Jedyna lista kontrolna zabezpieczeń WordPress, której będziesz potrzebować w 2024 r

WordPress to bezpieczny system zarządzania treścią (CMS), ale sposób, w jaki instalujesz i konfigurujesz swoją witrynę, może mieć wpływ na jej poziom bezpieczeństwa. Jeśli nie podejmiesz kroków w celu ochrony swojej witryny, możesz spotkać się z naruszeniem bezpieczeństwa danych lub utratą treści.

Aby Ci pomóc, stworzyliśmy najlepszą listę kontrolną bezpieczeństwa WordPress. To poprowadzi Cię przez wszystkie kroki potrzebne do ochrony Twojej witryny przed botami i atakującymi.

W tym poście przyjrzymy się wbudowanym funkcjom bezpieczeństwa WordPress. Następnie pokażemy Ci 30 rzeczy, które możesz zrobić, aby jeszcze bardziej chronić swoją witrynę.

Czy WordPress oferuje wbudowane zabezpieczenia?

Tak, WordPress oferuje pewne środki bezpieczeństwa. Twój pulpit administracyjny jest chroniony przez stronę logowania, która wymaga od użytkowników wprowadzenia prawidłowej nazwy użytkownika i hasła.

CMS otrzymuje również regularne łatki i aktualizacje eliminujące luki w zabezpieczeniach. Ogólnie rzecz biorąc, jeśli będziesz aktualizować WordPress i jego komponenty, unikniesz najczęstszych luk w zabezpieczeniach.

Powiedziawszy to, należy wziąć pod uwagę również czynnik ludzki. W wielu przypadkach witryny WordPress są atakowane z powodu błędu ludzkiego, takiego jak udostępnienie lub ponowne użycie danych logowania. Jeśli atakujący uzyska dostęp do konta o wysokim poziomie uprawnień, może siać spustoszenie w Twojej witrynie.

Ponieważ CMS jest tak popularną platformą, napastnicy skanują sieć, próbując znaleźć witryny WordPress ze znanymi lukami w zabezpieczeniach. Im bardziej rozwija się Twoja witryna, tym większym staje się celem.

Jaki jest najłatwiejszy sposób zabezpieczenia witryny WordPress?

Zabezpieczenie witryny WordPress wymaga zmiany konfiguracji witryny i dodania kilku funkcji, które utrudniają włamanie się atakującym. Jeśli nie masz czasu na zapoznanie się z całą listą kontrolną zabezpieczeń WordPress, najlepszą rzeczą, jaką możesz zrobić, to zainstalować zabezpieczenie podłącz.

Jetpack Security zapewnia dostęp do kilku funkcji bezpieczeństwa, takich jak automatyczne skanowanie i usuwanie złośliwego oprogramowania, ochrona przed spamem i kopie zapasowe w czasie rzeczywistym.

Należy pamiętać, że żadna pojedyncza wtyczka nie jest w stanie ochronić Twojej witryny przed wszystkimi potencjalnymi zagrożeniami, jakie może na nią napotkać. Dlatego jeśli poważnie myślisz o ochronie swoich danych i ciężkiej pracy, będziesz chciał jeszcze bardziej zabezpieczyć swoją witrynę.

Na przykład chcesz wymusić silne hasła i włączyć uwierzytelnianie dwuskładnikowe (2FA). Przyjrzymy się bliżej tym środkom bezpieczeństwa (i wielu innym) na naszej liście kontrolnej.

30-etapowa lista kontrolna bezpieczeństwa WordPress

Pamiętaj, że nie musisz pracować nad wszystkimi środkami bezpieczeństwa na raz. Skreślenie każdego elementu na liście kontrolnej może zająć trochę czasu, ale większość z nich to poprawki, które wystarczy wdrożyć tylko raz.

Oto 30 sposobów na zwiększenie bezpieczeństwa Twojej witryny.

1. Aktualizuj WordPressa

Przestarzałe instalacje WordPressa są prawdopodobnie najczęstszą przyczyną naruszeń bezpieczeństwa. Wielu użytkowników zapomina o aktualizacji WordPressa, a także wtyczek i motywów na swoich stronach. Jest to poważny problem, ponieważ przestarzałe oprogramowanie zwykle jest głównym celem atakujących.

Im starsze jest oprogramowanie, tym więcej czasu atakujący mają na analizę jego kodu i znalezienie luk w zabezpieczeniach. Programiści monitorują te zagrożenia i naprawiają je, gdy tylko się pojawią. Dlatego warto uruchamiać aktualizacje zaraz po ich wydaniu.

Na szczęście WordPress ułatwia bycie na bieżąco z aktualizacjami. W panelu kontrolnym przejdź do Aktualizacji i zobaczysz przegląd wszystkiego, co jest dostępne.

Jeśli masz wiele aktualizacji do uruchomienia, ważne jest, aby przed kontynuowaniem wykonać kopię zapasową witryny WordPress. Jest to szczególnie ważne podczas aktualizacji do nowszej wersji WordPressa, ponieważ czasami może powodować problemy ze zgodnością z wtyczkami i motywami.

Będziesz chciał codziennie sprawdzać stronę aktualizacji. Alternatywnie możesz włączyć automatyczne aktualizacje wtyczek i motywów.

Dzięki temu, jeśli zapomnisz sprawdzić dostępność aktualizacji w witrynie, zostaną one uruchomione automatycznie.

2. Twórz silne nazwy użytkowników i hasła

Twoja witryna internetowa jest tak bezpieczna, jak dane uwierzytelniające, których używasz, aby uzyskać do niej dostęp. Sam WordPress poinformuje Cię, jeśli podczas tworzenia nowego konta ustawisz słabe hasło.

„Słabym” hasłem jest wszystko, co jest łatwe do odgadnięcia. Jeśli Twoje dane uwierzytelniające to „administrator” i „1234”, Twoja witryna prawdopodobnie padnie ofiarą ataków siłowych.

W idealnym przypadku hasło powinno zawierać co najmniej osiem znaków oraz kombinację liter, cyfr i znaków specjalnych. Jeśli masz wielu użytkowników w swojej witrynie WordPress, możesz przypomnieć im, aby używali silnych danych uwierzytelniających i zmieniali hasła co kilka miesięcy.

3. Dodaj dodatkową warstwę ochrony za pomocą 2FA

Uwierzytelnianie dwuskładnikowe to środek bezpieczeństwa, który wymaga użycia drugiej warstwy uwierzytelniania podczas logowania się do witryny. Na przykład niektóre strony internetowe mogą wymagać wprowadzenia jednorazowego kodu przesłanego e-mailem lub SMS-em.

Celem 2FA jest uniemożliwienie atakującym odgadnięcia Twoich danych uwierzytelniających. Bez dostępu do innego urządzenia lub konta nie będą mogli zalogować się do WordPressa.

Domyślnie WordPress nie obsługuje funkcji 2FA, więc aby dodać tę funkcję do swojej witryny, musisz użyć wtyczki takiej jak Jetpack. Dzięki Jetpack możesz dodać 2FA (tzw. bezpieczne uwierzytelnianie), które działa z Twoim kontem WordPress.com.

4. Zainstaluj zaufaną wtyczkę bezpieczeństwa

Potężne wtyczki zabezpieczające WordPress pomogą Ci skreślić kilka pozycji na tej liście kontrolnej zabezpieczeń WordPress. W idealnym przypadku wybierzesz jedno narzędzie oferujące następujące funkcje:

Skanowanie złośliwego oprogramowania

Jeśli Twoja witryna internetowa zostanie zainfekowana, warto o tym wiedzieć jak najszybciej. Regularne skanowanie pod kątem złośliwego oprogramowania poinformuje Cię, czy jakakolwiek część Twojej witryny jest zagrożona.

Narzędzia do usuwania złośliwego oprogramowania

Jeśli Twoja wtyczka bezpieczeństwa rozpoznaje złośliwe oprogramowanie, będziesz potrzebować pomocy w jej usunięciu. Może to obejmować usunięcie plików lub ich wymianę, w zależności od zainfekowanej części witryny WordPress.

Kopie zapasowe

Istnieje wiele samodzielnych rozwiązań i wtyczek do tworzenia kopii zapasowych dla WordPress. Niektóre wszechstronne narzędzia bezpieczeństwa obejmują automatyczne tworzenie kopii zapasowych, więc nie musisz instalować dodatkowej wtyczki.

Dzienniki zabezpieczeń

Idealnie byłoby, gdybyś chciał wiedzieć o wszystkim, co dzieje się w Twojej witrynie. Dzienniki bezpieczeństwa rejestrują zdarzenia w WordPress i umożliwiają ich przeszukiwanie w celu znalezienia podejrzanej aktywności.

Implementacja 2FA

Jak wspomnieliśmy wcześniej, 2FA to kluczowe narzędzie, które może pomóc zminimalizować ryzyko naruszeń bezpieczeństwa w wyniku kradzieży danych uwierzytelniających.

Jetpack Security zawiera wszystkie te funkcje, więc możesz wykonać kilka kroków z tej listy kontrolnej bezpieczeństwa za pomocą jednego narzędzia.

5. Użyj zapory aplikacji internetowej (WAF)

WAF to rozwiązanie zabezpieczające, które pomaga chronić aplikacje i strony internetowe — w tym witryny WordPress — przed atakami poprzez filtrowanie i monitorowanie ruchu. W zależności od oprogramowania powinno ono być w stanie zidentyfikować szkodliwy ruch przy użyciu gotowych reguł lub baz danych znanych napastników.

Wielu dostawców usług internetowych automatycznie konfiguruje zapory ogniowe dla swoich klientów. Możesz także użyć Jetpack Security, aby dodać WAF do swojej witryny WordPress.

Jetpack Security umożliwia skonfigurowanie WAF tak, aby korzystał z gotowych reguł i blokował określone adresy IP. Możesz także udostępniać dane o aktywności Jetpackowi, co pomaga zwiększyć efektywność WAF poprzez powiększanie bazy danych znanych zagrożeń.

6. Regularnie skanuj WordPress pod kątem złośliwego oprogramowania i luk w zabezpieczeniach

Skanowanie witryny pod kątem złośliwego oprogramowania i luk w zabezpieczeniach obejmuje przeglądanie wszystkich jej plików w poszukiwaniu nieautoryzowanych modyfikacji lub złośliwego kodu. Chociaż proces ten może wydawać się trudny, istnieją narzędzia, które mogą to zrobić za Ciebie.

Jetpack Security wykorzystuje WPScan (największą bazę danych znanych luk w zabezpieczeniach WordPress) do skanowania Twojej witryny.

Jeśli wtyczka WordPress wykryje złośliwe oprogramowanie lub luki, może natychmiast Cię o tym powiadomić, a nawet pomóc w usunięciu lub naprawieniu dotkniętych plików. Jest to znacznie prostsze niż podejście ręczne, które wymaga określenia, które pliki należy usunąć i znalezienia sposobu na ich naprawę.

7. Regularnie lub w czasie rzeczywistym twórz kopie zapasowe swojej witryny

Kopie zapasowe są kluczowym elementem bezpieczeństwa witryny internetowej. Jeśli coś stanie się z Twoją witryną, umożliwią Ci szybkie wznowienie działania.

Poleganie na dostawcy usług hostingowych w zakresie tworzenia kopii zapasowych nie jest bezpieczną opcją, ponieważ naruszenie bezpieczeństwa serwera może sprawić, że zarówno witryna WordPress, jak i jej kopie zapasowe staną się bezużyteczne.

Zamiast tego potrzebujesz rozwiązania do tworzenia kopii zapasowych działającego w czasie rzeczywistym poza siedzibą firmy, które zapewni Ci ochronę 24 godziny na dobę, 7 dni w tygodniu i umożliwi przywrócenie witryny w mgnieniu oka — nawet jeśli zostanie całkowicie wyłączona.

Jetpack VaultPress Backup właśnie to robi, zapisując Twoją witrynę za każdym razem, gdy dokonasz zmiany.

Wtyczka przechowuje te kopie zapasowe w chmurze, aby uniknąć przepełnienia serwera. Wykorzystuje kombinację przyrostowych i różnicowych kopii zapasowych, więc nie ma potrzeby kopiowania całej witryny i bazy danych za każdym razem, gdy wprowadzasz zmianę, co znacznie zwiększa efektywność procesu.

Oprócz zmian w witrynie Jetpack VaultPress Backup zapisuje nowe komentarze, zamówienia i inne działania użytkownika. Jest to najlepsze narzędzie do tworzenia kopii zapasowych dla sklepów WooCommerce, ponieważ zapisuje zamówienia, nawet jeśli będziesz musiał przywrócić poprzednią wersję witryny WordPress.

8. Przechowuj kopie zapasowe na oddzielnym serwerze

Jak wspomniano powyżej, samo wykonanie kopii zapasowych nie wystarczy. Należy je przechowywać w wielu bezpiecznych lokalizacjach poza siedzibą firmy, aby w przypadku naruszenia bezpieczeństwa cyfrowego lub katastrofy fizycznej w jednym centrum danych nadal można było uzyskać dostęp do plików znajdujących się w witrynie i je przywrócić. Z tego samego powodu nie możesz polegać na kopiach zapasowych pochodzących wyłącznie od hosta — zarówno Twoja witryna, jak i kopie zapasowe mogą zostać zagrożone jednocześnie.

Jeśli korzystasz z VaultPress Backup, wszystko to zajmie się za Ciebie. Twoje kopie zapasowe są przechowywane w wielu lokalizacjach w chmurze i są zawsze dostępne, nawet jeśli Twoja witryna nie działa.

9. Śledź aktywność użytkownika

Jeśli masz dostęp do dzienników aktywności swojej witryny, będziesz mógł zobaczyć, kiedy ktoś próbował się zalogować wiele razy i kończyło się niepowodzeniem, czy nastąpiła modyfikacja w pliku WordPress, czy ktoś zainstalował nową wtyczkę i nie tylko.

Pomyśl o dziennikach jako o technicznym odpowiedniku nagrań bezpieczeństwa. Masz nadzieję, że nigdy nie będziesz musiał ich używać, ale nie bez powodu są one powszechnie używaną funkcją bezpieczeństwa. WordPress nie oferuje domyślnie tej funkcji, więc musisz poszukać wtyczki, która to robi.

Jetpack Security umożliwia monitorowanie wszystkiego, co dzieje się na Twojej stronie internetowej. Prowadzi dziennik aktywności, w którym rejestruje, kto co robi, wraz z datami i godzinami. Jeśli napotkasz problem związany z bezpieczeństwem, możesz sprawdzić ten dziennik, aby zobaczyć, co go spowodowało.

Integruje się również z funkcją VaultPress Backup, dzięki czemu możesz przywrócić witrynę do określonego momentu w oparciu o informacje znalezione w dzienniku aktywności.

10. Kontroluj dostęp i uprawnienia użytkowników

Jednym z najprostszych sposobów zapewnienia bezpieczeństwa dowolnego systemu jest ograniczenie dostępu do niego. Jeśli jesteś jedyną osobą pracującą w Twojej witrynie, nikt inny nie powinien znać Twoich danych logowania do WordPressa.

Podczas pracy z zespołem ważne jest, aby w pełni wykorzystywać system ról użytkowników WordPress. CMS oferuje wiele ról, które możesz przypisać użytkownikom, w zależności od tego, jakie uprawnienia chcesz im mieć.

Najwyższą rolą jest administrator i jest to jedyny użytkownik z pełnym dostępem do wszystkich funkcji i ustawień WordPress. Inni użytkownicy WordPressa, podobnie jak autorzy, mogą publikować wyłącznie własne treści i nie będą mogli zmieniać konfiguracji witryny ani nawet uzyskać dostępu do jej ustawień.

Zastanawiając się, jaką rolę przypisać każdemu użytkownikowi, zastanów się, jakich uprawnień potrzebuje, aby wykonywać swoje zadania. W żadnym momencie żaden użytkownik nie powinien mieć więcej uprawnień, niż potrzebuje. Dzięki tym ograniczeniom Twoja witryna będzie bezpieczniejsza.

11. Ogranicz liczbę dozwolonych prób logowania

Powtarzające się próby logowania mogą świadczyć o tym, że ktoś zapomniał swoich danych uwierzytelniających. Jeśli jednak liczba prób przekracza kilka, prawdopodobnie masz do czynienia z osobą próbującą włamać się do Twojej witryny.

Powinieneś ograniczyć próby logowania dozwolone w określonym czasie, aby zatrzymać automatyczne ataki typu brute-force. Po raz kolejny możesz użyć Jetpack do wdrożenia tego środka bezpieczeństwa.

Wtyczka może blokować atakujących, którzy próbują użyć typowych danych uwierzytelniających, aby dostać się do Twojej witryny. Możesz także skonfigurować go tak, aby umieszczał na liście dozwolonych określone adresy IP, dzięki czemu tylko ich użytkownicy będą mogli zalogować się do WordPressa.

12. Użyj CDN, aby chronić się przed atakami DDoS

Sieć dostarczania treści (CDN) to system danych przechowujący kopie Twojej witryny internetowej na serwerach w różnych lokalizacjach na całym świecie, co zmniejsza opóźnienia, które mogą wystąpić, gdy ktoś próbuje odwiedzić witrynę hostowaną w odległym kraju. Gdy ktoś spróbuje odwiedzić Twoją witrynę WordPress, CDN automatycznie odpowie na żądanie z pobliskiego serwera.

CDN może odciążyć Twoje serwery, pomóc w obsłudze większego ruchu, skrócić czas ładowania i chronić Cię przed rozproszonymi atakami typu „odmowa usługi” (DDoS). Ponieważ ataki nie uderzą bezpośrednio w Twój serwer, nie odczuje on tak dużego wpływu, jeśli zostanie zalany ruchem botów.

Jeśli korzystasz z Jetpack Security, masz dostęp do obrazu CDN, który może pomóc w buforowaniu plików multimedialnych w celu szybszego ładowania. Ponadto automatycznie zmienia rozmiar obrazów i wyświetla najlepszą opcję w oparciu o indywidualne urządzenie każdego odwiedzającego. Możesz także rozważyć integrację innych CDN z WordPress, aby jeszcze bardziej skrócić czas ładowania i chronić swoją witrynę przed nagłym wzrostem ruchu.

13. Zainstaluj certyfikat SSL

Certyfikat Secure Sockets Layer (SSL) jest sygnałem, że Twojej witrynie można zaufać. Umożliwia także ładowanie witryny za pośrednictwem protokołu HTTPS, który szyfruje dane przepływające do i z Twojej witryny.

Większość przeglądarek sygnalizuje, że strony internetowe posiadają certyfikaty SSL za pomocą prostej ikony kłódki na pasku nawigacyjnym.

Obecnie najbardziej renomowani dostawcy usług hostingowych oferują użytkownikom bezpłatne certyfikaty SSL i automatyczną konfigurację. Jeśli Twój usługodawca hostingowy tego nie robi, możesz uzyskać bezpłatny certyfikat ze źródła takiego jak Let's Encrypt.

Gdy certyfikat będzie gotowy, musisz go zainstalować, a następnie włączyć HTTPS. Istnieje kilka sposobów wymuszenia ładowania WordPressa przez HTTPS. Naprawdę prosty protokół SSL pozwala to zrobić jednym kliknięciem.

Chronimy Twoją witrynę. Prowadzisz swój biznes.

Jetpack Security zapewnia łatwą w obsłudze, kompleksową ochronę witryny WordPress, w tym kopie zapasowe w czasie rzeczywistym, zaporę sieciową aplikacji internetowych, skanowanie w poszukiwaniu złośliwego oprogramowania i ochronę przed spamem.

Zabezpiecz swoją witrynę

14. Podczas przesyłania plików preferuj SFTP zamiast FTP

Protokół przesyłania plików (FTP) umożliwia łączenie się z witryną internetową oraz bezpośrednie przesyłanie, pobieranie i modyfikowanie plików. Protokół wykorzystuje inny zestaw danych uwierzytelniających, które powinien udostępnić Ci dostawca usług hostingowych.

Niektóre hosty używają zaktualizowanej i bezpieczniejszej wersji protokołu o nazwie SFTP. Współcześni klienci FTP obsługują oba protokoły i działają tak samo. Główna różnica polega na tym, że protokół SFTP szyfruje dane wysyłane i odbierane z serwera (podobnie jak HTTPS).

Jeśli Twój usługodawca hostingowy umożliwia korzystanie zarówno z FTP, jak i SFTP, domyślnie wybierz ten drugi. Jeśli Twój usługodawca hostingowy obsługuje tylko protokół FTP, możesz rozważyć zmianę dostawcy oferującego lepsze funkcje bezpieczeństwa.

15. Aktualizuj swoją wersję PHP

WordPress jest zbudowany na PHP, a wersja, której używasz, odgrywa ważną rolę w szybkości działania witryny. Nowsze wersje PHP zawierają poprawki bezpieczeństwa, które mogą pomóc w szybszym działaniu Twojej witryny i zapobieganiu exploitom.

Możesz sprawdzić, jakiej wersji PHP używa Twój serwer, przechodząc do Site Health → Info i otwarcie serwera patka.

Porównaj te informacje z najnowszą wersją PHP i sprawdź, czy Twój usługodawca hostingowy korzysta z najnowszej wersji. Niektóre hosty internetowe mogą umożliwiać przełączanie między wersjami PHP. Jeśli tak nie jest, być może nadszedł czas, aby rozważyć przejście na nowy host WordPress.

16. Usuń nieaktywne motywy i wtyczki WordPress

Dobrą zasadą jest dezaktywacja i usunięcie wszelkich wtyczek lub motywów WordPress, których już nie używasz. Może to zmniejszyć ryzyko problemów ze zgodnością lub luk w zabezpieczeniach.

Usunięcie nieaktywnych motywów i wtyczek sprawi, że Twoja witryna będzie bezpieczniejsza i lepiej zorganizowana. Warto okresowo sprawdzać aktywne wtyczki i zapisywać te, których już nie używasz.

17. Uważnie oceniaj nowe wtyczki i motywy

Zanim zainstalujesz jakąkolwiek wtyczkę lub motyw na swojej stronie internetowej, ważne jest, aby upewnić się, że pochodzi ona od renomowanych programistów i ma dobrą historię. Możesz to zrobić, sprawdzając jego oceny i recenzje.

To samo dotyczy motywów WordPress. Większość repozytoriów wtyczek i motywów wyświetli historię aktualizacji. Renomowana wtyczka lub motyw będzie regularnie aktualizowana, co oznacza, że ​​programiści aktywnie nad nią pracują.

Chcesz uniknąć wtyczek i motywów WordPress, które nie otrzymują już aktualizacji. Bez względu na to, jak przydatne mogą być, mogą prowadzić do luk w zabezpieczeniach Twojej witryny, ponieważ kod jest nieaktualny.

18. Zainwestuj w bezpiecznego dostawcę usług hostingowych

Nie wszyscy dostawcy usług hostingowych oferują ten sam poziom usług, wydajności i funkcji. Niektóre są lepsze od innych, co nie musi oznaczać, że są droższe.

Wybór silnego, bezpiecznego dostawcy hostingu WordPress to kluczowa decyzja, ponieważ zazwyczaj będziesz z nim związany przez długi okres czasu. Ważne jest, aby przeczytać jak najwięcej recenzji i przeprowadzić badania przed skorzystaniem z jakiejkolwiek usługi.

Jeśli potrzebujesz pomocy, możesz sprawdzić tę listę hostów polecanych przez Jetpack, z których niektóre zawierają kluczowe funkcje Jetpack w ramach zarządzanych usług hostingowych WordPress.

19. Zmień domyślnego administratora nazwa użytkownika

Po skonfigurowaniu WordPress domyślnie utworzy nazwę użytkownika administratora. Ułatwia to zapamiętanie Twoich danych uwierzytelniających, ale jednocześnie ułatwia atakującym odgadnięcie Twoich danych.

Jeśli Twoje konto administratora WordPress jest już skonfigurowane, masz dwie możliwości zmiany domyślnej nazwy użytkownika administratora:

1. Utwórz nowe konto administratora. Możesz utworzyć nowe konto administratora z dowolną nazwą użytkownika, a następnie przełączyć się na nie. Gdy to zrobisz, możesz usunąć stare konto i kontynuować korzystanie z nowego.
2. Zmień nazwę użytkownika za pomocą phpMyAdmin. Jeśli chcesz zachować istniejące konto, możesz zmodyfikować nazwę użytkownika za pośrednictwem bazy danych.

Żadna nazwa użytkownika nie powinna być łatwa do odgadnięcia, szczególnie jeśli chodzi o konto administratora. Jeśli ktoś uzyska do niego dostęp, będzie mógł wprowadzić w Twojej witrynie dowolne zmiany.

20. Zmień domyślny prefiks bazy danych

Domyślny prefiks bazy danych w WordPressie to wp_ . Oznacza to, że jeśli osoba atakująca zna nazwę bazy danych, może również odgadnąć prefiks i użyć tych informacji, aby wysłać do niej zapytanie.

Możesz zminimalizować to ryzyko, zmieniając domyślny prefiks bazy danych na dowolny inny niż wp_ . Jest to proces dwuetapowy. Pierwszym krokiem jest zmiana prefiksu bazy danych w pliku wp-config.php , który powinien mieć linię wyglądającą tak:

 $table_prefix = 'wp_';

Po dokonaniu zmian w wp-config.php będziesz musiał zaktualizować tabele w bazie danych o nowy prefiks. Możesz to zrobić za pomocą phpMyAdmin i uruchamiając wiele zapytań podobnych do tego:

 RENAME table `wp_options` TO `wp_a1b2c3d4_options`;

Możesz użyć tej struktury zapytania i zmienić to, co następuje po „TO” aby dopasować nazwę tabeli do zaktualizowanego prefiksu. Pamiętaj, że będziesz musiał uruchomić to zapytanie dla każdej tabeli w bazie danych, a dopóki tego nie zrobisz, Twoja witryna nie będzie działać poprawnie.

21. Zmień domyślne adresy URL /wp-admin i /wp-login.php

Adresy URL /wp-admin i /wp-login.php umożliwiają dostęp do pulpitu nawigacyjnego i strony logowania w WordPress. Te adresy URL są łatwe do zapamiętania, ale powodują, że Twoja witryna jest bardziej podatna na ataki. Jeśli ktoś chce włamać się na Twoją witrynę, często zacznie od domyślnego adresu URL logowania do WordPressa.

Możesz utrudnić życie atakującym, zmieniając domyślne adresy URL. Istnieją wtyczki, które to umożliwiają, np. WPS Hide Login. Alternatywnie możesz zmienić adresy URL logowania za pomocą pliku .htaccess , jeśli wolisz podejście ręczne.

22. Ogranicz dostęp wp-admin tylko do autoryzowanych adresów IP

Adres URL /wp-admin otwiera pulpit nawigacyjny w WordPress. Technicznie rzecz biorąc, nikt nie powinien mieć dostępu do pulpitu nawigacyjnego bez odpowiednich danych uwierzytelniających. Możesz pójść o krok dalej w zakresie bezpieczeństwa, ograniczając dostęp tylko do adresów IP znajdujących się na liście dozwolonych.

To nie jest funkcja, którą oferuje WordPress. Aby to zaimplementować, musisz dodać następujący kod do pliku .htaccess :

 <Directory /root/wp-admin/> Order Deny,Allow Deny from all Allow from xxx.xxx.xxx.xxx </Directory>

xxx.xxx.xxx.xxx oznacza adres IP, który chcesz umieścić na liście dozwolonych. Pamiętaj, że możesz dodać wiele adresów IP, kopiując tę ​​linię i wprowadzając różne adresy.

Będziesz także musiał zmodyfikować ścieżkę katalogu, tak aby odpowiadała lokalizacji katalogu głównego na serwerze. Po zapisaniu pliku każdy adres IP, którego nie ma na liście, przy próbie uzyskania dostępu do pulpitu nawigacyjnego wyświetli błąd.

23. Ogranicz dostęp FTP tylko do autoryzowanych adresów IP

Możesz ograniczyć dostęp FTP/SFTP do swojej witryny internetowej, ograniczając dostęp do odpowiednich danych uwierzytelniających. Niektóre panele sterowania hostingiem umożliwiają także ograniczenie dostępu FTP według adresu IP.

Jest to idealne rozwiązanie, jeśli masz statyczny adres IP, ponieważ uniemożliwi innym osobom połączenie się z witryną i dostęp do jej plików przez FTP, nawet z właściwymi danymi uwierzytelniającymi. Bez statycznego adresu IP to ustawienie może ograniczyć nawet Twój własny dostęp do witryny.

Należy pamiętać, że tylko kilka wybranych osób powinno mieć możliwość połączenia się z witryną za pomocą protokołu FTP. Jeśli współpracujesz z innymi osobami, a oni nie mają powodu, aby bezpośrednio uzyskiwać dostęp do plików podstawowych lub je edytować, nie powinni mieć dostępu do Twoich danych uwierzytelniających FTP.

24. Zabezpiecz swój plik wp-config.php

Plik wp-config.php zawiera najważniejsze informacje o Twojej witrynie, w tym szczegółowe informacje o bazie danych. Domyślnie plik znajduje się w katalogu głównym WordPressa.

Najłatwiejszym sposobem zabezpieczenia pliku jest przeniesienie go bezpośrednio poza katalog główny . Jeśli WordPress nie może znaleźć pliku wp-config.php tam, gdzie zwykle się znajduje, będzie go szukać w jednym katalogu powyżej swojej zwykłej lokalizacji.

Inną opcją jest skonfigurowanie uprawnień pliku tak, aby ograniczyć dostęp dla wszystkich osób oprócz administratora (czyli Ciebie). Aby to zrobić, musisz zrozumieć, jak działają uprawnienia do plików w systemach UNIX i zmienić konfigurację pliku przy użyciu protokołu SFTP.

25. Wyłącz edycję plików, aby zablokować złośliwe zmiany

Tylko administrator powinien mieć uprawnienia dostępu i modyfikowania podstawowych plików WordPress. Zazwyczaj dostęp do funkcji edycji plików można uzyskać z poziomu pulpitu nawigacyjnego. Oznacza to, że możesz bezpośrednio edytować pliki rdzenia, wtyczek i motywów bez opuszczania panelu administracyjnego WordPress.

W zależności od poziomu uprawnień użytkownicy mogą uzyskać dostęp do edytora plików. Najlepszym sposobem, aby temu zapobiec, jest całkowite wyłączenie edycji plików.

Aby wdrożyć to zabezpieczenie, otwórz plik wp-config.php i dodaj na końcu następujący wiersz kodu:

 define('DISALLOW_FILE_EDIT', true);

Zapisz zmiany w pliku i zamknij go. Pamiętaj, że nadal będziesz mógł edytować pliki, ale będziesz musiał użyć do tego protokołu SFTP, co jest lepszą (i bezpieczniejszą) opcją niż używanie edytora plików WordPress.

26. Wyłącz wykonywanie plików PHP

Wyłączenie wykonywania plików PHP w określonych katalogach witryny WordPress to środek bezpieczeństwa, który pomaga zapobiegać uruchamianiu złośliwych skryptów. Jeśli atakującemu uda się załadować skrypt PHP na Twoją witrynę, może być w stanie go uruchomić, aby uzyskać nieautoryzowany dostęp, manipulować danymi lub rozpowszechniać złośliwe oprogramowanie.

Możesz wyłączyć wykonywanie plików PHP w określonych katalogach, łącząc się z WordPressem przez FTP i przechodząc do folderu głównego . Wewnątrz możesz wybrać katalogi, które chcesz chronić i utworzyć w każdym z nich nowe pliki .htaccess .

Oto kod, który musisz dodać do tych plików:

 <Files *.php> Order Allow,Deny Deny from all </Files>

Pamiętaj, że wyłączenie wykonywania PHP na poziomie katalogu głównego może mieć wpływ na funkcjonalność WordPressa. W końcu cały CMS jest zbudowany na PHP. Oznacza to, że lepiej wyłączyć tę funkcję dla poszczególnych folderów, takich jak katalog plików multimedialnych.

27. Wyłącz raportowanie błędów PHP

Publiczne wyświetlanie błędów może ujawnić potencjalne luki w witrynie WordPress dla atakujących. Komunikaty o błędach PHP mogą zawierać poufne informacje, takie jak ścieżki plików, szczegóły struktury bazy danych lub inne dane, które można wykorzystać do wykorzystania Twojej witryny.

WordPress umożliwia wyłączenie raportowania błędów PHP poprzez zmianę pliku wp-config.php . Możesz dodać następujący kod do pliku, aby wyłączyć tryb debugowania WordPress i ukryć błędy w interfejsie:

 // Turn off all error reporting error_reporting(0); // Disable display of errors and warnings define('WP_DEBUG', false); define('WP_DEBUG_DISPLAY', false); // Hide errors from being displayed in the browser @ini_set('display_errors', 0);

Dodaj ten kod przed końcem pliku wp-config.php i upewnij się, że masz najnowszą kopię zapasową swojej witryny WordPress przed jej zapisaniem. Należy pamiętać, że raportowanie błędów może czasami być przydatne przy rozwiązywaniu problemów, dlatego w pewnym momencie może być konieczne ponowne włączenie tej funkcji.

28. Wyłącz przeglądanie katalogów na swojej stronie internetowej

Przeglądanie katalogów to funkcja, która umożliwia odwiedzającym dostęp do adresów URL takich jak twoja_witryna.com/wp-content i przeglądanie zawartości tego katalogu. Jeśli przeglądanie katalogów jest włączone, użytkownicy będą mogli przeglądać listy wewnętrznych folderów i plików, a nawet uzyskiwać do nich dostęp w zależności od swoich uprawnień.

Z punktu widzenia bezpieczeństwa rozsądne jest wyłączenie przeglądania katalogów. Wielu hostów WordPress robi to domyślnie. Jeśli tak nie jest, możesz wyłączyć przeglądanie katalogów, dodając następujący kod do pliku .htaccess :

 Options -Indexes

Jest to prosta zmiana, więc jej wdrożenie nie powinno zająć dużo czasu. Później, jeśli użytkownicy spróbują odwiedzić katalog, zamiast tego zobaczą prosty komunikat o błędzie.

29. Ukryj swoją wersję WordPressa

Domyślnie bieżąca wersja WordPressa, której używasz, jest wymieniona w kodzie źródłowym. Jeśli ktoś wie, jakiej wersji WordPressa używasz (i jest ona przestarzała), może sprawdzić konkretne luki w zabezpieczeniach tej wersji, co ułatwi włamanie na Twoją witrynę.

Aby ukryć wersję WordPress, możesz dodać ten kod do plikufunction.php :

 function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');

30. Unikaj CAPTCHA w celu ochrony przed spamem

CAPTCHA to przyzwoite rozwiązanie do ochrony stron i formularzy przed spamem, ale nie jest pozbawione problemów.

Używanie CAPTCHA w Twojej witrynie internetowej powoduje dodatkową warstwę komplikacji, która może zirytować i odstraszyć legalnych gości, a nawet być niemożliwa do rozwiązania — szczególnie w przypadku osób niepełnosprawnych.

Niedawne zmiany w wektorach ataków również sprawiły, że CAPTCHA stały się mniej skuteczne. Jeśli zależy Ci na zapobieganiu spamowi (który może skutkować naruszeniem bezpieczeństwa), ale także chcesz zmaksymalizować współczynniki konwersji dzięki optymalnemu doświadczeniu użytkownika, czas rozważyć alternatywy.

Akismet to kompleksowe rozwiązanie do ochrony przed spamem dla WordPress, które działa całkowicie w tle. Wtyczka WordPress pomaga blokować spam, korzystając z bazy danych znanych złośliwych aktorów oraz identyfikując i blokując określone słowa i adresy URL w komentarzach w Twojej witrynie. Robi to wszystko automatycznie, bez konieczności używania CAPTCHA przez odwiedzających do sprawdzenia, czy są ludźmi.

Często zadawane pytania dotyczące bezpieczeństwa WordPressa

Jeśli nadal masz pytania dotyczące ochrony witryny WordPress, w tej sekcji znajdziesz odpowiedzi na nie.

Jakie są korzyści z posiadania listy kontrolnej bezpieczeństwa WordPress?

Dostęp do listy kontrolnej bezpieczeństwa WordPress pomoże Ci określić, jakie środki podjąłeś w celu ochrony swojej witryny i co jeszcze pozostało do zrobienia. Lista kontrolna to prosty zasób, do którego możesz w każdej chwili się odwołać, aby sprawdzić, jakie środki bezpieczeństwa możesz zastosować w WordPressie.

Jaki jest najszybszy sposób na zwiększenie bezpieczeństwa mojego WordPressa?

Najszybszym sposobem ochrony witryny WordPress jest użycie wtyczek zabezpieczających WordPress. W zależności od używanej wtyczki uzyskasz dostęp do takich funkcji, jak 2FA, dzienniki aktywności, narzędzia do tworzenia kopii zapasowych i skanowanie w poszukiwaniu złośliwego oprogramowania. Jetpack Security zawiera wszystkie te funkcje.

Jak mogę przeskanować witrynę WordPress pod kątem złośliwego oprogramowania i luk w zabezpieczeniach?

Możesz użyć wtyczki takiej jak Jetpack Security, aby przeskanować witrynę WordPress w poszukiwaniu złośliwego oprogramowania. Narzędzie to wskaże również wszelkie potencjalne luki w zabezpieczeniach Twojej witryny. Następnie możesz podjąć niezbędne kroki, aby wyeliminować te problemy.

Jeśli nie potrzebujesz kompleksowej wtyczki zabezpieczającej WordPress, możesz także skanować złośliwe oprogramowanie za pomocą samodzielnej wtyczki WordPress, takiej jak Jetpack Protect.

Jaki jest najbardziej niezawodny sposób tworzenia kopii zapasowych i przywracania mojej witryny WordPress?

Najlepszą opcją jest skorzystanie z rozwiązania zautomatyzowanego, dzięki czemu nie trzeba tworzyć kopii zapasowych ręcznie. Wtyczka powinna również zapisywać kopie w zewnętrznym magazynie danych, aby uniknąć problemów w przypadku naruszenia bezpieczeństwa serwera.

Wtyczka Jetpack VaultPress Backup oferuje kopie zapasowe w czasie rzeczywistym. Tworzy także bezpieczne kopie Twojej witryny WordPress w chmurze. Możesz także uzyskać dostęp do VaultPress Backup wraz z wieloma innymi funkcjami w ramach Jetpack Security.

Jetpack Security: wtyczka bezpieczeństwa nr 1 dla WordPress

Jetpack Security oferuje zbiór funkcji bezpieczeństwa, które chronią Twoją witrynę WordPress. Dzięki tej wtyczce możesz skreślić kilka pozycji z listy kontrolnej bezpieczeństwa WordPress.

Otrzymujesz na przykład dostęp do rozwiązania do tworzenia kopii zapasowych, skanowania i usuwania złośliwego oprogramowania jednym kliknięciem, ochrony przed spamem, dzienników aktywności, uwierzytelniania dwuskładnikowego i nie tylko. To sprawia, że ​​Jetpack jest jednym z najbardziej wszechstronnych narzędzi bezpieczeństwa, których możesz używać w WordPressie.

Czy jesteś gotowy, aby zwiększyć bezpieczeństwo swojej witryny? Zacznij korzystać z zabezpieczeń Jetpack już dziś!