Harde WordPress-beveiliging 25 Essentiële plug-ins + tips
Als u een WordPress-website gebruikt, moet de beveiliging ervan uw grootste zorg zijn. In de meeste gevallen komen WordPress-blogs in gevaar omdat hun core-bestanden en / of plug-in verouderd zijn; verouderde bestanden zijn traceerbaar en het is een open uitnodiging voor hackers.
Hoe blijf je voorgoed weg van de slechterikken? Zorg er allereerst voor dat u altijd op de hoogte bent van de nieuwste versie van WordPress. Maar er is meer. In het bericht van vandaag zal ik graag enkele handige plug-ins met je delen, evenals enkele tips om je WordPress-beveiliging te verbeteren.
Volledige lijst na sprong!
Plug-ins voor betere beveiliging
WP DB BackupWP DB Backup is een eenvoudig te gebruiken plug-in waarmee u een back-up van uw kern WordPress-databasetabellen kunt maken met slechts een paar klikken. Bovendien is het zo eenvoudig, het is ook een van de meest gebruikte plug-ins geweest om je WP-website te beveiligen.
WP-beveiligingsscanMet deze plug-in is het scannen van uw WordPress-site een eenvoudige taak. Het vindt de kwetsbaarheden op uw site en biedt nuttige tips voor het verwijderen ervan.
Vraag Apache-wachtwoordbeveiligingDeze plug-in heeft geen controle over WordPress of rotzooi met uw database, maar gebruikt snelle, beproefde en ingebouwde beveiligingsfuncties om meerdere beveiligingslagen aan uw blog toe te voegen.
Stealth LoginDe Stealth Login-plug-in helpt u bij het maken van aangepaste URL-adressen voor het aanmelden, registreren en uitloggen van WordPress.
Login LockdownAanmeldingsblokkering helpt u bij het vergrendelen van pogingen gedurende een bepaalde tijd bij het aanmelden bij uw admin-paneel na een aantal pogingen.
WP-DB ManagerDit is een andere geweldige plugin waarmee u uw WP-database kunt beheren. Het kan worden gebruikt als een alternatief voor de WordPress Backup Manager.
Admin SSL Secure PluginEen andere plug-in om uw admin-paneel te beveiligen. Het werkt op de SSL-codering en is erg handig tegen hackers of mensen die proberen toegang te krijgen tot uw panel. Het is de rivaal voor de Chap Secure Login Plugin.
GebruikerskastjeAls je wilt voorkomen dat brute-force je site hackt, is de plug-in voor gebruikersblokkering precies wat je zoekt. Het werkt op hetzelfde systeem als Login Lockdown, maar het is een 5-sterren beoordeelde WP plug-in die een grote roem heeft onder zijn gebruikers.
Aanmeldingspogingen beperkenLimit Login Pogingen blokkeert het internetadres om verdere pogingen te ondernemen nadat een gespecificeerde limiet op pogingen is bereikt, waardoor een brute-force aanval moeilijk of onmogelijk wordt.
Inloggen EncryptieLogin Encrypt is een beveiligingsplug-in. Het gebruikt een complexe combinatie van DES en RSA om het inlogproces te versleutelen en beveiligen naar het admin panel.
Eenmalig wachtwoordDeze unieke plug-in helpt u om een eenmalig wachtwoord in te stellen voor uw login, om te voorkomen dat gebruikers loggen van internetcafés of dergelijke.
AntivirusAntivirus is een vrij populaire beveiligingsplug-in die u helpt uw blog beveiligd te houden tegen bots, virussen en malware.
Slecht gedragSlecht gedrag is de plug-in die je helpt te vechten met die irritante spammers. De plug-in helpt niet alleen om spam-berichten op je blog te voorkomen, maar probeert ook de toegang tot je blog te beperken, zodat ze deze niet kunnen lezen.
Exploit ScannerZoek in de bestanden en database van uw WordPress-installatie naar tekenen die erop kunnen wijzen dat de bestanden of de database het slachtoffer zijn geworden van kwaadwillende hackers. Zelfs als het een andere scan-plug-in is, is het het proberen waard.
Gebruiker Spam RemoverDe naam van de plug-in vertelt zijn functies, een populaire plug-in die u zal helpen ongewenste ongewenste e-mailberichten te voorkomen en te verwijderen.
Badqueries blokkeren Deze plugin probeert alle kwaadwillige query's die zijn geprobeerd op uw server en WordPress-blog te blokkeren. Het werkt op de achtergrond en controleert op te lange verzoekenreeksen (dat wil zeggen, meer dan 255 tekens), evenals de aanwezigheid van een van beide "Eval (" of "Base64" in de aanvraag-URI.
8 essentiële tips
Standaard "wp_" voorvoegsels wijzigen
Uw website staat mogelijk op het spel als u de voorspelbare wp_-prefixen in uw database gebruikt. In de volgende tutorial leer je hoe je ze via phpMyAdmin in 5 eenvoudige stappen kunt veranderen.
U kunt dit ook doen met de WP Security Scan-plug-in.
Verberg login foutmeldingen
Foutmeldingsmeldingen kunnen blootgeven en geven hackers een idee als ze de gebruikersnaam correct / onjuist hebben gekregen, en vice versa. Het is verstandig om het te verbergen voor ongeoorloofd inloggen.
Om login-foutmeldingen te verbergen, plaatst u gewoon de volgende code in functions.php
add_filter ('login_errors', create_function ('$ a', "return null;"));
[Bron]
Houd wp-admin Directory beschermd
Het beschermd houden van de map "wp-admin" voegt een extra beschermingslaag toe. Degene die probeert toegang te krijgen tot bestanden of directory na "wp-admin" zal gevraagd worden om in te loggen.
Het beschermen van uw "wp-admin" map met login en wachtwoord kan op verschillende manieren gebeuren:
- WordPress plug-in - De WordPress gebruiken AskApache Wachtwoordbeveiliging plug-in.
- cPanel - Als uw hosting cPanel admin-login ondersteunt, kunt u eenvoudig bescherming instellen voor elke map via cPanel's Wachtwoordbeveiliging Directories grafische gebruikersinterface. Ontdek meer uit deze tutorial.
- .htaccess + htpasswd - Het maken van een met een wachtwoord beveiligde map kan ook gemakkelijk worden gedaan door de mappen in te stellen die u binnenin wilt beveiligen .htaccess en gebruikers die toegang hebben tot de binnenkant .htpasswd. De volgende tutorial laat zien hoe je het in 7 stappen moet doen.
Back-ups maken
Het bijhouden van back-ups van uw hele WordPress-blog is net zo belangrijk als het beveiligen van de site tegen hackers. Als de laatste mislukt, hebt u ten minste nog steeds de schone back-upbestanden die u wilt terugzetten.
We hebben eerder een lijst met oplossingen besproken om een back-up van uw WordPress-bestanden en -database te maken, inclusief zowel nuttige plug-ins als back-upservices.
Voorkom het browsen van mappen
Een ander groot beveiligingslek is dat uw directories (en alle bijbehorende bestanden) zichtbaar en toegankelijk zijn voor het publiek. Hier is een eenvoudige test om te controleren of uw WordPress-mappen goed beschermd zijn:
- Voer de volgende URL in de browser in, zonder de aanhalingstekens. "Http://www.domain.com/wp-includes/"
Als het leeg is of u doorverwijst naar de startpagina, bent u veilig. Als u echter een scherm ziet dat vergelijkbaar is met de afbeelding hieronder, bent u dat niet.
Om toegang tot alle mappen te voorkomen, plaatst u deze code in uw .htaccess het dossier.
# Voorkom mappen bladeren Opties Alles -Indexen
Houd WordPress core-bestanden en plug-ins bijgewerkt
Een van de veiligste manieren om uw WordPress-site veilig te houden, is ervoor te zorgen dat uw bestanden altijd worden bijgewerkt naar de nieuwste release. Hier zijn enkele manieren (werkwijzen) die u kunt doen:
- Log vaak in op Dashboard - Bovenaan het Dashboard verschijnt een gele melding als update beschikbaar is. Meld u regelmatig aan en houd uzelf op de hoogte van het laatste exemplaar van WordPress-kernbestanden.
- Deactiveer en verwijder ongebruikte plug-ins - Ongebruikte plug-ins zullen uiteindelijk verouderd raken en kunnen een veiligheidsrisico vormen. Als u het niet gebruikt, wis het dan.
- Abonneer u op WordPress Releases RSS.
Kies een sterk wachtwoord
Is uw wachtwoord veilig? Een sterk en veilig wachtwoord is meer dan alleen iets gedenkwaardigs met getallen (bijvoorbeeld john123). Om te beginnen moet het uit meer dan 12 tekens bestaan met de combinatie van cijfers en letters in hoofdletters en kleine letters.
Hier zijn enkele toepassingen waarmee u een sterk wachtwoord kunt genereren:
- GoodPassword
- Multicians
- KeePass
- LastPass
- PCTools
- 1Password
Als alternatief kunt u ook controleren hoe sterk (en veilig) uw huidige wachtwoord is met howsecureismypassword.net.
Verwijder de admin-gebruiker
Een standaardinstallatie van WordPress wordt geleverd met een standaardgebruiker met de naam "admin". Als dat de gebruikersnaam van uw WordPress-site is, maakt u het leven van de hacker al 50% eenvoudiger. Gebruik van gebruiker "admin" moet te allen tijde worden vermeden.
Een veiligere manier om veilig verbinding te maken met uw beheerder is door een nieuwe beheerder te maken en "admin" te verwijderen. En hier doet u het:
- Log in op het WordPress admin paneel
- Ga naar gebruikers -> Voeg nieuw toe
- Voeg een nieuwe gebruiker toe met Beheerder rol, zorg ervoor dat je een sterk wachtwoord gebruikt.
- Log uit van WordPress, log opnieuw in met je nieuwe admin-gebruiker.
- Ga naar gebruikers
- Verwijder de "admin" -gebruiker
- Als 'admin' posts heeft, vergeet dan niet alle posts en links terug te schrijven naar de nieuwe gebruiker.
Meer nuttige bronnen:
- Hardende WordPress (WordPress)
- Veelgestelde vragen over WordPress-beveiliging (WordPress)
- Wat te doen als uw site gehackt is (WordPress)
- Begrijp de .htaccess en .htpasswd (Apache)
- Begrijp de .htaccess en .htpasswd (Javascriptkit.com)
- De wp-admin-map beveiligen (Nicolaskuttler.com)
- Schoongemaakte gehackte WordPress-installatie (Blogsblogsblogs.com)