Ako mislite da je vaša web lokacija sigurna jer hakere ne zanima, onda se varate jer velika većina kršenja sigurnosti nije usmjerena na krađu vaših podataka ili unakazivanje vaše web stranice.

Hakeri obično žele koristiti vaš server kao relej za neželjenu poštu ili za postavljanje privremenog web servera, obično za posluživanje ilegalnih datoteka. Ako vas hakiraju, budite spremni izdvojiti nešto novca za troškove povezane sa serverom.

Postoji nekoliko različitih načina za jačanje sigurnosti vaše web lokacije ili mreže na više lokacija, ali jedan od najjednostavnijih je uređivanje datoteke. wp-config.php. Ažuriranje ove konfiguracijske datoteke, iako ne postoji jednoznačno rješenje, je pravilo koje se mora poštivati ​​za ukupnu sigurnost.

Imajući to na umu, istražit ćemo različite modifikacije koje možete napraviti da biste osigurali svoje WordPress blog.

Konfigurirati konstante WordPress

U vašoj WordPress konfiguracijskoj datoteci, takođe pozvanoj wp-config.php , možete definirati ono što se naziva PHP konstantama za obavljanje određenih zadataka. WordPress ima puno konstanti koje možete koristiti.

Konstante su također umotane u funkciju definiranja() kao što je prikazano u ovom primjeru sintakse:

define ( 'NOM_DE_LA_CONSTANTE', vrijednosti);

Na WordPressu datoteka wp-config.php se učitava prije ostatka datoteka koje čine jezgru. To znači da ako promijenite vrijednost konstante u wp-config.phpmožete promijeniti način reagiranja i funkcioniranja WordPress-a. Neke funkcije možete onemogućiti ili ih uključiti promjenom vrijednosti. U mnogim slučajevima to se može učiniti promjenom true za lažno, i obrnuto, na primjer.

Ispod ćete pronaći različite konstante, kao i druge vrste PHP koda koje možete koristiti u svojoj datoteci wp-config.php  da povećate svoju sigurnost. Postavite ih sve iznad sljedećeg retka u datoteci wp-config.php:

/ * To je sve, zaustaviti uređivanje! Happy blogging. * /

Pažnja: Budite oprezni

Budući da promjene koje ćete napraviti mogu dramatično promijeniti vašu web lokaciju, ovo je dobro ideja potkrepljenja. Ako se pojavi greška, možete brzo vratiti svoju web lokaciju na točku prije ovih promjena i nakon što normalno funkcionira, možete pokušati ponovo.

1. Promijenite sigurnosne ključeve

Možda ste već svjesni različitih sigurnosnih ključeva i možda ste već dodali jedinstvene ključeve, što je sasvim dobro.

Sigurnosni ključevi informacija šifriraju podatke pohranjene u kolačićima i može biti korisno promijeniti ih, posebno nakon što je vaša web lokacija hakirana. Ovo bi završilo sve otvorene sesije prijavljenih korisnika na vašoj web lokaciji, što znači da su i hakeri odjavljeni.

Kada resetirate lozinke i provjerite je li na vašoj web lokaciji uklonjeno backdoor iskorištavanje i slično.

Možete generirati novi set sigurnosnih ključeva pomoću WordPress sigurnost ključni generator. Kopirajte sav sadržaj i zalijepite ga da biste zamijenili odjeljak koji izgleda ovako:

define( 'AUTH_KEY', 't`DK%X:>xy|eZ(BXb/f(Ur`8#~UzUQG-^_Cs_GHs5U-&Wb?pgn^p8(2@}IcnCa|' ); define( 'SECURE_AUTH_KEY ', 'D&ovlU#|CvJ##uNq}bel+^MFtT&.b9{UvR]g%ixsXhGlRJ7q!h}XWdEC[BOKXssj' ); define( 'LOGGED_IN_KEY', 'MGKi8Br(&{H*~0s;  (hdXW|0M=X={we5;Mpvtg+Vo<$|#_}qG(GaVDEsn,~*4i' ); define( 'NONCE_SALT', 'a|#h{c2|P &xWs7IZ0c2&%8!c( /uG}W:mAvy

2. Prisilite upotrebu SSL-a

SSL certifikat šifrira vezu između vaše web lokacije i preglednika posjetitelja, tako da hakeri ne mogu presresti i ukrasti lične podatke. Ako već imate instaliran SSL certifikat, tada ćete morati prisiliti WordPress da ga koristi, to može povećati vašu sigurnost.

Da biste prisilno koristili SSL certifikat tijekom veze, dodajte ovaj redak:

define ( 'FORCE_SSL_LOGIN', true);

Svoj SSL certifikat možete prisiliti i na administratorskoj nadzornoj ploči ovim redom:

define ( 'FORCE_SSL_ADMIN', true);

Ovo su veoma dobre tačke za početak, iako bi idealno bilo da koristite SSL sertifikat na svim vašim sajt.

3. Izmijenite prefiks baze podataka

Prefiks se nalazi ispred imena svih tablica u vašoj bazi podataka. Tablica prema zadanim postavkama koristi prefiks " wp_" a dodavanje u vašu bazu podataka će dodati dodatni zadatak za hakera. Što više prepreka dodate, to više tvoj blog biće teško hakovati.

Promjena zadanog prefiksa pomaže i sve što morate učiniti je promijeniti konstantu na datoteci " wp-config.php ", ali bilo bi potrebno i da tablice baze podataka u vašoj instalaciji imaju isti novi prefiks. Možete se promeniti wp_ za nešto slično g628_. Morate odabrati nešto što zaista nije lako pogoditi.

4. Onemogućite uređivanje tema i dodataka

U svakoj WordPress instalaciji možete direktno uređivati ​​dodatke i teme putem nadzorne ploče. Ako je haker mogao pristupiti vašoj nadzornoj ploči, on ima pristup ovom posebnom uređivaču u kojem bi onda mogao raditi sve što je želio u okviru vaših datoteka i tema dodataka, kao što je dodavanje zlonamjernog softvera, virusa ili neželjena pošta.

5. Onemogući uklanjanje pogrešaka

Ako ste ikada omogućili otklanjanje grešaka na svojoj web lokaciji ili na mreži, vjerovatno ćete to učiniti jer je to odličan alat za rješavanje problema, ali nemojte zaboraviti da ga onemogućite kada završite. Ako ovu opciju ostavite uključenu, može otkriti važne informacije o vašoj web-lokaciji i lokaciji njenih datoteka hakerima svakome ko posjeti vašu web-lokaciju.

Da biste onemogućili način otklanjanja pogrešaka, možete promijeniti WP_DEBUG konstantu iz true u false na sljedeći način:

define ( 'WP_DEBUG', false);

6. Onemogućite evidentiranje grešaka u WordPressu

 Ako ne možete izvršiti prethodnu promjenu, jer još uvijek morate aktivno otkloniti pogreške na web lokaciji, i dalje možete zaštititi vitalne informacije web lokacije isključivanjem front-end grešaka i isključivanjem evidentiranja pogrešaka.

Da biste onemogućili izvještavanje o pogreškama sučelja, dodajte ovaj redak, a da ispravljanje pogrešaka (WP_DEBUG) ostane postavljeno na Tačno:

define ( 'WP_DEBUG_DISPLAY', false);

7. Omogući automatska ažuriranja

Ažuriranje vaše web lokacije sa najnovijim verzijama WordPressa, zajedno s vašim dodacima i temama, trebalo bi biti važan dio u razvoju sigurnosne strategije. OdAžuriranja pružaju sigurnosne ispravke za poznate ranjivosti, a ne ažuriranje izloženih tvoj blog na ove potencijalne rizike.

Od WordPress verzije 3.7, manji sigurnosni popravci automatski se primjenjuju na WordPress web lokacije, ali osnovne verzije nisu. Međutim, možete omogućiti automatsko ažuriranje za sve nove verzije promjenom vrijednosti konstante za automatsko ažuriranje:

define ( 'WP_AUTO_UPDATE_CORE', true);

Isto tako, možete dodati sljedeći redak ispod prethodnog kako biste omogućili automatsko ažuriranje dodataka:

add_filter ( 'auto_update_plugin', '__return_true');

Možete i slijediti ovaj red da biste omogućili automatsko ažuriranje tema:

add_filter ( 'auto_update_theme', '__return_true');

To je to za ovaj tutorijal. Nadam se da će vam to omogućiti da bolje osigurate svoje WordPress blog.