Hvordan IKKE sikre ditt WordPress-nettsted

Hvordan IKKE sikre ditt WordPress-nettsted

Hva er det første du vil gjøre når du vil sikre deg WordPress-nettstedet? Finn ut de fem beste plugin-modulene, vurder hvor rimelige de er, og fortsett deretter med å installere en. Når det er gjort, nå kan du lene deg tilbake og slappe av, ikke sant? Feil!


Å bruke en sikkerhetsplugin sikrer ikke sikkerhet. Sikkerhet er ikke en absolutt ting, og ingen kan garantere full sikkerhet. Det beste vi kan gjøre er å redusere risikoen for en hacking. Og i motsetning til populær tro, må nettstedseieren være involvert i å holde nettstedet trygt. Det er viktig å vite hva du bør gjøre og ikke bør.

Selv om det er flere guider for hva du bør gjøre for å holde WordPress-nettstedet ditt trygt, tilbyr vi deg en guide til hva du bør unngå i stedet. Du vil merke at rådene her er i strid med den generelle troen. Men fra vår erfaring er mange råd der ute utdaterte og gir en falsk følelse av sikkerhet.

Hvis saken om WordPress-sikkerhet knytter deg så mye som det gjør for oss, kan du se på følgende.

1. Ikke bruk for mange sikkerhetsplugins

Gitt det store utvalget av plugins som er tilgjengelige der ute, med forskjellige funksjonssett, er det fristende å bruke mer enn ett WordPress-sikkerhetsplugin. For å være ærlig, er det en overkill. Å være engstelig for nettstedets sikkerhet er normalt, men du må spørre deg selv om du virkelig trenger mer enn ett sikkerhetsplugin? Hva er funksjonene som er viktige for nettstedets krav? Skal funksjonene tråkke på hverandres tær?

For eksempel kan det oppstå en konflikt når plugins begynner å endre filer som wp-config.php eller htaccess. Plugins kan enkelt fikle med disse filene, men de endrer dem ikke på en enstemmig måte. Dette kan skape konflikter og gjøre nettstedet ditt tregt.

Med WordPress-nettsteder kan ting gå galt nå og da. Alle hater den fryktede White Screen of Death. Å ha flere plugins som påvirker nettstedet ditt dypt, kan gjøre feilsøkingsproblemer vanskelig. Hadde det bare vært en plugin, ville det vært lettere og mindre komplisert å finne og fikse årsaken til feilen.

2. Ikke endre DB-prefikset

Det er flere måter et WordPress-nettsted kan bli skadet på. Hacker kan få tilgang til nettstedets database gjennom SQL-injeksjonsangrep. En sårbarhet i en plugin eller et tema kan brukes til å bryte inn i nettstedets database (som vi derfor foreslår at du i stedet bruker en WordPress-database backup-plugin for å unngå lignende fallgruver). En populær metode for å forhindre hackere fra å gå dypere inn på nettstedet ditt, er ved å endre standard tabellprefikset. Som du ser på bildet nedenfor, i WordPress, er standard tabellprefikset ‘wp_.’ WordPress lar deg endre tabellprefiks (for å si, ‘xzy_’) for å skjule visse tabeller.

WordPress databaseprefikser

På overflaten ser dette ut som en god idé. Hvis hackerne ikke vet tabellenavnet, kan de ikke hente dataene fra det. Dette er imidlertid en falsk begrunnelse. Når noen har kommet inn i databasen din, er det fremdeles måter å finne frem til tabellene. Endring av navn på prefikset hjelper derfor ikke. Endring av standardprefikset kan dessuten føre til at flere plugins oppfører seg feil.

Videre er det vanskelig å implementere midelflytting av databaseprefikset og kan føre til at nettstedet ditt krasjer. Dette er fordi det er mange endringer som må gjøres på alle nivåer. Enhver feil i prosessen vil vise seg å være katastrofalt for nettstedet ditt.

3. Unngå å skjule påloggingssiden din

Det er alltid noen som prøver å bryte seg inn på nettstedet ditt ved å sprekke passordet ditt. Under brute force-angrep prøver hackere å logge seg på nettstedet ditt ved å bruke en kombinasjon av populære brukernavn og passord. Så hva om vi skjuler påloggingssiden? Det vil drepe to fugler med en stein, ikke sant? Hacker kunne ikke finne påloggingssiden, og belastningen på serveren din vil bli redusert.

WordPress har en standard påloggingsside. URL til siden ser vanligvis ut som dette eksempelet.com/wp-login.php. En kjent måte å redde nettstedet ditt mot brute force angrep er ved å skjule eller endre standard påloggingssiden til noe annet som eksempel.com/mylogin.php. Selv om dette høres ut som en idiotsikker plan, la oss finne ut hvor effektiv metoden er for å holde WordPress-nettstedet ditt sikkert.

Serverbelastningsreduksjon

Når du har gjemt eller endret plasseringen til påloggingssiden din, vil de få en 404-feil hver gang noen prøver å åpne den. Innloggingsforsøk er imidlertid en tung prosess. Når 404-feilsiden lastes inn, spiser den mye av serverressursene dine. Og ender med å bremse nettstedet ditt. Derfor er den vanlige oppfatningen at å skjule innloggingssiden din redusere belastningen på serveren, feil.

Alternativ URL ikke vanskelig å gjette

En del av WordPress ‘suksess som CMS skyldes plugins som gjør endringer på et nettsted enklere. Det er ikke overraskende at en populær måte å skjule en påloggingsside for et nettsted er ved å bruke en plugin. Disse programtilleggene har et sett med standard alternativ påloggingsadresse som xzy.com/wplogin.php, etc. Vi har fått opplæring i å bare gå med standardinnstillinger. Når vi installerer plugin-modulen og endrer URL-en vår, legger vi ikke så mye vekt på den. Men det er bare så mange URLer en plugin kan tilby. Det er ikke så vanskelig å finne ut av denne forhåndsinnstilte innloggingsadressen. Derfor kan bruk av alternativ URL være ineffektiv i de fleste tilfeller.

Problemer med brukervennlighet

Det fine med WordPress er at det er enkelt å bruke. Det er en kjent plattform. Hvis du endrer eller skjuler påloggingssiden, kan det være visse problemer for et nettsted med mange brukere. Flere ganger har vi kommet over innlegg på WordPress-fora der brukere er låst ute av et nettsted på grunn av endring av påloggingsadressen. I de fleste tilfeller ble endringene gjort med en plugin, og brukerne ble ikke gjort oppmerksom på situasjonen som forårsaker kaos.

4. Ikke blokker IP-adresser manuelt

Hvis du har en sikkerhetsplugin installert på nettstedet ditt, vil du bli varslet når noen prøver å logge seg på nettstedet ditt. Du kan enkelt få tak i IP-en som sender de ondsinnede forespørslene og blokkerer dem ved å bruke .htaccess-filen. Det er et manuelt intensivt arbeid og ikke en veldig praktisk praksis.

Ikke brukervennlig

En ikke-teknisk person som prøver å endre .htaccess-filene, er en oppskrift på katastrofe. Et innholdsstyringssystem som WordPress har veldig streng formatering. Selv å bruke de mest populære verktøyene som FTP / SFTP er veldig risikabelt. En mindre feil eller en feil kommandoplassering kan føre til at nettstedet krasjer.

For mange IP-er å blokkere

For å unngå å bli svartelistet, bruker hackere IP-adresser fra hele verden. Tidligere diskuterte vi om manuell blokkering av IP-adresser som stadig prøver å bryte seg inn på nettstedet ditt. Arbeidet (som vi har nevnt før) krever mye tid og krefter, men er ikke akkurat en veldig effektiv tidsbruk. Men hvis du bruker noen av de beste WordPress-sikkerhetspluginene, for eksempel Malcare, kan du automatisere blokkeringsprosessen. Slike sikkerhetsplugins tar seg av alle WP-sikkerhetsmåler.

5. Gjemme WordPress

Det er en generell antakelse at å skjule CMS gjør det vanskeligere for mennesker med svak intensjon å bryte seg inn på nettstedet ditt. Hva om vi kunne skjule det faktum at nettstedet ditt kjører på WordPress. Det vil beskytte nettstedet ditt mot hackere som ønsker å utnytte vanlige sårbarheter. En enkel måte å gjøre dette på er ved (du gjettet det) ved å bruke en plugin. Men metoden mislykkes når hackerne ikke bryr seg hvilken plattform nettstedet ditt kjører på. Dessuten er det mange måter å finne ut om et nettsted kjører på WordPress.

I tillegg til å bruke en plugin, kan man velge å gjøre arbeidet manuelt. Men det er en tidkrevende prosess. En enkelt WordPress-oppdatering kan angre alt du jobber i løpet av få sekunder. Noe som betyr at du enten må gjenta prosessen om og om igjen eller vike unna WP-oppdateringer. Å hoppe over WordPress-oppdateringer er som å åpne inngangsdøren for at en hacker kan gå rett inn i hjemmet ditt.

6. Passordbeskyttelse wp-admin fungerer ikke

Standard innloggingsside for WordPress (som ser slik ut – eksempel.com/wp-admin) er en inngangsport til nettstedet ditt. En typisk påloggingsside ser ut som på bildet nedenfor.

Her må du bruke legitimasjon for å få tilgang til WordPress-dashbordet. Passordbeskyttelse av påloggingssiden hjelper til med å skjule eller beskytte denne porten til dashbordet. Det er en god idé, men ikke uten smutthull.

LookLinux passordbeskyttelseseksempel

Bilde høflighet: LookLinux

For det første er det vanskelig å vedlikeholde eller til og med endre passordet, hvis du skulle miste det. I tillegg til å være ineffektiv med å gi ekstra sikkerhet, kan slike endringer på nettstedet ditt vise seg å være veldig farlige. Når du for eksempel passordbeskytter admin-siden, kan forespørsler som /wp-admin/admin-ajax.php ikke omgå beskyttelsen. Det er plugins som kan være avhengig av Ajax-funksjonaliteten til nettstedet ditt. Og når de ikke har tilgang til denne funksjonaliteten, begynner de å oppføre seg feil. Derfor kan dette føre til at nettstedet går i stykker.

Over til deg

Hvis du har spørsmål eller forslag angående hva du trenger å unngå for å sikre deg et WordPress-nettsted, gi oss beskjed i kommentarene.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map