Hvilke ændringer til wp-config.php for at sikre din WordPress blog

takket være Blair Jersyer | WordPress Tutorial

Hvis du mener, at dit websted er sikkert, fordi det ikke er af interesse for hackere, tager du fejl, fordi langt størstedelen af ​​sikkerhedsbrud ikke er rettet mod at stjæle dine data eller skjule dit websted.

Hackere vil normalt bruge din server som et relæ til spam-e-mails eller til at oprette en midlertidig webserver, normalt til at betjene ulovlige filer. Hvis du bliver hacket, skal du være parat til at forkaste nogle kontanter til serverrelaterede omkostninger.

Der er flere forskellige måder at øge sikkerheden på dit websted eller et multisite-netværk, men en af ​​de nemmeste er at redigere din fil. wp-config.php. Opdatering af denne konfigurationsfil, selvom der ikke findes en løsning, der passer til alle, er en politik, der skal følges af generel sikkerhed.

Med det i tankerne vil vi undersøge de forskellige ændringer, du kan foretage for at sikre din WordPress blog.

Konfiguration af WordPress Constants

I din WordPress-konfigurationsfil, også kaldet wp-config.php , kan du definere, hvad der kaldes PHP-konstanter til at udføre bestemte opgaver. WordPress har mange konstanter, som du kan bruge.

Konstanter er også indpakket i defineringsfunktionen() som vist i dette syntakseksempel:

define ('NOM_DE_LA_CONSTANTE', værdi);

På WordPress, filen wp-config.php indlæses før resten af ​​de filer, der udgør kernen. Dette betyder, at hvis du ændrer værdien af ​​en konstant i wp-config.php, kan du ændre, hvordan WordPress reagerer og fungerer. Du kan deaktivere nogle funktioner eller tænde dem ved at ændre værdien. I mange tilfælde kan dette gøres ved at ændre true for falsk og omvendt, for eksempel.

Nedenfor finder du de forskellige konstanter såvel som andre typer PHP-kode, som du kan bruge i din fil wp-config.php  for at øge din sikkerhed. Placer dem alle over den næste linje i din fil wp-config.php:

/ * Det er alt, stoppe redigeringen! Glad blogging. * /

OBS: Vær forsigtig

Da de ændringer, du er ved at foretage, kan ændre dit websted dramatisk, er dette godt idé om at bakke op. Hvis der opstår en fejl, kan du hurtigt gendanne dit websted til et punkt før disse ændringer, og når dit websted fungerer normalt, kan du prøve igen.

1. Skift dine sikkerhedstaster

Du er muligvis allerede opmærksom på de forskellige sikkerhedsnøgler, og du har muligvis allerede tilføjet unikke nøgler, hvilket er ret godt.

Informationssikkerhedsnøgler krypterer de data, der er gemt i cookies, og det kan være nyttigt at ændre dem, især efter at dit websted er blevet hacket. Dette ville afslutte alle åbne sessioner af loggede brugere på dit websted, hvilket betyder, at hackere også er logget ud.

Når du nulstiller adgangskoder og sørger for, at dit websted er fri for bagdørsudnyttelse og lignende.

Du kan generere et nyt sæt sikkerhedstaster ved hjælp af WordPress Security Key Generator. Kopier alt indholdet, og indsæt det for at erstatte det afsnit, der ser ud som følger:

define( 'AUTH_KEY', 't`DK%X:>xy|eZ(BXb/f(Ur`8#~UzUQG-^_Cs_GHs5U-&Wb?pgn^p8(2@}IcnCa|'); define( 'SECURE_AUTH_KEY ', 'D&ovlU#|CvJ##uNq}bel+^MFtT&.b9{UvR]g%ixsXhGlRJ7q!h}XWdEC[BOKXssj' ); define( 'LOGGED_IN_KEY', 'MGKi8Br(&{H*~&0s;{k0;  (hdXW|5M=X={we4;Mpvtg+Vo<$|#_}qG(GaVDEsn,~*2i'); define( 'NONCE_SALT', 'a|#h{c7|P &xWs0IZ2c8&%883!c( /uG}W:mAvy

2. Tving brugen af ​​SSL

Et SSL-certifikat krypterer forbindelsen mellem dit websted og din besøgendes browser, så hackere ikke kan opfange og stjæle personlige oplysninger. Hvis du allerede har et SSL-certifikat installeret, skal du tvinge WordPress til at bruge det, det kan øge din sikkerhed.

For at tvinge brugen af ​​dit SSL-certifikat under forbindelsen skal du tilføje denne linje:

define ('FORCE_SSL_LOGIN', sandt);

Du kan også tvinge dit SSL-certifikat på admin-dashboardet med denne linje:

definer ('FORCE_SSL_ADMIN', sandt);

Disse er meget gode punkter at starte med, selvom det ideelle ville være at bruge SSL-certifikatet på alle dine websted.

3. Rediger databasepræfikset

Præfikset er placeret foran navnene på alle tabellerne i din database. Som standard bruger tabellen præfikset " wp_" og tilføjelse af det til din database vil tilføje en ekstra opgave for hackeren at udføre. Jo flere forhindringer du tilføjer, jo flere din blog vil være svært at hacke.

Ændring af standardpræfikset hjælper, og alt hvad du skal gøre er at ændre konstanten på filen " wp-config.php ", men det ville også være nødvendigt, at databasetabellerne i din installation har den samme nye præfiks. Du kan ændre wp_ til noget lignende g628_. Du skal vælge noget, der virkelig ikke er let at gætte.

4. Deaktiver redigering af temaer og plugins

I hver WordPress-installation kan du redigere plugins og temaer direkte gennem dashboardet. Hvis en hacker var i stand til at få adgang til dit dashboard, har de adgang til denne specielle editor, hvor de derefter kunne gøre hvad de ville inden for dine plugin-filer og temaer som f.eks. Tilføje malware, vira eller spam.

5. Deaktiver fejlfinding

Hvis du nogensinde har aktiveret fejlfinding på dit websted eller på et netværk, gør du det sandsynligvis, fordi det er et fantastisk værktøj til fejlfinding, men glem ikke at deaktivere det, når du er færdig. Hvis du lader denne indstilling være aktiveret, kan det afsløre vigtige oplysninger om dit websted og placeringen af ​​dets filer til hackere for alle, der besøger dit websted.

For at deaktivere fejlretningstilstand kan du skifte WP_DEBUG-konstanten fra sand til falsk som følger:

define ('WP_DEBUG', falsk);

6. Deaktiver fejllogning i WordPress

 Hvis du ikke kan foretage den forrige ændring, fordi du stadig skal aktivere fejlfinding af dit websted, kan du stadig beskytte dit websteds vitale oplysninger ved at slå frontendfejl fra og deaktivere fejllogning.

For at deaktivere frontend-fejlrapportering skal du tilføje denne linje, mens du holder din fejlretning (WP_DEBUG) indstillet til sand:

define ('WP_DEBUG_DISPLAY', falsk);

7. Aktivér automatiske opdateringer

At holde dit websted opdateret med de nyeste versioner af WordPress sammen med dine plugins og temaer, bør være en vigtig del af udviklingen af ​​en sikkerhedsstrategi. SidenOpdateringer giver sikkerhedsrettelser til kendte sårbarheder, ikke opdatering af eksponeringer din blog til disse potentielle risici.

Fra og med WordPress version 3.7 anvendes mindre sikkerhedsrettelser automatisk på WordPress-websteder, men grundlæggende versioner er det ikke. Du kan dog aktivere automatiske opdateringer for alle nye versioner ved at ændre værdien af ​​konstanten for automatiske opdateringer:

define ('WP_AUTO_UPDATE_CORE', true);

På samme måde kan du tilføje følgende linje under den forrige for at aktivere automatiske opdateringer af plugins:

add_filter ('auto_update_plugin', '__return_true');

Du kan også følge denne linje for at tillade automatiske opdateringer til temaer:

add_filter ('auto_update_theme', '__return_true');

Det var det for denne tutorial. Jeg håber, det vil give dig mulighed for bedre at sikre din WordPress blog.

 

2 Kommentarer

  1. Ivan Greindl
    Ivan Greindl den 23. maj 2016 kl. 9 timer og 06 min

    Hej til hele holdet
    BRAVO til dit websted, der ser ud til at være fyldt med ressourcer og af stor interesse: Når mit budget tillader det, undlader jeg ikke at tilkalde dine tjenester (jeg har virkelig brug for det ...)!
    En lille ulempe ved sikkerhedsartiklen fra * Hervé *: vi går hurtigt vild i forklaringerne, hvis vi ikke er bekendt med php. [Derudover kan det være nyttigt at genlæse, når du redigerer teksten: nogle ord er udeladt - men ikke stavefejlene. ;-)))]

    réponse
    • Thierry Bertrand
      Thierry Bertrand den 24. maj 2016 kl. 12 timer og 28 min

      Tak Ivan for tilbagevenden og tilgivelse for fejlene.

      réponse

Svar til Ivan Greindl Annuler la réponse

Din e-mail-adresse vil ikke blive offentliggjort. Påkrævede felter er markeret med *

Dette websted bruger Akismet til at reducere uønskede. Få flere oplysninger om, hvordan dine kommentarer data bruges.