Jak chronić witrynę WordPress: ostateczna lista kontrolna zabezpieczeń WordPress
Jak chronić witrynę WordPress: ostateczna lista kontrolna zabezpieczeń WordPress
Opublikowany: 2023-02-23
Dlaczego bezpieczeństwo WordPress jest ważne? Witryna internetowa jest pierwszym punktem kontaktu dla potencjalnych klientów, aby poznać Cię i zaufać Twojej marce i biznesowi, dlatego ważne jest, aby zawsze utrzymywać witrynę w dobrym stanie pod względem bezpieczeństwa.
Ponieważ WordPress zyskał popularność w ciągu ostatnich kilku lat, hakerzy zaczęli fascynować się włamaniem do niego i uszkodzeniem plików, a ostatecznie firmy. Oprócz hakowania istnieją również inne zagrożenia, takie jak ransomware.
W tym artykule omówimy następujące tematy –
Spis treści
Dlaczego bezpieczeństwo WordPress jest ważne?
Jak bezpieczny jest WordPress?
Wtyczki bezpieczeństwa WordPress
5 najlepszych wtyczek zabezpieczających WordPress w 2023 r
Złośliwość
Bezpieczeństwo Sucuri
iThemes Bezpieczeństwo
Zabezpieczenia WordFence
SecuPress
Rodzaje luk w zabezpieczeniach WordPress
25 najlepszych list kontrolnych bezpieczeństwa WordPress
Wniosek:
Często Zadawane Pytania
Dlaczego bezpieczeństwo WordPress jest ważne?
Jednym z głównych powodów, dla których bezpieczeństwo WordPress jest ważne, jest to, że naruszenie bezpieczeństwa może mieć poważne konsekwencje.
Naruszenia bezpieczeństwa mogą mieć poważne konsekwencje, w tym nieautoryzowany dostęp do poufnych informacji i uszkodzenie Twojej witryny.
Hakerzy mogą uzyskiwać dostęp do poufnych danych, takich jak dane użytkowników, hasła i informacje finansowe, co prowadzi do kradzieży tożsamości, oszustw finansowych i innych form cyberprzestępczości.
Naruszenia bezpieczeństwa mogą również spowodować uszkodzenie Twojej witryny, w tym uszkodzenie lub całkowite zniszczenie treści.
Ransomware to rodzaj oprogramowania, które może blokować dostęp do Twojej witryny i żądać zapłaty za jej zwolnienie.
Google może umieścić Twoją witrynę na czarnej liście i usunąć ją z indeksu, jeśli jest dotknięta wirusem lub atakiem hakerów, co może mieć negatywny wpływ na reputację Twojej witryny i ruch w niej.
Odwiedzający Twoją witrynę mogą również zostać ostrzeżeni o problemie z bezpieczeństwem podczas próby uzyskania do niej dostępu.
Wszystko to sprawia, że naprawdę ważne jest, aby zabezpieczyć swoją witrynę internetową, przestrzegając najlepszych praktyk bezpieczeństwa WordPress i stosując najlepsze narzędzia branżowe.
Oprócz odpowiednich narzędzi i praktyk bardzo ważne jest zrozumienie roli dostawcy usług hostingowych.Ważne jest, aby hostować swoją witrynę u zaufanego i niezawodnego dostawcy usług hostingowych.
Jakie są korzyści z zabezpieczenia witryny WordPress?
Zabezpieczenie witryny WordPress może zapobiegać nieautoryzowanemu dostępowi, chronić wrażliwe dane i zapobiegać stratom finansowym.
Może pomóc w utrzymaniu reputacji Twojej witryny, zapobiegając umieszczeniu jej na czarnej liście lub oznaczeniu jako niepewnej.
Lepsze rankingi w wyszukiwarkach mogą wynikać z pokazania wyszukiwarkom, że poważnie traktujesz bezpieczeństwo.
Zabezpieczenie witryny może zapewnić spokój ducha, wiedząc, że jest bezpieczna i chroniona.
Niektóre powszechne nieporozumienia na temat bezpieczeństwa WordPress
Istnieje wiele powszechnych nieporozumień na temat bezpieczeństwa WordPress, niektóre z nich to:
Małe strony internetowe nie są odporne na naruszenia bezpieczeństwa, ponieważ hakerzy często atakują je ze względu na ich podatność na zagrożenia i potencjalny dostęp do większych sieci.
Silne hasła są ważne, ale to tylko jeden z aspektów kompleksowej strategii bezpieczeństwa witryn WordPress.
Aktualizowanie witryny i wtyczek, korzystanie z wtyczek zabezpieczających i wdrażanie innych środków bezpieczeństwa ma również kluczowe znaczenie dla ochrony witryny.
Nawet jeśli nie gromadzisz poufnych danych w swojej witrynie, naruszenie bezpieczeństwa może spowodować szkody w Twojej witrynie i reputacji, dlatego ważne jest, aby poważnie traktować bezpieczeństwo.
Jak bezpieczny jest WordPress?
Przez WordPress odnosimy się do podstawowych plików WordPress. WordPress jest bardzo bezpieczny, pod warunkiem, że użytkownicy kontrolują wszystkie inne parametry bezpieczeństwa i przestrzegają wszystkich procedur bezpieczeństwa. Ważne jest, aby administrator WordPress utrzymywał wszystkie podstawowe pliki w najnowszej wersji oraz aktualizował wszystkie motywy i wtyczki.
Wtyczki bezpieczeństwa WordPress
Zaleca się korzystanie z zaufanych wtyczek zabezpieczających WP, takich jak Wordfence, Sucuri lub All in One WordPress Security and Firewall. Istnieją zarówno bezpłatne, jak i płatne wersje tych wtyczek. Te wtyczki bezpieczeństwa uważnie obserwują wszelkie podejrzane działania i blokują ataki. Możesz łatwo skonfigurować te wtyczki za pomocą odpowiednich pulpitów nawigacyjnych.
Serwery WPOven są już wyposażone we wszystkie funkcje tych wtyczek bezpieczeństwa i można je konfigurować i monitorować z pulpitu nawigacyjnego WPOven.
5 najlepszych wtyczek zabezpieczających WordPress w 2023 r
Te wtyczki są tanie. Ale można skorzystać z jeszcze niższych cen podczas Czarnego piątku.
Złośliwość
Polecamy Malcare, ponieważ zapewnia natychmiastowe skanowanie i usuwanie złośliwego oprogramowania. Możesz automatycznie wyczyścić swoją witrynę w najprostszych krokach za pomocą tej wtyczki. Oferuje również wbudowaną inscenizację i bardzo dobre wsparcie. Ceny zaczynają się już od 99 USD rocznie .
Pobierz teraz
Bezpieczeństwo Sucuri
Sucuri Security to bardzo skuteczna wtyczka WP Security z funkcjami obejmującymi audyt działań związanych z bezpieczeństwem, monitorowanie integralności plików, zdalne skanowanie złośliwego oprogramowania i monitorowanie czarnej listy z powiadomieniami e-mail. Ma zarówno bezpłatną, jak i płatną opcję z miesięczną subskrypcją zaczynającą się od 9,99 USD miesięcznie .
Pobierz teraz
iThemes Bezpieczeństwo
Itheme Security to bardzo wszechstronna wtyczka bezpieczeństwa z opcjami takimi jak skanowanie złośliwego oprogramowania, rejestrowanie działań użytkownika i porównywanie plików online. Ponadto w tej wtyczce wbudowanych jest wiele innych opcji, takich jak zmiana adresów URL pulpitu nawigacyjnego WordPress, usuwanie informacji nagłówka RSD, zmiana ścieżki treści wp itp. Ma zarówno bezpłatną, jak i płatną opcję z roczną subskrypcją zaczynającą się od 99 dolarów rocznie.
Pobierz teraz
Zabezpieczenia WordFence
Wordfence ma aktualne reguły zapory złośliwego oprogramowania i listę złośliwych adresów IP, z funkcjami takimi jak blokowanie krajów i wyłączanie lub dodawanie 2FA do XML-RPC. Ma specjalną wersję dla wielu witryn, znaną jako Wordfence Central, jako sprawdzoną metodę zabezpieczania wielu witryn w środowisku wielostanowiskowym. Ma zarówno bezpłatną, jak i płatną opcję z roczną subskrypcją zaczynającą się od 119 USD rocznie.
Pobierz teraz
SecuPress
SecuPress to prosta wtyczka bezpieczeństwa WordPress ze skanowaniem złośliwego oprogramowania; które blokują boty i podejrzane adresy IP. Jest to prosta, ale skuteczna instalacja WordPressa i zapewnia raporty bezpieczeństwa w formacie PDF. Dba również o używanie zabezpieczonych nazw użytkowników i haseł dzięki swoim funkcjom, takim jak ustawianie czasu życia hasła i zakaz używania nazw użytkowników, które można łatwo odgadnąć. Ma zarówno bezpłatną, jak i płatną opcję z roczną subskrypcją zaczynającą się od 60 € rocznie.
Pobierz teraz
Przeczytaj: 5 najlepszych wtyczek WordPress do usuwania złośliwego oprogramowania w celu zabezpieczenia witryny
Rodzaje luk w zabezpieczeniach WordPress
Aby zrozumieć, jak zabezpieczyć swoją witrynę, ważne jest, aby zrozumieć, jakie czynniki zagrażają Twojemu bezpieczeństwu WordPress, oto lista zagrożeń:
Backdoory
Ataki typu „odmowa usługi” (DoS).
Skrypty międzywitrynowe (XSS)
Złośliwe przekierowania
Brutalne próby logowania
Hacki farmaceutyczne
Wyłudzanie informacji
Backdoory
Hakerzy często atakują niekonwencjonalne wrażliwe punkty w WordPress, takie jak podatne na ataki pliki w głównym pakiecie WordPress, pliki motywów lub wtyczek oraz dostęp FTP z niezabezpieczonych komputerów.
Złośliwe pliki mogą przypominać legalne pliki WordPress, co utrudnia ich identyfikację i usunięcie.
Pliki backdoora mogą być wykorzystywane do wykorzystywania witryn WordPress poprzez tworzenie nielegalnych użytkowników WP i kradzież danych użytkowników.
Regularne aktualizowanie i skanowanie plików za pomocą wtyczek, takich jak WordFence, SiteCheck lub Sucuri, może pomóc w zapobieganiu tego typu atakom i poprawie bezpieczeństwa WordPress.
Odmowa usługi
Korzystanie z motywów i wtyczek od zaufanych programistów jest ważne, aby uniknąć wrażliwych błędów w kodzie.
W tego typu atakach hakerzy wykorzystują słabe punkty w kodzie, aby zwiększyć wykorzystanie pamięci RAM serwera poprzez wysyłanie powtarzających się żądań, co może spowodować, że witryna przestanie odpowiadać innym odwiedzającym.
Wiele systemów może zajmować jeden zasób, pogłębiając problem i potencjalnie prowadząc do ogromnych strat biznesowych.
Luki w zabezpieczeniach WordPress można zmniejszyć, przestrzegając najlepszych praktyk i wskazówek dotyczących bezpiecznego kodowania i zarządzania witryną.
Skrypty międzywitrynowe (XSS):
Hakerzy mogą wstrzykiwać wrażliwe pliki do Twojej instalacji WordPress, aby kraść dane od odwiedzających witrynę, w tym ważne hasła.
Ataki te są często spotykane we wtyczkach opracowanych przez nowych lub niezaufanych programistów.
Ataki typu cross-site scripting (XSS) są przeprowadzane za pośrednictwem JavaScript i CSS i mogą wyrządzić szkody odwiedzającym witrynę na różne sposoby, takie jak kradzież plików cookie, umieszczanie trojanów, rejestrowanie klawiszy, phishing i kradzież tożsamości.
Konsekwencje ataku XSS mogą być poważne, ponieważ odwiedzający witrynę mogą nawet nie zdawać sobie sprawy, że ich dane zostały naruszone.
Aby zapobiec atakom XSS, ważne jest, aby używać wyłącznie zaufanych wtyczek oraz aktualizować instalację WordPress i wtyczki do najnowszej wersji.
Przeczytaj: Najczęstsze błędy WordPress
Złośliwe przekierowania
Hakerzy mogą użyć kodu przekierowania, aby przekierować odwiedzających witrynę do innych witryn.
Ten kod przekierowania jest często wstrzykiwany do pliku, zwykle jest to plik .htaccess.
Gdy odwiedzający spróbują uzyskać dostęp do Twojej witryny lub określonej strony, zostaną przekierowani do złośliwej witryny.
Może to spowodować, że Twoja firma straci zaufanie potencjalnych klientów
Brutalne próby logowania
Hakerzy często używają zautomatyzowanych skryptów do identyfikowania słabych haseł i uzyskiwania dostępu do pulpitu nawigacyjnego WordPress.
Ataki siłowe to kolejna powszechna metoda stosowana przez hakerów w celu uzyskania dostępu do zaplecza witryny, co może skutkować kradzieżą danych osobistych i biznesowych, usunięciem plików witryny i innymi formami szkód.
Atakom siłowym można zapobiegać, wdrażając środki, takie jak ograniczenie prób logowania, używanie Captcha na ekranach logowania i włączenie uwierzytelniania dwuskładnikowego.
Środki te są kluczowe dla zapewnienia bezpieczeństwa Twojej witryny WordPress.
Hacki farmaceutyczne
Aktualizuj podstawowe pliki WordPress, pliki motywów i pliki wtyczek do najnowszych wersji.
Hakerzy mogą wykorzystać nieaktualne pliki, wstrzykując kody, które wyświetlają użytkownikom reklamy farmaceutyczne, często promujące nielegalne narkotyki, takie jak Viagra.
Reklamy te mogą pojawiać się na stronie lub jako wyskakujące okienka, co prowadzi do utraty zaufania wśród odwiedzających Twoją witrynę.
Wyłudzanie informacji
Hakerzy używają e-maili phishingowych, aby nakłonić użytkowników do kliknięcia łącza, które ujawnia ich hasła. Wiadomość e-mail wygląda, jakby pochodziła z zaufanego źródła, ale tak nie jest.
Hakerzy mogą wykorzystać Twój serwer i instalację WordPressa do wysyłania złośliwych e-maili na listy e-mailowe swoich ofiar.
Trudno jest stwierdzić, czy Twoja witryna jest zainfekowana skryptami wyłudzającymi informacje, ale regularne skanowanie może pomóc uniknąć tego problemu.
25 najlepszych list kontrolnych bezpieczeństwa WordPress
Znajdź bezpieczny, niezawodny i zaufany hosting WordPress
Rób częste kopie zapasowe
Zachowaj najnowszą wersję PHP na serwerze
Silne nazwy użytkownika i hasła
Ochrona DDOS
Certyfikat SSL HTTPS
Wyłącz XML-RPC
Wyłącz wykonywanie plików PHP
Nieaktywni użytkownicy Wyloguj się
Usuń nieużywane motywy i pliki wtyczek
Używaj jak najmniej możliwych wtyczek
Dodaj Captcha lub pytanie zabezpieczające do ekranu logowania
Solidne uprawnienia do plików i folderów
Ogranicz próby logowania
Uwierzytelnianie dwuetapowe
Zmień domyślny adres URL logowania
Zabezpiecz adres URL logowania
Zaktualizuj prefiks bazy danych
Wyłącz edycję plików
Bezpieczny plik wp-config
Ukryj wersję WP
1. Znajdź bezpieczny, niezawodny i zaufany hosting WordPress
Jak wspomniano wcześniej, ważne jest, aby wybrać dostawcę usług hostingowych, który przywiązuje dużą wagę do bezpieczeństwa, stosuje wysokie standardy środków bezpieczeństwa i ma dobry system wsparcia.
Dobry dostawca usług hostingowych zawsze:
Miej czujne oko na podejrzane działania hakerów i miej punkty kontrolne w celu ochrony przed wszelkiego rodzaju atakami.
Wykorzystuje najnowocześniejsze narzędzia do identyfikowania małych i dużych ataków poprzez ciągłe monitorowanie serwera. Tutaj możesz również bezpłatnie sprawdzić monitorowanie witryny.
Czy wszystkie skrypty (w tym najnowsze wersje PHP), oprogramowanie i sprzęt używane w oparciu o najnowszą technologię i są często aktualizowane.
Zapory ogniowe użytkowników i systemy wykrywania włamań.
Regularnie twórz kopie zapasowe i zapewniaj łatwe i automatyczne opcje tworzenia kopii zapasowych i przywracania.
Przeskanuj wszystkie pliki pod kątem złośliwego oprogramowania, oprogramowania ransomware i innych wirusów.
Zapewnia obsługę protokołu HTTPS.
Miej doskonały personel pomocniczy, który podejmie działania w przypadku jakichkolwiek incydentów.
Oferuj zarządzane plany hostingowe WordPress, opracowane specjalnie na potrzeby WordPress.
WPOven All-inclusive Managed WordPress Hosting oferuje wszystkie powyższe, aby pomóc Ci prowadzić witrynę WordPress bez martwienia się o bezpieczeństwo. WPOven w ramach zarządzanego planu hostingowego WordPress oferuje również:
Niektóre kluczowe funkcje oferowane przez WPOven
Codzienne skanowanie złośliwego oprogramowania
Ochrona DDOS
Bezpłatne usuwanie złośliwego oprogramowania
Codzienne kopie zapasowe poza siedzibą firmy i przywracanie jednym kliknięciem
Ulepszona konfiguracja serwera
Ustawienia uprawnień do plików jednym kliknięciem.
Zoptymalizowane bezpieczeństwo i wydajność serwera dla WordPress i WooCommerce
Aktualizuj motywy i pliki bezpośrednio z pulpitu nawigacyjnego WPOven
Darmowy HTTPS/SSL dla każdej strony internetowej
Kopia zapasowa jest dostępna do 14 dni.
Przeczytaj: Najlepsze usługi i plany konserwacji WordPress – WPOven
2. Zachowaj najnowszą wersję PHP na serwerze
Korzystanie z najnowszej wersji PHP jest ważne, aby utrzymać mocne fundamenty witryny WordPress, ponieważ wszystkie pliki są tworzone przy użyciu kodów PHP.
Wersje PHP są obsługiwane przez okres do 2 lat w zakresie problemów z bezpieczeństwem i zapewniają niezbędne poprawki bezpieczeństwa w tym okresie.
Wersje poniżej PHP 7.0 są niezabezpieczone, podczas gdy najnowsza wersja, PHP 7.3, jest zoptymalizowana pod kątem szybkości i bezpieczeństwa.
WPOven używa tylko PHP w wersji 7.0 i nowszych i pozwala użytkownikom wybrać wersję PHP, której chcieliby używać, co zmniejsza podatność WordPressa.
3. Rób częste kopie zapasowe
Zaleca się częste tworzenie kopii zapasowych plików i bazy danych witryny WordPress.
Możesz tworzyć kopie zapasowe ręcznie lub za pomocą wtyczek WordPress, takich jak UpdraftPlus, VaultPress, BackupBuddy lub innych wtyczek do tworzenia kopii zapasowych.
Możesz zaplanować automatyczne tworzenie kopii zapasowych za pomocą tych wtyczek i upewnić się, że istnieje również opcja łatwego przywracania.
Aby zapewnić bezpieczeństwo kopii zapasowych w przypadku jakichkolwiek problemów z serwerem, lepiej przechowywać je poza serwerem.
Usługi tworzenia kopii zapasowych WordPress:
Dostępnych jest kilka zewnętrznych usług tworzenia kopii zapasowych WordPress, które przechowują kopie zapasowe w chmurze. Niektóre z płatnych usług to:
VaultPress: Jest to oparta na subskrypcji usługa tworzenia kopii zapasowych i ogólne rozwiązanie bezpieczeństwa, w tym regularne skanowanie, system ochrony przed spamem, monitorowanie czasu pracy i inne funkcje bezpieczeństwa.
WPOven : W ramach swoich usług tworzą kopie zapasowe podstawowych plików i baz danych w Amazon S3 i mają możliwość przywracania jednym kliknięciem.Na podstawie wybranego pakietu możesz wybrać częstotliwość tworzenia kopii zapasowych (nawet 2 razy dziennie) oraz wybrać między serwerami amerykańskimi lub europejskimi.
BlogVault: to dostawca rozwiązań do tworzenia kopii zapasowych, migracji, przemieszczania, przywracania i zarządzania WordPress ze 100% wskaźnikiem przywracania.
Wtyczki kopii zapasowej WordPress:
Możesz także użyć darmowych i bardzo zaufanych wtyczek. Niektóre wtyczki zapewniają kopie zapasowe na serwerze, podczas gdy inne zapewniają kopie zapasowe poza serwerem, które przechowują pliki kopii zapasowych w lokalizacjach poza serwerem, takich jak AmazonS3, Google Cloud, Dropbox, MS Azure, Rackspace itp.
Przeczytaj: 10 najlepszych wtyczek do tworzenia kopii zapasowych WordPress na rok 2023 (bezpłatne i płatne)
4. Używaj silnych nazw użytkowników i haseł
Używaj silnych i trudnych do odgadnięcia nazw użytkowników i haseł, aby zapewnić bezpieczeństwo swojej witrynie WordPress.
Zmieniaj hasło co kilka miesięcy lub tygodni, aby zwiększyć bezpieczeństwo swojej witryny WordPress.
Unikaj używania domyślnej i popularnej nazwy użytkownika „admin” jako nazwy użytkownika WordPress.
Skorzystaj z procesu instalacji jednym kliknięciem, aby wygenerować wyjątkowo bezpieczne dane logowania do pulpitu administratora WordPress.
Chroń wszystkie inne hasła związane z witryną WordPress, w tym FTP, CPanel, e-maile (powiązane z kontami użytkowników WordPress), hasła do baz danych itp.
5. Ochrona DDOS
Trudna rzeczywistość dotycząca ataków DDoS jest taka, że nawet najbardziej zaktualizowane wersje WordPressa nie są w stanie zapobiec takim atakom. Można temu zapobiec jedynie poprzez zabezpieczenie serwerów hostingowych. Istnieje kilka narzędzi innych firm, które możesz zainstalować na swoich stronach WordPress, aby temu zapobiec.
Uwaga : jeśli korzystasz z niezawodnych i zaufanych partnerów, takich jak WPOven , możesz używać ich narzędzi do monitorowania danych analitycznych witryny, wydajności serwera i wykorzystania zasobów.
Ważne jest, aby zidentyfikować nienormalny wzrost zużycia zasobów i powiadomić usługodawcę.
Twój dostawca może sprawdzić wszystkie niezbędne dzienniki i podjąć niezbędne środki, aby powstrzymać atak typu „odmowa usługi”.
6. Certyfikat SSL HTTPS
Właściciele witryn zapominają o znaczeniu SSL, większość z nich uważa, że to tylko znak, który jest niezbędny tylko wtedy, gdy witryna zawiera transakcje finansowe. Certyfikat SSL na stronie internetowej ma zasadnicze znaczenie dla nawiązania bezpiecznego połączenia między Twoją witryną a przeglądarką użytkownika.
Kolejną dodatkową zaletą korzystania z HTTPS jest uzyskanie lepszych pozycji w wyszukiwarkach.
WPOven zapewnia bezpłatny certyfikat HTTPS za pomocą LetsEncrypt jednym kliknięciem, zainstaluj z automatycznym odnawianiem dla wszystkich witryn.
7. Wyłącz XML-RPC
XML-RPC umożliwia wykonywanie wielu procesów za pomocą jednego polecenia, ale może być złośliwie wykorzystany przez hakerów do włamania się na stronę internetową.
Najskuteczniejszym rozwiązaniem, aby temu zapobiec, jest całkowite wyłączenie XML-RPC dla Twojej witryny WordPress.
Do wyłączenia XML-RPC można użyć dostępnych wtyczek, takich jak bezpłatna wtyczka „Wyłącz XML-RPC” lub płatna wtyczka „Perfmait”.
Ale jeśli używasz WPOven , nie musisz się tym martwić, ponieważ jest on już domyślnie wyłączony na swoim serwerze dla wszystkich hostowanych stron internetowych.
8. Wyłącz wykonywanie plików PHP
Istnieją pewne katalogi w środowisku instalacyjnym WordPress, w których nie ma potrzeby wykonywania żadnego rodzaju PHP. Jednym z przykładów takiego katalogu jest podkatalog uploads w katalogu wp-content.
Aby wyłączyć katalog, utwórz nowy plik .htaccess w tym konkretnym katalogu i wklej do niego następujący kod:
<Files *.php> Deny from all </Files>
9. Wyloguj nieaktywnych użytkowników
Czasami użytkownicy mogą zamknąć swoje przeglądarki bez prawidłowego wylogowania. Hakerzy mogą wykorzystać tę okazję, aby włamać się do pulpitu nawigacyjnego WordPress i przejąć dane uwierzytelniające użytkownika. Możesz użyć wtyczki, aby automatycznie wylogować nieaktywnych użytkowników po określonym czasie. Jest to bardzo ważne dla twojego bezpieczeństwa wp.
10. Usuń nieużywane motywy i pliki wtyczek
Zidentyfikuj niepotrzebne wtyczki i usuń je z systemu
Usuń domyślne motywy, takie jak Twenty Seventeen i Twenty Nineteen
Zachowaj tylko jeden domyślny motyw jako opcję awaryjną w przypadku awarii głównego motywu
Upewnij się, że motyw zastępczy jest regularnie aktualizowany, nawet jeśli nie jest używany.
11. Minimalizowanie instalacji wtyczek
Wyjaśnijmy to na przykładzie. Wiele nowoczesnych motywów i narzędzi do tworzenia stron (Avia, Thrive, Elementor itp.). Jeśli Twój motyw lub program budujący strony, którego używasz, ma już element formularza kontaktowego, nie potrzebujesz osobnej wtyczki formularza kontaktowego dla prostych formularzy. Zaleca się unikanie używania dodatkowych wtyczek, chyba że istnieje jakaś specjalna potrzeba. Należy przywiązywać należytą wagę do bezpieczeństwa WP.
12. Dodaj Captcha lub pytanie zabezpieczające do ekranu logowania
Inną popularną metodą poprawy bezpieczeństwa WordPress jest prosta metoda dodania captcha lub pytania bezpieczeństwa na ekranie logowania. W tym celu możesz skorzystać z dostępnych wtyczek.
13. Solidne uprawnienia do plików i folderów
Jest to bardzo ważny krok, który należy podjąć, aby zapobiec atakom na Twoją witrynę. Zasadniczo istnieją trzy rodzaje uprawnień do plików (odczyt, zapis, wykonanie). Dla optymalnego i efektywnego działania strony internetowej ważne jest, aby zrozumieć, które pliki wymagają jakiego poziomu uprawnień. Te uprawnienia do plików i folderów można ustawić za pomocą Menedżera plików lub oprogramowania FTP.
Ale w WPOven kompleksowe zabezpieczenia wp oferują uprawnienia do plików jednym kliknięciem za pośrednictwem pulpitu nawigacyjnego.
14. Ogranicz próby logowania
Hakerzy nieustannie próbują zalogować się do Twojego WordPressa za pomocą odgadywania hasła. Możesz kontrolować za pomocą wtyczek, aby ograniczyć próby logowania.
Zarządzany hosting WordPress firmy WPOven obejmuje to już we wszystkich swoich planach.
15. Uwierzytelnianie dwuskładnikowe
Włącz uwierzytelnianie dwuskładnikowe, aby zapewnić dodatkowe bezpieczeństwo logowania
Uwierzytelnianie dwuskładnikowe wymaga podania dodatkowego kodu OTP przed zalogowaniem
Kod OTP jest odbierany na Twój telefon za pośrednictwem wiadomości SMS lub połączenia telefonicznego
Użyj wtyczek, takich jak Google Authenticator lub Duo Two-Factor Authentication
Obie wtyczki mają swoje aplikacje na Androida i iPhone'a
Po dodaniu uwierzytelniania dwuskładnikowego ekran logowania będzie zawierał dodatkowe opcje wysyłania kodu uwierzytelniającego
Aby się zalogować, wprowadź poprawnie wygenerowany kod, który otrzymałeś na swój telefon
Uwierzytelnianie dwuskładnikowe to świetna metoda zapobiegania atakom typu brute-force.
16. Zmień domyślny adres URL logowania
Hakerzy szukają domyślnego adresu URL logowania do pulpitu nawigacyjnego WordPress, którym jest nazwastrony.com/wp-login.php lub nazwastrony.com/wp-admin/. Jednym z oczywistych rozwiązań jest zmiana adresu URL logowania na coś innego. Możesz to zrobić za pomocą jednej z wtyczek, takich jak wtyczkalogowania WPS Hidelub wtyczka premiumPerfmatters.
17. Zabezpiecz adres URL logowania
Możesz zabezpieczyć adres URL logowania administratora WordPress za pomocą uwierzytelniania HTTP. Za każdym razem, gdy ktoś spróbuje uzyskać dostęp do adresu URL administratora, będzie musiał użyć dodatkowej nazwy użytkownika i hasła, aby uzyskać dostęp do tego łącza. Możesz przeczytać więcej o Anchor Links tutaj
Uwaga: nie używaj tego w handlu elektronicznym ani w żadnej witrynie, która ma członków, którzy będą musieli się zalogować.
18. Zaktualizuj prefiks bazy danych:
Domyślnie instalacje WordPress używały przedrostków tabeli, takich jak wp_, co ułatwia hakerom odgadnięcie. Oczywistą metodą uniknięcia tego jest zmiana przedrostka tabeli na inny, co nie jest łatwe do odgadnięcia przez hakerów.
Możesz to zrobić podczas instalacji:
Instalacja WordPress WPOven generuje losowy prefiks tabeli dla każdej ze swoich witryn. Zmniejszy to problemy z bezpieczeństwem WordPress.
19. Wyłącz edycję plików
Administratorzy witryny WordPress mogą uzyskiwać dostęp do plików motywu za pośrednictwem edytora na pulpicie nawigacyjnym.
To sprawia, że pliki motywów są podatne na niezamierzone zmiany i celowe ataki.
Aby temu zapobiec, możesz wyłączyć edycję plików.
Możesz to zrobić, dodając następujący wiersz kodu do pliku wp-config.php:
define('DISALLOW_FILE_EDIT',true);
Użytkownicy WPOven mogą użyć funkcji blokady witryny, aby to zrobić jednym kliknięciem.
20. Bezpieczny plik wp-config:
Plik wp-config.php w Twojej instalacji WordPress zawiera dane logowania do bazy danych i inne klucze uwierzytelniające, a także inne szczegóły dotyczące Twojej bazy danych (takie jak prefiks tabeli i adres URL hosta bazy danych).
Istnieją różne sposoby zabezpieczenia, opisane w następujący sposób:
Zmień lokalizację pliku wp-config.php
Zmień domyślne klucze bezpieczeństwa WP w pliku wp-config
Odmowa dostępu do wp-config.php przez odpowiednie uprawnienia do plików
Zmień lokalizację wp-config: Domyślnie plik wp-config znajduje się w katalogu głównym instalacji WordPress.Musisz tylko utworzyć inny plik wp-config, który nie znajduje się w łatwo dostępnej lokalizacji i użyć go jako odniesienia w oryginalnym pliku wp-config.
Zmień domyślne klucze bezpieczeństwa WP: Istnieją 4 typy losowo generowanych kluczy alfanumerycznych w każdym wp-config:AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEYiNONCE_KEY.Możesz wygenerować nowy losowy klucz za pomocą tego narzędzia WP Security Key.
Zmień uprawnienia do plików : Zaleca się zmianę uprawnień do plików na 400, aby nie były one czytelne dla zewnętrznych źródeł.Alternatywnie możesz ustawić go na 440, jeśli 400 stwarza jakiś problem, aby instalacja WP działała poprawnie.
21. Ukryj wersję WP
Jeśli atakujący wie, której wersji WordPressa używasz, może wykorzystać luki specyficzne dla tej wersji. Dlatego wskazane jest, aby całkowicie go ukryć. Możesz to zrobić, dodając mały kod do plikufunctions.php. Zmniejsza to podatność na ataki WordPress
function wp_version_remove_version() { return ''; } add_filter('the_generator', 'wp_version_remove_version');
Oprócz pojawienia się w nagłówku, możesz także zidentyfikować wersję WordPressa za pomocą pliku tekstowego readme. Możesz usunąć ten plik (readme.html) ze swojej instalacji.
22. Regularne skanowanie:
Możesz uruchamiać skanowanie w regularnych odstępach czasu za pomocą wtyczek bezpieczeństwa i obserwować, czy są jakieś zmiany w oryginalnych plikach. Istnieją również narzędzia online, za pomocą których można znaleźć podejrzane pliki. Na przykład za pomocą tego bezpłatnego narzędzia znanego jako WPSec możesz znaleźć wyniki skanowania bezpieczeństwa online.
23. Aktualizuj motywy i wtyczki
WordPress, twórcy motywów i twórcy wtyczek często wydają nowe wersje.
Zaleca się aktualizowanie wszystkiego do najnowszej wersji instalacji WordPress.
Nowsze wersje zawierają poprawki zabezpieczeń chroniące przed nowymi wirusami i złośliwym oprogramowaniem.
Nieaktualne wersje są podatne na ataki i nie mają wsparcia ze strony programisty.
WPOven w jednym wp security Dashboard zapewnia interfejs do przeglądania zainstalowanych wtyczek i motywów, które można aktualizować bezpośrednio z pulpitu nawigacyjnego:
Zaktualizuj wtyczki – WPOven
24. Korzystaj z zaufanych motywów i wtyczek:
Przed zainstalowaniem nowego motywu lub wtyczki sprawdź jej oceny, recenzje i liczbę instalacji, aby zapewnić jej jakość.
Sprawdź także dzienniki zmian, aby zobaczyć, jak często programista aktualizuje wersje.
Przed zainstalowaniem sprawdź, czy wtyczka lub motyw są kompatybilne z Twoją wersją WordPress.
Sprawdź historię dewelopera i inne produkty, które stworzył, aby zapewnić sobie doświadczenie i jakość swoich produktów.
Dzięki rejestracji WPOven możesz uzyskać darmowe motywy i wtyczki premium WordPress.
25. Chroń pliki multimedialne WordPress
Chroń pliki multimedialne WordPress przed indeksowaniem przez Google i bezpośrednim dostępem do adresów URL plików za pomocą kilku prostych kliknięć przy użyciu oprogramowania Prevent Direct Access (PDA) Gold. W rzeczywistości wtyczka oferuje zbiorczą ochronę dowolnych plików przesłanych do biblioteki WordPress Media, w tym między innymi PDF, DOCX, PPTX, PNG, JPG, MP4 i MP3.
PDA Gold umożliwia ograniczenie bezpośredniego dostępu do plików tylko do upoważnionych użytkowników. Oznacza to, że uprawnienia dostępu do plików można ustawić na administratora, zalogowanych użytkowników, a nawet określonych użytkowników i niestandardowe członkostwo.
Poza tym możesz tworzyć nieograniczoną liczbę wygasających linków do pobierania, a następnie udostępniać je grupie użytkowników i subskrybentów. Te łącza do pobierania wygasają automatycznie po pewnym czasie lub kliknięciach.
Wreszcie, PDA Gold zapewnia intuicyjny interfejs użytkownika, aby od razu zabezpieczyć Twoją witrynę WordPress:
Ukryj wersję WordPressa
Zapobiegaj hotlinkowaniu obrazów
Chroń folder przesyłania plików WordPress
Zablokuj bezpośredni dostęp do plików wrażliwych na WordPress, np. readme.html i license.txt
Chroń wszystkie pliki w przesłanych plikach i/lub katalogu głównym za pomocą funkcji ochrony folderów
Istnieją inne zasoby, w których można znaleźć szczegółowe informacje na temat ostatnich problemów z zabezpieczeniami. Tutaj są:
Baza danych luk WPScan: Jest to katalog wszystkich zidentyfikowanych luk w WordPress, motywach, wtyczkach i interfejsach API. Użytkownicy mogą przesyłać do tego własne incydenty, aby poinformować innych użytkowników o problemach.
ThreatPress: To kolejna baza danych luk w zabezpieczeniach, która jest codziennie aktualizowana przez ich zespół badawczo-rozwojowy.
Wniosek:
Powyższy artykuł musiał dać ci dobry wgląd w zabezpieczanie WordPressa, ale ważne jest, aby zrozumieć i zdać sobie sprawę, że dobry dostawca usług hostingowych jest twoim partnerem w zabezpieczaniu witryny. Twoja witryna jest synonimem Twojej firmy, a zabezpieczona witryna budzi zaufanie do potencjalnych klientów, co jest niezbędne do rozwoju firmy.
Podjąłeś właściwą decyzję, jeśli wybrałeś WPOven jako swojego partnera hostingowego, jeśli jeszcze nie, zrób pierwszy krok, aby hostować swoją stronę internetową z WPOven i wzmocnić swoją witrynę najnowocześniejszą technologią, która jednocześnie jest bardzo wygodny w użyciu.
Często Zadawane Pytania
Czy WordPress jest bezpieczny?
Chociaż sam WordPress jest bardzo bezpieczną platformą, pod warunkiem, że użytkownicy kontrolują wszystkie inne parametry bezpieczeństwa i przestrzegają wszystkich procedur bezpieczeństwa. Możesz jednak dodatkowo wzmocnić bezpieczeństwo, postępując zgodnie z najlepszymi praktykami bezpieczeństwa WordPress.
Czy WordPress jest łatwy do zhakowania?
WordPress to bezpieczna platforma, ale jak każda inna platforma internetowa, może być podatna na zagrożenia bezpieczeństwa, jeśli nie jest odpowiednio zabezpieczona i konserwowana. Hakerzy mogą wykorzystywać luki w słabo zakodowanych wtyczkach, motywach lub niestandardowym kodzie. Wdrożenie najlepszych praktyk w zakresie bezpieczeństwa może znacznie zmniejszyć ryzyko włamania.
Jak zapewnić bezpieczeństwo w WordPressie?
Podstawowe środki bezpieczeństwa WordPress, których możesz przestrzegać: 1. Używaj silnych haseł 2. Aktualizuj WordPress i wtyczki 3. Regularnie twórz kopię zapasową witryny WordPress 4. Ogranicz próby logowania 5. Korzystaj z uwierzytelniania dwuskładnikowego 6. Chroń swój komputer i sieć
Powiązane posty:
7 prostych sposobów ochrony witryny WP Business
Znaczenie ochrony poufnych informacji w…
Wtyczka Jetpack: wszystko, czego potrzebujesz do swojego WordPressa…
Wersja konserwacji i zabezpieczeń WordPress 3.5.2
Czy aktualizacje zabezpieczeń WordPress mogą być szkodliwe dla Twojej witryny?
