Key Takeaways

• Priorisieren Sie die Serversicherheit, indem Sie einen Host basierend auf Sicherheit und Reputation und nicht auf dem Preis ausw?hlen. Stellen Sie sicher, dass der Host stabile Versionen der Server-Software ausführt, eine Firewall auf Serverebene erm?glicht, h?ufige Sicherungen und Wiederherstellungen erm?glicht und die Intrusion-Erkennung durchführt.
• Aktualisieren Sie immer WordPress, Themen und Plugins auf die neuesten Versionen, sobald sie verfügbar sind. Verwenden Sie einen Passwort -Manager, um komplexe Passw?rter zu generieren und diese sicher zu speichern.
• Angriffe von Brute -Force -Angriffen verhindern, indem eine zus?tzliche Schutzebene auf der Anmeldebildschirmebene mit HTTP -Auth?fen hinzugefügt, IP -Adressen überwacht werden, die versuchen, sich anzumelden, sie auszuschlie?en und den Admin -Benutzernamen von 'Admin' auf deinen eigenen Namen oder etwas zu ?ndern sonst.
• Verwenden Sie WordPress -Sicherheits -Plugins, die regelm??ig aktualisiert und von der WordPress -Community hoch bewertet werden. Entfernen Sie regelm??ig unbenutzte Plugins und ersetzen Sie nicht unterstützte, um potenzielle Schwachstellen zu minimieren.

Es gibt kein Bestreben der Popularit?t von WordPress, die mehr als 74,6 Mio. Websites auf der ganzen Welt betreibt. 48% der 100 besten Blogs von Technorati werden von der Plattform verwaltet. In der Online -Welt ist alles, was beliebt ist, offener für Angriffe und WordPress ist keine Ausnahme. Die Arten von Angriffen, die dazu neigen, WordPress-Sites zu treffen-es sei denn, Sie sind eine gro?e Marke-, werden im Allgemeinen von Menschen ohne gro?e Menge an technischem Know-how durchgeführt. Diese werden h?ufig auf ?Skriptkinder“ bezeichnet, da sie gemeinsame Code, Techniken und Kits verwenden, um Zielseiten zu hacken.

Die gute Nachricht dazu ist, dass dies h?ufig ein Angriff schnell und einfach erhoben werden kann. Es ist nicht notwendig, zu der Bühne zu gelangen, in der ein Angriff sch?digt, da die meisten überhaupt verhindert werden k?nnen. Heute werden wir uns also ansehen, wie Sie Ihre Installation sichern und h?ufige Hacks vermeiden k?nnen.

Beginnen Sie mit dem Server

Bevor Sie über die Sicherung Ihrer Website nachdenken, sollten Sie von Grund auf starten. Das bedeutet, dass Ihr Hosting -Server überhaupt sicher ist. Beginnend mit den Grundlagen sollten Sie einen Host basierend auf Sicherheit und Ruf und nicht auf dem Preis ausw?hlen. Ich bin mir zwar sicher, dass es da drau?en einige anst?ndige billige Hosts gibt, zum gr??ten Teil das Hosting, das Sie 2 US -Dollar pro Monat kostet, wird den Senf nicht reduzieren.

Die meisten verwalteten WordPress -Hosting -Dienste haben den Ruf eines sicheren Hosting. Sie lassen jedoch nicht alle einige leistungsbezogene Plugins zu.

Die meisten von ihnen bieten:

• verwaltet WordPress Hosting
• Automatische Sicherheitsaktualisierungen
• t?gliche Backups
• Ein-Klick-Wiederherstellungspunkte
• automatisches Caching
• Top-Tier-Sicherheit

Wie auch immer Sie sich entscheiden, dass Sie mit Ihnen gehen sollten, dass sie Folgendes anbieten:

• Stabile Versionen von Server -Software und Patch nach Bedarf ausführen
• Aktivieren Sie eine Firewall auf Serverebene
• Erm?glichen Sie, h?ufig und einfach wieder zu stützen und wiederherzustellen (Site und Datenbank)
• Intrusion Detection

verwaltete Hosts (z. B. beispielsweise WPengine) verwenden Caching, das durch ein CDN weitergeleitet wird. Wenn Sie also wirklich keinen verwalteten WordPress -Host verwenden m?chten, sollten Sie ein CDN neben einem Caching -Plugin wie W3 Total implementieren. Cache. Dies ist eine einfache M?glichkeit, Ihre Website so einzurichten, dass der gesamte Datenverkehr, der durch die CDN -Caches geleitet wird, auch durch eine sichere Socket -Ebene (SSL/TLS) führt. Wenn Sie eine Hand ben?tigen, um diese Technologien um den Kopf zu bringen, empfehlen ich die folgenden visuellen Leitf?den von MaxCDN. Im Interesse der vollst?ndigen Offenlegung arbeite ich für MaxCDN, aber ich bin sicher, dass Sie sie als nützliche Ressourcen finden:

• Was ist ein CDN?
• Wie SSL
funktioniert
• WordPress mit W3 Total Cache mit einem CDN
einrichten

Leider sind WordPress -Installationen auf gemeinsam genutzten Servern und nicht diejenigen auf einem VPS oder einem dedizierten Server so installiert und konfiguriert, was für den Host am einfachsten ist, aber nicht unbedingt die sicherste.

Beachten Sie, dass die folgenden Konfigurationen für erweiterte Benutzer bestimmt sind, die mit Codierung oder grundlegenden Sysadmin -Aufgaben vertraut sind. Wenn dies nicht der Fall ist, bitten Sie Ihren Webentwickler, dies für Sie einzurichten.

Anmeldungen, Passw?rter und Plugins

Nur ein kurzes Wort zu diesem, das sich wiederholt, da mehr als 70% der WordPress -Installationen anf?llig für Angriffe sind. Stellen Sie immer sicher, dass Sie, wenn Sie WordPress installiert haben, die neueste Version aktualisiert, sobald sie verfügbar ist. Gleiches gilt für Ihr Thema und für alle von Ihnen verwendeten Plugins. Gleiches gilt für Ihre Serversoftware. Für viele von Ihnen mag es offensichtlich klingen, aber die Statistiken sprechen für sich, es gibt viele, viele ?ltere Versionen der Plattform.

Wenn es um Passw?rter geht, sto?e ich t?glich auf Personen, die immer noch so etwas wie ?CompanyName123“ als Passwort verwenden. Für sich und jeden anderen Benutzer generieren Sie komplexe Passw?rter und speichern Sie in einem Passwort -Manager wie LastPass. Auf diese Weise ist es sicherer.

automatische Aktualisierungen anwenden

Um sicherzustellen, dass kleinere und wichtige Updates automatisch in WordPress stattfinden, k?nnen Sie eine kleine ?nderung des Codes vornehmen, der sie anwendet. Dies beseitigt die Notwendigkeit, dass Sie es manuell tun müssen (nur geringfügige Aktualisierungen werden automatisch auf WordPress v.3.7 und sp?ter angewendet). Sie sollten jedoch sicherstellen, dass Sie automatische, h?ufige Backups für den Fall aktivieren, dass etwas schief geht und Ihre Website herausnimmt.

Um Aktualisierungen zu aktivieren, wenden Sie den folgenden Code auf Ihre WP-config.php-Datei an:

<span>#Enable all core updates, including minor and major:
</span><span>define ( 'WP_AUTO_UPDATE_CORE', true );</span>

Es ist h?ufiger, dass Sie ein Problem mit automatischen Updates haben, wenn Sie Plugins verwenden, die nicht angemessen h?ufig aktualisiert werden. Versuchen Sie daher sicherzustellen, dass die von Ihnen installierten Plugins und Unterstützung nach M?glichkeit verfügbar sind.

PHP -Fehlerberichterstattung

deaktivieren

Wenn ein Plugin oder ein Thema, das Sie verwenden, einen Fehler auswirken, ist es m?glich, dass die resultierende Fehlermeldung Ihren Serverpfad anzeigt, der wiederum von Hackern abgefangen werden kann. In diesem Sinne sollten Sie die Fehlerberichterstattung deaktivieren, indem Sie den folgenden Code zu Ihrer Datei wp-config.php hinzufügen:

<span>error_reporting (0);
</span>@<span>ini_set ('display_errors', 0);</span>

Alternativ k?nnen Sie Ihren Webhost auf die Bearbeitung Ihrer Konfigurationsdateien nicht zuversichtlich sind, wenn es darum geht, Ihre Konfigurationsdateien zu bearbeiten.

Stop Brute Force Angriffe

Stop

Wenn Sie überwachen würden, wie viele Anmeldesversuche es jeden Tag auf Ihrer WordPress -Site gibt, w?ren Sie wahrscheinlich schockiert. Dies sind h?ufige Angriffe, die durch Verwendung komplexer Passw?rter bis zu einem gewissen Grad vermeidbar sind. Brute Force -Angriffe stammen im Allgemeinen aus einem Botnetz, das versucht, Ihr Administratorkennwort zu erraten. Sie k?nnen das Risiko mildern und die meisten Brute -Force -Angriffe stoppen, indem Sie eine zus?tzliche Schutzschicht auf der Anmeldebildschirmebene mit HTTP -Auth.

hinzufügen.

, um dies zu tun, müssen Sie zun?chst ein Passwort schützen, indem Ihr Verzeichnis eingerichtet wird. Sobald Sie dies getan haben, müssen Sie Ihrer .htaccess -Datei den folgenden Code hinzufügen:

<span>#Protect wp-login
</span><span><files wp-login.php="">
</span>AuthUserFile <span>~/.htpasswd
</span>AuthName <span>"Private access"
</span>AuthType Basic
<span>require user mysecretuser
</span><span></files></span>

Auf diese Weise werden das Authentifizierungsfeld angezeigt, in dem Sie aufgefordert werden, Ihren Benutzernamen und Ihr Passwort einzugeben, und Sie müssen dann auf dem normalen WordPress -Anmeldebildschirm anmelden. Sie sollten natürlich verschiedene Passw?rter für beide verwenden.

Sie k?nnen auch Brute -Force -Angriffe verhindern, indem Sie IP -Adressen überwachen, die versuchen, sich anzumelden und sie dann auszuschlie?en. Sie k?nnen einfach den Administratorbenutzern von "Admin" in Ihren eigenen Namen oder etwas anderes ?ndern und dann das Standard -Administrator -Benutzerprofil l?schen. Sie und Ihr Webmaster/Entwickler sollten wirklich die einzigen Personen mit Verwaltungsrechten auf der gesamten Website sein.

URL -basierte Exploits

Dies sind wirklich ein Stich im Dunkeln für Hacker, die versuchen, Schwachstellen auf der Website zu finden, indem sie URL -Anfragen stellen, die einen Fehler zurückgeben sollten, aber manchmal abgeschlossen sind.

Die URL k?nnte ungef?hr so ??aussehen: http://yourwebsite.com/your/files/%3g/config

In der Regel verwendet ein Hacker eine Er?ffnungsklasse in der URL so zuerst, um dies zu überwinden. Es ist erforderlich, eine 403 -verbotene Seite zu generieren, um eine Anforderung zu stoppen, die die Klammer enth?lt. Fügen Sie dazu einfach die folgende Zeile in Ihre .htaccess -Datei ein:

<span>#Enable all core updates, including minor and major:
</span><span>define ( 'WP_AUTO_UPDATE_CORE', true );</span>

Um einen komplexeren Regeln zu erstellen, müssen Sie nicht den gesamten Code selbst schreiben. Wenn Sie mit der Arbeit mit .htaccess vertraut sind und Ihre Website auf einem Apache -Server ist, k?nnen Sie die 5G -Firewall verwenden, die eine schwarze Liste für gemeinsame Exploits ist. Sie müssen auch nicht alle Zeilen verwenden, da es modular ist, und wenn es zu Fehlern führt, k?nnen Sie Linien für Linien l?schen, bis Sie das Problem feststellen.

Sie k?nnen die .htaccess -Datei selbst schützen, indem Sie der Datei die folgende Zeile hinzufügen:

<span>error_reporting (0);
</span>@<span>ini_set ('display_errors', 0);</span>

WordPress Security Plugins

Sie k?nnen natürlich auch eines der Sicherheits -Plugins verwenden, die auch für WordPress verfügbar sind. Vor der Installation sollten Sie überprüfen, ob jedes von Ihnen verwendete Plugin h?ufig unterstützt und aktualisiert wird. Wenn ja, dann sollten Sie auch die Bewertungen und Bewertungen überprüfen, um festzustellen, welche von der WordPress -Community als die besten angesehen werden.

Denken Sie auch daran, dass Sie, wenn Sie viele Plugins für Ihre Installation haben, regelm??ig etwas entfernen, was Sie nicht verwenden. Fragen Sie sich, ob die Funktionalit?t, die ein bestimmtes Plugin Ihnen erm?glicht, wirklich notwendig ist, und schneiden Sie diejenigen aus, auf die Sie verzichten k?nnen. Bei den Deaktivierten für die Plugins sollten Sie sie auch l?schen, da sie für einen Hacker einen potenziellen Weg bieten. Wenn Plugins nicht mehr unterstützt werden, sollten Sie nach einer Alternative suchen, da sie verpflichtet ist, irgendwann eine Sicherheitsanf?lligkeit zu erzeugen, wenn sie es noch nicht getan hat.

In

geht es zum gr??ten Teil darum, den gesunden Menschenverstand zu verwenden und zu verstehen, dass viel Zeit, Hacks und Malware vom Endbenutzer auf Fehler gesetzt werden k?nnen. Zum gr??ten Teil treten Hacker über Exploits in Software ein. Wenn Sie also sicherstellen, dass Sie immer über die neuesten Versionen verfügen, leisten Sie einen guten Job, um sich selbst zu schützen. Hacker suchen nach der einfachsten Route, es sei denn, sie zielen speziell auf Sie ab. Ziehen Sie also Ihre Website fest und machen Sie es ihnen nicht einfach.

Weiteres Lesen

Wenn Sie interessant sind, mehr zu lesen

Was Sie m?glicherweise nicht über WordPress Security -Plugins
• wissen
wie man sich vor Rogue WordPress -Plugins schützt
Die endgültige Anleitung zur WordPress -Wartung
verwaltete WordPress -Hosting: Die Vor- und Nachteile
2-Schritt-überprüfung für WordPress mit Google Authenticator
WordPress -Schwachstellen mit Leichtigkeit
• aufdecken
• Eine Anleitung zur Aktualisierung von WordPress, Plugins und Themen
• Brute -Force -Angriffe gegen WordPress -Websites
verhindern

h?ufig gestellte Fragen zur Sicherung von WordPress vor Hackern und DDOs -Angriffen

Was sind die Best Practices, um meine WordPress -Site vor Hackern zu sichern? Diese Updates enthalten h?ufig Sicherheitspatches, die Ihre Website vor bekannten Schwachstellen schützen k?nnen. Verwenden Sie au?erdem starke, eindeutige Passw?rter für Ihr WordPress -Administratorkonto und begrenzen Sie die Anmeldeversuche, um Brute -Force -Angriffe zu verhindern. Das Installieren eines seri?sen Sicherheits -Plugins kann auch eine zus?tzliche Schutzebene bieten, indem sie nach Malware scannen und verd?chtige Aktivit?ten blockieren. Durch die Implementierung einer Webanwendungs ??-Firewall (WAF), die b?swilligen Verkehr herausfiltern kann. Services wie Cloudflare und Sucuri bieten WAFs an, die Ihre Website vor DDOS -Angriffen schützen k?nnen. Darüber hinaus kann die Verwendung eines Content Delivery Network (CDN) dazu beitragen, den Datenverkehr auf mehrere Server zu verteilen und die Auswirkungen eines DDOS -Angriffs zu verringern. Wenn Sie Ihre Website regelm??ig unterstützen, k?nnen Sie auch bei einem Angriff schnell wiederherstellen. Web Application Firewall (WAF) ist eine Sicherheitsma?nahme, die den HTTP -Datenverkehr zu und von einer Webanwendung überwacht, filtert und blockiert. Es schützt Ihre WordPress-Site, indem sie gemeinsame Angriffsmuster wie SQL-Injektion und Cross-Site-Skriptmeister (XSS) identifiziert und blockiert. Durch die Implementierung eines WAF k?nnen Sie Ihre Website vor verschiedenen Arten von Angriffen schützen, einschlie?lich DDOS -Angriffen. Passw?rter sind stark und sicher, verwenden Sie eine Kombination aus Gro?- und Kleinbuchstaben, Zahlen und Sonderzeichen. Vermeiden Sie die Verwendung h?ufiger W?rter oder Phrasen und verwenden Sie niemals pers?nliche Informationen wie Ihren Namen oder Ihr Geburtsdatum. Erw?gen Sie, einen Passwort -Manager zu verwenden, um komplexe Passw?rter zu generieren und zu speichern. ?ndern Sie au?erdem Ihre Passw?rter regelm??ig und verwenden Sie niemals dasselbe Kennwort für mehrere Konten. (CDN) kann die Leistung und Sicherheit Ihrer WordPress -Site verbessern. Durch die Verteilung der Inhalte Ihrer Website auf mehrere Server auf der ganzen Welt kann ein CDN die Last auf Ihrem Hauptserver reduzieren und Inhalte schneller an Benutzer liefern. Dies kann die Geschwindigkeit und Benutzererfahrung Ihrer Website verbessern. Darüber hinaus kann ein CDN dazu beitragen, Ihre Website vor DDOS -Angriffen zu schützen, indem er den Datenverkehr über sein Netzwerk vertreibt.

Wie kann ich Anmeldeversuche auf meine WordPress -Site einschr?nken? Sie k?nnen dies tun, indem Sie ein Sicherheits -Plugin installieren, das diese Funktion bietet. Diese Plugins k?nnen eine IP -Adresse nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche blockieren. Sie k?nnen auch die Dauer der Aussperrung festlegen und die Anzahl der zul?ssigen Anmeldeversuche anpassen.

Wie oft sollte ich meine WordPress -Site sichern? Website. Wenn Sie regelm??ig Inhalte hinzufügen oder aktualisieren, sollten Sie t?gliche Sicherungen in Betracht ziehen. Wenn sich Ihre Website nicht h?ufig ?ndert, sind w?chentliche oder monatliche Backups m?glicherweise ausreichend. Unabh?ngig von der Frequenz stellen Sie sicher, dass Sie Ihre Sicherungen an einem sicheren Ort speichern und in Betracht ziehen, einen Sicherungsdienst zu verwenden, der automatische Sicherungen bietet. Renommierte Sicherheits -Plugins für WordPress, einschlie?lich Wordfence, Sucuri und Ithemes Security. Diese Plugins bieten eine Reihe von Funktionen wie Malware -Scan, Firewall -Schutz und Anmeldung. Sie k?nnen Ihnen auch Benachrichtigungen senden, wenn sie verd?chtige Aktivit?ten auf Ihrer Website erkennen.

Wie kann ich die Sicherheit meiner WordPress -Site überwachen? Verschiedene Methoden. Sicherheits -Plugins bieten h?ufig überwachungsfunktionen und alarmieren Sie auf potenzielle Bedrohungen oder verd?chtige Aktivit?ten. Durch regelm??ige überprüfung der Zugriffsprotokolle Ihrer Website k?nnen auch ungew?hnliches Verhalten identifiziert werden. Erw?gen Sie au?erdem, einen Dienst zu verwenden, der Echtzeitüberwachung und Warnungen bietet.

Was soll ich tun, wenn meine WordPress-Site gehackt wird? Identifizieren und entfernen Sie die Malware. Dies kann mit einem Sicherheits -Plugin oder einem professionellen Malwareentfernungsdienst erfolgen. Sobald die Malware entfernt ist, aktualisieren Sie alle Ihre WordPress -Kern, Themen und Plugins auf die neuesten Versionen. ?ndern Sie alle Passw?rter und überprüfen Sie die Benutzerkonten, um sicherzustellen, dass keine nicht autorisierten Konten erstellt wurden. Stellen Sie schlie?lich Ihre Website von einer sauberen Sicherung wieder her und überwachen Sie Ihre Website genau auf weitere verd?chtige Aktivit?ten.

Das obige ist der detaillierte Inhalt vonWordPress gegen Hacker und DDOs -Angriffe sichern. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!