Pokud si myslíte, že je váš web bezpečný, protože ho hackeři nezajímají, pak se mýlíte, protože drtivá většina narušení zabezpečení nemá za cíl ukrást vaše data nebo znetvořit váš web.

Hackeři obvykle chtějí použít váš server jako přenos spamových e-mailů nebo nastavit dočasný webový server, obvykle k poskytování nelegálních souborů. Pokud vás hacknou, buďte připraveni vydělat nějaké peníze na náklady spojené se serverem.

Existuje několik různých způsobů, jak zvýšit zabezpečení vašeho webu nebo sítě s více weby, ale jedním z nejjednodušších je upravit soubor. wp-config.php. Aktualizace tohoto konfiguračního souboru, i když neexistuje univerzální řešení, je zásadou, kterou je třeba dodržovat pro celkové zabezpečení.

S ohledem na to prozkoumáme různé úpravy, které můžete provést, abyste své zabezpečení zajistili WordPress blog.

Konfigurace konstant WordPress

V konfiguračním souboru WordPress se také nazývá wp-config.php , můžete definovat takzvané konstanty PHP k provádění určitých úkolů. WordPress má mnoho konstant, které můžete použít.

Konstanty jsou také zabaleny do funkce definovat() jak ukazuje tento příklad syntaxe:

define (hodnota "STRING_NAME", hodnota);

Na WordPressu soubor wp-config.php je načten před ostatními soubory, které tvoří jádro. To znamená, že pokud změníte hodnotu konstanty v wp-config.php, můžete změnit způsob, jakým WordPress reaguje a funguje. Některé funkce můžete deaktivovat nebo je zapnout změnou hodnoty. V mnoha případech to lze provést změnou true pro falešné a naopak, například.

Níže najdete různé konstanty a další typy kódu PHP, které můžete ve svém souboru použít wp-config.php  zvýšit vaši bezpečnost. Umístěte je všechny nad další řádek do souboru wp-config.php:

/ * To je vše, zastavit editaci! Šťastné blogování. * /

Pozor: Buďte opatrní

Protože změny, které se chystáte provést, mohou dramaticky změnit váš web, je to dobré myšlenka zálohování. Pokud dojde k chybě, můžete svůj web rychle obnovit do bodu před těmito změnami a jakmile váš web funguje normálně, můžete to zkusit znovu.

1. Změňte své bezpečnostní klíče

Možná už znáte různé bezpečnostní klíče a možná jste již přidali jedinečné klíče, což je docela dobrá věc.

Bezpečnostní klíče informací šifrují data uložená v souborech cookie a může být užitečné je změnit, zejména po napadení vašeho webu. Tím by se ukončily všechny otevřené relace přihlášených uživatelů na vašem webu, což znamená, že jsou odhlášeni i hackeři.

Když resetujete hesla a ujistíte se, že vaše stránky neobsahují zneužití backdooru a podobně.

Můžete vygenerovat novou sadu bezpečnostních klíčů pomocí Generátor zabezpečení klíčů WordPress. Zkopírujte veškerý obsah a vložte jej, abyste nahradili část, která vypadá takto:

define( 'AUTH_KEY', 't`DK%X:>xy|eZ(BXb/f(Ur`8#~UzUQG-^_Cs_GHs5U-&Wb?pgn^p8(2@}IcnCa|' ); define( 'SECURE_AUTH_KEY ', 'D&ovlU#|CvJ##uNq}bel+^MFtT&.b9{UvR]g%ixsXhGlRJ7q!h}XWdEC[BOKXssj'); define( 'LOGGED_IN_KEY', 'MGKi8Br(&{H*~&0s;{k0  (hdXW|5M=X={we4;Mpvtg+Vo<$|#_}qG(GaVDEsn,~*2i' ); define( 'NONCE_SALT', 'a|#h{c7|P &xWs0IZ2c8&%883!c( /uG}W:mAvy

2. Vynutit použití SSL

Certifikát SSL šifruje spojení mezi vaším webem a prohlížečem návštěvníka, takže hackeři nemohou zachytit a ukrást osobní údaje. Pokud již máte certifikát SSL nainstalovaný, musíte WordPress k jeho použití přinutit, může to zvýšit vaši bezpečnost.

Chcete-li vynutit použití vašeho certifikátu SSL během připojení, přidejte tento řádek:

define ('FORCE_SSL_LOGIN', true);

Svůj certifikát SSL můžete také vynutit na řídicím panelu správce pomocí tohoto řádku:

define ('FORCE_SSL_ADMIN', true);

To jsou velmi dobré body pro začátek, i když ideální by bylo použít certifikát SSL na všech vašich webové stránky.

3. Upravte předponu databáze

Předpona je umístěna před názvy všech tabulek v databázi. Ve výchozím nastavení používá tabulka předponu „ wp_" a jeho přidání do databáze přidá hackerovi další úkol. Čím více překážek přidáte, tím více váš blog bude těžké hacknout.

Změna výchozí předpony pomůže a vše, co musíte udělat, je změnit konstantu v souboru " wp-config.php ", ale také by bylo nutné, aby databázové tabulky ve vaší instalaci měly stejnou novou předponu. Můžete změnit wp_ pro něco jako g628_. Musíte si vybrat něco, co opravdu není snadné uhodnout.

4. Zakažte úpravy motivů a pluginů

V každé instalaci WordPress můžete přímo upravovat doplňky a motivy prostřednictvím řídicího panelu. Pokud hacker dokázal získat přístup k vašemu řídicímu panelu, má přístup k tomuto speciálnímu editoru, kde by pak mohl v rámci vašeho pluginu a souborů motivů dělat, co chtěl, například přidat malware, viry nebo spam.

5. Zakázat ladění

Pokud jste někdy na svém webu nebo v síti povolili ladění, pravděpodobně tak učinili, protože je to skvělý nástroj pro odstraňování problémů, ale po dokončení jej nezapomeňte deaktivovat. Ponecháte-li tuto možnost povolenou, můžete hackerům odhalit důležité informace o vašem webu a umístění jeho souborů každému, kdo váš web navštíví.

Chcete-li deaktivovat režim ladění, můžete změnit konstantu WP_DEBUG z true na false takto:

definovat ('WP_DEBUG', false);

6. Zakažte protokolování chyb ve WordPressu

 Pokud nemůžete provést předchozí změnu, protože stále potřebujete aktivně ladit svůj web, můžete stále chránit důležité informace o vašem webu vypnutím front-end chyb a vypnutím protokolování chyb.

Chcete-li zakázat hlášení chyb front-endu, přidejte tento řádek při zachování ladění (WP_DEBUG) nastaveného na true:

definovat ('WP_DEBUG_DISPLAY', false);

7. Povolit automatické aktualizace

Udržování aktuálního stavu webu s nejnovějšími verzemi WordPressu, stejně jako s vašimi pluginy a tématy, by mělo být důležitou součástí při vývoji bezpečnostní strategie. ProtožeAktualizace poskytují opravy zabezpečení pro známá zranitelnost, nikoli zpřístupnění aktualizací váš blog na tato potenciální rizika.

Od verze WordPress verze 3.7 se na weby WordPress automaticky aplikují drobné opravy zabezpečení, ale základní verze nejsou. Můžete však povolit automatické aktualizace pro všechny nové verze změnou hodnoty konstanty pro automatické aktualizace:

define ('WP_AUTO_UPDATE_CORE', true);

Podobně můžete přidat následující řádek pod předchozí, abyste povolili automatické aktualizace pro pluginy:

add_filter ('auto_update_plugin', '__return_true');

Můžete také sledovat tento řádek a povolit automatické aktualizace motivů:

add_filter ('auto_update_theme', '__return_true');

To je pro tento tutoriál vše. Doufám, že vám to umožní lépe zabezpečit vaše WordPress blog.