Wzmacnianie WordPressa: jak zapewnić bezpieczeństwo swojej witryny WordPress

Jeśli kiedykolwiek zostałeś zhackowany, wiesz, jaki to może być koszmar. Może być trudno zrozumieć, które kroki bezpieczeństwa WordPress pomogą zabezpieczyć Twoją witrynę WordPress.

Czytaj dalej, aby dowiedzieć się, jak zabezpieczyć witrynę WordPress. Poznaj właściwe kroki, aby wzmocnić WordPress i uzyskaj listę kontrolną bezpieczeństwa witryny WordPress.

Co to jest utwardzanie WordPressa?

WordPress stanowi około 40% wszystkich stron internetowych. Z tego powodu osoby, które wiedzą, jak wykorzystać WordPressa, mogą łatwo znaleźć wiele celów. Na szczęście jest wiele rzeczy, które możesz zrobić, aby znacznie utrudnić im pracę. Nazywa się to hartowaniem WordPressa.

Dlaczego bezpieczeństwo WordPressa jest ważne

Zhakowanie jest nie tylko kłopotliwe, ale może prowadzić do przestojów, utraty danych i wycieku informacji. Może to przełożyć się na utratę sprzedaży i słabą reputację marki. Poza tym przywrócenie i ponowne uruchomienie wszystkiego może wymagać dużo pracy.

Wzmacnianie WordPress: 10 kroków bezpieczeństwa WordPress do wykonania

Istnieją cztery główne sposoby, w jakie hakerzy mogą uzyskać dostęp do zhakowania Twojej witryny Wordpress:

• Uzyskanie hasła lub sesji i zalogowanie się.
• Poprzez dostęp pośredni, taki jak FTP, SSH lub baza danych.
• Odkrywając informacje w Twoim katalogu głównym.
• Poprzez luki w kodzie WordPress lub wtyczkach.

Najprostszym sposobem uzyskania dostępu do Twojej witryny jest po prostu zalogowanie się. Oto kilka sposobów na zabezpieczenie WordPressa przed złodziejami haseł.

1. Zabezpiecz urządzenie, z którego się łączysz

Jedną ważną rzeczą, którą łatwo przeoczyć, jest komputer, z którego się łączysz. Jeśli nie jest bezpieczny, może to również narazić serwer na atak. Dlatego bardzo ważne jest posiadanie skanera antywirusowego i zapory sieciowej, aktualizowanie komputera i ćwiczenie nawyków bezpiecznego przeglądania.

2. Zabezpiecz połączenie z serwerem

Nawet jeśli Twój komputer jest bezpieczny, Twoje hasło lub sesje mogą zostać skradzione w drodze na serwer. Aby temu zapobiec, upewnij się, że używasz protokołu HTTPS podczas logowania do swojego zaplecza WordPress.

Powiązana lektura: Przewodnik dla początkujących po optymalizacji wydajności WordPress >>

Lepiej zawsze łączyć się z serwerem za pomocą domowego lub firmowego połączenia przewodowego albo połączenia Wi-Fi, które używa długiego, losowego hasła Wi-Fi. Jeśli musisz połączyć się za pomocą publicznego hotspotu, zdecydowanie będziesz chciał zainwestować w VPN.

3. Uniemożliw ludziom odgadnięcie hasła

Kiedy atakujący używa skryptu, aby szybko wypróbować różne kombinacje nazwy użytkownika i hasła, dopóki nie odgadnie właściwej, nazywa się to atakiem brute force. Aby zapobiec atakom typu brute force, używaj długiego hasła zawierającego duże i małe litery oraz cyfry i znaki specjalne.

Aby jeszcze bardziej utrudnić tę technikę, możesz uzyskać wtyczki, które pomogą. Poszukaj wtyczek uwierzytelniania dwuskładnikowego, wtyczek, które dodają captcha do formularza logowania oraz wtyczek, które ograniczają liczbę błędnych prób, które możesz wykonać.

4. Nie używaj administratora

Innym sposobem zapobiegania atakom typu brute force i innym metodom kradzieży haseł jest nadanie swojemu kontu administratora innej nazwy. Jeśli nie mogą odgadnąć Twojej nazwy użytkownika, nie mogą odgadnąć Twojego hasła. Wszelkie dodatkowe konta administratorów należy usunąć, gdy nie są już potrzebne. Wszelkie nowe konta, które tworzysz, powinny mieć tylko tyle dostępu, ile potrzebują.

Jeśli hakerzy nie mogą uzyskać bezpośredniego dostępu do Twojego konta administratora, mogą uzyskać dostęp do Twojej witryny pośrednio przez SSH, FTP lub bazę danych. Wszystko, co wspomniano o zabezpieczeniu lokalnego komputera, wyborze bezpiecznych haseł i korzystaniu z VPN w publicznym Internecie, dotyczy również SSH, FTP i połączeń z bazą danych, ale oto kilka dodatkowych kwestii.

5. Użyj SFTP lub FTPS

FTP przesyła Twoje dane i hasła przez Internet w postaci zwykłego tekstu, co oznacza, że ​​każdy, kto może przechwycić Twoje dane, może zobaczyć Twoje hasła i dane. SFTP i FTPS szyfrują Twoje dane.

6. Zamknij lub ogranicz dostęp do portów

Ogólnie rzecz biorąc, jeśli Twoja baza danych i witryna znajdują się na tym samym serwerze, nie musisz udostępniać portu bazy danych publicznie. Jeśli możesz zarządzać swoją bazą danych za pośrednictwem portalu lub z poziomu serwera, jest to zazwyczaj lepsza opcja, ponieważ daje atakującym jeden sposób mniej na wykorzystanie Twojej witryny.

Powiązana lektura: Kiedy WordPress potrzebuje wzmocnienia: wskazówki, narzędzia i strategia strojenia >>

Podobnie z FTP, jeśli możesz używać SFTP do łączenia się z serwerem, nie ma potrzeby otwierania portu FTP. Jeśli potrzebujesz użyć jednego z tych portów do połączenia z serwerem, dobrym pomysłem może być objęcie zakresem portów tylko swoim adresem IP.

Jeśli Twój adres IP bardzo się zmienia, niewygodne może być dzwonienie w celu uzyskania dostępu do serwera za każdym razem, gdy zmienia się Twój adres IP. Jednym ze sposobów na obejście tego jest użycie VPN. VPN nie tylko szyfruje połączenia między Tobą a serwerem, ale także umożliwia korzystanie ze statycznego adresu IP, który można dodać do zapory sieciowej, aby uniemożliwić innym dostęp do portów.

Jednym z błędów popełnianych przez wiele osób jest przechowywanie plików i zrzutów bazy danych w katalogu głównym sieci. Pamiętaj, że wszystko w twoim katalogu głównym jest dostępne dla każdego w Internecie i nie powinno zawierać niczego, czego nie chciałbyś, aby ktoś miał.

7. Usuń wszystko, co niepotrzebne ze swojego katalogu internetowego

Warto zajrzeć do katalogu głównego i upewnić się, że nie ma w nim niczego, co jest niepotrzebne do funkcjonowania witryny.

Na przykład wygodnie jest zrzucić bazę danych do webroota, aby móc ją później pobrać. Pamiętaj jednak, że Twoja baza danych zawiera skróty Twoich haseł i może zawierać inne informacje, których nie chcesz upubliczniać.

Lepszym pomysłem byłoby zrzucenie bazy danych gdzie indziej i użycie SFTP do jej pobrania. Jeśli chcesz zachować go na serwerze jako kopię zapasową, możesz po prostu przenieść go o jeden poziom wyżej lub umieścić w dowolnym miejscu poza webrootem.

Podobnie, skompresowane kopie kodu witryny mogą być użyte do poznania kodu i mogą zostać pobrane przez każdego w Internecie. Inną powszechną praktyką jest wykonanie kopii zapasowej pliku takiego jak .htaccess lub pliku kodu przed jego modyfikacją.

Z pewnością dobrym pomysłem jest wykonanie kopii zapasowej plików przed ich modyfikacją, ale jeśli planujesz przechowywać je w katalogu głównym, powinieneś zmienić uprawnienia, aby nie były dostępne.

Powiązana lektura: Obalanie mitów dotyczących bezpieczeństwa hostingu WordPress >>

Na przykład możesz wpisać chmod 000 .htaccess. Wreszcie, nawet pliki README lub cokolwiek innego, co może ujawnić numery wersji, powinno być bezpieczne do usunięcia — a ich usunięcie może poprawić bezpieczeństwo.

Ostatnią rzeczą do rozważenia jest sam kod. Bezpieczeństwo kodu aplikacji internetowych to bardzo złożony temat, na który napisano całe książki. Ponieważ korzystasz z WordPressa, ogromne zadanie zapewnienia bezpieczeństwa kodu zostało wykonane za Ciebie, wszystko, co musisz zrobić, to zainstalować łatki.

Jeśli korzystasz z Nexcess, dbamy o aktualizację podstawowego systemu WordPress, ale motywy i wtyczki mogą również zawierać luki w zabezpieczeniach.

8. Usuń dowolny nieużywany kod

Prostym sposobem na zabezpieczenie witryny WordPress jest po prostu usunięcie wszystkiego, czego nie używasz. Spójrz na wszystkie swoje wtyczki i usuń je, jeśli nie dodają żadnej wartości do Twojej witryny.

Powiązana lektura: Niezbędny przewodnik po wtyczkach WordPress >>

To nie tylko poprawia bezpieczeństwo, ale może również przyspieszyć działanie WordPressa i poprawić stabilność Twojej witryny. Pamiętaj, że w niektórych przypadkach nawet wyłączone wtyczki mogą wprowadzać błędy lub zapewniać hakerom powierzchnię ataku.

Jeśli masz jakieś motywy WordPress, których nie używasz, powinieneś je również odinstalować — chociaż możesz rozważyć pozostawienie najbardziej aktualnego domyślnego motywu WordPress w celu późniejszego rozwiązywania problemów.

Na koniec najważniejsze jest usunięcie starych instalacji, których nie używasz. Jeśli masz cały podkatalog ze starym blogiem lub starą wersją witryny, której już nie używasz, bardzo ważne jest, aby usunąć go z katalogu głównego. Jeśli chcesz zapisać go jako kopię zapasową, możesz go bezpiecznie przechowywać nad katalogiem głównym sieci.

9. Upewnij się, że wszystkie Twoje wtyczki i motywy są aktywnie utrzymywane

Każdego dnia odkrywane są nowe luki w zabezpieczeniach, a gdy już zostaną ujawnione, mogą zostać szybko wykorzystane przez skrypty masowo w całym Internecie. Dlatego ważne jest, aby upewnić się, że masz doświadczonych programistów, którzy aktywnie reagują na wszelkie luki znalezione w ich kodzie i regularnie publikują łatki, aby usunąć luki.

10. Zastosuj łatki

Ponieważ luki w zabezpieczeniach są cały czas znajdowane w systemie WordPress, a luki w zabezpieczeniach systemu WordPress są tak szybko i dokładnie wykorzystywane, bardzo ważne jest, aby łatki były stosowane, gdy tylko będą dostępne. Jest to bardzo ważne, aby uniknąć przestojów.

Istnieje jednak pewne ryzyko, że jedna z łat nie będzie kompatybilna z resztą kodu, więc najlepszym sposobem na to jest regularne tworzenie kopii zapasowej, a następnie ręczne stosowanie łat i testowanie witryny.

Jeśli znajdziesz coś, co nie działa, możesz odzyskać kopię zapasową i szybko przywrócić witrynę. Jeśli masz zasoby, jeszcze lepszą metodą jest zachowanie kopii witryny i najpierw nałożenie na nią wszystkich poprawek. Zapobiega to wszelkim przestojom i umożliwia rozwiązywanie wszelkich problemów przed zastosowaniem poprawek w działającej witrynie.

Lista kontrolna bezpieczeństwa witryny WordPress

• Dbaj o bezpieczeństwo swojego komputera
• Używaj bezpiecznych protokołów
• Użyj silnego hasła
• Użyj wtyczek, aby utrudnić odgadnięcie hasła
• Zmień nazwę konta administratora
• Zamknij lub ogranicz dostęp do portów w zaporze
• Wyczyść zrzuty bazy danych, kopie zapasowe, a zwłaszcza stary kod z katalogu głównego sieci
• Starannie wybieraj wtyczki i motywy i usuwaj te, których nie używasz
• Co najważniejsze, dbaj o ich aktualność

Nexcess zapewnia bezpieczeństwo Twojej witrynie WordPress

Zhakowanie witryny może być katastrofą. Nie tylko źle wyglądasz, ale może prowadzić do przedłużających się przestojów, a nawet utraty zamówień.

Hosting WordPress z Nexcess to pierwszy świetny krok do zapewnienia bezpieczeństwa Twojej witryny WordPress.

Nexcess zapewnia bezpieczną platformę do hostowania witryny WordPress. Dzięki Nexcess otrzymujesz stałe monitorowanie bezpieczeństwa, bezpłatne codzienne kopie zapasowe, certyfikaty SSL i IThemes Security Pro.

A dzięki zespołowi ekspertów WordPress i specjalistów ds. pomocy technicznej dostępnych przez całą dobę, którzy odpowiedzą na wszelkie pytania, zawsze będziesz mieć potrzebne zasoby 24/7.

Zapoznaj się z naszymi w pełni zarządzanymi planami hostingu WordPress, aby zacząć już dziś.