Bezpieczeństwo WordPress: popraw bezpieczeństwo swojej witryny dzięki tym krokom

Opublikowany: 2018-05-23

W sieci najwięcej stron internetowych działa na platformie WordPress. Oznacza to, że WordPress rządzi w sieci. Przyciąga uwagę szkodliwych elementów w sieci. Dlatego Google co roku blokuje prawie 20 tys. witryn pod kątem złośliwego oprogramowania i 50 tys. witryn pod kątem phishingu.

W tak ponurym scenariuszu bezpieczeństwo witryny staje się kluczowe. Odnotowane incydenty ataków są największe na platformie WordPress ze względu na większą liczbę stron internetowych korzystających z kodu WordPress. Dlatego dzisiaj chciałbym podkreślić kilka praktycznych kroków, które pomogą Ci zabezpieczyć Twoją witrynę WordPress.

Zabezpieczanie wejścia użytkowników Twojej witryny WordPress

W prawdziwym życiu, gdy chcemy zabezpieczyć pomieszczenie takie jak dom, biuro lub fabryka, najpierw przyglądamy się punktom dostępu, w których złośliwe lub złośliwe elementy mogą próbować uzyskać dostęp. Ta sama strategia musi dotyczyć zabezpieczenia witryny WordPress.

Teraz oceńmy możliwe punkty wejścia za pośrednictwem hakerów lub niewłaściwie zamierzonych użytkowników, którzy mogą uzyskać dostęp do twojego zaplecza lub kodu źródłowego. Domyślnie URL dostępu do backendu WordPress kończy się na:

/wp-login.php lub /wp-admin/

Dlatego musisz podjąć odpowiednie kroki, aby zablokować wejście niechcianych użytkowników na Twoją stronę backendową WordPressa.

Zmień adres URL logowania

Jeśli jesteś programistą WordPress, wiesz już, jak zmienić domyślny adres URL zaplecza witryny, ale w przypadku zaawansowanych użytkowników lub użytkowników typu „zrób to sam” zaawansowana wtyczka bezpieczeństwa lub rozszerzenie może ci to umożliwić. W ten sposób możesz się zmienić

  • /wp-login.php do /Twoja-nazwa-domeny-login.php
  • /wp-admin/lub /Twoja-Nazwa-Domeny-admin/
  • /wp-login.php?action=register lub /Twoja-nazwa-domeny-rejestracja

W ten sposób tego rodzaju dostosowany adres URL może w znacznym stopniu pomóc w ochronie przed atakami typu brute force.

Zmień nazwę użytkownika

Domyślnie większość programistów WordPress ustawia słowo kluczowe „Admin/admin” jako nazwę użytkownika. Dzięki temu hakerzy i niechciani użytkownicy mają łatwy dostęp do zaplecza witryny WordPress i muszą używać bazy danych Guess Work Database (GWDb) tylko po to, aby odgadnąć hasło.

Jeśli zmienisz domyślną nazwę użytkownika na coś nieprzewidywalnego, na przykład adres e-mail, możesz zmniejszyć zagrożenie ze strony atakujących i ich oprogramowania.

Zmień hasło

There are many ways to protect the password.

Podobnie jak nazwa użytkownika, hasło jest zawsze zagrożone. Istnieje wiele sposobów ochrony działań związanych z odgadywaniem hasła. Na przykład użycie bardzo złożonego hasła z kombinacją małych i wielkich liter, cyfr i symboli.

Jednak najnowsze trendy uwierzytelniania dwuskładnikowego to doskonały i solidny sposób zabezpieczenia dostępu do zaplecza dla wszystkich poziomów użytkowników. Telefony komórkowe/smartfony to poręczne urządzenia umożliwiające dostęp do OTP (hasło jednorazowe) w celu uwierzytelnienia systemu 2FA.

Ustawienia blokady i bana

Aby zapobiec próbom brutalnej siły i wdrożyć blokadę lub blokadę tych adresów IP, dostępnych jest wiele wtyczek i oprogramowania, które rozpoznają powtarzające się próby logowania lub rejestracji. Wtyczki umożliwiają ustawienie liczby nieudanych prób i zapewniają inne funkcje zapobiegające nieautoryzowanemu dostępowi do zaplecza witryny.

Zabezpieczanie panelu administracyjnego Twojej witryny WordPress

For WordPress backend users, the dashboard is the most engaging and highly used part of the backend.

Dla użytkowników zaplecza WordPress, pulpit nawigacyjny jest najbardziej angażującą i najczęściej używaną częścią zaplecza. Zapewnia wszystkie narzędzia i opcje do zarządzania całą witryną, od domyślnego użytkowania po dostosowywanie. Jeśli ktoś pomyślnie zhakuje pulpit nawigacyjny, okaże się to największym zwycięstwem hakerów i najbardziej szkodliwym dla właścicieli witryn.

Dlatego powinniśmy podjąć specjalne środki dla pulpitu administracyjnego WordPress . Poniżej przedstawiono możliwe środki, które możemy odtąd brać pod uwagę.

Zadbaj o katalog „wp-admin”

Wszystko jest umieszczone w katalogu wp-admin, który umożliwia zarządzanie całymi witrynami internetowymi, w tym zasobami i plikami. Dlatego zapobieganie nieautoryzowanemu dostępowi do katalogu oznacza z góry wyeliminowanie większości najgorszych.

Istnieje kilka wtyczek opracowanych przez społeczność WordPressa, aby chronić hasłem katalogu. Dlatego administratorzy WordPressa muszą używać dwóch różnych haseł, aby uzyskać dostęp do pulpitu nawigacyjnego. Jeden dla strony logowania, a drugi dla pulpitu nawigacyjnego. Takie wtyczki automatycznie generują plik [.htpasswd], a następnie szyfrują hasło i konfigurują uprawnienia do pliku.

Dodaj administratorów z wystarczającą ostrożnością

Oprócz superadministratora, który ma wszystkie uprawnienia zaplecza, inni użytkownicy mają również dostęp do zaplecza z różnymi poziomami dostępu do funkcji i funkcji zaplecza. Dostęp do zaplecza oparty na rolach jest możliwy i możesz przyznać im różne nazwy użytkownika, a także hasła, które uważasz za najbezpieczniejsze.

Monitoruj ważne pliki w katalogu administratora

Możesz użyć niektórych wtyczek do monitorowania podejrzanych działań dla wszystkich administratorów, aby podejmować pomiary w czasie rzeczywistym po wykryciu zagrożeń bezpieczeństwa.

Zaszyfruj dane

Security Socket Certificate (SSL)

Jeśli wdrożyłeś certyfikat Security Socket (SSL), który wykorzystuje najnowszą technologię szyfrowania do ochrony przechowywanych i wymienianych danych, możesz zapobiec wszystkim, którzy się nie zgadzają, i zabezpieczyć całe obszary administracyjne WP, a także witrynę.

Zabezpieczanie bazy danych Twojej witryny WordPress

Platforma WordPress w dużym stopniu opiera się na bazie danych, ponieważ wszystkie zasoby witryny są przechowywane w bazach danych w większości w formatach tabelarycznych w bazach danych typu SQL, czy to teksty, obrazy, kod układu, treści multimedialne i wszystko, co znajduje się w witrynie WordPress, ma miejsce w bazie danych.

Aby chronić bazy danych przed wstrzyknięciami SQL i innymi cyberatakami, możesz chronić swoją bazę danych za pomocą następujących środków.

Ustaw hasło do bazy danych

Możesz ustawić silne hasło do swojej bazy danych i ograniczyć dostęp do bazy do roli superadministratora, aby zminimalizować możliwość ingerencji w bazę danych lub błędów.

Zmień prefiks WP

Jeśli zamierzasz zainstalować witrynę WordPress, możesz napotkać ustawienie tabeli bazy danych i jest to prefiks tabeli WP. Domyślnie jest to wp- i musisz go zmienić, aby zapobiec wstrzykiwaniu SQL, takim jak ataki na bazy danych. Możesz zmienić go z wp- na Twoja-Nazwa-Domeny jak niestandardowy prefiks.

Wykonuj regularne kopie zapasowe bazy danych

Możesz mieć regularną kopię zapasową całej witryny lub nie, ale zorganizowanie kopii zapasowej bazy danych może uchronić Cię przed utratą danych z różnych znanych i nieznanych przyczyn. Dziś mamy wtyczki do tworzenia kopii zapasowych ze specjalnymi uprawnieniami do wykonywania kopii zapasowych bazy danych z różną częstotliwością .

Zabezpieczanie hostingu Twojej witryny WordPress

W dzisiejszych czasach hosting strony internetowej ma kluczowe znaczenie dla jej sukcesu, ponieważ wyszukiwarki wymagają idealnego hostingu przyjaznego SEO, aby spełnić wymagania dotyczące rankingu. Podobnie użytkownicy witryny, w tym użytkownicy zaplecza i użytkownicy frontendu, optymalizacja wydajności , optymalizacja konwersji i wrażenia użytkowników w dużej mierze zależą od środowiska hostingowego i jakości hostingu jako całości.

Dziś mamy kilka opcji hostingu innych niż domyślne usługi hostingu społeczności WordPress, takie jak hosting współdzielony, hosting VPS, hosting dedykowany i, co najważniejsze, usługi hostingowe w chmurze, takie jak Kinsta , dla różnej skali i wielkości stron internetowych.

Bezpieczny plik wp-config.php

Secure wp-config.php File.

Dostęp do plików WordPress wp-config.php jest kluczowym osiągnięciem dla hakerów, aby łatwo osiągnąć swoje złe intencje, ponieważ zawiera bardzo krytyczne informacje dotyczące całej instalacji WordPress.

Najlepszym sposobem jest przeniesienie pliku na wyższy poziom niż katalog główny. Możesz to zrobić łatwo, ponieważ WordPress może to zobaczyć, nawet jeśli znajduje się poza katalogiem głównym WordPressa. Dzięki temu serwer może łatwo znaleźć go na wyższym poziomie.

Edycja pliku zakazu

Na serwerze hostingowym źródło witryny zawiera kilka plików z krytycznymi informacjami i uprawnieniami do płynnego działania witryny. Jeśli hakerzy lub złośliwe elementy złamią serwer i uzyskają dostęp do tych plików, mogą wyrządzić szkody o różnej intensywności.

Jeśli nie zezwolisz na edycję plików dla kogokolwiek poza superadministratorem, możesz łatwo zaoszczędzić na tych stratach. Możesz to zrobić, po prostu dodając linię kodu na końcu pliku wp-config.

Zachowaj ostrożność podczas ustawiania uprawnień do katalogu

Katalogi, podkatalogi i pliki na serwerze hostingowym to ważne aspekty bezpieczeństwa WordPressa. Jeśli źle ustawisz uprawnienia dla tych składników Twojej witryny. Możesz zwiększyć szanse na ataki, gdy serwer i tak zostanie naruszony.

Dlatego musisz ustawić 755 uprawnienia do katalogów/podkatalogów i 644 uprawnienia do plików. Korzystając z narzędzi File Manager dostępnych w hostingu/c-Panel, możesz łatwo ustawić lub zmienić uprawnienia. Aby uzyskać więcej informacji o uprawnieniach do plików — Zrozumienie uprawnień do plików i używanie ich do zabezpieczania witryny .

Prawidłowe połączenie z serwerem

Tradycyjnie do połączenia z serwerem używamy protokołu FTP. Ale SFTP lub SSH jest dziś bezpieczniejszym i bardziej niezawodnym sposobem na nawiązanie połączenia z serwerem.

Zabezpieczanie motywów i wtyczek Twojej witryny WordPress

WordPress Security - Securing Themes of Your WordPress Site.

Większość motywów i wtyczek WordPress jest opracowywanych przez zewnętrznych programistów. Nie są one całkowicie niezawodne z punktu widzenia bezpieczeństwa. Dlatego musisz podjąć pewne kroki, aby je bezpiecznie renderować. Na przykład:

Bierz regularne aktualizacje

Podobnie jak Twoja witryna WordPress, twórcy wtyczek i motywów/firmy również wydają aktualizacje, aby nadążyć za wersjami WordPress i naprawiać błędy i problemy, które poznają dzięki opiniom użytkowników. Dlatego staraj się regularnie instalować ich aktualizacje za pomocą pulpitu nawigacyjnego za pomocą odpowiedniej wtyczki.

Ukryj informacje o wersji WordPress

W przypadku atakujących znajomość informacji o wersji WordPress, takich jak numer, może pomóc w opracowaniu dostosowanego ataku, a informacje o wersji są łatwo dostępne w źródle WordPress. Jeśli możesz usunąć te informacje o wersji samodzielnie lub z pomocą dedykowanego programisty WordPressa , możesz nieco utrudnić życie napastnikom.

Wniosek

Powyższy post napisałem z myślą o początkujących i średniozaawansowanych programistach WordPress, a także dedykowanych programistach wtyczek do WordPressa. Dlatego wdrożenie opisanych wskazówek w celu zabezpieczenia witryny WordPress byłoby trudne bez pomocy odpowiednich i najnowszych wtyczek zabezpieczających WordPress. Polecam następujące wtyczki do zainstalowania na swojej stronie i uczynienie jej bezpieczniejszym niż kiedykolwiek:

  • Wszystko w jednym WP Security & Firewall
  • Ochrona logowania Brute Force
  • Bezpieczeństwo kuloodporne
  • Google Authenticator
  • iThemes Security, dawniej Better WP Security
  • Wtyczka Sucuri Security WordPress
  • SłowoPłot
  • Ochrona witryny antywirusowej WP

Jeśli nadal masz zamieszanie i chcesz skorzystać z pomocy fachowych rąk. Perception System zapewnia usługi programistyczne WordPress, a także możliwość zatrudniania programisty WordPress, aby pomóc potrzebującym klientom uczynić ich witrynę całkowicie bezpieczną i bezpieczną.