WordPress adalah platform blog paling popular setakat ini.
Disebabkan popularitinya, ia turut membawa impak positif dan negatif. Hakikat bahawa hampir semua orang menggunakannya menjadikannya lebih mudah untuk mencari kelemahan. Pembangun WordPress melakukan banyak kerja dan mengeluarkan pembetulan dan tampalan apabila pepijat baharu ditemui, tetapi itu tidak bermakna anda hanya boleh memasangnya dan melupakannya.
Dalam artikel ini, kami akan menyediakan beberapa cara yang paling biasa untuk melindungi dan mengukuhkan laman web WordPress anda.
Sentiasa gunakan SSL semasa log masuk ke bahagian belakangSudah semestinya jika anda tidak bercadang untuk membuat blog kasual, anda harus sentiasa menggunakan SSL. Log masuk ke tapak web anda tanpa sambungan yang disulitkan mendedahkan nama pengguna dan kata laluan anda. Sesiapa yang menghidu trafik mungkin menemui kata laluan anda. Ini benar terutamanya jika anda menggunakan WiFi atau menyambung ke tempat liputan awam, di mana anda mempunyai peluang yang lebih tinggi untuk digodam. Anda boleh mendapatkan sijil SSL percuma yang dipercayai dari sini.
Pemalam tambahan yang dipilih dengan telitiDibangunkan oleh pembangun pihak ketiga, kualiti dan keselamatan setiap pemalam sentiasa dipersoalkan, dan ia hanya bergantung pada pengalaman pembangunnya. Apabila memasang sebarang pemalam tambahan, anda harus memilih dengan berhati-hati dan mempertimbangkan popularitinya dan berapa kerap pemalam itu akan dikekalkan. Pemalam yang tidak diselenggara dengan baik harus dielakkan kerana ia lebih terdedah kepada pepijat dan kelemahan yang boleh dieksploitasi dengan mudah.
Topik ini juga melengkapkan topik sebelumnya pada SSL, kerana banyak pemalam mengandungi skrip yang membuat permintaan melalui sambungan tidak selamat (HTTP). Selagi tapak anda diakses melalui HTTP, semuanya kelihatan baik. Walau bagaimanapun, sebaik sahaja anda memutuskan untuk menggunakan penyulitan dan memaksa akses SSL, anda serta-merta menyebabkan kefungsian tapak web rosak, kerana apabila anda mengakses tapak web lain menggunakan HTTPS, skrip pada pemalam ini akan terus menyampaikan permintaan melalui HTTP.
Pasang WordfenceWordfence Dibangunkan oleh Feedjit Inc., Wordfence kini merupakan pemalam keselamatan WordPress yang paling popular dan mesti dimiliki untuk setiap tapak web WordPress yang serius, terutamanya yang menggunakan WooCommerce atau platform e-dagang WordPress yang lain.
Wordfence bukan sekadar pemalam kerana ia menawarkan pelbagai ciri keselamatan yang mengukuhkan tapak web anda. Ia menampilkan tembok api program web, pengimbasan perisian hasad, penganalisis trafik masa nyata dan pelbagai alatan lain yang boleh meningkatkan keselamatan tapak web anda. Firewall akan menyekat percubaan log masuk berniat jahat secara lalai dan bahkan boleh dikonfigurasikan untuk menyekat akses ke seluruh negara melalui julat alamat IP. Perkara yang sangat kami sukai tentang Wordfence ialah walaupun tapak anda terjejas atas sebab tertentu, seperti skrip berniat jahat, Wordfence boleh mengimbas dan membersihkan fail yang dijangkiti pada tapak anda selepas pemasangan.
Syarikat menawarkan kedua-dua pelan langganan percuma dan berbayar untuk pemalam ini, tetapi walaupun dengan pelan percuma, tapak web anda masih akan mendapat tahap yang memuaskan.
Kunci /wp-admin dan /wp-login.php dengan kata laluan tambahanLangkah lain untuk melindungi bahagian belakang WordPress anda ialah menggunakan perlindungan kata laluan tambahan untuk mana-mana direktori (iaitu URL) yang anda tidak ingin sesiapa gunakan kecuali anda. Direktori /wp-admin tergolong dalam senarai direktori utama ini. Jika anda tidak membenarkan pengguna biasa log masuk ke WordPress, anda harus menyekat akses kepada fail wp.login.php menggunakan kata laluan. Sama ada anda menggunakan Apache atau Nginx, anda boleh melawati dua artikel ini untuk mengetahui cara untuk memastikan pemasangan WordPress anda juga.
Lumpuhkan/hentikan penghitungan penggunaIni ialah cara yang agak mudah untuk penyerang menemui nama pengguna yang sah di tapak anda (iaitu mengetahui nama pengguna pentadbir). Jadi bagaimana ia berfungsi? Ia sangat mudah. Cuma ikut URL utama di mana-mana tapak WordPress dengan /?author=1. Contohnya: wordpressexample.com/?author=1.
Untuk melindungi tapak web anda daripada ini, cuma pasang pemalam Stop User Enumeration.
Lumpuhkan XML-RPCRPC adalah singkatan kepada Remote Procedure Call, protokol yang boleh digunakan untuk meminta perkhidmatan daripada program yang terletak pada komputer lain pada rangkaian. Untuk WordPress, XML-RPC membolehkan anda menerbitkan siaran pada blog WordPress anda menggunakan pelanggan blogging web yang popular seperti Windows Live Writer, yang juga diperlukan jika anda menggunakan aplikasi mudah alih WordPress. XML-RPC telah dilumpuhkan dalam versi terdahulu, tetapi pada WordPress 3.5 ia didayakan secara lalai, menjadikan tapak anda terbuka kepada kemungkinan serangan yang lebih besar. Walaupun pelbagai penyelidik keselamatan mencadangkan bahawa ini bukan isu besar, jika anda tidak bercadang untuk menggunakan klien blog web atau aplikasi mudah alih WP, anda harus melumpuhkan perkhidmatan XML-RPC.
Terdapat pelbagai cara untuk melakukan ini, yang paling mudah ialah memasang pemalam Lumpuhkan XML-RPC.
Atas ialah kandungan terperinci 5 cara praktikal untuk meningkatkan keselamatan laman web WordPress anda. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!