3 sposoby na zabezpieczenie witryny WordPress przed atakami

Opublikowany: 2017-12-27

W dzisiejszych czasach każda witryna internetowa musi poważnie traktować bezpieczeństwo. Jest to szczególnie prawdziwe, jeśli korzysta z systemu zarządzania treścią (CMS), takiego jak WordPress. Tego typu platforma zwykle przechowuje wiele poufnych informacji, co czyni ją celem. Jeśli ktoś włamie się do Twojej witryny, będziesz musiał poświęcić cenny czas na zastanawianie się, jak się tam dostał i naprawienie szkody.

Dobrą wiadomością jest to, że WordPress jest bardzo elastyczny, jeśli chodzi o zwiększenie środków bezpieczeństwa Twojej witryny. Na przykład istnieje kilka sposobów ochrony strony logowania przed atakami i ukrycia jej przed osobami, których nie znasz. Dzięki kilku poprawkom tu i tam Twoja witryna może szybko stać się fortecą.

W tym artykule omówimy znaczenie bezpieczeństwa WordPress. Następnie przedstawimy Ci trzy metody, dzięki którym Twoja witryna stanie się bezpieczniejsza. Weźmy się za to!

Dlaczego bezpieczeństwo WordPressa jest ważne

Żeby było jasne, WordPress jest już bardzo bezpieczną platformą po wyjęciu z pudełka. Jest to jednak również ogromny program z milionami użytkowników i tysiącami opcji wtyczek i motywów. Ponieważ tak wiele się dzieje, naturalne jest, że niektórzy użytkownicy będą musieli radzić sobie z problemami bezpieczeństwa. W większości przypadków problemy te można prześledzić z powrotem do łatwych do złamania poświadczeń, niespójnej aktualizacji i innych błędów użytkownika.

Z drugiej strony będziesz o wiele bezpieczniejszy, jeśli jesteś osobą, która jest na bieżąco z najnowszą wersją WordPressa i monitoruje wszystkie używane wtyczki i motywy. Nadążanie za zabezpieczeniami witryny może wydawać się bardzo pracochłonne, ale najlepszym sposobem działania jest zachowanie ostrożności. Dlatego:

  • WordPress jest celem ataków. Popularność systemu zarządzania treścią (CMS) sprawia, że ​​jest on ulubieńcem cyberprzestępców. W końcu znalezienie luki w pojedynczej wtyczce lub motywie może pomóc im uzyskać dostęp do tysięcy stron internetowych.
  • Musisz chronić poufne informacje użytkownika. Nawet jeśli nie masz do czynienia z żadnymi numerami kart kredytowych w swojej witrynie, nie oznacza to, że nie powinieneś chronić prywatności użytkowników.
  • Porywacze mogą rozpowszechniać złośliwe oprogramowanie w Twojej witrynie. Obecnie powszechną praktyką atakujących jest wykorzystywanie zhakowanych witryn w celu dostarczania użytkownikom złośliwego oprogramowania. Nie trzeba dodawać, że nie chcesz, aby urządzenia Twoich użytkowników zostały zainfekowane z powodu pobłażliwych praktyk bezpieczeństwa po Twojej stronie.

Na szczęście możesz zrobić wiele, aby zapobiegawczo chronić swoją witrynę WordPress. Na przykład korzystanie z dobrze zakodowanego motywu, który otrzymuje ciągłe aktualizacje, jest zawsze mądrym pomysłem. Nasz własny motyw Uncode ma na przykład doskonałe oceny i funkcje bezpieczeństwa, a my zawsze jesteśmy w pobliżu, aby odpowiedzieć na wszelkie pytania dotyczące dalszej ochrony witryny. Po uporządkowaniu motywu możesz zastosować kilka innych prostych środków.

3 sposoby na zabezpieczenie witryny WordPress przed atakami

W tej sekcji nauczymy Cię trzech sposobów zabezpieczenia witryny WordPress przed atakami, zarówno z wtyczkami, jak i bez nich. Ponieważ będziesz wprowadzać dość znaczące zmiany w funkcjonalności swojej witryny, przed rozpoczęciem należy utworzyć kopię zapasową. W ten sposób, jeśli coś pójdzie nie tak (a nie powinno!), będziesz mógł przywrócić swoją witrynę w ciągu kilku minut i spróbować ponownie.

1. Użyj uwierzytelniania dwuskładnikowego (2FA)

Zwykle do zalogowania się na stronie wystarczy nazwa użytkownika i hasło. Niektóre witryny idą jednak o krok dalej i proszą o wprowadzenie jednorazowego kodu wysłanego na Twój e-mail lub smartfon. Jest to znane jako uwierzytelnianie dwuskładnikowe (2FA). Korzystając z tej metody, nawet jeśli ktoś zdobędzie Twoje dane uwierzytelniające, nadal nie będzie mógł uzyskać dostępu do Twojego konta.

WordPress nie obsługuje 2FA po wyjęciu z pudełka. Możesz to jednak wdrożyć za pomocą odpowiednich narzędzi. Dostępnych jest wiele doskonałych wtyczek 2FA, ale jesteśmy stronniczy w przypadku uwierzytelniania dwuskładnikowego miniOrange ze względu na wszystkie funkcje, które oferuje:

Wtyczka miniOrange Two Factor Authentication.

Aby rozpocząć korzystanie z tej techniki, musisz najpierw zainstalować i aktywować wtyczkę. Następnie będziesz mieć dostęp do nowej karty miniOrange 2-Factor z pulpitu nawigacyjnego. Gdy klikniesz na nią po raz pierwszy, będziesz musiał wypełnić kilka pól, aby zarejestrować konto miniOrange:

Rejestracja konta miniOrange.

Następnie otrzymasz jednorazowy kod e-mailem lub SMS-em, którego możesz użyć do aktywacji wtyczki.

Kiedy to zrobisz, możesz przeskoczyć do zakładki Konfiguracja dwuskładnikowa u góry ekranu i wybrać, z jakich typów 2FA będą mogli korzystać Twoi goście. Aby zapewnić użytkownikom jak najwięcej opcji, zalecamy używanie weryfikacji adresu e-mail jako metody domyślnej:

Wybór weryfikacji adresu e-mail jako metody 2FA.

Po wybraniu żądanych metod możesz się wylogować. Przy następnej próbie uzyskania dostępu do pulpitu nawigacyjnego zobaczysz opcję włączenia 2FA dla swojego konta. Teraz wszyscy użytkownicy Twojej witryny będą mogli włączyć 2FA. Twoja witryna WordPress będzie do tego bezpieczniejsza!

2. Umieść na białej liście adresy IP, które mogą uzyskać dostęp do Twojego pulpitu nawigacyjnego

Pulpit WordPress to miejsce, w którym dzieje się większość magii. W związku z tym nie chcesz, aby każdy miał dostęp. Tylko zaufani członkowie zespołu powinni mieć dostęp do pulpitu nawigacyjnego Twojej witryny i korzystać z jego kluczowych funkcji.

Twoja strona logowania to podstawowa linia obrony przed niechcianymi włamaniami. Jednak czasami atakujący mogą uzyskać dostęp do jednego z poświadczeń członka zespołu. Jeśli tak się stanie, będziesz potrzebować drugiej linii obrony, aby ich powstrzymać. Właśnie tam pojawia się twój plik .htaccess .

Ten plik umożliwia dostarczenie serwerowi konkretnych instrukcji. Możesz na przykład nakazać mu blokowanie dostępu do pulpitu wszystkim osobom, których adres IP nie znajduje się na wstępnie zatwierdzonej liście. Dodając adres IP do tej listy, umieszczasz go na białej liście. Ta metoda wymaga trochę pracy z góry, ale może zmienić Twoją witrynę w fortecę.

Najpierw musisz znać adresy IP wszystkich współpracowników. Aby uzyskać najlepsze wyniki, upewnij się, że te adresy IP są statyczne. Członkowie zespołu mogą korzystać z witryny typu What is My IP, aby dowiedzieć się, jakie są ich adresy i skontaktować się ze swoimi dostawcami Internetu, aby można było im przypisać adres statyczny, jeśli jeszcze go nie mają.

Dowiedz się, jaki jest twój adres IP.

Najlepiej najpierw usunąć te zadania, aby móc jednocześnie wprowadzić wszystkie adresy IP z białej listy. Po przygotowaniu listy adresów musisz zlokalizować plik .htaccess swojej witryny i uzyskać do niego dostęp. W tym celu zalecamy użycie protokołu FTP (File Transfer Protocol) i narzędzia takiego jak FileZilla.

Po prostu zaloguj się do swojej witryny przy użyciu danych logowania FTP i uzyskaj dostęp do folderu public_html . Następnie poszukaj pliku .htaccess w:

Twój plik htaccess.

Teraz kliknij plik prawym przyciskiem myszy i wybierz opcję Wyświetl/Edytuj . Spowoduje to otwarcie pliku na twoim komputerze przy użyciu domyślnego edytora tekstu. W środku powinno być już kilka linijek kodu, których nie chcesz zmieniać. Zamiast tego przewiń do dołu pliku i poszukaj wiersza #END WordPress .

Musisz wkleić następujący fragment kodu tuż przed tym wierszem:

 <IfModule mod_rewrite.c>
RewriteEngine włączony
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
PrzepiszCond %{REMOTE_ADDR} !^190.46.268.21$
PrzepiszCond %{REMOTE_ADDR} !^190.45.281.27$
Przepisz regułę ^(.*)$ - [R=403,L]
</IfModule>

Te pięć wierszy kodu mówi WordPressowi, aby sprawdził adres IP każdego, kto próbuje uzyskać dostęp do Twojego pulpitu nawigacyjnego. Jeśli ich adres nie pasuje do jednego z adresów na białej liście (w powyższym przykładzie są dwa), otrzymają błąd 403:

Przykład błędu 403.

Możesz dodać dowolną liczbę adresów, używając tego samego formatu, a także blokować inne strony. Na przykład, jeśli chcesz zablokować swoją stronę logowania dla kogokolwiek poza osobami z białej listy, wystarczy dodać jeden dodatkowy wiersz kodu:

 <IfModule mod_rewrite.c>
RewriteEngine włączony
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [LUB]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
PrzepiszCond %{REMOTE_ADDR} !^190.46.268.21$
PrzepiszCond %{REMOTE_ADDR} !^190.45.281.27$
Przepisz regułę ^(.*)$ - [R=403,L]
</IfModule>

Po zakończeniu wprowadzania zmian w .htaccess zapisz plik i zamknij edytor tekstu. Nadal powinieneś mieć jak zwykle dostęp do pulpitu nawigacyjnego i strony logowania, chyba że zapomniałeś dodać swój adres IP do białej listy!

3. Użyj kompleksowej wtyczki zabezpieczającej WordPress

Jeśli zdecydujesz się podjąć tylko jeden środek, aby chronić swoją witrynę WordPress, użycie wtyczki zabezpieczającej może zapewnić Ci największy przebieg. Dostępnych jest mnóstwo popularnych wtyczek zabezpieczających, a wiele z nich jest w stanie chronić Twoją witrynę przed większością rodzajów ataków.

Jednym z naszych ulubionych jest All In One WP Security & Firewall. Oferuje szeroką gamę funkcji i przyjazny dla użytkownika interfejs:

Wszystko w jednej wtyczce WP Security Firewall.

Do tej pory dużo rozmawialiśmy o zabezpieczaniu stron logowania i pulpitu nawigacyjnego WordPress. Ta wtyczka umożliwia wykonanie obu tych czynności, korzystając z wbudowanych funkcji, które można włączyć za pomocą kilku kliknięć. Na przykład możesz ograniczyć liczbę prób logowania, które ktoś może wykonać, zanim zostanie tymczasowo zablokowany w witrynie. Ta funkcja jest dostępna z zakładki WP Security > User Login :

Konfiguracja maksymalnej liczby prób logowania.

Możesz także skonfigurować wtyczkę, aby informowała Cię, gdy ktoś zostanie zablokowany na stronie logowania i całkowicie blokuje adresy IP. All In One WP Security & Firewall zawiera również kompleksową zaporę ogniową, którą można skonfigurować na karcie WP Security > Firewall :

Włączenie zapory dla Twojej witryny.

Jak tylko aktywujesz wtyczkę, pierwszym krokiem powinno być zapoznanie się z jej dokumentacją. Istnieje wiele ustawień, których musisz się nauczyć, ale krótki kurs powinien zawierać wszystko, co musisz wiedzieć, aby zabezpieczyć swoją witrynę.

Na koniec, Kinsta ma kilka świetnych wskazówek na temat blokowania Twojej witryny, sprawdź to, jeśli potrzebujesz więcej wskazówek na temat bezpieczeństwa WordPress.

Wniosek

Bezpieczeństwo WordPress to coś, w czym chcesz być proaktywny. Trochę wysiłku włożonego w ochronę witryny od samego początku zaoszczędzi Ci wielu bólów głowy. Jeśli będziesz miał szczęście, nigdy nie będziesz musiał radzić sobie z skutkami niechcianych włamań do Twojej witryny, a zamiast tego będziesz mógł skupić się na jej ulepszaniu.

Dobrą wiadomością jest to, że istnieje wiele łatwych sposobów na zabezpieczenie Twojej witryny. Oto trzy z naszych ulubionych:

  1. Użyj 2FA na swojej stronie logowania.
  2. Dodaj adresy IP członków zespołu do białej listy.
  3. Użyj wszechstronnej wtyczki bezpieczeństwa WordPress.

Masz pytania dotyczące ochrony witryny WordPress? Zapytaj w sekcji komentarzy poniżej!