Du vet förmodligen redan de uppenbara säkerhetsåtgärderna för att skydda din WordPress-webbplats.

Möjligen vet du att du måste göra din webbplats lösenord "stark" (en blandning av specialtecken, stora bokstäver, små bokstäver och siffror). Du ska inte använda "admin" som användarnamn, och du bör ändra lösenord ofta. Du använder förmodligen redan tvåfaktors autentisering på din WordPress-webbplats och har din webbplats säkerhetskopierad. Och du hämtar aldrig premium plugins gratis eller från okända källor. Så vad är det där?

Här kommer vi att diskutera några fler WordPress-säkerhetstips med lite kända men djupt effektiva metoder som du kan, och borde använda för att skydda ditt WordPress-webbplats.

1. Byt namn på eller flytta din inloggningssida

Standardinloggningssidan för din webbplats är "www.websitename.com/wp-login.php" (eller "www.websitename.com/wp-admin"). Ett sätt att skydda din webbplats är att dölja eller dölja inloggningssidan så att hackare inte kan hitta det enkelt. Kontrollerar din inloggningsåtkomst genom att begränsa antalet inloggningsförsök varje gång och tidsperioden mellan inloggningsförsök skulle också förbättra säkerheten.

Om du redan har Jetpack installerat kan du aktivera modulen "Brute Force Protection". Med den här modulen aktiverad kommer Jetpack att uppdatera Dashboad med antalet skadliga inloggningsförsök till din webbplats. Du har också möjlighet att whitelisting ett antal IP-adresser. Från Jetpack gå till "Inställningar" och sedan till "Skydda", följt av "Konfigurera" och så ser du hur bilden ser ut som bilden nedan.

Cerber Security och Limit Login Attempt är ett alternativt plugin till Jetpack. Om du hellre inte vill använda Jetpack är Limit login ett alternativ. Från och med skrivdatumet har plugin installerats över 40 000 gånger och upprätthåller ett nästan orörd rykte som 108 av 111 användare betygsatta det fem stjärnor.

Limit Login är ganska lätt att använda, men konfigurering av avsnittet "Härdning" förbättrar webbplatsens säkerhet. All tillgång till XML-RPC-servern, som innehåller trackbacks och pingbacks, blockeras som standard. Om du av någon anledning skulle få tillgång till WordPress 'rest API (till exempel behöver din bloggs Android- eller iOS-app det), så låt WP vila API & XML-RPC vara tillgängligt.

2. Värd där det är säkert

Eftersom en hel del fyrtiotred procent av WordPress-webbplatsens säkerhetsbrott härstammar från värdens slut och inte själva webbplatsen, är det allmänt att se till att din värd är säker. Faktum är att värd bär mest vikt när det gäller säkerhet. Endast åtta procent av hack händer på grund av svaga lösenord, tjugo nio procent på grund av tema och tjugotvå procent på grund av plugins. Så ungefär hälften av din webbplats säkerhet beror på hosting.

Se till att ditt konto innehåller kontoisolering om du använder delad hosting. Ditt konto kommer att skyddas från vad som händer på andras webbplatser. Det är dock bäst att du använder en tjänst som är utformad med WordPress-användare i åtanke. Sådana tjänster skulle inkludera WordPress-brandvägg, skydd mot nolldagars malware attack, uppdaterad MySQL och PHP, specialiserade WordPress-servrar och en WordPress-kunnig kundservice. Värdar som WP Engine, Siteground och Pagely har starka säkerhetsspårningsrekord.

3. Håll dig uppdaterad och använd endast uppdaterad programvara

Du vet att du måste använda uppdaterat antivirus och annat relevant anti-malware skydd för din dator. Denna försiktighet gäller också för plugins och teman. Håll dem uppdaterade, och om du har några teman eller plugins i ditt förråd som inte används, ta bort dem. Om det är rätt för din webbplats, överväg att ställa in dina plugins och teman för att uppdateras automatiskt. För att ställa in automatiska uppdateringar, sätt in en kod i din wp-config.php. Följande är koden för plugins:

 add_filter ('auto_update_plugin', '__return_true');

Och för teman, använd den här koden:

 add_filter ('auto_update_theme', '__return_true');

Om du vill ha en hands-off-strategi för underhåll av platsen, kan du överväga att automatisera WordPress-uppdateringar. Observera dock att en automatisk uppdatering kan bryta din webbplats, särskilt om plugins som är oförenliga med den senaste WordPress-uppdateringen körs på din webbplats. För att skapa en automatisk uppdatering för din WordPress-webbplats, sätt in koden nedan i din wp-config.php- fil:

 # Aktivera alla kärnuppdateringar, inklusive mindre och stora: definiera ('WP_AUTO_UPDATE_CORE', true);

4. Ta bort plugin tem editor och PHP felrapportering

Inaktivera din inbyggda editor för plugins och teman om du inte rutinmässigt tweak och ändra inställningar (eller kör annat underhåll på plugin och teman). Detta är för säkerheten på din webbplats.

Godkända WordPress-användare har tillgång till denna editor, vilket gör din webbplats utsatt för ett säkerhetsbrott om deras konton blir hackade. I själva verket kan hackare ta ner din webbplats genom att ändra koden i den redigeraren. För att inaktivera redigeraren, sätt in koden nedan i din wp-config.php :

 definiera ('DISALLOW_FILE_EDIT', true);

Felrapportering är bra. Det hjälper dig med felsökning. Det enda problemet (och det är ett stort problem) är att felmeddelanden också medför din serverväg. Hackers kan titta på din serverväg och enkelt få en klar förståelse för din webbplats struktur. Även om PHP-felrapportering är bra är det BÄSTA helt avstängt. Använd kodfliken nedan för din wp-config.php- fil:

 error_reporting (0); @ini_set ('display_errors', 0);

5. Använd .htaccess för att skydda speciella filer

.htaccess-filen är viktig eftersom det är hjärtat på din WordPress-webbplats. Den här filen är ansvarig för din webbplatss permalinkstruktur och säkerhet. Utanför #BEGIN WordPress och #END WordPress taggar finns det ingen gräns för antalet kodfragment som du kan lägga till i .htaccess-filen för att ändra synligheten för filer inuti webbplatsens katalog.

Om du inte redan har gjort det, döljer du wp-config.php-filen på din webbplats. Den filen är avgörande för din webbplats verksamhet och innehåller dina personuppgifter samt andra viktiga detaljer som är relevanta för din webbplats. Du kan använda kodavsnittet nedan för att dölja det.

 ordning tillåter, förneka neka från alla

För att begränsa adminåtkomst, skapa helt enkelt en ny .htaccess-fil och ladda upp den till din "wp-admin" -katalog. Därefter sätter du in den här koden:

 beställa neka, tillåta tillåtelse från 192.168.5.1 förneka allt från alla

Ange din IP-adress på rätt plats. För att tillåta åtkomst till din wp-admin från flera IP-adresser, lista dessa IP-adresser, var och en av dem på en separat rad, som allow from IP Address . Du kan begränsa åtkomsten till din wp-login.php på ungefär samma sätt. Lägg bara till den här kodtexten i din .htaccess:

 beställa neka, tillåta neka från alla # tillåta åtkomst från min IP-adress tillåta från 192.168.5.1

Om du hellre inte vill blockera alla IP-adresser, bara specifika IP-adresser som vill få tillgång till din wp-admin eller wp-login.php, kan du blockera enskilda IP-adresser med den här koden:

 ordning tillåter, neka neka från 456.123.8.9 tillåta från alla

Du kan också blockera personer från att visa din sajtkatalog genom att inte kunna bläddra. Du kan använda denna kodbit för att göra det:

 Alternativ All -Indexes

Slutsats

Det här har varit en användbar guide som hjälper dig att förbättra din WordPress-webbplatsens säkerhet. Den viktigaste av dessa alternativ är en som är ganska enkel att genomföra nu - hitta en värd med ett oräknat rykte för säkerhet, eftersom hälften av din webbplats säkerhet ligger på din värd.

Vilken säkerhetsspets var mest användbar för dig och varför? Har du några andra säkerhets tips som inte finns här? Nämn det (eller dem) i kommentarerna.