WordPress har blivit världens mest populära CMS. Eftersom det är så populärt, är det ännu mer av en anledning att förbättra WordPress-säkerhet om du använder den för din webbplats. De flesta förstår hur man gör sin sida säker, men om du inte fokuserar på säkerheten på din WordPress-webbplats genom att begränsa åtkomst till viktiga filer och mappar, är du fortfarande i fara. För att göra detta kommer du inte göra några ändringar i WordPress själv, utan snarare ändra hur WordPress körs på en server och hur mycket åtkomst användare måste ha sina filer.
WordPress-sidor består av en serie filer och mappar, var och en med sina egna unika webbadresser, vilket betyder att om någon skulle skriva in rätt webbadress kunde de komma åt eller ändra känsliga filer som kör din webbplats. Ett av de vanligaste målen för denna typ av hacking är mappen wp-includes, så vi lägger till ytterligare en kod till serverns konfigurationsfil för att neka säkerhet och förhindra sådana hot. När vi är färdiga med det, försöker alla som försöker komma åt dessa filer omdirigeras tillbaka.
För att starta vill du öppna .htaccess-filen för din webbplats. Du kan göra detta via någon textredigerare, spelar ingen roll vilken för att allt vi gör lägger till ett litet kodstycke till filen. Du kommer att märka att filen redan har kod i den, genererad av WordPress. I en av kodens tidiga linjer hittar du en rad som säger # BEGIN WordPress
. Direkt ovanför den här koden lägger vi till ytterligare kodrad, vilket kommer att stärka webbplatsens försvar genom att begränsa åtkomst till mappen wp-includes.
# Blocking web access to the wp-includes folderRewriteEngine OnRewriteBase /RewriteRule ^wp-admin/includes/ - [F,L]RewriteRule !^wp-includes/ - [S=3]RewriteRule ^wp-includes/[^/]+.php$ - [F,L]RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]RewriteRule ^wp-includes/theme-compat/ - [F,L]
Efteråt behöver du helt enkelt ladda upp filen till servern och du är klar. Även om förändringarna här verkar mindre kan det få stor inverkan på webbplatsens försvar. Eftersom många av de avancerade funktionerna i WordPress finns i mappen wp-includes, är de ett viktigt mål för hackare att gå efter. Med dessa ändringar implementerade, när användare försöker komma åt den här mappen, kommer de istället att omdirigeras automatiskt till webbplatsens hemsida.
Vårt nästa steg för att stärka WordPress-säkerhet är att begränsa åtkomsten till wp-config.php-filen. När du först skapade din WordPress-webbplats måste du skapa ett databasnamn, användarnamn, lösenord och tabellprefix, som finns i wp-config.php-filen. Anledningen till att du vill skydda den här filen är att den innehåller informationen som WordPress behöver prata med databasen, och i det långa loppet, kontrollera din webbplats.
För att skydda din wp-config.php-fil behöver du bara göra några enkla steg. Först vill vi öppna .htaccess filen igen. Därefter vill vi kopiera kodkoden nedan och klistra in den i vår .htaccess-fil precis som vi gjorde med steg 1.
# Blocking web access to the wp-config.php fileorder allow,denydeny from all
Slutligen spara och ladda upp filen igen.
Som du kan se med steg 1 och 2 kan .htaccess-filen vara inbyggd för att försvara din WordPress-webbplats från skadliga externa hot. Det är därför som vi i detta steg ska skydda själva .htaccess-filen, vilket hindrar hackare från att ta bort de skydd vi redan har infört.
För att göra detta öppnar vi igen .htaccess-filen. Sätt sedan in koden nedan i den befintliga koden.
# Securing .htaccess fileorder allow,denydeny from allsatisfy all
Och med detta enkla tillägg skyddas din .htaccess-fil från yttre hot.
För det sista steget kommer vi att neka hackare åtkomst till ett av de mest destruktiva verktygen som de kunde få sina händer på: redaktören inne i WordPress-instrumentbrädan. Det låter dig redigera dina temafiler, vilket är användbart men kan vara farligt. Om en annan person än dig själv skulle få tillgång till det här kan de ändra din kod och bryta din webbplats.
Med det här projektet kommer vi att ta bort redigeraren från WordPress-instrumentpanelen. Snarare än att komma åt filen via WordPress rekommenderar jag att du får tillgång till den via en ftp-klient som FileZilla, vilket är bättre för webbplatsens integritet.
För att göra detta projekt vill vi först öppna wp-config.php-filen. När vi har det öppna, kommer vi att gå till slutet av koden, här hittar du texten "Det är allt, sluta redigera! Glad bloggning. " . Strax före denna text lägger vi till koden nedan för att ta bort filredigeringen helt från WordPress.
define('DISALLOW_FILE_EDIT', true);
När du har lagt till koden, spara filen och ladda upp den igen till servern. Nu är din WordPress-webbplats säker från alla som får tillgång till din webbplats och försöker manipulera koden.
Om du följer alla dessa steg bör din webbplats vara mycket säkrare. Genom att minska tillgången till hackare måste de filer som är viktiga för att köra din webbplats, har du ökat din WordPress-webbplatsens övergripande säkerhet.