18 plugin e suggerimenti per la sicurezza di Wordpress per proteggere il tuo blog

Annuncio pubblicitario

Senza dubbio, per un blog self-hosted, WordPress è il miglior blog CMS che puoi ottenere. Tuttavia, essendo un software popolare e open source, significa anche che gli hacker hanno pieno accesso a codice che possono esaminare per trovare eventuali exploit che possono utilizzare per hackerare qualsiasi abilitato per WordPress luogo.

Sul lato positivo, una delle cose migliori di WordPress è il suo sistema di plugin che consente a chiunque installa eventuali plugin o crea i tuoi plugin per estenderne le funzionalità, incluso il miglioramento sicurezza.

Qui, ho elencato alcuni plugin di sicurezza di wordpress (e un paio di trucchi) che puoi usare per proteggere il blog di WordPress.

Tutti i plugin e i trucchi elencati di seguito sono pensati per WP 2.7 e versioni successive. Se stai ancora utilizzando una versione precedente di WordPress, è tempo di aggiornare il tuo blog.

Protezione del tuo accesso

Questo plugin utilizza il CHAP protocollo per crittografare la password. La password viene prima salata con un numero casuale (nonce) generato dalla sessione, seguito dall'algoritmo di trasformazione md5. Questo risultato viene quindi inviato al server in cui viene decrittografato e autenticato. Questo è un plug-in a configurazione zero, il che significa che puoi usarlo immediatamente dopo averlo attivato.

2. Accesso invisibile

Stealth Login offusca la tua pagina di login permettendoti di definire una pagina di login personalizzata anziché il wp-login.php predefinito. Nel caso in cui la tua password sia trapelata, l'hacker avrà anche difficoltà a trovare l'URL di accesso corretto. Un buon uso di questo è impedire a eventuali bot dannosi di accedere al file wp-login.php e tentare di entrare.

Il blocco dell'accesso è utile per prevenire un attacco di forza bruta. Quello che fa Login LockDown è registrare l'indirizzo IP e il timestamp di ogni tentativo di accesso fallito. Se vengono rilevati più di un certo numero di tentativi in ​​un breve periodo di tempo dallo stesso intervallo IP, bloccherà la funzione di accesso e impedirà a qualsiasi persona di tale intervallo IP di accedere.

Questo plugin aggiunge un'ulteriore autenticazione HTTP per fornire un secondo livello di difesa per il tuo blog. Puoi impostare la protezione con password per il tuo blog utilizzando l'autenticazione di base HTTP oppure puoi scegliere di utilizzare l'autenticazione del digest HTTP più sicura.

Si noti che questo plug-in potrebbe / potrebbe non funzionare a seconda delle capacità del server. Se il tuo sito non supera i test di configurazione AskApache (i test eseguiti dal plug-in per rilevare le capacità del tuo server), contatta il tuo host web e verifica se è possibile apportare modifiche al server lato.

Questo plugin fornisce un ambiente di accesso "semisecuro" crittografando la password con il Crittografia RSA

Proteggi il tuo database

Forse per alcuni di voi, il backup di un database potrebbe significare un fastidioso lavoro tecnico. Con WP-DB-Backup, è sufficiente configurarlo una volta e farlo funzionare automaticamente a intervalli regolari.

Ciò che questo plugin fa è automatizzare il backup del database e inviarlo alla posta in arrivo. Oltre alla tabella predefinita creata da WordPress, puoi anche eseguire il backup delle tabelle personalizzate create dai plugin. In caso di arresto anomalo dell'account, è possibile importare e ripristinare facilmente il database con il backup.

Wp-DBManager è proprio come un phpmyadmin nella tua dashboard. Puoi gestire facilmente il tuo database direttamente dalla tua dashboard. Esistono funzioni utili come l'ottimizzazione / riparazione / backup / ripristino del database e se sei abbastanza tecnico, puoi persino eseguire la tua query SQL dalla pagina delle opzioni.

Sul lato negativo, se qualche hacker riesce ad accedere al tuo sito, questo plugin sarà un gateway per creare scompiglio nel tuo database.

8. Cambia prefisso tabella database

Il prefisso predefinito utilizzato da WordPress è "wp". Puoi facilmente cambiare il prefisso in altri termini che sono difficili da indovinare usando il WP-Security-Scan. Maggiori dettagli su questo plugin di seguito.

9. Proteggi il tuo file wp-config.php

Il tuo file wp-config.php contiene tutte le tue credenziali di accesso al database e dovrebbe essere nascosto alla vista pubblica in ogni circostanza. Nel tuo file htaccess, inserisci questa riga:

l'ordine consente, nega. negato da tutti. 

per impedire a chiunque di visualizzare il file wp-config.php.

Protezione della pagina di amministrazione

Questo plugin impone SSL su tutte le pagine in cui è possibile inserire le password in modo che tutte le informazioni trasmesse siano crittografate.

Una cosa però, devi possedere un certificato SSL prima di poterlo fare. Se non sei disposto a sborsare i soldi extra per acquistare un certificato SSL privato, puoi chiedere al tuo host Web informazioni su SSL condiviso. La maggior parte degli host web fornisce SSL condiviso per tutti i loro client ed è facile da configurare.

11. Cambia il nome utente di accesso

Usare "admin" come nome utente di accesso è l'ultima cosa che vuoi fare. Quando hai installato WordPress per la prima volta, dovresti creare immediatamente un altro account amministratore con il tuo nome utente e password ed eliminare l'account "admin".

Impedire ad altri utenti di visualizzare la struttura dei file interna

12. Nascondere la versione di WP

Nella maggior parte dei temi WordPress sotto il

sezione, c'è sempre una riga di codice che mostra la versione di WordPress che stai utilizzando. Dare il tuo numero di versione di WordPress significa dire all'hacker quale exploit usare per hackerare il tuo sito.

Da WP2.6.5, WordPress ha reso ancora più difficile la rimozione della versione di wp poiché incorporava tali informazioni all'interno del wp_header etichetta. È un plug-in che è possibile utilizzare per rimuovere tali informazioni WP-Security-Scan.

13. Nascondere il contenuto del WP

La cartella del contenuto WP è il punto in cui sono stati archiviati tutti i plug-in e i file dei temi. Questo è il posto dove vuoi impedire ad altre persone di guardare dentro. Puoi caricare uno spazio vuoto index.html file nella cartella wp-content oppure crea un file .htaccess nella cartella wp-content e aggiungi questa riga:

Opzioni All -Indexes
14. Blocca la cartella wp dall'indicizzazione dei motori di ricerca
Mentre vuoi che i motori di ricerca indicizzino il tuo blog e portino molto traffico, l'ultima cosa che vuoi vedere è lasciare che i motori di ricerca espongano al pubblico la struttura dei tuoi file interni. Quello che puoi fare è bloccare l'indicizzazione di tutte le tue cartelle wp dal motore di ricerca aggiungendo le seguenti voci a robot.txt:
Non consentire: / wp- * 
Manutenzione
Ho citato questo plugin diverse volte, quindi è tempo per me di spiegare cosa fa. WP-Security-Scan verifica la presenza di vulnerabilità di sicurezza in WordPress e suggerisce / fornisce azioni correttive. Le azioni correttive includono la modifica del prefisso del database, nascondendo il numero di versione di WordPress dall'intestazione e ti consente di testare la forza della tua password.
Di tanto in tanto, è una buona idea eseguire lo scanner di sicurezza integrato e controllare il tuo blog per eventuali invulnerabilità della sicurezza.
16. Cambia la password regolarmente
Non solo devi cambiare regolarmente la tua password, ma devi anche assicurarti che sia forte. Se hai difficoltà a crearne uno, trova quello che puoi crea password complesse che puoi ricordare facilmente Come creare password complesse che puoi ricordare facilmente Leggi di più .
17. Aggiorna WordPress e tutti i plugin all'ultima versione
Inutile dire che l'aggiornamento all'ultima versione di WordPress e plugin è il modo migliore per proteggerti.
Proteggi la tua connessione
18. SFTP
Il trasferimento di file sul tuo account online è una cosa comune da fare. Tuttavia, invece di utilizzare l'FTP non protetto, è necessario utilizzare SFTP (FTP sicuro). Ciò creerà una connessione SSH e invierà tutti i tuoi file crittografati al server. Se hai bisogno di aiuto per creare una connessione SFTP, ecco il guida.
Le informazioni di cui sopra dovrebbero essere sufficienti per creare un blog WordPress sicuro. Se non hai implementato nessuno di questi, ti esorto a farlo ora.
Quali altri metodi usi per proteggere il tuo blog WordPress?