A saját WordPress webhely elindítása manapság meglehetősen egyszerű. Sajnos nem tart sokáig, amíg a hackerek megcélozzák webhelyét.

A WordPress^(WordPress) -webhelyek biztonságossá tételének legjobb módja, ha megértjük a WordPress -webhelyek futtatásából eredő összes sérülékenységet . Ezután telepítse a megfelelő biztonságot, hogy blokkolja a hackereket ezeken a pontokon.

Ebből a cikkből megtudhatja, hogyan védheti jobban domainjét, WordPress -bejelentkezési adatait, valamint a WordPress - webhely biztonságát biztosító eszközöket és beépülő modulokat.

Hozzon létre egy privát domaint

Manapság túl könnyű szabad domaint találni^{(find an available domain)} és nagyon olcsó áron megvásárolni. A legtöbb ember soha nem vásárol domain-kiegészítőket a domainjéhez. Azonban az egyik kiegészítő, amelyet mindig figyelembe kell vennie, az adatvédelem^{(Privacy Protection)} .

A GoDaddy^(GoDaddy) adatvédelem három alapvető szintje van , de ezek megegyeznek a legtöbb tartományszolgáltató ajánlatával is.

• Alapvető^(Basic) : rejtse el nevét és elérhetőségeit a WHOIS - könyvtárból. Ez csak akkor érhető el, ha a kormány engedélyezi a domain kapcsolatfelvételi adatainak elrejtését.
• Teljes^(Full) : Cserélje le saját adatait egy alternatív e-mail címre és kapcsolatfelvételi adatokra, hogy elfedje valódi személyazonosságát.
• Végső^(Ultimate) : Kiegészítő biztonság, amely blokkolja a rosszindulatú domain-ellenőrzést, és magában foglalja a webhely biztonsági megfigyelését a tényleges webhelyen.

Általában ahhoz, hogy a domaint ezen biztonsági szintek valamelyikére frissítse, csak a frissítést kell választania a domain listája oldalán található legördülő menüből.

Az alapvető^(Basic) tartományvédelem meglehetősen olcsó (általában 9,99 USD/év), és a magasabb szintű biztonság sem sokkal drágább.

Ez egy kiváló módja annak, hogy megakadályozza, hogy a spamküldők kikaparják az Ön kapcsolattartási adatait a WHOIS adatbázisból, vagy olyan rosszindulatú személyeket, akik hozzá szeretnének férni az Ön kapcsolati adataihoz.

^(Hide)A wp-config.php és .htaccess fájlok elrejtése

A WordPress első telepítésekor^{(install WordPress)} a wp-config.php fájlban  meg kell adnia a WordPress SQL -adatbázis rendszergazdai azonosítóját és jelszavát.^{(WordPress SQL)}

Ezek az adatok a telepítés után titkosítva lesznek, de azt is szeretné megakadályozni, hogy a hackerek szerkeszthessék ezt a fájlt és feltörjék a webhelyet. Ehhez keresse meg és szerkessze a .htaccess fájlt webhelye gyökérmappájában, és adja hozzá a következő kódot a fájl aljához.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

A .htaccess módosításának elkerülése érdekében a következőt is adja hozzá a fájl aljához.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Mentse el a fájlt, és lépjen ki a fájlszerkesztőből.

Azt is megfontolhatja, hogy jobb gombbal kattint az egyes fájlokra, és módosítja az engedélyeket, hogy mindenki számára teljes mértékben eltávolítsa az írási hozzáférést.^(Write)

Míg ennek a wp-config.php fájlon történő megtétele nem okozhat problémákat, a .htaccess fájllal végzett műveletek problémákat okozhatnak. Különösen akkor, ha olyan biztonsági WordPress beépülő modulokat futtat, amelyeknek szükségük lehet a .htaccess fájl szerkesztésére.

Ha bármilyen hibaüzenetet kap a WordPresstől^(WordPress) , bármikor frissítheti az engedélyeket, hogy ismét engedélyezze az írási^(Write) hozzáférést a .htaccess fájlhoz.

Módosítsa a WordPress bejelentkezési URL-jét

Mivel minden WordPress webhely alapértelmezett bejelentkezési oldala a yourdomain/wp-admin.php, a hackerek ezt az URL-t fogják használni, hogy megpróbálják feltörni az Ön webhelyét.

Ezt az úgynevezett „brute force” támadásokon keresztül teszik meg, amelyek során elküldik a sokak által gyakran használt tipikus felhasználónevek és jelszavak változatait. A hackerek remélik, hogy szerencséjük lesz, és megtalálják a megfelelő kombinációt.

Ezeket a támadásokat teljesen megállíthatja, ha módosítja a WordPress bejelentkezési URL^{(WordPress login URL)} -címét valami nem szabványosra.

Számos WordPress bővítmény segít ebben. Az egyik leggyakoribb a WPS Hide Login .

Ez a beépülő modul hozzáad egy részt a WordPress Beállítások alatti ^(Settings)Általános^(General) laphoz .

Itt beírhatja a kívánt bejelentkezési URL -t, és az aktiváláshoz válassza a Módosítások mentése lehetőséget. ^{(Save Changes)}Ha legközelebb be szeretne jelentkezni WordPress -webhelyére, használja ezt az új URL -t .

Ha valaki megpróbál hozzáférni a régi wp-admin URL -hez , a rendszer átirányítja webhelye 404-es oldalára.

Megjegyzés^(Note) : Ha gyorsítótár-bővítményt használ, ügyeljen arra, hogy új bejelentkezési URL -jét adja hozzá a ^(URL)nem^(not) gyorsítótárazandó webhelyek listájához . Ezután feltétlenül ürítse ki a gyorsítótárat, mielőtt ismét bejelentkezik a WordPress webhelyére.

Telepítsen egy WordPress biztonsági bővítményt

Számos WordPress biztonsági bővítmény^{(WordPress security plugins)} közül választhat. Ezek közül jó okkal a Wordfence a leggyakrabban letöltött.

A Wordfence ingyenes verziója tartalmaz egy hatékony keresőmotort, amely megkeresi a hátsó ajtó fenyegetéseit, a beépülő modulokban vagy a webhelyen található rosszindulatú kódokat, a ^{(malicious code in your plugins)}MySQL befecskendezési fenyegetéseket és még sok mást. Tűzfalat is tartalmaz az aktív fenyegetések, például a DDOS támadások blokkolására. 

Lehetővé teszi a brute force támadások megállítását is a bejelentkezési kísérletek korlátozásával és a túl sok helytelen bejelentkezési kísérletet végrehajtó felhasználók kizárásával.

Az ingyenes verzióban jó néhány beállítás érhető el. Több mint elég ahhoz, hogy megvédje a kis és közepes webhelyeket a legtöbb támadástól.

Van egy hasznos irányítópult-oldal is, amelyet megtekinthet a közelmúltban blokkolt fenyegetések és támadások figyeléséhez.

Használja a WordPress^{(WordPress Password Generator)} Jelszógenerátort és a 2FA-t

Az utolsó dolog, amit szeretne, hogy a hackerek könnyen kitalálják jelszavát. Sajnos túl sokan használnak nagyon egyszerű, könnyen kitalálható jelszavakat. Néhány példa a webhely nevének vagy a felhasználó saját nevének a jelszó részeként történő használata, vagy speciális karakterek használata.

Ha frissített a WordPress legújabb verziójára , hatékony jelszavas biztonsági eszközökhöz férhet hozzá WordPress - webhelye védelméhez. 

A jelszavas biztonság javításának első lépése, hogy felkeresi a webhely minden egyes felhasználóját, görgessen le a Fiókkezelés^{(Account Management)} részhez, és válassza a Jelszó generálása^{(Generate Password)} gombot.

Ez egy hosszú, nagyon biztonságos jelszót generál, amely betűket, számokat és speciális karaktereket tartalmaz. Mentse el ezt a jelszót egy biztonságos helyre, lehetőleg egy olyan külső meghajtón lévő dokumentumba, amelyet online kapcsolat közben leválaszthat a számítógépről.

Válassza a Kijelentkezés mindenhol máshol^{(Log Out Everywhere Else)} lehetőséget, hogy megbizonyosodjon arról, hogy minden aktív munkamenet be van zárva.

Végül, ha telepítette a Wordfence biztonsági bővítményt, megjelenik a 2FA aktiválása^{(Activate 2FA)} gomb. Válassza ezt a kétfaktoros hitelesítés engedélyezéséhez a felhasználói bejelentkezéshez.

Ha nem Wordfence -t használ, telepítenie kell a népszerű 2FA beépülő modulok bármelyikét.

• Google Hitelesítő^{(Google Authenticator)}
• Kétfaktoros hitelesítés^{(Two Factor Authentication)}
• Rublon kétfaktoros hitelesítés^{(Rublon Two-Factor Authentication)}
• Duo kétfaktoros hitelesítés^{(Duo Two-Factor Authentication)}

Egyéb fontos biztonsági szempontok^{(Important Security Considerations)}

Van még néhány dolog, amit megtehet WordPress - webhelye teljes biztonsága érdekében.

A WordPress beépülő moduljait és magát a ^{(WordPress plugins)}WordPress verzióját is folyamatosan frissíteni kell. A hackerek gyakran megpróbálják kihasználni az Ön webhelyén található kód régebbi verzióinak sebezhetőségeit. Ha nem frissíti mindkettőt, akkor webhelye veszélyben van.

1. Rendszeresen válassza ki a Bővítmények^(Plugins) és a Telepített beépülő modulok^{(Installed Plugins)} lehetőséget a WordPress adminisztrációs paneljén. Tekintse^(Review) át az összes beépülő modult, és keressen olyan állapotot, amely szerint új verzió érhető el.

Ha olyan elemet lát, amely elavult, válassza a frissítés most^{(update now)} lehetőséget . Megfontolhatja az Automatikus frissítések engedélyezése lehetőséget is a beépülő modulokhoz. 

Néhányan azonban óvakodnak ettől, mivel a beépülő modulok frissítései időnként tönkretehetik a webhelyet vagy a témát. Ezért mindig érdemes tesztelni a bővítmények frissítéseit egy helyi WordPress-tesztoldalon^{(local WordPress test site)} , mielőtt engedélyezné azokat az élő webhelyen.

2. Amikor bejelentkezik a WordPress irányítópultjába, egy értesítést fog látni arról, hogy a WordPress elavult, ha régebbi verziót futtat.

Ismét készítsen biztonsági másolatot a webhelyről, és töltse be egy helyi teszthelyre a saját számítógépén, és ellenőrizze, hogy a WordPress -frissítés nem töri-e meg a webhelyet, mielőtt frissíti az élő webhelyen.

3. Használja ki webtárhelye ingyenes biztonsági funkcióit. A legtöbb webtárhely különféle ingyenes biztonsági szolgáltatásokat kínál az Ön által üzemeltetett webhelyek számára. Ezt azért teszik, mert ez nemcsak az Ön webhelyét védi, hanem az egész szervert is biztonságban tartja. Ez különösen fontos, ha megosztott tárhelyfiókot használ, ahol más ügyfelek webhelyei ugyanazon a szerveren vannak.

Ezek gyakran magukban foglalják az ingyenes SSL biztonsági^{(free SSL security)} telepítéseket a webhelyhez, az ingyenes biztonsági mentéseket^{(free backups)} , a rosszindulatú IP-címek blokkolásának lehetőségét, és még egy ingyenes webhely-ellenőrzőt is, amely rendszeresen ellenőrzi webhelyét, hogy nem talál-e rosszindulatú kódot vagy sebezhetőséget.

Egy webhely futtatása soha nem olyan egyszerű, mint a WordPress telepítése és a tartalom közzététele. Fontos, hogy WordPress webhelyét a lehető legbiztonságosabbá tegye. A fenti tippek mindegyike segíthet ebben túl sok erőfeszítés nélkül.

How to Make a WordPress Site Secure

Launchіng your own WordPress ѕite thеse days is pretty easy. Unfortunately, it won’t take long for hackers to start targeting yоur sіtе.

The best way to make a WordPress site secure is to understand every point of vulnerability that comes from running a WordPress site. Then install the appropriate security to block hackers at each of those points.

In this article you’ll learn how to better secure your domain, your WordPress login, and the tools and plugins available to secure your WordPress site.

Create a Private Domain

It’s all too easy these days to find an available domain and purchase it at a very cheap price. Most people never purchase any domain addons for their domain. However, one add-on you should always consider is Privacy Protection.

There are three basic levels of privacy protection with GoDaddy, but these also match offerings of most domain providers.

• Basic: Hide your name and contact info from the WHOIS directory. This is only available if your government allows you to hide domain contact information.
• Full: Replace your own information with an alternative email address and contact info to cloak your actual identity.
• Ultimate: Additional security that blocks malicious domain scanning, and includes website security monitoring for your actual site.

Usually, upgrading your domain to one of these security levels just requires choosing to upgrade from a dropdown on your domain listing page.

Basic domain protection is fairly cheap (usually around $9.99/yr), and higher levels of security aren’t much more expensive.

This is an excellent way to stop spammers from scraping your contact info off of the WHOIS database, or others with malicious intent who want to get access to your contact information.

Hide wp-config.php and .htaccess Files

When you first install WordPress, you’ll need to include the administrative ID and password for your WordPress SQL database in the wp-config.php file. 

That data gets encrypted after installation, but you also want to block hackers from being able to edit this file and break your website. To do this, find and edit the .htaccess file on the root folder of your site and add the following code at the bottom of the file.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

To prevent changes to .htaccess itself, add the following to the bottom of the file as well.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Save the file and exit the file editor.

You might also consider right-clicking each file and changing the permissions to remove Write access entirely for everyone.

While doing this on the wp-config.php file shouldn’t cause any issues, doing it on .htaccess could cause issues. Especially if you’re running any security WordPress plugins that may need to edit the .htaccess file for you.

If you do receive any errors from WordPress, you can always update permissions to allow Write access on the .htaccess file again.

Change Your WordPress Login URL

Since the default login page for every WordPress site is yourdomain/wp-admin.php, hackers will use this URL to try and hack into your site.

They will do this through what’s known as “brute force” attacks where they’ll send variations of typical usernames and passwords many people commonly use. Hackers hope that they’ll get lucky and land the right combination.

You can stop these attacks entirely by changing your WordPress login URL to something non-standard.

There are lots of WordPress plugins to help you do this. One of the most common is WPS Hide Login.

This plugin adds a section to the General tab under Settings in WordPress.

There, you can type in any login URL you want and select Save Changes to activate it. Next time you want to log into your WordPress site, use this new URL.

If anyone tries to access your old wp-admin URL, they’ll get redirected to your site’s 404 page.

Note: If you use a cache plugin, make sure to add your new login URL to the list of sites not to cache. Then make sure to purge the cache before you log back into your WordPress site again.

Install a WordPress Security Plugin

There are a lot of WordPress security plugins to choose from. Of all of them, Wordfence is the most commonly downloaded one, for good reason.

The free version of Wordfence includes a powerful scan engine that looks for backdoor threats, malicious code in your plugins or on your site, MySQL injection threats, and more. It also includes a firewall to block active threats like DDOS attacks. 

It will also let you stop brute force attacks by limiting login attempts and locking out users who make too many incorrect login attempts.

There are quite a few settings available in the free version. More than enough to protect small to medium websites from most attacks.

There is also a useful dashboard page you can review to monitor recent threats and attacks that have been blocked.

Use the WordPress Password Generator and 2FA

The last thing you want is for hackers to easily guess your password. Unfortunately, too many people use very simple passwords that are easy to guess. Some examples include using the website name or the user’s own name as part of the password, or not using any special characters.

If you’ve upgraded to the latest version of WordPress, you have access to powerful password security tools to secure your WordPress site. 

The first step to improve your password security is to go to each user for your site, scroll down to the Account Management section, and select the Generate Password button.

This will generate a long, very secure password that includes letters, numbers, and special characters. Save this password somewhere safe, preferably in a document on an external drive that you can disconnect from your computer while you’re online.

Select Log Out Everywhere Else to make sure all active sessions are closed.

Finally, if you’ve installed the Wordfence security plugin, you’ll see an Activate 2FA button. Select this to enable two-factor authentication for your user logins.

If you aren’t using Wordfence, you’ll need to install any of these popular 2FA plugins.

• Google Authenticator
• Two Factor Authentication
• Rublon Two-Factor Authentication
• Duo Two-Factor Authentication

Other Important Security Considerations

There are a few more things you can do to fully secure your WordPress site.

Both the WordPress plugins and the version of WordPress itself should be updated at all times. Hackers often try to exploit vulnerabilities in older versions of code on your site. If you don’t update both of these, you’re leaving your site at risk.

1. Regularly select Plugins and Installed Plugins in your WordPress admin panel. Review all plugins for a status that says a new version is available.

When you do see one that’s out of date, select update now. You may also consider selecting Enable auto-updates for your plugins. 

However, some people are wary of doing this since plugin updates can sometimes break your site or theme. So it’s always a good idea to test plugin updates on a local WordPress test site before enabling them on your live site.

2. When you log into your WordPress dashboard, you’ll see a notification that WordPress is out of date if you’re running an older version.

Again, backup the site and load it to a local test site on your own PC to test that the WordPress update doesn’t break your site before you update it on your live website.

3. Take advantage of your web host’s free security features. Most web hosts offer a variety of free security services for the sites you host there. They do this because it not only protects your site, but it keeps the entire server safe. This is especially important when you’re on a shared hosting account where other clients have websites on the same server.

These often include free SSL security installs for your site, free backups, the ability to block malicious IP addresses, and even a free site scanner that’ll regularly scan your site for any malicious code or vulnerabilities.

Running a website is never just as simple as installing WordPress and just posting content. It’s important to make your WordPress website as secure as possible. All of the above tips can help you do so without too much effort.

Related posts

• 3 módszer a legbiztonságosabb jelszó létrehozására

• Valóban biztonságos az üzenetküldő alkalmazás?

• 3 módja annak, hogy fényképet vagy videót készítsen Chromebookon

• Számítógép- és e-mail-figyelő vagy kémszoftver észlelése

• Síkképernyős kijelző technológia demisztifikálva: TN, IPS, VA, OLED és még sok más

• Mi az Uber utas-besorolása és hogyan ellenőrizhető?

• A Peacock letöltése és telepítése a Firestickre

• A legjobb fényképezőgép-beállítások portrékhoz

• Klip felosztása az Adobe Premiere Pro programban

• 10 legjobb módszer a számítógép gyermekvédelmére

• Hogyan találhat születésnapokat a Facebookon

• Hogyan készítsünk képernyőképet a Steamen

• Hogyan tegyük hangosabbá és jobbá a Spotify-t

• Hogyan téríthetek vissza egy játékot a Steamen

• Mi az a Discord Streamer mód és hogyan kell beállítani

• Hogyan találhatunk emlékeket a Facebookon

• Hogyan javítsunk ki egy Steam „Függőben lévő tranzakció” hibát

• 8 módszer a Facebook-oldal közönségének növelésére

• A Discord spoiler címkék használata

• Hogyan lehet deaktiválni egy Facebook-fiókot törlés helyett