Bagaimana TIDAK Melindungi Laman Web WordPress Anda

Apakah perkara pertama yang anda akan lakukan apabila anda ingin mengamankan tapak WordPress anda? Ketahui lima pemalam keselamatan teratas, pertimbangkan betapa berpatutannya dan kemudian teruskan dan pasang satu. Selesai, kini anda boleh duduk dan berehat, bukan? salah!

Menggunakan pemalam keselamatan tidak menjamin keselamatan. Keselamatan bukanlah satu perkara yang mutlak dan tiada siapa yang boleh menjamin keselamatan yang lengkap. Perkara terbaik yang boleh kita lakukan ialah mengurangkan risiko penggodaman. Dan bertentangan dengan kepercayaan popular, pemilik tapak perlu terlibat dalam memastikan tapak web selamat. Mengetahui perkara yang patut dan tidak patut anda lakukan adalah penting.

Walaupun terdapat beberapa panduan tentang perkara yang perlu anda lakukan untuk memastikan tapak WordPress anda selamat, kami menawarkan anda panduan tentang perkara yang perlu anda ELAK lakukan sebaliknya. Anda akan perhatikan bahawa nasihat di sini bercanggah dengan kepercayaan umum. Tetapi dari pengalaman kami, banyak nasihat di luar sana sudah lapuk dan menawarkan rasa selamat yang palsu.

Jika perkara keselamatan WordPress mengganggu anda sama seperti kami, lihat perkara berikut.

1. Jangan Gunakan Terlalu Banyak Pemalam Keselamatan

Memandangkan pelbagai jenis pemalam yang tersedia di luar sana, dengan pelbagai set ciri, adalah menarik untuk menggunakan lebih daripada satu pemalam keselamatan WordPress. Sejujurnya, ia adalah keterlaluan. Membimbangkan tentang keselamatan tapak anda adalah perkara biasa tetapi anda perlu bertanya kepada diri sendiri sama ada anda benar-benar memerlukan lebih daripada satu pemalam keselamatan? Apakah ciri yang penting untuk keperluan tapak anda? Adakah ciri-ciri itu akan memijak jari kaki satu sama lain?

Sebagai contoh, konflik boleh timbul apabila pemalam mula mengubah suai fail seperti wp-config.php atau htaccess. Pemalam boleh bermain-main dengan mudah dengan fail ini tetapi mereka tidak mengubah suainya dalam satu cara sebulat suara. Ini boleh menimbulkan konflik dan menjadikan tapak web anda perlahan.

Dengan tapak WordPress, perkara boleh menjadi salah sekarang dan kemudian. Semua orang membenci Skrin Kematian Putih yang digeruni. Mempunyai berbilang pemalam yang sangat mempengaruhi tapak web anda boleh menyukarkan isu penyahpepijatan. Sekarang, sekiranya terdapat hanya satu pemalam, mencari dan membetulkan punca ralat akan menjadi lebih mudah dan kurang rumit.

2. Jangan Tukar Awalan DB

Terdapat beberapa cara di mana tapak WordPress boleh dikompromi. Penggodam boleh mendapat akses kepada pangkalan data tapak melalui serangan suntikan SQL. Kerentanan dalam pemalam atau tema boleh digunakan untuk menceroboh pangkalan data tapak (sebab itu kami mencadangkan anda sebaliknya menggunakan pemalam sandaran pangkalan data WordPress untuk mengelakkan perangkap yang sama). Satu kaedah popular untuk menghalang penggodam daripada pergi lebih dalam ke tapak anda ialah dengan menukar awalan jadual lalai. Seperti yang anda boleh lihat dalam imej di bawah, dalam WordPress, awalan jadual lalai ialah ‘wp_.’ WordPress membenarkan anda menukar awalan jadual (untuk menyebut, ‘xzy_’) untuk menyembunyikan jadual tertentu.

Dari segi luaran, ini kelihatan seperti idea yang bagus. Jika penggodam tidak mengetahui nama jadual, maka mereka tidak boleh mendapatkan semula data daripadanya. Walau bagaimanapun, ini adalah alasan yang salah. Sebaik sahaja seseorang menggodam pangkalan data anda, masih terdapat cara untuk mengetahui jadual. Oleh itu menukar nama awalan adalah tidak berguna. Selain itu, mengubah suai awalan lalai boleh menyebabkan beberapa pemalam tidak berfungsi.

Tambahan pula, menukar awalan pangkalan data midflight adalah sukar untuk dilaksanakan dan boleh menyebabkan tapak web anda ranap. Ini kerana terdapat banyak perubahan yang perlu dilakukan pada setiap peringkat. Sebarang ralat dalam proses itu akan menjadi bencana kepada tapak anda.

3. Elakkan Menyembunyikan Halaman Log Masuk Anda

Sentiasa ada seseorang yang cuba menceroboh tapak anda dengan memecahkan kata laluan anda. Semasa serangan kekerasan, penggodam cuba log masuk ke tapak web anda menggunakan gabungan nama pengguna dan kata laluan yang popular. Jadi bagaimana jika kita menyembunyikan halaman log masuk? Itu akan membunuh dua burung dengan satu batu, bukan? Penggodam tidak akan dapat mencari halaman log masuk dan beban pada pelayan anda akan dikurangkan.

WordPress mempunyai halaman log masuk lalai. URL ke halaman biasanya kelihatan seperti contoh ini.com/wp-login.php. Satu cara yang terkenal untuk menyelamatkan tapak web anda daripada serangan kekerasan adalah dengan menyembunyikan atau menukar halaman log masuk lalai kepada sesuatu yang lain seperti example.com/mylogin.php. Walaupun ini kelihatan seperti pelan yang tidak mudah, mari kita ketahui sejauh mana kaedah itu berkesan dalam memastikan tapak WordPress anda selamat.

Pengurangan Beban Pelayan

Selepas anda menyembunyikan atau menukar lokasi halaman log masuk anda, setiap kali seseorang cuba membukanya, mereka akan menghadapi ralat 404. Walau bagaimanapun, percubaan log masuk adalah proses yang berat. Setiap kali halaman ralat 404 dimuatkan, ia memakan banyak sumber pelayan anda. Dan akhirnya memperlahankan tapak web anda. Oleh itu, kepercayaan umum bahawa menyembunyikan halaman log masuk anda akan mengurangkan beban pada pelayan adalah tidak betul.

URL Alternatif Tidak Sukar Diteka

Sebahagian daripada kejayaan WordPress sebagai CMS adalah disebabkan oleh pemalam yang membuat pengubahsuaian pada tapak web lebih mudah. Tidak menghairankan bahawa cara popular untuk menyembunyikan halaman log masuk tapak adalah dengan menggunakan pemalam. Pemalam ini disertakan dengan satu set URL log masuk alternatif lalai seperti xzy.com/wplogin.php, dll. Kami telah dilatih untuk menggunakan tetapan lalai sahaja. Sebaik sahaja kami memasang pemalam dan menukar URL kami, kami tidak terlalu memikirkannya. Tetapi hanya terdapat begitu banyak URL yang boleh ditawarkan oleh pemalam. Tidak terlalu sukar untuk mengetahui URL log masuk pratetap ini. Oleh itu, menggunakan URL alternatif mungkin tidak berkesan dalam kebanyakan kes.

Isu Kebolehgunaan

Keindahan WordPress ialah ia mudah digunakan. Ia adalah platform yang biasa. Bagi tapak yang mempunyai ramai pengguna, menukar atau menyembunyikan halaman log masuk boleh menimbulkan isu tertentu. Beberapa kali kami telah menjumpai siaran di forum WordPress di mana pengguna dikunci keluar dari tapak kerana perubahan dalam URL log masuk. Dalam kebanyakan kes, perubahan dibuat menggunakan pemalam dan pengguna tidak dimaklumkan tentang situasi yang menyebabkan huru-hara.

4. Jangan Sekat Alamat IP Secara Manual

Jika anda memasang pemalam keselamatan pada tapak anda, anda akan dimaklumkan apabila seseorang cuba melog masuk ke tapak web anda. Anda boleh dengan mudah mendapatkan IP yang menghantar permintaan berniat jahat tersebut dan menyekatnya menggunakan fail .htaccess. Ia adalah kerja intensif secara manual dan bukan amalan yang sangat mudah.

Tidak Mesra Pengguna

Orang bukan teknikal yang cuba mengubah suai fail .htaccess ialah resipi untuk bencana. Sistem pengurusan kandungan seperti WordPress mempunyai pemformatan yang sangat ketat. Walaupun menggunakan alat yang paling popular seperti FTP/SFTP adalah sangat berisiko. Ralat kecil atau peletakan arahan yang salah boleh menyebabkan tapak ranap.

Terlalu Banyak IP untuk Disekat

Untuk mengelak daripada disenaraihitamkan, penggodam menggunakan alamat IP dari seluruh dunia. Sebelum ini, kami membincangkan tentang menyekat alamat IP secara manual yang sentiasa cuba menceroboh tapak anda. Kerja (seperti yang telah kami nyatakan sebelum ini) memerlukan banyak masa dan usaha tetapi bukanlah penggunaan masa yang sangat cekap. Tetapi jika anda menggunakan mana-mana pemalam keselamatan WordPress teratas, contohnya, Malcare, anda boleh mengautomasikan proses penyekatan. Pemalam keselamatan sedemikian menjaga semua kelemahan keselamatan WP.

5. Menyembunyikan WordPress

Terdapat andaian umum bahawa menyembunyikan CMS anda menyukarkan orang yang mempunyai niat jahat untuk menceroboh tapak anda. Bagaimana jika kami boleh menyembunyikan fakta bahawa laman web anda berjalan di WordPress. Itu akan melindungi tapak anda daripada penggodam yang ingin mengeksploitasi kelemahan biasa. Cara mudah untuk melakukan ini adalah dengan (anda menekanya) menggunakan pemalam. Tetapi kaedah itu gagal apabila penggodam tidak peduli dengan platform yang tapak web anda berjalan. Selain itu, terdapat banyak cara untuk mengetahui sama ada tapak berjalan di WordPress.

Selain menggunakan pemalam, seseorang boleh memilih untuk melakukan kerja secara manual. Tetapi ia adalah proses yang memakan masa. Kemas kini WordPress tunggal boleh membuat asal semua kerja anda dalam beberapa saat. Maksudnya, anda sama ada perlu mengulangi proses itu berulang kali atau mengelak daripada kemas kini WP. Melangkau kemas kini WordPress adalah seperti membuka pintu depan untuk penggodam masuk terus ke rumah anda.

6. Melindungi Kata Laluan wp-admin Tidak Berfungsi

Halaman log masuk WordPress lalai (yang kelihatan seperti ini – example.com/wp-admin) ialah pintu masuk ke tapak anda. Halaman log masuk biasa kelihatan seperti gambar di bawah.

Di sini anda perlu menggunakan kelayakan anda untuk mengakses papan pemuka WordPress. Kata laluan yang melindungi halaman log masuk membantu menyembunyikan atau melindungi pintu masuk ke papan pemuka ini. Ia idea yang baik tetapi bukan tanpa kelemahannya.

Ihsan gambar: LookLinux

Pertama sekali, sukar untuk mengekalkan atau menukar kata laluan, jika anda kehilangannya. Selain tidak berkesan dalam menyediakan keselamatan tambahan, pengubahsuaian sedemikian pada tapak anda boleh terbukti sangat berbahaya. Sebagai contoh, apabila anda melindungi kata laluan halaman pentadbir, permintaan seperti /wp-admin/admin-ajax.php tidak boleh memintas perlindungan. Terdapat pemalam yang mungkin bergantung pada fungsi Ajax tapak anda. Dan apabila mereka tidak dapat mengakses fungsi ini, mereka mula berkelakuan tidak baik. Oleh itu, ini boleh menyebabkan laman web rosak.

Kepada anda

Jika anda mempunyai sebarang soalan atau cadangan mengenai perkara yang perlu dielakkan untuk menjamin tapak WordPress seseorang, beritahu kami dalam ulasan.