12 kluczowych sposobów na zwiększenie bezpieczeństwa WordPress

WordPress to jeden z najpopularniejszych kreatorów stron internetowych na świecie. Używają go miliony ludzi, w tym niektóre z największych marek i organizacji na świecie.

Jednak wielka odpowiedzialność wiąże się z wielką mocą, która obejmuje zapewnienie, że Twoja witryna WordPress jest tak bezpieczna, jak to tylko możliwe. Kilka głośnych witryn WordPress zostało w ostatnich latach zhakowanych, dlatego konieczne jest podjęcie kroków w celu ochrony witryny.

Badanie przeprowadzone przez Sucuri wykazało, że 43% witryn WordPress jest podatnych na ataki.

Oto kilka sposobów na zwiększenie bezpieczeństwa WordPressa.

Aktualizuj WordPress

Jedną z najważniejszych rzeczy, które możesz zrobić, aby zwiększyć bezpieczeństwo WordPressa, jest aktualizowanie witryny WordPress.

Oznacza to aktualizację samego WordPressa, a także wszelkich zainstalowanych motywów i wtyczek. Regularnie publikowane są nowe wersje WordPressa, a każda nowa wersja zawiera poprawki bezpieczeństwa dla wykrytych luk.

Aby zaktualizować WordPress, przejdź do strony Pulpit > Aktualizacje i kliknij przycisk „Aktualizuj teraz”.

Ważna jest również aktualizacja motywów i wtyczek. Większość twórców motywów i wtyczek regularnie publikuje aktualizacje, aby naprawić luki w zabezpieczeniach.

Możesz zaktualizować swoje motywy i wtyczki na stronie Pulpit nawigacyjny> Aktualizacje lub zainstalować wtyczkę WP Updates Notifier, która wyśle ​​​​Ci wiadomość e-mail, gdy aktualizacje będą dostępne.

Ukryj numer wersji WordPressa

Ponieważ WordPress stał się bardziej popularny, hakerzy coraz częściej go atakowali.

Jedną z rzeczy, których szukają, jest numer wersji WordPress, który jest wyświetlany w kodzie źródłowym każdej witryny WordPress. Hakerzy mogą atakować określone luki w zabezpieczeniach, wiedząc, której wersji WordPressa używasz. Ponadto niektóre wtyczki zabezpieczające WordPress będą działać tylko z określonymi wersjami WordPress.

Dlatego konieczne jest ukrycie numeru wersji WordPressa. Większość motywów WordPress ma taką możliwość lub możesz zainstalować wtyczkę, taką jak WP-Hardening Plugin.

Możesz również ukryć go ręcznie, wklejając ten kod do pliku functions.php:

function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');


Użyj silnego hasła

Innym ważnym sposobem na zwiększenie bezpieczeństwa WordPressa jest użycie silnego hasła.

Silne hasło powinno mieć co najmniej osiem znaków i zawierać kombinację wielkich i małych liter, cyfr i symboli. Niezbędne jest również używanie innego hasła dla każdej odwiedzanej witryny. W ten sposób Twoje inne konta będą bezpieczne, jeśli jedna witryna zostanie zhakowana. Możesz użyć menedżera haseł, takiego jak LastPass lub KeePass, który pomoże Ci wygenerować i zapamiętać silne hasła.

Badanie przeprowadzone przez Imperva wykazało, że używanie silnego hasła jest najskuteczniejszym sposobem zapobiegania atakom typu brute force, które są powszechnym hackiem WordPress.

Użyj witryny generatora haseł, aby wygenerować bardzo silne hasło. Oto niektóre z najlepszych generatorów haseł:

• Ostatnie przejście
• Norton
• 1Hasło

Użyj uwierzytelniania dwuskładnikowego

Uwierzytelnianie dwuskładnikowe (znane również jako weryfikacja dwuetapowa) to dodatkowa warstwa zabezpieczeń, która może pomóc chronić witrynę WordPress.

W przypadku uwierzytelniania dwuskładnikowego wymagane jest wprowadzenie hasła i drugiego kodu, zwykle generowanego przez aplikację na smartfonie. W ten sposób, nawet jeśli ktoś zdoła odgadnąć Twoje hasło, nie będzie mógł się zalogować, chyba że ma również Twój smartfon.

WordPress domyślnie nie zawiera uwierzytelniania dwuskładnikowego, ale możesz zainstalować wtyczkę, taką jak Google Authenticator lub Duo Security.

Pamiętaj jednak, że uwierzytelnianie dwuskładnikowe nie zadziała, jeśli zgubisz smartfon, dlatego ważne jest, aby mieć metodę zapasową, taką jak alternatywny adres e-mail lub numer telefonu.

Ogranicz próby logowania

Innym sposobem na zwiększenie bezpieczeństwa WordPressa jest ograniczenie prób logowania.

Domyślnie WordPress pozwala na nieograniczoną liczbę prób logowania, co daje hakerom duże możliwości odgadnięcia hasła. Ograniczając próby logowania, możesz zapobiec atakom typu brute-force. Niektóre wtyczki pozwalają to zrobić, takie jak Ogranicz próby logowania i Blokada logowania.

Badania przeprowadzone przez Wordfence pokazują, że ograniczenie prób logowania może zablokować 99,99% ataków typu brute force.

Wybierz też wtyczkę, która nie blokuje uprawnionych użytkowników, takich jak Ty, jeśli zapomnisz hasła.

Użyj SSL

SSL (Secure Sockets Layer) to protokół, który szyfruje dane przesyłane między witryną internetową a przeglądarką internetową użytkownika. Oznacza to, że jeśli ktoś spróbuje przechwycić dane, nie będzie mógł ich odczytać. W przeszłości witryny eCommerce używały głównie protokołu SSL do ochrony informacji o kartach kredytowych.

Ale obecnie coraz więcej witryn WordPress używa SSL do ochrony poufnych danych, takich jak dane logowania i przesyłanie formularzy kontaktowych. Możesz dodać SSL do swojej witryny WordPress na kilka różnych sposobów. Na przykład niektóre firmy hostingowe oferują bezpłatne certyfikaty SSL lub możesz kupić certyfikat od firmy takiej jak Symantec lub Comodo. Po uzyskaniu certyfikatu SSL musisz zainstalować i aktywować wtyczkę WordPress SSL.

Ogranicz dostęp do katalogu wtyczek

Katalog wtyczek WordPress to folder na twoim serwerze, który zawiera wszystkie wtyczki, które zainstalowałeś w swojej witrynie.

Domyślnie każdy może uzyskać dostęp do tego folderu i zobaczyć, jakich wtyczek używa. A jeśli haker wie, jakich wtyczek używasz, może wykorzystać wszelkie luki w tych wtyczkach. Dlatego ważne jest, aby ograniczyć dostęp do katalogu wtyczki. Możesz to zrobić, dodając prostą linię kodu do pliku .htaccess.

Jeśli nie masz ochoty edytować plików na swoim serwerze, możesz zainstalować wtyczkę, taką jak iThemes Security, która doda kod za Ciebie. Jeśli edytujesz plik .htaccess, przed wprowadzeniem jakichkolwiek zmian utwórz kopię zapasową.

Zmień nazwę użytkownika administratora

Podczas instalacji WordPressa domyślna nazwa użytkownika administratora to „admin”. Nie jest to zbyt bezpieczne, ponieważ hakerzy łatwo je zgadnąć.

Tak więc jedną z pierwszych rzeczy, które powinieneś zrobić po zainstalowaniu WordPressa, jest zmiana nazwy użytkownika administratora. Możesz utworzyć nowego użytkownika z uprawnieniami administratora, a następnie usunąć starego użytkownika „admin”. Możesz też zainstalować wtyczkę, taką jak WP Security Scan, która przeskanuje Twoją witrynę w poszukiwaniu niezabezpieczonych ustawień, w tym domyślnej nazwy użytkownika administratora.

Po zmianie nazwy użytkownika administratora wyloguj się z konta WordPress i zaloguj ponownie przy użyciu nowej nazwy użytkownika. Wiele osób zapomina o tym i zastanawia się, dlaczego nie mogą uzyskać dostępu do swojej witryny WordPress.

Użyj CAPTCHA lub reCAPTCHA na ekranie logowania

CAPTCHA (Completely Automated Public Turing test, aby powiedzieć Computers and Humans Apart) to test typu wyzwanie-odpowiedź używany do zapewnienia, że ​​tylko ludzie mogą uzyskać dostęp do strony internetowej lub wykonać określone czynności. reCAPTCHA to wersja CAPTCHA, której właścicielem jest Google. Jest bezpieczniejszy niż tradycyjne CAPTCHA, ponieważ wykorzystuje zaawansowane techniki analizy ryzyka, aby uniemożliwić zautomatyzowanemu oprogramowaniu angażowanie się w nadużycia w Twojej witrynie. Aby dodać CAPTCHA lub reCAPTCHA do ekranu logowania WordPress, możesz zainstalować wtyczkę, taką jak WP-reCAPTCHA.

Po zainstalowaniu i aktywacji wtyczki musisz założyć bezpłatne konto z reCAPTCHA. Otrzymasz wtedy klucz witryny i tajny klucz, które musisz wprowadzić w ustawieniach wtyczki.

Automatycznie wyloguj bezczynnych użytkowników

Gdy jesteś zalogowany w witrynie WordPress, możesz pozostać zalogowany przez czas nieokreślony, nawet jeśli zamkniesz okno przeglądarki lub odejdziesz od komputera. Nie jest to zbyt bezpieczne, ponieważ oznacza to, że każdy, kto ma dostęp do Twojego komputera, może również uzyskać dostęp do Twojej witryny WordPress.

Możesz zainstalować wtyczkę, taką jak Idle User Logout, aby rozwiązać ten problem. Ta wtyczka automatycznie wyloguje nieaktywnych użytkowników przez określony czas.

Na przykład możesz ustawić wylogowanie użytkowników, którzy nie byli aktywni przez 15 minut. W ten sposób, nawet jeśli ktoś ma dostęp do Twojego komputera, nie będzie mógł pozostać zalogowany w Twojej witrynie WordPress. Wtyczka jest niezbędna, jeśli masz wspólny komputer lub korzystasz z publicznej sieci Wi-Fi.

Użyj SFTP, aby połączyć się z serwerem

Kiedy łączysz się ze swoją witryną WordPress, łączysz się ze swoim serwerem.

Domyślnie większość ludzi łączy się ze swoim serwerem za pomocą protokołu FTP (File Transfer Protocol). Ale FTP jest niezabezpieczonym protokołem, ponieważ nie szyfruje danych. Oznacza to, że każdy monitorujący połączenie może zobaczyć Twoją nazwę użytkownika i hasło.

Dlatego korzystanie z protokołu SFTP (Secure File Transfer Protocol) jest niezbędne. SFTP to bezpieczny protokół, który szyfruje dane, więc przechwycenie połączenia i kradzież danych uwierzytelniających jest znacznie trudniejsze. Aby korzystać z SFTP, musisz wygenerować parę kluczy SSH i dodać klucz publiczny do swojego serwera. Większość dostawców hostingu ma instrukcje, jak to zrobić.

Monitoruj złośliwe oprogramowanie

Malware to złośliwe oprogramowanie, które może zainfekować Twoją witrynę WordPress i spowodować wiele problemów.

Na przykład złośliwe oprogramowanie może przekierowywać odwiedzających do innych witryn lub wyświetlać reklamy w Twojej witrynie bez Twojej zgody. Złośliwe oprogramowanie może również wykraść poufne informacje, takie jak hasła i numery kart kredytowych. Dlatego ważne jest, aby regularnie skanować witrynę WordPress pod kątem złośliwego oprogramowania i usuwać wszystkie znalezione. Można to zrobić na kilka różnych sposobów. Na przykład możesz użyć wtyczki takiej jak Wordfence Security, która przeskanuje Twoją witrynę w poszukiwaniu złośliwego oprogramowania i automatycznie usunie wszystkie znalezione.

Alternatywnie możesz skorzystać z usługi takiej jak Sucuri SiteCheck, która przeskanuje Twoją witrynę, a następnie dostarczy raport o każdym znalezionym złośliwym oprogramowaniu.

Wniosek

To tylko kilka z wielu sposobów na zwiększenie bezpieczeństwa WordPressa. Podejmując te środki, możesz pomóc chronić swoją witrynę WordPress przed hakerami i innymi złośliwymi użytkownikami. Wiele z tych wskazówek jest łatwych do wdrożenia, więc nie ma wymówki, aby nie podejmować działań. Pamiętaj, że Twoja witryna WordPress jest tak bezpieczna, jak ją tworzysz. Więc proszę nie czekaj, aż będzie za późno, aby zacząć myśleć o bezpieczeństwie. Podejmij działanie już teraz i pomóż chronić swoją witrynę WordPress.