HotSpotMagazine
Image default
Aanbiedingen

14 tips om uw WordPress-site te beveiligen

prijs wordpress website laten maken

CMS WordPress was en blijft de leider in het aantal installaties wereldwijd. Deze engine is de informatiebronnen al lang ontgroeid en wordt gebruikt door sites voor visitekaartjes, blogs, artikelen, servicesites en online winkels. Maar naast het feit dat dit CMS erg populair is, wordt het het meest gehackt van alle bestaande. Volgens gegevens van GoDaddy Security / Sucuri voor 2019 vond 90% van alle hackeraanvallen plaats op sites die WordPress gebruiken.

Helaas vinden hackers vrij vaak kwetsbaarheden, zowel in de engine zelf als in de plug-ins ervoor. Bijna elke maand verschijnt er nieuws dat er weer een “gat” is ontdekt. Als u het nieuws regelmatig volgt, heeft u tijd om actie te ondernemen en uw bron te beveiligen in geval van massale hackeraanvallen. Tenzij uw site natuurlijk een van de eersten is die wordt gehackt. Maar dit is onwaarschijnlijk, aangezien een groot aantal bronnen wordt aangedreven door dit CMS. En aanvallen beginnen in de regel vanaf buitenlandse sites.

Als de aanvallers de login kennen, is dit al 50% van hun succes. Gebruik een andere gebruikersnaam dan admin, of nog beter, een e-mailadres als dit. Houd er rekening mee dat de login van de beheerder op verschillende manieren kan worden gevonden:

Op de site zelf. Als u uw beheerdersaccount op de site gebruikt om berichten / publicaties te plaatsen, en hun auteur wordt weergegeven in het onderwerp, zal iedereen de login kennen. Verwijder daarom de conclusie van de auteur of gebruik een extra account met redactierechten om aan de site te werken. Door het fragment? Author = 1 toe te voegen aan de site-url, zodat het er als volgt uitziet: site.com/?author=1.

Om de situatie op te lossen, moet u de volgende regel toevoegen aan het einde van het .htaccess-bestand in de root van de site: RedirectMatch Permanent ^ / author / login-admin https://site.com, waar login-admin de login van de beheerder is, en https: // site.com – uw siteadres. Als u nu naar site.com/?author=1 gaat, wordt u omgeleid naar de hoofdpagina van de site.

Wijzig het standaard login-adres in het admin-paneel

Iedereen weet dat als we een item toevoegen aan het siteadres op WordPress: site.com/wp-admin, we naar een pagina worden geleid met een machtigingsformulier. Als een aanvaller de login kent (uit de vorige paragraaf), evenals het adres waarop het inlogformulier van het controlepaneel zich bevindt, kan hij het wachtwoord brute kracht geven (in de taal van hackers – “brute force”, van het Engelse brute force). Als u een ander inlogadres dan wp-admin gebruikt voor het beheerderspaneel, maakt u het leven van een potentiële hacker van uw site aanzienlijk ingewikkelder. En ja, er is nog een URL die moet worden vervangen: site.com/wp-login.php.

Inloggen vanaf het IP-adres van iemand anders weigeren

Optioneel kunt u alleen toegang tot het admin-paneel toestaan ​​vanaf specifieke IP-adressen. Voeg hiervoor de volgende regels toe aan het .htaccess-bestand:

AuthUserFile / dev / null

AuthGroupFile / dev / null

AuthName “WordPress Admin Access Control”

AuthType Basic

<LIMIT GET>

bestelling weigeren, toestaan

ontkennen van iedereen

toestaan ​​vanaf xx.xx.xx.xxx

toestaan ​​vanaf xx.xx.xx.xxx

</LIMIT>

Hier is xx.xx.xx.xxx uw IP-adres.

Eén regel – één IP-adres.

toestaan ​​vanaf xx.xx.xx.xxx

Op deze manier kun je meerdere IP-adressen toevoegen als de site meerdere beheerders heeft. En wees voorzichtig: als u een dynamisch IP-adres heeft, kunt u na het wijzigen ervan niet in het configuratiescherm komen.

Gebruik een sterk wachtwoord

Het is pijnlijk banaal, maar velen gebruiken nog steeds combinaties zoals qwerty1234 en andere “lastige” combinaties als wachtwoorden.

Voorwaarden voor een wachtwoord dat beschermt:

  • bevat minimaal 10 karakters;
  • bestaat uit letters van verschillende registers;
  • bevat nummers;
  • bevat speciale tekens (#, $,%,!, & etc.).

Gebruik een wachtwoordgenerator om zelf geen wachtwoord te bedenken: lastpass.com, passwordsgenerator.net.

Update WordPress regelmatig

De bijgewerkte engine bevat vrij vaak, naast vele nuttige verbeteringen, reparaties van gevonden kwetsbaarheden.

Zodra u een bericht in het admin-paneel ziet dat er een nieuwe versie van WordPress is, moet u de engine onmiddellijk updaten.

Probeer het aantal gebruikte plug-ins te minimaliseren

Op dit moment zijn er een groot aantal verschillende plug-ins die bijna elk probleem kunnen oplossen. Maar hoe meer plug-ins er op de site zijn geïnstalleerd, hoe groter de kwetsbaarheid. Waarom?

De plug-in is mogelijk geschreven door een ongeschoolde ontwikkelaar en bevat kritieke tekortkomingen die de beveiliging van de site beïnvloeden.

Een plug-in kan door een programmeur worden verlaten en lange tijd niet worden bijgewerkt, waardoor de beveiliging afneemt.

Plug-ins kunnen met elkaar conflicteren en fouten veroorzaken.

Plug-ins, zoals de engine, moeten regelmatig worden bijgewerkt om het risico op kwetsbaarheden te verkleinen.

Stel dat u een feedbackformulier op uw site nodig heeft. En in plaats van 2-3 plug-ins of wat ContactForm 7 te plaatsen, kan het formulier “handmatig” worden gemaakt.

Ja, er zijn plug-ins waar u niet zonder kunt, dus het advies is om ze niet volledig te verlaten, maar om alleen beproefde oplossingen te kiezen, en indien mogelijk ook zonder te doen. En nog een belangrijke tip: verwijder ongebruikte plug-ins. Als ze lange tijd niet worden gebruikt of volledig uitgeschakeld zijn, is de beste oplossing om er afstand van te doen.

Gebruik geen kant-en-klare thema’s uit dubieuze bronnen

Het meest onschadelijke aan een WordPress-thema is de aanwezigheid van links naar bronnen van derden. Heel vaak wordt een thema gedownload van een niet-geverifieerde gratis bron de reden voor het hacken van een WordPress-site.

Er zijn twee manieren: bestel de ontwikkeling van een sjabloon of koop een premiumthema bij een vertrouwde verkoper.

Maak backups (backups)

Dit item wordt niet alleen aanbevolen om de site te beschermen, maar ook in geval van onvoorziene situaties, zoals fouten op de site, de ontoegankelijkheid van de bron om onbekende redenen of de sluiting van de hosting (ja, dit gebeurt). Maak een reservekopie zowel op de hosting (regelmatig) in automatische modus als handmatig (minimaal eens in de paar maanden). U bespaart dus het gedane werk, tijd en zenuwen.

Schakel de mogelijkheid uit om PHP-bestanden te bewerken via het admin-paneel

Laten we aannemen dat een hacker toegang heeft gekregen tot het admin-paneel. Het volgende doel is een bestandseditor. Om te voorkomen dat een aanvaller schadelijke code injecteert, schakelt u de mogelijkheid uit om PHP-bestanden te bewerken via het admin-paneel. U kunt dit als volgt doen: u moet het bestand wp-config.php vinden en de regel eraan toevoegen:

       define (‘DISALLOW_FILE_EDIT’, true);

Stel tweefactorauthenticatie in

Naast de maatregelen die hierboven al zijn genoemd om het admin-paneel te beschermen, kunt u tweefactorauthenticatie installeren. Naast het hoofdwachtwoord moet u een extra wachtwoord invoeren, een antwoord op een vraag of een tijdelijke code die naar uw mobiele telefoon wordt gestuurd. U kunt hiervoor ook een plug-in gebruiken. Bijvoorbeeld Google Authenticator of Clef Two-Factor Authentication. En natuurlijk kan tweefactorauthenticatie worden geboden zonder de bovenstaande plug-ins te gebruiken.

Houd uw pc of laptop veilig

Vaak worden wachtwoorden en andere persoonlijke gegevens gestolen met behulp van virussen of keyloggers, dus u mag de bescherming van uw computer zeker niet verwaarlozen. Gebruik antivirussoftware en firewalls om uw informatie te beschermen:

  • ESET Nod32,
  • Kaspersky,
  • Avast Antivirus,
  • Comodo Firewall (firewall),
  • Avira (firewall), enz.

Gebruik een SSL-certificaat

Het gebruik van het HTTPS-protocol helpt de verzonden informatie te beschermen, zowel in het beheerpaneel als in de vorm van autorisatie of betaling op de site. Om het protocol te gebruiken, heb je een SSL-certificaat nodig (betaald of gratis).

Wijzig het standaardtabelprefix in de database

Alle WordPress-sites hebben dezelfde databasestructuur, dus alle tabellen hebben een standaardvoorvoegsel. Deze functie is inherent aan veel engines.

DLE (Data Life Engine) heeft het voorvoegsel dle_, WordPress heeft wp_.

Wanneer een aanvaller een kwetsbaarheid ontdekt en de mogelijkheid krijgt om SQL-query’s uit te voeren, is de kans kleiner dat hij schade toebrengt als hij het tabelvoorvoegsel niet kent. Om het voorvoegsel te vervangen, kunt u een van de plug-ins gebruiken – WP-DBManager of iThemes Security. U kunt ook het volgende handmatig doen:

In het wp-config.php bestand in de regel $ table_prefix = ‘wp_’; vervang wp_ door uw eigen prefix, bijvoorbeeld als volgt:

$ table_prefix = ‘mijn_’;

Voorvoegsel

Voer een SQL-query uit om oude wp_-voorvoegsels te vervangen door nieuwe.

Houd er rekening mee dat u alle voorvoegsels moet wijzigen, inclusief geïnstalleerde plug-ins, anders kan de site fouten weergeven.

Resultaat

Blijf op de hoogte voor WordPress-nieuws en beoordelingen van kwetsbaarheden.

Gebruik het woord admin niet als login en laat indringers niet achter de login van de administrator komen.

Wijzig het standaardadres voor toegang tot het admin-paneel.

Sta alleen toegang tot het bedieningspaneel toe vanaf specifieke IP-adressen.

Gebruik een inbraakveilig wachtwoord dat niet bruut kan zijn.

Werk de engine zelf en alle geïnstalleerde plug-ins regelmatig bij.

Verwijder ongebruikte plug-ins.

Installeer geen gratis thema’s uit niet-geverifieerde bronnen.

Maak back-ups van zowel de database als de bestanden.

Voorkom het bewerken van belangrijke systeembestanden via het admin-paneel.

Installeer tweefactorauthenticatie.

Controleer uw computer op virussen.

Gebruik een beveiligd HTTPS-protocol.

Wijzig het standaard databasevoorvoegsel.

https://www.webdeveloper.today/2021/01/django-python-new-app.html

https://webdevelopmentapp.com/nl/prices.html