Jak zabezpieczyć swoją witrynę WordPress - 9 wskazówek | JustLearnWP.com
Opublikowany: 2020-01-13WordPress jest bezsprzecznie najpopularniejszym CMS na świecie, szczycącym się około połową udziału w światowym rynku. Nic dziwnego, biorąc pod uwagę, że istnieje od dawna, a ponadto ma wiele doskonałych funkcji, które uwielbiają programiści.
To powiedziawszy, jego popularność oznacza również, że jest celem cyberprzestępców, którzy żerują na słabo chronionych witrynach WordPress. Nie bądź więc kolejną ofiarą ataków ukierunkowanych na WordPress! Co więc zrobić, aby zabezpieczyć się przed hakerami. Nie martw się! Przygotowaliśmy kilka kluczowych kroków, które należy wykonać, aby zwiększyć bezpieczeństwo WordPress.
Użyj SSL
SSL to skrót od Secure Socket Layer i jest to protokół, który wdraża zabezpieczenia klient-serwer na stronach internetowych i zabezpiecza dane między serwerem a przeglądarkami. Możesz włączyć zabezpieczenia SSL, instalując tak zwany certyfikat SSL. W ten sposób będziesz w stanie chronić siebie i swoich użytkowników, zwłaszcza jeśli Twoja witryna obsługuje poufne dane, takie jak informacje o karcie kredytowej i tym podobne.
Let's Encrypt oferuje bezpłatne certyfikaty SSL.
Istnieje wiele rodzajów certyfikatów SSL, które możesz kupić w zależności od Twojej witryny WordPress. Na przykład możesz kupić wielodomenowy SSL, który zabezpiecza główną domenę Twojej witryny wraz z innymi domenami i subdomenami pod nią. Najważniejsze jest to, że musisz kupić odpowiedni SSL dla swojej witryny WordPress.
Motyw Focus i bezpieczeństwo wtyczek
Jednym z najłatwiejszych sposobów, w jaki atakujący może zinfiltrować Twoją witrynę WordPress, jest użycie motywów i wtyczek. Istnieją funkcje, które uwielbiamy w architekturze WordPress i niestety niektóre fajne motywy i wtyczki WordPress nie są darmowe.
Niektórzy nieuczciwi programiści często piszą te motywy i wtyczki, dając bezpłatny dostęp do społeczności. Brzmi jak dobry interes? Może nie być.
Większość pirackich wersji może stanowić potencjalne zagrożenie dla Twojej witryny WordPress. Nie ma wątpliwości, że nieuczciwi programiści dokonają inżynierii wstecznej tych produktów i na pewno nie możesz ufać, że po prostu zechcą ci je przekazać bez ukrywania tam jakiegoś złośliwego kodu.
Ogólnie rzecz biorąc, powinieneś uważać na wtyczki i motywy, zarówno darmowe, jak i płatne. Oto kilka wskazówek dotyczących bezpieczeństwa, o których należy pamiętać, mając do czynienia z wtyczkami i motywami WordPress:
- Instaluj tylko motywy i wtyczki z zaufanych źródeł (im więcej mają recenzji, tym lepiej)
- Aktualizuj swoje motywy i wtyczki za każdym razem, gdy pojawiają się nowe wersje
- Dezaktywuj i odinstaluj nieaktualne wtyczki i motywy
Zabezpiecz swoje hasła WordPress
Bezpieczeństwo hasła to kolejny aspekt bezpieczeństwa WordPress, który jest często ignorowany. Często są to proste kroki, takie jak częsta zmiana hasła, używanie długich, trudnych do odgadnięcia haseł itp.
W rzeczywistości powszechnym rodzajem ataku stosowanego przeciwko witrynom WordPress jest tak zwany atak brute force. W tym miejscu atakujący próbuje odgadnąć twoje hasła logowania i na pewno będzie łatwiej, jeśli twoje hasła będą łatwe do złamania.
- Ustaw wygasające hasła dla wrażliwych aplikacji, takich jak bankowość
- Ustaw sesje dla użytkowników witryny WordPress
- Dodaj warstwę uwierzytelniania
Dodanie warstw uwierzytelniania to kolejny sposób na zmniejszenie szans hakerów na dostęp do Twojej witryny poprzez ataki typu brute force. Innymi słowy, nie chcesz, aby ktoś uzyskał dostęp do Twojej witryny po prostu łamiąc hasła i to wszystko!
Możesz dodać kolejną warstwę wyzwania, aby było jeszcze trudniej. Dobrym przykładem jest tak zwane uwierzytelnianie dwuskładnikowe (2FA), w którym można dodać weryfikację SMS do normalnej kombinacji nazwy użytkownika / adresu e-mail i hasła.
Zmień swoją stronę logowania WordPress
Innym sposobem na ograniczenie ataków typu brute-force i ataków typu odmowa usługi (DOS) jest zmiana domyślnych stron logowania do WordPressa, co utrudni hakerom próbę ataku na Twoją witrynę.
HideMyWP to bardzo potężna i popularna wtyczka bezpieczeństwa, która oferuje wiele funkcji zabezpieczających witrynę WordPress.
Zmiana strony logowania do WordPressa jest dość łatwa. Po prostu znajdź wtyczkę, która dostosowuje adres URL logowania, zainstaluj ją na swoim WordPressie i gotowe.
Filtruj ruch do swojej witryny WordPress
Możesz także chronić swoją witrynę WordPress, filtrując ruch, szczególnie ten, który wygląda podejrzanie. Możesz na przykład zablokować ruch z lokalizacji, z których nie spodziewasz się żadnych odwiedzających.
Możesz ograniczyć adresy IP, które mogą uzyskać dostęp do stron logowania i pulpitu nawigacyjnego WordPress. Ponownie, istnieje wiele narzędzi, które mogą pomóc w tworzeniu takich reguł i ograniczeń, jak używanie wtyczek zapory, używanie CAPTCHA challenge itp.
Zabezpiecz swoje pliki i bazę danych WordPress
Host zewnętrzny pomoże zabezpieczyć Twoją witrynę na poziomie hostingu, ale nadal będziesz musiał pracować w swojej witrynie, aby zabezpieczyć swoje pliki WordPress. Na przykład powinieneś upewnić się, że uprawnienia do plików są prawidłowe, aby uniknąć naruszenia bezpieczeństwa. Oto inne sposoby zabezpieczenia plików WordPress i bazy danych:
- Zmień prefiks bazy danych z domyślnego
- Wyłącz wykonywanie plików PHP, aby zapobiec uruchamianiu złośliwego kodu na backendzie,
- Wyłącz przeglądanie katalogów
- Ukryj pliki wp-config.php i .htaccess
Przypisz odpowiednie uprawnienia użytkownika
Każdemu użytkownikowi w Twoim zespole należy przypisać uprawnienia na podstawie ich ról. W ten sposób zapobiegasz tylko lukom, które atakują Twoich użytkowników WordPressa. Uprawnienia WordPress wysokiego poziomu powinny być przydzielane tylko użytkownikom, którzy mogą podjąć i chronić tę odpowiedzialność.
Utwórz kopię zapasową swojej witryny WordPress
Na koniec regularnie twórz kopie zapasowe swojej witryny, aby mieć pewność, że w razie pojawienia się jakiejkolwiek niepożądanej sytuacji będziesz mieć możliwość odzyskania sprawności. Istnieją wtyczki do tworzenia kopii zapasowych innych firm, hosting, usługa konserwacji witryny i ręczne sposoby, które pomogą Ci regularnie tworzyć kopie zapasowe.
JetPack to jedna z najlepszych wtyczek do tworzenia kopii zapasowych i zabezpieczania Twojej witryny, jeśli oferuje wiele funkcji, a Kopia zapasowa jest jedną z nich. Zainstaluj Jetpack i użyj funkcji kopii zapasowej.
Katastrofa może uderzyć w Twoją witrynę w dowolnym momencie, ponieważ przestój może przełożyć się na straty biznesowe, dlatego powinieneś często wykonywać kopie zapasowe. Rozsądnie jest zaplanować automatyczne tworzenie kopii zapasowych, aby to ułatwić.
Końcowe przemyślenia
Omówiliśmy niektóre z podstawowych kroków bezpieczeństwa, które należy podjąć, aby zabezpieczyć swoją witrynę WordPress, a tym samym chronić swoją firmę. Zdecydowanie nie ma wszystkiego, ale powinno to pomóc Ci ustawić kulę pod względem bezpieczeństwa WordPress.