Als u denkt dat uw site veilig is omdat deze niet interessant is voor hackers, dan heeft u het mis, want de overgrote meerderheid van de beveiligingsinbreuken is niet gericht op het stelen van uw gegevens of het ontsieren van uw site.

Hackers willen uw server meestal gebruiken als relay voor spam-e-mails, of om een ​​tijdelijke webserver op te zetten, meestal om illegale bestanden te serveren. Als je wordt gehackt, wees dan bereid om wat geld uit te geven voor servergerelateerde kosten.

Er zijn verschillende manieren om de beveiliging van uw site of een multisite-netwerk te vergroten, maar een van de gemakkelijkste is om uw bestand te bewerken. wp-config.php. Het bijwerken van dit configuratiebestand, hoewel er geen eenduidige oplossing is, is een beleid dat moet worden gevolgd voor algemene beveiliging.

Met dat in gedachten gaan we de verschillende wijzigingen onderzoeken die u kunt aanbrengen om uw WordPress blog.

Configureer de constanten van WordPress

In uw WordPress-configuratiebestand, ook wel genoemd wp-config.php kunt u zogeheten PHP-constanten definiëren om bepaalde taken uit te voeren. WordPress heeft veel constanten die u kunt gebruiken.

Constanten zijn ook verpakt in de definieerfunctie() zoals getoond in dit syntaxisvoorbeeld:

define ('STRING_NAME', waarde);

Op WordPress is het bestand wp-config.php wordt geladen vóór de rest van de bestanden waaruit de kernel bestaat. Dit betekent dat als u de waarde van een constante in wp-config.php, kunt u de manier wijzigen waarop WordPress reageert en werkt. U kunt sommige functies uitschakelen of inschakelen door de waarde te wijzigen. In veel gevallen kan dit worden gedaan door te veranderen true voor onwaar, en omgekeerd, bijvoorbeeld.

Hieronder vindt u de verschillende constanten en andere soorten PHP-code die u in uw bestand kunt gebruiken wp-config.php  om uw veiligheid te vergroten. Plaats ze allemaal boven de volgende regel in uw bestand wp-config.php:

/ * Dat is alles, stop met bewerken! Gelukkig bloggen. * /

Let op: wees voorzichtig

Aangezien de wijzigingen die u gaat aanbrengen uw site ingrijpend kunnen veranderen, is dit een goede zaak idee om er een back-up van te maken. Als er een fout optreedt, kunt u uw site snel herstellen tot een punt voordat deze wijzigingen plaatsvonden en zodra uw site normaal functioneert, kunt u het opnieuw proberen.

1. Wijzig uw beveiligingssleutels

Mogelijk bent u al op de hoogte van de verschillende beveiligingssleutels en heeft u mogelijk al unieke sleutels toegevoegd, wat best een goede zaak is.

Informatiebeveiligingssleutels versleutelen de gegevens die zijn opgeslagen in cookies en het kan handig zijn om ze te wijzigen, vooral nadat uw site is gehackt. Dit zou alle open sessies van ingelogde gebruikers op uw site beëindigen, wat betekent dat hackers ook worden uitgelogd.

Wanneer u wachtwoorden opnieuw instelt en ervoor zorgt dat uw site vrij is van backdoor-exploits en dergelijke.

U kunt een nieuwe set beveiligingssleutels genereren met de WordPress-beveiligingssleutelgenerator. Kopieer alle inhoud en plak deze om de sectie te vervangen die er als volgt uitziet:

definiëren( 'AUTH_KEY', 't`DK%X:>xy|eZ(BXb/f(Ur`8#~UzUQG-^_Cs_GHs5U-&Wb?pgn^p8(2@}IcnCa|'); definiëren( 'SECURE_AUTH_KEY ', 'D&ovlU#|CvJ##uNq}bel+^MFtT&.b9{UvR]g%ixsXhGlRJ7q!h}XWdEC[BOKXssj'); definiëren( 'LOGGED_IN_KEY', 'MGKi8Br(&{H*~&0s;{k0  (hdXW|5M=X={we4;Mpvtg+Vo<$|#_}qG(GaVDEsn,~*2i' ); definiëren( 'NONCE_SALT', 'a|#h{c7|P &xWs0IZ2c8&%883!c( /uG}W:mAvy

2. Forceer het gebruik van SSL

Een SSL-certificaat versleutelt de verbinding tussen uw site en de browser van uw bezoeker, zodat hackers geen persoonlijke informatie kunnen onderscheppen en stelen. Als je al een SSL-certificaat hebt geïnstalleerd, moet je WordPress dwingen om het te gebruiken, dit kan je beveiliging verhogen.

Voeg deze regel toe om het gebruik van uw SSL-certificaat tijdens de verbinding af te dwingen:

define ('FORCE_SSL_LOGIN', waar);

U kunt uw SSL-certificaat ook forceren op het beheerdersdashboard met deze regel:

define ('FORCE_SSL_ADMIN', true);

Dit zijn zeer goede punten om mee te beginnen, hoewel het ideaal zou zijn om het SSL-certificaat op al uw website.

3. Wijzig het databasevoorvoegsel

Het voorvoegsel wordt voor de namen van alle tabellen in uw database geplaatst. Standaard gebruikt de tabel het voorvoegsel ' wp_" en als u het aan uw database toevoegt, wordt er een extra taak voor de hacker toegevoegd. Hoe meer obstakels je toevoegt, hoe meer jouw blog zal moeilijk te hacken zijn.

Het wijzigen van het standaard voorvoegsel helpt en het enige dat u hoeft te doen, is de constante in het bestand wijzigen " wp-config.php ", maar het zou ook nodig zijn dat de databasetabellen in uw installatie hetzelfde nieuwe voorvoegsel hebben. Je kunt veranderen wp_ voor zoiets g628_. Je moet iets kiezen dat echt niet gemakkelijk te raden is.

4. Schakel het bewerken van thema's en plug-ins uit

In elke WordPress-installatie kun je plug-ins en thema's rechtstreeks bewerken via het dashboard. Als een hacker toegang kon krijgen tot uw dashboard, hebben ze toegang tot deze speciale editor waar ze vervolgens konden doen wat ze wilden binnen uw plug-in en themabestanden, zoals het toevoegen van malware, virussen of spam.

5. Debugging uitschakelen

Als je ooit foutopsporing op je site of op een netwerk hebt ingeschakeld, doe je dit waarschijnlijk omdat het een geweldig hulpmiddel is voor het oplossen van problemen, maar vergeet niet om het uit te schakelen als je klaar bent. Als u deze optie ingeschakeld laat, kunnen hackers belangrijke informatie over uw site en de locatie van de bestanden aan iedereen die uw site bezoekt, onthullen aan hackers.

Om de foutopsporingsmodus uit te schakelen, kunt u de constante WP_DEBUG als volgt wijzigen van true in false:

define ('WP_DEBUG', false);

6. Schakel foutregistratie in WordPress uit

 Als u de vorige wijziging niet kunt aanbrengen omdat u nog steeds actief fouten op uw site moet opsporen, kunt u nog steeds de vitale informatie van uw site beschermen door front-end-fouten uit te schakelen en foutregistratie uit te schakelen.

Om frontend-foutrapportage uit te schakelen, voegt u deze regel toe terwijl u uw debugging (WP_DEBUG) op true laat staan:

define ('WP_DEBUG_DISPLAY', false);

7. Schakel automatische updates in

Het up-to-date houden van uw site met de nieuwste versies van WordPress, samen met uw plug-ins en thema's, zou een belangrijk onderdeel moeten zijn bij het ontwikkelen van een beveiligingsstrategie. Sinds deUpdates bieden beveiligingsoplossingen voor bekende kwetsbaarheden, maar updaten niet jouw blog voor deze potentiële risico's.

Vanaf WordPress versie 3.7 worden kleine beveiligingsoplossingen automatisch toegepast op WordPress-sites, maar basisversies niet. U kunt echter automatische updates inschakelen voor alle nieuwe versies door de waarde van de constante voor automatische updates te wijzigen:

define ('WP_AUTO_UPDATE_CORE', true);

Evenzo kunt u de volgende regel onder de vorige toevoegen om automatische updates voor plug-ins in te schakelen:

add_filter ('auto_update_plugin', '__return_true');

U kunt deze lijn ook volgen om automatische updates voor thema's toe te staan:

add_filter ('auto_update_theme', '__return_true');

Dat was het voor deze tutorial. Ik hoop dat het je in staat zal stellen om je beter te beveiligen WordPress blog.