Ако смятате, че вашият сайт е безопасен, защото не представлява интерес за хакерите, тогава грешите, тъй като по-голямата част от нарушенията на сигурността не са насочени към кражба на вашите данни или обезобразяване на сайта ви.

Хакерите обикновено искат да използват сървъра ви като реле за спам имейли или да създадат временен уеб сървър, обикновено за обслужване на незаконни файлове. Ако ви хакнат, бъдете готови да отделите пари за разходи, свързани със сървъра.

Има няколко различни начина за повишаване на сигурността на вашия сайт или мултисайтова мрежа, но един от най-лесните е да редактирате файла си. WP-config.php. Актуализирането на този конфигурационен файл, въпреки че няма универсално решение, е политика, която трябва да се следва за цялостна сигурност.

Имайки това предвид, ние ще проучим различните модификации, които можете да направите, за да защитите своя WordPress блог.

Конфигурирайте константите на WordPress

Във вашия конфигурационен файл на WordPress, наричан също WP-config.php , можете да дефинирате така наречените PHP константи за изпълнение на определени задачи. WordPress има много константи, които можете да използвате.

Константите също са увити във функцията за дефиниране() както е показано в този пример на синтаксис:

define ("STRING_NAME", стойност);

В WordPress файлът WP-config.php се зарежда преди останалите файлове, съставляващи ядрото. Това означава, че ако промените стойността на константа в WP-config.php, можете да промените начина, по който WordPress реагира и работи. Можете да деактивирате някои функции или да ги включите, като промените стойността. В много случаи това може да стане чрез промяна true за фалшиви и обратно, например.

По-долу ще намерите различните константи, както и други видове PHP код, които можете да използвате във вашия файл WP-config.php  за да увеличите сигурността си. Поставете ги всички над следващия ред във вашия файл WP-config.php:

/ * Това е всичко, спрете редактирането! Честит блог. * /

Внимание: Внимавайте

Тъй като промените, които предстои да направите, могат драстично да променят сайта ви, това е добро идея да го подкрепим. Ако възникне грешка, можете бързо да възстановите сайта си до точка преди тези промени и след като сайтът ви функционира нормално, можете да опитате отново.

1. Променете ключовете си за сигурност

Може би вече сте наясно с различните ключове за сигурност и може би вече сте добавили уникални ключове, което е доста хубаво нещо.

Ключовете за защита на информацията криптират данните, съхранявани в бисквитките, и може да е полезно да ги промените, особено след като вашият сайт е хакнат. Това ще приключи всички отворени сесии на влезли потребители на вашия сайт, което означава, че и хакерите са излезли.

Когато рестартирате пароли и се уверите, че сайтът ви не съдържа скрити експлойти и други подобни.

Можете да генерирате нов набор от ключове за защита, като използвате Ключ за генериране на ключ за сигурност. Копирайте цялото съдържание и го поставете, за да замените раздела, който изглежда по следния начин:

define('AUTH_KEY', 't`DK%X:>xy|eZ(BXb/f(Ur`8#~UzUQG-^_Cs_GHs5U-&Wb?pgn^p8(2@}IcnCa|'); define( 'SECURE_AUTH_KEY ', 'D&ovlU#|CvJ##uNq}bel+^MFtT&.b9{UvR]g%ixsXhGlRJ7q!h}XWdEC[BOKXssj' ); define( 'LOGGED_IN_KEY', 'MGKi8Br(&{H*~&0s;{k0  (hdXW|5M=X={we4;Mpvtg+Vo<$|#_}qG(GaVDEsn,~*2i'); define( 'NONCE_SALT', 'a|#h{c7|P &xWs0IZ2c8&%883!c( /uG}W:mAvy

2. Принудително използване на SSL

SSL сертификатът криптира връзката между вашия сайт и браузъра на посетителя ви, така че хакерите не могат да прихващат и крадат лична информация. Ако вече имате инсталиран SSL сертификат, тогава трябва да принудите WordPress да го използва, това може да увеличи сигурността ви.

За да принудите използването на вашия SSL сертификат по време на свързване, добавете този ред:

define ('FORCE_SSL_LOGIN', true);

Можете също така да принудите вашия SSL сертификат на администраторското табло с този ред:

define ('FORCE_SSL_ADMIN', true);

Това са много добри точки за начало, въпреки че идеалното би било да използвате SSL сертификата на всички ваши уебсайт.

3. Променете префикса на базата данни

Префиксът се поставя пред имената на всички таблици във вашата база данни. По подразбиране таблицата използва префикса " wp_" и добавянето му към вашата база данни ще добави допълнителна задача за хакера. Колкото повече препятствия добавите, толкова повече вашия блог ще бъде трудно да се хакне.

Промяната на префикса по подразбиране помага и всичко, което трябва да направите, е да промените константата във файла " wp-config.php ", но също така би било необходимо таблиците на базата данни във вашата инсталация да имат същия нов префикс. Можете да промените wp_ за нещо подобно g628_. Трябва да изберете нещо, което наистина не е лесно да се отгатне.

4. Деактивирайте редактирането на теми и приставки

Във всяка инсталация на WordPress можете директно да редактирате плъгини и теми чрез таблото за управление. Ако хакер е успял да получи достъп до таблото ви за управление, той има достъп до този специален редактор, където след това може да прави каквото пожелае във вашите приставки и файлове с теми, като добавяне на злонамерен софтуер, вируси или спам.

5. Деактивиране на отстраняването на грешки

Ако някога сте активирали отстраняване на грешки на вашия сайт или в мрежа, вероятно го правите, защото това е чудесен инструмент за отстраняване на неизправности, но не забравяйте да го деактивирате, когато сте готови. Оставянето на тази опция активирана може да разкрие важна информация за вашия сайт и местоположението на неговите файлове на хакерите на всеки, който посети вашия сайт.

За да изключите режима за отстраняване на грешки, можете да превключите константата WP_DEBUG от true на false, както следва:

define ("WP_DEBUG", неправилно);

6. Деактивирайте регистрирането на грешки в WordPress

 Ако не можете да направите предишната промяна, защото все още трябва активно да отстранявате грешки в сайта си, пак можете да защитите жизненоважната информация на сайта си, като изключите грешките отпред и изключите регистрирането на грешки.

За да деактивирате отчитането на грешки в интерфейса, добавете този ред, като същевременно поддържате настройката за отстраняване на грешки (WP_DEBUG) на true:

define ("WP_DEBUG_DISPLAY", неправилно);

7. Активиране на автоматичните актуализации

Поддържането на сайта ви в крак с най-новите версии на WordPress, заедно с вашите приставки и теми, трябва да бъде важна част от разработването на стратегия за сигурност. Тъй катоАктуализациите предоставят корекции на сигурността за известни уязвимости, а не актуализиране на експозиции вашия блог към тези потенциални рискове.

От WordPress версия 3.7, незначителните корекции на защитата автоматично се прилагат към сайтовете на WordPress, но основните версии не са. Можете обаче да активирате автоматични актуализации за всички нови версии, като промените стойността на константата за автоматични актуализации:

define ('WP_AUTO_UPDATE_CORE', true);

По същия начин можете да добавите следния ред под предишния, за да активирате автоматични актуализации за приставки:

add_filter ('auto_update_plugin', '__return_true');

Можете също да следвате този ред, за да разрешите автоматични актуализации за теми:

add_filter ('auto_update_theme', '__return_true');

Това е всичко за този урок. Надявам се, че ще ви позволи да защитите по-добре своя WordPress блог.