WordPress gegen Hacker und DDOs -Angriffe sichern

Key Takeaways

• Priorisieren Sie die Serversicherheit, indem Sie einen Host basierend auf Sicherheit und Reputation und nicht auf dem Preis auswählen. Stellen Sie sicher, dass der Host stabile Versionen der Server-Software ausführt, eine Firewall auf Serverebene ermöglicht, häufige Sicherungen und Wiederherstellungen ermöglicht und die Intrusion-Erkennung durchführt.
• Aktualisieren Sie immer WordPress, Themen und Plugins auf die neuesten Versionen, sobald sie verfügbar sind. Verwenden Sie einen Passwort -Manager, um komplexe Passwörter zu generieren und diese sicher zu speichern.
• Angriffe von Brute -Force -Angriffen verhindern, indem eine zusätzliche Schutzebene auf der Anmeldebildschirmebene mit HTTP -Authäfen hinzugefügt, IP -Adressen überwacht werden, die versuchen, sich anzumelden, sie auszuschließen und den Admin -Benutzernamen von 'Admin' auf deinen eigenen Namen oder etwas zu ändern sonst.
• Verwenden Sie WordPress -Sicherheits -Plugins, die regelmäßig aktualisiert und von der WordPress -Community hoch bewertet werden. Entfernen Sie regelmäßig unbenutzte Plugins und ersetzen Sie nicht unterstützte, um potenzielle Schwachstellen zu minimieren.

Es gibt kein Bestreben der Popularität von WordPress, die mehr als 74,6 Mio. Websites auf der ganzen Welt betreibt. 48% der 100 besten Blogs von Technorati werden von der Plattform verwaltet. In der Online -Welt ist alles, was beliebt ist, offener für Angriffe und WordPress ist keine Ausnahme. Die Arten von Angriffen, die dazu neigen, WordPress-Sites zu treffen-es sei denn, Sie sind eine große Marke-, werden im Allgemeinen von Menschen ohne große Menge an technischem Know-how durchgeführt. Diese werden häufig auf „Skriptkinder“ bezeichnet, da sie gemeinsame Code, Techniken und Kits verwenden, um Zielseiten zu hacken.

Die gute Nachricht dazu ist, dass dies häufig ein Angriff schnell und einfach erhoben werden kann. Es ist nicht notwendig, zu der Bühne zu gelangen, in der ein Angriff schädigt, da die meisten überhaupt verhindert werden können. Heute werden wir uns also ansehen, wie Sie Ihre Installation sichern und häufige Hacks vermeiden können.

Beginnen Sie mit dem Server

Bevor Sie über die Sicherung Ihrer Website nachdenken, sollten Sie von Grund auf starten. Das bedeutet, dass Ihr Hosting -Server überhaupt sicher ist. Beginnend mit den Grundlagen sollten Sie einen Host basierend auf Sicherheit und Ruf und nicht auf dem Preis auswählen. Ich bin mir zwar sicher, dass es da draußen einige anständige billige Hosts gibt, zum größten Teil das Hosting, das Sie 2 US -Dollar pro Monat kostet, wird den Senf nicht reduzieren.

Die meisten verwalteten WordPress -Hosting -Dienste haben den Ruf eines sicheren Hosting. Sie lassen jedoch nicht alle einige leistungsbezogene Plugins zu.

Die meisten von ihnen bieten:

• verwaltet WordPress Hosting
• Automatische Sicherheitsaktualisierungen
• tägliche Backups
• Ein-Klick-Wiederherstellungspunkte
• automatisches Caching
• Top-Tier-Sicherheit

Wie auch immer Sie sich entscheiden, dass Sie mit Ihnen gehen sollten, dass sie Folgendes anbieten:

• Stabile Versionen von Server -Software und Patch nach Bedarf ausführen
• Aktivieren Sie eine Firewall auf Serverebene
• Ermöglichen Sie, häufig und einfach wieder zu stützen und wiederherzustellen (Site und Datenbank)
• Intrusion Detection

verwaltete Hosts (z. B. beispielsweise WPengine) verwenden Caching, das durch ein CDN weitergeleitet wird. Wenn Sie also wirklich keinen verwalteten WordPress -Host verwenden möchten, sollten Sie ein CDN neben einem Caching -Plugin wie W3 Total implementieren. Cache. Dies ist eine einfache Möglichkeit, Ihre Website so einzurichten, dass der gesamte Datenverkehr, der durch die CDN -Caches geleitet wird, auch durch eine sichere Socket -Ebene (SSL/TLS) führt. Wenn Sie eine Hand benötigen, um diese Technologien um den Kopf zu bringen, empfehlen ich die folgenden visuellen Leitfäden von MaxCDN. Im Interesse der vollständigen Offenlegung arbeite ich für MaxCDN, aber ich bin sicher, dass Sie sie als nützliche Ressourcen finden:

• Was ist ein CDN?
• Wie SSL
funktioniert
• WordPress mit W3 Total Cache mit einem CDN
einrichten

Leider sind WordPress -Installationen auf gemeinsam genutzten Servern und nicht diejenigen auf einem VPS oder einem dedizierten Server so installiert und konfiguriert, was für den Host am einfachsten ist, aber nicht unbedingt die sicherste.

Beachten Sie, dass die folgenden Konfigurationen für erweiterte Benutzer bestimmt sind, die mit Codierung oder grundlegenden Sysadmin -Aufgaben vertraut sind. Wenn dies nicht der Fall ist, bitten Sie Ihren Webentwickler, dies für Sie einzurichten.

Anmeldungen, Passwörter und Plugins

Nur ein kurzes Wort zu diesem, das sich wiederholt, da mehr als 70% der WordPress -Installationen anfällig für Angriffe sind. Stellen Sie immer sicher, dass Sie, wenn Sie WordPress installiert haben, die neueste Version aktualisiert, sobald sie verfügbar ist. Gleiches gilt für Ihr Thema und für alle von Ihnen verwendeten Plugins. Gleiches gilt für Ihre Serversoftware. Für viele von Ihnen mag es offensichtlich klingen, aber die Statistiken sprechen für sich, es gibt viele, viele ältere Versionen der Plattform.

Wenn es um Passwörter geht, stoße ich täglich auf Personen, die immer noch so etwas wie „CompanyName123“ als Passwort verwenden. Für sich und jeden anderen Benutzer generieren Sie komplexe Passwörter und speichern Sie in einem Passwort -Manager wie LastPass. Auf diese Weise ist es sicherer.

automatische Aktualisierungen anwenden

Um sicherzustellen, dass kleinere und wichtige Updates automatisch in WordPress stattfinden, können Sie eine kleine Änderung des Codes vornehmen, der sie anwendet. Dies beseitigt die Notwendigkeit, dass Sie es manuell tun müssen (nur geringfügige Aktualisierungen werden automatisch auf WordPress v.3.7 und später angewendet). Sie sollten jedoch sicherstellen, dass Sie automatische, häufige Backups für den Fall aktivieren, dass etwas schief geht und Ihre Website herausnimmt.

Um Aktualisierungen zu aktivieren, wenden Sie den folgenden Code auf Ihre WP-config.php-Datei an:

<span>#Enable all core updates, including minor and major:
</span><span>define ( 'WP_AUTO_UPDATE_CORE', true );</span>

Es ist häufiger, dass Sie ein Problem mit automatischen Updates haben, wenn Sie Plugins verwenden, die nicht angemessen häufig aktualisiert werden. Versuchen Sie daher sicherzustellen, dass die von Ihnen installierten Plugins und Unterstützung nach Möglichkeit verfügbar sind.

PHP -Fehlerberichterstattung

deaktivieren

Wenn ein Plugin oder ein Thema, das Sie verwenden, einen Fehler auswirken, ist es möglich, dass die resultierende Fehlermeldung Ihren Serverpfad anzeigt, der wiederum von Hackern abgefangen werden kann. In diesem Sinne sollten Sie die Fehlerberichterstattung deaktivieren, indem Sie den folgenden Code zu Ihrer Datei wp-config.php hinzufügen:

<span>error_reporting (0);
</span>@<span>ini_set ('display_errors', 0);</span>

Alternativ können Sie Ihren Webhost auf die Bearbeitung Ihrer Konfigurationsdateien nicht zuversichtlich sind, wenn es darum geht, Ihre Konfigurationsdateien zu bearbeiten.

Stop Brute Force Angriffe

Stop

Wenn Sie überwachen würden, wie viele Anmeldesversuche es jeden Tag auf Ihrer WordPress -Site gibt, wären Sie wahrscheinlich schockiert. Dies sind häufige Angriffe, die durch Verwendung komplexer Passwörter bis zu einem gewissen Grad vermeidbar sind. Brute Force -Angriffe stammen im Allgemeinen aus einem Botnetz, das versucht, Ihr Administratorkennwort zu erraten. Sie können das Risiko mildern und die meisten Brute -Force -Angriffe stoppen, indem Sie eine zusätzliche Schutzschicht auf der Anmeldebildschirmebene mit HTTP -Auth.

hinzufügen.

, um dies zu tun, müssen Sie zunächst ein Passwort schützen, indem Ihr Verzeichnis eingerichtet wird. Sobald Sie dies getan haben, müssen Sie Ihrer .htaccess -Datei den folgenden Code hinzufügen:

<span>#Protect wp-login
</span><span><files wp-login.php="">
</files></span>AuthUserFile <span>~/.htpasswd
</span>AuthName <span>"Private access"
</span>AuthType Basic
<span>require user mysecretuser
</span><span></span>

Auf diese Weise werden das Authentifizierungsfeld angezeigt, in dem Sie aufgefordert werden, Ihren Benutzernamen und Ihr Passwort einzugeben, und Sie müssen dann auf dem normalen WordPress -Anmeldebildschirm anmelden. Sie sollten natürlich verschiedene Passwörter für beide verwenden.

Sie können auch Brute -Force -Angriffe verhindern, indem Sie IP -Adressen überwachen, die versuchen, sich anzumelden und sie dann auszuschließen. Sie können einfach den Administratorbenutzern von "Admin" in Ihren eigenen Namen oder etwas anderes ändern und dann das Standard -Administrator -Benutzerprofil löschen. Sie und Ihr Webmaster/Entwickler sollten wirklich die einzigen Personen mit Verwaltungsrechten auf der gesamten Website sein.

URL -basierte Exploits

Dies sind wirklich ein Stich im Dunkeln für Hacker, die versuchen, Schwachstellen auf der Website zu finden, indem sie URL -Anfragen stellen, die einen Fehler zurückgeben sollten, aber manchmal abgeschlossen sind.

Die URL könnte ungefähr so ​​aussehen: http://yourwebsite.com/your/files/%3g/config

In der Regel verwendet ein Hacker eine Eröffnungsklasse in der URL so zuerst, um dies zu überwinden. Es ist erforderlich, eine 403 -verbotene Seite zu generieren, um eine Anforderung zu stoppen, die die Klammer enthält. Fügen Sie dazu einfach die folgende Zeile in Ihre .htaccess -Datei ein:

<span>#Enable all core updates, including minor and major:
</span><span>define ( 'WP_AUTO_UPDATE_CORE', true );</span>

Um einen komplexeren Regeln zu erstellen, müssen Sie nicht den gesamten Code selbst schreiben. Wenn Sie mit der Arbeit mit .htaccess vertraut sind und Ihre Website auf einem Apache -Server ist, können Sie die 5G -Firewall verwenden, die eine schwarze Liste für gemeinsame Exploits ist. Sie müssen auch nicht alle Zeilen verwenden, da es modular ist, und wenn es zu Fehlern führt, können Sie Linien für Linien löschen, bis Sie das Problem feststellen.

Sie können die .htaccess -Datei selbst schützen, indem Sie der Datei die folgende Zeile hinzufügen:

<span>error_reporting (0);
</span>@<span>ini_set ('display_errors', 0);</span>

WordPress Security Plugins

Sie können natürlich auch eines der Sicherheits -Plugins verwenden, die auch für WordPress verfügbar sind. Vor der Installation sollten Sie überprüfen, ob jedes von Ihnen verwendete Plugin häufig unterstützt und aktualisiert wird. Wenn ja, dann sollten Sie auch die Bewertungen und Bewertungen überprüfen, um festzustellen, welche von der WordPress -Community als die besten angesehen werden.

Denken Sie auch daran, dass Sie, wenn Sie viele Plugins für Ihre Installation haben, regelmäßig etwas entfernen, was Sie nicht verwenden. Fragen Sie sich, ob die Funktionalität, die ein bestimmtes Plugin Ihnen ermöglicht, wirklich notwendig ist, und schneiden Sie diejenigen aus, auf die Sie verzichten können. Bei den Deaktivierten für die Plugins sollten Sie sie auch löschen, da sie für einen Hacker einen potenziellen Weg bieten. Wenn Plugins nicht mehr unterstützt werden, sollten Sie nach einer Alternative suchen, da sie verpflichtet ist, irgendwann eine Sicherheitsanfälligkeit zu erzeugen, wenn sie es noch nicht getan hat.

In

geht es zum größten Teil darum, den gesunden Menschenverstand zu verwenden und zu verstehen, dass viel Zeit, Hacks und Malware vom Endbenutzer auf Fehler gesetzt werden können. Zum größten Teil treten Hacker über Exploits in Software ein. Wenn Sie also sicherstellen, dass Sie immer über die neuesten Versionen verfügen, leisten Sie einen guten Job, um sich selbst zu schützen. Hacker suchen nach der einfachsten Route, es sei denn, sie zielen speziell auf Sie ab. Ziehen Sie also Ihre Website fest und machen Sie es ihnen nicht einfach.

Weiteres Lesen

Wenn Sie interessant sind, mehr zu lesen

Was Sie möglicherweise nicht über WordPress Security -Plugins
• wissen
wie man sich vor Rogue WordPress -Plugins schützt
Die endgültige Anleitung zur WordPress -Wartung
verwaltete WordPress -Hosting: Die Vor- und Nachteile
2-Schritt-Überprüfung für WordPress mit Google Authenticator
WordPress -Schwachstellen mit Leichtigkeit
• aufdecken
• Eine Anleitung zur Aktualisierung von WordPress, Plugins und Themen
• Brute -Force -Angriffe gegen WordPress -Websites
verhindern

häufig gestellte Fragen zur Sicherung von WordPress vor Hackern und DDOs -Angriffen

Was sind die Best Practices, um meine WordPress -Site vor Hackern zu sichern? Diese Updates enthalten häufig Sicherheitspatches, die Ihre Website vor bekannten Schwachstellen schützen können. Verwenden Sie außerdem starke, eindeutige Passwörter für Ihr WordPress -Administratorkonto und begrenzen Sie die Anmeldeversuche, um Brute -Force -Angriffe zu verhindern. Das Installieren eines seriösen Sicherheits -Plugins kann auch eine zusätzliche Schutzebene bieten, indem sie nach Malware scannen und verdächtige Aktivitäten blockieren. Durch die Implementierung einer Webanwendungs ​​-Firewall (WAF), die böswilligen Verkehr herausfiltern kann. Services wie Cloudflare und Sucuri bieten WAFs an, die Ihre Website vor DDOS -Angriffen schützen können. Darüber hinaus kann die Verwendung eines Content Delivery Network (CDN) dazu beitragen, den Datenverkehr auf mehrere Server zu verteilen und die Auswirkungen eines DDOS -Angriffs zu verringern. Wenn Sie Ihre Website regelmäßig unterstützen, können Sie auch bei einem Angriff schnell wiederherstellen. Web Application Firewall (WAF) ist eine Sicherheitsmaßnahme, die den HTTP -Datenverkehr zu und von einer Webanwendung überwacht, filtert und blockiert. Es schützt Ihre WordPress-Site, indem sie gemeinsame Angriffsmuster wie SQL-Injektion und Cross-Site-Skriptmeister (XSS) identifiziert und blockiert. Durch die Implementierung eines WAF können Sie Ihre Website vor verschiedenen Arten von Angriffen schützen, einschließlich DDOS -Angriffen. Passwörter sind stark und sicher, verwenden Sie eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Vermeiden Sie die Verwendung häufiger Wörter oder Phrasen und verwenden Sie niemals persönliche Informationen wie Ihren Namen oder Ihr Geburtsdatum. Erwägen Sie, einen Passwort -Manager zu verwenden, um komplexe Passwörter zu generieren und zu speichern. Ändern Sie außerdem Ihre Passwörter regelmäßig und verwenden Sie niemals dasselbe Kennwort für mehrere Konten. (CDN) kann die Leistung und Sicherheit Ihrer WordPress -Site verbessern. Durch die Verteilung der Inhalte Ihrer Website auf mehrere Server auf der ganzen Welt kann ein CDN die Last auf Ihrem Hauptserver reduzieren und Inhalte schneller an Benutzer liefern. Dies kann die Geschwindigkeit und Benutzererfahrung Ihrer Website verbessern. Darüber hinaus kann ein CDN dazu beitragen, Ihre Website vor DDOS -Angriffen zu schützen, indem er den Datenverkehr über sein Netzwerk vertreibt.

Wie kann ich Anmeldeversuche auf meine WordPress -Site einschränken? Sie können dies tun, indem Sie ein Sicherheits -Plugin installieren, das diese Funktion bietet. Diese Plugins können eine IP -Adresse nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche blockieren. Sie können auch die Dauer der Aussperrung festlegen und die Anzahl der zulässigen Anmeldeversuche anpassen.

Wie oft sollte ich meine WordPress -Site sichern? Website. Wenn Sie regelmäßig Inhalte hinzufügen oder aktualisieren, sollten Sie tägliche Sicherungen in Betracht ziehen. Wenn sich Ihre Website nicht häufig ändert, sind wöchentliche oder monatliche Backups möglicherweise ausreichend. Unabhängig von der Frequenz stellen Sie sicher, dass Sie Ihre Sicherungen an einem sicheren Ort speichern und in Betracht ziehen, einen Sicherungsdienst zu verwenden, der automatische Sicherungen bietet. Renommierte Sicherheits -Plugins für WordPress, einschließlich Wordfence, Sucuri und Ithemes Security. Diese Plugins bieten eine Reihe von Funktionen wie Malware -Scan, Firewall -Schutz und Anmeldung. Sie können Ihnen auch Benachrichtigungen senden, wenn sie verdächtige Aktivitäten auf Ihrer Website erkennen.

Wie kann ich die Sicherheit meiner WordPress -Site überwachen? Verschiedene Methoden. Sicherheits -Plugins bieten häufig Überwachungsfunktionen und alarmieren Sie auf potenzielle Bedrohungen oder verdächtige Aktivitäten. Durch regelmäßige Überprüfung der Zugriffsprotokolle Ihrer Website können auch ungewöhnliches Verhalten identifiziert werden. Erwägen Sie außerdem, einen Dienst zu verwenden, der Echtzeitüberwachung und Warnungen bietet.

Was soll ich tun, wenn meine WordPress-Site gehackt wird? Identifizieren und entfernen Sie die Malware. Dies kann mit einem Sicherheits -Plugin oder einem professionellen Malwareentfernungsdienst erfolgen. Sobald die Malware entfernt ist, aktualisieren Sie alle Ihre WordPress -Kern, Themen und Plugins auf die neuesten Versionen. Ändern Sie alle Passwörter und überprüfen Sie die Benutzerkonten, um sicherzustellen, dass keine nicht autorisierten Konten erstellt wurden. Stellen Sie schließlich Ihre Website von einer sauberen Sicherung wieder her und überwachen Sie Ihre Website genau auf weitere verdächtige Aktivitäten.

Das obige ist der detaillierte Inhalt vonWordPress gegen Hacker und DDOs -Angriffe sichern. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!