Audyt bezpieczeństwa WordPress: 7 prostych kroków, aby chronić swoją witrynę

Opublikowany: 2020-07-06

Twoja witryna jest bardziej zagrożona, niż mogłoby się wydawać. Nie martw się! Nie jesteś sam w tym wyścigu. Większość ludzi uważa, że ​​ich witryna jest bezpieczna, podczas gdy w rzeczywistości tak nie jest.

Nic dziwnego, że Twoja witryna WordPress może zostać zhakowana z powodu niektórych typowych błędów. Może się to zdarzyć nawet w przypadku braku aktualizacji do nowszej wersji WordPressa i braku ważnej funkcji bezpieczeństwa.

Ponad 70% instalacji WordPressa jest podatnych na ataki hakerów.

– WP Białe Bezpieczeństwo

Istnieją jednak skuteczne sposoby radzenia sobie z nieuchronnym zagrożeniem bezpieczeństwa, które przez cały czas wisi nad Twoją witryną. Podobnie jak wszechobecne zagrożenie, będziesz musiał monitorować swoją witrynę, wykonując regularne audyty bezpieczeństwa. Może uchronić Cię przed wieloma potencjalnymi zagrożeniami, od naruszenia danych po nawet oprogramowanie ransomware.

W tym artykule zademonstrujemy kilka prostych sposobów na zabezpieczenie witryny przed hakerami lub wszelkimi niechcianymi instancjami.

Spis treści

  • Co to jest audyt bezpieczeństwa WordPress?
  • Dlaczego regularny audyt bezpieczeństwa jest ważny dla Twojej witryny?
  • Przeprowadzanie audytu bezpieczeństwa WordPress
    • Ręczne wykonywanie audytu bezpieczeństwa WordPress
      • Sprawdź aktualizacje
      • Zachowaj i sprawdzaj kopie zapasowe WordPress
      • Oceń lukę w zabezpieczeniach konta administratora
      • Sprawdź użytkowników i konta
      • Usuń niepotrzebne wtyczki
      • Odinstaluj nieużywane motywy
      • Uruchom skanowanie bezpieczeństwa
    • Przeprowadzanie audytu bezpieczeństwa WordPress za pomocą wtyczek
      • Dziennik aktywności WP
      • Bezpieczeństwo Wordfence

Co to jest audyt bezpieczeństwa WordPress?

How to Perform WordPress Security Audit

Twoja witryna może być zagrożona z wielu powodów. Na przykład przestarzała wtyczka lub motyw może zostać wykorzystany przez hakera. Lub jeden z administratorów Twojej witryny mógł ustawić słabe hasło, które może zostać złamane przez osobę z zewnątrz. Dlatego musisz mieć listę kontrolną, aby sprawdzić wszystkie luki w zabezpieczeniach, które może mieć Twoja cenna witryna WordPress.

Krótko mówiąc, audyt bezpieczeństwa WordPress to operacja polegająca na regularnym sprawdzaniu Twojej witryny pod kątem wszelkiego rodzaju złośliwej aktywności lub zagrożeń bezpieczeństwa.

Dlaczego regularny audyt bezpieczeństwa jest ważny dla Twojej witryny?

Ludzie często nie traktują bezpieczeństwa witryn poważnie. Większość właścicieli witryn uważa, że ​​WordPress jest w stanie zadbać o bezpieczeństwo wszystkich witryn zbudowanych na jego platformie. Inni zdają się myśleć, że ich witryna nie ma nic szczególnego, na co warto by się włamać, więc kto zhakowałby ich witrynę.

Hackers Can use Your Site in Many Ways
Hakerzy mogą korzystać z Twojej witryny na wiele sposobów

Ale hakerzy nie zawsze włamują się na stronę internetową, aby zdobyć Twoje dane. Gdy Twoja witryna zostanie zhakowana, hakerzy mogą ją wykorzystać do wielu złośliwych działań, takich jak –

  • Kopanie kryptowalut
  • Hosting stron phishingowych
  • Wysyłanie spamu
  • Aby uruchomić własne programy za pośrednictwem Twojej strony internetowej
  • Proszenie o okup, znane również jako oprogramowanie ransomware
  • Przekieruj swój ruch na strony internetowe, które mogą zagrozić ich bezpieczeństwu

Jeśli więc uważasz, że Twoja witryna jest bezpieczna, ponieważ nie zawiera żadnych poufnych danych, zastanów się dwa razy!

Ponadto, chociaż sam WordPress jest bardzo bezpieczną platformą, nie może chronić Twojej witryny, chyba że jej użytkownicy z nią współpracują. Według WordPressa tylko 41% jego użytkowników korzysta z najnowszej wersji jego platformy. Ponieważ nowsza wersja zawiera aktualizacje bezpieczeństwa wraz z innymi funkcjami, starsze wersje są bardziej podatne na naruszenia bezpieczeństwa.

WordPress Versions in Use Right Now
Wersje WordPressa w użyciu już teraz (Źródło: WordPress)

Biorąc pod uwagę wszystkie powyższe fakty, jasne jest, że bezpieczeństwo Twojej witryny nie jest niezniszczalne, chyba że regularnie przeprowadzasz audyt witryny WordPress.

Jak przeprowadzić audyt bezpieczeństwa WordPress (7 łatwych kroków do ręcznego audytu)

Twoja witryna może zostać złamana z wielu powodów, dlatego nie możesz pozostawić żadnego kamienia na głowie podczas przeprowadzania audytu bezpieczeństwa. Wykonując audyt bezpieczeństwa, zawsze utrzymuj rutynową listę kontrolną, aby upewnić się, że wszystkie potencjalne luki zostały uwzględnione. Dla Twojej wygody sporządziłem listę rzeczy, które musisz sprawdzić podczas przeprowadzania audytu bezpieczeństwa.

Możesz wykonać operację zarówno ręcznie, jak i za pomocą wtyczki audytu WordPress. Najpierw pokażę ci ręczny sposób, a później opowiem o niektórych wtyczkach, których możesz użyć alternatywnie do automatycznego przeprowadzania audytów bezpieczeństwa.

Jeśli nie chcesz korzystać z wtyczek, ponieważ wiele z nich wydaje się zmniejszać szybkość Twojej strony, możesz przeprowadzić ręczne audyty bezpieczeństwa w swojej witrynie WordPress. Po prostu wykonaj poniższe czynności, aby upewnić się, że Twoja witryna jest na dobrej drodze.

1. Sprawdź najnowsze aktualizacje

Aktualizowanie witryny to jeden z najlepszych sposobów na jej ochronę. Możesz pomyśleć, że aktualizacje WordPress dotyczą nowych funkcji, a niektóre z nich możesz nawet nie lubić. Ale niezależnie od tego powinieneś sprawdzać i instalować aktualizacje podczas przeprowadzania audytów bezpieczeństwa na swojej stronie.

Powodem aktualizacji wersji WordPressa jest to, że nowsza wersja zawsze zawiera nowe poprawki bezpieczeństwa. Zespół ds. bezpieczeństwa WordPress współpracuje z najlepszymi ekspertami ds. bezpieczeństwa na całym świecie, aby zapewnić bezpieczeństwo platformy.

Możesz sprawdzić aktualizację WordPress z WP Admin Dashboard> Dashboard> Updates

WordPress Updates


Wraz z aktualizacją WordPressa powinieneś również sprawdzić, czy nie jest wymagana aktualizacja dla Twoich wtyczek i motywów. Pamiętaj, że hakerzy mogą również wykorzystać wszelkie luki w Twoich wtyczkach lub motywach, aby dostać się do Twojej witryny. Proponuję więc regularnie sprawdzać i aktualizować wszystkie wtyczki i motywy. Możesz znaleźć opcję aktualizacji wtyczki i motywu na tej samej stronie, co aktualizacje WordPress.

2. Przechowuj i sprawdzaj kopie zapasowe WordPress

Regularne tworzenie kopii zapasowej witryny może się przydać w przypadku włamania na witrynę lub utraty danych z powodu złośliwego oprogramowania.

Dostawcy hostingu wysokiej jakości często zapewniają usługę automatycznego tworzenia kopii zapasowych. Ale nawet jeśli Twój dostawca hostingu zapewnia usługę automatycznego tworzenia kopii zapasowych, powinieneś zainstalować wysokiej jakości wtyczkę do tworzenia kopii zapasowych dla WordPress, aby zapewnić regularne tworzenie kopii zapasowych Twojej witryny i wszystkich danych.

Po zainstalowaniu wtyczki do tworzenia kopii zapasowych, podczas każdego audytu bezpieczeństwa sprawdzaj, czy kopie zapasowe są wykonywane rutynowo.

3. Oceń lukę w zabezpieczeniach konta administratora

12345, 123456, 123456789, te trzy były najpopularniejszymi hasłami w 2019 roku. Lista stworzona przez NordPass z 500 milionów haseł, które wyciekły w Internecie, umieściła wszystkie popularne hasła, a 10 z nich znajduje się na poniższym obrazku.

Most Popular Password in 2019
Najpopularniejsze hasło w 2019 r. (Źródło: NordPass)

Jeśli jeden z administratorów ustawi hasło w ten sposób, istnieje duże prawdopodobieństwo, że Twoja witryna wkrótce dostrzeże naruszenie. Wybierz silne hasło, najlepiej takie, które sugeruje WordPress. Jeśli jesteś osobą, która ma tendencję do zapominania o rzeczach, istnieje wiele aplikacji do zarządzania hasłami do przechowywania haseł.

Inną ważną rzeczą do upewnienia się podczas audytu bezpieczeństwa jest to, że żaden administrator nie ustawił nazwy użytkownika admin . Jest to najczęstsza nazwa użytkownika na WordPressie i z pewnością nie należy jej używać.

4. Sprawdź użytkowników i konta

Jeśli masz forum lub witrynę e-commerce, które wymagają rejestracji użytkowników, musisz sprawdzić, czy podczas audytów bezpieczeństwa nie ma podejrzanych użytkowników. Listę wszystkich użytkowników można znaleźć w WP Admin Dashboard> Users> All Users

Ale jeśli masz inne rodzaje stron internetowych i nie potrzebujesz odwiedzających do rejestracji, sugeruję wyłączenie opcji rejestracji dla każdego z Pulpitu administracyjnego WP> Ogólne> Każdy może się zarejestrować

Turning Off Anyone Can Register Option


5. Usuń niepotrzebne wtyczki

Instalowanie wielu wtyczek na stronie nie tylko zajmuje miejsce, ale także stanowi zagrożenie dla bezpieczeństwa. Lepiej odinstalować wtyczki, gdy już ich nie potrzebujesz.

Removing Unnecessary Plugins


Stare wtyczki często otwierają luki w zabezpieczeniach Twojej witryny. Lepiej jest je całkowicie usunąć, a nie tylko dezaktywować.

6. Odinstaluj nieużywane motywy

Podczas instalacji WordPressa pakują domyślny motyw, aby uruchomić witrynę. Ale potem wszyscy zmieniamy nasz motyw, jak nam się podoba. Czasami mamy zainstalowanych kilka motywów WordPress, których nigdy nie używamy. Podobnie jak stare wtyczki, te stare motywy mogą później powodować problemy. Tylko do celów tworzenia kopii zapasowych zwykle zachowuję tylko jeden motyw inny niż ten, którego używam.

7. Uruchom skanowanie bezpieczeństwa

Prawie skończyliśmy. Czas przeprowadzić ostateczną kontrolę pod kątem złośliwego oprogramowania za pomocą wtyczki zabezpieczającej. Istnieje wiele wtyczek zabezpieczających WordPress, które mogą Ci w tym pomóc.

Po zainstalowaniu wtyczki zabezpieczającej na swojej stronie. Uruchom pełne skanowanie i sprawdź, czy w Twojej witrynie nie ma złośliwego oprogramowania. Wybierz wtyczkę, która poradzi sobie również z próbami logowania metodą brute force, aby zapobiec atakom na żywo w Twojej witrynie.

Jak przeprowadzić audyt bezpieczeństwa WordPress za pomocą wtyczek

Jeśli nie chcesz wykonywać wszystkich zadań ręcznie, istnieje inny sposób na wykonanie niezbędnego audytu bezpieczeństwa WordPress. Istnieje kilka bardzo dobrych wtyczek zabezpieczających dla witryn WordPress, które mogą automatycznie przejść przez wszystkie wymienione powyżej zadania.

Dziennik aktywności WP

wordpress security audit plugin

Dziennik aktywności WP to jedna z najpopularniejszych wtyczek do przeprowadzania audytów bezpieczeństwa w Twojej witrynie. Monitoruje każdą zmianę dokonaną w Twojej witrynie i ostrzega o wszelkich podejrzanych działaniach.

Możesz sprawdzić liczbę zalogowanych użytkowników, ich aktywność, a także ich adresy IP. Możesz ograniczyć liczbę prób logowania, a także rozwiązać wszelkie problemy w swojej witrynie. Ogólnie rzecz biorąc, jest to niezawodna wtyczka do przekazywania twoich obowiązków.

Bezpieczeństwo Wordfence

wordpress security audit plugin

Wordfence Security to najczęściej pobierana wtyczka bezpieczeństwa wszechczasów dla WordPressa. Posiada szereg funkcji bezpieczeństwa, które z pewnością zapewnią ochronę Twojej witryny.

Wordfence Security posiada skaner złośliwego oprogramowania w czasie rzeczywistym. Może sprawdzać podstawowe pliki, motywy i wtyczki pod kątem złośliwego oprogramowania, złych adresów URL, tylnych drzwi, spamu SEO, złośliwych przekierowań i wstrzyknięć kodu.

Możesz także monitorować ruch na żywo za pomocą tej wtyczki wraz z kilkoma innymi przydatnymi funkcjami.

Zawijanie

WordPress to jedna z najbezpieczniejszych platform do budowy Twojej witryny. Jeśli będziesz uważnie obserwować typowe luki w zabezpieczeniach, zhakowanie Twojej witryny będzie niemożliwe. Przeprowadzając regularne audyty bezpieczeństwa, możesz łatwo śledzić wszystkie luki w zabezpieczeniach, które może mieć Twoja witryna.

Jeśli jesteś zdeterminowany, jeśli chodzi o bezpieczeństwo swojej witryny i chcesz dowiedzieć się więcej, oto kolejny blog, aby dowiedzieć się, co działa w przypadku bezpieczeństwa WordPress.

Jeśli masz jakiekolwiek pytania dotyczące tego bloga, skomentuj poniżej. Chętnie odpowiemy na wszelkie Twoje pytania.