Tăng cường bảo mật WordPress 25 plugin + mẹo cần thiết
Nếu bạn đang chạy một trang web hỗ trợ WordPress, bảo mật của nó sẽ là mối quan tâm chính của bạn. Trong hầu hết các trường hợp, blog WordPress bị xâm phạm vì các tệp cốt lõi và / hoặc plugin của chúng đã lỗi thời; các tập tin lỗi thời có thể theo dõi và đó là một lời mời mở cho tin tặc.
Làm thế nào để giữ cho blog của bạn tránh xa những kẻ xấu cho tốt? Đối với người mới bắt đầu, hãy đảm bảo bạn luôn được cập nhật phiên bản mới nhất của WordPress. Nhưng còn nhiều hơn thế. Trong bài viết hôm nay, tôi muốn chia sẻ với bạn một số plugin hữu ích cũng như một số mẹo để tăng cường bảo mật WordPress của bạn.
Danh sách đầy đủ sau khi nhảy!
Plugin để bảo mật tốt hơn
Sao lưu WP DBWP DB Backup là một plugin dễ sử dụng cho phép bạn sao lưu các bảng cơ sở dữ liệu WordPress cốt lõi của mình chỉ bằng vài cú nhấp chuột. Bên cạnh đó thật dễ dàng, nó cũng là một trong những plugin được sử dụng nhiều nhất để bảo mật trang web hỗ trợ WP của bạn.
Quét bảo mật WPVới plugin này, quét trang web do WordPress cung cấp của bạn sẽ là một nhiệm vụ đơn giản. Nó tìm thấy các lỗ hổng trong trang web của bạn và cung cấp các mẹo hữu ích để xóa chúng.
Hỏi mật khẩu Apache bảo vệPlugin này không kiểm soát WordPress hoặc gây rối với cơ sở dữ liệu của bạn, thay vào đó, nó sử dụng các tính năng bảo mật tích hợp nhanh, thử và đúng để thêm nhiều lớp bảo mật vào blog của bạn.
Đăng nhập tàng hìnhPlugin Đăng nhập Stealth sẽ giúp bạn tạo địa chỉ URL tùy chỉnh để đăng nhập, đăng ký và đăng xuất WordPress.
Khóa đăng nhậpKhóa đăng nhập sẽ giúp bạn khóa các lần thử trong một khoảng thời gian khi đăng nhập vào bảng quản trị của bạn sau một số lần thử.
Quản lý WP-DBĐây là một plugin tuyệt vời khác cho phép bạn quản lý cơ sở dữ liệu WP của mình. Nó có thể được sử dụng thay thế cho Trình quản lý sao lưu WordPress.
Plugin bảo mật SSL quản trị viênMột plugin khác để giữ cho bảng quản trị của bạn an toàn. Nó hoạt động trên mã hóa SSL và thực sự hữu ích đối với tin tặc hoặc những người đang cố gắng truy cập vào bảng điều khiển của bạn. Nó là đối thủ của Plugin Đăng nhập an toàn Chap.
Khóa người dùngNếu bạn muốn tránh bạo lực hack trang web của mình, thì plugin User Locker phù hợp với bạn. Nó hoạt động trên cùng hệ thống với Khóa đăng nhập, tuy nhiên, đây là plugin WP được xếp hạng 5 sao, có tiếng tăm lớn trong số những người dùng của nó.
Hạn chế nỗ lực đăng nhậpGiới hạn đăng nhập Nỗ lực ngăn chặn địa chỉ internet thực hiện các nỗ lực tiếp theo sau khi đạt đến giới hạn chỉ định thử lại, khiến cho một cuộc tấn công vũ phu trở nên khó khăn hoặc không thể.
Mã hóa đăng nhậpMã hóa đăng nhập là một plugin bảo mật. Nó sử dụng kết hợp phức tạp giữa DES và RSA để mã hóa và bảo mật quá trình đăng nhập vào bảng quản trị.
Mật khẩu một lầnPlugin độc đáo này sẽ giúp bạn đặt mật khẩu một lần cho thông tin đăng nhập của bạn, để ngăn đăng nhập của người dùng không mong muốn từ các quán cà phê internet hoặc như vậy.
Diệt virusAntivirus là một plugin bảo mật khá phổ biến sẽ giúp bạn bảo mật blog của mình chống lại bot, vi rút và phần mềm độc hại.
Hành vi xấuHành vi xấu là plugin giúp bạn chiến đấu với những kẻ gửi thư rác gây phiền nhiễu. Plugin không chỉ giúp bạn ngăn chặn tin nhắn rác trên blog của mình mà còn cố gắng hạn chế quyền truy cập vào blog của bạn, vì vậy họ thậm chí không thể đọc được.
Khai thác máy quétTìm kiếm các tệp và cơ sở dữ liệu cài đặt WordPress của bạn để tìm các dấu hiệu có thể cho thấy rằng các tệp hoặc cơ sở dữ liệu đã trở thành nạn nhân của tin tặc độc hại. Ngay cả khi đó là một plugin quét khác, nó vẫn đáng để thử.
Người dùng thư rácTên của plugin cho biết các chức năng của nó, một plugin phổ biến sẽ giúp bạn ngăn chặn và loại bỏ các tin nhắn rác không mong muốn.
Chặn truy vấn xấu Plugin này cố gắng chặn tất cả các truy vấn độc hại đã cố gắng trên máy chủ và blog WordPress của bạn. Nó hoạt động ở chế độ nền, kiểm tra các chuỗi yêu cầu quá dài (nghĩa là lớn hơn 255 ký tự), cũng như sự hiện diện của một trong hai "đánh nhau (" hoặc là "cơ sở64" trong URI yêu cầu.
8 lời khuyên cần thiết
Thay đổi tiền tố "wp_" mặc định
Trang web của bạn có thể bị đe dọa nếu bạn đang sử dụng tiền tố wp_ có thể dự đoán được trong cơ sở dữ liệu của bạn. Hướng dẫn sau đây hướng dẫn bạn cách thay đổi chúng thông qua phpMyAdmin trong 5 bước đơn giản.
Bạn cũng có thể thực hiện việc này với plugin WP Security Scan.
Ẩn thông báo lỗi đăng nhập
Thông báo đăng nhập lỗi có thể phơi bày và cung cấp cho tin tặc một ý tưởng nếu họ đã nhận được tên người dùng đúng / không chính xác, ngược lại. Sẽ là khôn ngoan khi ẩn nó khỏi đăng nhập trái phép.
Để ẩn thông báo lỗi đăng nhập, chỉ cần đặt đoạn mã sau vào hàm.php
add_filter ('login_errors', created_function ('$ a', "return null;"));
[Nguồn]
Giữ thư mục wp-admin được bảo vệ
Giữ thư mục "wp-admin" được bảo vệ sẽ thêm một lớp bảo vệ. Bất cứ ai cố gắng truy cập các tập tin hoặc thư mục sau "wp-admin" sẽ được nhắc đăng nhập.
Bảo vệ thư mục "wp-admin" của bạn bằng thông tin đăng nhập và mật khẩu có thể được thực hiện theo nhiều cách:
- Plugin WordPress - Sử dụng plugin WordPress AskApache Password Protect.
- cPanel - Nếu lưu trữ của bạn hỗ trợ đăng nhập quản trị viên cPanel, bạn có thể dễ dàng đặt bảo vệ trên bất kỳ thư mục nào thông qua cPanel's Mật khẩu bảo vệ thư mục giao diện người dùng đồ họa. Tìm hiểu thêm từ hướng dẫn này.
- .htaccess + htpasswd - Tạo thư mục được bảo vệ bằng mật khẩu cũng có thể được thực hiện dễ dàng bằng cách đặt các thư mục bạn muốn bảo vệ bên trong .htaccess và người dùng được phép truy cập vào bên trong .htpasswd. Hướng dẫn sau đây chỉ cho bạn cách thực hiện trong 7 bước.
Duy trì sao lưu
Giữ các bản sao lưu của toàn bộ blog WordPress của bạn cũng quan trọng như giữ cho trang web an toàn trước các tin tặc. Nếu sau này thất bại, ít nhất bạn vẫn có các tệp sao lưu sạch để hoàn nguyên.
Trước đây chúng tôi đã bao gồm một danh sách các giải pháp để sao lưu các tệp và cơ sở dữ liệu WordPress của bạn, bao gồm cả các plugin và dịch vụ sao lưu hữu ích.
Ngăn chặn thư mục duyệt
Một lỗ hổng bảo mật lớn khác là làm cho các thư mục của bạn (và tất cả các tệp của nó) bị lộ và có thể truy cập công khai. Đây là một thử nghiệm đơn giản để kiểm tra xem các thư mục WordPress của bạn có được bảo vệ tốt không:
- Nhập URL sau trong trình duyệt, không có dấu ngoặc kép. "http://www.domain.com/wp-includes/"
Nếu nó hiển thị trống hoặc chuyển hướng bạn trở lại trang chủ, bạn an toàn. Tuy nhiên, nếu bạn thấy màn hình tương tự như hình ảnh bên dưới, thì bạn không.
Để ngăn truy cập vào tất cả các thư mục, hãy đặt mã này bên trong .htaccess tập tin.
# Ngăn chặn tùy chọn duyệt thư mục Tất cả các chỉ số
Luôn cập nhật các tệp & plugin cốt lõi của WordPress
Một trong những cách an toàn nhất để giữ an toàn cho trang web WordPress của bạn là đảm bảo các tệp của bạn luôn được cập nhật lên bản phát hành mới nhất. Dưới đây là một số cách (thực hành) bạn có thể làm:
- Đăng nhập vào Bảng điều khiển thường xuyên - Một thông báo màu vàng sẽ xuất hiện ở đầu Bảng điều khiển nếu có bản cập nhật. Đăng nhập thường xuyên và cập nhật cho bạn bản sao mới nhất của các tệp cốt lõi WordPress.
- Vô hiệu hóa và loại bỏ các plugin không sử dụng - Plugin không được sử dụng cuối cùng sẽ bị lỗi thời và có thể gây rủi ro bảo mật. Nếu bạn không sử dụng nó, hãy xóa nó.
- Đăng ký phát hành WordPress.
Chọn một mật khẩu mạnh
Mật khẩu của bạn có an toàn không? Mật khẩu mạnh và an toàn không chỉ là một cái gì đó đáng nhớ với các số (ví dụ: john123). Đối với người mới bắt đầu, nó phải bao gồm hơn 12 ký tự với sự kết hợp của số và bảng chữ cái ở chữ thường và chữ hoa.
Dưới đây là một số ứng dụng cho phép bạn tạo mật khẩu mạnh:
- Từ khóa tốt
- Đa khoa
- KeePass
- LastPass
- PcTools
- 1 mật khẩu
Ngoài ra, bạn cũng có thể kiểm tra mức độ mạnh mẽ (và an toàn) của mật khẩu hiện tại của mình với howsecureismypassword.net.
Xóa người dùng quản trị
Một bản cài đặt điển hình của WordPress đi kèm với một người dùng mặc định có tên là "admin". Nếu đó là tên người dùng cho trang web WordPress của bạn, thì bạn đã làm cho cuộc sống của hacker dễ dàng hơn 50%. Nên tránh sử dụng "quản trị viên" mọi lúc.
Cách tiếp cận an toàn hơn để đăng nhập vào quản trị viên của bạn một cách an toàn là tạo quản trị viên mới và xóa "quản trị viên". Và đây là cách bạn làm điều đó:
- Đăng nhập vào bảng quản trị WordPress
- Đi đến Người dùng -> Thêm mới
- Thêm người dùng mới với Người quản lý vai trò, đảm bảo bạn sử dụng một mật khẩu mạnh.
- Đăng xuất khỏi WordPress, đăng nhập lại với người dùng quản trị mới của bạn.
- Đi đến Người dùng
- Xóa người dùng "quản trị"
- Nếu "quản trị viên" có bài đăng, hãy nhớ thuộc tính tất cả các bài đăng và liên kết lại với người dùng mới.
Tài nguyên hữu ích khác:
- Làm cứng WordPress (WordPress)
- Câu hỏi thường gặp về bảo mật WordPress (WordPress)
- Phải làm gì nếu trang web của bạn bị hack (WordPress)
- Hiểu .htaccess và .htpasswd (Apache)
- Hiểu .htaccess và .htpasswd (Javascriptkit.com)
- Bảo vệ thư mục wp-admin (nicolaskuttler.com)
- Dọn dẹp cài đặt WordPress bị hack (Blogsblossbloss.com)