të shkruaj shumë për funksionalitetin - si të gjitha shtojcat e tjera, iThemes Security synon të mbrojë faqen tuaj nga shumica e gjërave që mund ta kërcënojnë atë, dhe në të njëjtën kohë të kontrollojë gjendjen ekzistuese të faqes. Nga rruga, shtojca më parë quhej Better WP Security - ndoshta dikush e kujton atë me këtë emër.

Nëse flasim për funksionet e tij në përgjithësi, mund të theksojmë aspektet e mëposhtme të kësaj shtojce:

• fshehja dhe heqja e elementeve potencialisht të cenueshme (kjo është shkruar në fillim të artikullit - ndryshimi i hyrjes së administratorit, prefiksi i bazës së të dhënave, etj.);
• mbrojtja e faqes nga sulmet (skanimi për dobësi, mbrojtja nga forca brutale, enkriptimi i panelit të administratorit, e kështu me radhë);
• monitorimi i faqes (për ndryshime të papritura, bllokime, etj.);
• rikuperimi (backup në rast emergjence).

Tani le të kalojmë në përdorimin e vetë kësaj shtojce.

Konfigurimi i iThemes Security

Më lejoni të filloj me faktin se ai gjithashtu ka një version me pagesë PRO (d.m.th., më të avancuar), kështu që jo të gjitha veçoritë e kësaj shtojce janë të disponueshme në versionin falas (por ka ende shumë prej tyre).

Pas instalimit, aktivizoni shtojcën dhe shkoni te seksioni "Cilësimet". Në bllokun blu në krye mund të aktivizoni mbrojtjen me forcë brutale (Network Brute Force Protection) - për ta bërë këtë ju duhet të kërkoni një çelës API, i cili do të shtohet automatikisht te cilësimet (por gjithashtu do t'ju dërgohet me email).

Kliko " Kontroll sigurie” (blloku lart majtas ose në menynë nën “Cilësimet”) dhe klikoni “Sajti i sigurt”. Pas kësaj do të shihni një listë të moduleve të aktivizuara.

Blloku tjetër është " cilësimet bazë"(në të djathtë të "Kontrollit të Sigurisë"). Meqenëse shtojca është pothuajse plotësisht e përkthyer, çdo artikull ka shpjegimin e vet - ju këshilloj t'i kaloni të gjitha dhe të shihni se cila prej tyre është më e rëndësishme për ju (edhe nëse nuk e përdorni, të paktën do të dini se ku gjithçka është).

Në " Nuk ka vende të disponueshme e" mund të caktoni kohën kur paneli administrativ nuk do të jetë i disponueshëm. Nuk është e nevojshme ta përdorni këtë rregullisht, por mund ta përdorni si një rrjet sigurie kur jeni larg kompjuterit tuaj. Në këtë rast, mund ta konfiguroni ose në mënyrë të vazhdueshme (për shembull, çdo natë), ose një herë në një ditë dhe periudhë të caktuar kohore.

Blloko " Përdoruesit e bllokuar“-Çdo gjë është e qartë këtu, vendosni të gjithë ata që duhet të bllokohen këtu.

“Mbrojtja lokale e forcës brutale” - ky bllok mbron nga hakerimi duke detyruar fjalëkalime brutale. Tashmë e keni të aktivizuar, cilësimet mund të lihen si parazgjedhje.

« Rezervimet e bazës së të dhënave"- vendosja e rezervës; në versionin falas flasim vetëm për bazat e të dhënave.

« Zbulimi i ndryshimit të skedarit"- një funksion jashtëzakonisht i dobishëm që do të monitorojë të gjitha ndryshimet në skedarët e faqes; Mund të gjurmoni shpejt aktivitetin që shfaqet papritur në sajt. Sigurohuni që ta ndizni.

“Lejet e skedarit” - blloku tregon të drejtat e hyrjes në skedarë.

“Mbrojtja nga forca brutale e rrjetit” - Mbrojtja e rrjetit kundër forcës brutale është se nëse një haker tentoi të hakonte faqen e dikujt tjetër, qasja e tij në faqen tuaj do të bllokohet gjithashtu, edhe nëse ai nuk ka nisur ende një sulm në faqen tuaj.

“SSL” - mund të konfiguroni përdorimin e SSL në këtë shtojcë, atëherë nëse keni një faqe të organizuar nga Timeweb, ju rekomandoj të përdorni cilësimet në panelin e kontrollit të faqes.

“Zbatimi i fortë i fjalëkalimit” - nëse faqja juaj kërkon regjistrimin e përdoruesve të tjerë (forum, blog...), atëherë ky cilësim do të jetë i dobishëm, përdoruesit do të duhet të zgjedhin vetëm fjalëkalime komplekse për llogaritë e tyre. Në raste të tjera, nuk mund të përdoret.

« Rregullimi i imët i sistemit"Dhe" Korrigjimi i WordPress"- këto cilësime shtesë janë të nevojshme për të rritur më tej mbrojtjen e faqes tuaj. Por ka një paralajmërim - aktivizimi i disa cilësimeve mund të ndikojë në funksionimin e shtojcave. Prandaj, nuk duhet të zgjidhni gjithçka menjëherë - aktivizoni një artikull në të njëjtën kohë dhe kontrolloni performancën e faqes tuaj.

Së fundi, " Kripërat e WordPress"- cilësimi ju lejon të shtoni një çelës sekret në fjalëkalim, i cili do të jetë shumë më i vështirë për t'u gjetur sesa fjalëkalimi veç e veç. Ky është zakonisht një grup i rastësishëm karakteresh që shtohen gjatë hashimit. Përdorni periodikisht këtë cilësim ("Ndrysho kripërat e WordPress") për të ndryshuar kripën.

Gjithçka në lidhje me seksionet. Ka më shumë prej tyre në versionin e paguar, por këto janë mjaft të mjaftueshme për të mbrojtur faqen nga shumë lloje të njohura të hakimit.

konkluzioni

Shtojcat janë një element thelbësor i sigurisë së faqes suaj, por dua t'ju kujtoj se ato nuk janë të vetmet. Mos harroni të mbani gjurmët e përditësimeve të WordPress dhe shtojcave, të ndryshoni rregullisht fjalëkalimet tuaja dhe të bëni kopje rezervë.

Projekt dhe pas publikimit të artikujve të rinj, ndoshta kam vënë re se kohët e fundit jam interesuar për çështjet e sigurisë kibernetike.

Gjegjësisht, mënyrat për të dëmtuar pronarët e faqeve të internetit dhe si të mbrohen prej tyre.

Unë do të them menjëherë se kam interes ekskluzivisht shkencor në këtë fushë. Unë kurrë nuk kam qenë dhe nuk jam haker.

Si një zhvillues profesionist në internet, njohuritë për sigurinë kibernetike janë thelbësore për mbrojtjen e faqeve që krijoj dhe mirëmbaj. Kjo është ajo që ju nxis të bëni edhe ju, lexuesit e mi të dashur. Mos harroni se të gjitha njohuritë kanë një anë të errët që duhet shmangur.

Megjithatë, nuk mund të them gjithashtu se kjo botë nuk ka nevojë për hakerë, sepse... aktivitetet e tyre ndihmojnë në gjetjen e vrimave të sigurisë dhe eliminimin e tyre (do të ishte më mirë nëse ata do ta bënin vetëm këtë dhe nuk do të përdornin pikat e dobëta të faqeve për përfitimin e tyre).

Sidoqoftë, u largova 🙂 Dhe nuk ju prezantova me temën e artikullit të sotëm, i cili është shumë i popullarizuar sot dhe serioz - siguria e faqeve të WordPress.

Në të, unë do të flas për gabimet më të zakonshme që bëjnë webmasterët kur mbrojnë burimet e WP, kjo është arsyeja pse ato shpesh hakohen, si dhe mënyrat për t'i parandaluar ato.

Për shumë, masat e përshkruara mund të duken të dukshme dhe banale, por ju siguroj... Kjo është arsyeja pse shumica e përdoruesve nuk i konsiderojnë ato diçka serioze dhe shpesh i lënë pas dore :)

Dhe në të njëjtën kohë, këto lëshime përdoren me sukses nga mijëra hakerë për të hakuar faqet e WordPress çdo ditë.

Unë gjithashtu do të ndaj përvojën time në mbrojtjen e faqeve të WordPress, të cilën e kam grumbulluar tashmë.

Megjithatë, gjërat e para së pari.

Shkoni! 🙂

Çfarë duhet të dini për sigurinë e WordPress?

WordPress është një uebsajt pa pagesë OpenSource. Ofrohet absolutisht falas për të gjithë, gjë që rrit në mënyrë dramatike interesin për të nga zhvilluesit.

Çdo pronar i një kopje të WordPress mund ta përdorë atë sipas gjykimit të tij: modifikojë, shpërndajë dhe krijon projektet e tij bazuar në të.

Është popullariteti dhe hapja e madhe e arkitekturës WordPress CMS që e ka bërë atë shumë të prekshme dhe të arritshme për sulmuesit që mund të dëmtojnë burimin. Në fund të fundit, një dobësi e zbuluar mund të përsëritet shpejt në qindra mijëra sajte, duke i lënë pronarët të pambrojtur ndaj hakerëve me përvojë.

Informacion interesant në lidhje me WordPress:

• 35-40% e faqeve të lançuara në zonën e domenit RU në 2016 funksionojnë në WordPress;
• Aktualisht, më shumë se 500,000 sajte të ndryshme funksionojnë në WordPress CMS në RuNet;
• në total, më shumë se 18,000,000 faqe u lançuan në motorin WordPress në botë (në fillim të 2016), për krahasim, një vit më parë shifra ishte vetëm 16,000,000, dhe në 2012 - vetëm 6,000,000 faqe;
• Ka rreth 30,000 shtojca falas për CMS të disponueshme në drejtorinë zyrtare të shtojcave;
• Më shumë se 100,000 profesionistë u regjistruan si zhvillues të WordPress në 2012;
• vetëm 20% e përdoruesve instalojnë shtojcat e sigurisë së WordPress.

Siç mund ta shihni, nga njëra anë, sistemi po zhvillohet në mënyrë aktive, miliona përdorues e përdorin atë, por vetëm 1/5 e webmasterëve janë të shqetësuar për sigurinë e faqeve të WordPress që ata zotërojnë.

Pse dikush do të thyejë sigurinë e WordPress?

Le të fillojmë me faktin se faqet e WordPress mund të hakohen automatikisht duke përdorur programe të ndryshme robotike dhe manualisht.

E para është më e zakonshme, sepse ka një ndikim masiv. Për më tepër, faqja juaj mund të jetë ose një portal i madh me trafik prej disa mijëra përdoruesve në ditë, ose një blog personal që ka më së shumti një duzinë lexues, duke përfshirë ju :)

Herë pas here, në internet shfaqen informacione për sulme të tilla masive në faqet e WordPress.

Hakerimi automatik mbështetet në shfrytëzimin e të metave të sigurisë në WordPress si një platformë. Burimet që përdorin versionin e vjetër janë veçanërisht të ndjeshëm ndaj tij, sepse... zhvilluesit analizojnë vazhdimisht arsyet e hakimeve të suksesshme të WP dhe eliminojnë mangësitë në versionet e reja.

Kur hakojnë automatikisht faqet e WordPress, sulmuesit mund të udhëhiqen nga motivet e mëposhtme:

• vjedhja e faqes në internet - kopjimi i plotë i një burimi dhe transferimi i tij në një domen të ri për të përvetësuar rezultatet e punës së zhvilluesit, për të fituar para nga burimi, etj.
• marrja e lidhjeve nga një burim për të krijuar një rrjet satelitor dhe për të përmirësuar profilin e lidhjes;
• shantazh;
• marrjen e të dhënave personale të përdoruesve ose informacione të tjera të dobishme komerciale;
• duke bërë një fitim duke zëvendësuar informacionin në faqen e internetit (zëvendësimi i numrave të kartave, informacioni i pagesës);
• përdorimi i faqes për të infektuar përdoruesit e burimit duke dërguar letra ose programe me viruse;
• ridrejtimi i trafikut tuaj në burimet tuaja (ridrejtim);
• duke përdorur burimet e sistemit për të ruajtur të dhënat tuaja, duke hakuar burime të tjera në mënyrë më efikase.

Kur hakeri manualisht faqet e internetit, përveç arsyeve të listuara, hakerët udhëhiqen edhe nga motive personale, të cilat mund të përfshijnë sa vijon:

• hakmarrje;
• zili;
• eliminimi i një konkurrenti të drejtpërdrejtë;
• hakimi i një uebsajti të WordPress për të porositur.

Kjo është vetëm një pjesë e vogël e motiveve të mundshme të sulmuesve, ndër të cilët ka edhe motive komerciale dhe cilësi njerëzore.

Kjo është arsyeja pse cilësimet e sigurisë së WordPress janë një fazë e detyrueshme në zhvillimin e çdo faqe interneti. Nëse e neglizhoni, herët a vonë do të bëheni viktimë e një sulmi.

Si të anashkaloni mbrojtjen WP?

• 40% – hakimet e pritjes. Pronari i faqes mund të ketë pak ndikim në sigurinë e platformës së pritjes, kështu që fillimisht ju duhet të zgjidhni hoste me cilësi të lartë me vlerësime pozitive dhe një reputacion të provuar.
• 30% kryhen përmes temave të pasigurta që përmbajnë dobësi ose qëllimisht ose aksidentalisht. Përfundim: Ju duhet të përdorni tema me pagesë nga ofrues të besueshëm. Unë personalisht rekomandoj burimin TemplateMonster, ku të gjithë shabllonet janë të moderuara rreptësisht nga profesionistë për sigurinë dhe funksionalitetin.
• 20% e hakimeve të WordPress janë për shkak të shtojcave të cenueshme. Edhe mbrojtja më e mirë e WordPress dëmtohet nga instalimi i shtojcave me dobësi të vendosura qëllimisht. Kjo përfshin gjithashtu instalimin e kodit të pastër në një faqe interneti nga burime të paverifikuara nga përdoruesit që kanë pak njohuri për programimin.
• 10% e hacks WordPress për shkak të fjalëkalimeve të dobëta. Hakerët thjesht hamendësojnë fjalëkalimet me forcë brutale, duke hakeruar faqet automatikisht ose manualisht.

Siguria e një faqeje WP duhet të adresohet në mënyrë gjithëpërfshirëse, domethënë, edhe nëse përdorni shtojcat e WordPress Security, por në të njëjtën kohë instaloni kod të paverifikuar në burimin tuaj, jeni në rrezik.

Mbrojtja e besueshme e WordPress - A është e vërtetë?

Mjaft. Për fat të mirë, realiteti është se ka më shumë faqe WP funksionale, për sigurinë e të cilave janë kujdesur pronarët e tyre, sesa ato të hakuara.

Për të siguruar siguri të besueshme të WordPress-it, mjafton të ndiqni disa rekomandime, të cilat, në fakt, janë shumë të thjeshta dhe në disa raste edhe primitive.

Është e rëndësishme që të keni disa kopje të faqes që ruhen në media të ndryshme që nuk janë të lidhura me njëra-tjetrën në rast se faqja juaj hakohet.

Në këtë rast, të kesh kopje rezervë do të ndihmojë në rivendosjen e burimit sa më shpejt të jetë e mundur. Skema optimale e rezervimit për faqet e mesme dhe të mëdha është si më poshtë:

• 1 kopje ruhet direkt në host - është e nevojshme për punë të shpejtë me sitin;
• 1 kopje ruhet në kompjuterin e pronarit, i cili gjithashtu mbrohet në mënyrë të besueshme nga hakerimi nga një mur zjarri dhe antivirus - është e nevojshme për rikuperim të shpejtë në rast të një hakimi;
• 1 kopje ruhet në një shërbim cloud si burimi kryesor rezervë;
• 1 kopje ruhet offline në një flash drive.

Meqenëse faqja është vazhdimisht në proces zhvillimi, është e rëndësishme që rregullisht të përditësohen kopjet në media, sepse Asnjëherë nuk e dini kur faqja juaj mund të sulmohet.

Rezervimet duhet të ruajnë jo vetëm skedarët e faqes në internet, por edhe të dhënat e bazës së të dhënave.

Në pritje, frekuenca ideale është 3 kopje rezervë në ditë, e cila është vendosur si parazgjedhje për shumë ofrues të pritjes (për shembull, hosti im TheHost).

Por kjo varet kryesisht nga hapësira e lirë e diskut që ju ofrohet në hard diskun e serverit si pjesë e planit tarifor për të cilin paguani.

Prandaj, është më mirë të mos kurseni në siguri :)

Llojet e tjera të kopjeve rezervë nuk kanë nevojë të krijohen aq shpesh. Mjafton të bëni një kopje rezervë në cloud 2 herë në javë, dhe në një kompjuter lokal dhe flash drive - një herë në javë.

Shtojcat falas të mbrojtjes së faqes WordPress që ju lejojnë të automatizoni procesin e krijimit të kopjeve rezervë:

• Duplicator - ofron mundësinë për të kopjuar dhe zhvendosur një faqe, dhe është gjithashtu një mjet i thjeshtë rezervë;
• UpdraftPlus është një shtojcë për rezervimin e cloud në Dropbox, Google Drive ose shërbime të tjera.
• Backup WordPress në Dropbox është një shtojcë e thjeshtë për rezervimin e rregullt të skedarëve dhe bazës së të dhënave të faqes tuaj në Dropbox.

Kufizimi i grumbullimit të informacionit rreth sajtit nga sulmuesit

Duke ditur se cili version i WordPress është përdorur në faqen tuaj dhe çfarë shtojcash janë instaluar, hakerët mund të marrin informacion në lidhje me dobësitë e mundshme. Për të parandaluar këtë, nevojiten hapat e mëposhtëm të thjeshtë, por efektivë.

1. hiqni skedarët readme.html dhe license.txt nga rrënja e faqes;
2. bllokoni aksesin në .htaccess përmes shfletuesit duke përdorur direktivat e vetë .htaccess;
3. sigurohuni që të kontrolloni kodin burimor të faqes HTML për të parë nëse emrat e shtojcave dhe versionet e tyre përmenden në shënime;
4. mohoni aksesin në install.php, wp-config.php dhe skedarë të tjerë të sistemit;
5. parandaloni shikimin e shfletuesit të përmbajtjes së drejtorive të faqeve të WordPress duke përdorur direktivat .htaccess;
6. fsheh informacione për pronarin dhe autorët e faqes;
7. vendosni të drejtat e hyrjes në 755 për drejtoritë e faqeve në pritje dhe 644 për skedarët.

faqe

Qasja në panelin e administratorit të një faqe interneti WP është ëndrra e artë e shumicës së hakerëve. Por, megjithatë, është shumë e thjeshtë të mbrosh zonën e administratorit të WordPress dhe ka shumë mënyra për ta bërë këtë.

Më efektive është kamuflimi.

Shumica e programeve të hakerimit automatik janë konfiguruar në wp-login.php. Nëse ndryshoni adresën e hyrjes, mund të rrisni ndjeshëm sigurinë e burimit të WordPress, pasi programet automatike thjesht do të gjenerojnë një gabim aksesi. Zgjidhjet e mundshme (plugins):

• Login LockDown – zbulon shpejt hamendjen e fjalëkalimit dhe bllokon një kërkesë nga kjo IP;
• Revisium WordPress Theme Checker – përcakton mënyrat më tipike të hakimit të shabllonit tuaj, kontrollon aksesin në panelin e administratorit;

Unë personalisht shkova edhe më tej dhe, krahas masave të mësipërme, instalova edhe një bllokim të përpjekjeve për të hyrë në panelin e administratorit nëpërmjet IP-së, duke bërë të mundur aksesin në panelin e administratorit vetëm nga disa adresa IP.

Sidoqoftë, kjo paraqet shqetësimin e vet kur përdorni shërbimet VPN, të cilat janë bërë të njohura në mesin e popullatës ukrainase falë ndalimit tonë në VKontakte, Yandex dhe burime të tjera ruse, por ka një efekt pozitiv në uljen e numrit të përpjekjeve për t'u identifikuar në Paneli i administratorit dhe sulmet me forcë brutale.

Nga rruga, ky fenomen gjithashtu krijon një ngarkesë të madhe në sit dhe bazën e të dhënave, veçanërisht, për shkak të së cilës faqja mund të humbasë funksionalitetin e saj për ca kohë, gjë që ndikon negativisht në pozicionet në rezultatet e kërkimit, trafikun e burimeve dhe qëndrimet e përdoruesve ndaj jush.

Refuzimi i përdorimit të shërbimeve VPN

Meqenëse fillova të flas për to në paragrafin e mëparshëm, vlen të thuhet se përdorimi i tyre në përgjithësi është jashtëzakonisht i padëshirueshëm, pikërisht për arsye të sigurisë së faqes WP dhe kompjuterit lokal dhe të dhënave të ruajtura në të.

Prandaj, unë rekomandoj fuqimisht që fansat e shërbimeve VPN t'i braktisin ato. Të paktën gjatë punës në panelin e administrimit të faqes WordPress.

Së pari, një lidhje VPN nuk kërkohet për të punuar në zonën e administratorit.

Dhe, së dyti (dhe kjo është gjëja më e rëndësishme), kur përdorni shërbimet VPN, të dhënat tuaja kalohen përmes serverëve të palëve të treta, ku ato mund të përdoren në çdo mënyrë.

Rrjedhimisht, emri i përdoruesit dhe fjalëkalimi i administratorit mund të vidhen nga sulmuesit dhe të përdoren për të kontrolluar burimin tuaj.

Refuzimi për të punuar në administratorin e WP nëpërmjet Wi-Fi publik

Mos përdorni kurrë një lidhje WI-FI për të hyrë në panelin e administratorit të faqes që përdoret nga dikush tjetër.

Gjatë historisë së rrjeteve Wi-Fi, ka pasur mijëra raste të vjedhjes së të dhënave të administratorit, të ndjekura nga hakimi i faqeve të WordPress dhe vjedhja e informacioneve të tjera të vlefshme nga pronarët e pajisjeve që përdorin internetin "falas" në vende publike.

Për më tepër, qasja në rrjete të tilla mund të jetë ose e mbrojtur me fjalëkalim ose jo - kushti kryesor është prania e dikujt tjetër në to përveç jush, në motivet e të cilit nuk mund të jeni 100% i sigurt.

Në internet mund të gjeni shumë programe që supozohet se ju lejojnë të mbroni lidhjen tuaj Wi-Fi kur përdorni rrjete publike.

Instalimi i një certifikate SSL

Gjëra interesante po ndodhin. VPN nuk është mjaftueshëm i besueshëm; përgjithësisht është e ndaluar të përdoret Wi-Fi publik për administrimin e faqes.

Çfarë duhet të bëni atëherë nëse keni nevojë të shkoni në një udhëtim të gjatë pune ose pushime, me një fjalë, e gjeni veten pa Wi-Fi të provuar dhe të sigurt për një kohë të gjatë, dhe faqja duhet të administrohet në këtë kohë?

Në këtë situatë, përdorimi i një certifikate SSL për të transferuar të dhëna nëpërmjet protokollit të sigurt HTTPS mund të vijë në shpëtim.

Për të thjeshtuar kalimin e WordPress në HTTPS, unë personalisht rekomandoj përdorimin e shtojcave speciale që e bëjnë jetën shumë më të lehtë.

• SSL Really Simple – plugin ju lejon të instaloni një certifikatë SSL për një faqe WordPress në disa sekonda. Thjesht duhet të merrni një certifikatë SSL, të instaloni shtojcën dhe ta aktivizoni atë. Pjesa tjetër e veprimeve do të kryhen automatikisht, duke përfshirë ridrejtimin, bërjen e rregullimeve në .htaccess dhe zëvendësimin e të gjitha url-ve të sajtit duke marrë parasysh protokollin HTTPS.
• WP Force SSL është një shtojcë për ridrejtimin e trafikut nga HTTP në protokollin e zgjeruar HTTPS, duke përfshirë lidhjet e specifikuara manualisht.
• Easy HTTPS Redirection është një plugin shumë i ngjashëm me WP Force SSL në veprimin e tij, sepse... ju lejon të konfiguroni ridrejtimet nga HTTP në HTTPS si për të gjitha URL-të e sajtit ashtu edhe për ato individuale.
• Rregulluesi i përmbajtjes së pasigurt SSL – Kjo shtojcë mbron faqen tuaj të WordPress nga përmbajtja e rrezikshme dhe paralajmërimet e përmbajtjes së përzier.

Në modalitetin manual, instalimi i një certifikate SSL në WordPress dhe konfigurimi i tij do të jetë mjaft i vështirë dhe i shtrenjtë për ju nëse braktisni shtojcat dhe përdorni shërbimet e zhvilluesve profesionistë.

Autentifikimi me dy hapa kur hyni në zonën e administratorit

Kjo masë sigurie është një tjetër mjet efektiv për të mbrojtur zonën e administratorit të WordPress së bashku me konfigurimin e HTTPS në sajtin WP.

Ai konsiston në përdorimin jo vetëm të hyrjes standarde të emrit të përdoruesit dhe fjalëkalimit kur hyni në panelin e administratorit, por edhe në futjen e një kodi konfirmimi të posaçëm të dërguar në telefonin tuaj.

Prandaj, nëse sulmi me forcë brutale i sulmuesve është i suksesshëm dhe ata arrijnë të marrin informacionin e llogarisë së administratorit, atëherë faza e dytë do t'i ndalojë ata të fitojnë kontrollin e faqes tuaj.

Mënyra më e thjeshtë dhe më e përshtatshme për të zbatuar vërtetimin me dy faktorë në faqen tuaj të internetit është instalimi i shtojcave speciale. Këtu është një listë me më të njohurat, të renditura në rend zbritës të shkarkimeve:

• Google Authenticator - Vërtetimi me dy faktorë (2FA)
• Duo Autentifikimi me dy faktorë
• Autentifikimi me dy faktorë rublon

Nuk do të jap një përshkrim të aftësive të tyre, sepse... Ata janë të gjitha për të njëjtën gjë. Dhe logoja më interesante në wordpress.com është nga Rublon, kështu që sigurohuni që të vini dhe ta kontrolloni :)

Përditësimet e rregullta të WordPres

Mbrojtja kryesore dhe më primitive kundër hakimit të një faqeje WordPress është përditësimi i rregullt i motorit. Mijëra hakerë kërkojnë ditë e natë për dobësi në versionet e WordPress, kështu që sa më shpejt të përditësoni, aq më gjatë do të zgjasë siguria e WordPress e burimit tuaj.

Ndonjëherë duhen disa ditë nga momenti i identifikimit të një "vrimë" deri në hakimin e qindra mijëra faqeve. Prandaj, zhvilluesit e WordPress po luftojnë një betejë të pabarabartë me hakerat në mbarë botën, duke lëshuar vazhdimisht përditësime që eliminojnë gabimet dhe dobësitë.

Dhe do të ishte marrëzi të mos përfitoni nga kjo. Instaloni përditësimin menjëherë, menjëherë pas lëshimit të tij!

Për shkak të kësaj rrethane, është jashtëzakonisht e padëshirueshme të bëni vetë ndryshime në kodin e motorit, sepse Pas përditësimit, ky funksion nuk do të jetë i disponueshëm për ju.

Prandaj, për të modifikuar kodin e një faqeje WordPress, mund të redaktoni vetëm skedarët e temave dhe të bëni ndryshime në skedarin functions.php, falë të cilit dhe pranisë së WordPress API mund të arrini rezultatin e dëshiruar.

Dhe më tej. Edhe pse kjo tashmë është diskutuar, mendoj se është e nevojshme t'ju kujtoj se përpara se të përditësoni, sigurohuni që të bëni një kopje rezervë të faqes suaj dhe skedarëve të bazës së të dhënave, sepse Disa nga funksionet dhe shtojcat e vjetëruara të WP mund të mos funksionojnë në versionin e ri të motorit.

Ndryshimi i të dhënave të parazgjedhura të administratorit

Si parazgjedhje, WordPress hyn përmes llogarisë Admin. Kjo është shumë e keqe, sepse një nga metodat e zakonshme të hakimit është të hamendësosh një fjalëkalim për një hyrje specifike (sulm me forcë brutale).

Me fjalë të tjera, hakerët e dinë që identifikimi juaj është Admin, ata gjenerojnë miliona kombinime fjalëkalimesh dhe fillojnë të përpiqen të identifikohen në faqet që kanë në bazën e të dhënave të tyre.

Për shembull, ata kontrollojnë fjalëkalimin FDj2423 midis miliona faqeve dhe ka një probabilitet të lartë që ai të përdoret diku. Meqenëse më shumë se gjysma e pronarëve nuk e ndryshojnë llogarinë standarde, detyra për hakerët është thjeshtuar shumë.

Për të ndryshuar hyrjen tuaj dhe për të rritur mbrojtjen tuaj nga hakimi i WordPress, ju duhet të:

• krijoni një llogari të re me një fjalëkalim kompleks;
• specifikoni rolin e tij si “Administrator”;
• fshini përdoruesin Admin.

Veprimet më të thjeshta që rrisin ndjeshëm sigurinë e WP kërkojnë 3 minuta kohë, por, për fat të keq, kryhen rrallë nga webmasterët fillestarë.

Heqja e shtojcave të papërdorura

Një tjetër lëshim që u kushton shtrenjtë pronarëve të faqeve të internetit. Nëse keni dashur të testoni shtojcat dhe më pas keni vendosur t'i çaktivizoni ato pa i hequr ato nga faqja, ju jeni ende në rrezik:

• shtojcat mund të përdoren për të injektuar kod me qëllim të keq;
• shtojcat e papërdorura gjithashtu duhet të përditësohen për të përmirësuar sigurinë;
• Fakti që një plugin është i sigurt në momentin e instalimit nuk përcakton besueshmërinë e tij në të ardhmen.

Pak jashtë temës, por në përgjithësi do t'ju rekomandoja që të përdorni shtojcat në minimum, pasi ato jo vetëm që mund të bëhen një derë për hakerat për të hyrë në faqen tuaj, por edhe të zvogëlojnë performancën e tij (veçanërisht nëse përdorin API të shërbimeve të palëve të treta ).

Një alternativë e mirë ndaj shtojcave të WordPress është përdorimi i kodit të pastër JavaScript dhe PHP, në të cilin është shkruar vetë WordPress.

Por kjo metodë e zgjerimit të funksionalitetit të faqeve VP, për fat të keq, nuk është gjithashtu pa të meta.

Përdorimi i kodit nga burime të besueshme

Kur përdorni pjesë të kodit për të zgjeruar funksionalitetin e një siti si një alternativë ndaj përdorimit të shtojcave, gjithashtu duhet të jeni jashtëzakonisht të kujdesshëm.

Nga përvoja ime, unë do të them që jam i gjithi për këtë praktikë, sepse, ndryshe nga shtojcat, të cilat janë shkruar nga të gjithë dhe askush nuk po moderon, kodi zhvillohet, si rregull, nga zhvillues me përvojë (megjithëse kjo nuk është gjithmonë qoftë rasti).

Për më tepër, rishikimi i një pjese të kodit për operacione me qëllim të keq nuk kërkon aq shumë kohë sa gërmimi në arkitekturën e shtojcave, e cila mund të përmbajë deri në disa dhjetëra skedarë dhe drejtori.

Por kur përdorni kodin në vend të shtojcave WP, ekziston një kurth i rëndësishëm - duhet të kuptoni të paktën pjesërisht programimin dhe mbrojtjen e WordPress nga hakerimi, në mënyrë që të kuptoni nëse puna e zhvilluesve të tjerë do t'ju sjellë dobi apo dëm.

Nëse nuk keni njohuritë e nevojshme ose miqtë me të, atëherë të paktën përdorni burime autoritare, kompetenca e të cilave mund të gjykohet nga rishikimet e përdoruesve të tjerë dhe tema e faqes në të cilën është postuar kodi.

Nëse një faqe, si kjo, i dedikohet ekskluzivisht zhvillimit të ueb-it, atëherë me një shkallë të lartë probabiliteti autori i saj është vetë një zhvillues, ose të paktën e kupton dhe është i interesuar për programim.

Nëse dëshironi të zgjeroni funksionalitetin e një faqeje WordPress me kod nga një burim që flet për të fituar para në internet, duke ofruar shkarkimin e programeve dhe filmave falas, ose thjesht nga ndonjë blog personal, ku autori, përveç këtij informacioni, ndan recetat e tij për pjatat me patate - kini kujdes!

Përndryshe, faqja juaj mund të shndërrohet në të njëjtën perime. Ose edhe më keq :)

Nuk dua të ofendoj askënd, por gjithsesi mendoj se ai kod duhet të trajtohet nga profesionistë. Për më tepër, me qëllime të mira.

Ndryshimi i prefiksit të tabelave të bazës së të dhënave

Një mënyrë shumë e thjeshtë dhe efektive për të mbrojtur veten nga hakimi automatik i një burimi të WordPress. Thelbi i metodës është i thjeshtë - ju ndryshoni prefiksin e tabelës duke ndryshuar prefiksin standard wp_ në një arbitrar, për shembull, bd_.

Nëse dikush nuk është në dijeni, nevojitet një prefiks i tabelës së bazës së të dhënave për të ruajtur tabelat në një bazë të dhënash të sajtit që përdoren për sajte të ndryshme që funksionojnë në të njëjtën platformë që kanë të njëjtët emra.

Kështu, tabelat që ruajnë të dhënat për secilën faqe të tillë do të dallohen nga ato të ngjashme me një parashtesë.

Ndryshimi i prefiksit bëhet ose duke përdorur instaluesin automatik të skriptit Softaculous (jo i disponueshëm në çdo hosting), ose duke riemërtuar tabelat e bazës së të dhënave përmes ndërfaqes së internetit phpMyAdmin ose një programi të ngjashëm për të hyrë në bazën e të dhënave.

Meqenëse metoda është radikale dhe mund të shkaktojë ndërprerje të funksionalitetit dhe rënie të trafikut, është më mirë të kryeni të gjithë punën në momentin e nisjes së projektit, ose gradualisht, duke testuar funksionalitetin e faqes.

Gjithashtu, mos harroni të ndryshoni vlerën e variablit table_prefix në skedarin wp_config.php, i cili ndodhet në rrënjën e faqes suaj të WordPress, në sa vijon:

$table_prefix = "prefiks_";

Në vend të prefiksit, vlera e ndryshores mund të jetë çdo sekuencë karakteresh që ju e gjykoni të nevojshme. Gjëja kryesore është të mos luani dhe të mos e bëni prefiksin shumë të gjatë :)

Instalimi i WordPress captcha

Kjo teknologji e mbrojtjes kibernetike ka qenë pjesë e jetës sonë për gati 20 vjet. Megjithatë, ende nuk është e mundur të shihet përdorimi i tij në të gjitha faqet.

Nëse papritmas nuk e dini pse është e nevojshme, atëherë ju rekomandoj të zgjeroni horizontet tuaja falë artikullit në lidhje.

Instalimi i captcha, si rregull, nevojitet në forma të ndryshme me ndihmën e të cilave kryhen veprime në sit. Kjo është e nevojshme për të parandaluar që robotët të depërtojnë në burimin tuaj dhe të shkaktojnë dëme :)

Vendet më të zakonshme për të instaluar CAPTCHA në WordPress janë:

• formulari për shtimin e komenteve;
• regjistrimi dhe identifikimi në sit;
• formulari i reagimit;
• vendosja e një porosie (nëse keni një dyqan online në WordPress);

Mund të instaloni captcha në WordPress ose manualisht, duke përdorur API-në e shërbimeve të palëve të treta, ose përdorni shtojca speciale të WordPress captcha.

Mbrojtja e kompjuterit personal

Këshilla është shumë banale, por shumë njerëz e lënë pas dore.

Asnjë shtojcë sigurie e WordPress nuk do të ndihmojë në mbrojtjen e sajtit nëse hakerat mund të kenë akses në kompjuterin personal nga i cili hyni në panelin e administratorit.

Duket: mund të shkoni në sit, nëse hyrja në panelin e administratorit nuk është e kufizuar nga IP, nga çdo makinë. Por rreziku kryesor i hakimit të kompjuterit të pronarit të faqes së internetit është se të dhënat e hyrjes mund të mbeten të ruajtura në shfletuesin e internetit në skedarë cookie, falë të cilave ju mund të hyni në sajt pa autorizim.

Ose ju, si shumica e përdoruesve, thjesht ruani të dhënat e formularit në shfletuesin, i cili kujton kredencialet e llogarisë suaj të administratorit.

Për të mbrojtur kompjuterin tuaj personal, duhet të merrni masat e mëposhtme:

• Shmangni përdorimin e programeve antivirus falas.
• Asnjëherë mos instaloni antiviruse të shkarkuar nga burime të personave të panjohur. instaloni vetëm programe nga faqet zyrtare. Shumë shpesh, nën maskën e një antivirusi, përdoruesit naivë instalojnë spyware me duart e tyre.
• Përdorni softuer të licencuar.
• Përditësoni rregullisht antivirusin tuaj.
• Krijoni një fjalëkalim kompleks për të hyrë në kompjuterin tuaj (dhe në përgjithësi përdorni atë).
• Mos ruani informacionin e llogarisë së administratorit në shfletuesin tuaj.
• Përdorni një mur zjarri (ai standard për sistemin tuaj operativ është në rregull).

Mbrojtja e postës elektronike

Posta është themeli i të gjithë kompleksit të sigurisë. Duke e hakuar atë, një sulmues mund të ndryshojë të drejtat e hyrjes në serverin FTP, panelin e administratorit dhe të fitojë akses të plotë në sajt.

Shumë shpesh, ndërsa përqendrohen në mbrojtjen e WordPress nga viruset, pronarët e faqeve harrojnë rreziqet e mundshme të postës elektronike:

• për regjistrimin dhe pritjen e domenit, krijoni një kuti të veçantë;
• mos hapni emaile të dyshimta, veçanërisht ato me skedarë të bashkangjitur;
• Një herë në 2-3 muaj, ndryshoni fjalëkalimin në një kombinim kompleks numrash dhe shkronjash;
• mos e tregoni askund kutinë postare si informacion kontakti;
• instaloni vërtetimin me dy nivele (email + SMS në telefonin tuaj) në panelin e hostit dhe regjistruesit të domenit.

Përfshirja e sensit të përbashkët

Si fillim, kam lënë një paralajmërim shumë të qartë, të cilin shumë prej jush mund ta konsiderojnë fyes. Vendosa ta vendos të fundit, sepse po ta shihje ndër të parët, vështirë se do ta lexoje listën e plotë. Mendove se po te merrja per budallenj :)

Sidoqoftë, kur bëhet fjalë për sigurinë e faqeve të WordPress, nuk mund të ketë gjëra të vogla. Dhe nëse ky rekomandim nuk merret seriozisht, atëherë të gjitha masat e mëparshme të mbrojtjes së WP nuk do të kenë asnjë kuptim.

Me përdorimin e sensit të shëndoshë, nënkuptova zbatimin e rregullit më të rëndësishëm të sigurisë - heshtni. Kjo do të thotë të mos i zbulosh informacione sekrete askujt, pavarësisht se kush është bashkëbiseduesi juaj. Askush nuk do të jetë në gjendje t'ju tregojë se çfarë mund t'i vijë në kokë në një moment të bukur...

Dhe kur faqja ndalon së punuari, nuk do të jeni në gjendje të kuptoni për një kohë të gjatë se cila është arsyeja. Nuk ka gjasa që ju ta konsideroni seriozisht faktorin që tregova për shkak të mendimeve të formatit "Kush do ta kishte menduar se ai/ajo është i aftë për këtë?!"

Prandaj, e përsëris, mbani sekret parametrat e lidhjes tuaj përmes FTP, SSH dhe në bazën e të dhënave, si dhe adresën e panelit të administratorit dhe llogarinë e administratorit me fjalëkalim.

Është më mirë të mos i tregoni askujt adresën e faqes ose faktin që ju jeni pronari i saj.

Dhe në asnjë rrethanë mos provokoni sulme në faqen tuaj duke bërë deklarata me zë të lartë se keni marrë të gjitha masat e sigurisë dhe e keni mbrojtur atë 200%.

Nëse vendosni një qëllim, atëherë nuk do të jetë e vështirë për një programues me përvojë në internet të organizojë hakimin e një faqeje WordPress. Kështu që Zoti i ruajtë ata që janë të kujdesshëm :)

Jam dakord, duket si paranojë, por për të siguruar mbrojtjen e një faqeje WordPress, të gjitha mjetet janë të mira.

Rishikimi i Shtojcave të Sigurisë së WordPress

Si përfundim, vendosa t'ju prezantoj me shtojcat më efektive të WordPress për siguri të plotë.

Ato ndihmojnë në monitorimin e një siti për problemet me mbrojtjen e tij WP, duke ofruar ose mjete për zgjidhjen e menjëhershme të tyre ose rekomandime për vetë-rregullim.

Siguria e Wordfence– një analizues që kontrollon një burim për “vrima” në sigurinë e WordPress. Mund të konfiguroni skanime të rregullta të faqeve për të mbrojtur veten nga dobësitë e shfaqura.

Kjo është një mbrojtje efektive për WordPress kundër sulmeve ddos.

Funksionon në parimin e krahasimit të versionit aktual të faqes me atë të referencës dhe nëse ka mospërputhje, gjen skedarë të infektuar.

Acunetix WP Security– analizues i aksesit në skedarët e sistemit, paneli i administratorit, kontrollon mbrojtjen e të dhënave, kompleksitetin e fjalëkalimit, ofron rekomandime për zgjidhjen e problemeve.

Një veçori e veçantë e shtojcës është se gjen pikat më të cenueshme dhe është një masë parandaluese sigurie për një sajt WP.

Ofron mbrojtje shumë të mirë nga viruset e WordPress.

Të gjitha në një siguri WordPress– përfshin mbrojtjen kundër metodave më të zakonshme të hakimit, duke përfshirë hamendjen e fjalëkalimit, mashtrimin e adresës së administratorit, mbrojtjen e WordPress nga sulmet ddos, etj.

AntiVirus– Skaneri i malware, ngarkon serverin, zvogëlon shpejtësinë e ngarkimit të faqes, por siguron mbrojtje të besueshme për WordPress nga viruset.

Siguria e iThemes– një plugin për mbrojtje gjithëpërfshirëse të faqes, mund të rezervojë faqen, mbron panelin e administratorit, parandalon aksesin e jashtëm, mbron nga hamendja e hyrjes ose fjalëkalimit tuaj.

Instalimi i iThemes Security është një zgjidhje për dembelët. Ky është një shtojcë gjithëpërfshirëse e sigurisë që zgjidh pothuajse të gjitha problemet e një zhvilluesi fillestar.

Paketa e veçorive përfshin: mbrojtjen e panelit të administratorit, bllokimin e përdoruesve me IP, mbrojtjen e WordPress nga spam, auditimin e sigurisë, vendosjen e mbrojtjes për shtojcat e instaluara, mbajtjen e një raporti për hyrjen në faqe.

Shumica e dobësive mund të zgjidhen duke përdorur zgjidhjet e ofruara nga shtojca.

Shtojcë anti-spam– mbron faqen tuaj të WordPress nga robotët, konfigurohet shpejt dhe ka një ndërfaqe miqësore për përdoruesit.

Skaneri Sucuriështë një nga liderët e njohur në fushën e mbrojtjes së faqeve të WordPress, është falas dhe shumë efektiv.

Kryen automatikisht një kontroll të sigurisë së faqes dhe kontrollon për dëmtime të skedarëve të sistemit.

Heq kodin me qëllim të keq të zbuluar, konfiguron sitin pas një shkeljeje sigurie ose injektimit të kodit.

Parandalon në mënyrë efektive hyrjen e paautorizuar duke mbrojtur kundër hakimit të panelit të administratorit, dhe gjithashtu njofton për shkelje të mundshme të sigurisë gjatë funksionimit të sitit.

Nëse dëshironi të gjeni më shumë shtojca të sigurisë së WordPress, mund të përdorni drejtorinë zyrtare, e cila është e disponueshme në wordpress.org/plugins/tags/security.

Kur kërkoni vetë zgjidhje të përshtatshme, është e rëndësishme të identifikoni me saktësi zhvilluesin, të monitoroni rishikimet dhe reputacionin e kompanisë që ofron shtojcat.

Meqenëse shumica e programeve ofrohen pa pagesë, mbani mend se djathi falas gjendet vetëm në kurthin e miut. Shumë shpesh, sulmuesit kopjojnë emrat e markave dhe shtojcat për të infektuar një faqe interneti me viruse ose për të futur kode me qëllim të keq.

Siguria e faqes WordPress - përfundime

Pavarësisht se sa e trishtueshme mund të tingëllojë, asnjë nga metodat dhe shtojcat e përshkruara më sipër nuk mund të sigurojë mbrojtje 100% për një faqe WordPress nga hakerimi.

Ekzistojnë disa dhjetëra teknologji të ndryshme për të fituar akses dhe për të shkaktuar dëme në faqe, kështu që një cenueshmëri vetëm në një nga faktorët e mbrojtjes WP sjell një humbje të plotë të kontrollit mbi burimin.

Ka të paktën 10 mënyra vetëm.

Sidoqoftë, puna kompetente në zhvillimin e projektit, masat parandaluese, analiza e mjedisit të informacionit dhe pajtueshmëria me masat e sigurisë për faqen tuaj të WordPress do të ndihmojë në uljen e ndjeshme të rreziqeve të hakerimit.

Dhe gjithashtu, në fund të artikullit të sotëm për sigurinë e burimeve të WordPress-it, dua të them se qëllimi i shkrimit të tij nuk ishte që t'ju paranoja për dobësinë tuaj, por t'ju prezantoj me masat më të thjeshta dhe më të dukshme që do t'ju ndihmojnë. ju mbroni veten nga 80% e sulmeve moderne.

Meqë ra fjala, paranoja e lehtë është një fenomen normal kur bëhet fjalë për çështjet e sigurisë :) Megjithatë, nuk duhet ta lini të kontrollojë jetën tuaj dhe të keni frikë nga gjithçka.

Kaq kam. Lini mendimet dhe dëshirat tuaja në komentet poshtë artikullit dhe ndajini ato me miqtë tuaj duke përdorur butonat social.

Fat të gjithëve dhe shihemi përsëri!

P.S.: nëse keni nevojë për një faqe interneti, por nuk keni kohë ta zhvilloni vetë, unë mund t'ju rekomandoj partnerin tim të besuar - . Nuk ishte e lehtë, por gjithsesi ju mora një zbritje 20% , e cila do të jetë deri në 20 mijë rubla në varësi të tarifës që zgjidhni 🙂 Këtu është kodi promovues - CCCP. Kur të porosisni, ju lutemi tregoni atë dhe ju garantohet një zbritje! Mund t'ua tregoni edhe miqve tuaj 😉