Prosta lista kontrolna bezpieczeństwa dla witryn WordPress

Prosta lista kontrolna bezpieczeństwa dla witryn WordPress

Czy wiesz, że codziennie hakowanych jest ponad 100 000 witryn? Zgadza się, cyberprzestępczość jest poważnym zagrożeniem dla każdej firmy, a każdy, kto ma witrynę WordPress, nie jest bezpieczny. Miałem wtargnięcie do hakerów (i musiałem odzyskać moją witrynę WordPress) i prawdopodobnie wiesz, że była brzydka.


Hakerzy aktywnie szukają wrażliwych stron internetowych do łamania i kradzieży danych, które mogą wydać w celu uzyskania korzyści finansowych lub czysto złośliwych zamiarów. Aby chronić siebie i swoją cenną stronę, powinieneś poważnie rozważyć wzmocnienie bezpieczeństwa WordPress.

Ponieważ hakerzy włamują się do Twojej witryny, stracisz przychody, czas i wysiłek, stworzyliśmy następującą listę kontrolną zabezpieczeń, której możesz użyć do zabezpieczenia swojej witryny WordPress. Wszystkie elementy zabezpieczeń w poście są stosunkowo łatwe do wdrożenia, nawet dla nowicjuszy:

Jak widać, podzielimy post na wiele części obejmujących wszystko, od wyboru bezpiecznego hosta po zahartowanie obszaru administracyjnego i innych. Będziesz musiał powtarzać niektóre zadania bezpieczeństwa, takie jak regularne aktualizowanie motywów. Inne zadania są jednorazowe, ale nadal mają znaczący wpływ na bezpieczeństwo Twojej witryny. Sprawdź, co musisz naprawić, i zrób to od razu, ponieważ hakerzy też nie tracą czasu.

Prosta lista kontrolna bezpieczeństwa WordPress

1. Zaktualizuj WordPress

Rdzeń WordPress jest regularnie kontrolowany i sprawdzany pod kątem luk bezpieczeństwa. W przypadku wykrycia wad bezpieczeństwa i błędów główni programiści zwykle publikują aktualizacje konserwacyjne. Niewielkie aktualizacje są automatycznie instalowane na stronie WordPress.

Będziesz jednak musiał ręcznie zaktualizować WordPress dla wszystkich głównych wydań. Jest to stosunkowo prosty proces, ponieważ dostajesz dokuczliwą wiadomość od administratora WordPressa. Tylko 22% witryn działa w najnowszej wersji WordPress, co jest smutne, biorąc pod uwagę łatwość aktualizacji.

Nie pozostań w pozostałych 78%, ponieważ zasadniczo narażasz swoją witrynę na wszelkiego rodzaju ataki, nie aktualizując witryny. Zazwyczaj hakerzy są pierwszą grupą ludzi, którzy dowiadują się o lukach w starych wersjach, ponieważ liczą na wady w przeprowadzaniu udanych ataków.

Przed aktualizacją WordPress zalecamy przeczytanie informacji o wersji, aby zobaczyć, co się zmieniło, i zrobienie kopii zapasowej witryny (dla bezpieczeństwa). W ten sposób możesz teraz oczekiwać, że klikniesz ten przycisk aktualizacji, i będziesz mieć zabezpieczenie przed awarią, jeśli coś pójdzie nie tak.

2. Zaktualizuj motywy i wtyczki

Podczas aktualizacji rdzenia WordPress nie zapomnij zaktualizować również swoich motywów i wtyczek. Hakerzy szczególnie lubią stare motywy i wtyczki ze znanymi lukami bezpieczeństwa.

Wykorzystują te luki w zabezpieczeniach i mogą nawet ukryć backdoor w starym motywie lub wtyczce. Jeśli nie zaktualizujesz, mogą zhakować Twoją witrynę, kiedy tylko im się spodoba.

Aby uniknąć utraty niestandardowych stylów, zalecamy użycie motywu podrzędnego WordPress zamiast motywu nadrzędnego. W ten sposób nie stracisz dostosowań podczas aktualizacji motywu.

Należy również wyeliminować wszelkie nieaktywne motywy, wtyczki i nieużywane instalacje WordPress. Nie tylko zaoszczędzisz przepustowość i sprawisz, że twoja strona będzie szybsza, ale także powstrzymasz hakerów.

Kolejna szybka uwaga: nigdy nie pobieraj „zerowanych” motywów premium i wtyczek. Korzystaj tylko z zaufanych źródeł, takich jak WordPress.org, Envato lub inny renomowany sklep z motywami.

3. Używaj unikalnych i silnych haseł

Będziesz zaskoczony, gdy dowiesz się, że większość witryn jest zhakowana, gdy złoczyńcy wykradną Twoje dane logowania. Ponadto ataki typu brute force są dość powszechne i polegają na bombardowaniu strony logowania tysiącami kombinacji nazwy użytkownika i hasła, dopóki coś się nie da.

Jeśli używasz słabych nazw użytkowników i haseł (takich jak niesławny „admin” lub „12345”), hakerzy mogą niezwykle łatwo włamać się na twoją stronę. Nabierz nawyku tworzenia unikalnych i silnych haseł, które regularnie zmieniasz. Możesz nawet użyć darmowego generatora online, takiego jak ten z LastPass.

Problemem może być zarządzanie wieloma silnymi hasłami. Aby pomóc, często polegam między innymi na menedżerach haseł, takich jak 1Password lub LastPass. Nie używaj tego samego hasła w wielu witrynach i zawsze przechowuj dane logowania w bezpiecznym miejscu. Upewnij się, że użytkownicy WordPress również używają silnych haseł.

Podczas gdy jesteś przy tym – pamiętaj, aby używać silnych haseł do wiadomości e-mail, cPanel, baz danych MySQL i kont FTP.

4. Zainstaluj wtyczkę zabezpieczającą WordPress

Ilekroć tworzę nową stronę WordPress, zwykle mam kilka wtyczek defacto, które instaluję prawie automatycznie. Dostaję wtyczkę antyspamową, Formularz kontaktowy 7, Symple Shortcodes i iThemes Security, moją przejść do wtyczki zabezpieczającej WordPress.

Wtyczka pozwala mi wzmocnić moją obronę WordPress bez zerwania potu. Ma tak wiele funkcji, które sprawiają, że trzymanie złych facetów z dala od moich stron jest dziecinnie proste. Konfiguracja wtyczki jest bardzo prosta; powinieneś być gotowy do działania w mgnieniu oka.

Najlepsze wtyczki bezpieczeństwa WordPress oferują różne funkcje, więc sprawdź przed instalacją, aby upewnić się, że otrzymujesz wszystkie funkcje potrzebne do zabezpieczenia całej witryny, bez względu na to, jak wyjątkowe. Standardowe funkcje obejmują skanowanie w poszukiwaniu złośliwego oprogramowania, blokowanie adresów IP, zapobieganie brutalnej sile, uwierzytelnianie dwuskładnikowe i wiele więcej – sprawdzanie wielu pól listy kontrolnej zabezpieczeń, którą właśnie czytasz!

5. Wybierz Great WordPress Hosting

Zazwyczaj początkujący szukają pierwszego taniego pakietu hostingowego, na jaki się natkną. Nie miałbym tego przeciwko tobie, ponieważ nie znasz nic lepszego, ale wątpliwie tani (a nawet bezpłatny) hosting dzielony może narazić cię na ryzyko bezpieczeństwa. Wiem to na pewno, ponieważ zostałem zhakowany na dwóch różnych firmach hostingowych oferujących hosting dzielony.

Hosting współdzielony obejmuje udostępnianie serwera tysiącom innych stron internetowych. Zwiększa to ryzyko zanieczyszczenia krzyżowego. Oznacza to, że haker może uzyskać dostęp do Twojej witryny, nawet jeśli witryna innego użytkownika była pierwotnym punktem ataku.

Z drugiej strony, zarządzany hosting WordPress koncentruje się tylko na stronach internetowych WordPress. Nie udostępniasz serwera innym osobom i masz więcej opcji bezpieczeństwa, aby zachować bezpieczeństwo. Oferują także dedykowane wsparcie, a w najgorszym przypadku więcej opcji odzyskiwania.

Jeśli musisz korzystać z hostingu współdzielonego, powiedz, że zaczynasz od bloga, który jeszcze nie zarabia, upewnij się, że witryny są odizolowane lub „uwięzione”. Jeśli prowadzisz witrynę biznesową lub eCommerce, opłaca się korzystać z najlepszego hostingu WordPress, który możesz zmieścić w budżecie od samego początku – takiego jak VPS, dedykowany lub zarządzany hosting WordPress.

6. Użyj SSL (HTTPS)

Obecnie wiele firm hostingowych WordPress oferuje bezpłatne certyfikaty SSL od samego początku i to nie bez powodu. Certyfikaty SSL zwiększają bezpieczeństwo Twojej witryny niż witryny bez SSL. Google zaleca również stosowanie certyfikatów SSL w celu ochrony danych w Twojej witrynie (i upewnij się, że użytkownicy wiedzą, czy używasz SSL, czy nie).

HTTPS jest bezpieczniejszy niż jego poprzednik HTTP. Witryna korzystająca z protokołu HTTPS szyfruje wszystkie dane przesyłane między przeglądarką użytkownika a serwerami. Jeśli haker przechwyci komunikację, znajdzie tylko zaszyfrowane dane, które są tak przydatne, jak jednonogi mężczyzna w zawrotnej walce ��

Instalowanie certyfikatów SSL na większości hostów internetowych jest tak proste, jak A, B, C. Większość oferuje instalatory za jednym kliknięciem, które ułatwiają cały proces. Wystarczy zalogować się do cPanel i kliknąć jeden przycisk, aby zainstalować i zarządzać certyfikatami SSL. Jeśli chcesz zastosować bardziej praktyczne podejście, rozważ skorzystanie z funkcji Let’s Encrypt.

7. Utwórz pełną kopię zapasową witryny

Kiedy hakerzy zdetronizowali mnie, musiałem odbudować swoje strony od zera, co spowodowałoby ból głowy, którego uniknęłbym, gdybym niezawodnie pamiętał o utworzeniu kopii zapasowej WordPress.

Ale nie, kopie zapasowe z mojego hosta zostały uszkodzone podczas ataku i nie, nie miałem dodatkowego rozwiązania do tworzenia kopii zapasowych. Klasyczny przypadek umieszczenia wszystkich jajek w jednym koszyku, który nauczył mnie trudnej lekcji.

Obecnie tworzę pełne kopie zapasowe witryn, które obejmują pliki i bazy danych mojej witryny. Używam głównie ManageWP, ale używam również Wtyczka duplikatora do przechowywania kopii zapasowych na moim komputerze i na Dysku Google.

Zachęcam do regularnego tworzenia pełnych kopii zapasowych. Wiele rozwiązań do tworzenia kopii zapasowych WordPress pozwala zautomatyzować cały proces, oszczędzając czas i zapewniając spokój.

8. Użyj zapory sieciowej aplikacji (WAF)

Aby dodać dodatkową warstwę zabezpieczeń do witryny WordPress i lepiej spać w nocy, włącz zaporę sieciową (WAF). WAF chroni Twoją witrynę, blokując złośliwy ruch na długo przed dotarciem do Twojej witryny. Jest to proaktywna metoda powstrzymania złych facetów przed śmiercią, zanim wyrządzą jakiekolwiek szkody.

Zapora filtruje przychodzący ruch, eliminując hakerów, jednocześnie przepuszczając legalnych użytkowników. Wiele firm zajmujących się bezpieczeństwem WordPress oferuje zapory sieciowe dla aplikacji internetowych wraz z innymi funkcjami. Popularne opcje w branży to Sucuri i Cloudflare.

9. Wyłącz edycję plików w WordPress Admin

WordPress CMS jest wyposażony w fantastyczny edytor kodu, który pozwala edytować pliki wtyczek i motywów w panelu administracyjnym WordPress. Edytor kodu jest doskonałym narzędziem do dyspozycji, ale w niewłaściwych rękach hakerzy mogą go używać do niszczenia lub dodawania złośliwego oprogramowania na twojej stronie internetowej.

Zawsze możesz edytować pliki motywów i wtyczek (w razie potrzeby) za pośrednictwem FTP lub menedżera plików w cPanel, co oznacza, że ​​możesz całkowicie wyłączyć edytor kodu w WordPress. Nie chcesz, aby hakerzy, którzy uzyskają dostęp do Twojej strefy administracyjnej WordPress, mieli dostęp do edytora kodu, ponieważ mogą spowodować wiele szkód za pomocą kilku linii kodu.

Co robić? Możesz wyłączyć wbudowany edytor kodów za pomocą darmowego Sucuri Security podłącz. Możesz też dodać następujący kod do swojego wp-config.php plik:

// Nie zezwalaj na edycję pliku
zdefiniować („DISALLOW_FILE_EDIT”, prawda);

Idziemy dalej.

10. Zabezpiecz swoją stronę logowania

Zwykle formularz logowania na WordPressie ma dwa pola; Nazwa użytkownika i hasło. Jak atakujący brutalne siły i boty stają się mądrzejsi z dnia na dzień, w jaki sposób powstrzymać hakerów przed uzyskaniem dostępu do obszaru administracyjnego WordPress? To proste; dodajesz CAPTCHA lub pytania zabezpieczające, które utrudniają każdemu uzyskanie nieautoryzowanego dostępu.

I nie musisz edytować kodu na dodaj CAPTCHA lub pytania bezpieczeństwa do strony logowania. Istnieje popularna wtyczka WordPress znana jako Pytanie bezpieczeństwa WP który jest łatwy w konfiguracji i obsłudze. Jeśli chcesz użyć CAPTCHA, możesz użyć Proste logowanie Captcha, WordFence, lub jedną z wielu innych opcji dostępnych za darmo na WordPress.org.

W tym samym czasie możesz zmień adres URL wp-login do czegoś wyjątkowego. W ten sposób boty i hakerzy będą mieli trudności z odgadnięciem adresu URL strony logowania. wp-login jest już popularny wśród hakerów, więc warto zmienić adres URL na coś innego. Możesz użyć wtyczki takiej jak WPS Ukryj login.

11. Dodaj uwierzytelnianie

Ponadto rozważ wdrożenie uwierzytelniania dwuskładnikowego i wieloskładnikowego. W przypadku, gdy haker uzyska dostęp do danych logowania, nie będzie mógł zalogować się do Twojej witryny WordPress. Istnieje wiele dostępnych opcji, ale Google Authenticator jest popularnym wyborem.

Poza tym ogranicz liczbę logowania na stronie logowania. Jeśli odwiedzający próbuje zalogować się na konto, które nie istnieje lub próbuje się zalogować wiele razy, najprawdopodobniej jest to haker lub bot próbujący włamać się brutalnie. Możesz użyć wtyczki, takiej jak Ogranicz próby logowania lub Blokada logowania aby powstrzymać te natrętne elementy.

12. Wyloguj nieaktywnych użytkowników

Jeśli masz witrynę WordPress dla wielu użytkowników, nie możesz w pełni kontrolować, w jaki sposób i gdzie użytkownicy uzyskują dostęp do Twojej witryny. Autor może zdecydować się na skorzystanie z bezpłatnego publicznego Wi-Fi, aby dokonać ostatecznych poprawek w artykule. Projektant stron internetowych może opuścić biurko i wrócić z godzinnej przerwy na lunch.

W takich sytuacjach użytkownik może nieświadomie narazić witrynę na zagrożenia bezpieczeństwa. Złośliwa osoba może przejąć sesję, edytować swoje dane i po prostu siać spustoszenie. Jeśli nieupoważniona strona wie, co robi, może łatwo przejąć konto użytkownika i wyrządzić szkody.

Co robić? Możesz wylogować nieaktywnych użytkowników automatycznie po upływie określonego czasu. A najlepsza część? Istnieją wtyczki do tego konkretnego celu. Jedną z popularnych opcji jest Nieaktywne wylogowanie wtyczka zawierająca opcje dostosowania czasu bezczynności przed wylogowaniem, niestandardowego komunikatu wyskakującego lub przekierowania po wylogowaniu oraz limitu czasu zgodnie z rolą użytkownika.

13. Skanuj w poszukiwaniu złośliwego oprogramowania i problemów (regularnie)

Często zapomniane, regularne skanowanie witryny WordPress może pomóc wcześnie zidentyfikować problemy z bezpieczeństwem. Haker włamuje się na twoją stronę i robi różne nieprzyjemne rzeczy. Właśnie dlatego powinieneś być zawsze na bieżąco.

Wiele wtyczek bezpieczeństwa WordPress do skanowania w poszukiwaniu infekcji złośliwym oprogramowaniem, znanych luk w zabezpieczeniach, nieaktualnych skryptów, ataków brute force, nieistniejących kopii zapasowych i tak dalej. Wtyczki wysyłają szczegółowe raporty o znanych problemach, dzięki czemu możesz je naprawić lub zatrudnić profesjonalistę.

Istnieje wiele skanerów witryn, takich jak Sucuri SiteCheck, którego możesz użyć do błyskawicznego sprawdzenia swojej witryny. Wystarczy wpisać adres URL, a narzędzia automatycznie sprawdzą witrynę. Następnie oferują raport na temat tego, co należy naprawić. Po otrzymaniu raportu natychmiast napraw wszystkie luki w zabezpieczeniach.

14. Użyj VPN

Jeśli prowadzisz witrynę internetową zawierającą poufne informacje, które nigdy nie mogą dostać się w ręce hakerów, rozważ użycie wirtualnej sieci prywatnej (VPN), a zwłaszcza korzystania z bezpłatnego publicznego Wi-Fi. VPN chroni cię przed atakami typu man-in-middle, które są powszechne w sieciach publicznych, w tym w domu i pracy.

Wirtualna sieć prywatna zapewnia, że ​​nawet jeśli atakujący uzyskają dostęp do systemu i ukradną twoje dane, nie będą mogli nic zrobić z danymi, które od ciebie zabiorą. Jeśli masz sieć internetową, którą udostępniasz wielu osobom, zawsze korzystaj z VPN przed uzyskaniem dostępu do obszaru administracyjnego WordPress.

Inne opcje bezpieczeństwa WordPress

Potrzebujesz więcej do zrobienia? Chcielibyśmy zapewnić bezpieczeństwo Twojej witryny przez cały czas, dlatego oto dodatkowe elementy zabezpieczeń, które możesz dodać do listy kontrolnej:

  • Wyłącz wykonywanie pliku PHP w / wp-content / wp-uploads /
  • Zmień prefiks bazy danych WordPress
  • Zabezpiecz hasłem strony administratora i logowania po stronie serwera
  • Wyłącz indeksowanie katalogów
  • Wyłącz WP REST API i XML-RPC, jeśli nie są potrzebne
  • Nie edytuj / nie zmieniaj rdzenia WordPress – napisz lub użyj wtyczki, która oferuje funkcjonalność, której potrzebujesz
  • Upewnij się, że w Twojej witrynie działa najnowsza wersja PHP
  • Użyj programu antywirusowego na swoim komputerze
  • Włącz Google Search Console
  • Zmniejsz luki w zabezpieczeniach XSS i SQL Injection (może być potrzebna osoba bardziej zaawansowana technicznie, aby pomóc z tymi dwoma)

Naprawdę liczba kroków, które możesz podjąć, aby chronić swoją witrynę, jest nieograniczona. Ale jeśli możesz sprawdzić 14 pozycji, które wymieniliśmy, to ogromny krok w kierunku zabezpieczenia Twojej witryny.


Zabezpieczenie witryny WordPress jest trudne, ale nie niemożliwe. Dzięki odpowiednim narzędziom i umiejętnościom możesz szybko wzmocnić zabezpieczenia WordPress i odeprzeć złych aktorów.

Podsumowując, zawsze aktualizuj swoją witrynę internetową. Ponadto nigdy nie pobieraj motywów ani wtyczek z niewiarygodnych stron. Aby być bezpiecznym w najgorszym przypadku, zawsze należy mieć niezawodne rozwiązanie do tworzenia kopii zapasowych.

Mamy nadzieję, że znalazłeś wszystkie wskazówki potrzebne do zabezpieczenia swojej witryny WordPress, a więc biznesu online. Jeśli masz pytanie lub potrzebujesz pomocy w ustaleniu sposobu zabezpieczenia witryny WordPress, daj nam znać w komentarzach. Bądź bezpieczny!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map