10 weinig bekende, supereffectieve tips om uw WordPress-blog te beveiligen
Een blog gehackt krijgen en jaren na jaar blogwerk van de ene dag op de andere verliezen, is een trieste realiteit die mensen feitelijk hebben doorgemaakt. Uit onderzoek blijkt zelfs dat 37.000 websites elke dag worden gehackt, en met WordPress die ongeveer 25, 4% van alle websites voedt, kunt u er zeker van zijn dat een groot aantal WordPress-blogs elke dag worden gehackt.
WordPress-beveiliging is een heel ander spelletje; als je eenmaal een WordPress-blog hebt, zijn tips als een moeilijk te raden gebruikersnaam en een wachtwoord dat zo hard is als rock, niet langer voldoende. Een enkel buggy-thema, de verkeerde plug-in of een onjuist beveiligd bestand kan ertoe leiden dat je blog 's nachts wordt gehackt.
Of u nu onervaren bent met WordPress, of u gebruikt het platform sinds het bestaan ervan, dit artikel bevat 10 praktische en avondmaal effectieve manieren om uw WordPress-blog te beveiligen die iedereen kan implementeren. Je zult de meeste van deze tips niet vinden in populaire 'hoe je je blog kunt beveiligen', maar ze kunnen je blog heel goed redden op een dag!
1. Schakel de WordPress Theme & Plugin Editor uit
WordPress heeft een handige functie die site-eigenaren meer flexibiliteit biedt door hen in staat te stellen hun thema's en plug-ins rechtstreeks vanuit het WordPress-dashboard aan te passen en te bewerken, maar deze functie heeft de meeste blogs ongedaan gemaakt.
Met deze functie kan een kleine fout uw site doen crashen en u uitsluiten van uw eigen website . Hackers kunnen eenvoudig schadelijke code in uw thema invoegen om ze toegang tot uw site te geven, of zelfs uw site volledig overnemen, door controle te krijgen over een account met voldoende rechten om het thema en de plug-inseditor te gebruiken.
U kunt uzelf beschermen door de plug-in en de thema-editor uit te schakelen, waardoor het onmogelijk wordt om uw thema's en plug-ins zonder FTP-toegang te wijzigen .
Doe dit door de volgende code toe te voegen aan uw wp-config.php-bestand:
define( 'DISALLOW_FILE_EDIT', true );
2. Schakel authenticatie met twee factoren in
Twee-factor-authenticatie is hard op weg een van de meest betrouwbare manieren te worden om uw online accounts te beschermen, en de meeste betrouwbare websites zullen erop aandringen dat hun gebruikers het inschakelen.
Hoewel WordPress niet noodzakelijkerwijs is uitgerust met tweefactorauthenticatie, kunt u twee-factorenauthenticatie inschakelen op uw blog door de volgende plug-ins te installeren:
- Google Authenticator
- Authy
- Sleutel
- Rublon
3. Limit logins op basis van het aantal mislukte pogingen
Hackers proberen op veel manieren toegang te krijgen tot je blog en een van de meest gebruikte technieken is een bruteforce-aanval: een hacker probeert een combinatie van gebruikersnamen en wachtwoorden, steeds opnieuw, totdat hij / zij in staat is om succesvol toegang te krijgen jouw blog.
Standaard is WordPress niet beschermd tegen deze aanval. Door plug-ins te installeren die aanmeldingen beperken na een bepaald aantal mislukte pogingen van een bepaald IP-adres, kunt u het voor hackers veel moeilijker maken om toegang te krijgen tot uw blog.De Jetpack Protect-module-plug-in kan u ook beschermen tegen bruut aanvallen.
4. Scan regelmatig uw blog
Themabestanden, plug-ins, koppelingen en andere schijnbaar onschadelijke elementen kunnen worden gebruikt om toegang te krijgen tot uw blog. Wacht niet tot uw website volledig is geïnfecteerd voordat u maatregelen neemt. Installeer in plaats daarvan beveiligingsscanplug-ins om uw website regelmatig te scannen en om u op de hoogte te stellen als uw bestanden veranderen.
Een goed voorbeeld van een beveiligingsscan-plug-in is Wordfence. Naast dat je de optie hebt om je WordPress-blog handmatig / automatisch te scannen, wordt je ook meteen gewaarschuwd wanneer verdachte activiteit op je blog wordt uitgevoerd.
Het verzendt ook informatie over mogelijk kwaadaardige opmerkingen en vergelijkt uw thema- en plug-inbestanden met de WordPress-gegevensopslagruimte om u te laten weten of uw versie van een plug-in of thema is gewijzigd en mogelijk als backdoor voor hackers op uw site kan dienen.
Andere beveiligingsinvoegtoepassingen waarmee u uw blog kunt scannen op malware en exploits, zijn:
- Sucuri beveiligingsscanner
- Acunetix WP-beveiliging
- iThemes-beveiliging (voorheen bekend als "Betere WP-beveiliging")
5. Verander je host
Hoewel dit klinkt als simplistisch advies, heeft het eigenlijk veel gewicht. Uit onderzoek blijkt dat 41% van de gehackte WordPress-websites door beveiligingsproblemen op hun hostingplatform is gehackt . Dit is veel meer dan van andere bronnen, waaronder het hebben van een zwak wachtwoord.
Uw gastheer kan een belangrijke rol spelen in het al dan niet gehackt zijn; zorg ervoor dat u alleen kiest voor betrouwbare webhosts die de tand des tijds hebben doorstaan en die voldoen aan de best practices in de branche .
6. Verberg uw WordPress versienummer
WordPress geeft standaard uw versienummer van WordPress weer; dit maakt het gemakkelijk voor WordPress om bij te houden hoeveel WordPress-blogs wereldwijd actief zijn. Dit kan echter ook een grote bron van problemen zijn; hackers en bots kunnen het web scannen op blogs met een versienummer van WordPress met een bekende kwetsbaarheid, waardoor u een gemakkelijk doelwit bent.
U kunt dit probleem eenvoudig oplossen door uw versienummer van WordPress te verbergen . Om uw versienummer van WordPress te verbergen, voegt u gewoon de volgende code toe aan uw functions.php-bestand:
add_filter( 'the_generator', '__return_null' );
7. Schakel PHP-foutrapporten uit
Wanneer een plug-in of een thema niet goed werkt op uw WordPress-blog, kunnen PHP-foutmeldingen u helpen door een bericht weer te geven dat de oorzaak van de fout aan het licht brengt. In dit voordeel ligt echter een nadeel: wanneer een PHP-fout wordt gerapporteerd, bevat deze het volledige serverpad van de fout, waarbij informatie wordt onthuld die hackers tegen u kunnen gebruiken.
Je kunt jezelf beschermen door PHP-foutrapportage uit te schakelen . Voeg eenvoudig de volgende code toe aan uw wp-config.php-bestand:
error_reporting (0); @ini_set ('display_errors', 0);
8. Werk aan uw WordPress-bestandsmachtigingen
Als het erom gaat uw site van WordPress te beveiligen tegen misbruik, is het van essentieel belang dat u over de juiste bestandsrechten beschikt . Dit maakt het moeilijk voor een hacker om plug-ins, thema's of bestanden op uw server te manipuleren om uw website over te nemen.
Zorg ervoor dat de WordPress-maprechten zijn ingesteld op 755 of 750; bestandsrechten zijn ingesteld op 640 of 644; en dat permissie wp-config.php is ingesteld op 600.
9. Zorg voor regelmatige back-ups
Zelfs grote websites met een team van beveiligingsexperts en consultants worden gehackt en hoewel het volgen van best practices uw website sterker kan maken dan 99, 9% van de websites, kan het nog steeds afbreken.
De beste beveiliging die je hebt tegen WordPress hack-aanvallen is een goede back-up; zorg ervoor dat u regelmatig een back-up maakt van uw site - indien mogelijk dagelijks. Op deze manier, als uw website is gehackt, heeft u uw bestanden op hun plaats en kunt u dingen onmiddellijk herstellen .Hier zijn enkele van de beste WordPress back-upplug-ins:
- BackUpWordPress
- Klaar! backup
- VaultPress
- BackupBuddy
10. Beperk de toegang tot uw inlogpagina
Als het erop aan komt om te pushen, moet je misschien wat drastische actie ondernemen. Een zeer betrouwbare manier om uw blog te beschermen tegen hackpogingen is door de toegang tot uw wp-admin en wp-login.php-pagina volledig te blokkeren .
Dit wordt alleen aanbevolen als u één IP-adres gebruikt dat niet verandert (u wilt uzelf niet afsluiten van uw blog!). U kunt deze optie nog steeds gebruiken als u meer dan één IP-adres gebruikt maar deze adressen wel bijhoudt.
Om de toegang tot uw inlogpagina te beperken, voegt u de volgende code toe aan uw .htaccess-bestand:
RewriteEngine op RewriteCond% {REQUEST_URI} ^ (. *)? Wp-login \ .php (. *) $ [OR] RewriteCond% {REQUEST_URI} ^ (. *)? Wp-admin $ RewriteCond% {REMOTE_ADDR}! ^ Uw IP-adres 1 $ RewriteCond% {REMOTE_ADDR}! ^ Uw IP-adres 2 $ RewriteCond% {REMOTE_ADDR}! ^ Uw IP-adres 3 $ RewriteCond% {REMOTE_ADDR}! ^ Uw IP-adres 4 $ RewriteCond% {REMOTE_ADDR}! ^ Uw IP-adres 5 $ RewriteRule ^ (. *) $ - [R = 403, L]
Zorg ervoor dat u uw IP-adres 1 tot en met uw IP-adres 5 bewerkt met de verschillende IP-adressen waartoe u toegang wilt geven; u kunt gewoon een regel toevoegen of verwijderen om toe te staan of te voorkomen dat meer IP's uw site bezoeken.
Conclusie
Natuurlijk moet je basale veiligheidstips niet negeren, zoals het niet gebruiken van een voorspelbare gebruikersnaam, het hebben van een sterk wachtwoord, het regelmatig bijwerken van je WordPress-installatie, enz. Bovenstaande zijn echter enkele weinig bekende, vaak genegeerde beveiligingstips die jouw WordPress blog is net iets veiliger.
Noot van de redactie : Deze gastpost is geschreven voor Hongkiat.com door John Stevens . John is een WordPress en hosting expert. Hij is de oprichter en CEO van HostingFacts.com , een portal waar hij webhosts beoordeelt en beoordeelt op basis van prestaties.
7 Beste sites om DNS-propagatie te controleren
Wanneer er wijzigingen worden aangebracht in DNS- of Domain Name Server-records, wordt DNS-propagatie geactiveerd. Dit kan enkele uren of zelfs dagen in beslag nemen en gedurende deze tijd fluctueert uw DNS IP-adres. Uw bezoekers kunnen terechtkomen op uw nieuwe website of de oude website.Als u tijdens DNS-voortplanting de huidige status van uw DNS-records wilt controleren, hebben we een lijst met zeven handige online hulpmiddelen die u kunt gebruiken om dit te doen
5 Tips om de activeringspercentage van de nieuwsbrief te verhogen
Het geld staat op de lijst; we hebben dit allemaal heel vaak gehoord. Het is waar dat uw e-maillijst een van uw grootste online-items kan zijn. Hoe groot uw lijst ook is, tenzij u de leads goed verzorgt, slaagt u er niet in om omzet of inkomsten te genereren.Het koesteren van uw leads hangt in grote mate af van hoe interessant uw e-mails zijn in termen van open tarief en klikfrequentie