Kompletny przewodnik krok po kroku dotyczący bezpieczeństwa WordPress

Opublikowany: 2022-08-28

Bezpieczeństwo WordPress koncentruje się na ochronie Twojej witryny, odwiedzających i danych przed złośliwym oprogramowaniem i hakerami. Teraz nie zrozum się źle. WordPress to bezpieczna platforma, a hakerom udaje się przeniknąć przez funkcje bezpieczeństwa platformy tylko ze względu na słabe zasady haseł lub luki w zabezpieczeniach.

Gdy je złagodzisz, znacznie zmniejszysz ryzyko zhakowania witryny. Jak więc złagodzić luki w zabezpieczeniach witryny WordPress?

Zainstaluj rozwiązanie do tworzenia kopii zapasowych

Twoją pierwszą obroną przed atakiem WordPress jest utworzenie kopii zapasowej danych. Surowa prawda jest taka, że ​​nic nie jest absolutnie bezpieczne. Jeśli witryny Fortune 500 mogą zostać zhakowane, Twoja witryna również jest podatna.

Chociaż posiadanie rozwiązania do tworzenia kopii zapasowych nie oznacza, że ​​Twoja witryna nie zostanie zhakowana, po prostu chroni Twoje dane. Podczas tworzenia kopii zapasowej możesz natychmiast przywrócić witrynę i dane, jeśli witryna miała zostać zhakowana. Znajdziesz różne wtyczki do tworzenia kopii zapasowych WordPress dla darmowych i płatnych pakietów.

Zalecamy skonfigurowanie kopii zapasowej w czasie rzeczywistym, aby Twoje dane mogły być tworzone codziennie i automatycznie. Ponadto upewnij się, że regularnie wykonujesz kopię zapasową w zdalnej lokalizacji w chmurze, takiej jak Dropbox, Amazon lub inne chmury prywatne.

Włącz WAF (zaporę sieciową aplikacji internetowych)

Korzystanie z zapory sieciowej jest najłatwiejszą metodą ochrony witryny przed złośliwym oprogramowaniem. WAF blokuje złośliwy ruch, zanim dotrze on do Twojej witryny. Oto zapory sieciowe aplikacji internetowych, które możesz wziąć pod uwagę:

• Zapora sieciowa na poziomie DNS: Gdy ta opcja jest włączona, kieruje ruch w witrynie przez serwer proxy w chmurze i wysyła tylko autentyczny ruch na serwer sieciowy.

• Zapora na poziomie aplikacji: te wtyczki oceniają ruch docierający do serwera przed załadowaniem skryptów WordPress w witrynie. Pomiędzy tymi dwoma, zapora na poziomie DNS jest najskuteczniejsza w minimalizowaniu obciążenia serwera w danym czasie.

Przenieś swoją witrynę WordPress do SSL/HTTPS

Secure Socket Layer (SSL) to protokół bezpieczeństwa, który szyfruje dane przesyłane między Twoją witryną a przeglądarkami użytkowników. Szyfrowanie utrudnia upoważnionej osobie przeglądanie Twojej witryny w celu kradzieży informacji. Po włączeniu SSL Twoja witryna zaczyna odrzucać HTTP i używać HTTPS.

https

Symbolem wskazującym, że Twoja witryna korzysta z protokołu HTTPS, jest znak kłódki, który jest umieszczany obok adresu witryny w przeglądarce internetowej. Wystarczy wspomnieć, że certyfikaty SSL są dodatkowo płatne i są wydawane przez urzędy certyfikacji.

Możesz jednak skorzystać z bezpłatnych certyfikatów SSL oferowanych przez Let's Encrypt, który jest obsługiwany między innymi przez Facebooka, Google Chrome i Mozillę. Ponadto wiele firm hostingowych oferuje teraz bezpłatny certyfikat SSL jako część pakietu do hostowania Twojej witryny WordPress.

Skorzystaj z usługi konserwacji

Dobrą rzeczą w korzystaniu z usługi konserwacji jest to, że oferuje ona więcej niż bezpieczeństwo WordPress. Dzięki takiej usłudze nie musisz się martwić o problemy z backendem Twojej witryny.

Od kwestii bezpieczeństwa po tworzenie kopii zapasowych i inne problemy związane z konserwacją, Twój dostawca usług konserwacyjnych zajmie się nimi. Możesz skoncentrować się na swojej firmie, pozwalając profesjonalistom na zajęcie się zadaniem stałego dbania o bezpieczeństwo Twojej witryny.

Jak zrobić zabezpieczenia WordPress z kodowaniem

Jeśli masz podstawowe umiejętności w zakresie kodowania i chcesz samodzielnie kontrolować bezpieczeństwo WordPressa, ta część jest dla Ciebie. Oto kroki, które pomogą Ci utrzymać bezpieczeństwo WordPress z pewną wiedzą na temat kodowania.

Zmień domyślną nazwę użytkownika z „Administrator

Domyślna nazwa użytkownika dla administratora WordPressa to „admin”. Ułatwia to hakerom rozpoznanie Twojej nazwy użytkownika i brutalne ataki na Twoją witrynę. Chociaż WordPress to zmienił i wymaga wybrania unikalnej nazwy użytkownika podczas instalacji WordPressa, większość instalatorów WordPressa jednym kliknięciem nadal używa „Administrator” jako domyślnej nazwy użytkownika.

Jeśli napotkasz to podczas instalowania WordPressa od firmy hostingowej, musisz rozwiązać problem. WordPress nie obsługuje zmiany nazw użytkowników. Możesz jednak utworzyć nową nazwę użytkownika administratora, usuwając starą.

Admin

Jak usunąć starą nazwę użytkownika administratora i utworzyć nową?

Możesz utworzyć nową nazwę użytkownika z rolą administratora. Może być konieczne utworzenie nowego adresu e-mail, ponieważ nie możesz użyć tego, którego użyłeś przy tworzeniu istniejącego konta. Wykonaj poniższe czynności, aby utworzyć nową nazwę użytkownika administratora z nowym adresem e-mail.

Krok 1: Kliknij „Użytkownicy” i wypełnij krótki formularz.

użytkownik

Krok 2: Wyloguj się ze swojego konta WordPress i zaloguj się za pomocą nowo utworzonego konta użytkownika.

Krok 3: Przejdź do strony „Użytkownicy”, a następnie „Wszyscy użytkownicy” i kliknij link „Usuń” pod starą nazwą użytkownika.

użytkownik

Krok 4: WordPress poprosi Cię, abyś wiedział, czy chcesz usunąć jakąkolwiek zawartość utworzoną przez starego użytkownika. Kliknij „Przypisz całą zawartość do” i wybierz nową utworzoną nazwę użytkownika.

Krok 5: Kliknij „Potwierdź usunięcie”, aby usunąć stare konto. To wystarczy, aby zmienić swoją starą nazwę użytkownika na nową.

usuń użytkowników

Wyłącz edycję plików

WordPress posiada wbudowany edytor kodu, który umożliwia użytkownikom edycję motywów i plików wtyczek w obszarze administracyjnym. Ta funkcja może stanowić poważne zagrożenie bezpieczeństwa, jeśli trafi w niepowołane ręce. Dlatego najlepiej go wyłączyć. Aby to zrobić, wykonaj poniższe czynności:

Krok 1: Dodaj poniższy kod do pliku wp-config.php

• // Nie zezwalaj na edycję pliku

• define('DISALLOW_FILE_EDIT', true );Ogranicz liczbę prób logowania

edytuj motywy

Użytkownicy mogą logować się do swojego pulpitu WordPress swobodnie i bez ograniczeń. Gdy to zrobisz, Twoja witryna WordPress staje się podatna na ataki typu brute force. Hakerzy mogą łatwo złamać Twoje hasła za pomocą wielu loginów z różnymi kombinacjami.

Powinieneś to naprawić, ograniczając liczbę prób po nieudanym logowaniu. Aby to zrobić, wykonaj poniższe czynności:

• Zainstaluj i aktywuj wtyczkę Login LockDown

• Wejdź na stronę „Ustawienia”, a następnie „Blokada logowania”, aby przeprowadzić konfigurację

Zaloguj sie

• Postępuj zgodnie z instrukcjami, aby zakończyć proces i gotowe.

Końcowe przemyślenia

Dzięki tym krokom możesz znacznie zwiększyć bezpieczeństwo WordPressa i zapobiec atakom. Jeśli wygląda to na coś, na co nie chcesz tracić czasu, zalecamy skorzystanie z usługi konserwacji WordPress. To odciąży Cię i możesz mieć pewność, że Twoją witryną zarządza zespół profesjonalistów.

Skąd mam wiedzieć, czy witryna WordPress jest bezpieczna?

Otwórz stronę w przeglądarce, na przykład Chrome, i sprawdź stan bezpieczeństwa po lewej stronie adresu internetowego. Zobaczysz komunikat „Bezpieczne” lub „Niezabezpieczone”.

Jaki jest najbezpieczniejszy adres internetowy?

Bezpieczny adres internetowy powinien zaczynać się od „HTTPS”, a nie „HTTP”. Litera „S” w „HTTPS” oznacza bezpieczeństwo, co oznacza, że ​​witryna korzysta z certyfikatu SSL.

Umair
Umair Khan