ハッカーの興味がないためにサイトが安全だと思う場合は、間違っています。セキュリティ違反の大部分は、データを盗んだり、サイトの外観を損なうことを目的としていないためです。
ハッカーは通常、サーバーをスパムメールのリレーとして使用したり、一時的なWebサーバーをセットアップして、通常は違法なファイルを提供したりします。 ハッキングされた場合は、サーバー関連のコストのためにいくらかの現金を払い出す準備をしてください。
サイトまたはマルチサイトネットワークのセキュリティを強化する方法はいくつかありますが、最も簡単な方法のXNUMXつはファイルを編集することです。 WP-config.phpを。 この構成ファイルの更新は、万能の解決策はありませんが、全体的なセキュリティのために従う必要のあるポリシーです。
それを念頭に置いて、セキュリティを確保するために行うことができるさまざまな変更を検討します WordPressのブログ.
定数のワードプレスの設定
WordPress構成ファイルで、別名 WP-config.phpを 、特定のタスクを実行するために、いわゆるPHP定数を定義できます。 WordPressには、使用できる定数がたくさんあります。
定数もdefine関数でラップされます()
この構文例に示すように:
( 'NOM_DE_LA_CONSTANTE'、値)を定義します。
WordPressでは、ファイル WP-config.phpを カーネルを構成する残りのファイルの前にロードされます。 これは、で定数の値を変更すると、 WP-config.phpを、WordPressの反応と動作の方法を変更できます。 値を変更して、一部の機能を無効にしたり、有効にしたりできます。 多くの場合、これは変更することで実行できます true
偽の、およびその逆のために、例えば。
以下に、ファイルで使用できるさまざまな定数と他のタイプのPHPコードを示します。 WP-config.phpを セキュリティを強化します。 それらをすべてファイルの次の行の上に配置します WP-config.phpを:
/ *それはすべてです、編集を停止! ハッピーブログ。 * /
警告:注意してください
これから行う変更によってサイトが劇的に変わる可能性があるため、これは良いことです。 バックアップする考え。 エラーが発生した場合は、これらの変更が行われる前の時点にサイトをすばやく復元できます。サイトが正常に機能したら、再試行できます。
1。 セキュリティキーを変更する
さまざまなセキュリティキーをすでに知っているかもしれませんし、一意のキーをすでに追加しているかもしれません。これは非常に良いことです。
情報セキュリティキーはCookieに保存されているデータを暗号化するため、特にサイトがハッキングされた後は、それらを変更すると便利です。 これにより、サイトでログインしているユーザーの開いているセッションがすべて終了します。つまり、ハッカーもログアウトされます。
パスワードをリセットし、サイトにバックドアの悪用などがないことを確認するとき。
を使用して、新しいセキュリティキーのセットを生成できます。 WordPressのセキュリティキージェネレータ。 すべてのコンテンツをコピーして貼り付け、次のようなセクションを置き換えます。
定義( 'AUTH_KEY', 't`DK%X:>xy|eZ(BXb/f(Ur`8#~UzUQG-^_Cs_GHs5U-&Wb?pgn^p8(2@}IcnCa|' ); 定義( 'SECURE_AUTH_KEY ', 'D&ovlU#|CvJ##uNq}bel+^MFtT&.b9{UvR]g%ixsXhGlRJ7q!h}XWdEC[BOKXssj' );define( 'LOGGED_IN_KEY', 'MGKi8Br(&{H*~&0s;{k0 (hdXW|5M=X={we4;Mpvtg+Vo<$|#_}qG(GaVDEsn,~*2i' );define( 'NONCE_SALT', 'a|#h{c7|P &xWs0IZ2c8&%883!c( /uG}W:マエイヴィ
2.SSLの使用を強制します
SSL証明書は、サイトと訪問者のブラウザ間の接続を暗号化するため、ハッカーが個人情報を傍受して盗むことはできません。 すでにSSL証明書がインストールされている場合は、WordPressにSSL証明書を強制的に使用させる必要があります。これにより、セキュリティが向上する可能性があります。
接続中にSSL証明書の使用を強制するには、次の行を追加します。
( 'FORCE_SSL_LOGIN'、true)を定義します。
次の行を使用して、管理ダッシュボードでSSL証明書を強制することもできます。
( 'FORCE_SSL_ADMIN'、true)を定義します。
これらは、開始するのに非常に適したポイントですが、理想は、すべてのサーバーで SSL 証明書を使用することです。 ウェブサイト.
3.データベースプレフィックスを変更します
プレフィックスは、データベース内のすべてのテーブルの名前の前に配置されます。 デフォルトでは、テーブルはプレフィックス「 wp_"
それをデータベースに追加すると、ハッカーが実行するタスクが追加されます。 障害物を追加すればするほど、 ブログ ハッキングは困難になります。
デフォルトのプレフィックスを変更すると、ファイルの定数を変更するだけで済みます。 wp-config.php "、 ただし、インストール内のデータベーステーブルにも同じ新しいプレフィックスを付ける必要があります。 変更できます wp_
のようなもののために g628_.
あなたは本当に推測するのが簡単ではない何かを選ばなければなりません。
4.テーマとプラグインの編集を無効にします
各WordPressのインストールでは、ダッシュボードからプラグインとテーマを直接編集できます。 ハッカーがダッシュボードにアクセスできた場合は、この特別なエディターにアクセスして、プラグインやテーマファイル内で、マルウェアやウイルスの追加など、好きなことを行うことができます。スパム。
5。 デバッグを無効にする
サイトまたはネットワークでデバッグを有効にしたことがある場合は、トラブルシューティングに最適なツールであるためそうするでしょうが、完了したら無効にすることを忘れないでください。 このオプションを有効のままにしておくと、サイトとそのファイルの場所に関する重要な情報が、サイトにアクセスするすべてのハッカーに明らかになる可能性があります。
デバッグモードをオフにするには、次のようにWP_DEBUG定数をtrueからfalseに変更できます。
( 'WP_DEBUG'、false)を定義します。
6.WordPressでエラーログを無効にします
サイトをアクティブにデバッグする必要があるために以前の変更を行うことができない場合でも、フロントエンドエラーをオフにし、エラーログをオフにすることで、サイトの重要な情報を保護できます。
フロントエンドエラーレポートを無効にするには、デバッグ(WP_DEBUG)をtrueに設定したまま、次の行を追加します。
( 'WP_DEBUG_DISPLAY'、false)を定義します。
7。 自動更新を有効にする
最新バージョンのWordPress、およびプラグインとテーマでサイトを最新の状態に保つことは、セキュリティ戦略を開発する上で重要な部分です。 以来更新では既知の脆弱性に対するセキュリティ修正が提供されますが、更新では公開されません ブログ これらの潜在的なリスクに対処します。
WordPressバージョン3.7以降、マイナーなセキュリティ修正がWordPressサイトに自動的に適用されますが、基本バージョンは適用されません。 ただし、自動更新の定数の値を変更することにより、すべての新しいバージョンの自動更新を有効にできます。
( 'WP_AUTO_UPDATE_CORE'、true)を定義します。
同様に、前の行の下に次の行を追加して、プラグインの自動更新を有効にすることができます。
ADD_FILTER( 'auto_update_plugin'、 '__return_true');
次の行に従って、テーマの自動更新を許可することもできます。
ADD_FILTER( 'auto_update_theme'、 '__return_true');
このチュートリアルは以上です。 私はそれがあなたのより良い保護を可能にすることを願っています WordPressのブログ.
すべてのチームにこんにちは、
あなたのサイトのBRAVOは、リソースが豊富で非常に興味深いようです。私の予算が許せば、私はあなたのサービスを見逃すことはありません(私は本当にそれが必要です…)!
*Hervé*のセキュリティ記事の小さな欠点:phpに精通していないと、説明にすぐに迷ってしまいます。 [さらに、テキストを編集するときは、もう一度読むと便利です。一部の単語が省略されていますが、スペルミスはありません。 ;-)))]
イワンは、ミスの見返りと許してくれてありがとう。