WordPress er blitt verdens mest populære CMS. Fordi det er så populært, er dette enda en grunn til å forbedre WordPress-sikkerhet hvis du bruker den til nettstedet ditt. De fleste forstår hvordan de skal sikre seg at deres side er sikker, men hvis du ikke fokuserer på sikkerheten til WordPress-nettstedet ditt ved å begrense tilgangen til viktige filer og mapper, er du fortsatt i fare. For å gjøre dette vil du ikke gjøre noen endringer i WordPress selv, men heller endre hvordan WordPress kjører på en server og hvor mye tilgang brukere har til filene.
WordPress-nettsteder består av en rekke filer og mapper, hver med sine egne unike webadresser, noe som betyr at hvis noen skulle skrive inn den riktige nettadressen, kunne de få tilgang til eller endre sensitive filer som kjører nettstedet ditt. Et av de vanligste målene for denne typen hacking er wp-includes-mappen, så vi skal legge til litt ekstra kode i serverkonfigurasjonsfilen for å bøte opp sikkerhet og forhindre slike trusler. Når vi er ferdige med dette, blir alle som forsøker å få tilgang til disse filene, omdirigert.
For å starte, vil du åpne .htaccess-filen for nettstedet ditt. Du kan gjøre dette gjennom noen tekstredigerer, spiller ingen rolle hvilken grunn fordi alt vi gjør er å legge til en liten kodebit til filen. Du vil legge merke til at filen allerede har kode i den, generert av WordPress. I en av de tidlige kodelinjene finner du en linje som sier # BEGIN WordPress
. Rett over denne koden skal vi legge til de ekstra kodelinjene som vil styrke nettstedets forsvar ved å begrense tilgangen til wp-includes-mappen.
# Blocking web access to the wp-includes folderRewriteEngine OnRewriteBase /RewriteRule ^wp-admin/includes/ - [F,L]RewriteRule !^wp-includes/ - [S=3]RewriteRule ^wp-includes/[^/]+.php$ - [F,L]RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]RewriteRule ^wp-includes/theme-compat/ - [F,L]
Etterpå trenger du bare å laste opp filen til serveren og du er ferdig. Mens endringene her virker små, kan det få stor innvirkning på nettstedets forsvar. Fordi mange av de avanserte funksjonene til WordPress er plassert i wp-includes-mappen, er de et viktig mål for hackere å gå etter. Med disse endringene implementert, når brukere prøver å få tilgang til denne mappen, blir de i stedet automatisk omdirigert til forsiden av nettstedet ditt.
Vårt neste skritt for å styrke WordPress-sikkerhet er å begrense tilgangen til wp-config.php-filen. Når du først opprettet ditt WordPress-nettsted, måtte du opprette et databasenavn, brukernavn, passord og tabellprefiks, som finnes i wp-config.php-filen. Grunnen til at du vil beskytte denne filen er fordi den inneholder informasjonen WordPress trenger å snakke med databasen, og i det lange løp, kontroller nettstedet ditt.
For å beskytte din wp-config.php-fil, trenger du bare å gjøre noen enkle trinn. Først vil vi åpne .htaccess-filen på nytt. Deretter vil vi kopiere kodestykket nedenfor og lime det inn i vår .htaccess-fil, akkurat som vi gjorde med trinn 1.
# Blocking web access to the wp-config.php fileorder allow,denydeny from all
Endelig lagre og opplast filen.
Som du kan se med trinn 1 og 2, kan .htaccess-filen være iboende for å forsvare ditt WordPress-nettsted fra ondsinnede eksterne trusler. Det er derfor i dette trinnet vi skal beskytte selve .htaccess-filen, slik at hackere ikke fjerner beskyttelsene vi allerede har satt på plass.
For å gjøre dette åpner vi igjen .htaccess-filen. Deretter legger du inn koden under i den eksisterende koden.
# Securing .htaccess fileorder allow,denydeny from allsatisfy all
Og med dette enkle tillegget er .htaccess-filen din beskyttet mot utendørs trusler.
For det siste trinnet kommer vi til å nekte hackere tilgang til et av de mest ødeleggende verktøyene de kunne få sine hender på: Redaktøren inne i WordPress dashboard. Det lar deg redigere temafiler, noe som er nyttig, men kan være farlig. Hvis en annen person enn deg selv vil få tilgang til dette, kan de endre koden din og ødelegge nettstedet ditt.
Med dette prosjektet vil vi fjerne redaktøren fra WordPress dashboard. I stedet for å få tilgang til filen gjennom WordPress, anbefaler jeg at du får tilgang til den via en ftp-klient som FileZilla, noe som er bedre for nettstedets integritet.
For å gjøre dette prosjektet vil vi først åpne wp-config.php filen. Når vi har det åpne, skal vi gå til slutten av koden, her finner du teksten "Det er alt, slutte å redigere! Glad blogging. " . Like før denne teksten kommer vi til å legge til koden under for å fjerne filredigering helt fra WordPress.
define('DISALLOW_FILE_EDIT', true);
Når du har lagt til koden, lagrer du filen og laster den opp på nytt på serveren. Nå er WordPress-nettstedet ditt trygt fra alle som får tilgang til nettstedet ditt og prøver å manipulere koden.
Hvis du følger alle disse trinnene, bør nettstedet ditt være mye tryggere. Ved å redusere mengden tilgang hackere har til filene som er viktige for å kjøre nettstedet ditt, har du økt ditt WordPress-nettsteds samlede sikkerhet.