Một kế hoạch SEO an toàn cho WordPress và nhà phát triển

Admin 10:22 16-03-2019 144

Làm thế nào để bảo vệ trang web WordPress của bạn khỏi bị tấn công và giữ cho nó an toàn và bảo mật.


SEO cho nhà phát triển.  Lời khuyên của Detlef cho các nhà tiếp thị và lập trình viên tìm kiếm.

WordPress cung cấp một phần ba đáng kinh ngạc của tất cả các trang web những ngày này. Nó đã là nền tảng CMS được lựa chọn cho cộng đồng của chúng tôi kể từ giữa năm khi nhiều tính năng SEO của WordPress được triển khai. Do đó, nó bị tấn công không ngừng , phần lớn là vì lý do spam SEO, nhưng các cuộc tấn công có thể leo thang đến mức tồi tệ hơn nhiều.

Dưới đây là một số nguyên tắc cơ bản về WordPress và cách đảm bảo trang web WordPress của bạn được an toàn.

WordPress có an toàn không?

Phiên bản mới nhất của WordPress rất an toàn. Việc bỏ qua để cập nhật nó, tuy nhiên, trong số những thứ khác, có thể làm cho nó không an toàn. Đây là lý do tại sao nhiều chuyên gia bảo mật và nhà phát triển không phải là người hâm mộ WordPress. WordPress cũng giống như mã spaghetti PHP vốn không an toàn, trong đó chính WordPress cảnh báo rằng các lỗ hổng bảo mật xuất phát từ các phần có thể mở rộng của nền tảng, cụ thể là các plugin và chủ đề .

Cập nhật WordPress

Không có thứ gọi là hệ thống an toàn 100 phần trăm. WordPress cần cập nhật bảo mật để hoạt động an toàn và những cập nhật đó không ảnh hưởng tiêu cực đến bạn. Bật cập nhật bảo mật tự động. Tuy nhiên, việc cập nhật lõi WordPress yêu cầu bạn đảm bảo mọi thứ đều tương thích. Cập nhật plugin và chủ đề ngay khi có phiên bản tương thích.

Mã nguồn mở

WordPress là mã nguồn mở, đòi hỏi rủi ro cũng như lợi ích. Dự án được hưởng lợi từ một cộng đồng nhà phát triển đóng góp mã cho lõi, nhóm cốt lõi vá các lỗ hổng bảo mật được tìm thấy bởi cộng đồng, trong khi côn đồ phát hiện ra các cách để mở những thứ mở ra. Các lỗ hổng được ghi vào các bản quét bằng cách khai thác các ứng dụng có thể phát hiện phiên bản nào của mọi thứ đang chạy để khớp với các lỗi đã biết với các phiên bản của bạn.

Bảo vệ bản thân trước

Có những điều bạn có thể làm để bảo vệ chính mình ngay cả khi bạn không có vai trò quản trị viên. Đảm bảo bạn đang làm việc trên một mạng an toàn với máy trạm được quét thường xuyên. Chặn quảng cáo để ngăn chặn các cuộc tấn công tinh vi giả trang thành hình ảnh . Sử dụng VPN để mã hóa đầu cuối bất cứ khi nào bạn làm việc tại các điểm truy cập WiFi công cộng để ngăn chặn các phiên tấn công và tấn công MITM .

Mật khẩu an toàn

Quản lý mật khẩu an toàn là rất quan trọng cho dù bạn có vai trò gì. Hãy chắc chắn rằng mật khẩu của bạn là duy nhất và đủ dài. Sự kết hợp của số và chữ không đủ an toàn, ngay cả khi có dấu chấm câu, khi mật khẩu không đủ dài. Bạn cần mật khẩu dài. Sử dụng các cụm từ bốn hoặc năm từ được xâu lại với nhau nếu bạn cần ghi nhớ nhưng tốt hơn là sử dụng trình quản lý mật khẩu tạo mật khẩu cho bạn.

Độ dài mật khẩu

Tại sao chiều dài rất quan trọng? Nói theo cách này, tám mật khẩu ký tự bị bẻ khóa trong vòng chưa đầy 2,5 giờ bằng cách sử dụng tiện ích nguồn mở và miễn phí có tên HashCat. Không quan trọng là mật khẩu của bạn khó hiểu đến mức nào, chỉ mất vài giờ để bẻ khóa mật khẩu ngắn. Bắt đầu từ 13+ ký tự, việc bẻ khóa bắt đầu trở nên không thể vượt qua, ít nhất là cho đến bây giờ.

Quản trị viên

Nếu bạn có vai trò người dùng quản trị viên, hãy tạo một người dùng mới cho chính bạn, giới hạn ở vai trò biên tập viên. Bắt đầu sử dụng hồ sơ mới thay vì quản trị viên. Bằng cách đó, các cuộc tấn công mạng diện rộng sẽ tập trung vào tấn công thông tin xác thực vai trò biên tập viên của bạn và nếu phiên của bạn bị tấn công, bạn có khả năng quản trị viên để thay đổi mật khẩu và kiểm soát vật lộn khỏi những kẻ xâm nhập. Buộc mọi người, có lẽ thông qua việc sử dụng plugin, để tuân theo chính sách mật khẩu mạnh.

Chính sách bảo mật

Nếu bạn có kinh nghiệm bảo mật, hãy thực hiện kiểm tra mã các plugin và chủ đề của bạn (rõ ràng). Thiết lập nguyên tắc đặc quyền tối thiểu cho tất cả người dùng. Sau đó, bạn đang buộc tin tặc thực hiện các thủ thuật popping shell và leo thang đặc quyền liên quan đến các mục tiêu tấn công khác ngoài thông tin đăng nhập WordPress.

Thay đổi quyền tập tin

Nếu bạn kiểm soát máy chủ, hãy cung cấp cho mình tài khoản SFTP thông qua việc sử dụng Bảng điều khiển nếu bạn có hoặc thử giao diện người dùng quản trị viên mà bạn có quyền truy cập. Nó có thể có tác dụng phụ là cấu hình thông tin đăng nhập để mở cửa sổ thiết bị đầu cuối shell an toàn (SSH). Bằng cách đó bạn có thể thực hiện các biện pháp bảo mật bổ sung bằng cách sử dụng các tiện ích hệ thống và hơn thế nữa.

Khóa các tập tin quan trọng

Có một vài tệp không bao giờ được truy cập ngoại trừ quá trình PHP chạy WordPress. Bạn có thể thay đổi quyền của tệp và chỉnh sửa tệp .htaccess để tiếp tục khóa các tệp này. Để thay đổi quyền truy cập tệp, hãy sử dụng máy khách SFTP của bạn (nếu có tùy chọn) hoặc mở cửa sổ vỏ thiết bị đầu cuối và chạy lệnh tiện ích chmod.

$ chmod 400 .wp-config
$ ls -la

Bảo mật tập tin cấu hình Wordpress

Bảo mật tập tin cấu hình WordPress

Điều này có nghĩa là chỉ có quá trình PHP chạy WordPress mới có thể đọc tệp và không có gì khác. Tập tin không bao giờ nên có bộ cài đặt bit thực hiện các bit, như với chmod 700. Bạn phải luôn có số không ở vị trí thứ hai và thứ ba - đó là những gì thực sự khóa nó. Xác minh các thay đổi của bạn khi chạy tiện ích ls với các tùy chọn -la và xem xét.

Có các cài đặt cấp phép tệp nghiêm ngặt có nghĩa là không có gì có thể được ghi vào tệp, ngay cả bởi WordPress. Bạn sẽ muốn cấp lại quyền ghi $ chmod 600 .wp-configkhi có một bản cập nhật WordPress lớn trong đó tệp cấu hình có sửa đổi. Điều đó sẽ xảy ra cực kỳ hiếm khi, nếu có bao giờ.

Tệp đăng nhập WordPress

Tôi muốn khóa tệp wp-login.php bằng cách sử dụng quy tắc .htaccess. Giới hạn truy cập chỉ vào các địa chỉ IP của tôi là điều tuyệt vời khi tôi làm việc từ một IP được gán tĩnh hoặc một số ít địa chỉ cho chính tôi và một số người dùng. Không khó để thay đổi cài đặt nếu bạn đăng nhập từ một vị trí khác miễn là bạn có thể lấy được vỏ trên máy chủ. Chỉ cần nhận xét chỉ thị từ chối, đăng nhập bằng trình duyệt của bạn và bỏ ghi chú sau đó.

Wordpress Htaccess Giới hạn theo IP

Giới hạn WordPress Htaccess bằng IP

XSS và SQL tiêm

Cho đến nay, các cuộc tấn công đáng sợ nhất mà bạn sẽ gặp sẽ là kịch bản chéo trang (XSS) và SQL SQL. Có các quy tắc viết lại chuỗi truy vấn .htaccess mà bạn có thể sử dụng để dừng một số quy tắc này và tốt nhất bạn nên sử dụng một plugin sẽ quản lý điều này cho bạn. Một số plugin bảo mật sẽ quét cài đặt của bạn để tìm dấu hiệu thỏa hiệp. Nếu bạn biết cách sử dụng viết lại, chuyển hướng hoặc chặn chữ ký chuỗi truy vấn cho các cuộc tấn công bạn đọc hoặc xem trong nhật ký của bạn.

Plugin bảo mật

Một số plugin bảo mật sẽ quét cài đặt của bạn để tìm dấu hiệu thỏa hiệp. Wordfense là một plugin bảo mật phổ biến và được cập nhật thường xuyên. Sucuri Scanner có một tùy chọn trả phí sẽ quét cài đặt của bạn. Ninja Firewall sẽ cố gắng và hạn chế các cuộc tấn công dựa trên yêu cầu, chặn chúng trước khi chúng tiếp cận lõi WordPress. Bạn cũng có thể viết một ứng dụng sử dụng API Rủi ro Web mới của Google để quét các trang của trang web của bạn.



Cảm ơn bạn đã đánh giá
5 Sao 1 Đánh giá


Các tin khác

Google đang thử nghiệm hiển thị kết quả tìm kiếm mà không cần URL

Google đang thử nghiệm hiển thị kết quả tìm kiếm mà không cần URL

Google dường như đang thử nghiệm loại bỏ hoàn toàn URL khỏi kết quả tìm kiếm, thay vào đó chỉ hiển thị tên trang web.

Admin 14-10-2019 15:27 16

BẠN CÓ THỂ SỬ DỤNG NHIỀU HƠN 1 THẺ H1 TRÊN CÙNG 1 TRANG HAY KHÔNG ?

BẠN CÓ THỂ SỬ DỤNG NHIỀU HƠN 1 THẺ H1 TRÊN CÙNG 1 TRANG HAY KHÔNG ?

Câu trả lời là có . John Mueller của google đã trả lời cho câu hỏi " Bạn có thể sử dụng nhiều hơn 1 thẻ H1 trên cùng 1 trang hay không " mà không ảnh hưởng tới SEO

Admin 14-10-2019 14:53 14

CÁCH KHAI BÁO GOOGLE SEARCH CONSOLE KHI BẠN CHUYỂN ĐỔI TÊN MIỀN KHÁC 2019

CÁCH KHAI BÁO GOOGLE SEARCH CONSOLE KHI BẠN CHUYỂN ĐỔI TÊN MIỀN KHÁC 2019

Google thông báo trên Twitter rằng họ đã thêm công cụ Thay đổi địa chỉ Tên Miền vào giao diện mới của Google Search Console giúp bạn dễ dàng khai báo với google khi bạn đổi sang tên miền khác

Admin 14-10-2019 14:42 13

đánh giá sao trên kết quả tìm kiếm google bị mất đâu là lý do

Nếu đánh giá sao của bạn trong kết quả tìm kiếm tự nhiên trên Google biến mất, đây có thể là lý do khiến cấu trúc dữ liệu của bạn biến mất.

Admin 21-09-2019 00:55 41

5 cách để xây dựng sức mạnh thương hiệu của bạn

Một trang web siêu mạnh là một từ thông dụng trong SEO và tiếp thị nội dung. Mọi người đều muốn có nó, nhưng không phải ai cũng biết cách xây dựng nó

Admin 21-09-2019 00:40 22

Google có thể thu thập dữ liệu từ AJAX không ?

Câu hỏi được đặt ra là liệu Google có thể thu thập dữ liệu từ AJAX không ? John Mueller của Google cho biết trong phiên bản ngày 17 tháng 9 của #AskGoogleWebmasters

Admin 21-09-2019 00:10 29

Cách nhận lưu lượng truy cập không phải là từ Google

Cách nhận lưu lượng truy cập không phải là từ Google

Lưu lượng truy cập có thể bị xóa sổ ngay lập tức nếu Google là nguồn lưu lượng truy cập duy nhất của bạn và lấy đi tất cả những năm nỗ lực và SEO của bạn với nó qua đêm.

Admin 15-09-2019 14:43 34

Có Nên Thay đổi cấu trúc link URL trang web của bạn

Lý do phổ biến nhất để thay đổi cấu trúc URL của bạn là trong quá trình đổi thương hiệu công ty, di chuyển trang web hoặc thiết kế lại trong đó một số trang xác định thành phần như tên miền, loại sản phẩm, tiêu điểm..

Admin 15-09-2019 14:27 32

Bạn có thể thêm dữ liệu có cấu trúc JSON vào phần thân trang

Dữ liệu có cấu trúc JSON có thể được chèn vào phần đầu cũng như phần thân trang của bạn, Nhà phân tích Xu hướng quản trị trang web John Mueller đã giải thích trên ấn bản #AskGoogleWebmasters ngày 11 tháng 9 .

Admin 15-09-2019 13:41 26