8 άκρες και οδηγίες ασφάλειας για το WordPress σας Blog

Ταχυδρομημένος στις 21 Σεπτεμβρίου 2007 στις 2:27 μ.μ.

Εδώ είναι μερικοί Άκρες ασφάλειας Wordpress Έχω μάθει με την πάροδο του χρόνου. Μετά από να διαβάσω τις μερικές ιστορίες φρίκης για τα blogs που χαράσσονται, που ακρωτηριάζονται και που ακρωτηριάζονται από τους τρελλούς Ρώσους ή τους εκδικητικούς ανταγωνιστές, έχω αποφασίσει ότι σε το θα ήταν καλή ιδέα να εφαρμοστούν μερικές πρακτικές ασφάλειας για το WordPress μου blog. Μετά από να περάσω από μια δέσμη των περιοχών και των καθορίζοντας πραγμάτων στο blog μου, σκέφτηκα ότι θα ήταν καλό για να μοιραστεί αυτά τα στοιχεία με όλους τους άλλους χρήστες WordPress έξω εκεί.

Η εφαρμογή αυτών των μέτρων ασφάλειας είναι ιδιαίτερα σημαντική για καθένα που κάνει αυτήν την περίοδο ή προσπαθεί για να κάνει τα χρήματα από τα blogs τους. Μόλις χαραχτείτε blog ή χωρίς σας που ξέρετε για το, σας θα πέσουν από τις μηχανές αναζήτησης και δεν είναι εύκολο να επιστρέψει μέσα. Θυμηθείτε, ακόμη και με όλα τα μέτρα ασφάλειας, είναι ουσιαστικό να υπάρξει ένα στήριγμα του blog σας. Το plugin Ι χρήση είναι Στήριγμα βάσεων δεδομένων WordPress. Εάν δεν το εγκαθιστάτε, το εγκαταστήστε τώρα! Σοβαρά.

Άκρες για να βοηθήσει να προστατευθεί από τα ζητήματα ασφάλειας WordPress:

  1. Βελτίωση Wordpress - Αυτό είναι πιθανώς το πρώτο πράγμα που πρέπει να κάνετε! Εάν δεν τρέχετε την πιό ενημερωμένη έκδοση, ζητάτε το πρόβλημα. Αυτήν την περίοδο, είναι 2.2.3, αλλά σύντομα θα είναι έκδοση 2.3. Μάιος περιμένει επίσης μέχρι το 24$ο και εγκαθιστά τη νεώτερη έκδοση. Έχουν υπάρξει μερικές απελευθερώσεις που πρόσφατα ήταν ακριβώς αποτυπώσεις ασφάλειας (έγχυση SQL, κ.λπ.). Μπορεί να φανεί όπως έναν πόνο στην άκρη και μερικές φορές μπορεί να είναι, αλλά η αναβάθμιση δεν είναι πραγματικά τόσο κακή. Κράτησα μακριά την αναβάθμιση από την έκδοση 2.0 έως 2.2 για μερικούς μήνες επειδή ήμουν φοβησμένου κάτι επρόκειτο να πάω στραβά και όλα που διαγράφηκαν. Τέλος, συγκέντρωσα την ενέργεια και επέρασα από τις οδηγίες τους βαθμιαία και ήταν λεπτή! Αφότου αναβαθμίζετε Wordpress μιά φορά, δεν είναι όλα αυτά κακά!

  2. Κωδικοί πρόσβασης προεπιλογής αλλαγής - Καταγράφετε ακόμα στη σελίδα WP-admin σας με τον ίδιο κωδικό πρόσβασης προεπιλογής που στάλθηκε μήνυμα με το ηλεκτρονικό ταχυδρομείο σε σας; Σε αυτή την περίπτωση, ΤΠ ΑΛΛΑΓΗΣ! Εκείνος ο κωδικός πρόσβασης είναι μόνο 6 χαρακτήρες και ακριβώς αριθμοί και γράμματα. Η γιαγιά μου θα μπορούσε πιθανώς να το ραγίσει μετά από μερικές εβδομάδες. Καταστήστε το σύνθετο και περισσότερους από 10 χαρακτήρες εάν μπορείτε. Επίσης, προσπαθήστε να μην χρησιμοποιήσετε τις λέξεις, να το κάνουν συμπαθητικό jumble των επιστολών, των αριθμών, και των συμβόλων. Επίσης ενώ είστε σε το, προχωρήστε και καταγράψτε στην περιοχή της φιλοξενώντας επιχείρησής σας και αλλάξτε τον κωδικό πρόσβασής σας εκεί για τη σύνδεση απολογισμού σας και οποιαδήποτε επιτροπή ελέγχου logins, όπως το cPanel, κ.λπ.

  3. Πρόσβαση χρήσης SSH/Shell αντί του FTP - Αυτός είναι μεγάλος! It’s not as easy to implement as the other two, but it’s probably the best tip out of all the others that I will list here. If someone gets a hold of your FTP login information (which is usually not encrypted and easy to get), they can manipulate your files and add spam to your site without you even knowing about it! Just read this story! It’s actually best to disable FTP altogether if you can! Using SSH, everything is encrypted including the transfer of files, etc.

  4. Install LoginLock plugin - This is a really cool plugin that will automatically block an IP address from trying to log into your Wordpress admin area after a certain number of attempts. LoginLock will prevent bots from continuously trying different combinations to crack your account. This is very similar to how Windows works if you’re in a domain environment. The default locked out time is 1 hour.

  5. Create a blank index.html file in your /Plugins/ directory - By default, your Wordpress plugins folder is completely visible to anyone by going to http://www.domainname.com/wp-content/plugins. Go ahead and create a blank document in your favorite editor and save it as index.html and upload it to the plugins directory. Now when you try to access it, you only get a blank screen. This prevents hackers from finding out a security hole in one of your plugins.

  6. Block access to wp-admin folder using .htaccess - There is an article written Reuben that talks about how you can protect your Wordpress admin folder by allowing access to it from a defined set of IP addresses. Everything else will bring up a Forbidden error message. So if you only access your blog from one or two places routinely, it’s worth implementing. Also, you’re supposed to create a new .htaccess file inside your wp-admin folder, not replace the one at the root of your blog

  7. Remove the version string from your header.php file - Of course, if you’re running version 2.0 and the current release is 2.3 AND your blog explicitly states that it’s at 2.0 on every page, it’s not going to be very hard for someone to find your vulnerable blog and attack it. The line looks like this: <meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />

  8. Block WP- folders from the search engines - There is no need to have all of your filesWordpress files indexed by Google, so it’s best to block them in your robots.txt file. Add the following line to your list:Disallow: /wp-*

Got any more tips you want to add? Drop a comment! Thanks!

Technorati Tags: , , ,

If you enjoyed this post, make sure you subscribe to my RSS feed!

» Filed Under Blogging

Related Posts

5 Responses to “8 Security Tips and Guidelines for your WordPress Blog”

  1. Jon Phillips said on : September 21st, 2007 at 2:56 pm

    Great tip. Most of the time it’s not the software that poses the biggest security threat, it’s the user. People want to make passwords that are easy to remember, but when you have blog software that is widely used as Wordpress is, it doesn’t take a 1337 H@x0r to compromise it.


  2. Siddharth said on : September 21st, 2007 at 5:01 pm

    Really nice articles thx for this


  3. Frank H M said on : November 8th, 2007 at 5:01 am

    Great tips. I will make sure to implemente these ASAP before I start blogging for real.


    Pingbacks
  1. Hey Wordpress Blogger, I Can See Your Plugins! Says:

    […] who also told me about this issue. More tips on Wordpress security are available via Online Tech Tips). A very nice implementation of this solution can be seen at […]

    October 11th, 2007 at 11:15 am
    2. Pingbacks
  2. Great articles that should be read | My lucky number 13 Says:

    […] 8 Security Tips and Guidelines for your WordPress Blog - Aseem Kishore […]

    October 31st, 2007 at 5:53 pm
Please post your comments/suggestions!