Šis raksts apraksta, kā uzlabot jūsu WordPress tīmekļa vietnes drošību. WordPress vietnes bieži ir ķertas uzbrukumiem no hakerniekiem. Softaculous piedāvā WordPress pārvaldnieku ar drošības funkcijām, lai aizsargātu jūsu WordPress vietni.
Drošības pasākumi, kas ir pieejami WordPress pārvaldniekā, piedāvā detalizētu informāciju par katru ieteikto atjauninājumu, ļaujot jums tos tieši piemērot bez spraudņa nepieciešamības. Ja kāds no šiem drošības pasākumiem rada problēmas jūsu tīmekļa vietnes funkcionalitātē, jums ir elastība atsaukt tos jebkurā brīdī.
Piezīme: Šī funkcija tika pievienota Softaculous versijā 5.9.2
Pieeja WordPress pārvaldniekam
1. Lai piekļūtu WordPress pārvaldniekam, noklikšķiniet uz WordPress ikonas, kas atrodas jūsu Softaculous gala lietotāja panelī, kā parādīts zemāk esošajā ekrānuzņēmumā.
2. Kā alternatīvu varat piekļūt WordPress pārvaldniekam, noklikšķinot uz WordPress ikonas blakus konkrētajai WordPress instalācijai, kuru vēlaties pārvaldīt lapā “Visas instalācijas”, kā norādīts zemāk esošajā ekrānuzņēmumā.
WordPress pārvaldnieka drošības pasākumi
Izmantojot Softaculous WordPress pārvaldnieku, jūs varat piemērot drošības pasākumus vienai vai vairākām WordPress vietnēm, atzīmējot rūtiņu attiecīgajās WordPress instalācijās esošajā labajā pusē.
Šeit ir drošības pasākumi, ko piedāvā WordPress pārvaldnieks, lai uzlabotu jūsu WordPress tīmekļa vietnes drošību.
Mainīt noklusējuma administratora lietotājvārdu
WordPress neļauj mainīt lietotājvārdu, un ja sākotnēji instalējāt WordPress ar lietotājvārdu ‘admin’, jūsu vietne var būt ievainojama pret bruteforce uzbrukumiem. Šis drošības pasākums maina lietotājvārdu no ‘admin’ uz nejauši ģenerētu, uzlabojot jūsu vietnes aizsardzību. Jūs varat ielogoties, izmantojot jaunizveidoto administratora kontu, noklikšķinot uz pogas “Pieslēgties” WordPress pārvaldniekā.
Ierobežot piekļuvi failiem un katalogiem
Nepareizas failu un katalogu atļaujas var ļaut neautorizētai piekļuvei, radot draudus jūsu tīmekļa vietnes drošībai. Šis iestatījums pielāgo atļaujas: wp-config.php failam uz 0600, citiem failiem uz 0644 un katalogiem uz 0755, uzlabojot drošību.
Bloķēt neautorizētu piekļuvi xmlrpc.php
Šis drošības pasākums bloķē piekļuvi xmlrpc.php.
Lūdzu, ņemiet vērā, ka pielāgotie norādījumi failos .htaccess var potenciāli pārrakstīt šo iestatījumu.
Bloķēt piekļuvi failiem .htaccess un .htpasswd
Piekļuve failiem .htaccess un .htpasswd var izpaust jūsu tīmekļa vietni dažādās eksploatacijās un drošības pārkāpumos. Šis drošības pasākums novērš šo failu piekļuvi tiešsaistē, uzlabojot jūsu tīmekļa vietnes aizsardzību.
Izslēgt pingback
Pingback ļauj citām WordPress tīmekļa vietnēm automātiski komentēt jūsu ierakstus, kad tās uz tiem saitē. Tomēr tās var tikt ļaunprātīgi izmantotas DDoS uzbrukumiem citām vietnēm. Šis drošības pasākums izslēdz XML-RPC pingback visai jūsu vietnei un arī izslēdz pingback jau publicētajiem ierakstiem ar aktivizētiem pingback.
Atslēgt failu rediģēšanu WordPress informācijas panelī
Failu rediģēšanas atslēgšana WordPress novērš iespēju tieši rediģēt spraudņu un tēmu avota failus WordPress interfeisā. Šis papildu drošības slānis ir būtisks gadījumā, ja WordPress administratora konts ir kompromitēts, jo tas novērš neautorizētu lietotāju iespēju viegli pievienot ļaunprātīgu izpildāmu kodu spraudņiem vai tēmām.
Bloķēt autoru skenēšanu
Autoru skenēšana tiek izmantota, lai identificētu reģistrēto lietotāju lietotājvārdus, it īpaši WordPress administratorus, izmantojot unikālus identifikatorus (uid). Pēc tam uzbrucēji cenšas bruteforce uzbrukumus jūsu vietnes pieteikšanās lapai iegūt piekļuvi. Šis drošības pasākums bloķē šādas skenēšanas, nodrošinot, ka lietotājvārdi paliek neparādīti.
Lūdzu, ņemiet vērā: Atkarībā no jūsu vietnes pastāvīgo saikņu konfigurācijas šī opcija varētu ierobežot apmeklētāju piekļuvi lapām, kas parāda visus noteiktā autora rakstus.
Bloķēt kataloga pārlūkošanu
Ja kataloga pārlūkošana ir iespējota, hakernieki var iegūt plašu informāciju par jūsu vietni, apdraudot tās drošību. Lai arī kataloga pārlūkošana parasti ir atspējota pēc noklusējuma, ja tā ir ieslēgta, šis drošības pasākums var to bloķēt.
Aizliegt PHP skriptu izpildi wp-includes katalogā
wp-includes katalogs var saturēt neaizsargātus PHP failus, ko hakernieki var izmantot, lai kompromitētu jūsu vietni. Šis drošības pasākums novērš PHP failu izpildi wp-includes katalogā.
Lūdzu, ņemiet vērā: Pielāgotie norādījumi failos .htaccess var potenciāli pārrakstīt šo iestatījumu.
Aizliegt PHP skriptu izpildi wp-content/uploads katalogā
wp-content/uploads katalogs var potenciāli saturēt nedrošus PHP failus, ko hakernieki var izmantot, lai kompromitētu jūsu vietni. Šis drošības pasākums bloķē PHP failu izpildi wp-content/uploads katalogā.
Lūdzu, ņemiet vērā: Pielāgotie norādījumi failos .htaccess var potenciāli pārrakstīt šo iestatījumu.
Atslēgt skriptu apvienošanu WordPress administratora panelim
Šis drošības pasākums izslēdz skriptu apvienošanu WordPress administratora panelī, nodrošinot jūsu vietnes aizsardzību pret konkrētām DoS uzbrukumu veikšanu. Lai gan tas var nedaudz ietekmēt WordPress administratora panela veiktspēju, tas nevajadzētu ietekmēt apmeklētāju pieredzi jūsu WordPress vietnē.
Bloķēt piekļuvi jutīgiem failiem
Šis drošības pasākums bloķē publisko piekļuvi konkrētiem failiem, kas satur jutīgu informāciju, piemēram, savienojuma akreditācijas vai datiem, kas varētu tikt ļaunprātīgi izmantoti, lai identificētu vulnerabilitātes jūsu WordPress vietnē.
Iespējot botu aizsardzību
Šī funkcija aizsargā jūsu vietni no nederīgiem, ļaunprātīgiem vai kaitīgiem botiem. Tā bloķē botus, kas pārskanē jūsu vietni meklējot vulnerabilitātes un pārslodzi ar nevēlamām pieprasījumiem, novēršot resursu pārējo.
Lūdzu, ņemiet vērā: Ja plānojat izmantot tiešsaistes pakalpojumu jūsu vietnes pārskatīšanai uz vulnerabilitātēm, var būt nepieciešams īslaicīgi atslēgt šo pasākumu, jo šie pakalpojumi var izmantot līdzīgus botus.