Bezpieczeństwo WordPress — kompletny przewodnik krok po kroku (2020) — MalCare

Istnieje dobry powód, aby martwić się o bezpieczeństwo swojej witryny. Raporty mówią nam, że w każdej minucie dnia na stronie WordPress dokonuje się ponad 90 000 prób włamania.

Wielu właścicieli witryn może uważać, że ich witryna jest zbyt mała, aby przyciągnąć uwagę hakera. Prawda jest taka, że ​​małe strony internetowe pobłażliwie podchodzą do kwestii bezpieczeństwa, więc hakerom łatwiej jest hakować małe strony internetowe.

Duży czy mały – każda witryna WordPress musi stosować środki bezpieczeństwa.

Na szczęście istnieje wiele rzeczy, które możesz zrobić, aby chronić swoją witrynę przed hakerami i botami. W tym artykule dokładnie pokażemy, jakie kroki należy podjąć, aby Twoja witryna była bezpieczna.

[lwptoc skipHeadingLevel=”h1,h4,h5,h6″ skipHeadingText=”Ostateczne przemyślenia”]

Znaczenie bezpieczeństwa witryny

WordPress to najpopularniejsza na świecie platforma do tworzenia stron internetowych. Obecnie w Internecie jest 75 milionów stron opartych na WordPressie, a każdego dnia powstają setki nowych. Taka popularność ma swoją cenę.

Im więcej osób go używa, tym bardziej jest atrakcyjnym celem dla hakerów. Windows jest większym celem niż system operacyjny Apple. Chrome jest większym celem exploitów niż Firefox. Popularność przyciąga większą uwagę, zarówno dobrą, jak i złą.

Wspomnieliśmy wcześniej, jak właściciele małych witryn uważają, że ich witryny są odporne i nie podejmują niezbędnych środków ostrożności, co czyni ich idealnym celem.

Gdy Twoja witryna zostanie zaatakowana przez hakerów, hakerzy wykorzystują witryny do przeprowadzania złośliwych działań. Mogą przeprowadzać większe ataki na inne witryny, wysyłać e-maile ze spamem, przechowywać pirackie oprogramowanie, wstrzykiwać linki spamowe, sprzedawać nielegalne produkty, tworzyć linki partnerskie z japońskim spamem SEO i między innymi.

I to koniec problemu. Rzeczy szybko się rozwijają, a wyszukiwarki będą wyświetlać użytkownikom zwodnicze ostrzeżenia o witrynach i mogą umieszczać Twoją witrynę na czarnej liście. Raporty mówią nam, że co tydzień Google umieszcza na czarnej liście 50 000 witryn internetowych w celu wyłudzania informacji i około 20 000 witryn zawierających złośliwe oprogramowanie!

Oprócz tego dostawcy usług hostingowych mogą również zawiesić Twoje konto. Oznacza to, że Twoja witryna będzie niedostępna przez kilka dni, co będzie miało wpływ na Twoje przychody. Jeśli będziesz czekać zbyt długo z naprawą witryny, spowoduje to nieodwracalne szkody dla Twojej firmy.

Wszyscy możemy się zgodzić, że podjęcie środków ostrożności jest znacznie lepsze niż naprawianie zhakowanej witryny WordPress.

Pokażemy Ci, jak możesz zabezpieczyć swoją witrynę, ale zanim to nastąpi, chcemy odpowiedzieć na pytanie, które zadaje sobie wielu naszych czytelników.

[Powrót do góry ↑]

Ale czy WordPress nie jest bezpieczny?

Rdzeń WordPressa jest bezpieczny. WordPress ma armię najlepszych programistów pracujących niestrudzenie, aby zapewnić bezpieczeństwo rdzenia WordPress. Konsekwentnie ulepszają technologię i wypuszczają łatki i aktualizacje, aby naprawić wszelkie usterki lub błędy.

Od dawna nie było żadnej poważnej luki w rdzeniu WordPressa.

Mimo to w każdej minucie dnia na stronach internetowych WordPress dokonuje się ponad 90 000 prób włamania. A stoją za tym dwa główne powody.

Po pierwsze, WordPress jest niezwykle popularną platformą. Około 75 milionów witryn internetowych jest zbudowanych na WordPressie, co przyciąga uwagę grup hakerskich z całego świata.

Innym powodem jest obecność wrażliwych i przestarzałych motywów i wtyczek. W rzeczywistości raporty sugerują, że przestarzałe motywy i wtyczki są główną przyczyną większej liczby naruszeń WordPressa.

(Psst — możesz przeczytać więcej na ten temat w naszym artykule dotyczącym aktualizacji zabezpieczeń WordPress ).

Więc chociaż Twój WordPress jest bezpieczną platformą, istnieją inne czynniki, które mogą prowadzić do zainfekowania witryny. Dlatego podjęcie następujących środków bezpieczeństwa może znacznie przyczynić się do zapisywania witryn WordPress.

[Powrót do góry ↑]

[ss_click_to_tweet tweet=”???? Jeśli poważnie myślisz o swojej witrynie, zwróć uwagę na najlepsze praktyki bezpieczeństwa WordPress. ????” treść=”” styl=”domyślnie”]

Jak zabezpieczyć witrynę WordPress?

Istnieje 15 różnych środków bezpieczeństwa, które możesz zastosować, aby chronić swoją witrynę WordPress. To są:

1. Zainstaluj wtyczkę zabezpieczającą WordPress
2. Rób regularne kopie zapasowe
3. Skorzystaj z dobrej firmy hostingowej
4. Aktualizuj WordPressa
5. Użyj certyfikatu SSL
6. Chroń swoją stronę logowania WordPress
7. Skonfiguruj zaporę ogniową
8. Wzmocnij swoją witrynę
9. Stosuj najmniej uprzywilejowane zasady
10. Blokowanie podejrzanych adresów IP
11. Zaimplementuj blokowanie krajów
12. Ukryj wersję WordPressa
13. Sprawdź dziennik aktywności
14. Użyj tylko adresu e-mail do logowania
15. Użyj uwierzytelniania HTTP

Przyjrzyjmy się bliżej tym środkom.

1. Zainstaluj wtyczkę zabezpieczającą WordPress

Podstawowe funkcje wtyczki lub usługi zabezpieczającej to skanowanie, czyszczenie i ochrona. Chociaż istnieje wiele wtyczek bezpieczeństwa WordPress do wyboru, nie wszystkie wtyczki są skuteczne. Niektóre mogą oferować wiele funkcji, ale powoduje to po prostu dużo hałasu. Doświadczony haker może ominąć takie wtyczki zabezpieczające, aby zhakować Twoją witrynę.

MalCare to jedna z najlepszych wtyczek do skanowania zabezpieczeń WordPress. Dlatego -

I. Skaner złośliwego oprogramowania MalCare

Skaner złośliwego oprogramowania WordPress wymaga zasobów do uruchomienia skanowania. Wiele skanerów polega na zasobach Twojego serwera internetowego, ale może to spowolnić szybkość Twojej witryny.

Aby sprostać temu wyzwaniu, MalCare wykorzystuje własne zasoby serwera do skanowania Twojej witryny. Przenosi pliki Twojej witryny na własny serwer, a następnie uruchamia tam skanowanie. Ta metoda gwarantuje, że Twoja witryna pozostanie nienaruszona podczas procesu skanowania.

Wiele skanerów wyszukuje tylko istniejące złośliwe oprogramowanie, co oznacza, że ​​pomijają nowe rodzaje złośliwego oprogramowania. MalCare jest przeznaczony do identyfikowania wszystkich rodzajów złośliwego oprogramowania, w tym nowych .

II. Usuwanie złośliwego oprogramowania MalCare

MalCare oferuje najszybszą usługę usuwania złośliwego oprogramowania. Większość usług bezpieczeństwa WordPress oferuje czyszczenie oparte na biletach. W tym przypadku, jeśli Twoja witryna zostanie zaatakowana przez hakerów, musisz zgłosić zgłoszenie, uiścić opłatę za usunięcie złośliwego oprogramowania, a następnie poczekać, aż personel bezpieczeństwa wyczyści Twoją witrynę i skontaktuje się z Tobą. Ten proces jest czasochłonny i wymaga udostępnienia Twojej witryny stronie trzeciej.

MalCare's Cleaner działa inaczej. Po włamaniu liczy się czas. Im dłużej to trwa, tym większe są szanse, że Google umieści Twoją witrynę na czarnej liście lub zawiesi ją przez hostów internetowych. Dlatego MalCare oferuje natychmiastowe usuwanie złośliwego oprogramowania WordPress w celu oczyszczenia witryny hakerów. Wszystko, co musisz zrobić, to kliknąć przycisk , usiąść wygodnie i pozwolić wtyczce wyczyścić witrynę w ciągu kilku minut.

iii. Środki ochrony WordPress MalCare

Wszystkie środki, o których wspominaliśmy do tej pory – od korzystania z zapory sieciowej , przez blokowanie kraju, aż po wzmocnienie witryny internetowej, są środkami ochronnymi, które MalCare umożliwia za pomocą jednego kliknięcia przycisku.

Jak korzystać z MalCare?

• Aby korzystać z MalCare, musisz najpierw pobrać i zainstalować wtyczkę na swojej stronie internetowej.
• Następnie dodaj swoją witrynę do pulpitu nawigacyjnego MalCare. Wtyczka natychmiast rozpocznie skanowanie Twojej witryny. Jeśli znajdzie złośliwe pliki w Twojej witrynie, powiadomi Cię o tym.
• Możesz natychmiast wyczyścić swoją witrynę za pomocą przycisku automatycznego czyszczenia MalCare.

[Powrót do góry ↑]

2. Regularnie rób kopie zapasowe

Kopie zapasowe to Twoja sieć bezpieczeństwa. Jeśli coś pójdzie nie tak z Twoją witryną, możesz ją przywrócić do normalnego stanu, jeśli masz kopię swojej witryny.

Istnieje wiele wtyczek do tworzenia kopii zapasowych. Przy przytłaczającej liczbie dostępnych opcji naprawdę łatwo jest znaleźć usługę, która nie spełnia oczekiwań. Aby wybrać odpowiednią usługę tworzenia kopii zapasowych, musisz wiedzieć, jak wybrać wtyczkę do tworzenia kopii zapasowych.

Ponadto przeglądanie wtyczek do tworzenia kopii zapasowych będzie czasochłonne i kosztowne. Na szczęście przeprowadziliśmy porównanie głównych wtyczek do tworzenia kopii zapasowych WordPress na rynku. Spójrz na najlepsze wtyczki do tworzenia kopii zapasowych WordPress.

[Powrót do góry ↑]

3. Skorzystaj z dobrej firmy hostingowej

Dwóch najpopularniejszych dostawców usług hostingowych to hosting współdzielony i hosting zarządzany.

Hosting współdzielony jest popularny, ponieważ jest tańszy. Umożliwiło milionom ludzi na całym świecie założenie własnej strony internetowej bez dużych inwestycji. Ale w przypadku hostingu współdzielonego udostępniasz serwer innym nieznanym stronom internetowym. A często atak na jedną witrynę ma wpływ na inne witryny na tym samym serwerze. W związku z tym, choć popularni, współdzieleni dostawcy hostingu są słabo wyposażeni do radzenia sobie z sytuacjami zagrożenia.

Jeśli możesz sobie pozwolić na serwer dedykowany, zawsze go wybieraj. Lepiej zabezpiecza witrynę WordPress. Możesz sprawdzić, jak hosting wpływa na bezpieczeństwo witryny.

Ponieważ do wyboru jest wielu dostawców usług hostingowych, dokonaliśmy porównania najlepszego hostingu WordPress. Mamy nadzieję, że pomoże Ci to podjąć decyzję o wyborze dostawcy usług hostingowych.

[Powrót do góry ↑]

4. Aktualizuj witrynę WordPress

Jak każde inne oprogramowanie, wtyczki, motywy, a nawet rdzeń WordPressa z czasem rozwijają luki w zabezpieczeniach.

Kiedy programiści dowiadują się o lukach, wypuszczają łatkę w formie aktualizacji. Gdy właściciele witryn nie aktualizują swoich witryn, luki w zabezpieczeniach pozostają.

Po opublikowaniu łatki programiści ogłaszają powody aktualizacji, co oznacza, że ​​luka jest publicznie ogłaszana. Hakerzy są teraz świadomi luki w zabezpieczeniach i wersji, w której występuje. Zdają sobie sprawę, że nie każdy właściciel witryny zamierza natychmiast zaktualizować swoją witrynę, więc zaczynają szukać witryn, które działają w wersji podatnej na ataki. Ta przerwa czasowa daje im duże szanse na pomyślne zhakowanie dużej liczby witryn.

Dla przykładu, statystyki pokazują, że ponad 80% stron internetowych zostało zhakowanych, ponieważ nie były aktualizowane!

Musisz regularnie aktualizować swoją witrynę WordPress. Dowiedz się, jak bezpiecznie zaktualizować swoją witrynę WordPress.

Możesz zauważyć, że istnieją wtyczki i motywy, które nie są aktualizowane przez ich programistów od dłuższego czasu. W większości przypadków programiści porzucają oprogramowanie. Najlepiej usunąć wtyczkę lub motyw ze swojej witryny i zainstalować alternatywę.

[Powrót do góry ↑]

5. Użyj certyfikatu SSL

Szybko spójrz na adres URL tej witryny.

Zwróć uwagę na zamek? Ta blokada oznacza, że ​​witryna korzysta z certyfikatu SSL. SSL to bezpieczna warstwa gniazda, która szyfruje dane podczas ich przesyłania między przeglądarką a witryną.

Dlaczego? Ponieważ dane (takie jak dane karty kredytowej) przesyłane z przeglądarki użytkownika do Twojej witryny mogą zostać przechwycone i skradzione. Więc nawet jeśli dane zostaną skradzione, jeśli są zaszyfrowane, hakerzy nie mogą ich użyć.

Oto przewodnik, który pomoże Ci zainstalować certyfikat SSL w Twojej witrynie i przenieść witrynę WordPress z HTTP na HTTPS.

[Powrót do góry ↑]

6. Chroń swoją stronę logowania WordPress

Strona logowania jest jedną z najczęściej atakowanych części witryny WordPress. Hakerzy próbują odgadnąć dane logowania i uzyskać dostęp do obszaru administracyjnego WordPress, co daje im pełną kontrolę nad witryną. Dlatego ważne jest, aby wdrożyć odpowiednią ochronę na stronie logowania WordPress. Przyjrzyjmy się różnym technikom, które pozwolą ci chronić stronę logowania i zwiększyć bezpieczeństwo logowania WordPress.

I. Użyj unikalnej nazwy użytkownika

Jeśli twoja nazwa użytkownika jest łatwa do odgadnięcia, haker musi tylko wymyślić hasło. Mając jedną rzecz mniej do zmartwień, znacznie ułatwia pracę hakera.

Jedną z najczęstszych nazw użytkowników WordPressa jest „admin”. Jeszcze kilka lat temu WordPress zachęcał ludzi do używania „admin” jako nazwy użytkownika. Chociaż WordPress nie sugeruje już automatycznie „admin”, nadal jest szeroko stosowany. Dlatego musisz podjąć środki, aby upewnić się, że administratorzy unikają używania „admin” jako nazwy użytkownika wraz z tymi powszechnie używanymi nazwami użytkowników.

Sprawdzanie tej listy za każdym razem, gdy tworzone jest nowe konto użytkownika, może znacznie przyczynić się do zapewnienia bezpieczeństwa WordPress. Co więcej, jeśli któryś z Twoich dotychczasowych użytkowników używa wspólnych nazw użytkowników, powiedz im, aby to zmienili. Oto przewodnik, który okaże się pomocny w temacie Jak zmienić nazwę użytkownika WordPress?

II. Zmień swoją wyświetlaną nazwę

Aby zinfiltrować Twoją witrynę, hakerzy przeglądają ją i wybierają wyświetlane nazwy. Próbując się zalogować, używają różnych kombinacji tych nazw. Hakerzy wiedzą, że posiadanie tej samej nazwy użytkownika i nazwy wyświetlanej nie jest niczym niezwykłym. Na przykład, jeśli wyświetlaną nazwą jest Sophia Lawrence, mogą oni próbować zalogować się przy użyciu sophialawrence , sophia.lawrence lub sophia jako nazwy użytkownika.

Aby zabezpieczyć swoją witrynę przed tym, możesz zmienić nazwę wyświetlaną.

Przejdź do „Edytuj mój profil” . A następnie zmień swój „Pseudonim” . Zapisz aktualizację. Teraz wybierz „Wyświetl nazwę publicznie jako” . Pojawi się menu rozwijane, w którym zobaczysz nową nazwę wyświetlaną. Wybierz i zapisz ustawienie.

Hakerzy nieuchronnie poniosą porażkę, jeśli spróbują użyć nazwy wyświetlanej.

[Powrót do góry ↑]

iii. Zapobiegaj wykrywaniu nazwy użytkownika

Oprócz nazwy wyświetlanej, inną metodą, którą można zastosować do odkrycia nazwy użytkownika z Twojej witryny, jest WordPress Rest API. To poważny problem bezpieczeństwa WordPress. Ta podstawowa funkcja WordPress, wprowadzona w 2016 roku, umożliwia każdemu odkrywanie informacji o użytkownikach w Twojej witrynie. Wszystko, co muszą zrobić, to uruchomić prosty adres URL: example.com/wp-json/wp/v2/users

Aby temu zapobiec, użyj następującego fragmentu kodu w pliku functions.php. Ukryje listę użytkowników i wyświetli błąd 500, jeśli spróbujesz ponownie uruchomić adres URL.

[php]
add_filter('rest_endpoints', function($endpoints){

if (isset($punkty końcowe['/wp/v2/users'])) {

unset( $punkty końcowe['/wp/v2/users'] );

}

if ( isset( $endpoints['/wp/v2/users/(?P&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\\d]+) '] ) ) {

unset( $endpoints['/wp/v2/users/(?P&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\\d]+)'] );

}

zwróć $punkty końcowe;

});
[/php]

Nazwa użytkownika jest jednym z dwóch składników danych logowania. Przyjrzyjmy się drugiemu składnikowi – hasłu – i spróbujmy dowiedzieć się, jak zabezpieczyć go przed hakerami.

[Powrót do góry ↑]

iv. Egzekwuj silne hasła

Każde hasło ochroni moją stronę internetową, czy to nie wystarczy? Odpowiedź brzmi „nie”, ponieważ hakerzy nieustannie próbują odgadnąć hasła do witryn WordPress w celu włamania.

Używają techniki zwanej atakami siłowymi, w której programują boty, aby wykonywały miliony prób logowania, próbując odgadnąć twoje dane uwierzytelniające w mniej niż kilka minut.

Jeśli użyjesz łatwego hasła, takiego jak Passw0rd123$ , bot złamie je w kilku próbach. Dlatego ważne jest, aby mieć unikalne i złożone hasło.

WordPress zachęca użytkowników do automatycznego generowania silnych haseł, ale nadal możesz utworzyć konto przy użyciu słabego hasła. Dlatego obowiązek używania silnych haseł spada na twoje ramię.

Możesz edukować administratorów WordPress, aby używali silnych haseł. Wytyczne dotyczące ustawiania silnego hasła są następujące:

– Twórz długie hasła

Ogólnie rzecz biorąc, hasła dłuższe niż 8-10 znaków są uważane za silne i zwykle trudne do złamania. Każdy znak dodany do hasła wzmacnia je. Jednak w ciągu ostatnich kilku lat technologia łamania haseł znacznie się rozwinęła. Dlatego wielu pracowników ochrony WordPress zaleca używanie haseł o długości 15 znaków.

• Długie hasło: pd&&)xG56ZhLNrjl4jjNJ4#h (trudne do zapamiętania)
• Długie hasło: Jego wilk był biały jak nic nie wiesz John Snow (łatwe do zapamiętania)

– Używaj kombinacji wielkich i małych liter oraz znaków specjalnych

W atakach siłowych boty są zaprogramowane do przeprowadzania procedur łamania haseł. Postępują zgodnie z określonymi instrukcjami, na przykład próbują odgadnąć właściwe hasło, wymyślając kombinację różnych małych liter („a”, „b”, „c” itp.). Używanie łatwego hasła, takiego jak „testpass”, oznacza, że ​​mogą złamać hasło już po kilku próbach.

Dlatego jeśli użyjesz kombinacji małych i wielkich liter, znalezienie hasła zajmie im dużo czasu. Jednak naprawdę dobrze zaprogramowany bot może wypróbować kilka milionów haseł na sekundę. Tak więc mieszanie znaków specjalnych, cyfr, małych i wielkich liter powinno idealnie sprawić, że hasło będzie nieprzewidywalne i trudne do złamania.

• Dodaj czapki – TestPass
• Dodaj cyfrę i symbol – TestPass123$

– Unikaj używania powszechnych słów i publicznie znanych szczegółów

Typowe słowa, takie jak „test”, „admin”, „login”, to często używane słowa przez użytkowników WordPress. Oto niektóre z haseł, które boty najpierw wypróbowują, dlatego unikaj ich używania. Według infografiki Splashdata, 25 najczęściej używanych haseł to:

• Popularne sporty i zainteresowania, takie jak „baseball”, „piłka nożna” i „Gwiezdne wojny”, „Księżniczka”, „Solo” itp.
• Numery w kolejności, takie jak „87654321”, „0123456” itp.
• Litery w kolejności , takie jak „abc123” itp.

Hakerzy atakujący Twoją witrynę mogą pobrać szczegóły z Twojej witryny i wypróbować je. Na przykład, jeśli masz witrynę zbudowaną wokół ulubionego programu telewizyjnego Gra o tron, boty będą próbować różnych kombinacji fraz, aby włamać się na Twoje witryny, takich jak „GoThrones123” lub „gameofthrones123”. Aby temu zapobiec, zaprojektuj hasło, które nie zawiera żadnej wzmianki o stronie internetowej.

Zabezpieczanie haseł minimalizuje ryzyko naruszenia bezpieczeństwa. Ale silne hasła są trudne do zapamiętania, chyba że masz kilka asów w rękawie.

[Powrót do góry ↑]

v. Ochrona oparta na CAPTCHA

Oprócz używania unikalnych nazw użytkowników i silnych haseł, używanie CAPTCHA to kolejny doskonały sposób na zapobieganie atakom siłowym na Twoją witrynę WordPress.

Po określonej liczbie nieudanych prób logowania generowany jest kod CAPTCHA w celu ustalenia, czy użytkownik jest człowiekiem, czy botem. CAPTCHA są zaprojektowane tak, aby były nieczytelne dla botów. W związku z tym udaremnia ataki typu brute force, ponieważ boty nie mogą uzyskać dostępu do strony logowania, dopóki nie rozwiążą CAPTCHA.

Wtyczki bezpieczeństwa WordPress, takie jak MalCare, generują oparte na obrazie CAPTCHA, które może rozwiązać tylko prawdziwy, ludzki użytkownik.

Zaprojektowane, aby uniemożliwić botom hakerskim złamanie twoich danych uwierzytelniających, CAPTCHA są świetne.

[Powrót do góry ↑]

wi. Zaimplementuj uwierzytelnianie dwuskładnikowe

Czy zauważyłeś, jak popularne serwisy, takie jak Facebook i Gmail, uwierzytelniają użytkowników, gdy próbują się zalogować? Na smartfon powiązany z Twoim kontem wysyłany jest kod, który pomaga zweryfikować użytkownika. Jest to znane jako uwierzytelnianie dwuskładnikowe.

WordPress nie oferuje uwierzytelniania dwuskładnikowego. Dlatego, aby wdrożyć to w swojej witrynie WordPress, możesz postępować zgodnie z tym przewodnikiem Jak dodać uwierzytelnianie dwuskładnikowe WordPress.

[Powrót do góry ↑]

[ss_click_to_tweet tweet=”Każdego dnia dochodzi do ataków hakerskich na setki stron internetowych. Podejmij środki ostrożności już dziś i chroń swoją witrynę przed hakerami i botami. ” content = „” styl = „domyślny”]

7. Skonfiguruj zaporę sieciową

Spośród setek wizyt, które otrzymujesz w swojej witrynie, niektóre są złośliwe. Tacy goście odwiedzają Twoją witrynę z zamiarem znalezienia luk w zabezpieczeniach, które mogą wykorzystać do przejęcia kontroli nad Twoją witryną.

Zapora WordPress sprawdza każde żądanie odwiedzającego skierowane do Twojej witryny. Bez względu na to, z jakiego urządzenia korzysta odwiedzający – komputer stacjonarny, smartfon, tablet, laptop – każde urządzenie jest powiązane z adresem IP. Jeśli żądanie pochodzi z podejrzanego adresu IP, odwiedzający jest blokowany, w przeciwnym razie będzie mógł uzyskać dostęp do witryny. Dobra zapora ogniowa to pierwsza linia obrony przed złośliwym ruchem.

Wtyczka zapory WordPress, taka jak ta oferowana przez MalCare, jest wyposażona w zaawansowaną zaporę ogniową, która zapewnia lepsze bezpieczeństwo. Nie tylko sprawdza żądania ruchu w Twojej witrynie, ale także rejestruje zły ruch. Oznacza to, że gdy natrafi na nowy zły adres IP, zapisuje to. Jeśli zły adres IP spróbuje ponownie uzyskać dostęp do Twojej witryny, zostanie ona natychmiast zablokowana.

[Powrót do góry ↑]

8. Wzmocnij swoją witrynę

Zidentyfikowaliśmy kilka wspólnych obszarów witryny WordPress, z których korzystają hakerzy. Na przykład może używać kluczy bezpieczeństwa w celu uzyskania dostępu do Twojej witryny lub instalowania złośliwych wtyczek lub motywów w Twojej witrynie. Aby chronić swoją witrynę przed hakerami, musisz podjąć kroki w celu jej wzmocnienia.

Mamy przewodnik, który pomoże Ci podjąć działania wzmacniające WordPress.

[Powrót do góry ↑]

9. Stosuj najmniej uprzywilejowane zasady

WordPress oferuje 6 domyślnych ról użytkownika WordPress: administrator, redaktor, autor, współautor, subskrybent i superadmin. Przydział tych ról musi być przeprowadzony ostrożnie. Każda rola ma swój własny zestaw uprawnień i obowiązków. Przyjrzyjmy się im:

Administrator jest na szczycie hierarchii. Ma pełną kontrolę nad serwisem i może wykonywać następujące funkcje:

• Twórz, edytuj i usuwaj treści
• Edytuj kod wtyczek i motywów
• Zarządzaj wszystkimi wtyczkami i motywami
• Twórz, modyfikuj i usuwaj konta użytkowników

Prawa zmniejszają się w miarę schodzenia w dół hierarchii. Redaktor nie może wprowadzać większych zmian, ale może zarządzać kategoriami i linkami, moderować komentarze, tworzyć, edytować i usuwać posty oraz strony. Autor, współautor i subskrybent mają mniej uprawnień.

Najwyższa odpowiedzialność spoczywa na administratorze, którego prawa należy przyznać ludziom, co do których masz pewność, że nie nadużyją władzy.

Jeśli niewłaściwe osoby uzyskają dostęp administratora, mogą skorzystać z tej roli. Mogą instalować nieuczciwe wtyczki i motywy, kraść twoje dane i sprzedawać je za odpowiednią cenę, przechowywać między innymi nielegalne pliki i foldery.

[Powrót do góry ↑]

10. Blokowanie podejrzanych adresów IP

Jeśli masz zainstalowaną wtyczkę bezpieczeństwa WordPress, taką jak MalCare, przejrzyj dziennik adresów IP, z których próbowano się zalogować bezskutecznie.

Zauważ, że niektóre z nich mogą używać popularnych nazw użytkowników (mówiliśmy o tym w sekcji „Użyj unikalnej nazwy użytkownika”), takich jak „adm2016”. To zdjęcie poniżej jest zapisem nieudanych prób logowania na jednej z naszych stron internetowych.

Aby zablokować te złośliwe adresy IP, umieść kod w pliku .htaccess:

[php]
rozkaz zezwolić, odmówić

odmów z 61.134.52.164

zezwolić wszystkim
[/php]

Zamień „61.134.52.164” na adres IP, który chcesz zablokować i zapisz plik.

[Powrót do góry ↑]

11. Wdrożenie blokowania krajów

Internet umożliwia hakerom dostęp do stron internetowych na całym świecie. Mogą znajdować się w Rosji, a ich celem jest strona internetowa z Nowego Jorku.

Statystyki pokazują, że w pierwszej piątce krajów, z których pochodzą próby włamań, znajdują się Chiny, Stany Zjednoczone, Turcja, Brazylia i Rosja.

Jeśli masz zainstalowany program MalCare, łatwo sprawdzisz użytkowników, którzy próbują zalogować się na Twoją stronę. Możesz zobaczyć ich kraj pochodzenia.

Jeśli masz użytkowników zlokalizowanych tylko w Stanach Zjednoczonych, próby logowania z innych krajów są najprawdopodobniej złośliwe.

Na powyższym obrazku widać, że próby logowania zostały wykonane z czterech różnych krajów – Stanów Zjednoczonych, Wielkiej Brytanii, Rosji i Chin.

Teraz, jeśli kierujesz reklamy tylko na określone kraje, takie jak Stany Zjednoczone, nie potrzebujesz ruchu z innych krajów, dlatego możesz zablokować Wielką Brytanię, Rosję i Chiny.

Aby dowiedzieć się, jak wdrożyć blokowanie krajów, skorzystaj z tego przewodnika Jak zablokować kraj w WordPress?

[Powrót do góry ↑]

12. Ukryj wersję WordPressa

Innym sposobem, w jaki haker może dowiedzieć się, czy masz jakieś pliki ze znanymi lukami w zabezpieczeniach WordPress, jest sprawdzenie używanej wersji WordPress. Czasami właściciele witryn przegapiają nowe aktualizacje WordPress, które narażają ich witrynę na ataki.

Hakerzy mogą wykorzystać każdą lukę w zabezpieczeniach, która mogła istnieć w poprzedniej wersji podstawowej instalacji WordPress. Dlatego ukrywanie używanej wersji WordPressa może być przydatne.

W tym celu należy umieścić kod w pliku function.php.

Krok 1: Zaloguj się na swoje konto hosta. Wejdź do cPanel > Menedżer plików > public_html.

Krok 2: W folderze public_html uzyskaj dostęp do treści wp i wybierz folder aktywnego motywu.

Na przykład, jeśli używasz domyślnego motywu WordPress Twenty-Nineteen, wybierz folder o nazwie „dwadzieścia dziewiętnaście”.

Pamiętaj, że „personalblogily” to motyw, z którego obecnie korzystamy na naszych stronach internetowych, możesz używać innego motywu.

Krok 3: Kliknij prawym przyciskiem myszy plik function.php i wybierz Edytuj. Tutaj umieść następujący kod.

[php]
funkcja wpbeginner_remove_version() {

powrót ";

}

add_filter('generator', 'wpbeginner_remove_version');
[/php]

Zapisz plik, a to usunie wyświetlanie numeru wersji WordPress w dowolnym miejscu w Twojej witrynie.

[Powrót do góry ↑]

13. Sprawdź dziennik aktywności

Uważne obserwowanie wszystkiego, co dzieje się na Twojej stronie WordPress, pozwala zidentyfikować podejrzane zachowanie na wczesnym etapie. Pomoże Ci to udaremnić wszelkie możliwe złośliwe ataki hakerskie, zanim faktycznie nastąpią i uszkodzą Twoją witrynę WordPress.

Możesz to zrobić, instalując wtyczkę, aby rejestrować wszystko, co dzieje się na Twojej stronie WordPress w dzienniku aktywności WordPress. Istnieje kilka różnych wtyczek do wyboru. WP Security Audit Log to jedna z takich wtyczek.

14. Do logowania używaj tylko adresu e-mail

Na stronie logowania WordPress możesz użyć swojej nazwy użytkownika lub identyfikatora e-mail, aby się zalogować. Dlatego wyłączenie używania nazwy użytkownika może zniechęcić hakerów do przeprowadzania ataków siłowych na Twoją witrynę.

Istnieją wtyczki, takie jak Brak logowania przez adres e-mail, które pozwalają zapobiegać używaniu nazw użytkowników do logowania się na Twojej stronie internetowej.

[Powrót do góry ↑]

15. Użyj uwierzytelniania HTTP

Uwierzytelnianie HTTP zapewnia warstwę ochrony na stronie logowania WordPress i jest ważnym krokiem w kierunku bezpieczeństwa WordPress. Aby uzyskać dostęp do strony, użytkownik musi wprowadzić poświadczenia HTTP. Bez tego nie będą mogli uzyskać dostępu do strony logowania w Twojej witrynie.

Wtyczki, takie jak HTTP Auth, pomagają skonfigurować tę warstwę ochronną na stronie logowania. Pamiętaj, aby udostępnić użytkownikom dane uwierzytelniające HTTP. W przeciwnym razie zostaną zablokowani i nie będą mogli zalogować się do Twojej witryny.

Na tym zakończyliśmy zaawansowane środki bezpieczeństwa dla stron WordPress.

[Powrót do góry ↑]

Wspólne, ale przestarzałe środki bezpieczeństwa WordPress

W świecie bezpieczeństwa WordPress istnieje wiele porad, które zwykle otrzymują właściciele witryn. Ale niektóre z tych rad nie są zbyt skuteczne. Zamierzamy wymienić niektóre z typowych porad dotyczących bezpieczeństwa, które mają poważne wady. Te środki tak naprawdę nie zabezpieczają Twojej witryny, ponieważ hakerzy znaleźli sposoby na obejście tych środków.

1. Ukryj stronę logowania WordPress
2. Ustaw hasła, aby wygasły
3. Automatyczne wylogowanie w przypadku braku aktywności

1. Ukryj stronę logowania WordPress

Hakerzy rzadko atakują pojedyncze strony internetowe. Programują zautomatyzowane boty do przeprowadzania ataków na strony logowania WordPress. Każdy, kto korzystał z WordPressa wystarczająco długo, wie, że witryny WordPress mają domyślny adres URL strony logowania, który wygląda następująco: „ example.com/wp-admin” .

To znacznie ułatwia pracę automatycznym botom. Dlatego zmiana strony logowania do witryny na coś w rodzaju „example.com/wrongpage” może odeprzeć nadchodzący atak.

Istnieje kilka wtyczek, takich jak WPS Hide Login, Hide WP-Admin itp., które mogą pomóc w ukryciu strony logowania WordPress.

Wada: Chociaż może to łatwo zapobiec automatycznym próbom włamania, nie gwarantuje to, że Twoja witryna będzie bezpieczna. Dzieje się tak głównie dlatego, że narzędzia takie jak WPS Hide Login oferują domyślny adres URL logowania. Tak więc setki tysięcy witryn korzystających z tego narzędzia używają tego samego adresu URL na swojej stronie logowania. Hakerzy mogą łatwo znaleźć format adresu URL i przeprowadzić ataki.

Co więcej, ukrywanie strony logowania bez odpowiedniego poinformowania wszystkich użytkowników może okazać się bardzo niewygodne. Może to kosztować nawet dzień pracy.

[Powrót do góry ↑]

2. Ustaw wygasanie haseł

Na pewno zauważyłeś, że w serwisach bankowości elektronicznej proszą o zmianę hasła po upływie określonego czasu. Jest to środek bezpieczeństwa, który zapewnia, że ​​jeśli twoje konto zostanie zhakowane, haker otrzyma tylko ograniczone okno na wykorzystanie twojego konta. Zastosowanie tego samego środka na stronach WordPress zmniejsza szkody.

Za pomocą wtyczki Expire Passwords możesz ustawić wygasanie haseł użytkowników po określonej liczbie dni. Wszyscy użytkownicy są zmuszeni do aktualizacji swoich haseł.

Wada: ten środek zapewnia pewien poziom bezpieczeństwa, ale hakerzy znajdują sposoby na jego przekroczenie. Na przykład, kiedy włamują się na twoją stronę, tworzą nowe konta użytkowników lub instalują ukryte backdoory. Więc nawet jeśli regularnie zmieniasz hasło, utworzyli już inne punkty dostępu.

[Powrót do góry ↑]

3. Automatyczne wylogowanie w przypadku braku aktywności

W przypadku witryn z wieloma użytkownikami prawdopodobieństwo nadużycia praw użytkownika jest wysokie. Jest jeszcze wyższy dla użytkowników, którzy pracują zdalnie. Użytkownik może być zmuszony opuścić swoje biurko, aby zająć się pilnymi sprawami i zapomnieć o wylogowaniu.

Co się stanie, jeśli ktoś nadużyje witryny w tym czasie? Aby zmniejszyć ryzyko takich nadużyć, możesz skonfigurować witrynę WordPress w taki sposób, aby użytkownicy byli automatycznie wylogowywani, jeśli są nieaktywni przez dłuższy czas.

Wtyczka Inactive Logout oferuje funkcję wylogowania bezczynnej sesji. Pozwala to ustawić akceptowalny okres braku aktywności, na przykład 10 lub 20 minut, po którym użytkownik jest automatycznie wylogowywany.

Wada: są jednak szanse, że jeśli ktoś chce węszyć w Twojej witrynie, zrobi to natychmiast po jej opuszczeniu. W takich przypadkach wylogowanie nieaktywnych użytkowników nie może zapobiec nadużyciom praw użytkownika.

[Powrót do góry ↑]

[ss_click_to_tweet tweet=”Martwisz się o bezpieczeństwo swojej witryny? ???? Podejmij te praktyczne kroki, aby chronić swoją witrynę przed lukami w zabezpieczeniach”. treść=”” styl=”domyślnie”]

Końcowe przemyślenia

Wiemy, że to była naprawdę długa lektura i trochę przytłaczająca. Ale zanim spróbujesz się zdrzemnąć, oto, co proponujemy zrobić –

• Dodaj ten artykuł do zakładek.
• Podziel się nim z przyjaciółmi i sąsiadami – każdy, kto Twoim zdaniem skorzystałby z naszego przewodnika.
• Sprawdź więcej przewodników, takich jak Zabezpiecz swoją witrynę WordPress za pomocą wp-config.php z naszego bloga WordPress.

Mamy szczerą nadzieję, że ten artykuł okazał się pomocny. Chcemy zostawić Cię z jedną ostatnią myślą – podjęcie wszystkich tych środków bezpieczeństwa może być bardzo przytłaczające, dlatego zalecamy przeprowadzanie regularnych audytów bezpieczeństwa WordPress i wybranie wtyczki bezpieczeństwa WordPress premium, takiej jak MalCare, która zajmie się bezpieczeństwem za Ciebie.

Dzięki MalCare będziesz mieć dostęp do sprytnych funkcji bezpieczeństwa, takich jak zapora ogniowa, regularne skanowanie w poszukiwaniu złośliwego oprogramowania, wzmacnianie WordPressa i wiele więcej. Możesz spać spokojnie, wiedząc, że bezpieczeństwo Twojej witryny jest zadbane.

Wypróbuj naszą wtyczkę zabezpieczającą WordPress – MalCare już teraz!