Home » Sicurezza & Hackeraggi » 14 modi di proteggere il sito wordpress da Hacker

14 modi di proteggere il sito wordpress da Hacker

WordPress è una piattaforma fantastica da usare per qualsiasi tipo di sito web. Neofiti possono iniziare rapidamente ed economico. Gli sviluppatori web sofisticati può fare molto con esso pure. La sua flessibilità e l’interfaccia utente facile è per questo che lo consigliamo per la maggior parte dei nostri clienti. Non solo è un grande strumento, il team di WordPress sono Cracker Jack a tenere in alto di problemi di sicurezza che si presentano.

Detto questo, gli hacker malintenzionati ancora sfondare ed infettare siti soprattutto perché alcune semplici misure di sicurezza non vengono seguite.

Al fine di proteggere i nostri siti e nei siti dei nostri clienti, abbiamo sviluppato questa lista di controllo 14 Step per la creazione di un hacker sito resistente WordPress.

NOTA: Sebbene la maggior parte società di hosting offrono automatica installazione di WordPress, preferiamo l’installazione manuale di WordPress, in quanto ci dà un maggiore controllo sulla configurazione. Per quelli di voi che utilizzano uno script di installazione fornito dal vostro provider, non sarai in grado di applicare tutti questi passaggi.

Fase 1: installare l’ultima versione di WordPress in una sottodirectory, invece di root.

Dare il vostro WordPress propria directory non solo mantenere il disordine dalla vostra directory root, se qualcuno fa incidere nel tuo sito, la directory principale è protetta.

Potete trovare le istruzioni per l’installazione manuale a http://codex.wordpress.org/Installing_WordPress

Alcuni hacker obiettivo WordPress siti in particolare, durante l’installazione di WordPress, pensare di cambiare il prefisso tabella di default da wp_ come una strategia avanzata per proteggere il vostro sito. Se si utilizza il Wp-Security-Scan ricordiamo il plugin più tardi, si suggeriscono anche questo momento di valutare il vostro sito per i buchi di sicurezza.

Fase 2: modificare la posizione della Index.php

Cambiare la posizione index.php permette al vostro blog per rimanere nella directory principale, e crea un url più pulito.

Accedi al tuo sito wordpress, e andare su Impostazioni, poi Generali e cambiare il tuo “indirizzo sul blog (URL) per l’url radice. Ad esempio: www.mywebsite.com.

Aprite il vostro client FTP e copiare il file index.php per dal sottodirectory (dove è stato installato WordPress), nella directory root.

Modificare il file index.php per aggiungere nella sottodirectory WordPress. Per esempio:

/ ** Carica l’ambiente WordPress e template * /
require (‘/ subdirectoryname / wp-blog-header.php.’);

Se avete domande su questo, non vi è collegamento proprio accanto a questo campo che vi darà tutti i dettagli necessari per fare questo diritto.

Fase 3: Proteggi la tua cartella wp-includes

Questo passo è semplice, basta copiare il file. Htaccess per la cartella wp-includes. Potrebbe essere necessario impostare il proprio client FTP per visualizzare i file nascosti per vedere questo file.

Fase 4: Proteggete la vostra cartella wp-admin

Carica il tuo file. Htaccess nella cartella wp-admin

Carica. Htpasswd nella directory principale

Vai a http://www.htaccesstools.com/htpassword-generator/ per creare una password.

Modificare il file. Htaccess per avere il percorso corretto per il vostro file. Htpasswd.

Passo 5: Caricare e sicurezza attivare i plug-in

Attualmente, si utilizza la sicurezza seguenti plug-in per proteggere il nostro sito.

Login-Lockdown: questo plugin aiuta a prevenire “brute-force scoperta password” disabilitando la funzione di login se un certo numero di tentativi di accesso e gli errori vengono rilevati da un dato indirizzo IP.

WP-DB-Backup: questo plugin sarà un backup del database centrale wordpress e altre tabelle (in genere creati dal plugin in uso). È possibile pianificare il backup o di emettere un backup “a richiesta” quando necessario.

WP Security Scan: questo plugin esegue la scansione del tuo sito wordpress per le vulnerabilità di sicurezza (la maggior parte delle quali deve essere fissato seguendo i passi che abbiamo pubblicato qui.

Wp-MalWatch: Questo plugin esegue la scansione del tuo sito ogni notte per i segni di cattivo gioco e ti avvisa dove andare a vedere se trova un problema.

Stiamo anche valutando di backup di WordPress da Exchange Blog traffico, in quanto il backup della directory di upload, la directory dei plugin e la cartella del tema corrente. E ‘importante notare che il plugin di backup del database che abbiamo elencato solo i database backup, backup e che il tema e le immagini, ecc non dovrebbero essere trascurati (vedere il passaggio 11 per di più)

Ora ci accingiamo a proseguire per le fasi finali su come installare un sito wordpress con protezione hacker. Se volete vedere la parte 1 del presente articolo, clicca qui.

Fase 6: Cambia il tuo utente Admin

“Admin” è l’utente di default che viene assegnato durante l’installazione di WordPress. Per cambiarla è necessario utilizzare phpMyAdmin e poi aggiornare il file config.php.
Fase 7: utilizzare una password complessa

Avete sentito prima, ma deve essere ancora detto. Utilizzare una password complessa, che include lettere, numeri, punteggiatura e anche, se del caso.

Passo 8: Scegli un tema supportato

Ci sono un sacco di temi WordPress disponibili che sono liberi, ma prima di usarlo assicurarsi la possibilità di ricevere aiuto in caso di necessità. Questo è anche un indicatore che il tema verrà aggiornato e non diventare un problema quando si aggiorna all’ultima versione di WordPress.

Step 9: Scegli Plug-in con saggezza, meno sono le migliori

WordPress plug-in sono disponibili per il carico di camion, ma questo non significa che è necessario utilizzare tutti. Il meno si usa e meglio è. Plug-ins tendono ad essere più vulnerabili agli hacker di software WordPress, così gli hacker andare lì per infiltrarsi e prendere giù.

Passo 10: Nascondi la tua directory dei plugin

Chiunque può vedere un elenco dei plug-in andando a http://mydomain.com/wp-content/plugin. Per nascondere questa cartella, è sufficiente aprire il vostro editor di testo, creare una pagina vuota index.html, e caricarlo via FTP nella cartella wp-content/plugin.
Passo 11: installazione di Backup!

Ci sono due cose che dovete fare il backup, il database (tutti i tuoi messaggi e le pagine) e il design (il tema, layout, ecc.)

Quante volte vi backup è determinato da quanto siete disposti a utilizzare. Si consiglia di impostare il proprio auto-backup per tutte le volte che si posta. Quindi, se si posta settimanale, settimanale di backup, ecc

Si dovrebbe anche eseguire un backup “on-demand” del database prima di aggiornare il software (sia WP e plugin), nel caso in cui qualcosa si rompe.

Inoltre, prevede di utilizzare il vostro FTP per scaricare il vostro sito periodicamente – soprattutto prima e dopo aver apportato modifiche significative alla struttura del sito, tema, ecc (questo tipo di backup non include il database).

Chiedi al tuo host come spesso il backup pure, ci sono state volte che siamo stati in grado di andare direttamente con l’host e li hanno ripristinare l’intero sito da una data specifica. Alcuni garantire la loro backup, altri no, in modo da andare scoprirlo!

Se il sito è violato, e di avere un backup recente, puoi avere il tuo sito attivo e funzionante in pochissimo tempo.
Passo 12: Proteggere file e cartelle

Impostazione file corretto e cartelle può fare una grande differenza. L’utente non può realizzare questo, ma se un file o una cartella è scrivibile, allora è anche considerato insicuro. Il vostro ospite avrà il proprio livello di sicurezza, quindi si consiglia di consultarsi con loro. In generale, usiamo i permessi dei file seguenti

– Permessi di 755 Directory

– Tutti i file devono avere permessi di 644

– I file dei temi 666 (se si desidera utilizzare l’editor integrato).

Occasionalmente un plug-in sarà necessario qualcos’altro per funzionare. È possibile rivedere che, caso per caso il livello.

Il modo più semplice per modificare questi permessi è quello di utilizzare il vostro client FTP, come Filezilla.
Passo 13: Modifica su “No Indici”

Molte persone non si rendono conto di questo, ma chiunque sia interessato possa navigare nella propria directory e vedere tutti i file e le cartelle che hai, a meno che non si cambia gestore di indice “No indici.” Se non lo vedi, poi contattare il supporto Host .

È anche possibile apportare modifiche al file. Htaccess. Questo è un file sensibili, quindi assicuratevi di scaricarlo completamente dal tuo sito, effettuare una copia, e quindi apportare le modifiche.

Per maggiori informazioni su esplorazione delle directory e su come cambiare la vostra. Htaccessfile, andate a leggere questo articolo al “The Internet Patrol”.

http://www.dialme.com/m/articles/view/How-to-turn-off-directory-folder-browsing.
Passo 14: Keep Your Software attuale!

Se non aggiornare il sito alla versione più recente, è vulnerabile. E ‘davvero così semplice. Se si può fare solo una cosa per proteggere il vostro sito, aggiornare il vostro WordPress e WordPress software plug-in dovrebbe essere.

Alcuni sviluppatori web sono preoccupati per l’aggiornamento a una nuova versione senza provandola con la funzionalità corrente siti. Questa è una preoccupazione legittima, ma non dovrebbe impedirvi di attesa troppo lunghi per l’aggiornamento. Abbiamo avuto pochissimi problemi facendo aggiornamenti immediati, ma non è impossibile.

Tuttavia, se hai un sito molto sofisticato, poi ho sicuramente consigliabile la creazione di un sito di prova. Caricate il vostro attuale sito in un sito di prova, e simulare gli aggiornamenti versione per assicurarsi che tutto sta andando a lavorare senza problemi.

Se avete un buon assistente virtuale o programmatore virtuali, che possono fare i test per voi. Test incrementale è l’approccio migliore. Questo significa che aggiornare una cosa alla volta, quindi se qualcosa si rompe si può dire che cosa ha innescato.

Indipendentemente dal fatto che si fa un aggiornamento dal vivo, oppure testare il software prima, si dovrebbe fare un backup completo. Questo vi darà la pace della mente e salvare voi da mal di testa potenziali che potrebbero venire.
Riassunto

Anche se, seguendo questi passi non garantisce che il vostro sito non sarà mai violato, se li si segue rafforzerà la sicurezza del sito WordPress e ridurre i rischi.

Dal momento che applicando questa procedura per i nostri siti WordPress alla fine del 2009, non abbiamo dovuto riparare eventuali siti a causa di attacchi malevoli.

Tradotto con google translator e tratto da http://internetbusinessmastery.com/14-steps-to-installing-a-wordpress-site-with-hacker-protection-part-1