Najlepsza lista kontrolna bezpieczeństwa WordPress [Najlepszy przewodnik]

Jeśli chcesz zabezpieczyć swoją witrynę WordPress, znajdziesz w Internecie wiele porad, z których niektóre są dobre, a niektóre wręcz szkodliwe, choć mają dobre intencje.

Jeśli chodzi o bezpieczeństwo WordPress, musisz być w stanie zaufać swoim źródłom i znaleźć informacje, które są nie tylko wiarygodne, ale także wykonalne i możliwe do zastosowania. Tylko w 2020 r. liczba ataków złośliwego oprogramowania wzrosła o ponad 150%, a liczby nie wydają się spadać w najbliższym czasie. Dlatego zabezpieczenie witryny WordPress musi być Twoim priorytetem numer jeden.

Najlepszym sposobem na zabezpieczenie witryny WordPress jest zainstalowanie wtyczki zabezpieczającej i pozwolenie jej na podnoszenie ciężkich przedmiotów. Ale nawet bez tego możesz w dużym stopniu zabezpieczyć swoją witrynę, postępując zgodnie z omówioną poniżej listą kontrolną zabezpieczeń WordPress.

TL; DR: Zabezpiecz swoją witrynę WordPress za pomocą MalCare i unikaj regularnej konserwacji związanej z bezpieczeństwem. Bezpieczeństwo WordPressa to labirynt luk, które musisz naprawić. Zapoznaj się z naszą listą kontrolną bezpieczeństwa WordPress, aby upewnić się, że nie przegapisz niczego kluczowego.

Najłatwiejsza metoda zabezpieczenia witryny WordPress

Jak już powiedzieliśmy, najlepszym sposobem na zabezpieczenie witryny WordPress jest użycie wtyczki zabezpieczającej, w szczególności MalCare. MalCare nie tylko automatycznie zajmuje się listą kontrolną zabezpieczeń WordPressa, ale także bez martwienia się o śledzenie każdego najmniejszego szczegółu.

MalCare ma kilka funkcji, które współpracują ze sobą, aby Twoja witryna była bezpieczna. Jednak trzy najważniejsze funkcje zapewniają, że Twoja witryna pozostanie wolna od złośliwego oprogramowania — skanowanie, zapora sieciowa i czyszczenie. Dzięki MalCare możesz zaplanować automatyczne skanowanie witryny WordPress i otrzymywać alerty, jeśli wykryje coś podejrzanego. MalCare chroni również Twoją witrynę za pomocą inteligentnej zapory, która chroni przed większością ataków. A co najważniejsze, jeśli Twoja witryna zostałaby zhakowana — biorąc pod uwagę, że żadna witryna nie może być niezawodna, MalCare wyczyści ją w ciągu kilku minut za pomocą jednego kliknięcia przycisku.

Innym powodem, dla którego powinieneś wybrać MalCare, jest to, że przy ręcznych środkach bezpieczeństwa zawsze istnieje ryzyko błędu ludzkiego. Ale błędy w zabezpieczeniach mogą spowodować więcej niż tylko kilka dolarów. Jeśli hacki się pogorszą, mogą prowadzić do kradzieży danych, uszkodzenia witryny, utraty klientów, a co najważniejsze, utraty zaufania, które cierpi Twoja firma.

Najlepsza lista kontrolna bezpieczeństwa WordPress

Witryna WordPress zawiera tak wiele elementów, że śledzenie wszystkiego może stać się przytłaczające. Przygotowaliśmy dla Ciebie listę kontrolną bezpieczeństwa WordPress opartą na częstotliwości czasu potrzebnego na wykonanie zadania.

Dla codziennego bezpieczeństwa

Bezpieczeństwo witryny jest procesem ciągłym i nie może być jednorazowym zobowiązaniem. Istnieją jednak sposoby na zautomatyzowanie codziennych zadań. Te zadania zapewniają, że Twoja witryna jest zabezpieczona przed wszelkimi nieprzewidzianymi problemami lub zagrożeniami.

Zeskanuj swoją witrynę

Ważne jest, aby codziennie skanować witrynę pod kątem złośliwego oprogramowania. Strona internetowa jest hackowana co 38 sekund w Internecie i istnieje duża szansa, że ​​jesteś jednym z nich. Regularne skanowanie witryny zapewnia, że ​​jesteś pierwszą osobą, która dowie się o wszelkich zagrożeniach lub złośliwym oprogramowaniu w Twojej witrynie, i pomaga podjąć działania, zanim atakujący wyrządzi w witrynie jakiekolwiek szkody.

Jeśli ręczne skanowanie witryny każdego dnia wydaje Ci się nużące, możesz wybrać rozwiązanie zabezpieczające, takie jak MalCare, które pozwala zaplanować codzienne automatyczne skanowanie, dzięki czemu nie musisz się martwić o pominięcie skanu lub konieczność jego osobistego uruchamiania .

Utwórz kopię zapasową swojej witryny

Istnieje kilka powodów, dla których warto wykonać kopię zapasową witryny WordPress, ale najważniejszym z nich jest bezpieczeństwo. Jeśli nie zostanie wykryte na czas, złośliwe oprogramowanie może spowodować spustoszenie w witrynie WordPress, a w konsekwencji doprowadzić do utraty danych lub uszkodzenia witryny. Często hosty internetowe usuwają witryny ze swoich serwerów, jeśli są zainfekowane, i jeśli nie masz niezależnej kopii zapasowej swojej witryny, będziesz musiał zacząć od zera.

Ważne jest, aby codziennie tworzyć kopie zapasowe wartościowych stron internetowych, aby nic ważnego nie zginęło. Dotyczy to szczególnie witryn WooCommerce, które wymagają tworzenia kopii zapasowych w czasie rzeczywistym. Poręczne rozwiązanie, takie jak BlogVault, może bardzo ułatwić ten proces. BlogVault pozwala zaplanować tworzenie kopii zapasowych codziennie lub w czasie rzeczywistym, w zależności od wymagań, i przechowywać te kopie zapasowe na serwerze zewnętrznym, dzięki czemu nawet w przypadku zhakowania serwera witryny kopie zapasowe pozostają bezpieczne.

Dla miesięcznego bezpieczeństwa

Sprawdź dziennik aktywności

Hakowanie i instalacja złośliwego oprogramowania, oprogramowania reklamowego lub innego rodzaju złośliwych programów zwykle odbywają się potajemnie. Często jedyny widoczny ślad można znaleźć w dzienniku aktywności witryny, chronologicznym zapisie wykonanych czynności i dokonanych zmian. W związku z tym dobrym pomysłem jest przeprowadzanie comiesięcznego sprawdzania dziennika aktywności w witrynie pod kątem wszelkich niespójności lub podejrzanej aktywności. Może pomóc w prześledzeniu wielu ważnych szczegółów na wypadek włamania na Twoją witrynę, takich jak adresy IP, które były zaangażowane i jak mogło się to wydarzyć.

Jeśli Twoja witryna jest wysoce produkcyjna, tj. publikujesz treści codziennie lub co tydzień, sprawdzanie dziennika aktywności raz w miesiącu może być przytłaczające, ponieważ w witrynie jest wiele zmian. W takim przypadku dziennik aktywności można sprawdzać raz w tygodniu lub raz na dwa tygodnie.

WordPress domyślnie nie oferuje dziennika aktywności, więc będziesz musiał polegać na wtyczce. Alternatywnie, MalCare zapewnia szczegółowy i łatwy do zrozumienia dziennik aktywności wraz z pełnymi zabezpieczeniami WordPress.

Zaktualizuj swoją witrynę

W idealnym przypadku powinieneś aktualizować swoją witrynę WordPress, gdy tylko pojawią się nowe aktualizacje, ale wykonywanie comiesięcznych aktualizacji również działa. Przestrzegając miesięcznego harmonogramu aktualizacji, możesz mieć pewność, że Twoja witryna jest dobrze chroniona, a wszelkie nowe luki w zabezpieczeniach są załatane.

Aktualizacje są często przerażające, ponieważ znane są z łamania witryn. Ale jeśli używasz wtyczki takiej jak BlogVault, możesz testować swoje aktualizacje w witrynie testowej i płynnie scalać zmiany z witryną na żywo.

Sprawdź konsolę wyszukiwania

Dodanie witryny WordPress do Search Console Google ma wiele zalet związanych z SEO, ale może również pomóc w bezpieczeństwie witryny. Search Console zawiera kartę Problemy z bezpieczeństwem, która oznacza wszelkie złośliwe oprogramowanie wykryte w Twojej witrynie, więc sprawdzanie jej od czasu do czasu może pomóc w wykryciu złośliwego oprogramowania.

Jeśli regularnie skanujesz swoją witrynę za pomocą MalCare, wykryłeś już w niej złośliwe oprogramowanie. Jednak nadal dobrą praktyką jest sprawdzanie, czy Google uważa, że ​​w Twojej witrynie trwa jakaś podejrzana aktywność.

Usuń nieużywane motywy i wtyczki

Usuwanie starych i nieużywanych motywów i wtyczek służy dwóm celom. Pierwszym z nich jest przyspieszenie witryny, ponieważ zbyt wiele plików może powodować rozrost i spowolnienie serwera. Drugim jest upewnienie się, że Twoja witryna nie może zostać za ich pośrednictwem zaatakowana. Nieużywane motywy i wtyczki są często ignorowane i nieaktualizowane, tworząc luki, które można łatwo wykorzystać. Dlatego upewnij się, że przeprowadzasz comiesięczną kontrolę wszystkich używanych motywów i wtyczek i usuwaj te, które spełniły swoje zadanie.

Uwaga: sprawdź także, czy w Twojej witrynie nie ma fałszywych wtyczek. Złośliwe oprogramowanie jest często ukryte jako folder wtyczek, ale fałszywe wtyczki mają tylko jeden lub dwa pliki, nie można ich znaleźć w repozytorium WordPressa i mają dziwne nazwy, takie jak „azzz” lub „tiff”.

Zaktualizuj swoje dane uwierzytelniające

Używanie tych samych danych uwierzytelniających przez zbyt długi czas lub ponowne ich używanie na wielu kontach stanowi poważne ryzyko. Aby chronić swoją witrynę WordPress, aktualizuj hasła co najmniej raz w miesiącu. Gwarantuje to, że żaden haker, który mógł zdobyć Twoje hasło, nie może z niego korzystać, a także wyloguje Cię z konta na wszystkich urządzeniach. Choć jest to nieco niewygodne, zapewnia kontrolę dostępu do swojej witryny.

Sprawdź role i uprawnienia użytkowników

Konta użytkowników w Twojej witrynie WordPress są równie ważne jak konto administratora. Jeśli haker uzyska dostęp do dowolnego konta, może zainfekować Twoją witrynę, podnieść uprawnienia swoich ról, a nawet zablokować dostęp do własnej witryny.

Upewnij się, że każdy użytkownik w serwisie ma tylko niezbędne uprawnienia, a stare konta użytkowników są usuwane. Sprawdź również, czy jakiekolwiek uprawnienia użytkownika nie zostały eskalowane bez Twojej autoryzacji, może to być oznaką złośliwego oprogramowania.

Blokuj złośliwe adresy IP

Blokowanie lub ograniczanie złośliwych adresów IP może znacznie ułatwić Ci życie. Jeśli zostaniesz zhakowany, możesz prześledzić adres IP, z którego się to dzieje, i po prostu go zablokować. Uniemożliwi to każdemu, kto ma ten adres IP, dostęp do Twojej witryny. Ta metoda służy do zwalczania hakerów, zatrzymywania botów lub trolli oraz trzymania nieautoryzowanych użytkowników. Jeśli użyjesz zapory, automatycznie zablokuje ona złośliwe adresy IP.

Możesz także zablokować cały obszar geograficzny, jeśli doświadczasz powtarzających się ataków pochodzących z tego regionu.

Przetestuj swoje kopie zapasowe

Jeśli zdarzy się najgorsze i Twoja witryna WordPress ulegnie awarii, możesz polegać na swoich kopiach zapasowych, aby ponownie ją uruchomić. Ale musisz upewnić się, że twoje kopie zapasowe są również bezpieczne. Jeśli twoje kopie zapasowe zostały już zhakowane, przywracanie ich będzie bezcelowe. Podobnie musisz również sprawdzić, czy są one funkcjonalne, w przeciwnym razie przywrócisz uszkodzoną witrynę. Korzystając z BlogVault, możesz łatwo przetestować kopie zapasowe i upewnić się, że są niezawodne.

Zaktualizuj sole WordPress

WordPress używa soli w ramach procesu szyfrowania. Sól to losowy ciąg znaków dodawany do hasła przed szyfrowaniem. Wynikowy ciąg jest haszem i to jest przechowywane w bazie danych. W ten sposób, jeśli haker jest w stanie usunąć zaszyfrowane hasła z bazy danych ORAZ je odszyfrować, nadal nie będzie wiedział, jaka część hasła jest w rzeczywistości hasłem, a jaka jest jego sól. Jedynym sposobem, aby to wiedzieć, jest uzyskanie dostępu do soli i kluczy bezpieczeństwa w pliku konfiguracyjnym.

Jest to podobne do przechowywania haseł w plikach cookie przeglądarki. Powodem, dla którego możesz pozostać zalogowanym w dowolnej witrynie, jest to, że informacje o sesji są przechowywane w plikach cookie. Ale gdyby były tam przechowywane hasła w postaci zwykłego tekstu, byłoby to niebezpieczne. Więc WordPress zamiast tego przechowuje wersję soloną i haszowaną. Dostęp do soli nie oznacza, że ​​możesz odszyfrować skróty, ale obniża poziom bezpieczeństwa. Dlatego ważne jest, aby okresowo aktualizować sole WordPress.

Dla długoterminowego bezpieczeństwa

Sprawdź SSL

SSL to protokół bezpieczeństwa zaprojektowany do szyfrowania komunikacji do iz serwera Twojej witryny. Uniemożliwia to atakującym uzyskanie dostępu, odczytanie lub zmianę przesyłanych informacji.

Zazwyczaj zabezpieczasz swoją witrynę za pomocą SSL, gdy otrzymujesz domenę lub plan hostingowy. Jednak certyfikaty SSL wygasają mniej więcej co dwa lata i należy się upewnić, że zostaną odnowione najwcześniej. Jest to podwójnie ważne, jeśli użytkownicy wykonują transakcje w Twojej witrynie, ponieważ każde naruszenie bezpieczeństwa może doprowadzić do wycieku danych karty kredytowej lub konta bankowego.

Sprawdź plany hostingowe

Jeśli zapomnisz odnowić swój plan hostingowy na czas, Twoje konto WordPress zostanie zawieszone. Może to powodować szereg problemów. Ruch w Twojej witrynie ucierpi, stracisz klientów, a nawet możesz stracić dane. Regularne sprawdzanie usług hostingowych pozwala również analizować ruch w witrynie i wykorzystanie serwera. Nadmierne wykorzystanie serwera jest częstym objawem ataku typu brute force, a wyłapanie takich ataków wcześniej ma większą szansę na ich powstrzymanie. Gdy zostaniesz wcześnie powiadomiony o ataku brute force, możesz podjąć działania i zabezpieczyć swoją witrynę, zanim hakerzy uzyskają do niej dostęp.

Jednorazowe środki dla pełnego bezpieczeństwa

Chociaż bezpieczeństwo WordPressa musi być stale sprawdzane, istnieją pewne środki, które możesz podjąć raz i nie musisz stale aktualizować.

Zainwestuj w silną zaporę sieciową

Zapora sieciowa chroni Twoją witrynę WordPress, odfiltrowując złośliwy ruch i zatrzymując większość ataków, zanim zdążą one zainfekować Twoją witrynę. Istnieje kilka rodzajów zapór, takich jak zapory aplikacji internetowych, zapory sieciowe lub zapory w chmurze. Silna zapora aplikacji internetowej, taka jak MalCare, umożliwia filtrowanie ruchu w witrynie i blokowanie odwiedzających według liczby prób logowania lub lokalizacji geograficznej.

Implementuj uwierzytelnianie HTTP

Uwierzytelnianie HTTP to protokół, który umożliwia dostęp do zasobu internetowego tylko tym, którzy mają do niego dostęp. Uwierzytelnianie HTTP ogranicza dostęp, prosząc o nazwę użytkownika i hasło, gdy żądana jest określona strona internetowa. Oczywiście nie możesz tego zrobić dla całej witryny, ale zaimplementowanie go w panelu administratora lub stronie logowania może znacznie zmniejszyć liczbę ataków botów.

Użyj uwierzytelniania dwuskładnikowego

Uwierzytelnianie dwuskładnikowe to metoda, która wymaga od użytkownika przedstawienia dwóch oddzielnych kluczy w celu uzyskania dostępu do konta. Na przykład, jeśli próbujesz uzyskać dostęp do poczty e-mail, zwykle musisz podać nazwę użytkownika i hasło, ale gdy wdrażasz uwierzytelnianie dwuskładnikowe, będziesz musiał również podać klucz tworzony w czasie rzeczywistym, taki jak jeden hasło czasowe lub PIN. Zmniejsza to liczbę prób logowania i nie obciąża serwera Twojej witryny żądaniami logowania. Chroni również Twoją witrynę przed atakami typu brute force. Możesz użyć wtyczki, takiej jak 2FA, aby włączyć uwierzytelnianie dwuskładnikowe w swojej witrynie.

Ogranicz próby logowania

Mówiliśmy już o tym, jak należy ograniczyć próby logowania. WordPress domyślnie umożliwia nieograniczoną liczbę prób logowania, co daje hakerom doskonałą okazję do wypróbowania dostępu do konta WordPress za pomocą ataków typu brute force. Najłatwiejszym sposobem ograniczenia prób logowania jest użycie wtyczki zabezpieczającej, takiej jak MalCare, lub dodanie niestandardowego kodu do pliku function.php.

Wyłącz XML-RPC

Podobnie jak WP REST API, XML-RPC to funkcja WordPress, która umożliwia zdalne publikowanie treści. Jest to przydatne, jeśli korzystasz z aplikacji WordPress lub musisz włączyć trackbacki i pingbacki, ale w przeciwnym razie może zostać wykorzystany przez hakerów do uzyskania dostępu do Twojej witryny poprzez ataki typu brute force. Najłatwiejszym rozwiązaniem jest wyłączenie go za pomocą wtyczki lub ręcznie.

Wyłącz przeglądanie katalogów

Gdy serwer nie znajdzie pliku indeksu witryny, wyświetla indeks zawartości katalogu. Jeśli haker może uzyskać dostęp do tych informacji, może sprawdzić, czy w Twojej witrynie nie ma żadnych plików, które są podatne na ataki. To otwiera Twoją witrynę na poważne zagrożenia bezpieczeństwa.

Aby tego uniknąć, możesz wyłączyć przeglądanie katalogów, dodając wiersz kodu do pliku .htaccess. Wykonaj poniższe czynności, aby wyłączyć przeglądanie katalogów w witrynie WordPress.

• Pobierz plik .htaccess ze swojej witryny za pośrednictwem klienta FTP.
• Otwórz plik i dodaj następujący kod na dole pliku:

Opcje Wszystkie -Indeksy

• Teraz zapisz plik i prześlij go ponownie. Najpierw musisz usunąć oryginalny plik ze swojej witryny.

Ogranicz uprawnienia do plików

Uprawnienia do plików w Twojej witrynie określają, kto może uzyskać dostęp do jakich części witryny i kto może je modyfikować. Zazwyczaj Twój usługodawca hostingowy konfiguruje wszystkie te informacje za Ciebie. Jednak nadal dobrą praktyką jest zrozumienie uprawnień do plików i upewnienie się, że są one optymalnie skonfigurowane.

Jeśli chcesz zrozumieć, jak działają uprawnienia do plików i jak możesz je zoptymalizować pod kątem bezpieczeństwa witryny, zapoznaj się z naszym przewodnikiem, który jest szczegółowy i przyjazny dla początkujących.

Ukryj plik wp-config

Plik wp-config w Twojej witrynie jest pełen poufnych informacji, takich jak hasła, klucze i sole. Jeśli hakerzy uzyskają dostęp do pliku, będzie to dla nich jak przeciągnięcie czerwonego dywanu na stronę. Plik wp-config domyślnie znajduje się w folderze public_html, więc hakerzy wiedzą, gdzie go szukać. Ale możesz zmienić lokalizację pliku i nadal działa równie dobrze, skutecznie ukrywając poufne informacje.

Wyłączanie wykonywania PHP w określonych folderach

Hakerzy mogą przesyłać pliki PHP do Twojej witryny podszywając się pod podstawowe pliki WordPress i uzyskiwać dostęp do Twojej witryny. Niektóre foldery, takie jak wp-uploads, w ogóle nie powinny zawierać plików PHP. Więc co robisz w tym przypadku?

Możesz wyłączyć wykonywanie PHP w tych folderach, aby nawet jeśli hakerom udało się dostać do tych plików przez jakiekolwiek tylne drzwi, nie mogli oni uzyskać dostępu do Twojej witryny.

Dlaczego bezpieczeństwo witryny jest ważne

WordPress to bezpieczna platforma, ale jest bardzo popularna i przyciąga wszelkiego rodzaju uwagę. Niektóre z nich są nikczemne. Aby upewnić się, że hakerzy nie mogą uzyskać dostępu do Twojej witryny, musisz upewnić się, że zabezpieczenia Twojej witryny są aktualne, w przeciwnym razie możesz ponieść straszne konsekwencje, takie jak:

• Utrata klientów
• Utrata danych
• Wyciekły prywatne dane uwierzytelniające
• Utrata przychodów
• Zagadnienia prawne
• Traf w reputację marki
• Utrata zaufania

Końcowe przemyślenia

Bezpieczeństwo WordPressa nie jest tajemnicą. Jeśli podejmiesz kilka kroków, aby zabezpieczyć swoją witrynę, będziesz w stanie odeprzeć ataki i złośliwe oprogramowanie oraz uniknąć szkód. Mamy nadzieję, że ta lista kontrolna bezpieczeństwa WordPress pomoże Ci wzmocnić środki bezpieczeństwa.

Jeśli potrzebujesz bezproblemowego rozwiązania, które nie zagraża Twojemu bezpieczeństwu, MalCare jest jedyną opcją. Dzięki zautomatyzowanym skanom, zaawansowanej zaporze i czyszczeniu jednym kliknięciem MalCare to rozwiązanie 360 ​​stopni, które chroni Twoją witrynę.

Często zadawane pytania

Jak zabezpieczyć swoją witrynę WordPress?

Najłatwiejszą metodą zabezpieczenia witryny WordPress jest zainstalowanie wtyczki zabezpieczającej, takiej jak MalCare. MalCare skanuje Twoją witrynę codziennie, aby upewnić się, że jest ona bezpieczna, i chroni ją za pomocą zaawansowanej zapory sieciowej. Oferuje również czyszczenie jednym kliknięciem na wypadek włamania.

Czy WordPress ma problemy z bezpieczeństwem?

WordPress to bezpieczna platforma używana przez ponad połowę stron internetowych. Jednak to właśnie dzięki tej popularności przyciąga uwagę hakerów. Możesz zabezpieczyć swoją witrynę WordPress za pomocą wtyczki zabezpieczającej, aby upewnić się, że Twoja witryna jest bezpieczna przed tymi elementami.

Jak zabezpieczyć witrynę WordPress bez wtyczek?

Jeśli chcesz zabezpieczyć swoją witrynę bez używania wtyczek, musisz regularnie przeprowadzać kilka kontroli bezpieczeństwa. Będziesz musiał wykonać skanowanie witryny, wykonać kopie zapasowe, poszukać podejrzanego zachowania w dzienniku aktywności witryny i ręcznie wyczyścić wszelkie złośliwe oprogramowanie, które możesz wykryć. Lista sposobów, w jakie hakerzy mogą dostać się do Twojej witryny, jest nieskończona, a jedynym sposobem na zabezpieczenie witryny bez ciągłej czujności jest użycie wtyczki zabezpieczającej.