Kuidas oma WordPressi saiti WP-Configiga kaitsta?

Kuulake seda artiklit

Iga WordPressi sait sisaldab faili nimega "wp-config.php". See konkreetne WordPressi konfiguratsioonifail on üks olulisemaid WordPressi faile. Fail sisaldab palju konfiguratsiooniseadeid, mida saate saidi turvalisuse parandamiseks muuta. Selles postituses näitan teile, kuidas oma WordPressi saiti WordPressi konfiguratsioonifailiga kaitsta.

Artikli sisu:

• 1. Muutke andmebaasi eesliide
• 2. Keelake teema/pluginafailide redigeerimine
• 3. Takistage kasutajatel pistikprogrammide ja teemade installimist või värskendamist
• 4. Jõustage FTP turvalisuse tagamiseks
• 5. Muutke oma turvavõtmeid
• 6. Peida "wp-config.php"
• 7. Kaitske oma wp-config.php faili

Kuidas kaitsta WordPressi saiti wp-config failiga?

1. Muutke andmebaasi eesliide

Kas olete kunagi näinud oma WordPressi andmebaasi tabeleid? (Neile pääsete juurde oma veebimajutuskonto kaudu) Vaikimisi on andmebaasis üksteist tabelit. Igal tabelil on konkreetne funktsioon. Näiteks wp_posts salvestab teavet postitustest, lehtedest ja navigeerimismenüüdest. Kuna iga tabeli funktsioonid on eelnevalt määratletud, teab häkker, kuhu teie veebisaidi andmed salvestatakse. Näiteks kui nad soovivad kasutada teie saidi kasutajaid, saavad nad sihtida tabelit „wp_users”.

WordPress kasutab vaikimisi kõigi tabelite jaoks eesliidet "wp_". Selle eesliite unikaalseks muutmine aitab peita tabelinimesid ja kaitsta teie WordPressi saiti. Selleks avage fail "wp-config".
Samm 1: juurdepääsuks wp-config.php avage oma veebimajutuskonto ja minge oma hostimise juhtpaneelile. Valige "Failihaldur" ja teid suunatakse lehele, mis näeb välja umbes selline:

2. samm. Vasakul pool on kaust public_html. Sellest kaustast leiate faili wp-config.

Muutke failis wp-config järgmist rida:

$table_prefiks = 'wp_';

Peate selle muutma millekski juhuslikuks, näiteks:

$table_prefix = ‘gibrid_’;

See muudab andmebaasis olevate tabelite nimed "wp_users" asemel "hübriidkasutajad", "wp_posts" nimeks "hübriidpostitused" jne.

2. Keelake teema/pluginafailide redigeerimine

WordPressi juhtpaneelil on võimalus plugina/teema faili redigeerida. See tähendab, et kellel on juurdepääs tööriistaribale ja piisavad õigused, saavad kõik teie teemasid või pistikprogramme redigeerida.

Kuigi see on mugav tööriist, muutub see häkkeri käes ohtlikuks, kui soovite mõnda pistikprogrammi ümber konfigureerida. Oletame näiteks, et häkkeril õnnestus teie veebisaidile tungida ärakasutamise abil. Neil on lihtne olemasolevale pistikprogrammile või teemale pahavara lisada. Nad saavad peita tagaukse, mida nad saavad hiljem kasutada teie saidile juurdepääsu saamiseks igal ajal. Saate seda vältida ja oma WordPressi saiti kaitsta, kui keelate nende failide redigeerimise võimaluse. Lihtsalt sisestage oma WordPressi konfiguratsioonifaili järgmine kood:

define(‘DISALLOW_FILE_EDIT’,true);

3. Takistage kasutajatel pistikprogrammide ja teemade installimist või värskendamist

Kasutajatel nende failide redigeerimise takistamine pakub ainult üht turvalisuse taset. See ei takista häkkeritel installimast pahatahtlikku pistikprogrammi, mida nad saavad kasutada teie veebisaidi kaaperdamiseks. Saades juurdepääsu administraatoripaneelile koos kasutajaõigustega, saavad nad installida võltsitud teema või pistikprogrammi. Kui te ei installi pistikprogramme sageli, saate selle valiku keelata, lisades oma WordPressi konfiguratsioonifaili järgmise koodi:

define(‘DISALLOW_FILE_MODS’,true);

4. "FTP" sunnitud kasutamine

Kasutajate pistikprogrammide ja teemade installimise ja värskendamise takistamine võib olla piirav ja isegi ebapraktiline saitidel, mis installivad pistikprogramme üsna sageli. Veelgi enam, teemade ja pistikprogrammide värskendamine on veebisaidi turvalisuse jaoks väga oluline. Alternatiivne meetod tagamaks, et pluginaid installib kehtiv kasutaja, on sundida kasutajaid esitama FTP-andmeid. Isegi kui teie administraatoripaneel on ohus, ei saa häkkerid installida võltsitud pistikprogrammi, kui neil pole teie FTP-mandaate.

Lihtsalt lisage failile "wp-config.php" järgmised read:

define(‘FS_METHOD’, ‘ftpext’);

Kui teie veebimajutaja või server toetab FTPS-i, lisage konfiguratsioonifaili järgmised read:

define(‘FTP_SSL’, true);

Kui teie veebimajutaja või server toetab "SFTP-d", lisage järgmised read:

define(‘FS_METHOD’, ‘ssh2’);

5. Muutke turvavõtmeid

Te ei pea iga kord oma mandaati sisestama, kui peate oma saidile sisse logima. Kas olete kunagi mõelnud, kuidas teie brauser neid mandaate salvestab? Pärast oma kontole sisselogimist salvestatakse teie sisselogimisandmed krüpteeritult brauseri küpsisesse. Turvavõtmed on juhuslikud muutujad, mis aitavad seda krüptimist parandada. Kui teie saiti häkitakse, muudab salajaste võtmete muutmine küpsised kehtetuks ja sunnib iga aktiivse kasutaja automaatselt välja logima. Pärast lähtestamist kaotab häkker juurdepääsu teie WordPressi administraatorile. Saate luua uue turvavõtmete komplekti ja asetada need faili "wp-config". See aitab teie WordPressi saiti kaitsta.

6. Peida "wp-config.php"

Mis tahes WordPressi saidil on failil wp-config vaikekoht. Seetõttu võib faili asukoha muutmine vältida selle sattumist häkkerite kätte. Õnneks lubab WordPress kaustal "wp-config" asuda väljaspool teie WordPressi installi. Näiteks kui teie WordPress on installitud kausta public_html, on konfiguratsioonifail vaikimisi kaustas public_html. Kuid võite teisaldada wp-config kaustast public_html välja ja see töötab endiselt.

7. Kaitske faili wp-config.php

Konfiguratsioon on rünnakute suhtes haavatav, mistõttu on selle kaitsmine kohustuslik. Üks võimalus seda teha on muuta selle asukohta nii, et häkkerid ei leiaks seda vaikeasukohast. Kuigi mõned arendajad võivad sellele vastu vaielda, peavad paljud seda heaks ideeks.

Teine turvameede, mida saate kasutada, on failiõiguste piiramine. Määrake failiõigusteks 600, et ainult algsed omanikud saaksid muuta wp-config. Wp-config-faili loa muutmiseks valige fail ja seejärel suvand Luba.

Seejärel peate oma .htaccess-faili lisama järgmised read, et häkkerid ei saaks laadida wp-config faili otse brauserist.

# kaitseb wpconfig.php käsk luba, keela keela kõigilt

Lõpuks

Siin käsitlesin teie WordPressi saidi kaitsmist wp-config-failiga, kuid see on vaid üks paljudest võimalustest saidi turvalisuse suurendamiseks. Mõned muud turvameetmed, mida saate rakendada, hõlmavad muu hulgas turbepistikprogrammi, SSL-sertifikaadi, ainulaadse ja tugeva kasutajanime ja parooli kasutamist, HTTP autentimise ja kahefaktorilise autentimise rakendamist. Kuid enne nende meetodite rakendamist peaksite oma saidi varundama. Kui midagi läheb valesti, saate lihtsalt oma varukoopia taastada ja meie saidi kiiresti tööle panna.

Seda artiklit lugedes:

• Kuidas vältida saidiülest skriptimist?
• Mis on WordPress Pharma häkkimine ja kuidas seda puhastada?

Täname lugemise eest: SEO HELPER | NICOLA.TOP