Kompleksowy przewodnik po tym, jak zabezpieczyć witrynę WordPress.

Opublikowany: 2018-10-16
Większość ludzi, gdy po raz pierwszy zaczyna projektować i rozwijać swoją witrynę, jest przede wszystkim zaniepokojona tym, aby wszystko działało tak, jak chcą i aby witryna wyglądała świetnie. Bezpieczeństwo WordPressa nie jest jednym z ich głównych problemów.

To zabawne, ponieważ prawie wszyscy słyszeli lub czytali o hakowaniu, ale jeśli chodzi o nasze strony, jakoś spodziewamy się, że nam się to nie przytrafi. Bo dlaczego haker miałby interesować się małą częścią naszego lokalnego biznesu, prawda? Zło. Bezpieczeństwo WordPressa jest bardzo ważne, dlatego Twoja witryna WordPress musi być odpowiednio zabezpieczona i zabezpieczona. Przyjrzyjmy się powodom!

Dlaczego i jak haker włamuje się do Twojej witryny?

Przed omówieniem sposobów zapobiegania włamaniu do witryny ważne jest, aby zrozumieć uzasadnienie włamania do witryny. Może istnieć wiele powodów, dla których haker byłby zainteresowany Twoją witryną, nawet jeśli jest to witryna małej firmy lub nawet osobisty blog.

Dwa główne powody, dla których witryna została zhakowana, to: Jeden, z powodów politycznych, takich jak oszpecanie witryn w celu umieszczania i rozpowszechniania treści, które wspierają określoną ideologię lub grupę.

Drugi ma na celu zarabianie pieniędzy za pomocą oszukańczych środków. Jak to działa, zhakowana witryna jest wykorzystywana jako pośrednik do dystrybucji złośliwego oprogramowania, a w większości przypadków właściciel witryny nawet o tym nie wie.

To czarny rynek online, który działa za pośrednictwem zhakowanych witryn. Twoja strona internetowa ma potencjał, aby stać się stroną zaangażowaną w działalność przestępczą!

Inne negatywne konsekwencje oprócz tych to:

  • Zhakowana i zepsuta strona internetowa może zrujnować reputację Twojej marki, a także spowodować poważne zakłopotanie.
  • Zaatakowane witryny zwykle są blokowane przez serwer hostingowy, co skutkuje utratą biznesu.
  • Twoja witryna, jeśli zostanie uszkodzona, może zostać wykorzystana jako serwer proxy do spamowania.
  • Koszt odzyskiwania może być bardzo wysoki, jeśli Twoja witryna nie ma kopii zapasowej.

Teraz, gdy już pokrótce ustaliliśmy, dlaczego Twoja witryna może zostać zaatakowana, przyjrzyjmy się, jak haker mógłby znaleźć i skierować na nią konkretną witrynę spośród milionów dostępnych online.

To musi być wysoce nieprawdopodobne, aby haker zaatakował Twoją witrynę, prawda? W końcu to tylko kropla w morzu stron internetowych. Cóż, przepraszam, że rozerwałam twoją bańkę, ale to źle!

Hakowanie nie odbywa się ręcznie. Hakerzy wykorzystują roboty/programy, których jedyną funkcją jest polowanie na wrażliwe strony internetowe. Programy te zwykle działają na serwerach w chmurze, gdzie są konfigurowane i niszczone zgodnie z potrzebami, nie pozostawiając po sobie niewielkich lub żadnych śladów. Zostały stworzone, aby co godzinę odkrywać tysiące stron internetowych. Po znalezieniu witryny jest ona przeszukiwana pod kątem luk w zabezpieczeniach, które nieustannie znajdują się w WordPressie i jego wtyczkach. Mogą być również spowodowane błędami ludzkimi, takimi jak używanie łatwych do odgadnięcia haseł lub nierzetelny lub zawodny hosting.

Zabezpieczanie witryny WordPress nie jest zatem opcją, ale koniecznością, a my jesteśmy tutaj, aby pomóc Ci przejść przez ten proces!

Twój przewodnik po zabezpieczaniu WordPressa

Pod koniec długiej listy środków bezpieczeństwa, które są przestrzegane, będziesz w stanie w pełni zagwarantować swoją witrynę WordPress. Jeśli chodzi o zabezpieczanie stron internetowych, wszyscy muszą podjąć określone podstawowe środki.

Są to nie bez znaczenia i w większości proste rzeczy, które przyniosą długą drogę i zapewnią rozsądny poziom bezpieczeństwa WordPressa. Jest jeszcze jeden zestaw środków dla tych z was, którzy są bardzo paranoiczni w kwestii bezpieczeństwa swojej witryny i nie mają nic przeciwko robieniu dodatkowych kroków, aby zapewnić jej maksymalne bezpieczeństwo.

Najpierw omówmy poprzedni zestaw środków, tj. niezbędne zadania związane z bezpieczeństwem, które powinni wykonać wszyscy właściciele witryn:

Zmień domyślną nazwę użytkownika

Jednym z najłatwiejszych i najszybszych sposobów zabezpieczenia WordPressa jest zmiana domyślnej nazwy użytkownika „Admin” na coś, co nie jest łatwe do odgadnięcia. Najlepiej byłoby zmienić nazwę użytkownika administratora podczas instalacji samego WordPressa, ale jeśli tego nie zrobiłeś, możesz zmienić nazwę za pomocą phpMyAdmin lub uruchamiając skrypt standardowego języka zapytań w swojej bazie danych.

Tak czy inaczej, ten prosty hack bezpieczeństwa WordPress pomoże Twojej witrynie uniknąć wielu losowych prób włamania.

Używaj silnego hasła i nie używaj go ponownie na różnych platformach

Hakerzy wiedzą, że jako ludzie staramy się zachować bezpieczne i identyczne hasła, ponieważ często je zapominamy. Piraci wiedzą, jak to wykorzystać i zazwyczaj mają listę najczęściej używanych haseł, które będą próbować raz za razem, aż znajdą to jedno. Ta technika nazywana jest brutalnym wymuszaniem hasła. Dlatego utrzymywanie bezpiecznego i złożonego hasła jest prostym krokiem w kierunku zabezpieczenia WordPressa.

Inną rzeczą, o której należy pamiętać, jest to, aby nigdy nie używać ponownie haseł. Ponowne używanie haseł polega na tym, że hakerzy mają dostęp do wszystkich pozostałych kont, jeśli chociaż jedno z nich zostanie naruszone. Tak, zapamiętywanie tak wielu różnych, złożonych haseł może być niewygodne i kłopotliwe, ale aby Ci w tym pomóc, wiele menedżerów haseł na rynku pomaga w przechowywaniu i zabezpieczaniu haseł. Sugerujemy korzystanie z nich.

Zawsze uruchamiaj najnowszą wersję WordPress

Niezbędne jest aktualizowanie WordPressa, ponieważ z każdą podstawową aktualizacją WordPress naprawia ostatnio wykryte problemy z bezpieczeństwem. Wiele razy ludzie wyłączają podstawowe aktualizacje WordPressa, ponieważ najnowsza wersja może nie być kompatybilna z niektórymi wtyczkami. Najważniejszą rzeczą do zapamiętania jest jednak to, że zhakowana strona internetowa jest znacznie bardziej problematyczna niż tymczasowo uszkodzona wtyczka.

Nie zmieniaj rdzenia WordPress

Edytowanie podstawowych plików źródłowych WordPressa to okropny pomysł, ponieważ odbiera łatwość automatycznej aktualizacji WordPressa do najnowszej wersji, o której ważność mówiliśmy w poprzednim punkcie. Jeśli zmieniłeś rdzeń WordPressa, aktualizacja do najnowszej wersji spowoduje utratę tych zmian.

Co więc zrobić, jeśli chcesz zmienić funkcjonalność WordPressa?

Odpowiedzią jest napisanie wtyczki. Daje Ci swobodę robienia wszystkiego, co chcesz, bez konieczności kompromisu w rdzeniu WordPress.

To samo dotyczy również motywów i wtyczek. Każda próba ulepszenia rdzenia spowoduje utratę możliwości aktualizacji do najnowszej wersji. Ogólnie rzecz biorąc, zawsze istnieją inne sposoby uzyskania pożądanej funkcjonalności, a zmiana rdzenia nie jest drogą do zrobienia.

Upewnij się, że wszystkie wtyczki i motywy są zaktualizowane

Powód konieczności aktualizacji wtyczek i pomysłów jest taki sam, jak ten, który stoi za aktualizacją WordPressa. Twoim obowiązkiem jest aktualizowanie ich do najnowszej wersji, niezależnie od tego, czy robisz to ręcznie, czy automatycznie, aby chronić witrynę przed atakami hakerskimi.

Jeśli korzystasz z wtyczek pobranych z WordPress.org, możesz włączyć automatyczne aktualizacje w tle, a w przypadku wszelkich innych komercyjnych aktualizacji wtyczek będziesz musiał sobie z tym poradzić za pomocą ich mechanizmu wtyczek. Pamiętaj też, aby zawsze mieć aktywne członkostwo wtyczek, aby otrzymywać najnowsze aktualizacje.

Teraz, jeśli chodzi o aktualizowanie motywów , możesz martwić się, co stanie się ze wszystkimi zmianami wprowadzonymi w motywie podczas aktualizacji. To, co powinieneś zrobić podczas wprowadzania zmian w motywach, to zrobić to za pomocą „motywów potomnych”, a nie wprowadzać zmian bezpośrednio w rzeczywistym motywie.

Gdy to zrobisz, możesz łatwo zaktualizować swoje motywy do najnowszej wersji bez utraty dokonanych do tej pory zmian. Aby sprawdzić, które motywy wymagają aktualizacji, przejdź do sekcji „Wygląd”, a następnie „Motywy” w swoim WordPressie. Możesz także włączyć automatyczne aktualizacje w tle w taki sam sposób, jak w przypadku wtyczek.

Zawsze pobieraj wtyczki, motywy i skrypty tylko z ich oficjalnego źródła

Pozyskiwanie motywów i wtyczek z nieoficjalnych źródeł za lepszą cenę lub za darmo może być kuszące, ale nie jest to mądry pomysł. Dzieje się tak, ponieważ wiele z tych pirackich motywów i wtyczek jest niesłusznie modyfikowanych przez hakerów, aby służyły im jako tylne drzwi do realizacji ich nikczemnych schematów.

Zawsze powinieneś polegać na bezpiecznych witrynach, aby znaleźć wysokiej jakości wtyczki i motywy, aby upewnić się, że Twój WordPress jest bezpieczny. Najpopularniejszym z nich jest WordPress.org. Inne niezawodne strony to WordPress.com, ThemeForest.net, CodeCanyon.net itp.

Twoja witryna powinna zawsze działać w najnowszej wersji PHP

PHP jest podstawowym silnikiem WordPressa i zawiera kilka aktualizacji wersji.

Ale według strony Global WordPress Statistics, prawie 80% instalacji WordPressa działa na wersjach PHP, które nie są już obsługiwane! Jest to powód do niepokoju, ponieważ po pierwsze, Twoja witryna nie korzysta z funkcji wydajności, które pojawiają się w najnowszych wersjach, a to również prowadzi do nienaprawiania żadnych usterek bezpieczeństwa, które zostały wykryte w poprzedniej wersji.

Dlatego ważne jest, aby upewnić się, że na Twojej stronie działa najnowsza wersja PHP.

Podczas aktualizacji rdzenia WordPressa wtyczki i motywy są dość jasnym zadaniem. Aktualizacje wersji PHP zależą głównie od serwera hostingowego. Jest to jeden z powodów, dla których wybór bezpiecznego serwera hostingowego jest tak ważny. Dzięki temu najnowsze wersje PHP będą dostępne wraz z instalacją WordPress. Bezpieczna usługa hostingu WordPress będzie miała również proaktywny zespół, którego zadaniem jest sprawdzanie najnowszych luk w zabezpieczeniach, na które narażona jest Twoja witryna, i podejmowanie działań w celu ich złagodzenia.

Aktualizuj swoją witrynę tylko przez zaufane sieci

Kto nie lubi korzystać z darmowej sieci Wi-Fi w miejscach takich jak lotnisko, a nawet lokalna kawiarnia, prawda? Pamiętaj jednak, że te otwarte połączenia Wi-Fi są łatwe do szpiegowania. Powinieneś unikać uzyskiwania dostępu do witryny administratora WordPress za pośrednictwem takiej sieci. A zwłaszcza jeśli chodzi o aktualizację witryny, zawsze korzystaj z zaufanych systemów, takich jak ten w domu lub biurze.

Użyj antywirusa

Jeśli zdarzy się, że na Twoim pulpicie pojawi się wirus, może szybko się rozprzestrzenić, replikując się na Twojej witrynie. Jest to schemat zwykle używany przez wirusy do infekowania Twojej witryny. Następnie może szpiegować i uzyskiwać dostęp do haseł, a nawet danych bankowych i osobistych. Dlatego powinieneś upewnić się, że Twoja stacja robocza korzysta z niezawodnego i aktualnego programu antywirusowego.

Zabezpiecz swoją witrynę za pomocą wtyczek bezpieczeństwa WordPress

Wtyczka bezpieczeństwa informuje, na jakie luki jest narażona Twoja witryna, i daje wskazówki, jak je naprawić. Korzystanie z wtyczki jest prostym, ale bezpiecznym sposobem zabezpieczenia witryny WordPress i nie wymaga od Ciebie żadnego wysiłku. Przeprowadzają skanowanie i zapewniają szczegółowy przegląd wszelkich problemów wykrytych w Twojej witrynie.

Niektóre zaufane wtyczki bezpieczeństwa to Total Security, Vulnerable Plugin Checker, iThemes Security Pro i Plugin Inspector.

Zachowaj kopię zapasową witryny

Jeśli wszystkie powyższe środki zawiodą, a bezpieczeństwo Twojej witryny jest nadal zagrożone, ten krok Cię uratuje.

Niezbędne jest tworzenie i planowanie kopii zapasowych dla Twojej witryny. Te zaplanowane kopie zapasowe są nieodzowną częścią polityki bezpieczeństwa witryny, ponieważ zapewniają, że jeśli witryna zostanie naruszona, zostanie z łatwością przywrócona do wersji sprzed uszkodzenia.

Nie tylko w przypadku włamania, ale także w przypadku nieszczęśliwego wypadku lub błędu technicznego, posiadanie kopii zapasowych gwarantuje, że Twoja witryna będzie mogła ponownie działać w mgnieniu oka.

Tutaj kończy się lista naszych podstawowych, niezbędnych środków bezpieczeństwa!

Dotarliśmy teraz do drugiej części, w której omówimy wskazówki dotyczące bezpieczeństwa WordPress dla naszych fanatyków bezpieczeństwa. To jest dla tych administratorów, którzy chcą różnych warstw ochrony swojej witryny.  

Upewnij się, że ustawiłeś tajne klucze uwierzytelniania WordPress

W pliku wp-config.php znajdziesz 8 kluczy bezpieczeństwa i uwierzytelniania WordPress. Są to tylko arbitralne zmienne, które utrudniają wydedukowanie haseł WordPress, dodając element losowości do sposobu ich przechowywania w bazie danych.

Zobaczmy, jak możesz z niego korzystać.

  • Najpierw użyj generatora losowego WordPress, aby wygenerować zestaw kluczy.
  • Następnie edytuj plik wp.config. Miejsce na dodanie unikalnych kluczy wygenerowanych w poprzednim kroku znajdziesz w sekcji „Unikalne klucze uwierzytelniania”.

Nie powinieneś udostępniać ani upubliczniać tych kluczy.

Ogranicz próby logowania

Mówiliśmy już o brutalnym wymuszaniu i o tym, jak hakerzy wykorzystują je do ustalania Twojego hasła. Właśnie z tego powodu niezbędne jest wprowadzenie mechanizmu ograniczającego próby logowania.

Na szczęście istnieje wtyczka, która robi to za Ciebie. Wtyczka „Limit Login WordPress” wykrywa wiele błędnych prób podania hasła i wyłącza dalsze próby przez określony czas, co skutkuje nieudanymi próbami brutalnego wymuszania i zwiększa bezpieczeństwo witryny.

Włącz uwierzytelnianie dwuskładnikowe

Uwierzytelnianie dwuskładnikowe lub 2FA to niezwykle skuteczny sposób zabezpieczenia logowania do WordPressa. Po włączeniu funkcji 2FA za każdym razem, gdy logujesz się do administratora WordPress, oprócz zwykłego hasła będziesz potrzebować tokenu bezpieczeństwa opartego na czasie (unikalnego dla każdego użytkownika). Ten token bezpieczeństwa wygasa w krótkim czasie, który zwykle wynosi 60 sekund.

To sprawia, że ​​każdemu bardzo trudno jest uzyskać dostęp do Twojego loginu, nawet jeśli ma Twoje dane logowania (ponieważ nie będzie miał aktualnego tokena bezpieczeństwa).

Włączenie 2FA jest zatem w pełni dowodem na wzmocnienie logowania i uniknięcie ataków brute-force na dane logowania.

Wyłącz wykonywanie PHP

Kiedy hakerzy uzyskują dostęp do Twojej witryny, jedną z pierwszych rzeczy, jakie robią, jest uruchamianie PHP z katalogu. Mądrą rzeczą jest całkowite wyłączenie tego. Wtedy, nawet jeśli w Twojej witrynie WordPress istniałaby jakaś luka w zabezpieczeniach, ta ochrona aktywnie zniweczy resztę wysiłków hakerów mających na celu utrudnienie Twojej witryny.

Jest to potężny krok w kierunku bezpieczeństwa WordPress i może prowadzić do uszkodzenia niektórych motywów i wtyczek, które mogą tego wymagać, ale nadal zaleca się zaimplementowanie go w najbardziej ryzykownych katalogach wp-includes i uploads.

Możesz zaimplementować tę ochronę za pomocą pliku .htaccess, dodając do niego następujący kod:

  • <Pliki *.php>
  • Zamów Zezwól, Odrzuć
  • Odmowa od wszystkich
  • </Pliki>

Wyłącz edycję plików

Zwykle bawimy się wtyczkami i plikami motywów, gdy wciąż jesteśmy na początkowym etapie tworzenia strony internetowej, ponieważ domyślnie administratorzy WordPressa mogą edytować pliki PHP. Jednak po opracowaniu naszej strony internetowej będziemy bardzo mało korzystali z tej opcji edycji.

Dlatego zaleca się wyłączenie edycji plików dla administratorów WordPress po uruchomieniu witryny. Dzieje się tak, ponieważ nawet jeśli hakerowi uda się zalogować do Twojej witryny, nie będzie miał uprawnień do edycji i nie będzie mógł zmieniać plików w celu wykonania swoich nikczemnych schematów. Aby wyłączyć edycję pliku, wstaw następujące polecenie w pliku wp-config.php: define('DISALLOW_FILE_EDIT', true);

Segreguj swoje bazy danych WordPress

Jeśli utworzysz wszystkie swoje witryny w tej samej bazie danych, a nawet jedna z nich zostanie zhakowana, wszystkie inne witryny WordPress hostowane w tej samej bazie danych również są zagrożone zhakowaniem. Podczas instalacji WordPressa należy zawsze utworzyć nową bazę danych i nadać jej osobną nazwę bazy danych, bazę danych i hasło. Upewnij się, że różnią się one od innych witryn lub loginów, z których korzystasz.

Dzieje się tak, jeśli jedna z twoich witryn zostanie zhakowana, infekcja przestanie rozprzestrzeniać się na inne miejsca, nawet na tym samym współdzielonym koncie hostingowym.

Jeśli nie jest używany, wyłącz XML-RPC

Aplikacja może uzyskać dostęp do Twojego systemu WordPress za pośrednictwem czegoś, co nazywa się API (interfejs programowania aplikacji). Aby wyjaśnić to w prosty sposób, przykładem XML-RPC jest wykorzystanie aplikacji telefonu do aktualizacji witryny. Istnieją również specjalne wtyczki, które wykorzystują funkcjonalność XML-RPC.

Jeśli jednak nie korzystasz z żadnej aplikacji innej firmy i masz pewność, że żadna z Twoich wtyczek WordPress nie korzysta z Twojej witryny za pośrednictwem XML-RPC, mądrze jest ją wyłączyć, ponieważ XML-RPC może być używany jako narzędzie do hakowania strona.

Zabezpiecz plik wp-config.php

Plik wp-config.php jest jednym z najbardziej krytycznych danych, które przechowuje wiele niezbędnych ustawień konfiguracyjnych, takich jak dane logowania do bazy danych, sole haszowania haseł itp. Nie chciałbyś, aby ktokolwiek wtrącał się tutaj, a tym samym środki bezpieczeństwa aby zabezpieczyć ten krytyczny plik konfiguracyjny WordPressa, musi zostać pobrany.

Jeśli nie wyłączyłeś wykonywania PHP (omówione w punkcie 15), dodaj to polecenie do swoich plików .htaccess:

  • <pliki wp-config.php>
  • rozkaz zezwól, odmów
  • Odmowa od wszystkich
  • </file>

Zainstaluj zaporę sieciową

Aby było to bardzo proste, programowe kule ogniowe zapobiegają przedostawaniu się rzeczy lub uniemożliwiają ich wydostanie się. W takim przypadku pomagają one uniemożliwić hakerom zbliżenie się do Twojej witryny (lub strony Twojej witryny). Musisz użyć zapory aplikacji internetowej (WAF), a jedną z najbardziej niezawodnych zapór typu open source ogólnie dostępnych w usługach hostingowych WordPress za darmo jest zapora sieciowa „ModSecurity”.
Możesz dowiedzieć się, czy Twoja usługa hostingowa oferuje to, a jeśli tak, możesz to wykorzystać i włączyć.

Najlepiej byłoby również użyć zapory sieciowej dostarczania treści (CDN) , aby poprawić wydajność witryny dzięki szybkiemu udostępnianiu obfitych zasobów. CDN chronią również Twoją witrynę przed licznymi problemami z bezpieczeństwem WordPressa.

Zatrzymaj raportowanie błędów PHP

Raportowanie błędów jest korzystne w czasie tworzenia strony internetowej, ponieważ uświadamia Ci błędy i możesz je szybko naprawić. Ale gdy raportowanie błędów jest włączone w witrynie, która działa i działa, służy to jako bardzo ważna wskazówka dla hakerów i sprawia, że ​​ich praca jest znacznie wygodniejsza niż powinna. Raporty o błędach mogą dostarczyć ważnych informacji każdemu, kto tego szuka.

W ten sposób wyłączenie raportowania błędów PHP po uruchomieniu witryny zapewnia minimalizację przynajmniej zagrożeń bezpieczeństwa WordPress spowodowanych ujawnieniem poufnych informacji dotyczących Twojej witryny. Aby wyłączyć raportowanie błędów PHP, wprowadź zmiany w pliku php.ini, jak podano poniżej:

  • raportowanie_błędów = 4339
  • display_errors = Off
  • display_startup_errors = Off
  • log_errors = Wł.
  • error_log = /home/example.com/logs/php_error.log
  • log_errors_max_len = 1024
  • ignore_powtarzane_błędy = Włączone
  • ignore_powtarzane_źródło = wyłączone
  • html_errors = Wyłączony

Użyj rejestrowania bezpieczeństwa, aby monitorować bezpieczeństwo WordPress

Obserwowanie swoich dzienników pomoże Ci dowiedzieć się, jakie ataki mają miejsce w Twojej witrynie, i pomoże Ci je powstrzymać. To całkiem dobry sposób na poprawę bezpieczeństwa WordPressa. Aby podać minimalny przykład, jeśli zorientujesz się, że większość prób włamania pochodzi z określonego obszaru, prawdopodobnie takiego, do którego Twoja witryna nie obsługuje, możesz zablokować ten obszar za pomocą zapory sieciowej. Zaleca się korzystanie z wtyczki audytu bezpieczeństwa w celu prowadzenia regularnych dzienników audytu.

To wszystko!

Dzięki temu dotarliśmy do końca naszego długiego, wszechstronnego przewodnika po pełnym zabezpieczeniu witryny WordPress. Nie ma wątpliwości, że ta lista kontrolna mogłaby być dla Ciebie trochę przytłaczająca, gdybyś wcześniej nie zastanawiał się nad zapewnieniem swojej witryny. Ale dobrą rzeczą jest to, że większość z tych kroków nie będzie wymagała od Ciebie dużego wysiłku, a wraz z upływem czasu stanie się regularną częścią Twojej rutynowej konserwacji WordPressa. Aby być uczciwym, większość z was nie wykona wszystkich powyższych kroków i to jest w porządku. Ale im więcej z tych środków bezpieczeństwa podejmiesz, tym bezpieczniejsza jest Twoja witryna. Odrobina dodatkowego wysiłku z Twojej strony teraz zajdzie daleko!