Ak si myslíte, že je váš web bezpečný, pretože ho hackeri nezaujímajú, mýlite sa, pretože drvivá väčšina porušení bezpečnosti nemá za cieľ ukradnúť vaše údaje alebo znetvoriť váš web.

Hackeri zvyčajne chcú váš server použiť ako sprostredkovateľ spamových e-mailov alebo na vytvorenie dočasného webového servera, ktorý zvyčajne slúži na poskytovanie nelegálnych súborov. Ak dôjde k hacknutiu, buďte pripravení vyplatiť nejaké peniaze za náklady spojené so serverom.

Existuje niekoľko rôznych spôsobov, ako zaistiť bezpečnosť vášho webu alebo siete viacerých lokalít, ale jedným z najjednoduchších je úprava súboru. wp-config.php. Aktualizácia tohto konfiguračného súboru, aj keď neexistuje univerzálne riešenie, je zásadou, ktorú je potrebné dodržiavať v záujme celkovej bezpečnosti.

S ohľadom na to preskúmame rôzne úpravy, ktoré môžete vykonať na zabezpečenie svojho WordPress blog.

Konfigurujte konštanty programu WordPress

V konfiguračnom súbore programu WordPress, tiež nazývanom wp-config.php , môžete definovať takzvané konštanty PHP na vykonávanie určitých úloh. WordPress má veľa konštánt, ktoré môžete použiť.

Konštanty sú tiež zabalené do funkcie define() ako ukazuje tento príklad syntaxe:

definovať (hodnota "STRING_NAME");

Na WordPress, súbor wp-config.php sa načíta pred ostatnými súbormi, ktoré tvoria jadro. To znamená, že ak zmeníte hodnotu konštanty v wp-config.php, môžete zmeniť spôsob, akým program WordPress reaguje a funguje. Niektoré funkcie môžete zakázať alebo ich zapnúť zmenou hodnoty. V mnohých prípadoch sa to dá urobiť zmenou true pre falošné a naopak, napríklad.

Ďalej nájdete rôzne konštanty a ďalšie typy kódu PHP, ktoré môžete použiť vo svojom súbore wp-config.php  aby ste zvýšili svoju bezpečnosť. Umiestnite ich všetky nad ďalší riadok vo vašom súbore wp-config.php:

/ * To je všetko, zastaviť editáciu! Šťastné blogovanie. * /

Pozor: Buďte opatrní

Pretože zmeny, ktoré sa chystáte vykonať, môžu dramaticky zmeniť vaše stránky, je to dobré nápad na jeho zálohovanie. Ak sa vyskytne chyba, môžete svoj web pred týmito zmenami rýchlo obnoviť a keď bude fungovať normálne, môžete to skúsiť znova.

1. Zmeňte svoje bezpečnostné kľúče

Možno už viete o rôznych bezpečnostných kľúčoch a možno ste už pridali jedinečné kľúče, čo je celkom dobrá vec.

Kľúče na zabezpečenie informácií šifrujú údaje uložené v súboroch cookie a môže byť užitočné ich zmeniť, najmä po napadnutí vášho webu. Týmto by sa ukončili všetky otvorené relácie prihlásených používateľov na vašom webe, čo znamená, že sú odhlásení aj hackeri.

Keď resetujete heslá a uistíte sa, že na vašom webe nie sú využívané útoky typu backdoor a podobne.

Môžete vygenerovať novú sadu bezpečnostných kľúčov pomocou Generátor bezpečnostných kľúčov WordPress. Skopírujte všetok obsah a prilepte ho, čím nahradíte časť, ktorá vyzerá takto:

define( 'AUTH_KEY', 't`DK%X:>xy|eZ(BXb/f(Ur`8#~UzUQG-^_Cs_GHs5U-&Wb?pgn^p8(2@}IcnCa|' ); define( 'SECURE_AUTH_KEY ', 'D&ovlU#|CvJ##uNq}bel+^MFtT&.b9{UvR]g%ixsXhGlRJ7q!h}XWdEC[BOKXssj' ); define( 'LOGGED_IN_KEY', 'MGKi8Br(&{H*0~&0s;{k  (hdXW|5M=X={we4;Mpvtg+Vo<$|#_}qG(GaVDEsn,~*2i' ); define( 'NONCE_SALT', 'a|#h{c7|P &xWs0IZ2c8&%883!c( /uG}W:mAvy

2. Vynútiť používanie protokolu SSL

Certifikát SSL šifruje spojenie medzi vašou stránkou a prehliadačom vášho návštevníka, takže hackeri nemôžu zachytiť a ukradnúť osobné informácie. Ak už máte certifikát SSL nainštalovaný, musíte WordPress prinútiť, aby ho používal, môže to zvýšiť vašu bezpečnosť.

Ak chcete vynútiť použitie vášho certifikátu SSL počas pripojenia, pridajte tento riadok:

define ('FORCE_SSL_LOGIN', true);

Svoj certifikát SSL môžete tiež vynútiť na paneli správcu pomocou tohto riadku:

define ('FORCE_SSL_ADMIN', true);

Na začiatok sú to veľmi dobré body, aj keď ideálne by bolo použiť certifikát SSL na všetkých vašich webové stránky.

3. Upravte predponu databázy

Predpona je umiestnená pred názvami všetkých tabuliek vo vašej databáze. V predvolenom nastavení používa tabuľka predponu „ wp_" a jeho pridaním do databázy pridáte hackerovi ďalšiu úlohu. Čím viac prekážok pridáte, tým viac váš blog bude ťažké hacknúť.

Zmena predvolenej predpony pomôže a všetko, čo musíte urobiť, je zmeniť konštantu v súbore “ wp-config.php ", ale bolo by tiež potrebné, aby databázové tabuľky vo vašej inštalácii mali rovnakú novú predponu. Môžete zmeniť wp_ pre niečo ako g628_. Musíte si zvoliť niečo, čo naozaj nie je ľahké uhádnuť.

4. Zakážte úpravy tém a doplnkov

V každej inštalácii WordPress môžete priamo upravovať doplnky a témy prostredníctvom informačného panela. Ak sa hackerovi podarilo získať prístup na váš informačný panel, má prístup k tomuto špeciálnemu editoru, kde potom mohol vo vašom doplnku a súboroch s témami robiť, čo chceli, ako napríklad pridať malvér, vírusy alebo nevyžiadaná pošta.

5. Zakázať ladenie

Ak ste niekedy povolili ladenie na svojom webe alebo v sieti, pravdepodobne tak urobíte, pretože je to skvelý nástroj na riešenie problémov, ale po dokončení ho nezabudnite vypnúť. Ponechaním tejto možnosti povolenej môže hackerom odhaliť dôležité informácie o vašej lokalite a umiestnení jej súborov každému, kto navštívi vašu lokalitu.

Ak chcete vypnúť režim ladenia, môžete konštantu WP_DEBUG zmeniť z true na false takto:

definovať ('WP_DEBUG', false);

6. Zakážte zaznamenávanie chýb vo WordPresse

 Ak nemôžete vykonať predchádzajúcu zmenu, pretože stále potrebujete aktívne ladiť svoj web, stále môžete chrániť dôležité informácie o vašom serveri vypnutím front-end chýb a vypnutím zaznamenávania chýb.

Ak chcete zakázať hlásenie chýb frontendu, pridajte tento riadok a nechajte svoje ladenie (WP_DEBUG) nastavené na hodnotu true:

definovať ('WP_DEBUG_DISPLAY', false);

7. Povoliť automatické aktualizácie

Udržiavanie aktuálnej stránky s najnovšími verziami WordPress, ako aj s vašimi doplnkami a témami, by malo byť dôležitou súčasťou rozvoja bezpečnostnej stratégie. KeďžeAktualizácie poskytujú bezpečnostné opravy pre známe zraniteľnosti, nie aktualizácie odhaľujú váš blog na tieto potenciálne riziká.

Od verzie WordPress verzie 3.7 sa na webové stránky WordPress automaticky aplikujú drobné opravy zabezpečenia, základné verzie však nie. Môžete však povoliť automatické aktualizácie pre všetky nové verzie zmenou hodnoty konštanty pre automatické aktualizácie:

definovať ('WP_AUTO_UPDATE_CORE', true);

Rovnako môžete pridať nasledujúci riadok pod predchádzajúci, aby ste povolili automatické aktualizácie doplnkov:

add_filter ('auto_update_plugin', '__return_true');

Môžete tiež sledovať tento riadok a povoliť automatické aktualizácie tém:

add_filter ('auto_update_theme', '__return_true');

To je pre tento tutoriál všetko. Dúfam, že vám to umožní lepšie zabezpečiť vaše WordPress blog.