Bezpieczeństwo WordPress – podstawowe wskazówki dla każdego właściciela witryny

Czy wiesz, że co minutę na witryny WordPress dochodzi do ponad 90 978 ataków ? Na szczęście, mimo że liczba ta wydaje się ogromna, jeśli zastosujesz się do podstawowych zasad bezpieczeństwa, możesz zapobiec większości potencjalnych ataków i zabezpieczyć swoją witrynę przed atakami.

A przynajmniej tak utrudnić włamanie, że hakerzy woleliby wziąć na cel jeden z tysięcy słabo zabezpieczonych. Co nie jest takie trudne, zwłaszcza jeśli weźmiesz pod uwagę, że wiele ataków jest przeprowadzanych po tym, jak automatyczne skanery luk w zabezpieczeniach znajdą potencjalne sposoby. Jak więc podnieść bezpieczeństwo witryny WordPress? Oto 6 podstawowych wskazówek.

1. Aktualizuj instalację WP, motywy i wtyczki

Bez myślenia, ale często ignorowany. Według WordPress.org 1/3 wszystkich witryn WordPress nie została zaktualizowana do najnowszej wersji. Co więcej, prawie 2/3 wszystkich hostów internetowych używa PHP starszego niż 7.0. Przestarzała instalacja WordPressa i frameworki serwerowe stanowią ogromne zagrożenie dla Twojej witryny i zwiększają ryzyko skutecznego włamania, ponieważ hakerzy będą próbować uzyskać dostęp do Twojej witryny za pomocą niezałatanych luk w zabezpieczeniach.

W rzeczywistości, jeśli będziesz aktualizować wszystkie swoje motywy, wtyczki, a także WordPress, będziesz bezpieczniejszy niż 75% wszystkich legalnych witryn — ponieważ szacuje się, że trzy na cztery witryny zawierają niezałatane luki w zabezpieczeniach. Na szczęście uzyskanie najnowszych wersji wtyczek WP, motywów i samego WP jest dość proste – wystarczy kilka kliknięć przycisku.

Jednocześnie upewnienie się, że na serwerze działa najnowsza wersja PHP, może być nieco bardziej czasochłonne. Dlatego najlepiej jest po prostu skontaktować się z pomocą techniczną hostingu i poprosić o wskazanie przewodnika, w jaki sposób możesz go uaktualnić samodzielnie, a nawet poprosić o uaktualnienie go dla Ciebie.

2. Zainstaluj skaner złośliwego oprogramowania i zaporę sieciową

Jeśli myślałeś, że tylko Twój komputer może zostać dotknięty złośliwym oprogramowaniem, wirusami i atakami typu brute force, nie możesz się bardziej mylić. Nie tylko WordPress może zostać zaatakowany, ale w rzeczywistości jest to najbardziej zainfekowana strona internetowa CMS , co najprawdopodobniej ma wiele wspólnego z jej popularnością.

Dobrą wiadomością jest to, że istnieje wiele darmowych i płatnych zapór sieciowych oraz skanerów złośliwego oprogramowania dla WordPressa. Jednym z najpopularniejszych jest Wordfence Security , który oferuje zarówno skanowanie złośliwego oprogramowania, jak i zaporę sieciową, i jest dostępny zarówno w wersji bezpłatnej, jak i płatnej.

3. Zdobądź VPS i zamień go w fortecę

W porównaniu do hostingu współdzielonego, VPS pozwala kontrolować każdy aspekt jego konfiguracji. Dzięki temu możesz nie tylko przyspieszyć działanie swojej strony internetowej, ale także zadbać o odpowiednie zabezpieczenie jej środowiska hostingowego – serwera.

Na niezarządzanym serwerze VPS wybór systemu operacyjnego (na przykład CentOS jest uważany za bezpieczniejszy w porównaniu z Ubuntu), zapory ogniowej i innego instalowanego oprogramowania, takiego jak skanery złośliwego oprogramowania (które należy zainstalować zarówno w systemie WordPress, jak i sam serwer).

Co więcej, instalując WordPress na serwerze VPS, na którym masz uprawnienia roota, łatwo jest zmienić takie rzeczy, jak hasła MySQL lub zmienić nazwy folderów WordPress i ponownie skonfigurować ich pliki, aby zmniejszyć ryzyko potencjalnego ataku. Chociaż niektóre z nich można również zrobić za pomocą wtyczek zabezpieczających

Oczywiście, aby czerpać wszystkie korzyści z wirtualnego serwera prywatnego (szybkość, elastyczność i skalowalność, by wymienić tylko kilka), powinieneś wynająć serwer od firmy, która oferuje różne pakiety cenowe, które są łatwe do uaktualnienia, jeśli potrzebujesz więcej zasobów. Świetny przykład takiej oferty można zobaczyć tutaj .

4. Ukryj /wp-admin i swoją instalację WordPress

Po co w ogóle mówić światu, że korzystasz z WordPressa? Chociaż jest to świetny system zarządzania treścią, niekoniecznie musisz się nim chwalić. Zwłaszcza, że ​​dostarcza potencjalnemu intruzowi cennych informacji. Na przykład, chyba że ukryjesz WordPress, strony internetowe, takie jak Co to jest motyw WordPress? ujawniać informacje nie tylko o używanym motywie, ale także o niektórych wtyczkach. To jak powiedzenie hakerowi hej, oto jak możesz dostać się do środka:

Jak więc ukryć informacje o swojej witrynie WP przed wścibskimi oczami potencjalnych intruzów? Na szczęście nie potrzebujesz żadnych umiejętności technicznych. Tam, gdzie jest zapotrzebowanie, istnieją wtyczki do WordPressa, których możesz użyć do tego celu – najpopularniejsza to Hide My WP by the wave, która może ukryć Twoją stronę logowania i sprawić, że szczegóły Twojej witryny WordPress będą niewidoczne (niestety są brak darmowej wersji).

Alternatywnie możesz uzyskać bezpłatną wersję iThemes Security , która nie zapewnia tak wielu opcji ukrywania (chociaż pozwala ukryć stronę logowania), ale ma wiele innych korzyści związanych z bezpieczeństwem.

5. Zmień swoją nazwę użytkownika WP i trzymaj ją w ukryciu

Podobnie jak nie powinieneś używać słowa hasło jako rzeczywistego hasła, pozostawienie domyślnego administratora nazwy użytkownika WordPress może mieć tragiczne konsekwencje. W końcu jest to prawdopodobnie pierwsza rzecz, jaką każdy potencjalny intruz spróbuje odgadnąć, więc używając jej, niesamowicie ułatwiasz im poznanie szczegółów twojego konta administratora.

Jak to zmienić? Możesz to zrobić na dwa sposoby. Możesz poszukać wtyczki, która zrobi to za Ciebie lub przejść ręczną drogą. Osobiście wolę to drugie – bo to równie szybkie i łatwe, a każdy może to zrobić. Ale ponieważ WordPress nie daje gotowej opcji zmiany tego, musisz użyć małego obejścia. Najpierw zaloguj się do swojej witryny i przejdź do Użytkownicy > Dodaj nowy.

Tam wprowadź nazwę użytkownika nowego konta administratora i upewnij się, że ustawiłeś rolę użytkownika na Administrator. Gdy to zrobisz, kliknij Pokaż hasło i zmień lub skopiuj domyślne (bezpieczne) hasło.

Po utworzeniu użytkownika wyloguj się z serwisu i zaloguj przy użyciu nowego użytkownika. Przejdź do Użytkownicy > Wszyscy użytkownicy i usuń stare konto administratora WordPress. Ale to nie wszystko. Potrzebujesz konta, aby publikować swoje posty, prawda? Zamiast publikować je za pomocą administratora, który dzięki permalinkom sprawia, że ​​jego nazwa użytkownika jest łatwa do odgadnięcia (chyba że się z nimi pobawisz), załóż osobne konto. Tym razem zamiast ustawiać jego rolę na administratora, ustaw ją na taką, która nie ma uprawnień administratora (np. autora lub redaktora).

Po zakończeniu ustaw autora wszystkich istniejących postów na nowego użytkownika (możesz to zrobić w Wszystkie posty > Szybka edycja pod każdym artykułem).

6. Zabezpiecz istniejące konta użytkowników WordPress

Czy pracujesz z wirtualnymi asystentami lub masz pracowników, którzy mogą uzyskać dostęp do Twojej witryny WordPress? W takim przypadku najlepiej nie udostępniać im wszystkich wtyczek i danych. Ostatecznie prawdopodobnie nie muszą być w stanie skonfigurować wszystkich wtyczek w Twojej witrynie. I jeśli nie są zaufanymi programistami, zdecydowanie nie powinni mieć dostępu do edytora motywów. Jak ograniczyć ich dostęp? Jednym ze sposobów jest utworzenie ich kont i ustawienie ich ról na jedną z domyślnych roli współtwórcy, autora lub redaktora.

Ale co, jeśli chcesz zablokować im więcej niż ograniczają te role, jednocześnie dając im dostęp do części witryny, których domyślne ustawienia nie zapewniają? W takim przypadku możesz skorzystać z darmowej wtyczki, takiej jak User Role Editor , która umożliwia tworzenie nowych ról i ustawianie, do jakich elementów witryny mają dostęp.

7. Monitoruj aktywność poprzez dziennik audytu

A co, jeśli nie możesz po prostu ograniczyć użytkownikom dostępu do większości podatnych na ataki elementów w swojej witrynie, ale chciałbyś przynajmniej wiedzieć, kto co zmienił lub edytował, na wypadek gdyby coś poszło nie tak? Aby uzyskać przegląd w formie kompleksowego dziennika audytu, możesz zainstalować dziennik audytu bezpieczeństwa WP . Jego bezpłatna wersja jest więcej niż wystarczająca, aby zapewnić wygodny przegląd aktywności Twoich pracowników i VA:

8. Spraw, aby logowanie było bezpieczniejsze za pomocą Google Authenticator

Mówiąc o użytkownikach, jest jeszcze jedna rzecz, którą możesz zrobić, aby Twoja witryna była jeszcze bezpieczniejsza. Wyobraź sobie, że skradziono Twoje dane uwierzytelniające WordPress (lub dane Twoich pracowników). W takim przypadku, w zależności od roli użytkownika Twojego pracownika, intruz może uzyskać dostęp do całej witryny WP. Aby temu zapobiec, rozważ dodanie uwierzytelniania dwuskładnikowego podczas logowania. Najłatwiej to zrobić za pomocą wtyczki Google Authenticator . Gdy to zrobisz, nawet jeśli ktoś uzyska Twoją nazwę użytkownika i hasło, nie będzie mógł się zalogować bez kodu dostarczonego przez aplikację Google Authenticator.

Jak widać, mimo że WordPress jest uważany za najbardziej podatny na ataki system zarządzania treścią spośród wszystkich popularnych, nie jest trudno zminimalizować lub nawet całkowicie pozbyć się najczęstszych zagrożeń i zabezpieczyć najbardziej zagrożone elementy w witrynie.

Jeśli zastosujesz się do powyższych wskazówek, zachowaj ostrożność podczas udostępniania swojej witryny innym osobom i dbaj o aktualność elementów witryny, witryny, a wraz z nią, Twoja firma będzie zabezpieczona przed potencjalnymi intruzami. Nie wspominając już o tym, ile możesz zaoszczędzić, zapobiegło tylko naruszeniu bezpieczeństwa.