10 najlepszych zaleceń dotyczących bezpieczeństwa WordPress
Opublikowany: 2023-02-15Jakie jest dziesięć najważniejszych kroków, które możesz podjąć, aby chronić swoją witrynę WordPress? Jakie środki wzmacniające zabezpieczenia będą miały największy wpływ na bezpieczeństwo Twojej witryny? Bezpieczeństwo jest zawsze gorącym tematem w społeczności WordPress, a takie pytania są ważne nie bez powodu. WordPress zasila prawie połowę Internetu, a jego wiodąca pozycja sprawia, że jest priorytetowym celem hakerów.
Każdego dnia tysiące stron internetowych WordPress padają ofiarą cyberataków. To kropla w morzu ogólnej liczby witryn WordPress, ale czy przydarzyło się to Tobie? To ogromne. Niektórzy właściciele witryn ponoszą długoterminowe konsekwencje utraty danych, kradzieży danych i oszustw. Słabe zasady bezpieczeństwa i zarządzanie ryzykiem powodują takie katastrofy. Co to znaczy mieć solidne zasady bezpieczeństwa jako właściciel witryny WordPress? Jakie są główne zagrożenia i jak można nimi zarządzać?
Kluczem jest stworzenie bezpiecznych fundamentów, a następnie budowanie na nich spójnych praktyk bezpieczeństwa. Ten przewodnik nauczy Cię, jak to zrobić i zabezpieczyć swoją witrynę WordPress już dziś.
W tym przewodniku przyjrzymy się bliżej bezpieczeństwu WordPress. Dowiesz się o najniebezpieczniejszych cyberatakach wymierzonych w WordPressa. Dowiesz się, jak zminimalizować ryzyko stania się ich ofiarą. Dostarczymy Ci nasze dziesięć najlepszych zaleceń dotyczących bezpieczeństwa WordPress i wyjaśnimy, jak je wdrożyć. Wtedy będziesz w stanie obronić się przed najbardziej wyrafinowanymi i złośliwymi atakami.
Czy WordPress jest bezpieczny? Tak!
Krótko mówiąc, tak, podstawowa platforma WordPress jest bezpieczna.
Jako dojrzały, dwudziestoletni projekt oprogramowania typu open source, WordPress jest jednym z najbardziej sprawdzonych i bezpiecznych frameworków do tworzenia witryn internetowych.
Społeczność programistów i ekspertów ds. bezpieczeństwa utrzymuje rdzeń WordPressa. Ponadto baza kodów jest publicznie dostępna. Oznacza to, że badacze bezpieczeństwa mogą je swobodnie analizować. Pod kontrolą publiczną wszelkie błędy, które przeszły wstępne fazy testowania nowej wersji, są zwykle szybko wykrywane. WordPress otrzymuje regularne aktualizacje i szybko łata wszelkie luki znalezione w rdzeniu WordPress. Ta ciągła adaptacja zwiększa ogólne bezpieczeństwo i jakość platformy.
Co sprawia, że witryna WordPress jest niebezpieczna?
Kiedy ludzie budują witryny za pomocą WordPressa, bezpieczeństwo może nie być na pierwszym miejscu. Nieostrożne dostosowywanie w połączeniu ze złymi praktykami bezpieczeństwa (lub wcale) wprowadza poważne zagrożenia bezpieczeństwa dla całego ekosystemu WordPress.
Właściciele witryn, którzy nie przeprowadzają aktualizacji
Regularne aktualizacje i wsparcie programistów WordPress sprawiają, że WordPress jest bardzo bezpieczny. Jednak popularność WordPressa ma wiele wspólnego z łatwością dostosowywania go za pomocą wtyczek i motywów. Te dodatki innych firm mogą, ale nie muszą, być tak dobrze obsługiwane i testowane jak rdzeń WordPress. Muszą być również aktualizowane, gdy pojawiają się nowe wersje. W przypadku witryny WordPress z 12-24 wtyczkami co tydzień może być dostępnych kilka nowych aktualizacji. Pozostawienie niezałatanych znanych luk w zabezpieczeniach i brak regularnych aktualizacji znacznie zwiększa prawdopodobieństwo włamania na witrynę WordPress.
Rdzeń WordPress również otrzymuje aktualizacje przez cały rok. Zazwyczaj będą cztery główne wydania. W miarę potrzeb będą pojawiać się również edycje zabezpieczeń i konserwacji. Od 2023 r. około 60% witryn WordPress korzysta z najnowszej (6.1) wersji rdzenia WordPress. 40% tego nie robi, a to nie jest dobre dla ich bezpieczeństwa. Od grudnia 2022 r. WordPress w wersjach 3.7 – 4.0 nie jest już obsługiwany i może nie otrzymywać poprawek bezpieczeństwa.
Właściciele witryn i gospodarze, którzy nie aktualizują PHP
Bardziej niepokojącą statystyką jest to, że wiele witryn WordPress używa wersji PHP niższej niż 7.4. PHP jest częścią środowiska serwerowego Twojego hosta. Jest to język, w którym działa WordPress. Na początku 2023 r. 55% wszystkich witryn WordPress było hostowanych w PHP 7.4. To ostatnie główne wydanie gałęzi PHP 7. Jest to obecnie najwyższa wersja PHP oficjalnie obsługiwana przez WordPress, chociaż wiele hostów WordPress oferuje PHP 8. Dobrze zarządzane hosty WordPress utrzymają bezpieczeństwo PHP 7, ale oficjalne wsparcie dobiegło końca. Z biegiem czasu wtyczki WordPress będą wymagały coraz więcej PHP 8. Witryny, które nie nadążają za rozwojem WordPress i PHP, są bardziej narażone na włamanie.
Dlaczego bezpieczeństwo WordPress ma znaczenie
Bezpieczeństwo witryny WordPress ma znaczenie! Teraz jest zawsze najlepszy czas, aby zacząć traktować to poważnie, jeśli nie masz spójnych praktyk bezpieczeństwa. Rosnące wyrafinowanie i liczba cyberataków sprawiają, że bezpieczeństwo witryny jest niezwykle ważne, szczególnie dla właścicieli witryn WordPress. Atakujący nie wybierają po prostu stron internetowych, na które chcą się włamać. Nowoczesne ataki cybernetyczne są wysoce zautomatyzowane, a tysiące witryn WordPress mogą być atakowane jednocześnie. Popularność WordPressa i liczba witryn, które nie zostały zaktualizowane, sprawiają, że jest to duży i łatwy cel.
Bez względu na to, czy prowadzisz bloga, stronę firmową, czy sklep internetowy, bezpieczeństwo Twoich klientów i ich danych jest Ci powierzone. Naruszenie danych może narazić Twoją firmę na ryzyko i poważnie zaszkodzić Twojej reputacji. Złe praktyki w zakresie bezpieczeństwa mogą spowodować poważne straty finansowe.
Niedawne badanie wykazało, że większość małych i średnich firm (SMB) uważa, że nie są celem hakerów, ale są w błędzie. Ataki są coraz częstsze, a ich celem jest w szczególności. Średnio małe firmy, które doświadczają naruszenia bezpieczeństwa cyfrowego, ponoszą koszty przekraczające 100 000 USD.
Pięć najczęstszych problemów z bezpieczeństwem WordPress
Najczęstszymi zagrożeniami, na jakie napotkał WordPress w 2022 r., wykorzystującymi luki w zabezpieczeniach wewnętrznych witryn, były ataki typu cross-site scripting (XSS) i cross-site request forgery (CSRF), a także iniekcje SQL (SQLi). Typowe ładunki lub szkody wyrządzane zhakowanym i zainfekowanym witrynom obejmują backdoory i złośliwe przekierowania. Wreszcie, najczęstsze ataki w ogóle nie wykorzystują luki w oprogramowaniu. Są to próby logowania z użyciem siły, upychanie haseł, skimming kart, carding i rozproszone ataki typu „odmowa usługi” (DDoS).
Przyjrzyjmy się tym zagrożeniom i przyjrzyjmy się rozwiązaniom, które uniemożliwią im penetrację Twojej witryny WordPress.
Upychanie haseł, logowanie metodą Brute Force i ataki DDOS
Brute force i ataki DDoS to wysoce rozproszone cyberataki kierowane przez boty. Próbują włamać się na stronę internetową lub wyłączyć ją, przeciążając serwer hostujący ją żądaniami internetowymi. Oba rodzaje ataków często obejmują sieć botów (znaną również jako botnet) kontrolowaną przez atakującego.
Ataki polegające na logowaniu z użyciem siły, znane również jako ataki polegające na odgadywaniu hasła, wykorzystują sieć komputerów (zwykle zhakowanych) do testowania tysięcy losowych kombinacji liter, cyfr i symboli w celu odkrycia prawidłowej nazwy logowania i hasła do docelowej witryny.
Upychanie haseł to rodzaj ataku siłowego, który wykorzystuje rzeczywiste hasła skradzione w innym miejscu, aby uzyskać dostęp do Twojej witryny. Jeśli Ty lub użytkownicy Twojej witryny użyliście tych samych danych logowania w innej witrynie, która została przejęta, upychanie haseł może się udać w Twojej witrynie.
Gdy atakujący próbuje wykonać tysiące logowań na minutę, może to mieć skutek ataku DDoS. DDoSe wysyłają tak wiele żądań do twojego serwera, że jest on przeciążony. Czasami ataki DDoS są przeprowadzane po prostu w celu wyłączenia witryn w ten sposób.
Jeśli chodzi o WordPress i WooCommerce, ataki kartami są dobrym przykładem brutalnej próby umieszczenia skradzionych numerów kont kart kredytowych w witrynie handlu elektronicznego w celu dokonania nieuczciwych zakupów. Ataki typu carding mogą mieć również efekt DDoS.
Skrypty między witrynami i fałszowanie żądań
Cross-site scripting i cross-site request forgering, znane również jako XSS i CSRF, to ataki cybernetyczne, które próbują uruchomić złośliwe skrypty w Twojej witrynie, wykorzystujące komputery odwiedzających. W przypadku korzystania z Twojej witryny ataki te wysyłają z niej nieautoryzowane żądania w imieniu użytkownika. Celem jest oszukanie odwiedzających witrynę i kradzież od nich poufnych informacji lub pieniędzy. Cross-site scripting i fałszowanie żądań są uważane za dwa z najniebezpieczniejszych cyberataków wymierzonych w witryny WordPress.
Jednym z najbardziej znanych przykładów ataków typu cross-site scripting, które mają wpływ na WordPress, są skimmery kart oparte na JavaScript, które są wprowadzane do sklepów WooCommerce. Złośliwe oprogramowanie wyłudzające karty ładowane ze strony atakującego jest wprowadzane do przeglądarek użytkowników. Ten złośliwy kod będzie próbował ukraść krytyczne informacje dotyczące płatności ze strony kasy po dokonaniu zakupu.
Backdoory i powłoki sieciowe
Backdoory i powłoki sieciowe to dwa powiązane rodzaje złośliwego oprogramowania, które często są przesyłane do zhakowanych stron internetowych jako ładunek w początkowym naruszeniu. Oba umożliwiają głębszy poziom szkód: infekcję złośliwym oprogramowaniem. Oba są narzędziami używanymi przez złośliwych hakerów do głębszego zagłębiania się w serwer i aplikacje internetowe lub do przeprowadzania oszustw i dalszych ataków na inne witryny.
Backdoory to oprogramowanie, które zostaje wstrzyknięte do strony internetowej, aby umożliwić atakującemu uzyskanie nieautoryzowanego dostępu do jej krytycznych obszarów poprzez ominięcie normalnych metod uwierzytelniania. Z kolei powłoki sieciowe to narzędzia do zarządzania złośliwymi plikami wykorzystywane przez hakerów do przesyłania większej liczby złośliwych ładunków do zaatakowanej witryny.
Backdoory często mogą przemykać obok właścicieli witryn, a nawet oprogramowania antywirusowego. Backdoor umożliwi hakerowi powrót i ponowne zainfekowanie lub dalsze wykorzystanie strony internetowej w późniejszym terminie, nawet jeśli zostały podjęte wszystkie niezbędne środki bezpieczeństwa. Podobnie, jeśli powłoka internetowa nie zostanie usunięta, osoba atakująca zachowa kontrolę nad witryną.
Złośliwe przekierowania
Jednym z najczęstszych celów osoby atakującej jest zainfekowanie odwiedzających złośliwym oprogramowaniem. Jednym z najczęstszych sposobów osiągnięcia tego celu jest przekierowanie niczego niepodejrzewających użytkowników z zaufanych stron internetowych, nad którymi atakujący przejęli kontrolę.
Hakerzy mogą umieszczać złośliwe przekierowania w dowolnym miejscu na zaatakowanych stronach internetowych, co może utrudniać ich zlokalizowanie i usunięcie. Często właściciele witryn muszą ponownie instalować WordPressa (co jest proste) lub przywracać całą witrynę z kopii zapasowej (co może być większym wyzwaniem), aby oczyścić ją ze złośliwych przekierowań po załataniu luki w zabezpieczeniach, która umożliwiła ten exploit.
Jako rodzaj spamu SEO, hacki farmaceutyczne były jednym z najbardziej znanych ataków na witryny WordPress. Atakujący wypełniają skompromitowaną witrynę WordPress słowami kluczowymi spamu dla popularnych leków, próbując uzyskać wysoką pozycję w wyszukiwarkach, a następnie przekierowują odwiedzających do oszukańczych portali sprzedających regulowane farmaceutyki. W większości przypadków osoby atakujące umieszczają złośliwe przekierowania w .htaccess file
lub tworzą w tym celu pozornie nieszkodliwy plik .ico.
Ataki typu SQL Injection
Atak polegający na wstrzykiwaniu kodu SQL, znany również jako wstawianie SQL (SQLi), to rodzaj ataku polegającego na wstrzykiwaniu danych, który wykorzystuje niewystarczającą weryfikację danych wprowadzonych przez użytkownika, co umożliwia atakującemu manipulowanie bazą danych witryny w złośliwy sposób. Zarówno iniekcje SQL, jak i cross-site scripting wykorzystują tak zwane luki wejściowe, które mogą wpływać na niektóre obszary Twojej witryny WordPress. Luki wejściowe pojawiają się, gdy wtyczka akceptuje dane lub treści przesłane przez użytkownika, ale nie sprawdza ich pod kątem złośliwego kodu. Ten kod może wykonywać zapytania w Twojej bazie danych w celu kradzieży prywatnych danych lub ich uszkodzenia.
10 najlepszych zaleceń dotyczących bezpieczeństwa WordPress
Jeśli chodzi o bezpieczeństwo witryny WordPress, kluczowe jest uważne podejście do zmniejszania powierzchni ataku. Znajomość najczęstszych luk WordPress i rodzajów cyberataków pomoże Ci znacznie poprawić bezpieczeństwo Twojej witryny. Poniższe 10 najważniejszych zaleceń dotyczących bezpieczeństwa WordPress to podstawowa wiedza potrzebna do zabezpieczenia dowolnej witryny WordPress. Większość z tych zaleceń jest stosunkowo łatwa do wykonania i nie wymaga żadnych płatnych rozwiązań zabezpieczających.
Wykonuj regularne aktualizacje i nie instaluj żadnego oprogramowania z niezweryfikowanych źródeł
Jedną z najważniejszych zaleceń dotyczących bezpieczeństwa WordPress jest regularne przeprowadzanie aktualizacji rdzenia, motywu i wtyczek. Upewnij się, że całe instalowane oprogramowanie pochodzi ze zweryfikowanych, zaufanych źródeł. Ponieważ WordPress jest napisany w języku PHP, upewnij się, że używasz obsługiwanej wersji PHP z najnowszej głównej wersji. W tej chwili jest to PHP 7.4 z obsługą tylko wersji beta dla PHP 8.
Domyślne funkcje WordPress rzadko zaspokajają wszystkie potrzeby właścicieli firm, dlatego rozszerzają możliwości platformy, instalując więcej wtyczek i motywów. Motywy i wtyczki innych firm zwiększają powierzchnię ataku, przez co witryny WordPress są podatne na więcej zagrożeń bezpieczeństwa.
Poważne problemy mogą wynikać z używania nieoficjalnych, pirackich wersji płatnych wtyczek i motywów. Te zawsze pochodzą z wysoce wątpliwych źródeł. Używanie przestarzałych wersji WordPressa i niełatanie luk w zabezpieczeniach jest również niezwykle ryzykowne.
Użyj wtyczki zabezpieczającej, takiej jak iThemes Security Pro
Najlepszym sposobem na zapewnienie bezpieczeństwa witryny jest włączenie automatycznych aktualizacji rdzenia, motywów i wtyczek. iThemes Security Pro może łatwo śledzić wszystkie dostępne aktualizacje oprogramowania i instalować nowe wersje rdzenia WordPress, a także motywy i wtyczki. Jeśli zarządzasz wieloma witrynami WordPress, iThemes Sync Pro umożliwia wykonywanie wszystkich zadań administracyjnych z jednego interfejsu i korzystanie z monitorowania czasu działania i śledzenia wskaźników SEO.
Większość rozwiązań hostingowych WordPress, takich jak zarządzane plany hostingowe WordPress w chmurze oferowane przez Nexcess, również zajmuje się wszystkimi aktualizacjami oprogramowania, a nawet zawiera wbudowane narzędzia, takie jak porównanie wizualne, które pomagają śledzić potencjalne konflikty wtyczek i inne problemy przed przeprowadzanie jakichkolwiek aktualizacji. Nexcess zapewnia również katalog najlepszych rozwiązań WordPress. Oferuje Kadence WP jako wbudowany motyw blokowy z niestandardowymi blokami, które pomogą Ci zaprojektować witrynę swoich marzeń, zapewniając jednocześnie jej bezpieczeństwo.
Stwórz silną strategię tworzenia kopii zapasowych
Silna strategia tworzenia kopii zapasowych jest absolutnie niezbędna dla bezpieczeństwa WordPress. Regularne tworzenie kopii zapasowych witryny WordPress przygotowuje Cię do łatwego odzyskiwania w przypadku naruszenia, nieudanej aktualizacji lub innego problemu, który może się pojawić.
Najlepiej mieć co najmniej dziesięć dni lub nawet dwa tygodnie pełnych kopii zapasowych WordPress, które obejmują bazę danych WordPress, pliki witryny i wszelkie inne powiązane treści. Przechowywanie tygodniowych i miesięcznych kopii zapasowych może być bardzo korzystne jako dodatek do dziennych i godzinowych kopii zapasowych.
Pamiętaj o przestrzeganiu zasady redundancji danych. Przechowywanie kopii roboczych witryny WordPress w więcej niż jednym miejscu. Pomoże to odzyskać informacje w przypadku, gdy coś stanie się z jednym archiwum kopii zapasowych
Możesz użyć rozwiązań do tworzenia kopii zapasowych dostarczonych przez dostawcę usług hostingowych, w tym kopii zapasowych cPanel i Acronis, aby zapisywać kopie swojej witryny w cyklach dziennych, tygodniowych i miesięcznych. wtyczka do tworzenia kopii zapasowych WordPress może pomóc w stworzeniu bardziej elastycznego harmonogramu tworzenia kopii zapasowych. BackupBuddy to światowej klasy wtyczka do ochrony i odzyskiwania danych dla WordPress. Może pomóc w opracowaniu skutecznej strategii tworzenia kopii zapasowych i łatwym dostępie do przywracania jednym kliknięciem, kiedy tylko tego potrzebujesz.
Regularnie przeprowadzaj skanowanie w poszukiwaniu luk w zabezpieczeniach i złośliwego oprogramowania
Skanowanie pod kątem luk w zabezpieczeniach i monitorowanie integralności plików to jedne z najlepszych narzędzi, których możesz użyć do ochrony wszystkich krytycznych obszarów witryny WordPress. Wbudowany interfejs WordPress Site Health to świetne narzędzie na początek. Jeśli potrzebujesz więcej zaleceń dotyczących bezpieczeństwa WordPress dostosowanych do Twojej witryny, iThemes Pro Site Scan zapewni Ci kompleksowy raport na temat bezpieczeństwa Twojej witryny WordPress.
Kluczem jest zapobieganie, ale równie ważne jest wczesne wykrywanie i łagodzenie ataków. Głównym celem większości złośliwego oprogramowania jest pozostanie niewykrytym tak długo, jak to możliwe. Często zdarza się, że witryny WordPress są atakowane przez tygodnie, dopóki ich właściciele nie zauważą. iThemes Security Pro oferuje zaawansowane monitorowanie zmian plików, które ostrzeże Cię za każdym razem, gdy w plikach Twojej witryny WordPress pojawi się podejrzana aktywność.
Regularne skanowanie w poszukiwaniu złośliwego oprogramowania pomoże wcześnie wykryć infekcję złośliwym oprogramowaniem. To klucz do blokowania złych facetów i czyszczenia witryny WordPress, zanim zostaną wyrządzone nieodwracalne szkody. Jeśli szukasz świetnych darmowych skanerów złośliwego oprogramowania, ImunifyAV firmy CloudLinux okazał się wyjątkowo niezawodny i przyjazny dla użytkownika.
Zabezpiecz uprawnienia do plików i chroń wp-config.php
Uprawnienia do plików WordPress mogą znacznie wpłynąć na ogólne bezpieczeństwo Twojej witryny WordPress. Nieprawidłowe ustawienia uprawnień mogą narazić cały system na poważne ryzyko, zwłaszcza jeśli utrzymujesz własny serwer i uruchamiasz na nim wiele witryn. Bezpieczna konfiguracja uprawnień do plików WordPress jest absolutnie niezbędna.
Jednym z najbardziej wrażliwych obszarów Twojej witryny WordPress jest jej główny plik konfiguracyjny: wp-config.php
. Przechowywane tam krytyczne dane, w tym informacje o połączeniu z bazą danych WordPress, sprawiają, że wp-config.php
jest celem o wysokim priorytecie dla ataków próbujących przejąć kontrolę nad Twoją witryną.
Jednym z kluczowych zaleceń bezpieczeństwa WordPress, które możesz teraz wdrożyć, jest ustawienie uprawnień dla pliku wp-config.php
Twojej witryny na co najmniej 640. Jeśli nie masz pewności, jakie uprawnienia do plików powinny mieć pliki innych witryn internetowych, sprawdzanie uprawnień do plików programu iThemes Security Pro narzędzie pomoże Ci się dowiedzieć.
Kompromisy między kontami są ułatwione przez niepewne uprawnienia do plików i słabą izolację użytkowników
Hakerzy aktywnie wykorzystują słabą izolację użytkowników w połączeniu z niepewnymi uprawnieniami do plików, aby przeprowadzać niebezpieczne ataki obejmujące wiele kont. Są one znane jako „hacki dowiązań symbolicznych” lub „anonimowe lisy” WordPress.
Wykorzystując jedną zhakowaną witrynę internetową jako punkt wejścia, osoba atakująca może utworzyć międzykontowe łącza symboliczne do plików konfiguracyjnych innych witryn, takich jak wp-config.php
, aby ujawnić poufne informacje i przejąć kontrolę nad wszystkimi witrynami na danym serwerze. Ten hack jest możliwy tylko wtedy, gdy twój plik wp-config.php
jest czytelny dla innych użytkowników na tym samym serwerze.
Niektóre zalecenia dotyczące bezpieczeństwa WordPress sugerują przeniesienie wp-config.php
, co może pomóc, ale tak naprawdę nie zaradzi to wszystkim zagrożeniom. Zabezpiecz uprawnienia do plików i upewnij się, że wszystkie witryny są odizolowane od siebie na tym samym serwerze. Jednym z najlepszych sposobów na osiągnięcie tego jest użycie CageFS, dostarczanego przez system operacyjny CloudLinux.
Skonfiguruj zaporę sieciową aplikacji
Innym kluczowym zaleceniem dotyczącym bezpieczeństwa WordPress jest użycie zapory sieciowej aplikacji internetowej lub jeszcze lepiej wielu systemów obronnych, takich jak WAF oparty na hoście i chmurze. Zapora sieciowa służy jako pierwsza linia obrony przed wszystkimi znanymi cyberatakami, filtrując wszelki szkodliwy ruch w oparciu o stale aktualizowany zestaw reguł.
WAF skanują cały ruch internetowy w poszukiwaniu podejrzanych żądań na podstawie szeregu wzorców określonych przez zdefiniowane przez nas reguły. Zapewnia to wysoki poziom ochrony przed atakami DDoS i brute force, a także SQLi i XSS.
Oparty na chmurze WAF, taki jak Cloudflare WAF, może złagodzić szeroki zakres ataków, jednocześnie zmniejszając obciążenie serwera źródłowego. Żądania, które trafiają do serwera, na którym znajduje się Twoja witryna WordPress, są następnie poddawane kolejnej rundzie kontroli przez WAF oparty na hoście, taki jak ModSecurity. Oba rozwiązania są całkowicie bezpłatne i są uważane za branżowy standard bezpieczeństwa WordPress.
Skonfiguruj nagłówki zabezpieczeń HTTP
Nagłówki odpowiedzi bezpieczeństwa HTTP są jednym z najcenniejszych narzędzi, których potrzebujesz, aby zwiększyć bezpieczeństwo swojej witryny WordPress. Podobnie jak zapory aplikacji internetowych, nagłówki odpowiedzi HTTP mogą blokować dostęp do krytycznych obszarów Twojej witryny i zapobiegać wszelkim działaniom, które mogą zagrozić Twoim klientom i ich danym.
Do najważniejszych nagłówków bezpieczeństwa HTTP dla WordPressa należą:
- Polityka bezpieczeństwa treści (CSP). Solidne rozwiązanie, które może pomóc w ograniczeniu działań typu cross-site scripting i clickjacking oraz innych niebezpiecznych cyberataków wymierzonych w witryny WordPress. Korzystanie z CSP pomaga zdefiniować listę zasobów, które mogą ładować zawartość z Twojej witryny, a także listę zasobów, z których Twoja witryna może ładować zawartość.
- Ustaw plik cookie . Nagłówek odpowiedzi Set-Cookie kontroluje sposób wysyłania plików cookie z serwera do przeglądarki użytkownika. Skonfigurowanie atrybutu SameSite może pomóc w obronie witryny WordPress przed fałszowaniem żądań między witrynami i przechwytywaniem kliknięć.
- Ścisłe bezpieczeństwo transportu (HSTS). Nagłówek odpowiedzi HSTS zapewnia, że dostęp do witryny WordPress jest możliwy tylko za pośrednictwem protokołu HTTPS, który umożliwia kompleksowe szyfrowanie między serwerem a przeglądarką.
W większości przypadków możesz skonfigurować nagłówki bezpieczeństwa HTTP dla swojej witryny WordPress w lokalnym pliku .htaccess
. Pamiętaj, że większość dostawców hostingu WordPress konfiguruje dla Ciebie nagłówki odpowiedzi HTTP, więc może być konieczne skonsultowanie się z zespołem pomocy technicznej hosta, aby sprawdzić, czy musisz ponownie zdefiniować jakieś reguły lokalnie.
Wyłącz wykonywanie PHP w folderze przesyłania i wyłącz indeksowanie katalogów
Jeśli chodzi o WordPress, hakerzy mają tendencję do ukrywania złośliwego oprogramowania w folderach, które normalnie nie przechowują żadnego kodu wykonywalnego. Jednym z takich folderów jest katalog uploads w wp-content
. Wyłączenie wykonywania PHP w folderze przesyłania to dobry pomysł. Może to pomóc ograniczyć zakres infekcji złośliwym oprogramowaniem i przyspieszyć usuwanie złośliwego oprogramowania.
Jeśli masz dostęp do Apache HTTP, utwórz plik .htaccess
w wp-content/uploads i dodaj do niego poniższą regułę. Spowoduje to zablokowanie ładowania skryptów PHP z folderu przesyłania. To częsta lokalizacja, w której osoba atakująca może umieścić złośliwy kod.
Oprócz blokowania wykonywania PHP, wyłączenie indeksowania katalogów w Twojej witrynie to kolejna ważna pozycja na liście naszych zaleceń dotyczących bezpieczeństwa WordPress. Jeśli indeksowanie katalogów nie jest wyłączone, przeglądarka załaduje listę plików znajdujących się w żądanym katalogu, jeśli brakuje w nim pliku index.php
lub index.html
.
Atakujący szeroko wykorzystują tę zdolność, zwłaszcza jeśli chodzi o ataki z dowiązaniami symbolicznymi między kontami, które zostały opisane wcześniej w przewodniku. Możesz zablokować indeksowanie katalogów globalnie lub na poziomie poszczególnych katalogów, używając następującej reguły w .htaccess
:
Zmień prefiks bazy danych WordPress i domyślną nazwę użytkownika administratora
O ile nie zmienisz domyślnego procesu instalacji, WordPress automatycznie użyje standardowego przedrostka wp-
dla swojej bazy danych i utworzy domyślnego admin
. Ponieważ jest to wiedza publiczna, zakłada się to za pomocą brutalnej siły i ataków polegających na wstrzykiwaniu danych.
Usuń domyślnego administratora i zmień prefiks bazy danych WordPress na coś podobnego do wp2789_
. Możesz to zrobić, zmieniając nazwy wszystkich tabel bazy danych za pomocą phpMyAdmin lub interfejsu wiersza poleceń MySQL. Pamiętaj, aby później zaktualizować prefiks bazy danych w wp-config.php
.
Ogranicz dostęp do logowania XMLRPC i WordPress
Jeśli chodzi o ataki typu brute force i DDoS, xmlrpc.php
i strona logowania WordPress to dwa obszary witryn WordPress, na które napastnicy najczęściej atakują. Jeśli dostęp do tych dwóch interfejsów jest nieograniczony, Twoja witryna WordPress prawdopodobnie będzie ucierpiała z powodu niskiej wydajności i częstych przestojów. Co więcej, istnieje wszelkie prawdopodobieństwo, że w końcu haker będzie mógł włamać się na Twoje konto administratora i siać spustoszenie w Twojej witrynie.
XMLRPC to interfejs programowania aplikacji (API), który pozwala WordPressowi komunikować się z innymi systemami i jest częścią WordPressa od samego początku platformy. Ponieważ jednak WordPress w dużym stopniu opiera się na REST API, XMLRPC jest rzadko używany i zwykle można go całkowicie wyłączyć bez żadnych negatywnych konsekwencji. W tym celu możesz dodać poniższą regułę do .htaccess file
swojej witryny lub po prostu wyzerować uprawnienia pliku xmlrpc.php.
Ograniczenie dostępu do panelu administracyjnego WordPress to kolejna z naszych kluczowych zaleceń dotyczących bezpieczeństwa WordPress. Podczas gdy zmiana adresu logowania WordPress znacznie utrudnia wykrycie, zabezpieczenie strony logowania hasłem lub zdefiniowanie wyłącznego zakresu adresów IP, które mogą uzyskać do niego dostęp, skutecznie wyeliminuje ryzyko uzyskania przez atakującego nieautoryzowanego dostępu do zaplecza WordPress.
Używaj silnych haseł i skonfiguruj uwierzytelnianie wieloskładnikowe
Nie można przecenić znaczenia używania silnych haseł. Jednak niektórzy właściciele witryn WordPress często zapominają, że panel administracyjny WordPress nie jest jedynym wektorem ataku. Duża liczba witryn WordPress zostaje zhakowana w wyniku uzyskania przez atakującego dostępu do ich kont w panelu sterowania hostingu.
W przypadku wielu hostów nazwa konta Twojej witryny WordPress odpowiada faktycznemu użytkownikowi utworzonemu na serwerze hosta. Jest łatwy do odgadnięcia lub publicznie widoczny. W połączeniu z hasłem para poświadczeń może umożliwić połączenie z Twoją witryną przez SSH i SFTP. W ten sposób uzyskujesz dostęp do panelu sterowania hostingu. Jeśli to konto zostanie naruszone, osoba atakująca może uzyskać pełny dostęp nie tylko do Twojej witryny, ale także do całego konta hostingowego, poczty e-mail, a nawet nazw domen lub rekordów DNS.
Zastosuj silne zasady dotyczące haseł i uwierzytelnianie wieloskładnikowe zarówno dla administratorów WordPress, jak i konta panelu sterowania hostingu Twojej witryny. Jeśli to możliwe, wyłącz całkowicie uwierzytelnianie hasłem dla SSH na rzecz metod uwierzytelniania opartych na kluczach.
iThemes Security Pro umożliwia skonfigurowanie uwierzytelniania bez hasła dla panelu administracyjnego WordPress przy użyciu kluczy z loginami biometrycznymi. To, w połączeniu z uwierzytelnianiem wieloskładnikowym skonfigurowanym dla Twojego konta hostingowego, zapewnia pełną ochronę przed atakami siłowymi i zabezpiecza Twoją witrynę, nawet jeśli Twoje dane logowania zostały naruszone.
Zaimplementuj najlepsze rekomendacje bezpieczeństwa WordPress za pomocą iThemes Security Pro
Jako najpopularniejszy system zarządzania treścią na świecie, WordPress jest celem o wysokim priorytecie dla hakerów na całym świecie. Aby wykorzystać luki w zabezpieczeniach danych i rozpowszechniać złośliwe oprogramowanie, osoby atakujące wykorzystują szeroką gamę wyrafinowanych technik, takich jak wstrzykiwanie bazy danych, skrypty krzyżowe i fałszowanie żądań między witrynami. Jeśli Twoja witryna WordPress nie jest chroniona przed tymi powszechnymi zagrożeniami bezpieczeństwa, może stać się łatwym celem.
Przy niezliczonej liczbie zaleceń dotyczących bezpieczeństwa WordPress, zrozumienie, jak zapewnić bezpieczeństwo swojej witryny, może być trudne, zwłaszcza gdy istnieje wiele strategii łagodzenia każdego cyberataku. Zwiększenie dostępności zabezpieczeń WordPress jest tym, do czego dąży iThemes. Niech iThemes Security Pro i BackupBuddy będą Twoimi osobistymi asystentami bezpieczeństwa! Oferują ponad 50 sposobów ochrony witryny WordPress przed najbardziej niebezpiecznymi cyberatakami, jakie są obecnie dostępne.
Najlepsza wtyczka zabezpieczająca WordPress do zabezpieczania i ochrony WordPress
WordPress obsługuje obecnie ponad 40% wszystkich witryn internetowych, więc stał się łatwym celem dla hakerów o złośliwych zamiarach. Wtyczka iThemes Security Pro usuwa zgadywanie z zabezpieczeń WordPress, aby ułatwić zabezpieczanie i ochronę witryny WordPress. To tak, jakby zatrudnić pełnoetatowego eksperta ds. bezpieczeństwa, który stale monitoruje i chroni Twoją witrynę WordPress.
Kiki ma tytuł licencjata z zarządzania systemami informatycznymi i ponad dwuletnie doświadczenie w systemach Linux i WordPress. Obecnie pracuje jako specjalista ds. bezpieczeństwa w Liquid Web i Nexcess. Wcześniej Kiki była częścią zespołu wsparcia Liquid Web Managed Hosting, gdzie pomogła setkom właścicieli witryn WordPress i dowiedziała się, jakie problemy techniczne często napotykają. Jej pasja do pisania pozwala jej dzielić się swoją wiedzą i doświadczeniem, aby pomagać ludziom. Oprócz technologii Kiki lubi uczyć się o kosmosie i słuchać podcastów o prawdziwych przestępstwach.