Jak wzmocnić WordPress: 18-krokowy przewodnik z niezbędnymi narzędziami
Opublikowany: 2024-08-01Witryny WordPress mogą stać się podatne na ataki, jeśli nie są dobrze utrzymane. Kilka pominiętych aktualizacji lub zła wtyczka i Twoja witryna jest zagrożona. Atakujący mogą również przedostać się przez stronę logowania, jeśli nie jest ona odpowiednio zabezpieczona, lub zatrzymać witrynę za pomocą ataków DDoS (Distributed Denial of Service).
Za dużo mroku i zagłady?
Cóż, na szczęście atakom tym można łatwo zapobiec, podejmując niezbędne kroki w celu wzmocnienia WordPressa. System zarządzania treścią (CMS) daje Ci pełną kontrolę nad ustawieniami Twojej witryny, co oznacza, że możesz wdrożyć strategie chroniące ją przed różnego rodzaju atakami.
W tym artykule przeprowadzimy pełny kurs bezpieczeństwa WordPress. Omówimy, jakich narzędzi powinieneś używać, przejdziemy przez 18 kroków, aby wzmocnić WordPress i pokażemy, jak Jetpack Security może pomóc Ci zapewnić bezpieczeństwo Twojej witryny za pomocą jednej wtyczki. Weźmy się za to!
Znaczenie wzmocnienia witryny WordPress
Cyberatakujący mają tendencję do przeszukiwania sieci w poszukiwaniu witryn zawierających luki, które mogą wykorzystać. Nawet jeśli Twoja witryna jest stosunkowo nowa, napastnicy nadal mogą zaatakować ją w celu dystrybucji złośliwego oprogramowania lub kradzieży danych.
To sprawia, że bezpieczeństwo WordPressa ma kluczowe znaczenie dla wszystkich stron internetowych. W chwili pisania tego tekstu istnieje ponad 50 000 udokumentowanych luk w zabezpieczeniach WordPress. Obejmuje to ponad 7800 znanych, podatnych na ataki wtyczek i około 670 motywów.
Luki w zabezpieczeniach rosną z roku na rok ze względu na rosnącą popularność WordPressa oraz dużą liczbę nowych wtyczek i motywów na rynku.
Jeśli Twoja witryna jest celem, możesz utracić do niej dostęp, a Twoje dane mogą zostać naruszone. W zależności od tego, jak poważne jest naruszenie, naprawa witryny może zająć trochę czasu, co może prowadzić do wielu utraconych konwersji. Co więcej, jeśli prowadzisz większy biznes internetowy, bycie ofiarą cyberprzestępczości może prowadzić do poważnych strat finansowych.
Dobra wiadomość jest taka, że możesz zrobić wiele, aby chronić swoją witrynę WordPress. Aby jednak zapewnić bezpieczeństwo, musisz działać proaktywnie.
Niezbędne narzędzia do wzmocnienia witryny WordPress
W tym przewodniku będziemy wspominać o kilku narzędziach bezpieczeństwa, z których możesz skorzystać. Pomogą Ci one wdrożyć środki wzmacniające Twoją witrynę WordPress. Przyjrzyjmy się, czym one są.
1. Skaner podatności
Skaner podatności to oprogramowanie, które przegląda Twoją witrynę internetową pod kątem problemów z bezpieczeństwem. W przypadku WordPressa skaner przejrzy pliki, wtyczki i motywy Twojej witryny w poszukiwaniu potencjalnych luk w ochronie, które mogą wykorzystać osoby atakujące.
Skaner porównuje znalezione dane z bazą danych zawierającą luki, taką jak WPScan. To największa baza znanych luk w zabezpieczeniach WordPressa, która jest na bieżąco aktualizowana.
Jetpack Protect to najlepsza opcja, jeśli chodzi o skanowanie witryny pod kątem luk w zabezpieczeniach. Wtyczka umożliwia wykorzystanie bazy danych WPScan poprzez automatyczne skanowanie Twojej witryny.
Jeśli Jetpack wykryje lukę, powiadomi Cię i pokaże, jak rozwiązać problem. W większości przypadków będzie to obejmować usunięcie lub aktualizację podatnych na ataki wtyczek lub motywów.
2. Skaner złośliwego oprogramowania
Skaner złośliwego oprogramowania działa podobnie do skanera podatności. W tym przypadku oprogramowanie koncentruje się na wyszukiwaniu zainfekowanych plików i pomaganiu w ich poddaniu kwarantannie lub usunięciu, dzięki czemu możesz pozbyć się złośliwego oprogramowania ze swojej witryny.
W większości przypadków skanery podatności i skanery złośliwego oprogramowania współpracują ze sobą. Na przykład WPScan może pomóc Ci zidentyfikować zarówno luki, jak i złośliwe oprogramowanie w Twojej witrynie WordPress.
Jeśli korzystasz z Jetpack i masz dostęp do planu Bezpieczeństwa (lub uaktualnij Protect do wersji premium), wtyczka przeskanuje Twoją witrynę pod kątem złośliwego oprogramowania i luk w zabezpieczeniach. Jeśli wykryje coś złego w Twojej witrynie, wtyczka wyświetli opcje rozwiązania tych problemów, często za pomocą jednego lub dwóch kliknięć.
3. Zapora sieciowa aplikacji internetowych (WAF)
Prawdopodobnie znasz koncepcję zapory ogniowej. Jest to program blokujący ruch przychodzący i wychodzący z serwera lub komputera.
Zapora aplikacji sieci Web (WAF) działa podobnie. Został zaprojektowany, aby pomóc Ci blokować przychodzący złośliwy ruch lub zapobiegać wysyłaniu informacji przez złośliwe oprogramowanie w Twojej witrynie.
Większość WAF-ów ma wstępnie skonfigurowane reguły określające, jakiego rodzaju połączenia należy blokować. W zależności od ustawień potrafią nawet zidentyfikować znane złośliwe adresy IP.
Jetpack Protect zawiera WAF z prostymi ustawieniami konfiguracyjnymi. Możesz ustawić WAF tak, aby korzystał z automatycznych reguł, które są regularnie dostarczane i aktualizowane przez ekspertów ds. bezpieczeństwa w Jetpack. Te automatyczne reguły mają na celu blokowanie exploitów o dużej wadze, więc nawet jeśli masz lukę w rozszerzeniu, reguła WAF może chronić Twoją witrynę.
Wtyczka umożliwia także umieszczenie określonych adresów IP na liście dozwolonych lub blokowanych. Może to być przydatne, jeśli chcesz ograniczyć dostęp do pulpitu nawigacyjnego.
4. Rozwiązanie do tworzenia kopii zapasowych poza siedzibą firmy
Narzędzia do tworzenia kopii zapasowych tworzą kopie Twojej witryny i przywracają je w razie potrzeby. Ideą tworzenia kopii zapasowych jest to, że zawsze będziesz mieć najnowszą kopię swojej witryny na wypadek jej nieprawidłowego działania lub napotkania problemu bezpieczeństwa, którego nie można łatwo naprawić.
Dla większego bezpieczeństwa zaleca się przechowywanie kopii zapasowych zarówno w witrynie, jak i poza nią, na wypadek awarii jednej z nich. W ten sposób dane Twojej witryny nigdy tak naprawdę nie zostaną utracone.
Chociaż możesz ręcznie wykonać kopię zapasową swojej witryny, użycie dedykowanej wtyczki, takiej jak Jetpack VaultPress Backup, może zapewnić Ci spokój ducha i zautomatyzować cały proces.
Ta wtyczka tworzy kopie zapasowe Twojej witryny w czasie rzeczywistym i przechowuje je poza nią przez maksymalnie 30 dni. Wszystko to dzieje się automatycznie, chociaż możesz także tworzyć własne, ręczne kopie zapasowe, jeśli chcesz.
Jetpack zapisuje wszelkie zmiany wprowadzone w witrynie na bieżąco. Eliminuje to ryzyko częściowej utraty danych w przypadku konieczności przywrócenia ostatniej kopii zapasowej. Po prostu przejdź do dziennika aktywności i wybierz datę i godzinę, do której chcesz przywrócić, a Jetpack natychmiast rozpocznie przywracanie Twojej witryny (nawet jeśli jest ona całkowicie offline).
Skoro mowa o dzienniku aktywności…
5. Dziennik aktywności umożliwiający monitorowanie zmian w witrynie
Dziennik aktywności to narzędzie, które pozwala sprawdzić, co dzieje się w Twojej witrynie. Możesz używać tych dzienników do monitorowania różnych rodzajów aktywności, w tym logowań, instalacji wtyczek, przesyłania postów, a nawet zmian w konfiguracji Twojej witryny.
Nie można przecenić znaczenia dziennika aktywności. Jeśli współpracujesz z innymi osobami przy prowadzeniu witryny internetowej, to narzędzie zapewni Ci wgląd w to, co robią wszyscy inni.
Do rozwiązywania problemów można także użyć dziennika aktywności. Na przykład, jeśli Twój skaner podatności nagle wykryje problem z wtyczką, możesz sprawdzić dzienniki, aby zobaczyć, kiedy wtyczka została zainstalowana i przez kogo.
Jetpack zawiera dziennik aktywności z bezpłatnym kontem WordPress.com, w którym możesz zobaczyć 20 ostatnich wydarzeń na swojej stronie. Dzięki licencji premium otrzymasz dostęp do wydarzeń z co najmniej ostatnich 30 dni
Jak wzmocnić witrynę WordPress w 18 krokach
Oprócz narzędzi omówionych w poprzedniej sekcji, musisz także podjąć kroki, aby wzmocnić WordPress. Oto najważniejsze środki bezpieczeństwa dla Twojej witryny.
1. Utwórz kopię zapasową swojej witryny
Kopie zapasowe są prawdopodobnie najważniejszą częścią kompleksowej strategii bezpieczeństwa. Posiadanie zawsze aktualnych kopii zapasowych oznacza, że jeśli Twoja witryna zostanie zaatakowana lub zainfekowana złośliwym oprogramowaniem, zawsze możesz przywrócić jej zawartość.
Idealnie będzie, jeśli użyjesz wtyczki automatyzującej tworzenie kopii zapasowych. Eliminuje to ryzyko zapomnienia wykonania kopii zapasowej po wprowadzeniu znaczących zmian w witrynie.
Jak już wspomnieliśmy, Jetpack VaultPress Backup to potężne rozwiązanie do tworzenia kopii zapasowych, które jest dostępne samodzielnie lub w ramach kwalifikującego się planu, takiego jak Jetpack Security. Wykorzystuje system tworzenia kopii zapasowych w czasie rzeczywistym. Oznacza to, że zapisuje każdą zmianę w witrynie, dzięki czemu każda nowa modyfikacja jest natychmiast chroniona.
Ten system jest lepszy od zaplanowanych kopii zapasowych. W przypadku tego ostatniego istnieje ryzyko utraty danych, jeśli ostatni punkt przywracania jest zbyt daleko wstecz. Nie stanowi to problemu, jeśli korzystasz z kopii zapasowej VaultPress.
2. Zainstaluj uniwersalną wtyczkę bezpieczeństwa
Do wyboru jest wiele wtyczek zabezpieczających WordPress. Niektóre narzędzia są przeznaczone do określonych celów, np. umożliwiania uwierzytelniania WAF lub dwuskładnikowego (2FA). Inni przyjmują bardziej całościowe podejście i łączą wiele funkcji, aby chronić Twoją witrynę.
Ideą uniwersalnych wtyczek zabezpieczających jest zminimalizowanie liczby narzędzi innych firm, które musisz skonfigurować w swojej witrynie, przy jednoczesnym uzyskaniu dostępu do jak największej liczby funkcji.
Jetpack oferuje szeroką gamę funkcji bezpieczeństwa. Jeśli zdecydujesz się na bezpłatną wtyczkę, uzyskasz dostęp do dziennika aktywności, funkcjonalności WAF, opcji bezpiecznego uwierzytelniania i nie tylko.
Możesz rozszerzyć zakres funkcji bezpieczeństwa oferowanych przez wtyczkę, rejestrując się w planie Jetpack Security. Ten plan zapewnia dostęp do rozwiązania do tworzenia kopii zapasowych, automatycznego skanowania pod kątem złośliwego oprogramowania z dostępnymi poprawkami jednym kliknięciem, ochrony przed spamem i nie tylko.
Pod względem wartości Jetpack Security oferuje jedno z najbardziej kompleksowych rozwiązań bezpieczeństwa dla użytkowników WordPress. A jeśli chcesz, zawsze możesz zacząć korzystać z bezpłatnej wtyczki i zaktualizować ją do wersji premium, gdy już poczujesz się komfortowo.
3. Zaktualizuj rdzeń WordPressa
Aktualizacja WordPressa do najnowszej wersji to jedna z najważniejszych rzeczy, które możesz zrobić, aby poprawić bezpieczeństwo swojej witryny. Dzieje się tak dlatego, że nowsze wersje zwykle zawierają poprawki i ulepszenia zabezpieczeń. Co więcej, twórcy oprogramowania często wydają łatki naprawiające pilne luki.
Korzystanie z przestarzałych wersji WordPressa może również prowadzić do problemów ze zgodnością z wtyczkami i motywami. Mogą one spowodować, że kluczowe elementy Twojej witryny przestaną działać.
Aktualizowanie WordPressa jest proste. Po uzyskaniu dostępu do panelu WordPress poinformuje Cię, czy są dostępne aktualizacje. Możesz zaktualizować WordPressa, klikając Panel → Aktualizacje .
Pamiętaj, że aktualizacja WordPressa może prowadzić do problemów ze zgodnością, jeśli Twoje wtyczki lub motywy nie obsługują nowszej wersji. Aby temu zaradzić, przed większymi aktualizacjami utwórz kopię zapasową swojej witryny.
Jeśli korzystasz z kopii zapasowej VaultPress, nie będzie to konieczne. Wtyczka utworzy kopię zapasową Twojej witryny w czasie rzeczywistym, dzięki czemu będziesz mieć dostępny punkt przywracania przed aktualizacją, na wypadek gdybyś musiał przywrócić witrynę.
4. Usuń nieużywane wtyczki i motywy
W miarę rozwoju Twojej witryny możesz potrzebować nowych wtyczek, a nawet zmienić motyw. Może to spowodować pojawienie się większej liczby luk w zabezpieczeniach Twojej witryny. Ogólna zasada jest taka, że mądrze jest usunąć wszelkie wtyczki lub motywy, których już nie potrzebujesz.
Proces jest prosty.
Przejdź do strony wtyczek lub motywów w panelu kontrolnym. Następnie dezaktywuj i usuń te, których już nie używasz.
Jeśli zdecydujesz się ponownie zainstalować niektóre z tych wtyczek w późniejszym terminie, nie ma problemu. Ich instalacja i aktywacja zajmie tylko kilka minut, chociaż może być konieczne ponowne skonfigurowanie ich ustawień.
5. Zaktualizuj wszystkie pozostałe wtyczki i motywy
Po oczyszczeniu listy wtyczek i motywów warto sprawdzić, czy któryś z pozostałych elementów witryny wymaga aktualizacji. Aktualizacje wtyczek i motywów mogą być tak samo ważne, jak aktualizacje rdzenia WordPressa pod względem bezpieczeństwa, ponieważ są jednymi z najczęstszych wektorów ataków.
WordPress powiadomi Cię o wszelkich dostępnych aktualizacjach wtyczek i motywów, gdy uzyskasz dostęp do pulpitu nawigacyjnego. W idealnym przypadku zaktualizujesz komponenty swojej witryny, gdy tylko pojawią się nowe wersje.
Możesz to zrobić na stronach wtyczek i motywów w panelu kontrolnym.
Jeśli jesteś zbyt zajęty, aby codziennie sprawdzać swoją witrynę, możesz włączyć automatyczne aktualizacje dla każdej wtyczki. Jest to prosty środek, ale może drastycznie zminimalizować ryzyko wystąpienia luk w zabezpieczeniach Twojej witryny.
6. Egzekwuj politykę silnych haseł
Dość często naruszenia bezpieczeństwa stron internetowych nie są spowodowane lukami w zabezpieczeniach WordPressa, ale błędem ludzkim. Wiele osób używa słabych danych uwierzytelniających do logowania się na swoich stronach internetowych, co ułatwia hakerom uzyskanie dostępu do pulpitu nawigacyjnego.
Najlepszym sposobem na uniknięcie tego jest wymuszenie polityki silnych haseł. Kiedy rejestrujesz konto na swojej stronie WordPress, generowane jest dla Ciebie bezpieczne hasło.
Jeśli korzystasz z Jetpack, będziesz mieć również dostęp do funkcji uwierzytelniania dwuskładnikowego (2FA), której możesz użyć w celu dalszej ochrony strony logowania.
Może to być bardzo przydatne, jeśli w Twojej witrynie znajduje się wielu użytkowników (takich jak autorzy i kierownicy sklepów). Nawet jeśli Twoi użytkownicy będą trzymać się słabych haseł, będziesz mieć możliwość skorzystania z rozwiązania 2FA, które ochroni Twoją witrynę przed atakującymi mającymi dostęp do tych danych uwierzytelniających (więcej o tym później).
7. Ogranicz próby logowania
Ogólnie rzecz biorąc, jeśli ktoś nie pamięta swoich danych logowania, zazwyczaj spróbuje kilku różnych danych uwierzytelniających, a następnie poprosi o zresetowanie hasła.
Jeśli zauważysz (poprzez dzienniki aktywności), że dana osoba próbuje dużej liczby kombinacji nazwy użytkownika i hasła, prawdopodobnie masz do czynienia z atakiem. Dlatego warto ograniczyć liczbę prób logowania, jakie może podjąć użytkownik w określonym przedziale czasu.
Jest to funkcja dostępna w Jetpack. Wtyczka oferuje ochronę typu brute-force, która rozpoznaje znane złośliwe adresy IP i blokuje im próby logowania.
Ochrona przed brutalną siłą jest domyślnie aktywna w przypadku Jetpack. Możesz sprawdzić jego konfigurację, przechodząc do Jetpack → Ustawienia. Tutaj możesz także dodać dozwolone adresy IP, aby Jetpack nie blokował omyłkowo dostępu do strony logowania.
8. Wzmocnij bezpieczeństwo logowania dzięki 2FA
Z niedawnej ankiety wynika, że ponad 40 procent programistów uważa wdrożenie 2FA za swój najwyższy priorytet. Rozwiązanie to minimalizuje ryzyko uzyskania przez atakujących dostępu do Twojej witryny internetowej przy użyciu skradzionych danych uwierzytelniających.
Uwierzytelnianie dwuskładnikowe to kluczowa funkcja bezpieczeństwa, ponieważ wielu użytkowników ma słabe hasła lub ponownie wykorzystuje swoje dane uwierzytelniające w różnych witrynach. Dzięki 2FA wymagasz od tych użytkowników zapewnienia innej formy uwierzytelnienia.
Jak już wspomnieliśmy, Jetpack umożliwia korzystanie z 2FA w witrynie WordPress. Wymaga to od użytkowników założenia konta WordPress.com. Następnie mogą używać tego konta do logowania się do innych witryn WordPress, nawet tych, które korzystają z wersji WordPress o otwartym kodzie źródłowym.
2FA jest dostępne w bezpłatnej wersji Jetpack. Tę funkcję można włączać i wyłączać i nie trzeba majstrować przy zaawansowanych ustawieniach, aby ją skonfigurować, ponieważ opiera się ona na WordPress.com.
9. Usuń nieużywane konta użytkowników
Nieaktywne konta użytkowników mogą stanowić zagrożenie dla bezpieczeństwa Twojej witryny, szczególnie jeśli mają uprawnienia wysokiego poziomu (więcej na ten temat porozmawiamy w następnej sekcji). Konta te zapewniają dodatkowe możliwości naruszeń bezpieczeństwa, ponieważ ich dane uwierzytelniające mogą zostać naruszone i udostępnione w Internecie.
Dlatego wiele stron internetowych automatycznie usunie Twoje konto, jeśli będzie ono nieaktywne przez dłuższy czas (oczywiście po ostrzeżeniu). WordPress daje Ci pełną kontrolę nad listą użytkowników, co oznacza, że możesz dodawać i usuwać użytkowników według własnego uznania.
Usuwanie użytkowników jest prostym procesem. Przejdź do Użytkownicy → Wszyscy użytkownicy , znajdź konto i wybierz opcję Usuń . WordPress poprosi Cię o potwierdzenie, ale sam użytkownik nie musi zatwierdzać usunięcia konta.
Przed usunięciem konta możesz skontaktować się z użytkownikami. Jeśli jednak konto było nieaktywne przez lata, prawdopodobnie powinno zostać usunięte.
10. Przypisz odpowiednią rolę pozostałym użytkownikom
Po oczyszczeniu listy użytkowników następnym krokiem powinno być sprawdzenie uprawnień pozostałych użytkowników. WordPress korzysta z prostego systemu ról, w którym każda rola ma z góry określony zestaw uprawnień.
Jedyną rolą użytkownika z pełnym dostępem do wszystkich ustawień WordPressa jest administrator. Ze względów bezpieczeństwa administrator powinien być tylko jeden. Inne role WordPress obejmują autorów, redaktorów, współautorów i subskrybentów.
Niektóre wtyczki dodają także nowe role użytkowników ze zaktualizowanymi uprawnieniami.
Każda rola ma uprawnienia umożliwiające użytkownikom wykonywanie określonych zadań. Autorzy mogą na przykład publikować i edytować własne posty, ale nie te utworzone przez innych użytkowników.
W idealnym przypadku żaden użytkownik nie powinien mieć roli dającej mu więcej uprawnień, niż potrzebuje. Przypisanie niewłaściwych ról może prowadzić do problemów związanych z bezpieczeństwem, ponieważ użytkownicy mogą zmienić ustawienia WordPress, których nie powinni zmieniać.
Ważne jest okresowe przeglądanie listy użytkowników, aby upewnić się, że każdemu przypisano właściwe role. Ta prosta praktyka pomoże Ci zminimalizować problemy bezpieczeństwa spowodowane przez członków zespołu z nieprawidłowymi uprawnieniami.
11. Zmień nazwę domyślnego konta „admin”.
Konto administratora WordPress jest klejnotem koronnym dla atakujących. Jeśli uzyskają do niego dostęp, będą mogli zrobić w Twojej witrynie wszystko, co zechcą, łącznie z kradzieżą danych i umieszczaniem złośliwego oprogramowania.
Domyślnie WordPress używa nazwy użytkownika administratora dla konta administratora. Możesz to zmienić podczas tworzenia konta, ale nie później.
Jeśli używasz nazwy użytkownika administratora , dla większości atakujących jest to łatwe do odgadnięcia, co oznacza, że muszą jedynie zdobyć Twoje hasło. WordPress nie umożliwia zmiany istniejących nazw użytkowników, nawet jako administrator.
Aby to obejść, możesz utworzyć nowe konto administratora z silniejszą nazwą użytkownika, a następnie usunąć pierwsze. Pamiętaj, że możesz to zrobić tylko wtedy, gdy jesteś administratorem.
12. Zmień domyślny prefiks bazy danych
Domyślnie WordPress używa przedrostka wp_ dla baz danych witryn. Dzięki temu stosunkowo łatwo jest odgadnąć nazwę bazy danych, co z kolei może pomóc atakującym połączyć się z nią.
Możesz zmniejszyć ryzyko, że automatyczne narzędzia do wstrzykiwania SQL identyfikują bazę danych, zmieniając ten prefiks. Najlepiej zrobić to podczas procesu konfiguracji. Kreator konfiguracji WordPress zapyta Cię, jakiego prefiksu bazy danych użyć przed skonfigurowaniem witryny.
Jeśli Twoja witryna już działa, musisz zmodyfikować plik wp-config.php , aby zmienić prefiks bazy danych. Połącz się ze stroną internetową za pomocą protokołu przesyłania plików (FTP) i poszukaj pliku wp-config.php w katalogu głównym WordPress.
Edytuj plik i poszukaj wiersza o treści $table_prefix = 'wp_';. Śmiało i zamień wartość wp_ na prefiks, którego chcesz użyć. Twój klient FTP powinien przesłać zmiany po zapisaniu i zamknięciu pliku.
Teraz uzyskaj dostęp do bazy danych za pomocą phpMyAdmin. Wybierz swoją bazę danych i użyj SQL na górze ekranu, aby uruchomić następujące zapytanie dla każdej tabeli w bazie danych:
ZMIEŃ NAZWĘ tabeli wp_xxxx NA otherprefix_xxxx;
Oto jak to zapytanie powinno wyglądać w prawdziwym życiu:
Jest to bardzo wrażliwy proces, dlatego przed próbą zmiany prefiksów należy upewnić się, że masz pełną kopię zapasową witryny (łącznie z bazą danych).
Po zakończeniu procesu upewnij się, że Twoja witryna działa poprawnie. Jeśli napotkasz jakiekolwiek błędy, być może zapomniałeś zmienić nazwę jednej z tabel bazy danych lub wykonałeś niewłaściwe zapytanie.
Chronimy Twoją witrynę. Prowadzisz swój biznes.
Jetpack Security zapewnia łatwą w obsłudze, kompleksową ochronę witryny WordPress, w tym kopie zapasowe w czasie rzeczywistym, zaporę sieciową aplikacji internetowych, skanowanie w poszukiwaniu złośliwego oprogramowania i ochronę przed spamem.
Zabezpiecz swoją witrynę13. Ukryj /wp-admin i /wp-login.php
Prawdopodobnie rozpoznajesz oba te sufiksy adresów URL. Służą do logowania się do WordPressa i uzyskiwania dostępu do pulpitu nawigacyjnego. Są łatwe do zapamiętania, ale mogą ułatwić hakerom dostęp do Twojej witryny.
Z punktu widzenia bezpieczeństwa rozsądniej jest używać różnych sufiksów dla obu adresów URL. Na początek możesz zapoznać się z tym samouczkiem na temat zmiany adresu URL logowania do WordPress. Obejmuje to instrukcje zmiany wp-login i wp-admin.php zarówno ręcznie, jak i przy użyciu wtyczek.
14. Zainstaluj certyfikat SSL do szyfrowania danych
Obecnie nie ma powodu, aby strony internetowe nie korzystały z certyfikatów warstwy bezpiecznych gniazd (SSL). Certyfikaty te potwierdzają legalność Twojej witryny i umożliwiają używanie protokołu HTTPS do wysyłania i odbierania zaszyfrowanych danych.
Niektóre przeglądarki ostrzegają użytkowników, jeśli ich połączenie z witryną nie jest bezpieczne lub ma ona nieprawidłowy lub wygasły certyfikat SSL.
Możesz postępować zgodnie z tym przewodnikiem, aby uzyskać bezpłatny certyfikat SSL dla swojej witryny i zainstalować go. Możesz także skorzystać z jednego z polecanych przez Jetpack hostów internetowych, z których każdy oferuje bezpłatne certyfikaty SSL z automatyczną konfiguracją.
15. Ogranicz dostęp FTP według adresu IP
Domyślnie każdy, kto ma dostęp do danych uwierzytelniających FTP Twojej witryny, może połączyć się z nią przy użyciu tego protokołu. Oznacza to, że jeśli atakujący dostaną się w ręce Twoich danych uwierzytelniających, będą mogli zmodyfikować niemal każdy aspekt Twojej witryny.
Niektórzy dostawcy usług hostingowych zapewniają zaawansowane środki bezpieczeństwa FTP, takie jak ograniczenie dostępu według adresu IP. Dzięki temu możesz wybrać, które adresy mogą łączyć się z Twoją witryną za pośrednictwem protokołu FTP.
Tylko administrator i inni członkowie zespołu, którzy wymagają dostępu przez FTP, powinni posiadać niezbędne uprawnienia. Może to pomóc zminimalizować incydenty związane z bezpieczeństwem i pomóc zidentyfikować, kto wprowadził zmiany w kluczowych plikach, jeśli napotkasz problemy z WordPress.
Idealnie byłoby, gdybyś w ogóle nie korzystał z FTP i zamiast tego wybrał SFTP lub SSH, aby uzyskać dostęp do swojego serwera.
Ten proces będzie się różnić w zależności od dostawcy usług hostingowych. Jeśli nie masz pewności, czy Twój dostawca usług hostingowych umożliwia ograniczenie dostępu FTP według adresu IP, możesz sprawdzić jego dokumentację.
16. Zabezpiecz uprawnienia do plików i katalogów
Systemy oparte na systemie UNIX korzystają z reguł uprawnień opartych na zestawach liczb. Poszczególne pliki i katalogi mogą mieć różne zestawy uprawnień, które określają, kto może uzyskać do nich dostęp, edytować je i wykonywać.
Więcej informacji na temat działania uprawnień UNIX można znaleźć w Podręczniku programisty WordPress.
Na razie należy zauważyć, że istnieją idealne poziomy uprawnień dla witryn WordPress i ich systemów plików.
To są:
- 644 lub 640 dla plików. Pierwszy zestaw liczb zapewnia właścicielowi pełne uprawnienia do odczytu i zapisu pliku, natomiast pozostali użytkownicy w grupie będą mieli dostęp tylko do odczytu. Drugi zestaw uprawnień nie zapewnia użytkownikom dostępu do odczytu.
- 755 lub 750 dla katalogów. Ten zestaw uprawnień działa w taki sam sposób jak w ostatnim przykładzie, ale z katalogami. 755 zapewnia właścicielowi pełny dostęp do odczytu i zapisu, a pozostali członkowie grupy mają dostęp do odczytu.
Możesz zmienić uprawnienia do plików w systemie plików WordPress za pomocą protokołu FTP. Aby to zrobić, kliknij plik lub katalog prawym przyciskiem myszy i wybierz opcję uprawnień do plików (może się to różnić w zależności od używanego klienta FTP).
Niektórzy klienci FTP umożliwiają ustawienie uprawnień do plików poprzez zaznaczenie określonych pól i użycie systemu numerycznego. Możesz wybrać dowolną opcję, którą wolisz.
17. Zabroń edycji plików
WordPress zawiera gotowe edytory plików motywów i wtyczek, chociaż niektóre hosty internetowe domyślnie je wyłączają. Są to proste edytory tekstu, których możesz używać z poziomu pulpitu nawigacyjnego, aby wprowadzać zmiany w kodzie wtyczek i motywów w swojej witrynie.
Włączenie edycji plików z poziomu pulpitu nawigacyjnego stwarza ryzyko bezpieczeństwa. Oznacza to, że jeśli atakujący uzyskają dostęp do dashboardu, będą mogli bezpośrednio modyfikować kod witryny bez konieczności podawania danych FTP czy dostępu do panelu hostingowego.
Jeśli Twój usługodawca hostingowy umożliwia edytowanie plików w WordPressie, możesz wyłączyć tę opcję ręcznie, modyfikując plik wp-config.php . Otwórz plik i dodaj następujący wiersz kodu na końcu przed wierszem o treści /* To wszystko, przestań edytować! Miłego blogowania. */ :
define('DISALLOW_FILE_EDIT', true);
Upewnij się, że wartość jest ustawiona na „true”, a następnie zapisz zmiany w pliku wp-config.php i zamknij go. Jeśli teraz sprawdzisz pulpit nawigacyjny, edytory motywów i wtyczek nie powinny już się tam pojawiać.
18. Zabezpiecz swój plik wp-config.php
Jak widać z tego przewodnika dotyczącego wzmacniania WordPressa, plik wp-config.php ma kluczowe znaczenie z punktu widzenia bezpieczeństwa. Możesz zmodyfikować kod pliku, aby zwiększyć ochronę swojej witryny, dlatego ważne jest, aby nikt inny nie miał do niego dostępu.
Szukaliśmy już sposobu ochrony pliku wp-config.php przed nieautoryzowanym dostępem. Przede wszystkim wiąże się to z ograniczeniem tego, kto może połączyć się z Twoją witryną za pośrednictwem protokołu FTP. W idealnym przypadku będziesz mieć tylko jeden adres IP lub ograniczoną liczbę adresów IP autoryzowanych do łączenia się przez FTP, aby zmniejszyć ryzyko.
Drugim środkiem bezpieczeństwa, jaki możesz zastosować, jest zapewnienie odpowiednich uprawnień do plików. Chociaż zalecane poziomy uprawnień dla innych plików to 644 lub 640, plik wp-config.php powinien być ustawiony na 440 lub 400. Te poziomy uprawnień oznaczają, że inni użytkownicy oprócz administratora nie będą mogli nawet uzyskać dostępu do odczytu do pliku.
Znaczenie kopii zapasowych dla odzyskiwania danych po awarii
Automatyzacja tworzenia kopii zapasowych jest prawdopodobnie najważniejszym środkiem bezpieczeństwa. Mając pod ręką najnowszą kopię zapasową znajdującą się poza witryną, zawsze możesz przywrócić witrynę, jeśli coś pójdzie nie tak.
Jeśli korzystasz z VaultPress Backup, nie musisz się martwić ręcznym tworzeniem kopii zapasowych. Możesz sprawdzić dostępne kopie zapasowe, przechodząc do Jetpack → VaultPress Backup i klikając na Zobacz swoje kopie zapasowe na przycisku chmury .
Spowoduje to wyświetlenie wszystkich dostępnych kopii zapasowych i zaoferowanie opcji przywrócenia dowolnej z nich jednym kliknięciem. VaultPress Backup tworzy kopie Twojej witryny w czasie rzeczywistym za każdym razem, gdy wprowadzasz w niej zmiany, dzięki czemu zawsze będziesz mieć dostępne najnowsze kopie zapasowe.
Jak Jetpack Security obsługuje kopie zapasowe, aby zapewnić spokój ducha
Przyjrzyjmy się bliżej, jak Jetpack Security obsługuje kopie zapasowe. Należy pamiętać, że poniższe funkcje są dostępne tylko w planach premium, takich jak Jetpack Security, Jetpack Complete lub VaultPress Backup.
1. Kopie zapasowe w czasie rzeczywistym
Większość rozwiązań do tworzenia kopii zapasowych wymaga ręcznego tworzenia kopii zapasowych lub generowania ich zgodnie z harmonogramem. Na przykład możesz mieć możliwość tworzenia codziennych, cotygodniowych lub miesięcznych kopii zapasowych.
Codzienne kopie zapasowe to świetny początek, ale nawet wtedy istnieje ryzyko utraty kluczowych danych, gdy trzeba przywrócić witrynę. Jeśli po wykonaniu tej codziennej kopii zapasowej i przed wykonaniem kolejnej dokonałeś jakichkolwiek zmian w witrynie, konieczne będzie ich ponowne wdrożenie.
VaultPress Backup rozwiązuje ten problem, tworząc kopie Twojej witryny w czasie rzeczywistym. Za każdym razem, gdy dokonasz zmian, wtyczka utworzy kopię zapasową danych i będziesz mieć dostępny nowy punkt przywracania. Oznacza to, że nie ponosisz ryzyka utraty danych.
2. Bardzo bezpieczne przechowywanie poza siedzibą firmy
Pamięć masowa może stanowić problem w przypadku większości rozwiązań do tworzenia kopii zapasowych. Możesz przechowywać kopie swojej witryny na serwerze, lokalnie lub nawet korzystając z pamięci w chmurze. Rozwiązania offsite są lepsze z punktu widzenia bezpieczeństwa, ponieważ w przypadku awarii serwera nadal masz do nich dostęp.
VaultPress Backup oferuje własne rozwiązanie do przechowywania danych poza siedzibą firmy. Nie musisz konfigurować wtyczki do współpracy z dostawcami usług przechowywania w chmurze, ponieważ uzyskasz dostęp do magazynu Jetpack.
Wtyczka automatycznie przechowuje kopie zapasowe z ostatnich 30 dni poza siedzibą firmy. W dowolnym momencie możesz wybrać jedną z tych kopii zapasowych i przywrócić ją.
3. Przywracanie jednym kliknięciem
VaultPress Backup ułatwia przywrócenie Twojej witryny. Wystarczy, że wybierzesz kopię zapasową, którą chcesz przywrócić i zatwierdzisz swój wybór, a wtyczka zajmie się resztą.
Kiedy ponownie uzyskasz dostęp do swojej witryny, zobaczysz wersję przywróconą za pomocą VaultPress Backup. Od tego momentu możesz kontynuować wprowadzanie zmian w witrynie.
Często Zadawane Pytania
Jeśli nadal masz pytania dotyczące ochrony witryny WordPress lub kopii zapasowej VaultPress, w tej sekcji znajdziesz odpowiedzi na nie.
Co to jest hartowanie WordPressa i dlaczego jest ważne?
Utwardzanie WordPressa odnosi się do procesu zwiększania bezpieczeństwa Twojej witryny. Utrudnia to atakującym dostęp do witryny internetowej.
Jakie są najczęstsze zagrożenia dla witryn WordPress?
Większość luk w zabezpieczeniach WordPressa wynika z nieaktualnych wtyczek, motywów i rdzenia WordPress. Przestarzałe oprogramowanie częściej zawiera luki, które atakujący mogą wykorzystać w celu uzyskania dostępu do Twojej witryny internetowej lub przejęcia nad nią kontroli.
Jak mogę monitorować moją witrynę WordPress pod kątem luk w zabezpieczeniach?
Najłatwiejszym sposobem monitorowania witryny pod kątem luk jest użycie skanera bezpieczeństwa. Jetpack Security wykorzystuje WPScan do sprawdzania Twojej witryny pod kątem znanych luk w zabezpieczeniach WordPress.
Co więcej, Jetpack może pomóc Ci rozwiązać wszelkie problemy związane z bezpieczeństwem, które wtyczka wykryje podczas skanowania.
Czego powinienem szukać we wtyczce zabezpieczającej WordPress?
Najlepsze wtyczki zabezpieczające WordPress oferują zbiór funkcji, które pomogą chronić Twoją witrynę, minimalizując jednocześnie potrzebę stosowania innych narzędzi stron trzecich. Możesz używać Jetpack z planem Jetpack Security, aby uzyskać dostęp do takich funkcji, jak kopie zapasowe w czasie rzeczywistym, WAF, ochrona przed spamem, implementacja 2FA i inne.
Ile witryn ufa Jetpack w zakresie bezpieczeństwa swoich witryn?
Jetpack to jedna z najpopularniejszych wtyczek WordPress na rynku ze względu na bogactwo funkcji bezpieczeństwa i optymalizacji wydajności. Ponad pięć milionów stron internetowych korzysta z Jetpacka, więc jest to świetny wybór zarówno dla nowych, jak i doświadczonych użytkowników WordPressa.
Czy Jetpack Security może pomóc również w przypadku komentarzy spamowych i przesyłania formularzy?
Jetpack Security zawiera funkcje ochrony przed spamem, które automatycznie blokują lub filtrują spamerskie komentarze w oparciu o zaawansowane algorytmy i dane. Możesz także przeglądać oznaczone komentarze, aby upewnić się, że nie ma fałszywych alarmów.
Gdzie mogę dowiedzieć się więcej o bezpieczeństwie Jetpack?
Jeśli chcesz dowiedzieć się więcej o Jetpack Security, możesz odwiedzić stronę główną planu. Można tam znaleźć dodatkowe informacje na temat jego funkcji oraz zapisać się na plan.
Chroń swoją witrynę za pomocą Jetpack Security
Istnieje wiele sposobów na wzmocnienie witryny WordPress. Niektóre z nich obejmują wdrożenie środków bezpieczeństwa, takich jak zmiana domyślnego adresu URL logowania i pulpitu nawigacyjnego, zabezpieczenie pliku wp-config.php i nie tylko. Jednak w większości przypadków najskuteczniejszą rzeczą, jaką możesz zrobić, aby chronić swoją witrynę, jest użycie uniwersalnej wtyczki zabezpieczającej.
Jetpack Security to potężne rozwiązanie. Umożliwia ochronę strony logowania i obrony witryny przed atakami DDOS. Zapewnia również kopie zapasowe w czasie rzeczywistym, ochronę spamu i wiele więcej.
Jeśli nie masz pewności, od czego zacząć, jeśli chodzi o utwardzanie WordPress, sprawdź bezpieczeństwo JetPack. Możesz zapisać się na plan i od razu zacząć chronić swoją witrynę!