WordPress er blevet verdens mest populære CMS. Fordi det er så populært, er det endnu mere en grund til at forbedre WordPress-sikkerhed, hvis du bruger det til din hjemmeside. De fleste mennesker forstår, hvordan de gør deres side sikker, men hvis du ikke fokuserer på sikkerheden på dit WordPress-websted ved at begrænse adgangen til vigtige filer og mapper, er du stadig i fare. For at gøre dette vil du ikke foretage ændringer til WordPress selv, men snarere ændre, hvordan WordPress kører på en server og hvor mange adgangs brugere skal have sine filer.
WordPress-websteder består af en række filer og mapper, hver med deres egne unikke webadresser, hvilket betyder, at hvis nogen skulle skrive den rigtige webadresse, kunne de få adgang til eller ændre følsomme filer, der kører dit websted. Et af de mest almindelige mål for denne form for hacking er wp-includes-mappen, så vi skal tilføje yderligere kode til serverkonfigurationsfilen for at øge sikkerheden og forhindre sådanne trusler. Når vi er færdige med dette, bliver alle, der forsøger at få adgang til disse filer, omdirigeret igen.
For at starte vil du gerne åbne .htaccess filen til dit websted. Du kan gøre dette via enhver tekstredigerer, ligegyldigt hvilken, fordi alt, hvad vi laver, tilføjer en lille kodestykke til filen. Du vil bemærke, at filen allerede har kode i den, der genereres af WordPress. I en af de tidlige linjer af kode finder du en linje, der siger # BEGIN WordPress . Lige over denne kode, vil vi tilføje de ekstra linjer kode, som vil styrke webstedets forsvar ved at begrænse adgangen til wp-includes-mappen.
# Blocking web access to the wp-includes folderRewriteEngine OnRewriteBase /RewriteRule ^wp-admin/includes/ - [F,L]RewriteRule !^wp-includes/ - [S=3]RewriteRule ^wp-includes/[^/]+.php$ - [F,L]RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]RewriteRule ^wp-includes/theme-compat/ - [F,L] Derefter skal du blot genoplaste filen på serveren, og du er færdig. Mens ændringerne her synes mindre, kan det have stor indflydelse på dit websteds forsvar. Fordi mange af de avancerede funktioner i WordPress er placeret i wp-includes-mappen, er de et vigtigt mål for hackere at gå efter. Med disse ændringer implementeret, når brugere forsøger at få adgang til denne mappe, vil de i stedet automatisk blive omdirigeret til forsiden af dit websted.
Vores næste skridt for at styrke WordPress-sikkerhed er at begrænse adgangen til wp-config.php-filen. Da du først oprettede dit WordPress-websted, var du nødt til at oprette et databasens navn, brugernavn, adgangskode og tabelpræfiks, som er indeholdt i wp-config.php-filen. Grunden til, at du vil beskytte denne fil, er, at den indeholder de oplysninger, som WordPress skal tale med databasen, og i det lange løb kontrollerer dit websted.
For at beskytte din wp-config.php-fil skal du bare lave et par enkle trin. For det første vil vi gerne åbne .htaccess filen igen. Dernæst vil vi kopiere kodestykket nedenfor og indsætte det i vores .htaccess-fil ligesom vi gjorde med trin 1.
# Blocking web access to the wp-config.php fileorder allow,denydeny from all Endelig gemme og genoplæs filen.
Som du kan se med trin 1 og 2, kan .htaccess-filen være iboende for at forsvare dit WordPress-websted mod ondsindede eksterne trusler. Derfor skal vi i dette trin beskytte selve .htaccess-filen, hvilket forhindrer hackere i at fjerne de beskyttelser, vi allerede har indført.
For at gøre dette åbner vi igen .htaccess filen. Indsæt derefter koden nedenfor i den eksisterende kode.
# Securing .htaccess fileorder allow,denydeny from allsatisfy all Og med denne enkle tilføjelse er din .htaccess-fil beskyttet mod udefrakommende trusler.
Til det endelige trin vil vi nægte hackere adgang til et af de mest ødelæggende redskaber, de kunne få fat i: Editor i WordPress dashboard. Det giver dig mulighed for at redigere dine tema filer, hvilket er nyttigt, men kan være farligt. Hvis en anden person end dig selv ville få adgang til dette, kunne de ændre din kode og ødelægge dit websted.
Med dette projekt fjerner vi redaktøren fra WordPress dashboard. I stedet for at få adgang til filen via WordPress anbefaler jeg, at du får adgang til det via en ftp-klient som FileZilla, hvilket er bedre for webstedets integritet.
Så for at gøre dette projekt vil vi først åbne wp-config.php filen. Når vi har åbnet, vil vi gå til slutningen af koden, her finder du teksten "Det er alt, stop redigering! Glad blogging. " . Lige før denne tekst vil vi tilføje koden herunder for at fjerne filredigering helt fra WordPress.
define('DISALLOW_FILE_EDIT', true);Når du har tilføjet koden, gem filen og genindlæs den til serveren. Nu er dit WordPress-websted sikkert fra alle, der får adgang til dit websted og forsøger at manipulere koden.
Hvis du følger alle disse trin, skal dit websted være meget sikrere. Ved at reducere mængden af adgang hackere har til de filer, der er vigtige for at køre dit websted, har du øget dit WordPress-websteds samlede sikkerhed.