Jak zabezpieczyć swoją witrynę WordPress: wskazówki dotyczące bezpieczeństwa
Opublikowany: 2021-11-30
20% zniżki na WPMU Dev
W tym artykule będziemy używać hostingu i narzędzi WPMU DEV. Możesz uzyskać 20% zniżki na WPMU DEV na członkostwo.
Bezpieczeństwo WordPressa to ogromny temat. Jest kilka rzeczy, które możesz zrobić, aby zabezpieczyć swoją witrynę WordPress i zapobiec uszkodzeniu witryny lub bloga przez hakerów i luki w zabezpieczeniach.
Chociaż podstawowe oprogramowanie WordPressa jest dość bezpieczne i jest często sprawdzane przez setki inżynierów, wciąż możesz wiele zrobić, aby zapewnić bezpieczeństwo swojej witryny.
Nie chcesz obudzić się pewnego ranka, aby znaleźć swoją witrynę w nieładzie. Tak więc dzisiaj omówimy różne metody, taktyki i podejścia, które możesz wykorzystać do poprawy bezpieczeństwa WordPressa i zachowania bezpieczeństwa.
Dlaczego bezpieczeństwo witryny jest ważne?
Każda zhakowana witryna WordPress może znacznie zaszkodzić przepływowi gotówki i wiarygodności. Atakujący może uzyskać dane klienta, hasło, wstrzyknąć złośliwe programy, a nawet zainfekować użytkowników złośliwym oprogramowaniem.
W strasznym scenariuszu firmy mogą zostać zmuszone do wydawania oprogramowania ransomware napastnikom w celu odzyskania dostępu do witryny. Według Google ponad 50 milionów użytkowników witryn zostało ostrzeżonych, że odwiedzana przez nich strona internetowa może zawierać złośliwe oprogramowanie lub kraść dane.
To jest witryna ze statystykami na żywo, która zostaje zhakowana w ciągu jednego dnia.
Co więcej, każdego tygodnia Google umieszcza na czarnej liście około 20 000 stron internetowych pod kątem złośliwego oprogramowania i około 50 000 stron internetowych pod kątem phishingu. Jeśli prowadzisz stronę firmową, warto przywiązywać wagę do bezpieczeństwa witryny.
Rzeczywiście, Twoim zadaniem, jako właściciela firmy online, jest zabezpieczenie witryny biznesowej w taki sam sposób, w jaki odpowiadasz za ochronę swojego prawdziwego obiektu sklepu.
Czy WordPress to bezpieczna platforma?
Czy WordPress jest bezpieczny?
To prawdopodobnie pierwsze pytanie, które masz na myśli. Tak, w większości.
WordPress jest bezpieczny, o ile właściciele witryn poważnie traktują bezpieczeństwo i stosują się do zalecanych praktyk. Stosowanie bezpiecznych wtyczek i motywów, utrzymywanie odpowiedzialnych procesów logowania, używanie wtyczek bezpieczeństwa do monitorowania witryny oraz okresowe aktualizacje to dobre praktyki.
Z drugiej strony WordPress ma reputację podatnego na luki w zabezpieczeniach, a tym samym nie jest bezpieczną platformą do wykorzystania w biznesie. W większości przypadków wynika to z tego, że użytkownicy nadal stosują sprawdzone w branży najgorsze praktyki dotyczące bezpieczeństwa.
Hakerzy pozostają na szczycie swojej gry w cyberprzestępczość, korzystając ze starego oprogramowania WordPress, pustych wtyczek, słabej administracji systemem, zarządzania poświadczeniami oraz braku niezbędnej wiedzy na temat sieci i bezpieczeństwa wśród niezaawansowanych użytkowników WordPressa. Nawet najlepsze praktyki nie zawsze są przestrzegane przez liderów branży. Ponieważ korzystali ze starszej wersji WordPressa, Reuters został zhakowany.
Nie oznacza to, że luki w zabezpieczeniach nie są obecne. WordPress nadal dominuje wśród zainfekowanych stron internetowych Sucuri, wieloplatformowy biznes bezpieczeństwa, nad którym pracował w badaniu przeprowadzonym w trzecim kwartale 2017 r. (83 procent). Jest to wzrost w stosunku do roku poprzedniego o 74%.
Ponieważ WordPress obsługuje ponad 42% wszystkich stron internetowych i setki tysięcy kombinacji motywów i wtyczek do wyboru, nie jest niespodzianką, że luki w zabezpieczeniach istnieją i są stale identyfikowane. Istnieje jednak silna społeczność wokół platformy WordPress, która zapewnia, że problemy te zostaną rozwiązane tak szybko, jak to możliwe. Od 2021 r. zespół ds. bezpieczeństwa WordPressa składa się z około 50 specjalistów, w tym wiodących programistów i badaczy bezpieczeństwa (w porównaniu z 25 w 2017 r.); około połowa to pracownicy Automattic, a kilku pracuje w obszarze bezpieczeństwa sieci.
Zacznij korzystać z właściwego hostingu
Korzystanie z hosta, który zapewnia wiele warstw zabezpieczeń, to najprostszy sposób na zapewnienie bezpieczeństwa witryny.
Oszczędność pieniędzy na hostingu witryn internetowych oznacza, że możesz wydać pieniądze w innym miejscu w organizacji, więc rejestracja u taniego dostawcy usług hostingowych może być kusząca. Ale powinieneś oprzeć się tej pokusie.
Tani gospodarz może w przyszłości powodować bóle głowy. Dane powiązane z Twoim adresem URL mogą zostać całkowicie usunięte, a Twój adres URL może zacząć przekierowywać do innego miejsca. Tylko kilka przykładów, jest jeszcze kilka powodów, dla których powinieneś unikać kupowania taniego hostingu, który nie jest godny Twojej firmy.
Dodatkowe bezpieczeństwo zapewniane przez wysokiej jakości hosta jest automatycznie przypisywane do Twojej witryny, jeśli zapłacisz trochę więcej. Ponadto możesz poprawić wydajność swojej witryny WordPress, korzystając z dobrej usługi hostingowej WordPress.
Utwórz kopię zapasową witryny
Aby rozpocząć, wykonaj kopię zapasową kopii zapasowej WordPress przed wprowadzeniem jakichkolwiek modyfikacji w swojej witrynie.
Dostępnych jest wiele wtyczek do tworzenia kopii zapasowych WordPress, które można wykorzystać do osiągnięcia tego samego celu.
Dostępne są zarówno darmowe, jak i płatne. jednak tylko kilka z sugerowanych jest bezpłatnych.
- UpdraftPlus
- WsteczWPup
Zakładam, że zainstalowałeś i używasz jednej z zapasowych wtyczek WordPress. Teraz możesz przejść do następnego kroku.
Zalecam planowanie tworzenia kopii zapasowych po opublikowaniu każdego posta. Po dokonaniu jakichkolwiek modyfikacji postów lub bazy blogów.
Twórz silne hasła
Możesz wiele zrobić, aby zabezpieczyć swoją witrynę WordPress, ale niewiele osób zwraca uwagę na podstawy.
Tworzenie bezpiecznych haseł to coś, co powinieneś zrobić dla wszystkich swoich serwisów społecznościowych i kont e-mail.
Podobnie, ponieważ witryny WordPress są hackowane jak wszystko inne, ważne jest, aby zastosować te same środki ostrożności w przypadku witryny WordPress. Nie ma już znaczenia, jak duży jest Twój blog. Wszystko to wzbudza ciekawość hakerów. KUPA ŚMIECHU!
Używanie silnego hasła oznaczało nieużywanie niczego, co było dla Ciebie osobiste. Prawie wszystkiego należy unikać, w tym imienia i nazwiska, daty urodzenia, identyfikatora pracownika, imienia dziewczyny i wszystkiego, co można odgadnąć.
Czas potrzebny na złamanie hasła
Czy masz problemy z wymyślaniem kreatywnych pomysłów na hasła? Aby ustanowić bezpieczne hasło, zawsze możesz użyć dowolnego narzędzia do generowania haseł online. Używam generatora haseł LastPass.
Zmień adres URL logowania WP
„yoursite.com/wp-admin” to domyślny adres URL do logowania do WordPressa.
Jeśli zostawisz to tak, jak jest, ryzykujesz, że staniesz się ofiarą brutalnego ataku mającego na celu złamanie kombinacji nazwy użytkownika/hasła.
Możesz otrzymać dużą liczbę rejestracji spamu, jeśli zezwolisz użytkownikom na rejestrację kont subskrypcyjnych. Zmień adres URL logowania administratora lub dodaj pytanie zabezpieczające do strony rejestracji i logowania, aby tego uniknąć.
Możesz zainstalować wtyczkę, taką jak niestandardowy adres URL logowania lub WPS Hide Login, aby zmienić adres URL logowania wp.
Zmień nazwę użytkownika WordPress
Podczas tworzenia bloga będziesz mieć możliwość wpisania nazwy użytkownika, która będzie używana do logowania się do Twojego bloga lub witryny.
Większość ludzi domyślnie pozostawia to jako „ admin ” i zapomina później go zmienić.
Zastanów się, jak łatwo byłoby to przewidzieć nawet biednemu hakerowi. ha ha! Zauważyłem uśmiech na twojej twarzy.
Musisz sprawić, by było to jedyne w swoim rodzaju i niemożliwe do odgadnięcia. Jeśli nie masz pewności, jak to zrobić, przygotowałem prosty samouczek dotyczący zmiany nazwy użytkownika WordPress.
Uwierzytelnianie dwuskładnikowe
Czy korzystałeś już z uwierzytelniania dwuskładnikowego na swoich kontach Gmail? Jeśli jesteś zaznajomiony z tym tematem, prawdopodobnie zorientowałeś się, o czym mówię.
Uwierzytelnianie dwuskładnikowe to prosta technika zabezpieczania witryny WordPress przed hakerami.
Otrzymasz OTP podczas logowania, jeśli połączysz swojego bloga z telefonem komórkowym w celu uwierzytelnienia dwuskładnikowego. Będziesz mógł się zalogować, wpisując ten numer.
To przenosi bezpieczeństwo na nowy poziom i dodaje kolejną warstwę do miksu. Krótka lekcja na temat uwierzytelniania dwuskładnikowego WordPress znajduje się tutaj.
Ochrona hasłem administratora WordPress i strony logowania
Ogólnie hakerzy mają nieograniczony dostęp do twojego folderu wp-admin i strony logowania. Daje im to możliwość sprawdzenia swoich umiejętności hakerskich lub przeprowadzenia ataków DDoS.
Po stronie serwera możesz wdrożyć dalszą ochronę hasłem, która zasadniczo zatrzyma te żądania.
Postępuj zgodnie z naszymi krokami krok po kroku, aby zabezpieczyć swojego administratora wp WordPress hasłem.
Ogranicz próby logowania
W WordPress domyślnie użytkownicy mogą próbować logować się tyle razy, ile chcą. Jeśli często zapominasz, które litery są duże, może to pomóc, ale także otwiera cię na ataki brutalnej siły.
Możesz ograniczyć liczbę prób logowania do czasu tymczasowego zablokowania użytkowników. Zmniejsza to twoje szanse na atak brutalną siłą, ponieważ haker jest zablokowany przed zakończeniem ataku.
Korzystając z wtyczki WordPress limit prób logowania, możesz łatwo włączyć tę funkcję.
Korzystając z opcji Ustawienia > Próby ograniczenia logowania, możesz zmienić liczbę prób logowania po zainstalowaniu wtyczki.
Wyloguj bezczynnych użytkowników w WordPress
Zalogowani użytkownicy mogą czasami odchodzić od swoich ekranów, stwarzając zagrożenie bezpieczeństwa. Ktoś może przejąć kontrolę nad swoją sesją, zmieniać hasła i modyfikować swoje konto.
Dlatego wiele stron bankowych i finansowych automatycznie blokuje bezczynnych użytkowników. Podobną funkcjonalność można również zaimplementować w witrynie WordPress.
Wtyczka Inactive Logout musi być zainstalowana i aktywowana. Aby skonfigurować ustawienia wtyczki, kliknij Ustawienia » Nieaktywne Wyloguj po aktywacji.
Ustaw minutnik i komunikat o wylogowaniu i gotowe. Nie zapomnij zapisać zmian, klikając przycisk Zapisz zmiany.
Dodaj pytanie zabezpieczające na ekranie logowania WordPress
Dodanie pytania zabezpieczającego do ekranu logowania WordPress znacznie utrudnia uzyskanie nieautoryzowanego dostępu.
Zainstalowanie wtyczki WP Security Questions pozwoli Ci dodać pytania bezpieczeństwa. Aby skonfigurować ustawienia wtyczki, przejdź do Ustawienia » Pytania bezpieczeństwa po aktywacji.
Zobacz nasz samouczek dotyczący dodawania pytań zabezpieczających do WordPressa, aby uzyskać więcej informacji.
Wyłącz przeglądanie katalogów
Kolejnym etapem, który sprawdza webmaster, jest to. Jeśli chodzi o bezpieczeństwo stron internetowych, jest to mało znany fakt.
Jeśli jednak przeglądanie katalogu głównego jest włączone. Dostęp do plików, takich jak motywy, wtyczki, obrazy i wiele innych, może uzyskać czytelnik, odwiedzający lub haker.
Oto jak zapobiec przeglądaniu katalogów w WordPress za pomocą pliku .htaccess.
Wyłącz edycję plików
Na pulpicie WordPress znajduje się narzędzie do edycji kodu, które umożliwia zmianę motywu i wtyczek podczas konfigurowania witryny.
Wygląd>Edytor to miejsce, w którym go znajdziesz. Możesz również uzyskać dostęp do edytora wtyczek, wybierając Wtyczki> Edytor.
Zalecamy wyłączenie tej funkcji, gdy witryna będzie już online. Hakerzy mogą wprowadzić subtelny, szkodliwy kod do Twojego motywu i wtyczki, jeśli uzyskają dostęp do Twojego panelu administracyjnego WordPress.
Kodowanie jest często tak subtelne, że nie zdasz sobie sprawy, że coś jest nie tak, dopóki nie będzie za późno.
Wystarczy wpisać następujący kod do pliku wp-config.php.
define('DISALLOW_FILE_EDIT', true);Ten proces pomoże Ci zapobiec możliwości zmiany wtyczek i plików motywów z pulpitu nawigacyjnego.
Wyłącz XML-RPC w WordPress
Od wersji WordPress 3.5 XML-RPC jest domyślnie włączony, aby pomóc Ci połączyć witrynę WordPress z aplikacjami mobilnymi i usługami internetowymi.
Atak brute-force może zostać znacznie wzmocniony przez XML-RPC ze względu na jego potężny charakter.
W przeszłości, jeśli haker chciał wypróbować 500 różnych haseł w Twojej witrynie, musiałby logować się 500 razy. Wtyczka blokady logowania przechwyciłaby i blokowała te próby.
Jednak dzięki XML-RPC haker może użyć funkcji system.multicall, aby wypróbować tysiące haseł za pomocą zaledwie 20 lub 50 żądań.
Dlatego, jeśli nie używasz XML-RPC, powinieneś go wyłączyć. Może to być obsługiwane przez zaporę sieciową, jeśli używasz wspomnianej powyżej zapory sieciowej.
Ukryj pliki wp-config.php i .htaccess
Ukrywanie plików .htaccess i wp-config.php witryny, aby uniemożliwić hakerom dostęp do nich, jest wyrafinowaną metodą zwiększania bezpieczeństwa witryny, ale jest to mądra praktyka, jeśli poważnie myślisz o swoim bezpieczeństwie.
Zdecydowanie zalecamy doświadczonym programistom skorzystanie z tej opcji, ponieważ najpierw należy wykonać kopię zapasową witryny i zachować ostrożność. Każdy błąd może spowodować, że Twoja witryna będzie niedostępna.
Po utworzeniu kopii zapasowej musisz wykonać dwie czynności, aby ukryć pliki:
Aby rozpocząć, dodaj następujący kod do pliku wp-config.php:
<Files wp-config.php> order allow,deny deny from all </Files>W podobny sposób dodasz następujący kod do pliku .htaccess.
<Files .htaccess> order allow,deny deny from all </Files>Chociaż procedura jest prosta, powinieneś upewnić się, że masz kopię zapasową na wypadek, gdyby coś poszło nie tak.
Usuń wersję WP
Omówiliśmy wcześniej aktualizacje WordPressa. Teraz logiczne jest również ukrywanie wersji WordPressa przed hakerami.
Jestem ciekaw, jak mogą zobaczyć wersję WordPressa, na której jesteś, biorąc pod uwagę, że masz dane logowania.
Hakerzy mogą łatwo sprawdzić wersję WordPressa na stronie źródłowej. Wszystko, co muszą teraz zrobić, to
CTRL F – kliknij prawym przyciskiem myszy (na stronie) – Wyświetl źródło strony (Wyszukaj wersję). Będzie przypominał tag widoczny poniżej.
Włącz zaporę sieciową aplikacji internetowej
Prawdopodobnie znasz koncepcję zapory, czyli programu, który pomaga chronić komputer przed różnego rodzaju złośliwymi atakami. Prawie na pewno masz zainstalowaną zaporę sieciową na swoim komputerze.
Zapora aplikacji sieci Web (WAF) to rodzaj zapory zaprojektowanej specjalnie do ochrony witryn internetowych. Można chronić serwery, określone witryny internetowe lub duże grupy witryn internetowych.
Zapora aplikacji internetowej (WAF) w Twojej witrynie WordPress będzie działać jako zapora między Twoją witryną a resztą Internetu. Zapora sieciowa wyszukuje podejrzane zachowanie, wykrywa ataki, wirusy i inne niepożądane zdarzenia oraz blokuje wszystko, co uzna za niebezpieczne.
Zainstaluj certyfikat SSL
SSL lub Secure Sockets Layer jest obecnie szeroko stosowany we wszystkich typach witryn internetowych. Początkowo SSL był wymagany, aby strona była bezpieczna dla określonych procesów, takich jak przetwarzanie płatności. Dzisiaj jednak Google zdał sobie sprawę ze swojego znaczenia i zapewnia witrynom obsługującym SSL wyższą pozycję w wynikach wyszukiwania.
SSL jest wymagany dla każdej witryny, która obsługuje poufne dane, takie jak hasła czy numery kart kredytowych. Wszystkie dane między przeglądarką internetową użytkownika a serwerem internetowym są przesyłane w postaci zwykłego tekstu, jeśli nie masz certyfikatu SSL.
Hakerzy mogą to przeczytać. Korzystanie z protokołu SSL szyfruje ważne informacje, zanim zostaną przesłane między ich przeglądarką a serwerem, co utrudnia ich odczytanie i zwiększa bezpieczeństwo witryny.
Średnia cena SSL dla stron internetowych, które akceptują poufne informacje, wynosi około 70-199 USD rocznie. Nie musisz płacić za certyfikat SSL, jeśli nie akceptujesz żadnych wrażliwych danych. Prawie każdy dostawca usług hostingowych udostępnia bezpłatny certyfikat Let's Encrypt SSL, którego możesz użyć do zabezpieczenia swojej witryny.
Powiedz nie pustym motywom
Motyw premium WordPress wygląda bardziej profesjonalnie i oferuje więcej opcji dostosowywania niż darmowy motyw. Niezależnie od tego, trudno jest kłócić się, że dostajesz to, za co płacisz darmowym motywem.
Wszystkie motywy premium są projektowane przez bardzo doświadczonych programistów i są testowane przed opublikowaniem. Jeśli coś pójdzie nie tak z Twoją witryną, możesz uzyskać pełne wsparcie. Nie ma ograniczeń dotyczących dostosowywania motywu. Ponadto aktualizowanie motywu jest regularne.
Niektóre witryny oferują również motywy zerowane lub pęknięte. Motywy zerowane to wersje motywów premium, które zostały zhakowane i są dostępne nielegalnie. Może to narazić Twoją witrynę na ryzyko. Złośliwe kody ukryte w tych motywach mogą zniszczyć Twoją witrynę i bazę danych lub wykraść dane logowania.
Chociaż można zaoszczędzić trochę pieniędzy, ważne jest, aby każdy właściciel witryny unikał używania tych pustych motywów WordPress.
Regularna aktualizacja wersji WordPress
Najskuteczniejszym sposobem na zapewnienie bezpieczeństwa witryny WordPress jest aktualizowanie jej. Przy każdej aktualizacji często wprowadzanych jest kilka zmian, w tym aktualizacje zabezpieczeń. Regularne aktualizowanie oprogramowania może zapobiec staniu się celem exploitów i luk, z których hakerzy korzystają, aby uzyskać dostęp do Twojej witryny.
Te same powody dotyczą aktualizacji wtyczek i motywów.
Drobne aktualizacje są domyślnie pobierane automatycznie przez WordPress. Aktualizacje, które wymagają poważnych zmian, muszą być jednak wykonywane bezpośrednio z pulpitu administracyjnego WordPress.
Zmień prefiks tabeli bazy danych
Być może zauważyłeś okno dialogowe z prośbą o podanie określonego prefiksu, aby rozpocząć coś takiego jak wp_ podczas instalowania WordPressa na swoich serwerach. To właśnie oznacza. To jest baza danych Twojej witryny WordPress. Nazwa folderu to wp_.
Nic dziwnego, że tak zwani hakerzy mogą wydedukować to, co wspólne. Dobrym pomysłem jest również zmodyfikowanie prefiksu wszystkiego, co utworzyłeś. Wszystko idzie w mywpsite_, friendswp_ i tak dalej.
Mogę to po prostu osiągnąć, uzyskując dostęp do bazy danych Twojej witryny. Jeśli jednak nie znasz wszystkich szczegółów technicznych, wtyczki są zawsze dostępne.
Zainstaluj najlepszą wtyczkę bezpieczeństwa WordPress
Istnieje kilka wtyczek bezpieczeństwa do WordPressa, zarówno darmowych, jak i premium. I to świetny wybór, aby zainstalować jedną z wtyczek do swojej witryny WordPress.
W tym przewodniku zobaczymy, jak możemy stworzyć solidne środowisko bezpieczeństwa wokół naszej witryny WordPress za pośrednictwem Defender Pro zbudowanego przez WPMU DEV.
Najważniejsze funkcje Defender Pro
Potężne bariery bezpieczeństwa WordPress i technologie maskowania Defendera przeciwko hakerom, brutalnym siłom i szkodliwym botom.
- Regularne kontrole bezpieczeństwa
- Blokada geolokalizacji IP
- Maskowanie i ochrona loginów
- Rejestrowanie audytów
- Uwierzytelnianie z wykorzystaniem dwóch czynników
- Monitorowanie listy zablokowanych
- Raporty o podatnościach
- Przywracanie i naprawianie zmienionych plików
Zainstaluj wtyczkę Defender Pro WordPress
Po zainstalowaniu Defender Pro znajdziesz skategoryzowaną opcję, która jest łatwa do zrozumienia nawet dla początkującego.
Pulpit nawigacyjny, rekomendacje, skanowanie złośliwego oprogramowania, rejestrowanie audytu, zapora, WAF, narzędzia 2FA, ustawienia, samouczki.
Po zakończeniu skanowania zobaczysz taki ekran w Defender Pro Dashboard.
Gdy witryna wykryje problem z bezpieczeństwem, wtyczka poda porady, jak postępować w przypadku rozwiązania problemu. To interesujące.
Defender Pro idzie o krok dalej, dostarczając dokładne, praktyczne sugestie, które są dostosowane do witryny i uwzględniają obecne i przyszłe zagrożenia.
To, co wyróżnia te sugestie, to fakt, że możesz dostosować podejmowane działania.
Jeśli przypadkowo włączysz opcję „ zaktualizuj stare klucze bezpieczeństwa ”, nadal możesz wyłączyć lub zmienić częstotliwość przypominania. Dzięki temu witryna jest bezpieczna i aktualna.
Wniosek – Bezpieczeństwo WordPress
Metoda zabezpieczenia witryny WordPress może zająć trochę czasu, ale w końcu będzie tego warta. Zamiast mówić, że moja witryna WordPress została zhakowana.
Pokazałem wam zarówno metody dla majsterkowiczów, jak i wtyczkę. Tak czy inaczej, zdecydujesz się, bezpieczeństwo witryny WordPress ma kluczowe znaczenie dla każdego użytkownika.
20% zniżki na WPMU Dev
Defender Pro to fantastyczna wtyczka bezpieczeństwa, która chroni Twoją witrynę WordPress. Możesz uzyskać 20% zniżki na WPMU DEV na członkostwo.