19 sposobów na zabezpieczenie strony internetowej (7 to klucz!)

Martwisz się o bezpieczeństwo WordPressa?

Powinieneś być! Ale nie martw się zbytnio — jeśli zaimplementujesz w swojej witrynie kilka najlepszych praktyk dotyczących bezpieczeństwa witryny WordPress, możesz mieć pewność, że Twoja witryna nie napotka żadnych problemów.

WordPress jest bezpieczny. Jednak działania podejmowane przez użytkowników (oraz wtyczki, które użytkownicy instalują) mogą wprowadzić wszelkiego rodzaju luki w zabezpieczeniach WordPressa.

Aby uniknąć popełniania tych błędów, wystarczy postępować zgodnie ze wskazówkami zawartymi w tym poście.

Aby ten post był jak najbardziej praktyczny, podzielimy nasze wskazówki dotyczące bezpieczeństwa WordPress na dwie kategorie:

Siedem najlepszych praktyk bezpieczeństwa WordPress, które MUSZĄ DO NALEŻYĆ

Jeśli nie wyciągniesz nic więcej z tego postu, polecam wdrożenie co najmniej siedmiu najlepszych praktyk bezpieczeństwa WordPress w swojej witrynie.

Jeśli nie robisz tych siedmiu rzeczy, otwierasz swoją witrynę na ogromne luki w zabezpieczeniach.

1. Zastosuj aktualizacje rdzenia i wtyczek JAK NAJSZYBCIEJ

Jedną z absolutnie najlepszych rzeczy, które możesz zrobić, aby zapewnić bezpieczeństwo WordPress, jest zawsze natychmiastowe aktualizowanie rdzenia WordPressa, wtyczek i motywów.

Bez względu na to, jak świetne jest oprogramowanie, odkrycie nowych luk w zabezpieczeniach jest czymś naturalnym. Jednak dzięki dobremu zespołowi programistycznemu te luki zostaną naprawione, zanim będą mogły zostać wykorzystane przez złośliwych cyberprzestępców… pod warunkiem, że niezwłocznie zastosujesz aktualizacje!

Tak wielu ostatnio rozpowszechnionych exploitów WordPressa można by uniknąć , gdyby ludzie po prostu zaktualizowali swoje witryny .

Aby otrzymywać powiadomienia o nowych aktualizacjach, zwróć uwagę na Dashboard → Updates w panelu administratora WP.

Jeśli martwisz się problemami ze zgodnością, możesz przetestować aktualizacje w witrynie testowej przed zastosowaniem ich w działającej witrynie. Będziesz także chciał wykonać kopię zapasową przed zastosowaniem aktualizacji – więcej o tym później.

Uwaga – jedynym wyjątkiem od tej reguły są duże aktualizacje, które koncentrują się wyłącznie na dodawaniu nowych funkcji i nie zawierają żadnych poprawek bezpieczeństwa. Możesz spokojnie poczekać kilka tygodni na zastosowanie tych głównych aktualizacji.

• Główne wydanie (funkcje) – 5.0, 5.1, 6.0 itd. – możesz poczekać na zastosowanie tych aktualizacji.
• Drobne wydanie (poprawki bezpieczeństwa/błędów ) – 5.0.1, 5.1.2, 6.0.4, itd. – ZAWSZE musisz zastosować je JAK NAJSZYBCIEJ.

2. Używaj tylko wtyczek i motywów od renomowanych programistów (i bez wtyczek zerowych)

Chociaż podstawowe oprogramowanie WordPress jest bezpieczne, nie można tego samego powiedzieć o każdej dostępnej wtyczce i motywie ( głównie wtyczkach ).

Dodając nowy kod i modyfikując funkcjonalność witryny, wtyczki mogą wprowadzać różnego rodzaju luki.

Jednocześnie nieużywanie wtyczek nie jest tak naprawdę opcją, ponieważ wtyczki są integralną częścią każdej witryny WordPress.

W związku z tym ważne jest, aby skupić się tylko na używaniu wtyczek i motywów od renomowanych programistów z historią dobrej jakości kodu i szybkiej konserwacji.

Oznacza to, że uważaj na to, jakie wtyczki instalujesz w swojej witrynie .

Oto kilka wskazówek, które pomogą Ci używać tylko wysokiej jakości wtyczek i motywów:

• Przeczytaj recenzje . Słabe recenzje mogą wskazywać na złą jakość kodu.
• Sprawdź liczbę aktywnych instalacji . Chociaż nie jest to trudna zasada, popularne wtyczki są zazwyczaj bardziej skłonne do przyciągania uwagi.
• Sprawdź najnowsze aktualizacje . Posiadanie aktywnego programisty jest ważne, aby naprawić wszelkie nowo wykryte luki w zabezpieczeniach.
• Nie instaluj niepotrzebnych wtyczek . Ponieważ każda instalowana wtyczka jest potencjalnym wektorem ataku, należy instalować tylko te wtyczki, które są ważne dla Twojej witryny.

Mamy również pełny przewodnik dotyczący wyboru wtyczek WordPress.

Wreszcie, będziesz także chciał uniknąć pustych wtyczek, ponieważ nie wiesz, jaki kod został dodany do wtyczki.

3. Użyj bezpiecznego hostingu WordPress

Wybór wysokiej jakości dostawcy hostingu WordPress może znacznie przyczynić się do zapewnienia bezpieczeństwa Twojej witryny.

Po pierwsze, wysokiej jakości dostawca hostingu WordPress zapewni, że Twoje środowisko jest zoptymalizowane pod kątem bezpieczeństwa WordPress, takich jak odpowiednie uprawnienia do plików i bezpieczny plik wp-config.php.

Wiele hostów WordPress wbuduje również bardziej proaktywne zabezpieczenia, takie jak wbudowane zapory sieciowe lub skanowanie w poszukiwaniu złośliwego oprogramowania.

Niektóre zarządzane hosty WordPress mogą nawet wyczyścić Twoją witrynę za darmo, jeśli coś się z nią stanie.

Zasadniczo, z wysokiej jakości hostem (zwłaszcza zarządzanym hostem WordPress), zajmą się wieloma najlepszymi praktykami, abyś mógł po prostu skupić się na rozwijaniu swojej witryny.

Aby znaleźć opcje jakości, sprawdź nasze posty z najlepiej zarządzanym hostingiem WordPress i ogólnie najlepszym hostingiem WordPress.

Jeśli możesz sobie na to pozwolić, rozważ opcje takie jak Flywheel (to, czego używamy do WPKube – nasza recenzja Flywheel) lub Kinsta (nasza recenzja Kinsta).

4. Zablokuj swoją stronę logowania i dostęp do konta

Wszystkie wskazówki dotyczące bezpieczeństwa WordPress na świecie nie mogą ci pomóc, jeśli złośliwy gracz jest w stanie uzyskać dostęp do jednego z twoich legalnych kont użytkownika WordPress ( zwłaszcza konta administratora ).

Pomyśl o tym w prawdziwym świecie – możesz mieć absolutnie najlepszy domowy system bezpieczeństwa na świecie, ale nic to nie da, jeśli złodziej ma twój klucz do domu i kod bezpieczeństwa.

Oznacza to, że konieczne jest znalezienie sposobów ochrony procesu logowania i kont użytkowników w witrynie WordPress.

Na początek użyj silnych danych logowania do konta:

• Nazwa użytkownika – nigdy nie używaj „admin” jako nazwy użytkownika. Zamiast tego wybierz unikalną nazwę użytkownika, której nie używasz nigdzie indziej.
• Hasło – użyj silnego, unikalnego hasła. Aby uzyskać najlepsze wyniki, użyj menedżera haseł, takiego jak LastPass lub Bitwarden, aby wygenerować unikalne hasła dla każdej witryny.

Poza tym możesz również użyć taktyk do ochrony strony logowania WordPress:

• Zmień adres URL logowania – to również zmniejszy duży ruch botów. Jak? Skorzystaj z darmowej wtyczki WPS Hide Login.
• Ogranicz próby logowania – tymczasowo zablokuj adres IP, jeśli wykona zbyt wiele błędnych prób logowania (tak jak robią to banki). Jak? Skorzystaj z darmowej wtyczki Limit prób logowania Reloaded.
• Wymagaj uwierzytelniania dwuskładnikowego (2FA) – zmusić ludzi do wprowadzenia kodu z aplikacji uwierzytelniającej, SMS-a lub e-maila oprócz swoich poświadczeń. Jak? Korzystaj z darmowych wtyczek, takich jak WP 2FA lub Two-Factor.

Wszystkie witryny powinny zmieniać adres URL logowania i ograniczać próby logowania, ale korzystanie z uwierzytelniania dwuskładnikowego WordPress jest tak naprawdę potrzebne tylko w przypadku witryn o znaczeniu krytycznym.

5. Zainstaluj certyfikat SSL i użyj HTTPS

Certyfikat SSL umożliwia korzystanie w witrynie z protokołu HTTPS zamiast HTTP.

Dzięki HTTPS wszelkie dane przesyłane między przeglądarką a serwerem są szyfrowane. Poza tym, że jest to ogólnie dobre dla prywatności, jest to niezbędne do ochrony ważnych danych, takich jak nazwa użytkownika i hasło.

Bez protokołu HTTPS złośliwy gracz w Twojej sieci internetowej może zobaczyć wszystkie dane przesyłane między Twoją przeglądarką a witryną. Na przykład, jeśli zalogujesz się do swojej witryny w lokalnej kawiarni przy użyciu protokołu HTTP, ktoś w tej sieci będzie mógł zobaczyć Twoją nazwę użytkownika i hasło w postaci zwykłego tekstu.

Jednak podczas korzystania z protokołu HTTPS Twoja nazwa użytkownika i hasło (wraz ze wszystkimi innymi danymi) są bezpiecznie szyfrowane, co oznacza, że ​​złośliwi aktorzy zobaczą tylko kilka losowych znaków.

Obecnie większość wysokiej jakości dostawców hostingu WordPress oferuje bezpłatne certyfikaty SSL.

Po zainstalowaniu certyfikatu SSL za pośrednictwem pulpitu hostingowego możesz skonfigurować swoją witrynę do korzystania z protokołu HTTPS. Jeśli potrzebujesz pomocy w przeniesieniu witryny na HTTPS, bezpłatna wtyczka Really Simple SSL oferuje konfigurację jednym kliknięciem.

Postępuj zgodnie z naszym przewodnikiem WordPress po HTTPS, aby uzyskać więcej informacji.

6. Użyj obsługiwanych wersji PHP

WordPress jest napisany w języku programowania PHP. Istnieją jednak różne wersje PHP, których możesz używać na swoim koncie hostingowym.

Starsze wersje PHP nie podlegają już konserwacji, co oznacza, że ​​mogą mieć niezałatane problemy z bezpieczeństwem.

Od 2022 roku najstarszą wersją PHP otrzymującą aktualizacje zabezpieczeń jest PHP 7.4. Jednak od 2023 r. będziesz chciał używać co najmniej PHP 8.0.

Możesz sprawdzić aktualną obsługę wersji PHP na tej stronie.

Jako dodatkowy bonus, nowsze wersje PHP oferują również duże ulepszenia wydajności, co oznacza, że ​​Twoja witryna będzie się ładować szybciej i jest bezpieczniejsza.

Jeśli nie wiesz, jak zaktualizować PHP, możesz poprosić o pomoc swojego hosta. Mamy również przewodnik dotyczący aktualizacji PHP na popularnych hostach WordPress.

7. Regularnie twórz kopie zapasowe swojej witryny

Tworzenie kopii zapasowej witryny nie zapobiegnie występowaniu problemów związanych z bezpieczeństwem w Twojej witrynie. Jednak zapobiegnie to przekształceniu się problemów bezpieczeństwa w większe problemy.

Bez kopii zapasowej każdy incydent związany z bezpieczeństwem w Twojej witrynie może być absolutnie katastrofalny. Możesz stracić dane, mieć dużo przestojów i tak dalej.

Jednak w przypadku ostatniej kopii zapasowej najgorszym przypadkiem incydentu związanego z bezpieczeństwem jest zwykle przywrócenie czystej kopii zapasowej witryny. Wciąż irytujące – ale o wiele mniej katastrofalne.

Jeśli Twój host nie oferuje jeszcze bezpiecznych automatycznych kopii zapasowych, płatne narzędzia, takie jak Jetpack Backup lub BlogVault, oferują najprostszy sposób na włączenie bezpiecznych kopii zapasowych poza witryną.

Jeśli nie masz budżetu na opłacenie narzędzia, UpdraftPlus jest również świetną darmową opcją – wystarczy podłączyć go do zewnętrznego dostawcy pamięci masowej, takiego jak Dysk Google lub Amazon S3.

Oto nasz pełny post na temat najlepszych wtyczek do tworzenia kopii zapasowych WordPress.

Dwanaście dodatkowych wskazówek dotyczących wzmacniania zabezpieczeń WordPress

Jeśli wiernie wdrożysz opisane powyżej najlepsze praktyki bezpieczeństwa witryny WordPress, których należy przestrzegać, unikniesz 99% problemów w Twojej witrynie.

Jeśli jednak chcesz jeszcze bardziej poprawić sytuację, możesz skorzystać z kilku dodatkowych wskazówek, które możesz zastosować, aby jeszcze bardziej chronić swoją witrynę.

8. Skonfiguruj zaporę sieciową

Zapora może proaktywnie chronić witrynę przed zagrożeniami, blokując złośliwy ruch lub działania, zanim wpłyną one na witrynę lub serwer.

Wiele hostów wdraża już własne zapory ogniowe, dlatego może to nie być konieczne w przypadku witryn, jeśli korzystasz z wysokiej jakości hostingu WordPress ( patrz wyżej ).

Jeśli Twój host tego nie robi (lub chcesz uzyskać większą ochronę), możesz dodać zaporę ogniową na poziomie aplikacji z wtyczką taką jak Wordfence lub na poziomie DNS z usługą taką jak Cloudflare lub Sucuri.

9. Użyj wtyczki zabezpieczającej WordPress

Możesz tworzyć bezpieczne witryny WordPress bez dedykowanej wtyczki bezpieczeństwa, więc wtyczka bezpieczeństwa zdecydowanie nie jest wymagana do utworzenia bezpiecznej witryny.

Mając to na uwadze, wtyczka bezpieczeństwa może być przydatna z kilku powodów:

1. Wtyczki zabezpieczające mogą oferować zapory sieciowe działające w czasie rzeczywistym w celu ochrony przed pojawiającymi się zagrożeniami.
2. Wysokiej jakości wtyczka bezpieczeństwa ułatwi wdrożenie wielu innych wskazówek dotyczących hartowania z tej listy, co może uprościć rzeczy i zaoszczędzić czas.

W razie wątpliwości wtyczka Wordfence to świetna opcja na początek. Więcej opcji znajdziesz w naszej pełnej kolekcji najlepszych wtyczek bezpieczeństwa WordPress.

10. Ukryj wersję WordPress

Ukrywanie numeru wersji WordPressa dodaje znikomy poziom „zabezpieczenia przez ukrywanie”, utrudniając złośliwym cyberprzestępcom wykrycie numeru wersji Twojej witryny.

Aby to ukryć, możesz dodać następujący kod do pliku functions.php motywu podrzędnego lub wtyczki, takiej jak Fragmenty kodu.

 function wp_version_remove_version_number() return ''; add_filter('the_generator', 'wp_version_remove_version_number');

Jeśli chcesz pójść dalej, mamy przewodnik, jak ukryć, że Twoja witryna korzysta z WordPressa.

11. Sprawdź uprawnienia do plików

Jeśli korzystasz z wysokiej jakości hosta, uprawnienia do plików w Twojej witrynie powinny być już prawidłowe. Jednak warto to sprawdzić dwukrotnie, ponieważ ważne jest posiadanie odpowiednich uprawnień do plików.

Aby dowiedzieć się więcej, zapoznaj się z naszym pełnym przewodnikiem po uprawnieniach do plików WordPress.

12. Używaj tylko bezpiecznych połączeń dla FTP

Zawsze, gdy łączysz się ze swoją witryną przez FTP lub inne technologie, upewnij się, że korzystasz z bezpiecznych protokołów, takich jak SFTP.

Tak jak protokół HTTPS chroni dane przesyłane między przeglądarką a witryną, SFTP chroni połączenie między klientem FTP a serwerem.

Powinieneś także unikać przechowywania haseł FTP w swoim kliencie FTP, chyba że hasła te są bezpiecznie zaszyfrowane.

13. Skonfiguruj rejestrowanie aktywności

Rejestrowanie aktywności umożliwia śledzenie czynności wykonywanych przez użytkowników na pulpicie nawigacyjnym, co może pomóc w wykrywaniu podejrzanej aktywności (zwłaszcza jeśli dajesz dostęp do pulpitu nawigacyjnego innym użytkownikom).

Aby to skonfigurować, możesz użyć wtyczki, takiej jak WP Activity Log. Mamy samouczek, jak skonfigurować rejestrowanie aktywności, a także ekskluzywny kupon WP Activity Log, aby zaoszczędzić trochę pieniędzy.

14. Uruchamiaj regularne skanowanie złośliwego oprogramowania/bezpieczeństwa

Mimo że w Twojej witrynie nie powinno być żadnych problemów, jeśli zastosujesz powyższe sprawdzone metody, nadal dobrze jest okresowo przeprowadzać w witrynie skanowanie pod kątem złośliwego oprogramowania/bezpieczeństwa.

Aby sprawdzić, czy nie występują problemy w interfejsie witryny, możesz skorzystać z bezpłatnego narzędzia Sucuri SiteCheck.

Aby uruchomić pełne skanowanie plików serwera, możesz rozważyć narzędzia takie jak MalCare lub Wordfence.

Twój host WordPress może również przeprowadzać własne codzienne skanowanie w poszukiwaniu złośliwego oprogramowania, co może sprawić, że te narzędzia będą zbędne.

15. Wyłącz XML-RPC

XML-RPC pomaga zewnętrznym narzędziom łączyć się z Twoją witryną WordPress, na przykład komputerową aplikacją WordPress.

Jeśli jednak nie korzystasz z tych narzędzi, po prostu dodaje to niepotrzebny wektor ataku do Twojej witryny. Aby całkowicie go wyłączyć, możesz użyć darmowej wtyczki Disable XML-RPC.

16. Zablokuj Hotlink

Hotlinking ma miejsce, gdy ktoś osadza na swojej stronie zawartość z Twojego serwera (np. obraz). Może to wpłynąć na bezpieczeństwo Twojej witryny, opróżniając zasoby serwera bez Twojej zgody.

Aby zablokować hotlinking, możesz dodać kod do pliku .htaccess swojej witryny.

Aby wygenerować kod .htaccess potrzebny do zablokowania hotlinkowania, możesz użyć tego bezpłatnego narzędzia. Pozwoli Ci to na bezpieczną listę niektórych dostawców hotlinków (takich jak wyszukiwarka grafiki Google), jednocześnie blokując innych.

17. Zmień prefiks bazy danych WordPress

Zmiana prefiksu bazy danych WordPress dodaje niewielką ilość „zabezpieczenia przez ukrywanie”, chociaż niektórzy eksperci (w tym Wordfence) twierdzą, że korzyści w zakresie bezpieczeństwa są dość trywialne.

Jeśli masz już witrynę WordPress, nie polecam tego robić, ponieważ ryzyko złamania witryny przeważa nad potencjalnymi korzyściami związanymi z bezpieczeństwem.

Jeśli jednak konfigurujesz nową witrynę WordPress, równie dobrze możesz użyć niestandardowego prefiksu bazy danych, nawet jeśli nie ma to dużego wpływu.

18. Wyłącz wykonywanie plików PHP w folderze wp-content/uploads

Możesz zablokować niektóre ataki typu edge case, wyłączając wykonywanie plików PHP w folderze wp-content/uploads .

Oto jak:

1. Użyj Notatnika, aby utworzyć nowy plik .htaccess.
2. Dodaj fragment kodu poniżej.
3. Prześlij ten plik do folderu wp-content/uploads .

 <Files *.php> deny from all </Files>

19. Wyłącz edycję kodu w desce rozdzielczej

Domyślnie WordPress umożliwia edycję plików motywów i wtyczek z pulpitu WordPress, co pozwoli atakującemu dodać złośliwy kod, jeśli kiedykolwiek uzyska dostęp do konta administratora.

Aby temu zapobiec, możesz wyłączyć edycję plików, dodając ten fragment do pliku wp-config.php :

define( 'DISALLOW_FILE_EDIT', true );

Najczęściej zadawane pytania dotyczące bezpieczeństwa witryny WordPress

Aby zakończyć, oto kilka typowych pytań dotyczących bezpieczeństwa WordPress.

Czy WordPress ma problemy z bezpieczeństwem?

Sam WordPress nie ma problemów z bezpieczeństwem, ale instalowanie wtyczek w Twojej witrynie może powodować luki w zabezpieczeniach, szczególnie w przypadku słabo zakodowanych i/lub utrzymywanych wtyczek.

Czy WordPress można łatwo zhakować?

Zdecydowana większość witryn WordPress zostaje zhakowana z powodu błędu użytkownika, a nie z powodu samego oprogramowania. Przestrzeganie kilku podstawowych sprawdzonych metod bezpieczeństwa sprawi, że Twoja witryna będzie bardzo trudna do zhakowania.

Czy możesz zabezpieczyć WordPressa?

Tak absolutnie. Dopóki przestrzegasz najlepszych praktyk, WordPress może być bardzo bezpieczny. Jest powód, dla którego tak wiele głównych marek ufa WordPressowi.

Potrzebujesz wtyczki zabezpieczającej WordPress?

Możesz stworzyć bezpieczną witrynę WordPress bez wszechstronnej wtyczki bezpieczeństwa. Jednak wtyczki te mogą uprościć proces wdrażania najlepszych praktyk zwiększania bezpieczeństwa i zapewnić dostęp do przydatnych funkcji, takich jak zapory sieciowe i skanowanie zabezpieczeń.

Zaimplementuj te najlepsze praktyki bezpieczeństwa WordPress już dziś

Jeśli nie weźmiesz nic więcej z tego postu, mam nadzieję, że zaimplementujesz co najmniej siedem wskazówek dotyczących bezpieczeństwa WordPressa z góry.

Jeśli wykonasz tylko te siedem rzeczy, możesz mieć pewność, że unikniesz 99,9% problemów związanych z bezpieczeństwem w Twojej witrynie.

Jeśli chcesz jeszcze lepszej ochrony, możesz kontynuować i wdrożyć wszystkie 19 wskazówek z tej listy.

Czy nadal masz pytania dotyczące bezpieczeństwa WordPress? Daj nam znać w komentarzach!