Bezpieczeństwo WordPress: najlepszy przewodnik po zabezpieczeniu witryny WordPress

Cyberprzestępczość jest na najwyższym poziomie, a hakerzy i złośliwe oprogramowanie szaleją w ogromnym środowisku online. Google umieszcza na czarnej liście ponad 20 000 witryn zawierających złośliwe oprogramowanie i ponad 50 000 witryn internetowych jako potencjalnych witryn phishingowych – co tydzień! Niech liczby zapadną na chwilę. Dlatego na potrzeby tego tekstu przygotowaliśmy obszerny przewodnik, który pomoże Ci poprawić bezpieczeństwo WordPressa.

Widzisz, jeśli Twoja witryna nie jest zgodna z najlepszymi praktykami bezpieczeństwa, pozostawisz witrynę i całą jej zawartość narażoną na ataki hakerów. Ale to nie tylko Twoje treści są na linii, ponieważ niezabezpieczone strony internetowe są również karane przez algorytmy wyszukiwania Google.

Hakerzy i złośliwe oprogramowanie są nie tylko niebezpieczne dla zawartości Twojej witryny, ale także stanowią zagrożenie dla osób odwiedzających Twoją witrynę. I tak, jeśli nie zastosujesz się do podstawowych wytycznych bezpieczeństwa – co zresztą jest bardzo proste – Google zdegraduje Cię na SERP (Search Engine Results Page).

Na szczęście użytkownicy WordPressa mają dostęp do dedykowanych wtyczek i niezwykle intuicyjnego interfejsu, który może znacznie zwiększyć bezpieczeństwo WordPressa. Więc nie czekając dłużej, oto nasze 10+ najlepszych sposobów na poprawę bezpieczeństwa WordPressa:

Top 10+ sposobów na poprawę bezpieczeństwa WordPress

1. Zainstaluj wtyczki do tworzenia kopii zapasowych

Koncepcja tutaj jest dość prosta – lepiej być bezpiecznym teraz, niż później żałować!

Tworząc kopię zapasową treści i bazy danych online, wszystko jest bezpieczne, nawet w przypadku niefortunnego przypadku padnięcia ofiarą hakerów i złośliwego oprogramowania. To sprawia, że ​​instalacja wtyczki do tworzenia kopii zapasowych jest pierwszym rozdziałem Bezpieczeństwo WordPress 101 i umieszcza ją na szczycie listy priorytetów.

Wtyczka do tworzenia kopii zapasowych, taka jak nasza wtyczka WPvivid Backup, może wykonywać automatyczne rutynowe kopie zapasowe całej witryny WordPress, w tym bazy danych. Możesz go skonfigurować, aby zaplanować tworzenie kopii zapasowych na co tydzień lub codziennie. Kopie zapasowe danych są zazwyczaj przechowywane na osobnej platformie do przechowywania w chmurze — dostarczanej przez samą wtyczkę lub wśród różnych już istniejących platform, takich jak Dysk Google, Amazon S3, Dropbox i tak dalej.

Teraz, jeśli w późniejszym czasie Twoja witryna ulegnie awarii z powodu złośliwego oprogramowania lub hakerów, wszystkie Twoje dane będą nadal dostępne i możesz przywrócić kopie zapasowe swojej witryny, aby przywrócić ją do poprzedniego stanu działania. Pamiętaj tylko, aby ukryć luki w zabezpieczeniach, które hakerzy lub złośliwe oprogramowanie wykorzystali, aby dostać się do Twojej witryny, aby to się nie powtórzyło.

Biorąc to wszystko pod uwagę, jeśli szukasz rekomendacji, której wtyczki do tworzenia kopii zapasowych, oprócz naszej wtyczki WPvivid Backup, użyć do poprawy bezpieczeństwa WordPress, oto kilka opcji:

• UpDraftPlus
• WsteczWPup

2. Zainstaluj wtyczkę zapory, aby monitorować witrynę WordPress

Podobnie jak w przypadku oprogramowania zapory, które skonfigurowałeś na komputerze stacjonarnym/laptopie, wtyczka zapory będzie monitorować ruch przychodzący i blokować dostęp do Twojej witryny WordPress przez typowe zagrożenia bezpieczeństwa.

Wtyczki zazwyczaj odwołują się do bazy danych składającej się ze złośliwych sygnatur i adresów IP umieszczonych na czarnej liście, aby przeskanować potencjalne zagrożenia pojawiające się na Twojej stronie i od razu je zablokować.

Jak widać, jest to tak proste, jak instalacja wtyczki WordPress, ale poprawia bezpieczeństwo WordPress, zapobiegając przedostawaniu się hakerów, złośliwego oprogramowania, robaków i wirusów do Twojej witryny.

3. Ustaw silne hasło do logowania administratora

Kiedy się nad tym zastanowisz, uzyskanie dostępu do pulpitu nawigacyjnego zaplecza WordPress nie jest wielkim problemem. Powszechnie wiadomo, że dodanie „/wp-admin” na końcu adresu URL witryny WordPress przenosi użytkownika na stronę logowania administratora. Tutaj jedyną rzeczą ograniczającą dostęp do backendu strony jest po prostu odgadnięcie nazwy użytkownika i hasła.

Teraz, ponieważ nazwa użytkownika „admin” jest prawie zawsze powiązana z witryną WordPress, jedyną rzeczą, którą musi zrobić haker, jest odgadnięcie hasła, a następnie będzie miał bezpośredni dostęp do całej zawartości i danych witryny. Przerażająca rzecz do wyobrażenia, prawda?

Biorąc to wszystko pod uwagę, najbardziej oczywistym ulepszeniem bezpieczeństwa WordPressa, jakie możesz zastosować, jest uczynienie hasła niezwykle złożonym i trudnym do odszyfrowania, nawet brutalną siłą. Obejmuje to tworzenie dłuższych haseł zawierających co najmniej 10-12 znaków. Pamiętaj również, aby w haśle używać wielkich i małych liter, cyfr i znaków specjalnych.

Abyś sam tego nie zapomniał, zapisz to w miejscu, w którym wiesz, że będzie bezpieczne.

4. Dostosuj nazwę użytkownika administratora

Podobnie jak w przypadku zmiany hasła do loginu administratora WordPress, powinieneś również rozważyć zmianę łatwej do przewidzenia domyślnej nazwy użytkownika – admin. Więc teraz haker musi odszyfrować hasło wraz z poprawną nazwą użytkownika, aby dostać się do backendu Twojej witryny, co wykładniczo zwiększa bezpieczeństwo WordPressa.

Ale biorąc to pod uwagę, zmiana domyślnej nazwy użytkownika administratora jest nieco trudna. Najpierw musisz zalogować się do swojego zaplecza WordPress > Użytkownik > Dodaj nowego użytkownika , a następnie utworzyć nowego użytkownika (z nową nazwą użytkownika) z rolą użytkownika ustawioną na – Administrator . Po zakończeniu zaloguj się przy użyciu nowego konta użytkownika i usuń domyślne konto użytkownika „admin”, zmuszając hakerów do odszyfrowania nie tylko prawidłowego hasła, ale także nowej nazwy użytkownika. Alternatywnie możesz zarządzać i edytować role użytkowników za pomocą wtyczki edytora ról użytkowników.

5. Dostosuj adres URL logowania

Do tej pory rozmawialiśmy o tym, jak utrudnić hakerom odgadnięcie danych logowania do backendu WordPress. Ale jeszcze lepszą taktyką bezpieczeństwa WordPress byłoby całkowite odmówienie hakerom dostępu do ekranu logowania.

Jak wspomniano wcześniej, domyślny adres URL strony logowania zaplecza witryny obejmuje adres URL witryny, po którym następuje „/ wp-admin”. Czy wiesz jednak, że możesz dostosować ostatnią część adresu URL logowania do witryny do dowolnego innego ciągu alfanumerycznego, jaki możesz sobie wyobrazić, na przykład – „/zero-hackers-allowed”.

Pamiętaj jednak, że nie jest to domyślna funkcja CMS (system zarządzania treścią) i aby Ci pomóc, musisz zainstalować wtyczkę WordPress, taką jak WPS Hide Login . Po zainstalowaniu i aktywacji wtyczka umożliwi zmianę adresu URL logowania, aby hakerzy nie mieli łatwego dostępu do strony wp-login.php i katalogu wp-admin.

Do tej pory nie tylko utrudniliśmy hakerom odgadnięcie właściwej kombinacji hasła i nazwy użytkownika, aby uzyskać dostęp do naszej witryny, ale także skutecznie ukryliśmy stronę logowania przed ciekawskimi oczami. Jak możesz sobie wyobrazić, drastycznie zwiększa to bezpieczeństwo WordPressa i praktycznie uniemożliwia ataki siłowe.

6. Ustaw silne hasło dla użytkownika bazy danych

Jeśli Twoja witryna ma wielu użytkowników, a niektórzy z nich mają bezpośredni dostęp do Twojej bazy danych lub innych poufnych informacji, upewnij się, że ustawili silne hasła do swoich kont. Hakerzy równie często próbują dostać się do Twojej witryny, wykorzystując innych użytkowników Twojej witryny. Mając to na uwadze, każdy luźny koniec jest potencjalną luką i zagrożeniem bezpieczeństwa.

Możesz zobowiązać użytkowników do przypisania silnego hasła do swoich kont, wykonując czynności wymienione wcześniej. Alternatywnie możesz użyć wtyczek innych firm, aby zmusić użytkowników do utworzenia silnego hasła w celu ukończenia procesu tworzenia konta.

7. Włącz SSL (HTTP na HTTPS)

SSL, skrót od Secure Sockets Layer to standardowy protokół bezpieczeństwa w Internecie, który tworzy szyfrowane połączenie między klientem a serwerem. Po aktywacji zauważysz, że tekst HTTP na początku adresu URL jest zastępowany przez HTTPS lub HTTP zabezpieczone. Włączając certyfikat SSL, utrudniasz hakerom wyprowadzanie danych podczas ich przesyłania między serwerem a klientem.

Google bardzo poważnie traktuje również certyfikację SSL. Na przykład witryny, które nadal korzystają z protokołu HTTP, są wyświetlane jako „niezabezpieczone” w przeglądarce Google Chrome. Ponadto są one również karane przez ich algorytm wyszukiwania. Z drugiej strony, HTTPS stron z certyfikatem SSL są nagradzane przez wyszukiwarkę. Dlatego postawiliśmy instalację SSL jako pierwszy krok do pozycjonowania nowego bloga WordPress.

Te dwa punkty powinny być wystarczającym powodem do zainstalowania certyfikatu SSL na swojej stronie internetowej – zwłaszcza jeśli uważasz, że nie jest to aż tak duży problem. Przede wszystkim większość popularnych usług hostingowych zawiera bezpłatny certyfikat SSL. A jeśli nie dostałeś jednego za darmo, możesz to łatwo zrobić, korzystając z Let's Encrypt .

Masz nawet dostęp do dedykowanej wtyczki WordPress SSL – Really Simple SSL, aby zmienić HTTP w HTTPS i poprawić bezpieczeństwo WordPressa.

8. Przenieś wp-config na wyższy poziom niż katalog główny

Domyślnie wp-config.php znajduje się w tym samym folderze, co Twój blog/witryna WordPress. Może to być koszmar bezpieczeństwa, ponieważ plik zawiera nazwę użytkownika bazy danych MySQL, hasło, klucze uwierzytelniające WordPress i inne poufne dane.

Jeśli ktoś wejdzie w posiadanie tego pliku, to w zasadzie ma pełną kontrolę nad każdym szczegółem Twojej witryny. Dlatego nawet kodeks WordPress zaleca, aby użytkownicy przenieśli plik wp-config.php z domyślnego katalogu głównego do folderu wyższego poziomu, który nie ma publicznego dostępu.

Można to łatwo osiągnąć, umieszczając następujący fragment kodu w folderze .htaccess:

 <pliki wp-config.php>

rozkaz zezwalaj, odmawiaj

Odmowa od wszystkich

</file>

Jak widać, wiąże się to z grzebaniem w podstawowych plikach witryny WordPress, dlatego zaleca się wykonanie kopii zapasowej przed przejściem do tego kroku.

9. Zapobiegaj wyświetlaniu katalogu za pomocą .htaccess, gdy folder nie ma pliku index.php

Lista katalogów, znana również jako przeglądanie katalogów, umożliwia każdemu użytkownikowi przeglądanie zawartości poszczególnych folderów (katalogów) w Twojej witrynie. Jak możesz sobie wyobrazić, wymaga to dużych obaw o bezpieczeństwo, ponieważ hakerzy mogą bez wysiłku przeglądać wszystkie Twoje pliki i lokalizować potencjalne luki w zabezpieczeniach, aby włamać się do Twojej witryny.

Teraz, w obronie WordPress CMS, niektóre katalogi zawierają pliki index.php, które serwer natychmiast uruchamia/ładuje, gdy ktoś wchodzi do folderu. Uniemożliwia to widzom przeglądanie katalogów i uzyskiwanie dostępu do struktury witryny.

Ale co, jeśli plik index.php nie jest obecny?

Nawet wtedy problemy można łatwo rozwiązać, wprowadzając drobne poprawki do pliku .htaccess. Wszystko, co musisz zrobić, to po prostu dodać następujący wiersz na końcu .htaccess i zapisać go.

 Opcje Wszystkie -Indeksy

Po zakończeniu, jeśli użytkownik spróbuje uzyskać dostęp do dowolnego z twoich katalogów, w którym brakuje pliku index.php, wyświetli użytkownikowi błąd dostępu 403 lub nie znaleziono strony 404.

10. Regularnie aktualizuj WordPress

WordPress jest niezwykle popularny, obsługuje ponad 30% wszystkich stron internetowych w sieci WWW. To sprawia, że ​​CMS jest głównym celem hakerów i złośliwych graczy. Zawsze są zajęci znajdowaniem luk w zabezpieczeniach i luk w kodzie, które mogą wykorzystać, aby uzyskać dostęp do danych Twojej witryny.

Podobnie zespół programistów WordPressa aktywnie poszukuje błędów i luk w zabezpieczeniach, aby móc je załatać, zanim hakerzy je wykorzystają. Dlatego uaktualnienie do najnowszej wersji WordPressa to nie tylko dostęp do nowych funkcji i funkcjonalności, ale także upewnienie się, że kod nie ma żadnych wad, które mogą wykorzystać hakerzy.

Teraz, po wydaniu nowej aktualizacji WordPress, cały świat, łącznie z hakerami, może dowiedzieć się o lukach w zabezpieczeniach, które występowały w poprzedniej wersji. Jeśli zwlekasz z szybką aktualizacją witryny do najnowszej iteracji, hakerzy mogą wykorzystać znane obecnie luki w zabezpieczeniach witryny, co znacznie osłabi bezpieczeństwo WordPressa niż wcześniej. Poza tym, ponieważ WordPress jest zbudowany z PHP, ważne jest również, aby zaktualizować swoją witrynę WordPress do najnowszej wersji PHP, aby poprawić wydajność i bezpieczeństwo witryny. Pamiętaj, aby wykonać pełną kopię zapasową witryny przed wykonaniem jakiejkolwiek aktualizacji!

11. Usuń numer wersji WordPress

Chociaż zawsze powinieneś uaktualnić swoją witrynę WordPress, gdy tylko pojawi się nowa aktualizacja CMS, ale czasami nie jest to najlepsza decyzja, jaką możesz podjąć. Niektóre możliwe przyczyny opóźnienia aktualizacji witryny mogą być spowodowane błędną aktualizacją, problemami ze zgodnością z obecnymi wtyczkami i motywami i tak dalej.

Jednak, jak już wspomnieliśmy, odroczenie aktualizacji otwiera przed mnóstwem zagrożeń bezpieczeństwa i prób włamania. Ale można tego uniknąć, jeśli możesz usunąć numer wersji WordPressa ze swojej witryny. Dlatego hakerzy nie będą od razu wiedzieć, że Twoja witryna działa na starszej wersji, co zmniejsza Twoje szanse na wykorzystanie przez nowo wykryte luki w zabezpieczeniach.

Teraz, aby usunąć numer wersji WordPressa ze swojej witryny, musisz przejść do pliku functions.php i wprowadzić następujący fragment kodu:

 function remove_wordpress_version() {
zwrócić '';
}
add_filter('generator', 'remove_wordpress_version');

Spowoduje to usunięcie numeru wersji WordPressa zarówno z pliku głównego, jak i kanału RSS, dzięki czemu hakerzy nie będą mogli odgadnąć, której wersji WordPressa używasz.

Na zakończenie

Oto niektóre z naszych zalecanych wskazówek i porad dotyczących poprawy bezpieczeństwa WordPressa. Mamy nadzieję, że ta lektura okazała się pomocna i była przydatna w zwiększaniu bezpieczeństwa Twojej witryny.

Jak widać, wiele ulepszeń można wprowadzić po prostu wykonując jeden lub dwa podstawowe kroki i instalując wtyczki zabezpieczające. Teraz jest kilka aspektów technicznych, o które należy zadbać. Jednak nie musisz się tym martwić, jeśli dopiero zaczynasz z blogiem/stroną WordPress.

Jednak wraz z rozwojem witryny pamiętaj, że hakerzy będą się bardziej starać włamać i spowodować kłopoty. W związku z tym zawsze bądź na bieżąco z najnowszymi trendami bezpieczeństwa, nie wspominając o wszystkich omówionych powyżej krokach technicznych, takich jak przenoszenie pliku wp-config i hasła chroniącego bazę danych.

Biorąc to wszystko pod uwagę, doświadczonych użytkowników zachęca się do włączenia się w rozmowę i dodania własnych taktyk, aby upewnić się, że ich witryna jest wolna od hakerów i złośliwego oprogramowania. Twoi czytelnicy odniosą duże korzyści z Twoich spostrzeżeń i mogą pomóc im chronić ich witrynę przed potencjalnymi zagrożeniami cybernetycznymi.

Jeśli Ty również możesz być zainteresowany, oto nasz obszerny przewodnik na temat zarabiania na blogu.