Ang Ultimate WordPress Security Guide – Hakbang sa Hakbang (2020)

Ang seguridad ng WordPress ay isang paksa ng malaking kahalagahan para sa bawat may-ari ng website. Ang mga blacklists ng Google sa paligid ng 10,000+ website araw-araw para sa malware at sa paligid ng 50,000 para sa phishing bawat linggo.


Kung ikaw ay seryoso tungkol sa iyong website, kailangan mong bigyang-pansin ang pinakamahusay na kasanayan sa seguridad ng WordPress. Sa gabay na ito, ibabahagi namin ang lahat ng nangungunang mga tip sa seguridad ng WordPress upang matulungan kang protektahan ang iyong website laban sa mga hacker at malware.

Kumpletuhin ang gabay sa seguridad ng WordPress

Bagama’t ligtas ang WordPress core software, at regular itong na-awdit ng daan-daang mga developer, maraming magagawa upang mapanatili ang iyong site.

Sa WPBeginner, naniniwala kami na ang seguridad ay hindi lamang tungkol sa pag-aalis ng peligro. Ito rin ay tungkol sa pagbabawas ng peligro. Bilang isang may-ari ng website, maraming magagawa mo upang mapagbuti ang iyong seguridad sa WordPress (kahit na hindi ka tech savvy).

Mayroon kaming isang bilang ng mga aksyon na maaaring gawin upang maprotektahan ang iyong website laban sa mga kahinaan sa seguridad.

Upang gawing madali ito, gumawa kami ng isang talahanayan ng nilalaman upang matulungan kang madaling mag-navigate sa aming panghuli gabay sa seguridad ng WordPress.

Mga Pangunahing Kaalaman sa WordPress Security

    Ang WordPress Security sa Madaling Mga Hakbang (Walang Coding)

      Seguridad ng WordPress para sa mga gumagamit ng DIY

        Handa na? Magsimula na tayo.

        Bakit Mahalaga ang Security ng Website?

        Ang isang hacked na site ng WordPress ay maaaring maging sanhi ng malubhang pinsala sa kita at reputasyon ng negosyo. Ang mga hacker ay maaaring magnakaw ng impormasyon ng gumagamit, mga password, mai-install ang nakakahamak na software, at maaari ring ipamahagi ang malware sa iyong mga gumagamit.

        Pinakamasama, maaari mong makita ang iyong sarili na nagbabayad ng ransomware sa mga hacker upang makuha muli ang pag-access sa iyong website.

        Bakit mahalaga ang seguridad ng WordPress

        Noong Marso 2016, iniulat ng Google na higit sa 50 milyong mga gumagamit ng website ay binalaan tungkol sa isang website na kanilang binibisita ay maaaring maglaman ng malware o magnakaw ng impormasyon.

        Bukod dito, ang mga blacklists ng Google sa paligid ng 20,000 mga website para sa malware at sa paligid ng 50,000 para sa phishing bawat linggo.

        Kung ang iyong website ay isang negosyo, pagkatapos ay kailangan mong bigyang pansin ang iyong seguridad sa WordPress.

        Katulad sa kung paano responsibilidad ng mga may-ari ng negosyo na protektahan ang kanilang pisikal na gusali ng tindahan, bilang isang may-ari ng online na negosyo ay responsibilidad mong protektahan ang iyong website ng negosyo.

        []

        Nai-update ang Pag-update ng WordPress

        Ang pagpapanatili ng WordPress na-update

        Ang WordPress ay isang bukas na mapagkukunan ng software na regular na pinapanatili at na-update. Bilang default, awtomatikong mai-install ng WordPress ang mga menor de edad na pag-update. Para sa mga pangunahing paglabas, kailangan mong manu-manong simulan ang pag-update.

        Ang WordPress ay may libu-libong mga plugin at tema na maaari mong mai-install sa iyong website. Ang mga plugin at tema na ito ay pinapanatili ng mga developer ng third-party na regular na naglalabas din ng mga update.

        Ang mga pag-update ng WordPress na ito ay mahalaga para sa seguridad at katatagan ng iyong site ng WordPress. Kailangan mong tiyakin na ang iyong WordPress core, plugin, at tema ay napapanahon.

        []

        Malakas na Mga Password at Pahintulot ng Gumagamit

        Pamahalaan ang mga malakas na password

        Ang pinakakaraniwang mga pagtatangka sa pag-hack ng WordPress ay gumagamit ng mga ninakaw na mga password. Maaari mong gawin itong mahirap sa pamamagitan ng paggamit ng mas malakas na mga password na natatangi para sa iyong website. Hindi lamang para sa WordPress admin area, kundi pati na rin para sa FTP account, database, WordPress hosting account, at iyong pasadyang mga email address na gumagamit ng domain name ng iyong site.

        Maraming nagsisimula ang hindi gumamit ng mga malalakas na password dahil mahirap alalahanin. Ang magandang bagay ay hindi mo na kailangang tandaan ang mga password. Maaari kang gumamit ng isang tagapamahala ng password. Tingnan ang aming gabay sa kung paano pamahalaan ang mga password ng WordPress.

        Ang isa pang paraan upang mabawasan ang panganib ay ang hindi bigyan ang sinuman ng pag-access sa iyong WordPress admin account maliban kung mayroon kang ganap na. Kung mayroon kang isang malaking koponan o mga may-akda ng panauhin, pagkatapos siguraduhin na nauunawaan mo ang mga tungkulin at kakayahan ng gumagamit sa WordPress bago ka magdagdag ng mga bagong account sa gumagamit at may-akda sa iyong site ng WordPress.

        []

        Ang Papel ng WordPress Hosting

        Ang iyong serbisyo sa hosting ng WordPress ay gumaganap ng pinakamahalagang papel sa seguridad ng iyong WordPress site. Ang isang mahusay na ibinahaging tagapagbigay ng hosting tulad ng Bluehost o Siteground ay gumawa ng labis na mga hakbang upang maprotektahan ang kanilang mga server laban sa mga karaniwang pagbabanta.

        Narito kung paano gumagana ang isang mahusay na kumpanya ng web hosting sa background upang maprotektahan ang iyong mga website at data.

        • Patuloy nilang sinusubaybayan ang kanilang network para sa kahina-hinalang aktibidad.
        • Ang lahat ng mga mabuting kumpanya ng nagho-host ay may mga tool sa lugar upang maiwasan ang malakihang pag-atake ng DDOS
        • Pinapanatili nila ang kanilang server ng software at hardware hanggang sa ngayon upang maiwasan ang mga hacker na samantalahin ang isang kilalang kahinaan sa seguridad sa isang lumang bersyon.
        • Handa silang mag-deploy ng mga pagbawi sa sakuna at mga aksidente na plano na nagbibigay-daan sa kanila upang maprotektahan ang iyong data kung sakaling may malaking aksidente.

        Sa isang ibinahaging plano sa pagho-host, ibinabahagi mo ang mga mapagkukunan ng server sa maraming iba pang mga customer. Binubuksan nito ang peligro ng kontaminasyon ng cross-site kung saan ang isang hacker ay maaaring gumamit ng isang kalapit na site upang salakayin ang iyong website.

        Ang paggamit ng isang pinamamahalaang serbisyo sa pagho-host ng WordPress ay nagbibigay ng isang mas ligtas na platform para sa iyong website. Nag-aalok ang mga pinamamahalaang kumpanya ng WordPress na nag-aalok ng awtomatikong pag-backup, awtomatikong pag-update ng WordPress, at mas advanced na mga pagsasaayos ng seguridad upang maprotektahan ang iyong website

        Inirerekumenda namin ang WPEngine bilang aming ginustong pinamamahalaang provider ng hosting ng WordPress. Sila rin ang pinakapopular sa industriya. (Tingnan ang aming espesyal na kupon ng WPEngine).

        []

        Ang WordPress Security sa Madaling Mga Hakbang (Walang Coding)

        Alam namin na ang pagpapabuti ng seguridad ng WordPress ay maaaring maging isang kakila-kilabot na pag-iisip para sa mga nagsisimula. Lalo na kung hindi ka techy. Hulaan kung ano – hindi ka nag-iisa.

        Tumulong kami sa libu-libong mga gumagamit ng WordPress sa pagpapatibay ng kanilang seguridad sa WordPress.

        Ipapakita namin sa iyo kung paano mo mapagbuti ang seguridad ng WordPress sa pamamagitan lamang ng ilang mga pag-click (walang kinakailangang coding).

        Kung maaari mong ituro-at-click, magagawa mo ito!

        Mag-install ng Solusyon sa Backup ng WordPress

        Mag-install ng isang solusyon sa backup na WordPress

        Ang mga backup ay ang iyong unang pagtatanggol laban sa anumang pag-atake sa WordPress. Tandaan, walang 100% na ligtas. Kung ang mga website ng gobyerno ay maaaring mai-hack, kung gayon maaari mong makuha.

        Pinapayagan ka ng mga backup na mabilis na maibalik ang iyong site sa WordPress kung sakaling may masamang mangyari.

        Maraming libre at bayad na mga backup na WordPress plugin na maaari mong gamitin. Ang pinakamahalagang bagay na kailangan mong malaman pagdating sa mga backup ay dapat mong regular na i-save ang mga backup na buong site sa isang liblib na lokasyon (hindi ang iyong hosting account).

        Inirerekumenda namin ang pagtatago nito sa isang serbisyo ng ulap tulad ng Amazon, Dropbox, o mga pribadong ulap tulad ng Stash.

        Batay sa kung gaano kadalas mong i-update ang iyong website, ang perpektong setting ay maaaring alinman sa isang beses sa isang araw o mga backup na real-time.

        Sa kabutihang palad ito ay madaling gawin sa pamamagitan ng paggamit ng mga plugin tulad ng VaultPress o UpdateraftPlus. Pareho silang maaasahan at pinakamahalagang madaling gamitin (walang kinakailangang coding).

        []

        Pinakamahusay na WordPress Security Plugin

        Pagkatapos ng mga pag-backup, ang susunod na bagay na kailangan nating gawin ay ang pag-setup ng isang sistema ng pag-awdit at pagsubaybay na sinusubaybayan ang lahat ng nangyayari sa iyong website.

        Kasama dito ang pagsubaybay sa integridad ng file, nabigo ang mga pagtatangka sa pag-login, pag-scan ng malware, atbp.

        Sa kabutihang palad, maaari itong maingat na maingat ng lahat ng pinakamahusay na plugin ng seguridad ng WordPress, na Sucuri Scanner.

        Kailangan mong i-install at i-activate ang libreng plugin ng Sucuri Security. Para sa higit pang mga detalye, mangyaring tingnan ang aming hakbang-hakbang na gabay sa kung paano mag-install ng isang plugin ng WordPress.

        Sa pag-activate, kailangan mong pumunta sa menu ng Sucuri sa iyong WordPress admin. Ang unang bagay na hihilingin mong gawin ay Bumuo ng isang libreng key sa API. Pinapayagan nito ang pag-log sa pag-log, pagsusuri sa integridad, mga alerto sa email, at iba pang mahahalagang tampok.

        Bumuo ng Sucuri API Key

        Ang susunod na bagay, kailangan mong gawin ay mag-click sa tab na ‘Hardening’ mula sa menu ng mga setting. Pumunta sa bawat pagpipilian at mag-click sa pindutan ng “Ilapat ang Hardening”.

        Ang hardening ng seguridad ng Sucuri

        Ang mga pagpipiliang ito ay tumutulong sa iyo na i-lock ang mga pangunahing lugar na madalas gamitin ng mga hacker sa kanilang mga pag-atake. Ang tanging pagpipilian ng hardening na bayad na pag-upgrade ay ang Web Application Firewall na ipapaliwanag namin sa susunod na hakbang, kaya laktawan mo ito ngayon.

        Nakasaklaw din namin ang maraming mga opsyon na “Hardening” mamaya sa artikulong ito para sa mga nais gawin ito nang hindi gumagamit ng isang plugin o ang mga nangangailangan ng karagdagang mga hakbang tulad ng “Pagbabago ng Database Prefix” o “Pagbabago ng Admin Username”.

        Matapos ang bahagi ng hardening, ang mga setting ng default na plugin ay sapat na mabuti para sa karamihan sa mga website at hindi nangangailangan ng anumang mga pagbabago. Ang tanging bagay na inirerekumenda namin na ipasadya ang ‘Mga Alerto sa Email’.

        Ang mga setting ng default na alerto ay maaaring kalat ang iyong inbox sa mga email. Inirerekumenda namin ang pagtanggap ng mga alerto para sa mga pangunahing aksyon tulad ng mga pagbabago sa mga plugin, bagong rehistro ng gumagamit, atbp Maaari mong isaayos ang mga alerto sa pamamagitan ng pagpunta sa Mga Setting ng Sucuri »Mga Alerto.

        I-set up ang mga alerto sa email ng seguridad

        Ang plugin ng seguridad ng WordPress na ito ay napakalakas, kaya mag-browse sa lahat ng mga tab at setting upang makita ang lahat ng ginagawa nito tulad ng pag-scan ng Malware, mga tala sa Audit, Pagsubaybay sa Pagsubok sa Pag-login sa Pagsubok, atbp..

        Paganahin ang Web Application Firewall (WAF)

        Ang pinakamadaling paraan upang maprotektahan ang iyong site at maging kumpyansa tungkol sa iyong seguridad sa WordPress ay sa pamamagitan ng paggamit ng isang web application na firewall (WAF).

        Hinaharang ng isang firewall ng website ang lahat ng nakakahamak na trapiko bago ito maabot ang iyong website.

        DNS Level Website Firewall – Ang mga ruta ng firewall na ito sa trapiko ng iyong website sa pamamagitan ng kanilang mga server ng cloud proxy. Pinapayagan silang magpadala lamang ng tunay na trapiko sa iyong web server.

        Antas ng Application ng Application – Sinusuri ng mga plugin ng firewall ang trapiko sa sandaling naabot nito ang iyong server ngunit bago naglo-load ang karamihan sa mga script ng WordPress. Ang pamamaraang ito ay hindi mabisa tulad ng antas ng firewall ng DNS sa pagbabawas ng pagkarga ng server.

        Upang matuto nang higit pa, tingnan ang aming listahan ng pinakamahusay na mga plugin ng firewall na WordPress.

        Sucuri WAF

        Kami gamitin at inirerekumenda Ang Sucuri bilang pinakamahusay na web-application na firewall para sa WordPress. Maaari mong basahin ang tungkol sa kung paano tinulungan kami ni Sucuri na hadlangan ang 450,000 pag-atake ng WordPress sa isang buwan.

        Ang mga pag-atake na hinarangan ni Sucuri

        Ang pinakamagandang bahagi tungkol sa firewall ng Sucuri ay kasama din ito sa isang paglilinis ng garantiya at pag-alis ng blacklist. Karaniwan kung ikaw ay mai-hack sa ilalim ng kanilang relo, ginagarantiyahan nila na ayusin nila ang iyong website (kahit gaano karaming mga pahina ang mayroon ka).

        Ito ay isang medyo malakas na garantiya dahil ang pag-aayos ng mga naka-hack na website ay mahal. Ang mga eksperto sa seguridad ay karaniwang singilin ng $ 250 bawat oras. Sapagkat maaari mong makuha ang buong stack ng seguridad ng Sucuri para sa $ 199 bawat taon.

        Pagbutihin ang iyong Security sa WordPress gamit ang Sucuri Firewall »

        Ang Sucuri ay hindi lamang ang level ng provider ng firewall ng DNS doon. Ang iba pang tanyag na katunggali ay Cloudflare. Tingnan ang aming paghahambing ng Sucuri vs Cloudflare (Pros at Cons).

        []

        Ilipat ang Iyong Site ng WordPress sa SSL / HTTPS

        Ang SSL (Secure Sockets Layer) ay isang protocol na naka-encrypt ng paglilipat ng data sa pagitan ng iyong website at browser ng gumagamit. Ang encryption na ito ay ginagawang mas mahirap para sa isang tao na mag-sniff sa paligid at magnakaw ng impormasyon.

        Paano gumagana ang SSL

        Kapag pinapagana mo ang SSL, gagamitin ng iyong website ang HTTPS sa halip na HTTP, makikita mo rin ang isang padlock sign sa tabi ng iyong website address sa browser.

        Ang mga sertipiko ng SSL ay karaniwang inisyu ng mga awtoridad sa sertipiko, at ang kanilang mga presyo ay nagsisimula mula $ 80 hanggang daan-daang dolyar bawat taon. Dahil sa idinagdag na gastos, ang karamihan sa mga may-ari ng website ay nagpasya na patuloy na gamitin ang proteksyong insecure.

        Upang ayusin ito, nagpasya ang isang non-profit na organisasyon na tinatawag na Let’s Encrypt na mag-alok ng mga libreng SSL Certificates sa mga may-ari ng website. Ang kanilang proyekto ay suportado ng Google Chrome, Facebook, Mozilla, at marami pang kumpanya.

        Ngayon, ito ay mas madali kaysa kailanman upang simulan ang paggamit ng SSL para sa lahat ng iyong mga website sa WordPress. Maraming mga kumpanya ng nagho-host ngayon ang nag-aalok ng isang libreng sertipiko SSL para sa iyong WordPress website.

        Kung ang iyong kumpanya ng nagho-host ay hindi nag-aalok ng isa, maaari kang bumili ng isa mula sa Domain.com. Mayroon silang pinakamahusay at maaasahang SSL deal sa merkado. Ito ay may isang $ 10,000 na garantiya ng seguridad at isang selyo ng seguridad ng TrustLogo.

        Seguridad ng WordPress para sa mga gumagamit ng DIY

        Kung gagawin mo ang lahat na nabanggit namin hanggang ngayon, ikaw ay nasa isang magandang anyo.

        Ngunit tulad ng dati, marami pa ang magagawa mo upang patigasin ang seguridad ng WordPress.

        Ang ilan sa mga hakbang na ito ay maaaring mangailangan ng kaalaman sa coding.

        Baguhin ang username ng “admin” na Default

        Noong unang panahon, ang default na WordPress admin username ay “admin”. Dahil ang mga usernames ay bumubuo ng kalahati ng mga kredensyal sa pag-login, naging mas madali para sa mga hacker na gumawa ng mga pag-atake ng malupit.

        Sa kabutihang palad, binago ito ng WordPress mula ngayon at hinihiling ka ngayon na pumili ng isang pasadyang username sa oras ng pag-install ng WordPress.

        Gayunpaman, ang ilang mga 1-click na installer ng WordPress, naitakda pa rin ang default na admin ng admin sa “admin”. Kung napansin mong mangyari iyon, marahil isang magandang ideya na lumipat sa iyong web hosting.

        Dahil hindi pinahihintulutan ka ng WordPress na baguhin ang mga username sa pamamagitan ng default, mayroong tatlong mga pamamaraan na magagamit mo upang baguhin ang username.

        1. Lumikha ng isang bagong username ng admin at tanggalin ang dati.
        2. Gamitin ang plugin ng Username Changer
        3. I-update ang username mula sa phpMyAdmin

        Sakop namin ang lahat ng tatlo sa aming detalyadong gabay sa kung paano maayos na baguhin ang iyong WordPress username (hakbang-hakbang).

        Tandaan: Pinag-uusapan natin ang username na tinatawag na “admin”, hindi ang tungkulin ng tagapangasiwa.

        []

        Huwag paganahin ang Pag-edit ng File

        Ang WordPress ay may built-in na code ng editor na nagbibigay-daan sa iyo upang i-edit ang iyong tema at mga file ng plugin mula mismo sa iyong lugar ng admin ng WordPress. Sa mga maling kamay, ang tampok na ito ay maaaring maging panganib sa seguridad na kung saan ay bakit inirerekumenda namin na patayin ito.

        Huwag paganahin ang pag-edit ng file sa WordPress

        Madali mong gawin ito sa pamamagitan ng pagdaragdag ng sumusunod na code sa iyong wp-config.php file.

        // Hindi pinapayagan ang pag-edit ng file
        tukuyin (‘DISALLOW_FILE_EDIT’, totoo);

        Bilang kahalili, magagawa mo ito gamit ang 1-click gamit ang tampok na Hardening sa libreng plugin na Sucuri na nabanggit namin sa itaas.

        []

        Huwag paganahin ang pagpapatupad ng File ng File sa Ilang Mga Direktoryo ng WordPress

        Ang isa pang paraan upang patigasin ang iyong seguridad sa WordPress ay sa pamamagitan ng hindi pagpapagana ng pagpapatupad ng file ng PHP sa mga direktoryo kung saan hindi ito kinakailangan tulad ng / wp-content / uploads /.

        Magagawa mo ito sa pamamagitan ng pagbubukas ng isang text editor tulad ng Notepad at i-paste ang code na ito:

        tanggihan mula sa lahat

        Susunod, kailangan mong i-save ang file na ito .kakatwa at i-upload ito sa / wp-content / upload / folder sa iyong website gamit ang isang FTP client.

        Para sa mas detalyadong paliwanag, tingnan ang aming gabay sa kung paano hindi paganahin ang pagpapatupad ng PHP sa ilang mga direktoryo ng WordPress

        Bilang kahalili, magagawa mo ito gamit ang 1-click gamit ang tampok na Hardening sa libreng plugin na Sucuri na nabanggit namin sa itaas.

        []

        Limitahan ang Mga Pagsubok sa Pag-login

        Bilang default, pinapayagan ng WordPress ang mga gumagamit na subukang mag-login ng maraming oras hangga’t gusto nila. Iniwan nito ang iyong WordPress site na mahina sa pag-atake ng lakas. Sinubukan ng mga hacker na i-crack ang mga password sa pamamagitan ng pagsisikap na mag-login gamit ang iba’t ibang mga kumbinasyon.

        Madali itong maaayos sa pamamagitan ng paglilimita sa nabigo na mga pagtatangka sa pag-login na maaaring gawin ng isang gumagamit. Kung gumagamit ka ng firewall ng web application na nabanggit kanina, pagkatapos ito ay awtomatikong aalagaan.

        Gayunpaman, kung wala kang pag-setup ng firewall, pagkatapos ay magpatuloy sa mga hakbang sa ibaba.

        Una, kailangan mong i-install at buhayin ang plugin ng Login LockDown. Para sa higit pang mga detalye, tingnan ang aming hakbang-hakbang na gabay sa kung paano mag-install ng isang plugin ng WordPress.

        Sa pag-activate, bisitahin ang Mga Setting »Pag-login LockDown pahina upang i-setup ang plugin.

        Mga pagpipilian sa Pag-lock sa Pag-login

        Para sa detalyadong mga tagubilin, tingnan ang aming gabay sa kung paano at bakit dapat mong limitahan ang mga pagtatangka sa pag-login sa WordPress.

        []

        Magdagdag ng Dalawang Factor Authentication

        Ang diskarte sa pagpapatunay ng two-factor ay nangangailangan ng mga gumagamit upang mag-log in gamit ang isang dalawang hakbang na pagpapatunay na pamamaraan. Ang una ay ang username at password, at ang pangalawang hakbang ay kinakailangan mong patunayan ang paggamit ng isang hiwalay na aparato o app.

        Karamihan sa mga nangungunang online na website tulad ng Google, Facebook, Twitter, ay nagbibigay-daan sa iyo upang paganahin ito para sa iyong mga account. Maaari ka ring magdagdag ng parehong pag-andar sa iyong WordPress site.

        Una, kailangan mong i-install at i-activate ang plugin ng Dalawang Factor Authentication. Sa pag-activate, kailangan mong mag-click sa link na ‘Two Factor Writing’ sa sidebar ng WordPress admin.

        Dalawang setting ng Factor Authenticator

        Susunod, kailangan mong mag-install at magbukas ng isang authenticator app sa iyong telepono. Mayroong ilan sa mga ito na magagamit tulad ng Google Authenticator, Writingy, at LastPass Authenticator.

        Inirerekumenda namin ang paggamit ng LastPass Authenticator o Writingy dahil pinapayagan silang pareho na i-back up ang iyong mga account sa ulap. Ito ay lubhang kapaki-pakinabang kung sakaling ang iyong telepono ay nawala, i-reset, o bumili ka ng isang bagong telepono. Ang lahat ng iyong mga logins account ay madaling maibalik.

        Kami ay gumagamit ng LastPass Authenticator para sa tutorial. Gayunpaman, ang mga tagubilin ay katulad para sa lahat ng mga apps ng tagas. Buksan ang iyong authenticator app, at pagkatapos ay mag-click sa Magdagdag ng pindutan.

        Magdagdag ng website

        Tatanungin ka kung nais mong i-scan nang manu-mano ang isang site o i-scan ang bar code. Piliin ang pagpipilian sa scan bar code at pagkatapos ituro ang camera ng iyong telepono sa QRcode na ipinakita sa pahina ng mga setting ng plugin.

        Iyon lang, ang iyong pagpapatunay app ay i-save ito ngayon. Sa susunod na mag-log in sa iyong website, hihilingin sa iyo ang dalawang-factor na code ng auth pagkatapos mong ipasok ang iyong password.

        Ipasok ang iyong dalawang-factor na code ng auth

        Buksan lamang ang authenticator app sa iyong telepono at ipasok ang code na nakikita mo dito.

        []

        Baguhin ang WordPress Database Prefix

        Bilang default, gumagamit ng WordPress ang wp_ bilang prefix para sa lahat ng mga talahanayan sa iyong database ng WordPress. Kung ang iyong WordPress site ay gumagamit ng default na prefix ng database, pagkatapos ay mas madali para sa mga hacker na hulaan kung ano ang iyong pangalan ng mesa. Ito ang dahilan kung bakit inirerekumenda namin na baguhin ito.

        Maaari mong baguhin ang prefix ng iyong database sa pamamagitan ng pagsunod sa aming hakbang-hakbang na tutorial sa kung paano mababago ang prefix ng database ng WordPress upang mapabuti ang seguridad.

        Tandaan: Maaari nitong masira ang iyong site kung hindi ito maayos na ginagawa. Magpatuloy lamang, kung sa tingin mo ay komportable sa iyong mga kasanayan sa coding.

        []

        Protektahan ang Password ng WordPress Admin at Pahina ng Pag-login

        Protektahan ang WordPress na lugar ng admin ng WordPress

        Karaniwan, ang mga hacker ay maaaring humiling sa iyong folder ng wp-admin at pahina ng pag-login nang walang paghihigpit. Pinapayagan silang subukan ang kanilang mga trick trick o magpatakbo ng mga pag-atake ng DDoS.

        Maaari kang magdagdag ng karagdagang proteksyon ng password sa isang antas ng server, na epektibong harangan ang mga kahilingan na iyon.

        Sundin ang aming mga hakbang-hakbang na tagubilin sa kung paano protektahan ang password sa iyong direktoryo ng WordPress (wp-admin).

        []

        Huwag paganahin ang Pag-index ng Directory at Pag-browse

        Huwag paganahin ang pag-browse sa direktoryo

        Ang pag-browse sa direktoryo ay maaaring magamit ng mga hacker upang malaman kung mayroon kang anumang mga file na may kilalang mga kahinaan, kaya maaari nilang samantalahin ang mga file na ito upang makakuha ng access.

        Ang pag-browse sa direktoryo ay maaari ring magamit ng ibang tao upang tingnan ang iyong mga file, kopyahin ang mga imahe, alamin ang iyong istraktura ng direktoryo, at iba pang impormasyon. Ito ang dahilan kung bakit lubos na inirerekumenda na patayin mo ang pag-index ng direktoryo at pag-browse.

        Kailangan mong kumonekta sa iyong website gamit ang FTP o file manager ng cPanel. Susunod, hanapin ang .htaccess file sa direktoryo ng ugat ng iyong website. Kung hindi mo ito makita, pagkatapos ay sumangguni sa aming gabay sa kung bakit hindi mo makita ang .htaccess file sa WordPress.

        Pagkatapos nito, kailangan mong magdagdag ng sumusunod na linya sa dulo ng .htaccess file:

        Mga Pagpipilian -Tanda

        Huwag kalimutan na i-save at mag-upload ng file ng htaccess pabalik sa iyong site. Para sa higit pa sa paksang ito, tingnan ang aming artikulo kung paano hindi paganahin ang pag-browse sa direktoryo sa WordPress.

        []

        Huwag paganahin ang XML-RPC sa WordPress

        Pinapagana ang XML-RPC sa pamamagitan ng default sa WordPress 3.5 dahil nakakatulong ito sa pagkonekta sa iyong site sa WordPress sa web at mobile apps.

        Dahil sa napakalakas nitong kalikasan, ang XML-RPC ay maaaring makabuluhang palakasin ang mga pag-atake ng brute-force.

        Halimbawa, ayon sa kaugalian kung nais ng isang hacker na subukan ang 500 iba’t ibang mga password sa iyong website, kakailanganin nilang gumawa ng 500 magkahiwalay na mga pagtatangka sa pag-login na mahuli at haharangan ng plugin ng pag-login ng lock.

        Ngunit sa XML-RPC, maaaring gamitin ng isang hacker system.multicall gumana upang subukan ang libu-libo ng password na may sinasabi 20 o 50 mga kahilingan.

        Ito ang dahilan kung hindi ka gumagamit ng XML-RPC, inirerekumenda namin na huwag mo itong paganahin.

        Mayroong 3 mga paraan upang hindi paganahin ang XML-RPC sa WordPress, at nasaklaw namin ang lahat ng mga ito sa aming hakbang sa pamamagitan ng hakbang na tutorial kung paano hindi paganahin ang XML-RPC sa WordPress.

        Tip: Ang pamamaraan ng .htaccess ay ang pinakamahusay na dahil ito ang hindi bababa sa mapagkukunan na masinsinan.

        Kung gumagamit ka ng web-application na firewall na nabanggit nang mas maaga, pagkatapos ito ay maaaring alagaan ng firewall.

        []

        Awtomatikong mag-log out Mga Gumagamit ng Idle sa WordPress

        Ang mga naka-log sa mga gumagamit ay maaaring paminsan-minsan ay lumilihis sa screen, at nagdudulot ito ng panganib sa seguridad. May maaaring mag-hijack sa kanilang sesyon, magbago ng mga password, o gumawa ng mga pagbabago sa kanilang account.

        Ito ang dahilan kung bakit maraming mga site sa pagbabangko at pinansyal ang awtomatikong naka-log sa isang hindi aktibong gumagamit. Maaari mong ipatupad ang magkatulad na pag-andar sa iyong site ng WordPress.

        Kailangan mong i-install at i-activate ang plugin na Hindi Aktibo Logout. Sa pag-activate, bisitahin ang Mga Setting »Hindi Aktibo Logout pahina upang i-configure ang mga setting ng plugin.

        Mga gumagamit ng logout

        Itakda lamang ang tagal ng oras at magdagdag ng isang mensahe ng logout. Huwag kalimutan na mag-click sa pindutan ng pag-save ng mga pagbabago upang maimbak ang iyong mga setting.

        []

        Magdagdag ng Mga Tanong sa Seguridad sa Screen ng WordPress Login

        Magdagdag ng tanong sa seguridad sa screen ng pag-login

        Ang pagdaragdag ng isang katanungan sa seguridad sa iyong screen sa pag-login sa WordPress ay ginagawang mas mahirap para sa isang tao na makakuha ng hindi awtorisadong pag-access.

        Maaari kang magdagdag ng mga katanungan sa seguridad sa pamamagitan ng pag-install ng plugin ng Mga Patanong ng WP Security. Sa pag-activate, kailangan mong bisitahin ang pahina ng Mga Setting ng Mga Setting ng Seguridad upang i-configure ang mga setting ng plugin.

        Para sa mas detalyadong mga tagubilin, tingnan ang aming tutorial sa kung paano magdagdag ng mga katanungan sa seguridad sa screen ng pag-login sa WordPress.

        []

        Pag-scan ng WordPress para sa Malware at Vulnerabilies

        Pag-scan ng malware

        Kung mayroon kang isang plugin ng seguridad ng WordPress na naka-install, pagkatapos ang mga plugin ay regular na suriin para sa malware at mga palatandaan ng mga paglabag sa seguridad.

        Gayunpaman, kung nakakita ka ng isang biglaang pagbagsak sa trapiko sa website o mga ranggo ng paghahanap, maaaring gusto mong manu-manong magpatakbo ng isang pag-scan. Maaari mong gamitin ang iyong plugin ng seguridad ng WordPress, o gumamit ng isa sa mga scanner ng malware at security na ito.

        Ang pagpapatakbo ng mga online na pag-scan na ito ay medyo diretso, ipinasok mo lamang ang iyong mga URL ng website at ang kanilang mga crawler ay dumadaan sa iyong website upang maghanap para sa kilalang malware at malisyosong code.

        Ngayon tandaan na ang karamihan sa mga scanner ng seguridad ng WordPress ay maaari lamang i-scan ang iyong website. Hindi nila maaalis ang malware o linisin ang isang na-hack na site ng WordPress.

        Dinadala namin ito sa susunod na seksyon, paglilinis ng mga malware at pag-hack ng mga site ng WordPress.

        []

        Pag-aayos ng isang Na-hack na Site ng WordPress

        Maraming mga gumagamit ng WordPress ang hindi nakakaintindi ng kahalagahan ng mga backup at seguridad ng website hanggang sa mai-hack ang kanilang website.

        Ang paglilinis ng isang site ng WordPress ay maaaring maging napakahirap at pag-ubos ng oras. Ang aming unang payo ay upang hayaan ang isang propesyonal na mag-ingat dito.

        Ang mga hacker ay naka-install sa likod sa mga apektadong site, at kung ang mga ito sa likod ay hindi maayos na maayos, pagkatapos ay malamang na mai-hack muli ang iyong website.

        Pinapayagan ang isang propesyonal na kumpanya ng seguridad tulad ng Sucuri upang ayusin ang iyong website ay matiyak na ligtas na magamit muli ang iyong site. Protektahan ka rin nito laban sa anumang pag-atake sa hinaharap.

        Para sa mga kamangha-manghang at DIY gumagamit, naipon namin ang isang hakbang-hakbang na gabay sa pag-aayos ng isang na-hack na site ng WordPress.

        []

        Iyon lang, inaasahan namin na ang artikulong ito ay nakatulong sa iyo na malaman ang nangungunang pinakamahusay na kasanayan sa seguridad ng WordPress pati na rin tuklasin ang pinakamahusay na mga plugin ng seguridad ng WordPress para sa iyong website.

        Jeffrey Wilson Administrator
        Sorry! The Author has not filled his profile.
        follow me