Paano Secure WordPress (2020)

Ang WordPress ay isa sa mga pinakatanyag na sistema ng pamamahala ng nilalaman doon at may magandang dahilan. Ito ay simpleng gamitin, may libu-libong mga tema at magagamit ang mga plugin, at maaari kang lumikha ng anumang uri ng website kasama nito. Hindi kataka-taka na ang mga kapangyarihan ng WordPress 35.1% ng lahat ng mga website sa internet.


Ngunit, ang katanyagan nito ay may gastos. Ang WordPress ay madalas na na-target ng mga hacker. Ayon kay Sucuri, sa 2018, 90% ng lahat ng mga kahilingan sa paglilinis ng website ay kabilang sa WordPress, isang pagtaas ng 7% mula sa 2017.

Ulat sa Trend ng Website Hack 2018 - Sucuri

Tulad nito, ang pag-secure ng iyong website ng WordPress ay dapat na nasa tuktok ng iyong listahan, kung mayroon kang isang personal na portfolio, isang website ng negosyo o isang online na tindahan.

Pagdating sa seguridad ng WordPress, ang mga gumagamit ay karaniwang nahuhulog sa dalawang kampo: ang mga seryosong nagsasagawa ng seguridad at gumawa ng pag-iingat na mga hakbang at sa mga naniniwala o umaasa na hindi ito mangyayari sa kanila dahil ang kanilang site ay hindi sapat na mahalaga.

Upang mas maunawaan ang kalubhaan ng mga isyu sa seguridad na nauugnay sa mga website, siguraduhing bisitahin ang Pahina ng Internet Live Stats minsan. Doon, maaari mong makita ang isang eksaktong bilang ng mga website na na-hack bawat araw at kahit na panoorin ang bilang na tumataas sa real-time.

Ang website ay na-hack sa real time

Contents

22 Mga Hakbang upang I-secure ang Iyong Website ng WordPress

Upang maiwasan ang pagtatapos ng iyong site bilang isa sa mga site sa Internet Live Stats, sundin ang mga tip sa ibaba at secure ang iyong website ng WordPress.

1. Mag-opt Para sa Isang Hosting Company Sa Mga Tampok ng Seguridad

Ang unang hakbang patungo sa pag-secure ng iyong website ng WordPress ay upang mamuhunan sa isang kumpanya ng hosting na nagpapatupad ng wastong mga tampok sa seguridad. Kasama dito ang suporta para sa pinakabagong bersyon ng PHP, MySQL, at Apache pati na rin ang isang firewall at 24/7 na pagsubaybay sa seguridad.

Kung maaari, pumili ng isang kumpanya ng nagho-host na nagsasagawa ng mga pag-backup araw-araw at regular na mga pag-scan ng malware. Maaari ka ring makahanap ng mga kumpanya ng nagho-host na gumagamit ng iba’t ibang mga hakbang sa pag-iwas sa DDOS.

Ang iyong kumpanya ng pagho-host ay karaniwang ang unang mga hacker ng dingding na kailangang lumusot upang makakuha ng access sa iyong site kaya ang pamumuhunan ng mas paitaas at pagbili ng isang mas mahal na plano sa pagho-host ay tiyak na magbabayad. Inirerekumenda namin pagpili ng isang pinamamahalaang provider ng hosting ng WordPress.

2. Gumamit ng Malakas na Mga Password

Tiyaking ang mga password para sa iyong website ng WordPress pati na rin ang iyong lugar ng hosting account ay parehong ligtas. Gumamit ng isang halo ng mga malalaking titik at maliliit na titik, numero, at simbolo upang magkaroon ng isang malakas na password. Maaari ka ring gumamit ng isang tagapamahala ng password tulad ng LastPass upang makabuo at mag-imbak ng mga secure na password para sa iyo.

3. Ditch ang Username ng Admin

Ginamit ng WordPress upang itakda ang default na username bilang admin at karamihan sa mga gumagamit ay hindi kailanman nag-abala upang baguhin ito. Bilang isang resulta, ang admin ay karaniwang ang unang mga hacker ng username ay susubukan kapag naglulunsad sila ng isang atake na malupit.

Tulad nito, hindi ka dapat gumamit ng admin username para sa iyong WordPress website. Kung na-install mo kamakailan ang iyong website ng WordPress, may mga pagkakataong kailangan mong itakda ang iyong sariling username. Ngunit kung matagal ka nang gumagamit ng WordPress, maaari mo pa ring gamitin ang admin username.

Kung iyon ang kaso, lumikha ng isang bagong username ng admin para sa iyong site sa pamamagitan ng pagpunta Mga gumagamit> Magdagdag ng bago at pagpili ng isang malakas na username at password. Itakda ang papel sa Administrator at pagkatapos ay i-click ang Magdagdag ng bagong gumagamit pindutan.

Paglikha ng isang account sa tagapangasiwa

Pagkatapos ay mag-login ka sa mga bagong kredensyal at tanggalin ang iyong dating gumagamit ng admin. Tandaan na italaga ang lahat ng iyong nilalaman sa iyong bagong gumagamit ng admin bago matanggal ang bago.

4. Gumamit ng isang Contributor o Editor Account upang Mag-post Sa Iyong Site

Kung nais mong gawin ang isang tip sa itaas ng isang hakbang nang higit pa, isaalang-alang ang paglikha ng isang nag-aambag o isang account ng editor upang magdagdag ng mga bagong post at artikulo sa iyong site. Ang paggawa nito ay magpapahirap sa mga hacker na makagawa ng pinsala sa iyong site dahil ang mga nag-aambag at mga editor ay hindi karaniwang mga pribilehiyo ng administrator.

Paglikha ng isang account sa editor

5. Gumamit ng isang Backup Plugin

Kung hindi mo pa sinusuportahan ang iyong website, kailangan mong magsimula kaagad. Tutulungan ka ng isang backup system na maibalik ang iyong site kung ang pinakamasama mangyari at ang iyong site ay nagtatapos sa pagiging hack.

Gumamit ng isang plugin tulad ng UpdateraftPlus upang lumikha ng isang regular na iskedyul ng pag-backup para sa iyong website at huwag kalimutan na mag-imbak sa offsite ng mga backup file upang matiyak na ang mga file na ito ay hindi magtatapos din na nahawa.

6. Harden Ang Admin Area

Pagdating sa pagpapatibay ng lugar ng admin, kakailanganin mong baguhin ang default na URL ng admin at limitahan ang bilang ng mga nabigo na mga pagtatangka sa pag-login bago ma-lock ang isang gumagamit sa iyong site.

Bilang default, magiging ganito ang admin URL para sa iyong website: yourdomain.com/wp-admin. Alam ito ng mga hacker at susubukan na direktang mai-access ang URL na ito upang makakuha sila ng access sa iyong site.

Maaari mong baguhin ang URL na ito tulad ng isang plugin WPS Itago ang Pag-login.

WPS Itago ang Pag-login

Bilang paglilimita sa bilang ng mga nabigo na mga pagtatangka sa pag-login, maaari mong gamitin Pag-login ng plugin ng Pag-login.

Pag-login LockDown

7. Panatilihing Hanggang sa Petsa

Tulad ng nabanggit namin nang mas maaga, ang lipas na mga file ay naglalagay ng panganib sa seguridad dahil iniwan nila ang iyong site na mahina sa iba pang mga pagsasamantala. Iyon ang dahilan kung bakit kailangan mong mag-install ng mga update sa sandaling mailabas ito.

Habang ikaw ay narito, tiyaking regular na dumaan sa iyong naka-install na mga plugin at i-deactivate at tanggalin ang mga plugin na hindi mo na ginagamit.

8. Protektahan ang Iyong Computer

Maaari kang magtataka kung ano ang dapat gawin ng iyong computer sa iyong website. Kung ang iyong computer ay nahawahan ng isang virus at na-access mo ang iyong site o mag-upload ng mga file dito, ang mga nahawaang file ay maaaring mahawahan din ang iyong website. Sa madaling salita, nais mong tiyakin na:

  • Iwasan ang paggamit ng mga pampublikong Wi-Fi network upang ma-access ang iyong site
  • I-install ang anti-virus software at tiyaking napapanahon

9. Baguhin ang Prefix ng iyong Database

Ang isa pang katotohanan na kilala ng mga hacker ng WordPress ay ang prefix ng iyong database ay nakatakda sa wp. Ang katotohanang ito ay ginagawang madali para sa kanila na hulaan ang prefix ng talahanayan at gumamit ng mga awtomatikong iniksyon ng SQL upang makakuha ng pag-access sa iyong site.

Ang pagbabago ng prefix ng iyong database ay isang manu-manong proseso na nagsasangkot sa pag-edit ng iyong wp-config.php file at pagpapalit ng mga pangalan ng talahanayan gamit ang phpMyAdmin. Bago gawin ang pagbabago, tiyaking i-backup ang iyong site bilang isang hakbang sa pag-iwas.

Pag-edit ng wp-config

Kailangan mong mag-login sa iyong hosting account at ma-access ang iyong cPanel o alinman sa control panel na ginagamit ng host mo. Pagkatapos, i-access ang File Manager at hanapin ang iyong wp-config.php file sa direktoryo ng WordPress.

Hanapin ang linya ng prefix na talahanayan na ganito: $ talahanayan_prefix kasunod ng isang = sign at ang prefix ng mesa mismo. Palitan ang default na string sa iyong sariling prefix gamit ang isang kumbinasyon ng mga numero, mga salungguhit, at mga titik na tulad nito:

$ table_prefix = ‘hgwp_3456_’;

Kapag nakumpleto mo na ang pag-edit ng wp-config.php file, lumabas sa File Manager at i-access ang phpMyAdmin upang mabago mo ang lahat ng mga pangalan ng talahanayan. Ang paggawa nito nang manu-mano ay maaaring nakakapagod dahil mayroong 11 mga talahanayan sa kabuuan na kailangan mong i-edit. Sa halip, maaari kang mag-input ng isang query sa SQL sa pamamagitan ng pagpunta sa tab na SQL

pagpapatakbo ng isang query sa SQL

Pagkatapos ay i-input ito:

RENAME table `wp_commentmeta` TO` hgwp_3456_commentmeta`;

Ang talahanayan ng RENAME `wp_comments` SA` hgwp_3456_comments`;

RENAME table `wp_link` TO` hgwp_3456_link`;

Ang talahanayan ng RENAME `wp_options` SA` hgwp_3456_options`;

RENAME table `wp_postmeta` TO` hgwp_3456_postmeta`;

Ang talahanayan ng RENAME `wp_posts` TO` hgwp_3456_posts`;

Ang talahanayan ng RENAME `wp_terms` SA` hgwp_3456_terms`;

RENAME table `wp_termmeta` TO` wp_a123456_termmeta`;

RENAME table `wp_term_relationships` SA` hgwp_3456_term_relationships`;

RENAME table `wp_term_taxonomy` SA` hgwp_3456_term_taxonomy`;

RENAME table `wp_usermeta` TO` hgwp_3456_usermeta`;

Ang talahanayan ng RENAME `wp_users` SA` hgwp_3456_users`;

Habang dapat baguhin ng query sa itaas ang iyong prefix ng database sa lahat ng dako, magandang ideya na magpatakbo ng isa pang query upang matiyak na ang anumang iba pang mga file gamit ang lumang prefix ng database ay ma-update:

PINILI * MULA SA `hgwp_3456_option` SAAN` opsyon_name' LIKE '% wp_%'

Gusto mo ring maghanap para sa theusermeta at palitan ang mga tira na prefix ng bago sa bago:

PINILI * MULA SA `hgwp_3456_usermeta` SAAN` meta_key' LIKE '% wp_%'

10. Pilitin ang Iyong .htaccess at wp-config.php Files

.htaccess at wp-config.php ay ang pinakamahalagang file sa iyong pag-install ng WordPress. Tulad nito, kailangan mong tiyakin na sila ay ligtas at protektado.

Idagdag lamang ang mga code sa ibaba sa iyong .htaccess file, sa labas ng # BEGIN WordPress at # END WordPress tag upang matiyak na ang mga pagbabago ay hindi nasusulat sa bawat bagong pag-update.



payagan ang order, tanggihan

tanggihan mula sa lahat





payagan ang order, tanggihan

tanggihan mula sa lahat





order tanggihan, payagan

Tumanggi mula sa lahat

# payagan ang pag-access mula sa aking IP address

payagan mula 192.168.1.1

Ang mga snippet sa itaas ay protektahan ang iyong wp-config at .htaccess pati na rin limitahan ang pag-access sa wp-login.php screen.

Panghuli, idagdag ang snippet sa ibaba upang maiwasan ang pagpapatupad ng file ng PHP:



tanggihan mula sa lahat

11. Suriin at Baguhin ang Mga Pahintulot sa File

Kapag nakumpleto mo na ang iyong .kakatwa at wp-config.php file, manatili nang kaunti sa iyong cPanel at suriin ang mga pahintulot ng file para sa mga file at folder sa iyong WordPress website.

Mga Pahintulot sa File

Ayon sa WordPress codex, ang mga pahintulot ay dapat itakda tulad ng sumusunod:

  • Ang lahat ng mga direktoryo ay dapat na 755 o 750
  • Ang lahat ng mga file ay dapat na 644 o 640
  • ang wp-config.php ay dapat na 600

Kung naiiba ang iyong mga setting, madaling mabasa ng mga hacker ang mga nilalaman pati na rin baguhin ang mga nilalaman ng mga file at folder na maaaring pagkatapos ay humantong sa iyong site na na-hack pati na rin ang iba pang mga site sa parehong server na na-hack.

12. Gumamit ng Two-Factor Authentication

Isaalang-alang ang paggamit ng isang plugin tulad Google Authenticator upang mag-set up ng dalawang-factor na pagpapatunay para sa iyong site. Nangangahulugan ito na bilang karagdagan sa pagpasok ng iyong password, kakailanganin mo ring magpasok ng isang code na nabuo ng isang mobile app upang mag-log in sa iyong site. Mapipigilan nito ang pag-atake ng brute-puwersa kaya magandang ideya na i-set up ito ngayon.

Google Authenticator

13. Huwag paganahin ang XML-RPC

Pinapayagan ng XML-RPC ang iyong site na magtatag ng isang koneksyon sa mga mobile na apps ng WordPress at mga plugin tulad ng Jetpack. Sa kasamaang palad, paborito rin ito ng mga hacker ng WordPress dahil maaari nilang abusuhin ang protocol na ito upang maisagawa ang ilang mga utos nang sabay-sabay at makakuha ng access sa iyong site. Gumamit ng isang plugin tulad Huwag paganahin ang XML-RPC plugin upang huwag paganahin ang tampok na ito.

Huwag paganahin ang XML-RPC

14. Gumamit ng HTTPS at SSL

Naging buzz ang Internet sa mga post sa blog at artikulo tungkol sa kahalagahan ng protocol ng HTTPS at pagdaragdag ng mga sertipiko ng seguridad ng SSL sa iyong site nang medyo matagal na.

Ang HTTPS ay nakatayo para sa Hypertext Transfer Protocol Secure habang ang SSL ay nakatayo para sa mga Ligtas na Mga Layer ng Socket. Sa madaling sabi, pinapayagan ng HTTPS ang browser ng bisita na magtatag ng isang ligtas na koneksyon sa iyong server ng hosting (at samakatuwid, ang iyong site). Ang protocol ng HTTPS ay na-secure sa pamamagitan ng SSL. Sama-sama, tinitiyak ng HTTPS at SSL na ang lahat ng impormasyon sa pagitan ng browser ng isang bisita at ang iyong site ay naka-encrypt.

Ang paggamit ng pareho sa iyong site ay hindi lamang madaragdagan ang seguridad ng iyong site, ngunit makikinabang din ito sa ranggo ng iyong search engine, magtatag ng tiwala sa iyong mga bisita, at pagbutihin ang rate ng iyong conversion.

Makipag-usap sa iyong hosting provider at tanungin ang tungkol sa posibilidad ng pagkuha ng isang SSL certificate o ituro sa iyo sa direksyon ng isang kagalang-galang kumpanya kung saan maaari kang bumili ng isa.

15. Huwag paganahin ang Pag-edit ng Tema at Plugin Sa pamamagitan ng Iyong Dashboard ng WordPress

Ang pagkakaroon ng pagpipilian upang i-edit ang iyong tema at mga file ng plugin mismo sa loob ng iyong WordPress dashboard ay madaling gamitin kapag kailangan mong mabilis na magdagdag ng isang linya ng code. Ngunit nangangahulugan din ito na ang sinumang mag-log sa iyong site ay maaaring ma-access ang mga file na iyon.

Huwag paganahin ang tampok na ito sa pamamagitan ng pagdaragdag ng sumusunod na code sa iyong wp-config.php file:

// Hindi pinapayagan ang pag-edit ng file

tukuyin ('DISALLOW_FILE_EDIT', totoo);

16. Ilipat ang Wp-config.php File sa Isang Di-WWW Directory

Tulad ng nabanggit kanina, ang wp-config.php ang file ay isa sa pinakamahalagang file sa iyong pag-install ng WordPress. Gawin itong mas mahirap na ma-access sa pamamagitan ng paglipat nito mula sa direktoryo ng ugat sa isang direktoryo na hindi ma-www.

  1. Para sa mga nagsisimula, kopyahin ang mga nilalaman ng iyong wp-config.php mag-file sa isang bagong file at i-save ito bilang wp-config.php.
  1. Bumalik ka sa dati wp-config.php file at idagdag ang linya ng code sa ibaba:
  1. Mag-upload at i-save ang bago wp-config.php file sa ibang folder.

17. Baguhin ang Iyong Mga Security Keys ng WordPress

Ang mga key ng seguridad ng WordPress ay responsable para sa pag-encrypt ng impormasyong nakaimbak sa cookies ng gumagamit. Matatagpuan ang mga ito sa wp-config.php file at hitsura nito:

tukuyin ('AUTH_KEY', 'ilagay ang iyong natatanging parirala');

tukuyin ('SECURE_AUTH_KEY', 'ilagay ang iyong natatanging parirala');

tukuyin ('LOGGED_IN_KEY', 'ilagay ang iyong natatanging parirala');

tukuyin ('NONCE_KEY', 'ilagay ang iyong natatanging parirala');

tukuyin ('AUTH_SALT', 'ilagay ang iyong natatanging parirala');

tukuyin ('SECURE_AUTH_SALT', 'ilagay ang iyong natatanging parirala');

tukuyin ('LOGGED_IN_SALT', 'ilagay ang iyong natatanging parirala');

tukuyin ('NONCE_SALT', 'ilagay ang iyong natatanging parirala');

Gamitin ang WordPress Salts Key Generator upang mabago ang mga ito at gawing mas ligtas ang iyong site.

18. Huwag paganahin ang Pag-uulat ng Error

Ang error na pag-uulat ay kapaki-pakinabang para sa pag-aayos at pagtukoy kung aling tiyak na plugin o tema ang nagdudulot ng isang error sa iyong website ng WordPress. Gayunpaman, sa sandaling nag-uulat ang system ng isang error, makikita rin nito ang iyong landas ng server. Hindi na kailangang sabihin, ito ay isang perpektong pagkakataon para sa mga hacker upang matuklasan kung paano at kung saan maaari nilang samantalahin ang mga kahinaan sa iyong site.

Maaari mong paganahin ito sa pamamagitan ng pagdaragdag ng code sa ibaba sa iyong wp-config.php file:

error_reporting (0);

@ini_set ('display_errors', 0);

19. Alisin ang Numero ng Bersyon ng WordPress

Ang sinumang tumitingin sa source code ng iyong website ay makakapagsabi sa kung aling bersyon ng WordPress ang iyong ginagamit. Dahil ang bawat bersyon ng WordPress ay may pampublikong mga changelog na detalyado ang listahan ng mga bug at mga patch ng seguridad, madali nilang matukoy kung aling mga butas ng seguridad ang maaari nilang samantalahin.

Bersyon ng WordPress

Sa kabutihang palad, may madaling pag-aayos. Maaari mong alisin ang numero ng bersyon ng WordPress sa pamamagitan ng pag-edit ng file ng function ng iyong tema at idagdag ang sumusunod:

alisin_action ('wp_head', 'wp_generator');

20. Gumamit ng mga header ng Seguridad

Ang isa pang paraan upang ma-secure ang iyong website ng WordPress ay ang pagpapatupad ng mga header ng seguridad. Karaniwan ang mga ito ay nakatakda sa antas ng server upang maiwasan ang pag-atake ng pag-hack at bawasan ang bilang ng mga pagsasamantala sa kahinaan sa seguridad. Maaari mong idagdag ang mga ito sa iyong sarili sa pamamagitan ng pagbabago ng iyong tema function.php file.

Security Header

Pag-atake ng cross-scripting

Idagdag ang sumusunod na code sa pinapayagan na whitelist na nilalaman, script, estilo, at iba pang mga mapagkukunan ng nilalaman:

header ('Nilalaman-Seguridad-Patakaran: default-src https:');

Pipigilan nito ang browser mula sa pag-load ng mga nakakahamak na file.

Iframe clickjacking

Idagdag ang linya sa ibaba upang magturo sa browser na huwag mag-render ng isang pahina sa isang frame: header ('X-Frame-options: SAMEORIGIN');

X-XSS-Proteksyon at X-Nilalaman-Uri-Type

Idagdag ang mga sumusunod na linya upang maiwasan ang pag-atake ng XSS at sabihin sa Internet Explorer na huwag mag-sniff mga uri ng tsime

header ('X-XSS-Proteksyon: 1; mode = block');

header ('X-Nilalaman-Uri-Opsyon: nosniff');

Pagpapatupad ng HTTPS

Idagdag ang code sa ibaba upang magturo sa browser na gumamit lamang ng HTTPS:

header ('Strict-Transport-Security: max-age = 31536000; isama angSubdomain; preload');

Cookie na may HTTPOnly at Secure na watawat sa WordPress 

Sabihin sa browser na magtiwala lamang sa cookie na itinakda ng server at ang cookie ay magagamit sa mga SSL channel sa pamamagitan ng pagdaragdag ng sumusunod:

@ini_set ('session.cookie_httponly', totoo);

@ini_set ('session.cookie_secure', totoo);

@ini_set ('session.use_only_cookies', totoo);

Kung hindi mo nais na magdagdag ng mga header nang manu-mano, isaalang-alang ang paggamit ng isang plugin tulad Security Header. Anuman ang paraan na pinili mong ipatupad ang mga header ng seguridad, siguraduhing subukan ang mga ito gamit https://securityheaders.io website at pagpasok ng URL ng iyong site.

21. maiwasan ang Hotlinking

Ang Hotlinking ay hindi isang paglabag sa seguridad sa bawat seo ngunit isinasaalang-alang ito ay tumutukoy sa isa pang website gamit ang URL ng iyong site upang magturo nang direkta sa isang imahe o ibang media file, ito ay itinuturing na pagnanakaw. Tulad nito, ang hotlinking ay maaaring humantong sa hindi inaasahang gastos hindi lamang dahil kakailanganin mong harapin ang mga ligal na ramifications kundi pati na rin dahil ang iyong hosting bill ay maaaring dumaan sa bubong kung ang site na nagnanakaw ng iyong imahe ay nakakatanggap ng maraming trapiko.

Idagdag ang code sa ibaba sa iyong .htaccess file kung gumagamit ka ng Apache server at palitan ang dummy domain sa iyong aktwal na pangalan ng domain:

RewriteEngine sa

RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Domain.com [NC]

RewriteRule \. (Jpg | jpeg | png | gif) $ - [NC, F, L]

Bilang kahalili, kung gumagamit ka ng NGINX server, nais mong baguhin ang iyong config file sa mga sumusunod:

lokasyon ~. (gif | png | jpe? g) $ {

valid_referer walang naka-block ~ .google. ~ .bing. ~ .yahoo yourdomain.com * .yourdomain.com;

kung ($ invalid_referer) {

bumalik 403;

}

}

22. Mag-log Out Mga Gumagamit ng Idle

Ang huling tip sa gabay na ito para sa pagdaragdag ng seguridad ng iyong site ay upang mai-log out ang mga gumagamit ng walang ginagawa pagkatapos ng isang panahon ng hindi aktibo. Maaari kang gumamit ng isang plugin tulad Hindi Aktibo Logout upang awtomatikong wakasan ang mga hindi aktibong sesyon.

Hindi Aktibo Logout

Ito ay kinakailangan dahil kung mag-log in ka sa iyong website upang magdagdag ng isang bagong post sa blog at magambala sa ibang gawain, ang iyong sesyon ay maaaring mai-hijack at maaaring abusuhin ng mga hacker ang sitwasyon upang mahawa ang iyong site. Mas mahalaga na wakasan ang mga hindi aktibong sesyon kung mayroon kang maraming mga gumagamit sa iyong site.

Paano Mabawi Mula sa isang Hack

Ang mga hakbang sa seguridad sa itaas ay isang mahusay na paraan upang ma-secure ang iyong site. Ngunit paano kung ang iyong site ay makakakuha ng hack pa rin? Narito ang ilang mga hakbang na dapat sundin kung sakaling na-hack ang iyong website.

1. Kumpirma Ang Hack at Baguhin ang Iyong Password

Kung ang iyong site ay na-hack, muna, huwag mag-panic. Hindi ito makakatulong sa iyo at ang gawa ay nagawa kaya mahalagang kumilos nang mabilis. Magsimula sa pamamagitan ng pagsuri sa iyong site at tingnan kung maaari kang mag-log in sa iyong dashboard. Suriin kung ang iyong site ay nai-redirect sa ibang site o kung nakakita ka ng anumang kahina-hinalang o kakaibang mga link o ad.

Baguhin agad ang iyong password at pagkatapos ay magpatuloy sa susunod na hakbang.

2. Makipag-ugnay sa Iyong Hosting Company

Makipag-ugnay sa iyong host at ipaalam sa kanila na ang iyong site ay na-hack. Maaari silang matulungan kang makilala ang mapagkukunan ng hack. Ang ilang mga host ay linisin din ang iyong site at aalisin ang malisyosong code at mga file.

Gumamit ng isang Backup upang Ibalik ang Iyong Site

Kung masigasig ka tungkol sa pag-back up ng iyong site, maghanap ng backup mula sa bago ang hack at gamitin ito upang maibalik ang iyong site. Habang maaari kang mawalan ng ilan sa mga nilalaman, makakakuha ka ng iyong site at magpapatakbo tulad ng bago ito nangyari ang pag-atake.

3. I-scan ang Iyong Site Para sa Malware

Gumamit ng libreng scanner ng Sucuri upang i-scan ang iyong site para sa malware at makilala ang mga nakompromiso na file. Maaari ka ring pumili para sa paglilinis ng kanilang site kung hindi mo alam kung paano mo tatanggalin ang malware.

4. Suriin ang Iyong Mga Gumagamit sa Site

Mag-login sa iyong WordPress website at pumunta sa Mga Gumagamit> Lahat ng Mga Gumagamit. Tiyaking walang mga gumagamit na hindi naroroon at tatanggalin ang mga ito kung kinakailangan.

5. Baguhin ang Iyong Mga Lihim na Susi

Gamitin ang nabanggit na WordPress Salts Key Generator upang makabuo ng mga bagong key ng seguridad at idagdag ang mga ito sa iyong wp-config.php file. Dahil ang mga susi na ito ay naka-encrypt ng iyong password, ang mga hacker ay mananatiling naka-log in hanggang sa hindi wasto ang kanilang mga cookies. Gawin lamang iyon ng mga bagong key ng seguridad at pilitin ang hacker sa labas ng iyong site.

6. Mag-upa ng isang Propesyonal

Sa wakas, umarkila ng isang propesyonal upang linisin ang hack at alisin ang malware mula sa iyong site. Tandaan na ang mga hacker ay maaaring magtago ng nakahahamak na code sa maraming mga file kaya kung hindi ka naranasan sa pag-alis ng malware, madali itong makaligtaan ng isang nahawaang file. Ginagawa nitong madali para sa mga hacker na muling mai-hack ang iyong site kaya ang pag-upa ng isang propesyonal ay lubos na inirerekomenda.

7 Karamihan sa Karaniwang Mga Uri ng WordPress Vulnerability

Bago magpunta pa sa artikulong ito, hayaan ang address ng elepante sa silid: ligtas ba ang WordPress? Ang sagot sa tanong na iyon ay oo. Ang pangunahing software ng WordPress ay ligtas at ang kumpanya sa likod ng WordPress ay sineseryoso ang seguridad.

Ang kanilang pangkat ng seguridad ay may 50 eksperto sa board na kinabibilangan ng mga lead developer at security researcher na nagtatrabaho sa likod ng mga eksena upang matiyak na ang WordPress ay ligtas.

Sa katunayan, ang karamihan sa mga insidente sa seguridad at panganib ay ang resulta ng pagkakamali ng tao na ipinares sa pagkakaroon ng kahinaan sa seguridad.

Mayroong pitong uri ng mga kahinaan sa WordPress na kailangan mong malaman:

  • Hindi na napapanahong mga file ng WordPress
  • Mga pagsasamantala sa backdoor
  • Hacks ng Pharma
  • Mahina ang mga password
  • Malas na pag-redirect
  • Mga Vulnerability sa hosting platform
  • Ang pagtanggi sa mga pag-atake sa serbisyo

Hayaan ang pagpunta sa kanila at ipaliwanag kung ano talaga sila.

1. Hindi na napapanahong mga File ng WordPress

Ang mga file na lipas na sa panahon ng WordPress ay tumutukoy sa bersyon ng WordPress, tema at mga file ng plugin. Naglalagay sila ng panganib sa seguridad dahil iniiwan nila ang iyong site na nakalantad sa iba pang mga kahinaan tulad ng mga backdoor exploits at pharma hacks.

Tulad nito, kailangan mong tiyakin na ang iyong pag-install ng WordPress ay napapanahon pati na rin ang iyong tema at plugin. Dapat mong aktibong mag-aplay ng mga update habang inilalabas sila dahil hindi lamang sila may mga bagong tampok ngunit kasama rin nila ang iba't ibang mga pag-aayos ng seguridad at bug..

2. Pag-expire ng Backdoor

Pagdating sa mga panlabas na pagsasamantala, ang mga hacker ay sasamantalahin ang lipas na mga file ng WordPress upang makakuha ng pag-access sa iyong site. Bukod sa hindi napapanahong mga file, maaari rin silang makakuha ng access sa iyong site sa pamamagitan ng SFTP, FTP, at katulad.

Kapag mayroon silang access sa iyong site, mahawahan nila ang iyong site at maaari ring makahawa sa iba pang mga site na nasa parehong server tulad ng iyong site. Ang mga iniksyon sa backdoor ay mukhang regular na mga file ng WordPress sa walang karanasan na gumagamit. Ngunit sa likod ng mga eksena, sinamantala nila ang mga bug sa hindi na napapanahong mga file upang ma-access ang iyong database at masira ang iyong site pati na rin ang libu-libong iba pang mga website.

3. Pharma Hacks

Ang mga hack ng Pharma ay tumutukoy sa mga pagsasamantala ng mga kahinaan sa lipas na mga file ng WordPress kung saan ang isang hacker ay nagsingit ng mga code sa mga file na iyon. Kapag naipasok ang code, ipinapakita ng mga search engine ang mga ad para sa mga produktong parmasyutiko sa halip na iyong website. Maaari itong magresulta sa mga search engine na nagmamarka ng iyong website bilang spam.

4. Mahina ang mga Password

Ang mga mahina na password ay maaaring madaling matandaan ngunit pinadali din nila ang mga hacker na makakuha ng pag-access sa iyong site sa pamamagitan ng isang pag-atake ng malupit na puwersa. Ang isang pag-atake ng matapang na puwersa ay nangyayari kapag ang isang hacker ay gumagamit ng mga awtomatikong script na tumatakbo sa background upang subukan ang iba't ibang mga kumbinasyon ng username at password hanggang sa makahanap sila ng isang pinagsamang pinagsama.

5. Malisyosong Mga Pag-redirect

Katulad nito sa paggamit ng lipas na mga file at FTP o SFTP protocol upang mag-iniksyon ng code na nagreresulta sa isang pharma hack o isang backdoor pagsasamantala, gagamitin ng mga hacker ang .htaccess file sa iyong pag-install ng WordPress upang mai-redirect ang iyong mga bisita sa isang malisyosong website.

Ang iyong mga bisita ay maaaring magtapos sa isang virus o mabiktima sa phishing.

6. Mga Vulnerability sa Hosting Platform

Minsan, maaaring mai-kompromiso ang seguridad ng iyong website dahil gumagamit ka ng isang kumpanya ng pagho-host na walang mga tampok ng seguridad tulad ng isang firewall o file monitoring. Kadalasan ito ang nangyayari sa mas murang mga nagbibigay ng pagho-host na nangangahulugang ang pagpili ng isang mas murang host ay, ironically, gastos ka pa kung ang iyong site ay makakakuha ng hack.

Tandaan na ang mas murang mga platform sa pagho-host ay naglalagay din ng isang mas mataas na peligro sa seguridad dahil maaaring mahawahan o mai-hack ang iyong site bilang isang resulta ng mga hacker na sinasamantala ang mga kahinaan sa ibang website na naka-host sa parehong server.

7. Pagtanggi sa Pag-atake ng Serbisyo

Ang pagtanggi sa pag-atake ng Serbisyo o pag-atake ng DDOS ay isa sa mga pinaka-mapanganib na banta para sa anumang may-ari ng website. Sa isang pag-atake ng DDOS, ang isang hacker ay sasamantalahan ang mga bug at error sa code na nagiging sanhi ng memorya ng operating system ng iyong site. Ang mga pag-atake ng DDOS ay karaniwang magdadala ng malaking bilang ng mga site na gumagamit ng isang tukoy na platform, tulad ng WordPress.

Ngayon alam mo na kung ano ang mga karaniwang kahinaan na nauugnay sa WordPress, ilipat sa mga tip, pinakamahusay na kasanayan, at mga rekomendasyon sa seguridad na makakatulong sa iyo na ma-secure ang iyong site ng WordPress.

Pag-wrap up

Ang WordPress ay isang malakas at tanyag na CMS na ginagawang madali para sa sinumang lumikha ng isang website. Ngunit dahil napakapopular nito, paborito rin ito para sa mga hacker. Sa kabutihang palad, mayroong isang bilang ng mga hakbang na maaari mong gawin upang maprotektahan ang iyong site sa WordPress at kung susundin mo ang mga tip sa artikulong ito, magiging maayos ka sa iyong paraan sa pagkakaroon ng isang secure na WordPress website.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map