Jak zabezpieczyć swoją witrynę WordPress?

Opublikowany: 2020-09-25

Zarządzane usługi hostingowe WordPress (takie jak Pressidium) zwykle kładą duży nacisk na bezpieczeństwo swojej platformy hostingowej. Wdrażanych jest szereg funkcji, które pomagają zapewnić bezpieczeństwo witryn WordPress hostowanych w tych systemach.

Jednak host WordPress może zrobić tylko tyle, aby zapewnić bezpieczeństwo witryny WordPress. Właściciele witryn mają własną rolę do odegrania w zapewnianiu bezpieczeństwa ich witryn. W tym artykule przyjrzymy się krokom, które możesz podjąć, aby zabezpieczyć swoją witrynę WordPress.

Dbanie o bezpieczeństwo witryny — przegląd

Wiele włamań do witryn internetowych ma miejsce w wyniku działań (lub zaniechań) podejmowanych przez właścicieli witryn. Rzeczy takie jak brak aktualizacji wtyczek do najnowszej wersji lub używanie słabego hasła powodują, że w witrynie pojawiają się możliwe do wykorzystania słabości, na które atakują hakerzy. Dobrą wiadomością jest to, że istnieje kilka prostych kroków, które możesz podjąć, aby zabezpieczyć swoją witrynę WordPress. Obejmują one:

  • Upewnij się, że Ty i inni użytkownicy witryny używacie silnych haseł
  • Użyj mechanizmu Captcha
  • Użyj uwierzytelniania dwuskładnikowego (2FA)
  • Usuń nieaktywnych użytkowników
  • Użyj systemu „ogranicz liczbę prób logowania”
  • Zawsze aktualizuj swoje podstawowe pliki, wtyczki i motywy do najnowszej wersji
  • Zmień domyślny adres URL logowania
  • Unikaj używania pustych motywów i wtyczek

Przyjrzyjmy się bliżej niektórym z tych kroków i dowiedzmy się, jak możesz je zastosować w swojej witrynie.

Upewnij się, że Twoi użytkownicy używają silnych haseł

Nie ma zapory po stronie serwera ani innego systemu zabezpieczeń hostingu, który mógłby chronić Twoją witrynę WordPress przed słabym hasłem. Pomimo znanych problemów z używaniem słabego hasła, statystyki sugerują, że aż 35% użytkowników nadal używa słabych haseł do zabezpieczania swojej witryny WordPress, mimo że WordPress jest proszony o wybranie silniejszego hasła.

potwierdź słabe hasło

Być może wniosek, jaki można z tego wyciągnąć, jest taki, że niektórzy użytkownicy po prostu nie są świadomi, jak podatna jest ich strona internetowa, gdy używane jest słabe hasło. Niestety, hakerzy już dawno wymyślili, jak wykorzystać użytkowników, którzy wybierają przewidywalne hasła zgodne z pewnymi wzorcami (np. data urodzenia lub imię zwierzaka).

Inni, chociaż zdają sobie sprawę z podatności słabych haseł, nadal ich używają, być może dlatego, że jest to łatwe. W końcu zapamiętanie prostego hasła jest znacznie łatwiejsze niż bardziej złożonego, złożonego z losowych liter, cyfr i symboli.

Bez wątpienia Twoje hasło stanowi kluczową linię obrony przed hakerami. Im silniejszy, tym lepiej. Idealnie hasło powinno być niepowtarzalne, generowane losowo i regularnie aktualizowane.

Użyj mechanizmu Captcha w formularzu logowania

Celem captcha jest odróżnienie ludzi od „botów”, które są aplikacjami, które wykonują zautomatyzowane zadania. Hakerzy mogą z nich korzystać, aby spróbować uzyskać dostęp do stron internetowych za pośrednictwem strony logowania, instruując bota, aby wykonywał ciągłe próby przy użyciu losowych danych w celu uzyskania dostępu do strony internetowej. Captcha ma na celu zapobieganie tego rodzaju atakom na witrynę poprzez rozróżnianie ludzi i botów. Captcha są używane od trzech dekad i nadal są wdrażane na niezliczonych stronach internetowych, aby chronić je przed aktywnością botów.

Captcha można dodać do witryny WordPress w celu zablokowania prób logowania się botem. Prostym sposobem na to jest zainstalowanie wtyczki Login no Captcha reCaptcha, która wykorzystuje system captcha Google.

zaloguj się reCaptcha

Po zainstalowaniu zobaczysz znajome pole wyboru reCaptcha pod panelem logowania. Zaznacz to i odejdziesz (zakładając, że i tak znasz poprawną nazwę użytkownika i hasło!).

Aby wtyczka działała, musisz zarejestrować bezpłatne konto Google reCaptcha, które następnie pozwoli Ci wygenerować klucz witryny i tajny klucz.

Jak wygenerować witrynę i klucz tajny:

  1. Zaloguj się na swoje konto Google (musisz się zarejestrować, jeśli jeszcze nie masz konta). Wejdź na stronę Google reCaptcha i kliknij „Konsola administracyjna”, która pojawi się w prawym górnym rogu.
  2. Kliknij ikonę „Plus +”, która znajduje się ponownie w prawym górnym rogu, aby zarejestrować nową witrynę. Podaj wymagane informacje.
  3. Naciśnij przycisk przesyłania, a zobaczysz stronę taką jak ta:
Klucze witryny Google reCaptcha

Następnie musisz wkleić te wartości w polach w ustawieniach wtyczki jako promowane.

Uwierzytelnianie dwuetapowe (2FA)

Korzystanie z procesu uwierzytelniania dwuskładnikowego doda dodatkową warstwę zabezpieczeń do stron logowania do witryn internetowych, zapobiegając atakom znanym jako „brute force”. Tego rodzaju ataki polegają na tym, że bot próbuje stale logować się do Twojej witryny za pomocą odgadniętych haseł i nazw użytkownika (zwykle postępując zgodnie z niektórymi wstępnie zdefiniowanymi listami, które wykorzystują znane „słabe” hasła, takie jak 123password itd. kontynuuj próby uzyskania dostępu do swojej witryny, dopóki nie odniesie ona sukcesu, co jest złą wiadomością z dwóch powodów. użytkowników.

Na szczęście dostępne są wtyczki innych firm, które mogą pomóc to powstrzymać.

Dwuskładnikowa wtyczka

Wtyczka Two-actor firmy Plugin Contributors to przydatna, łatwa w użyciu wtyczka, która zapewnia witrynom dwuskładnikową ochronę, zmuszając użytkowników do podania kodu uwierzytelniającego wraz z normalnymi danymi logowania. Ten kod można wysłać e-mailem lub wygenerować za pomocą jednorazowego generatora haseł, takiego jak Google Authenticator.

Dwuskładnikowa wtyczka

Wtyczka Google Authenticator

Wtyczka Google Authenticator to kolejna popularna wtyczka 2FA, którą można wdrożyć w celu ochrony witryny WordPress. Ta całkowicie darmowa wtyczka zapewnia szereg opcji uwierzytelniania 2FA, w tym SMS-ów i oczywiście przy użyciu aplikacji Google Authenticator. Konfiguracja jest dość szybka i łatwa. Po prostu postępuj zgodnie z instrukcjami, gdy aktywujesz wtyczkę.

Wtyczka Google Authenticator

Usuń nieaktywnych użytkowników

Innym łatwym celem atakujących są konta użytkowników witryn, które nie były używane od dawna. Powoduje to, że hasło jest często słabsze niż mogłoby być, gdyby użytkownik niedawno założył konto lub regularnie logował się do serwisu. Z tego powodu warto okresowo usuwać wszystkie nieaktywne konta.

Możesz użyć wtyczki do łatwego wykrywania tych nieaktywnych użytkowników, takiej jak wtyczka Kiedy ostatnie logowanie.

Po aktywacji dodaje po prostu niestandardową kolumnę do tabeli z listą użytkowników administracyjnych, która wyświetla sygnaturę czasową daty i godziny ostatniego logowania tego użytkownika. Możesz posortować tę kolumnę, dzięki czemu możesz na pierwszy rzut oka zidentyfikować nieaktywnych użytkowników, co oznacza, że ​​możesz ich następnie usunąć, jeśli to konieczne.

Kiedy ostatnie logowanie

Następnie w opcji Użytkownik -> Wszyscy użytkownicy sortuj według dodanej kolumny „Ostatnie logowanie”:

Kiedy ostatnie logowanie kolumna ostatniego logowania

Ogranicz próby logowania

Innym sposobem na dodanie dodatkowej warstwy bezpieczeństwa do witryny WordPress jest ograniczenie liczby dozwolonych prób logowania w określonym przedziale czasowym. Ta technika udaremnia boty, które nieustannie domyślają się logowania. Ponadto niektóre wtyczki, które zapewniają tę funkcjonalność, mogą również blokować adres IP, z którego pochodzą próby logowania, a tym samym uniemożliwiają temu konkretnemu botowi działającemu z tego adresu IP próby powtarzających się ataków na Twoją witrynę w przyszłości.

Dobrą wtyczką, która oferuje tę funkcjonalność, jest bezpłatna wtyczka Przeładowano limit prób logowania.

Ogranicz liczbę prób logowania przeładowaną wtyczkę

Z ponad milionem instalacji w momencie pisania tego tekstu możesz mieć pewność, że wtyczka działa dobrze.

Po zainstalowaniu i aktywacji przejdź do menu Ustawienia, a następnie kliknij „Ogranicz próby logowania”. Będziesz mógł zmienić szereg parametrów, w tym liczbę dozwolonych ponownych prób, zanim użytkownik zostanie zablokowany w witrynie.

Ustawienia ograniczenia prób logowania

Ograniczenie prób logowania jest niezwykle skutecznym sposobem ochrony Twojej witryny, dlatego włączamy to domyślnie na wszystkich witrynach hostowanych przez Pressidium.

Uwaga: Jeśli używasz Jetpack, ostatnia wersja funkcji o nazwie „Moduł ochrony” zawiera domyślnie system limitu prób logowania. System ten udostępnia również informacje o zablokowanych próbach logowania oraz opcję umieszczania adresów IP na białej liście. Jeśli korzystasz z tej wtyczki, nie ma potrzeby instalowania oddzielnej wtyczki „limit logowania”.

Aktualizuj swoje podstawowe pliki, wtyczki i motywy do ich najnowszej wersji

Wśród wielu innych korzyści aktualizacja rdzenia WordPress, motywu i wtyczek ma kluczowe znaczenie dla bezpieczeństwa Twojej witryny. Statystyki pokazują, że przestarzałe wersje, motywy i wtyczki to najpopularniejszy sposób, w jaki hakerzy uzyskują dostęp do stron internetowych, co sprawia, że ​​ich aktualność ma najwyższy priorytet.

W Pressidium automatycznie aktualizujemy rdzeń WordPressa do najnowszej wersji po pierwszym przetestowaniu go, aby upewnić się, że nie występują kluczowe problemy, które powodowałyby problemy naszych klientów z ich witrynami. Ponieważ te aktualizacje są przeprowadzane automatycznie, możesz mieć pewność, że Twoja witryna zawsze korzysta z najnowszej wersji WordPressa.

Hostuj swoją stronę internetową z Pressidium

60- DNIOWA GWARANCJA ZWROTU PIENIĘDZY

ZOBACZ NASZE PLANY

Ponadto ułatwiamy aktualizowanie wtyczek na hostowanych przez nas stronach internetowych, udostępniając funkcję aktualizacji wtyczek, która jest dostępna za pośrednictwem pulpitu nawigacyjnego Pressidium. Dzięki temu nasi klienci na pierwszy rzut oka mogą zobaczyć, czy ich wtyczki do witryn internetowych wymagają aktualizacji. Jeśli tak, aktualizację można przeprowadzić za pomocą kilku kliknięć z pulpitu Pressidium. Regularnie skanujemy również hostowane u nas witryny internetowe pod kątem wtyczek, które mają znane luki w zabezpieczeniach i poinformujemy właściciela witryny o tej luce za pośrednictwem poczty e-mail. W przypadkach, w których nieaktualna wtyczka stanowi ogromne ryzyko dla witryny, będziemy ją nawet proaktywnie aktualizować w imieniu właściciela witryny.

Zmień domyślny adres URL logowania

Teraz, gdy opracowaliśmy sposoby zabezpieczania strony logowania (w efekcie ochrony „drzwi wejściowych”), przyjrzyjmy się opcjom ukrywania drzwi wejściowych, aby włamywacz (lub haker!) nie mógł nawet próbować dostać się do środka .

Świetnym sposobem na zrobienie tego jest zmiana lokalizacji domyślnego adresu URL logowania do WordPressa, zmieniając go na niestandardowy. W ten sposób natychmiast blokujesz ruch z wp-login, co z kolei oznacza, że ​​nie powinieneś doświadczać żadnych ataków brute force na swojej stronie.

Jedną z takich wtyczek, która pozwala szybko zmienić lokalizację strony logowania, jest WPS Hide Login.

WPS Ukryj logowanie

Unikaj używania pustych motywów i wtyczek

Nulled motywy lub wtyczki to takie, które zazwyczaj zawierają złośliwe oprogramowanie lub zmodyfikowany kod zaprojektowany w celu wyrządzenia szkód. Często są one dostępne „tanio”, dlatego przemawiają do ludzi. W końcu nikt tak naprawdę nie lubi wydawać pieniędzy na motywy i wtyczki premium. Z niektórymi pustymi motywami i wtyczkami dostępnymi za ułamek ceny „oryginalnej” wersji możesz zobaczyć, dlaczego są kuszące do użycia.

W rzeczywistości „oszczędności”, jakie uzyskujesz, korzystając z wersji zerowych, często mogą zostać przyćmione przez koszty poniesione w wyniku zainfekowania Twojej witryny złośliwym oprogramowaniem. Nawet jeśli nie zawierają złośliwego kodu, często zawierają irytujące reklamy i wyskakujące okienka, które mogą zepsuć działanie wtyczki lub motywu. Ponadto nie są one oczywiście obsługiwane przez oryginalnego programistę, co oznacza, że ​​nie ma do kogo się zwrócić, jeśli coś pójdzie nie tak.

Krótko mówiąc, nie używaj pustych motywów ani wtyczek… to naprawdę nie jest tego warte!

Wniosek

Zhakowana strona internetowa nie leży w niczyim interesie (oprócz hakera, oczywiście). Chociaż wysokiej jakości, zarządzany hosting WordPress może znacznie poprawić bezpieczeństwo Twojej witryny, ważne jest również, aby pamiętać, że Ty, jako właściciel witryny, również masz do odegrania rolę w jej zabezpieczeniu.

Wykonanie nawet niektórych prostych kroków opisanych powyżej może naprawdę pomóc poprawić bezpieczeństwo Twojej witryny i warto je wdrożyć.