Jak NIE zabezpieczyć strony WordPress

Co zrobisz, gdy chcesz zabezpieczyć swoją witrynę WordPress? Dowiedz się o pięciu najpopularniejszych wtyczkach bezpieczeństwa, zastanów się, jak są one dostępne, a następnie zainstaluj jedną z nich. To zrobione, teraz możesz usiąść i zrelaksować się, prawda? Źle!


Korzystanie z wtyczki zabezpieczającej nie zapewnia bezpieczeństwa. Bezpieczeństwo nie jest sprawą absolutną i nikt nie może zagwarantować pełnego bezpieczeństwa. Najlepsze, co możemy zrobić, to zmniejszyć ryzyko włamania. I wbrew powszechnemu przekonaniu właściciel witryny musi być zaangażowany w zapewnienie bezpieczeństwa witryny. Wiedza o tym, co należy robić, a czego nie należy, jest znacząca.

Chociaż istnieje kilka przewodników po tym, co powinieneś zrobić, aby zabezpieczyć swoją witrynę WordPress, oferujemy ci przewodnik, co powinieneś UNIKAĆ. Zauważysz, że porady tutaj są sprzeczne z ogólnym przekonaniem. Jednak z naszego doświadczenia wynika, że ​​wiele porad jest nieaktualnych i oferuje fałszywe poczucie bezpieczeństwa.

Jeśli kwestia bezpieczeństwa WordPress jest dla ciebie tak samo dokuczliwa, jak i dla nas, spójrz na poniższe.

1. Nie używaj zbyt wielu wtyczek bezpieczeństwa

Biorąc pod uwagę szeroką gamę dostępnych wtyczek z różnymi zestawami funkcji, kuszące jest użycie więcej niż jednej wtyczki zabezpieczającej WordPress. Szczerze mówiąc, to przesada. Niepokój związany z bezpieczeństwem witryny jest normalny, ale musisz zadać sobie pytanie, czy naprawdę potrzebujesz więcej niż jednej wtyczki bezpieczeństwa? Jakie funkcje są niezbędne do spełnienia wymagań Twojej witryny? Czy funkcje będą na siebie nawiązywać??

Na przykład może wystąpić konflikt, gdy wtyczki zaczną modyfikować pliki, takie jak wp-config.php lub htaccess. Wtyczki mogą łatwo manipulować tymi plikami, ale nie modyfikują ich w jednym jednogłośnym sposobie. Może to powodować konflikty i spowalniać działanie witryny.

W witrynach WordPress od czasu do czasu coś może pójść nie tak. Wszyscy nienawidzą przerażającego Białego Ekranu Śmierci. Posiadanie wielu wtyczek, które głęboko wpływają na Twoją witrynę, może utrudnić debugowanie. Teraz, gdyby istniała tylko jedna wtyczka, znalezienie i usunięcie przyczyny błędu byłoby łatwiejsze i mniej skomplikowane.

2. Nie zmieniaj prefiksu DB

Istnieje kilka sposobów na złamanie zabezpieczeń witryny WordPress. Haker może uzyskać dostęp do bazy danych witryny poprzez atak wstrzykiwania SQL. Luka we wtyczce lub motywie może zostać wykorzystana do włamania się do bazy danych witryny (dlatego sugerujemy, aby zamiast tego użyć Wtyczka kopii zapasowej bazy danych WordPress aby uniknąć podobnej pułapki). Jedną z popularnych metod zapobiegania wnikaniu hakerów w głąb witryny jest zmiana domyślnego prefiksu tabeli. Jak widać na poniższym obrazku, w WordPress domyślny prefiks tabeli to „wp_”. WordPress umożliwia zmianę prefiksu tabeli (np. „Xzy_”), aby ukryć niektóre tabele.

Prefiksy bazy danych WordPress

Na pierwszy rzut oka wygląda to na dobry pomysł. Jeśli hakerzy nie znają nazwy tabeli, to nie mogą pobrać z niej danych. Jest to jednak fałszywe uzasadnienie. Gdy ktoś włamie się do Twojej bazy danych, nadal istnieją sposoby na znalezienie tabel. Dlatego zmiana nazw prefiksu nie ma sensu. Ponadto modyfikacja domyślnego prefiksu może spowodować nieprawidłowe działanie kilku wtyczek.

Ponadto zmiana prefiksu bazy danych podczas lotu jest trudna do wdrożenia i może spowodować awarię witryny. Jest tak, ponieważ na każdym poziomie należy wprowadzić wiele zmian. Wszelkie błędy w tym procesie okażą się katastrofalne dla Twojej witryny.

3. Unikaj ukrywania strony logowania

Zawsze jest ktoś, kto próbuje włamać się do Twojej witryny przez złamanie hasła. Podczas ataków brute force hakerzy próbują zalogować się do Twojej witryny przy użyciu kombinacji popularnych nazw użytkowników i haseł. Co jeśli ukryjemy stronę logowania? To zabije dwa ptaki jednym kamieniem, prawda? Haker nie będzie w stanie znaleźć strony logowania, a obciążenie Twojego serwera zostanie zmniejszone.

WordPress ma domyślną stronę logowania. Adres URL strony zwykle wygląda tak: example.com/wp-login.php. Jednym ze znanych sposobów na uratowanie strony przed atakiem brutalnej siły jest ukrycie lub zmiana domyślnej strony logowania na coś innego, np. Example.com/mylogin.php. Chociaż brzmi to jak niezawodny plan, dowiedzmy się, jak skuteczna jest metoda zapewniająca bezpieczeństwo Twojej witryny WordPress.

Redukcja obciążenia serwera

Po ukryciu lub zmianie lokalizacji strony logowania za każdym razem, gdy ktoś spróbuje ją otworzyć, napotka błąd 404. Jednak próby logowania są ciężkim procesem. Za każdym razem, gdy ładuje się strona błędu 404, zużywa dużo zasobów serwera. I ostatecznie spowalnia twoją stronę. Dlatego powszechne przekonanie, że ukrywanie strony logowania zmniejszy obciążenie serwera, jest nieprawidłowe.

Alternatywny adres URL trudny do odgadnięcia

Część sukcesu WordPressa jako CMS wynika z wtyczek, które ułatwiają modyfikacje strony internetowej. Nic dziwnego, że popularnym sposobem ukrywania strony logowania do witryny jest użycie wtyczki. Te wtyczki są dostarczane z zestawem domyślnego alternatywnego adresu URL logowania, takiego jak xzy.com/wplogin.php itp. Zostaliśmy przeszkoleni, aby przejść do ustawień domyślnych. Po zainstalowaniu wtyczki i zmianie adresu URL nie zastanawiamy się nad tym. Ale wtyczka może zaoferować tylko tyle adresów URL. Znalezienie wstępnie ustawionego adresu URL logowania nie jest trudne. Dlatego użycie alternatywnego adresu URL może być w większości przypadków nieskuteczne.

Problemy z użytecznością

Piękno WordPress polega na tym, że jest łatwy w użyciu. To znana platforma. W przypadku witryny z dużą liczbą użytkowników zmiana lub ukrywanie strony logowania może powodować pewne problemy. Kilka razy natrafiliśmy na posty na forach WordPress, na których użytkownicy są blokowani z powodu zmiany adresu URL logowania. W większości przypadków zmiany zostały wprowadzone za pomocą wtyczki, a użytkownicy nie zostali poinformowani o sytuacji powodującej chaos.

4. Nie blokuj adresów IP ręcznie

Jeśli masz zainstalowaną wtyczkę bezpieczeństwa w swojej witrynie, będziesz powiadamiany za każdym razem, gdy ktoś spróbuje zalogować się do Twojej witryny. Możesz łatwo zdobyć adres IP wysyłający te złośliwe żądania i zablokuj je za pomocą pliku .htaccess. Jest to intensywna praca ręczna i niezbyt wygodna praktyka.

Nie przyjazny dla użytkownika

Nietechniczna osoba próbująca zmodyfikować pliki .htaccess to przepis na katastrofę. System zarządzania treścią, taki jak WordPress, ma bardzo ścisłe formatowanie. Nawet korzystanie z najpopularniejszych narzędzi, takich jak FTP / SFTP, jest bardzo ryzykowne. Drobny błąd lub nieprawidłowe umieszczenie polecenia może spowodować awarię witryny.

Zbyt wiele adresów IP do zablokowania

Aby uniknąć umieszczenia na czarnej liście, hakerzy używają adresów IP z całego świata. Wcześniej rozmawialiśmy o ręcznym blokowaniu adresów IP, którzy stale próbują włamać się do Twojej witryny. Praca (jak wspomnieliśmy wcześniej) wymaga dużo czasu i wysiłku, ale nie jest bardzo wydajnym wykorzystaniem czasu. Ale jeśli używasz jednej z najlepszych wtyczek bezpieczeństwa WordPress, na przykład Malcare, możesz zautomatyzować proces blokowania. Takie wtyczki bezpieczeństwa zajmują się wszystkimi lukami bezpieczeństwa WP.

5. Ukrywanie WordPressa

Istnieje ogólne założenie, że ukrywanie twojego CMS utrudnia osobom o nikczemnej intencji włamanie się na twoją stronę. Co jeśli moglibyśmy ukryć fakt, że twoja strona działa na WordPressie. To ochroniłoby twoją stronę przed hakerami chcącymi wykorzystać typowe luki. Łatwy sposób to zrobić (zgadłeś) za pomocą wtyczki. Ale metoda zawodzi, gdy hakerzy nie dbają o to, na jakiej platformie działa Twoja witryna. Poza tym istnieje wiele sposobów sprawdzenia, czy witryna działa na WordPress.

Oprócz korzystania z wtyczki można wybrać wykonanie pracy ręcznie. Ale to jest czasochłonny proces. Pojedyncza aktualizacja WordPress może cofnąć wszystkie prace w ciągu kilku sekund. Co oznacza, że ​​albo będziesz musiał powtarzać proces od nowa, albo unikniesz aktualizacji WP. Pomijanie aktualizacji WordPress jest jak otwieranie drzwi wejściowych, aby haker mógł wejść do twojego domu.

6. Ochrona hasłem wp-admin nie działa

Domyślna strona logowania WordPress (która wygląda tak – example.com/wp-admin) jest bramą do Twojej witryny. Typowa strona logowania wygląda jak na zdjęciu poniżej.

Tutaj musisz użyć swoich danych logowania, aby uzyskać dostęp do pulpitu WordPress. Hasło chroniące stronę logowania pomaga ukryć lub zabezpieczyć bramę do deski rozdzielczej. To dobry pomysł, ale nie bez luk.

Przykład ochrony hasłem LookLinux

Zdjęcie dzięki uprzejmości: LookLinux

Po pierwsze, trudne jest utrzymanie lub nawet zmiana hasła, jeśli go zgubisz. Oprócz nieskuteczności w zapewnianiu dodatkowego bezpieczeństwa, takie modyfikacje witryny mogą okazać się bardzo niebezpieczne. Na przykład, gdy chronisz hasłem stronę administratora, żądanie takie jak /wp-admin/admin-ajax.php nie może ominąć ochrony. Istnieją wtyczki, które mogą zależeć od funkcjonalności Ajax Twojej witryny. A kiedy nie są w stanie uzyskać dostępu do tej funkcji, zaczynają źle się zachowywać. Może to spowodować uszkodzenie strony.

Do Ciebie

Jeśli masz jakieś pytania lub sugestie dotyczące tego, czego należy unikać, aby zabezpieczyć swoją witrynę WordPress, daj nam znać w komentarzach.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me