I del ett av den här serien täcktes några av de grundläggande stegen för att säkra en WordPress-installation. Men grundläggande säkerhet kommer inte att göra dig mycket bra om du är måltavla av någon annan än en manusbarn.
För att skydda dig mot ett mer avancerat hot kommer du att behöva några starkare verktyg; och om du inte är en expertkodare kanske du vill vända dig till några plugins för att få hjälp på den arenan.
Etablera en stiftelse i säkerhet
Innan vi går vidare låt oss se till att du har täckt alla grundläggande steg för att säkra din WordPress-webbplats. Använda Den ultimata säkerhetskontrollen plugin du kan skanna din webbplats och få ett övergripande betyg för dess säkerhet baserat på 115 säkerhetspoäng som delas ut för:
- Tema- och pluginuppdateringar
- Säkrade konfigurationsfiler
- Säker kod
- Behörigheter
- En säker databas
- Konfigurationen av själva servern
När du har fått ett betyg för din blogg kan du kolla in några av de andra flikarna, som “Files Analysis”, “Settings” och “How to Fix”, som hjälper dig att låsa ner din webbplats mot angripare.
Håll WordPress fri från skadlig programvara
Något du aldrig vill att dina besökare ska se när de försöker besöka din webbplats är en webbläsargenererad skadlig varning som denna:
Det betyder att människor som litar på att du ger dem bra innehåll kan hitta sin dator infekterad med skadlig programvara. Hur kom skadlig programvara in på din webbplats? Genom valfritt antal sårbarheter; det händer hela tiden för tro det eller ej, det är ganska enkelt att ladda upp skadlig programvara till en webbplats om du vet vad du gör. Att ha din webbplats märkt som skadlig kan orsaka problem för dig med din värdleverantör, om den lämnas oadresserad kommer du att tas bort från sökmotorindexen, men kanske värst av allt kan det verkligen göra allvarlig skada på ditt varumärke. Folk kommer inte att lita på dig om din webbplats innehåller skadlig programvara.
Det finns en hel del plugins som kommer att skanna din webbplats efter skadlig programvara men Sucuri SiteCheck är en av de bästa eftersom den söker efter känd skadlig programvara, men den söker också efter skadliga javascript och anomalier i koden för att bättre upptäcka nolldagsattacker.
Det bästa av allt är att Sucuri letar efter Blackhat SEO-spam som kan ha infiltrerat din blogg. Kommentarer, osynliga länkar, upparbetade gästinlägg, etc. är alla sätt som folk försöker spela sökmotorernas rankningar på. Att ha blackhat SEO-tekniker på din webbplats kan verkligen skada ditt rykte hos sökmotorerna till den grad att du kan bli förbjuden.
Slutligen har Sucuri sin 1-klicks härdningsfunktion som hjälper dig:
- Håll WordPress uppdaterat
- Ta bort WordPress-versionen
- Skydda din uppladdningskatalog
- Begränsa åtkomsten till ditt wp-innehåll och wp-includes-mappar
- Se till att din PHP är uppdaterad
Skydda appen
Webbapplikationer är ett av de största målen där ute eftersom det finns så många av dem och så många av dem är dåligt konfigurerade. Många stora webbplatser som är värd för affärskritiska applikationer skyddar sina webbplatser med apparater som kallas webbapplikationsbrandväggar (WAF). Faktum är att en WAF är ett sätt att vara kompatibel med Payment Card Industry (PCI) (mer här) om din webbplats accepterar kreditkort.
Eftersom de flesta små sajter inte har resurser eller behov för en kommersiell WAF, kommer en plugin att göra susen. Återigen, det finns många utmärkta brandväggar men en favorit bland bloggägare är OSE-brandvägg.
Det här pluginet skyddar din blogg mot många vanliga filinkluderings- och injektionsattacker, och hjälper också till att försvara dig mot Denial of Service-attacker som blir allt populärare bland illvilliga hackare.
Bäst av allt, om OSE upptäcker något som inte ser rätt ut kommer det att skicka ett e-postmeddelande till dig för att meddela dig att du kan vara under attack. Observera väl att du måste konfigurera OSE innan det börjar skydda din webbplats, även om det inte tar mer än några musklick för att tala om för den vad den ska försvara sig mot.
Naturligtvis skulle ingen diskussion om WordPress-säkerhet vara komplett utan att nämna det Akismet. Akismet hjälper inte bara till att skydda din webbplats från spamkommentarer som automatiskt läggs upp på din blogg, utan det hjälper också till att förhindra att skadlig kod laddas upp via din kommentarsektion.
Installera helt enkelt detta plugin, begäran och API-nyckel från Akismet (detta är gratis för icke-kommersiellt bruk) och skriv in den nyckeln på konfigurationssidan.
Det kommer inte bara att hjälpa till att skydda din webbplats, utan det kommer att hjälpa dig att spara tid från att behöva sålla igenom alla de meningslösa kommentarer som bots postar.
Så det är min lista över föreslagna säkerhetsplugins för WordPress. Jag är säker på att jag utelämnade någons favorit, och det finns säkert massor av andra val (vi har tidigare täckt några alternativ till Akismet). Om jag inte har täckt din personliga favorit är inte på listan, vänligen dela den med resten av läsarna i kommentarerna och se till att berätta varför du föredrar den framför andra alternativ.