Paano HINDI Secure ang Iyong WordPress Website

Paano HINDI mai-secure ang Iyong WordPress Site

Ano ang unang bagay na gagawin mo kapag nais mong ma-secure ang iyong WordPress site? Alamin ang nangungunang limang mga plugin ng seguridad, isaalang-alang kung gaano sila abot-kayang at pagkatapos ay magpatuloy at mag-install ng isa. Tapos na, ngayon maaari ka nang umupo at magpahinga, di ba? Maling!


Ang paggamit ng isang plugin ng seguridad ay hindi matiyak ang seguridad. Ang seguridad ay hindi isang ganap na bagay at walang makakagarantiya ng kumpletong seguridad. Ang pinakamahusay na maaari nating gawin ay bawasan ang panganib ng isang hack. At salungat sa tanyag na paniniwala, ang may-ari ng site ay kailangang kasangkot sa pagpapanatiling ligtas ang website. Ang pag-alam ng dapat mong gawin at hindi dapat maging makabuluhan.

Habang mayroong maraming mga gabay sa dapat mong gawin upang mapanatiling ligtas ang iyong site sa WordPress, nag-aalok kami sa iyo ng isang gabay sa kung ano ang dapat mong gawin sa AVOID. Mapapansin mo na ang payo dito ay salungat sa pangkalahatang paniniwala. Ngunit mula sa aming karanasan, maraming payo sa labas ay lipas na at nag-aalok ng isang maling kahulugan ng seguridad.

Kung ang bagay ng seguridad ng WordPress ay nagsasabi sa iyo tulad ng ginagawa nito sa amin, tingnan ang mga sumusunod.

1. Huwag Gumagamit ng Masyadong Maraming Plugin ng Seguridad

Dahil sa malawak na hanay ng mga magagamit na plugin doon, kasama ang iba’t ibang mga set ng tampok, nakatutukso na gumamit ng higit sa isang plugin ng seguridad ng WordPress. Upang maging matapat, ito ay labis na labis. Ang pagkabalisa tungkol sa seguridad ng iyong site ay normal ngunit kailangan mong tanungin ang iyong sarili kung talagang kailangan mo ng higit sa isang plugin ng seguridad? Ano ang mga tampok na mahalaga sa kinakailangan ng iyong site? Pupunta ba ang mga tampok sa paa ng bawat isa?

Halimbawa, ang isang salungatan ay maaaring lumitaw kapag sinimulan ng mga plugin na baguhin ang mga file tulad ng wp-config.php o htaccess. Ang mga plugin ay madaling mapanglaw sa mga file na ito ngunit hindi nila binabago ang mga ito sa iisang magkakaisang paraan. Maaari itong lumikha ng mga salungatan at gawing mabagal ang iyong website.

Sa mga site ng WordPress, ang mga bagay ay maaaring magkamali ngayon at pagkatapos. Ang lahat ay kinamumuhian ang kinilabutan na White Screen ng Kamatayan. Ang pagkakaroon ng maraming mga plugin na malalim na nakakaapekto sa iyong website ay maaaring maging mahirap sa pag-debug ng mga isyu. Ngayon, kung mayroon lamang isang plugin, ang paghahanap at pag-aayos ng sanhi ng error ay magiging mas madali at mas kumplikado.

2. Huwag Baguhin ang Prefix ng DB

Mayroong maraming mga paraan kung saan maaaring makompromiso ang isang site ng WordPress. Ang hacker ay maaaring makakuha ng access sa database ng isang site sa pamamagitan ng SQL injection attack. Ang isang kahinaan sa isang plugin o tema ay maaaring magamit upang masira sa database ng site (kung kaya’t iminumungkahi namin sa iyo na gamitin ang isang WordPress database backup na plugin upang maiwasan ang mga katulad na pitfall). Ang isang tanyag na pamamaraan ng pagpigil sa mga hacker na hindi lalalim sa iyong site ay sa pamamagitan ng pagbabago ng prefix ng talahanayan. Tulad ng nakikita mo sa imahe sa ibaba, sa WordPress, ang default na prefix ng talahanayan ay ‘wp_.’ Pinapayagan ka ng WordPress na baguhin ang prefix ng talahanayan (upang sabihin, ‘xzy_’) upang maitago ang ilang mga talahanayan.

Mga Pangangalaga sa Database ng WordPress

Sa ibabaw, mukhang magandang ideya ito. Kung ang mga hacker ay hindi alam ang pangalan ng talahanayan, pagkatapos ay hindi nila makuha ang data mula dito. Gayunman, ito ay isang maling pangangatuwiran. Kapag ang isang tao ay nag-hack sa iyong database, mayroon pa ring mga paraan upang malaman ang mga talahanayan. Samakatuwid ang pagbabago ng mga pangalan ng prefix ay walang saysay. Bukod dito, ang pagbabago ng default na prefix ay maaaring maging sanhi ng maling mga plugin.

Bukod dito, ang pagbabago ng prefix midflight ng database ay mahirap ipatupad at maaaring maging sanhi ng pag-crash ng iyong website. Ito ay dahil maraming mga pagbabago na kailangang gawin sa bawat antas. Ang anumang pagkakamali sa proseso ay magpapatunay na maging sakuna sa iyong site.

3. Iwasang Itago ang Iyong Pahina ng Pag-login

Laging may isang taong sumusubok na masira sa iyong site sa pamamagitan ng pag-crack ng iyong password. Sa panahon ng pag-atake ng matapang na puwersa, sinubukan ng mga hacker na mag-log in sa iyong website gamit ang isang kumbinasyon ng mga tanyag na mga username at password. Kaya paano kung itago natin ang pahina ng pag-login? Papatayin iyan ng dalawang ibon gamit ang isang bato, di ba? Hindi makahanap ng hacker ang pahina ng pag-login at mababawasan ang pagkarga sa iyong server.

Ang WordPress ay may isang default na pahina ng pag-login. Ang URL sa pahina ay karaniwang mukhang tulad ng halimbawa na ito.com/wp-login.php. Ang isang kilalang paraan ng pag-save ng iyong website mula sa atake ng brute na puwersa ay sa pamamagitan ng pagtatago o pagpapalit ng default na pahina ng pag-login sa ibang bagay tulad ng halimbawa.com/mylogin.php. Bagaman ito ay parang isang hindi nakakalawang plano, alamin kung gaano kabisa ang pamamaraan sa pagpapanatiling ligtas ang iyong site sa WordPress.

Pagbabawas ng Pag-load ng Server

Matapos mong itago o baguhin ang lokasyon ng iyong pahina ng pag-login, sa tuwing may sumusubok na buksan ito, mahaharap sila sa isang 404 error. Gayunpaman, ang mga pagtatangka sa pag-login ay isang mabigat na proseso. Tuwing naglo-load ang 404 na pahina ng error, kumakain ito ng maraming mga mapagkukunan ng iyong server. At natapos ang pagbagal ng iyong website. Samakatuwid, ang karaniwang paniniwala na ang pagtatago ng iyong pahina ng pag-login ay mabawasan ang pagkarga sa server ay hindi tama.

Alternatibong URL na Hindi Mahirap na Hulaan

Bahagi ng tagumpay ng WordPress bilang isang CMS ay dahil sa mga plugin na ginagawang mas madali ang mga pagbabago sa isang website. Hindi nakakagulat na ang isang tanyag na paraan ng pagtatago ng isang pahina ng pag-login ng isang site ay sa pamamagitan ng paggamit ng isang plugin. Ang mga plugin na ito ay may isang hanay ng mga default na alternatibong URL ng pag-login tulad ng xzy.com/wplogin.php, atbp Sinasanay kami na sumama lamang sa mga default na setting. Kapag na-install namin ang plugin at binago ang aming URL, hindi namin gaanong naisip ito. Ngunit maraming mga URL ang maaaring mag-alok ng isang plugin. Hindi masyadong mahirap malaman ang mga preset na URL ng pag-login. Samakatuwid, ang paggamit ng alternatibong URL ay maaaring hindi epektibo sa karamihan ng mga kaso.

Mga Isyu sa Paggamit

Ang kagandahan ng WordPress ay madaling gamitin. Pamilyar na platform ito. Para sa isang site na may maraming mga gumagamit, ang pagbabago o pagtatago ng pahina ng pag-login ay maaaring magdulot ng ilang mga isyu. Maraming beses na namin nakitang mga post sa mga forum sa WordPress kung saan ang mga gumagamit ay naka-lock sa labas ng isang site dahil sa isang pagbabago sa URL ng pag-login. Sa karamihan ng kaso ang mga pagbabago ay ginawa gamit ang isang plugin at ang mga gumagamit ay hindi nalalaman ang sitwasyon na nagdudulot ng kaguluhan.

4. Huwag Harangang I-block ang mga Address ng IP

Kung mayroon kang isang naka-install na seguridad na plugin sa iyong site, bibigyan ka ng abiso tuwing may isang taong sumusubok na mag-log in sa iyong website. Madali mong mahawakan ang IP na nagpapadala ng mga nakakahamong kahilingan at hadlangan ang mga ito gamit ang .htaccess file. Ito ay isang manu-manong masinsinang gawain at hindi isang maginhawang kasanayan.

Hindi Gumagamit ng Friendly

Ang isang di-teknikal na tao na nagsisikap na baguhin ang .htaccess file ay isang recipe para sa kalamidad. Ang isang sistema ng pamamahala ng nilalaman tulad ng WordPress ay may mahigpit na pag-format. Kahit na ang paggamit ng mga pinakasikat na tool tulad ng FTP / SFTP ay lubhang mapanganib. Ang isang menor de edad na error o hindi tamang paglalagay ng utos ay maaaring maging sanhi ng pag-crash ng site.

Masyadong Maraming mga IP ang I-block

Upang maiwasan ang pag-blacklist, ang mga hacker ay gumagamit ng mga IP address mula sa buong mundo. Noong nakaraan, napag-usapan namin ang manu-mano na pag-block sa mga IP address na patuloy na sinusubukan na masira sa iyong site. Ang gawain (tulad ng nabanggit namin dati) ay nangangailangan ng maraming oras at pagsisikap ngunit hindi eksakto isang napakahusay na paggamit ng oras. Ngunit kung gumagamit ka ng alinman sa mga nangungunang plugin ng seguridad ng WordPress, halimbawa, Malcare, maaari mong i-automate ang proseso ng pag-block. Ang nasabing mga security plugin ay nag-aalaga sa lahat ng mga WP security loopholes.

5. Pagtatago ng WordPress

Mayroong isang pangkalahatang palagay na ang pagtatago ng iyong CMS ay ginagawang mas mahirap para sa mga taong may masamang hangarin na masira sa iyong site. Paano kung maitatago namin ang katotohanan na ang iyong website ay tumatakbo sa WordPress. Iyon ay maprotektahan ang iyong site mula sa mga hacker na nais na samantalahin ang mga karaniwang kahinaan. Ang isang madaling paraan ng paggawa nito ay sa pamamagitan ng (nahulaan mo ito) gamit ang isang plugin. Ngunit nabigo ang pamamaraan kapag ang mga hacker ay hindi nagmamalasakit sa kung anong platform ang pinapatakbo ng iyong website. Bukod, mayroong maraming mga paraan upang malaman kung ang isang site ay tumatakbo sa WordPress.

Bukod sa paggamit ng isang plugin, maaaring pumili ng isa nang mano-mano ang gawain. Ngunit ito ay isang proseso ng oras. Ang isang solong pag-update ng WordPress ay maaaring matanggal ang lahat ng iyong trabaho sa loob ng ilang segundo. Na nangangahulugang, kailangan mong ulitin nang paulit-ulit ang proseso o mahiyain ang layo sa mga pag-update sa WP. Ang paglaktaw ng mga pag-update ng WordPress ay tulad ng pagbubukas ng harapan ng pintuan para sa isang hacker na lumakad pakanan papunta sa iyong tahanan.

6. Ang Pagprotekta ng password sa wp-admin Hindi Gumagana

Ang default na pahina ng pag-login sa WordPress (na ganito ang hitsura – halimbawa.com/wp-admin) ay isang gateway sa iyong site. Ang isang karaniwang pahina ng pag-login ay mukhang larawan sa ibaba.

Narito kakailanganin mong gamitin ang iyong mga kredensyal upang ma-access ang WordPress dashboard. Ang pagprotekta ng password sa pahina ng pag-login ay tumutulong sa pagtago o protektahan ang gateway na ito sa dashboard. Ito ay isang magandang ideya ngunit hindi kung wala ang kanyang mga leop.

Halimbawa ng Proteksyon ng password ng LookLinux

Larawan ng kagandahang-loob: LookLinux

Una, mahirap mapanatili o baguhin ang password, kung mawala ito. Bukod sa pagiging hindi epektibo sa pagbibigay ng karagdagang seguridad, ang gayong mga pagbabago sa iyong site ay maaaring patunayan na mapanganib. Halimbawa, kapag protektahan mo ang password sa pahina ng admin, ang kahilingan tulad ng /wp-admin/admin-ajax.php ay hindi makakalampas sa proteksyon. Mayroong mga plugin na maaaring nakasalalay sa pag-andar ng Ajax ng iyong site. At kapag hindi nila mai-access ang pag-andar na ito, nagsisimula sila sa maling paraan. Samakatuwid, maaari itong maging sanhi ng pagsira sa website.

Higit sa Iyo

Kung mayroon kang anumang mga katanungan o mungkahi tungkol sa kung ano ang dapat iwasan ng isa upang mai-secure ang site ng WordPress, ipaalam sa amin sa mga komento.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map