Innen datasikkerhet finnes konseptet “Rekognosering”. Før en hacker angriper, skanner de. Hvis siden din stolt sier: “Hei! Jeg kjører WordPress 5.8.1!”, ruller du ut den røde løperen.
I denne omfattende guiden skal vi implementere ekte serversikkerhet.
Del 1: “Generator”-problemet
Standard WordPress injiserer:
<meta name="generator" content="WordPress 6.7.1" />
Løsningen (PHP snippet)
Legg dette til i functions.php:
remove_action('wp_head', 'wp_generator');
remove_action('rss2_head', 'the_generator');
function wppoland_remove_version_scripts_styles($src) {
if (strpos($src, 'ver=')) {
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter('style_loader_src', 'wppoland_remove_version_scripts_styles', 9999);
add_filter('script_loader_src', 'wppoland_remove_version_scripts_styles', 9999);Del 2: Security headers
Headere er låsene på døren din.
1. X-Frame-Options
Hindrer at siden din lastes i en <iframe>.
<IfModule mod_headers.c>
Header always append X-Frame-Options SAMEORIGIN
</IfModule>2. Strict-Transport-Security (hsts)
Tvinger nettlesere til ALLTID å bruke HTTPS.
<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
</IfModule>Del 3: Deaktiver XML-RPC
xmlrpc.php er utdatert og mål nr. 1 for Brute Force-angrep.
I .htaccess:
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>Del 4: Filtillatelser
- Mapper:
755 - Filer:
644 - wp-config.php:
400eller440.
Oppsummering
- Skjul info (Fjern versjon).
- Sikre tilkobling (HSTS).
- Lukk dører (XML-RPC).
- Lås vinduer (Tillatelser).
