28 najlepszych praktyk i wskazówek dotyczących bezpieczeństwa WordPress
Opublikowany: 2024-01-05WordPress to potężny system zarządzania treścią (CMS), ale jego popularność oznacza równą uwagę hakerów jako cel. Bez niezbędnych środków bezpieczeństwa Twoja witryna może być podatna na ataki.
Na szczęście jest kilka rzeczy, które możesz zrobić, aby zapewnić bezpieczeństwo swojej witryny. Obejmuje to proste zadania, takie jak aktualizacja wtyczek i tworzenie kopii zapasowych, po bardziej złożone strategie, takie jak migracja do dostawcy usług hostingowych stosującego silniejsze zabezpieczenia.
W tym artykule przeprowadzimy Cię przez 28 najlepszych praktyk bezpieczeństwa WordPress, które pomogą Ci zapewnić ochronę Twojej witryny.
1. Aktualizuj WordPress, wtyczki i motywy
Przestarzałe oprogramowanie stanowi ogromne zagrożenie dla stron internetowych. Jeśli wtyczka lub motyw nie był aktualizowany od miesięcy lub lat, hakerzy będą mieli więcej czasu na wyszukanie luk w oprogramowaniu i przedostanie się do witryn, które z niego korzystają.
Mówiąc najprościej: jeśli używasz starszej wersji WordPressa, Twoja witryna jest podatna na ataki. Dotyczy to również wszelkich wtyczek i motywów na Twojej stronie internetowej.
Należy pamiętać, że WordPress jest niezwykle popularny. Obsługuje około 43 procent wszystkich znanych stron internetowych. Oznacza to, że pojedyncza wtyczka powodująca problem z bezpieczeństwem może prowadzić do setek lub tysięcy witryn otwartych dla cyberprzestępców.
Najłatwiejszym sposobem zabezpieczenia się przed tymi lukami jest aktualizowanie WordPressa i wszystkich jego komponentów. Może to być tak proste, jak codzienne sprawdzanie pulpitu nawigacyjnego, aby zobaczyć, jakie aktualizacje są dostępne i je wykonać.
W przypadku wtyczek możesz skonfigurować je tak, aby aktualizowały się automatycznie, jedna po drugiej. Aby to zrobić, przejdź do Wtyczki → Zainstalowane wtyczki i kliknij Włącz automatyczne aktualizacje dla wtyczek, które chcesz aktualizować automatycznie.
2. Zmień domyślną nazwę użytkownika „admin”.
Jednym z największych błędów bezpieczeństwa, jakie mogą popełnić użytkownicy WordPressa, jest wybranie nazwy użytkownika, takiej jak „admin” lub „administrator”. Są to domyślne nazwy użytkowników, które WordPress ustawia dla Ciebie, a utrzymanie ich na miejscu ułatwia atakującym włamanie.
Wielu hakerów próbuje włamać się na stronę internetową, próbując jak największej liczby kombinacji nazw użytkowników i haseł. Nazywa się to atakiem brute-force. Jeśli ktoś zna już Twoją nazwę użytkownika, oznacza to, że musi odgadnąć tylko jeden czynnik logowania.
WordPress nie pozwala na zmianę nazwy użytkownika konta administratora po jej ustawieniu. Aby dokonać zmiany, musisz utworzyć nowe konto, nadać mu rolę administratora i usunąć stare.
Możesz to zrobić przechodząc do Użytkownicy → Dodaj nowy . Następnie wprowadź szczegóły konta, w tym trudną do odgadnięcia nazwę użytkownika, i wybierz opcję Administrator z menu Rola .
Następnym razem, gdy będziesz tworzyć witrynę WordPress, będziesz musiał ustawić inną nazwę użytkownika administratora. Ta prosta zmiana znacznie utrudni atakującym dostęp do konta.
3. Używaj silnych haseł i regularnie je zmieniaj
Jeśli używasz prostego hasła, takiego jak „1234” lub masz to samo dla każdego konta, to tylko kwestia czasu, zanim ktoś uzyska dostęp do Twojej witryny.
Chociaż istnieją sposoby odzyskania dostępu do skradzionych kont, proces ten może być żmudny. Ponadto haker może wyrządzić nieodwracalne szkody Twoim treściom i reputacji.
Kiedy utworzysz nowe konto w WordPressie, CMS wygeneruje dla Ciebie silne hasło. Zwykle jest to kombinacja liter, cyfr i znaków specjalnych.
Możesz użyć tego hasła lub zmienić je na coś bardziej zapadającego w pamięć (zachowując mieszaninę liter i cyfr).
Możesz nawet skorzystać z menedżera poświadczeń, jeśli masz problemy z jego zapamiętaniem. Menedżerowie haseł mogą pomóc w generowaniu bezpiecznych haseł do wszystkich kont i zapewnianiu ich bezpieczeństwa.
Dla większego bezpieczeństwa warto okresowo zmieniać hasła. Dzięki temu w przypadku wycieku danych uwierzytelniających Twoje konto będzie bezpieczne.
4. Wdrażaj uwierzytelnianie dwuskładnikowe (2FA)
Podobnie jak wiele innych witryn internetowych, WordPress wymaga nazwy użytkownika i hasła do zalogowania. Oznacza to, że bezpieczeństwo logowania w dużej mierze zależy od tego, jak silne są Twoje dane uwierzytelniające.
Nawet przy najsilniejszym haśle istnieje ryzyko, że ktoś może uzyskać dostęp do Twojego konta lub innych osób w Twojej witrynie. Skutecznym sposobem uniknięcia tego naruszenia jest zastosowanie uwierzytelniania dwuskładnikowego (2FA).
Po włączeniu 2FA Twoja witryna będzie wymagać dodatkowej metody weryfikacji, aby użytkownicy mogli się zalogować. Zwykle jest to jednorazowy kod wysyłany SMS-em, e-mailem lub aplikacją uwierzytelniającą.
Ponieważ hakerzy nie mają dostępu do Twojego urządzenia mobilnego ani poczty e-mail, nie będą mogli zalogować się na Twoje konto. Niektóre strony internetowe oferują możliwość korzystania z 2FA, inne natomiast to wymuszają.
Jeśli korzystasz z Jetpack, możesz umożliwić użytkownikom logowanie się przy użyciu kont WordPress.com. Istnieje również opcja korzystania z funkcji 2FA WordPress.com.
Możesz znaleźć te ustawienia, przechodząc do Jetpack → Ustawienia i znajdując sekcję logowania WordPress.com . Następnie wystarczy przełączyć odpowiedni przełącznik.
5. Korzystaj z szyfrowania HTTPS poprzez certyfikat SSL
Certyfikat bezpiecznej warstwy gniazd (SSL) umożliwia ładowanie witryny internetowej za pośrednictwem protokołu HTTPS, który jest bezpieczną wersją protokołu HTTP. Certyfikat sprawdza, czy Twoja witryna jest autentyczna i czy komunikacja pomiędzy przeglądarką a serwerem jest szyfrowana.
Możesz uzyskać certyfikat SSL bezpłatnie od kilku organów, takich jak Let's Encrypt. Wiele hostów WordPress automatycznie skonfiguruje certyfikat SSL dla Twojej witryny. Inne hosty internetowe umożliwiają ręczne skonfigurowanie certyfikatu za pomocą cPanelu.
6. Zainstaluj renomowaną wtyczkę bezpieczeństwa
Wtyczki zabezpieczające WordPress często zawierają zbiór funkcji i narzędzi, które pomagają chronić Twoją witrynę. Zazwyczaj obejmują one:
- Ochrona przed spamem
- Ochrona przed atakami typu „odmowa usługi” (DDoS).
- Zapora sieciowa aplikacji internetowych (WAF)
- Skanowanie i usuwanie złośliwego oprogramowania
- Automatyczne kopie zapasowe
Możesz znaleźć osobne wtyczki WordPress, które wykonują każde z tych zadań osobno. Jeśli jednak zdecydujesz się na kompleksowe narzędzie bezpieczeństwa, będziesz mógł zarządzać wieloma funkcjami z tego samego miejsca, co może ułatwić Ci pracę.
W rzeczywistości użycie odpowiedniej wtyczki może pomóc w zaznaczeniu kilku pozycji na liście najlepszych praktyk bezpieczeństwa WordPress. Jetpack Security zawiera wszystkie wyżej wymienione funkcje i wiele innych.
7. Regularnie twórz kopie zapasowe swojej witryny
Regularne tworzenie kopii zapasowych danych jest prawdopodobnie najważniejszą rzeczą, jaką możesz zrobić, aby zapewnić ich bezpieczeństwo. Jeśli chodzi o strony internetowe, pełna kopia zapasowa może uratować życie w przypadku naruszenia bezpieczeństwa lub nieprawidłowego działania.
Jeśli Twoja witryna zostanie zhakowana lub przestanie działać prawidłowo, najprostszym sposobem rozwiązania problemu może być przywrócenie ostatniej kopii zapasowej. Im nowsza jest kopia zapasowa, tym mniejsze jest prawdopodobieństwo utraty kluczowych informacji.
Gdy witryna znów zacznie działać prawidłowo, możesz podjąć niezbędne kroki, aby zabezpieczyć ją przed dalszymi atakami.
Istnieje wiele opcji tworzenia kopii zapasowych dla WordPress. Niektórzy dostawcy usług hostingowych oferują automatyczne kopie zapasowe w ramach planu hostingowego (zwykle jeśli jest to usługa zarządzana). Lepiej jednak nie polegać wyłącznie na tych kopiach zapasowych. Jeśli bezpieczeństwo Twojego serwera zostanie naruszone — przez błąd w kodowaniu, błąd hosta lub włamanie — kopie zapasowe również mogą być zagrożone.
Lepszą opcją jest użycie wtyczki przechowującej kopie zapasowe poza witryną. Kopia zapasowa Jetpack VaultPress jest jedną z takich opcji. Narzędzie jest dostępne jako osobna wtyczka oraz jako część wspomnianego wcześniej pakietu Jetpack Security. Automatycznie tworzy kopię zapasową Twojej witryny za każdym razem, gdy dokonasz zmiany.
Te kopie zapasowe w czasie rzeczywistym są idealne, jeśli stale dodajesz nowe treści do swojej witryny. Oznacza to, że zawsze będziesz mieć kopię najnowszej wersji. Ponadto kopie zapasowe są przechowywane poza siedzibą firmy, więc zawsze będziesz mieć do nich dostęp, nawet jeśli Twoja witryna będzie całkowicie niedostępna.
8. Użyj zapory aplikacji internetowej (WAF)
WAF to rodzaj zapory sieciowej przeznaczonej do filtrowania ruchu przychodzącego i wychodzącego z witryny internetowej. Używa reguł do filtrowania określonych typów ruchu i może blokować znane złośliwe adresy IP.
Mechanizmy WAF zaprojektowano, aby pomóc w powstrzymywaniu typowych typów cyberataków, w tym wstrzykiwań SQL, skryptów między witrynami (XSS) i fałszerstw żądań między witrynami (CSRF). Są w stanie to zrobić dzięki swoim złożonym systemom zasad.
Im bardziej wszechstronne są reguły zapory sieciowej, tym jest ona skuteczniejsza. Wiele wtyczek zabezpieczających (w tym Jetpack Security) może pochwalić się wyrafinowanymi WAF-ami z zestawami reguł opracowanymi na podstawie wieloletniego doświadczenia w radzeniu sobie z atakami WordPress.
Chociaż możesz skonfigurować i skonfigurować WAF ręcznie, najlepszym rozwiązaniem jest użycie hosta internetowego lub wtyczki zabezpieczającej, która skonfiguruje go za Ciebie. W ten sposób możesz wykorzystać istniejącą bazę danych zagrożeń i po prostu włączyć zaporę sieciową.
9. Regularnie skanuj w poszukiwaniu złośliwego oprogramowania
Skanowanie witryny w poszukiwaniu złośliwego oprogramowania wymaga użycia narzędzia innej firmy lub wtyczki zabezpieczającej. To oprogramowanie przegląda pliki, wtyczki i motywy Twojej witryny w poszukiwaniu infekcji złośliwym oprogramowaniem. Jeśli wykryje coś niepokojącego, poinformuje Cię, gdzie leży problem.
Pamiętasz, kiedy uruchamiałeś skanowanie antywirusowe na swoim komputerze i trwało to wieki? Obecnie większość oprogramowania antywirusowego działa w tle i przeszkadza tylko w przypadku wystąpienia problemu. Skanowanie złośliwego oprogramowania za pomocą Jetpack Security działa równie płynnie.
I w przeciwieństwie do innych narzędzi, które jedynie informują o problemie, jeśli Jetpack coś znajdzie, zazwyczaj zapewni rozwiązania problemu — często za pomocą jednego kliknięcia.
Jeśli podejmiesz kroki w celu zabezpieczenia swojej witryny, infekcje złośliwym oprogramowaniem powinny zdarzać się niezwykle rzadko. Mimo to nie zaszkodzi skonfigurować automatyczne skanowanie w poszukiwaniu złośliwego oprogramowania na wypadek ataku typu zero-day lub innego rodzaju ataku, który trudno zatrzymać.
10. Blokuj spam w formularzach i komentarzach
Każda witryna WordPress z otwartymi sekcjami komentarzy lub formularzami może napotkać spam. Może to obejmować sytuację, w której konkurenci publikują łącza do swoich witryn, a także osoby atakujące udostępniające złośliwe adresy URL lub próbujące użyć skryptów w celu uzyskania nieautoryzowanego dostępu.
Prostym rozwiązaniem tego problemu jest moderowanie komentarzy w Twojej witrynie. Jednak w miarę rozwoju witryny filtrowanie komentarzy zawierających spam może stać się pracą na pełen etat. Nierzadko zdarza się, że tysiące wiadomości oczekują na moderację.
Możesz spróbować użyć CAPTCHA, aby zatrzymać wysyłanie spamu przez roboty, ale nieuchronnie zirytujesz niektórych użytkowników i zmniejszysz uzasadnione zaangażowanie i konwersje potrzebne do prawidłowego rozwoju Twojej witryny.
Najlepszą opcją jest użycie Akismet. To narzędzie działa całkowicie w tle i blokuje wysyłanie spamu w komentarzach i formularzach, dzięki czemu nawet nie zauważysz, że to się dzieje. Uprawnieni użytkownicy mogą kontynuować bez konieczności rozwiązywania zagadek, odpowiadania na zagadkę, a nawet klikania pola.
Wszystko to dzieje się z 98% dokładnością.
Akismet można również dostosować, aby natychmiast usuwał niektóre komentarze i zachowywał inne do ręcznego przejrzenia i zatwierdzenia lub odrzucenia.
Możesz pobrać Akismet jako własną wtyczkę, ale jeśli zależy Ci na poprawie ogólnego bezpieczeństwa i komfortu użytkowania przy jak najmniejszym wysiłku (i wydatkach), możesz go również pobrać w ramach planu Jetpack Security.
11. Wdrażaj bezpieczne uprawnienia do plików za pomocą protokołu FTP
Każdy plik i folder w systemie UNIX ma zestaw uprawnień. Uprawnienia te są reprezentowane przez zestawy trzech liczb. Na przykład „777” oznacza, że każdy użytkownik ma pełne uprawnienia do zapisu, odczytu i wykonywania pliku lub katalogu.
Pierwsza z trzech liczb określa, kto jest właścicielem pliku lub katalogu. Druga liczba oznacza konta w grupie właścicieli, a trzecia każdego innego użytkownika.
W powyższym przykładzie każde siedem oznacza, że każdy z tych typów użytkowników ma uprawnienia do odczytu (cztery), zapisu (2) i wykonywania (1). Jeśli dodasz te wartości, otrzymasz siódemkę.
Uprawnienia do plików przypisane do plików i katalogów WordPress będą decydować o tym, kto może uzyskać do nich dostęp, czytać i edytować. Zalecane uprawnienia do plików dla WordPressa to 755 dla katalogów i 644 dla plików.
Aby ustawić te uprawnienia, musisz połączyć się ze swoją witryną za pośrednictwem narzędzia protokołu przesyłania plików (FTP), takiego jak FileZilla. Możesz uzyskać dane uwierzytelniające FTP ze swojego konta hostingowego.
Po połączeniu się ze swoją witryną przejdź do katalogu głównego (zwykle jest on oznaczony jako public_html ). Wewnątrz tego folderu możesz wybrać dowolny podkatalog lub plik, kliknąć go prawym przyciskiem myszy i wybrać opcję Uprawnienia do plików .
Pojawi się nowe okno, w którym możesz ustawić uprawnienia dla pliku lub katalogu wybranego w polu Wartość liczbowa .
Jeśli zmienisz uprawnienia do katalogów, zobaczysz także opcję „Wracaj do podkatalogów” . Umożliwi to ustawienie tych samych uprawnień dla wszystkich podkatalogów lub plików.
Pamiętaj, że istnieją pewne wyjątki od reguły, jeśli chodzi o optymalne uprawnienia do plików WordPress. Jednym z nich jest plik wp-config.php , który omówimy w następnej sekcji.
12. Zabezpiecz swój plik wp-config.php
Plik wp-config.php zawiera najważniejsze informacje o Twojej witrynie i jej bazie danych. Jest to jeden z najważniejszych plików rdzenia WordPressa, co oznacza, że należy podjąć dodatkowe kroki, aby go zabezpieczyć.
Jeśli chodzi o uprawnienia, najlepiej ustawić wp-config.php na 400 lub 440. Jeśli pamiętasz podział z poprzedniej sekcji, wiesz, że te wartości uprawnień przekładają się na:
- 400: Tylko właściciel może odczytać plik.
- 440: Tylko właściciel i użytkownicy w grupie właściciela mogą odczytać plik.
To całkowicie usuwa uprawnienia do zapisu z wp-config.php . Jest to zazwyczaj bezpieczny wybór, ponieważ uniemożliwia nikomu modyfikowanie ustawień pliku.
Innym sposobem zabezpieczenia wp-config.php jest przejście o jeden poziom powyżej katalogu głównego. WordPress będzie szukać pliku o jeden katalog wyżej, jeśli nie będzie mógł go znaleźć w domyślnej lokalizacji.
Oznacza to, że WordPress będzie nadal działał normalnie, ale atakujący mogą dać się zwieść temu, że nie mogą znaleźć pliku.
13. Wyłącz edycję plików w pliku wp-config.php
WordPress oferuje kilka opcji edycji plików. Jednym z nich jest wykorzystanie wtyczek i edytorów plików motywów, które są dostępne z poziomu dashboardu.
Te edytory plików umożliwiają wprowadzanie zmian w kodzie witryny bez konieczności łączenia się z nią przez FTP. Wadą tego podejścia jest to, że jeśli haker uzyska dostęp do konta, które ma uprawnienia do korzystania z tych edytorów, może siać spustoszenie w Twojej witrynie.
Dlatego możesz rozważyć wyłączenie edycji plików w WordPress. Możesz to zrobić otwierając plik wp-config.php i dodając do niego następujący wiersz kodu:
define('DISALLOW_FILE_EDIT', true);
Pamiętaj, że niektóre motywy i wtyczki automatycznie wyłączają edycję plików. Jeśli nie widzisz edytorów plików lub motywów na pulpicie nawigacyjnym, prawdopodobnie używasz jednego z tych narzędzi.
14. Ogranicz przeglądanie katalogów w pliku .htaccess
Jeśli przeglądanie katalogów jest włączone, możesz odwiedzić swoją stronę internetową.com/content/ . Zamiast otrzymywać zabroniony błąd 403, zobaczysz listę podkatalogów i plików w tym folderze.
Wyłączenie przeglądania katalogów jest koniecznością, jeśli chcesz chronić swoją witrynę. Jeśli ktoś może zobaczyć zawartość folderów Twojej witryny, może uzyskać wiele informacji, na przykład o tym, jakiego motywu i wtyczek używasz. Będą także mogli bez ograniczeń nawigować po plikach multimedialnych, co jest okropne z punktu widzenia prywatności.
Większość hostów WordPress domyślnie wyłącza przeglądanie katalogów. Jeśli Twój nie oferuje tej funkcji, możesz włączyć ją samodzielnie, edytując plik .htaccess w katalogu głównym .
Aby to zrobić, otwórz plik i dodaj następujący wiersz kodu:
Options -Indexes
Zapisz zmiany i zamknij plik. Teraz, jeśli spróbujesz przejść do katalogu za pomocą przeglądarki, pojawi się błąd informujący, że nie masz do niego dostępu.
15. Ogranicz dostęp do katalogu wp-admin
wp-admin to domyślna lokalizacja katalogu WordPress. Jeśli odwiedzisz stronę główną swojej witryny i dodasz /wp-admin na końcu adresu URL, przejdziesz do panelu WordPress (po przejściu przez stronę logowania).
Ta struktura jest standardem dla witryn WordPress. Ułatwia to znalezienie pulpitu nawigacyjnego i dostęp do niego zarówno Tobie, jak i atakującym.
Jednym ze sposobów ochrony administratora WordPressa jest zabezpieczenie go hasłem. Dzięki temu użytkownicy będą musieli wprowadzić inne hasło po przejściu przez stronę logowania.
Jeśli Twój usługodawca hostingowy korzysta z cPanel, możesz dodać hasło do katalogu wp-admin , korzystając z opcji Directory Privacy narzędzie.
Po wejściu do tego narzędzia przeglądaj foldery, aż znajdziesz katalog wp-admin . Kliknij EDYTUJ przycisk obok niego i na następnej stronie zaznacz opcję Chroń ten katalog hasłem .
Teraz narzędzie ochrony prywatności katalogów poprosi Cię o ustawienie hasła dla wp-admin . Po zapisaniu hasła spróbuj uzyskać dostęp do panelu WordPress. Wyskakujące okienko z hasłem powinno pojawić się bezpośrednio w przeglądarce.
16. Ukryj swój adres URL logowania wp-admin
Innym sposobem ochrony administratora WordPressa jest zmiana adresu URL prowadzącego do strony logowania. Jeśli połączysz tę strategię z dodatkową ochroną hasłem opisaną w powyższej sekcji, żadna osoba atakująca nie powinna dostać się do panelu Twojej witryny.
Możesz ręcznie zmienić adres URL wp-login , ale użycie wtyczki może uprościć ten proces. WPS Hide Login to proste narzędzie, które umożliwia ustawienie nowego adresu URL logowania bez konieczności edytowania kodu witryny.
Po zainstalowaniu wtyczki przejdź do Ustawienia → WPS Ukryj logowanie i poszukaj sekcji z adresem URL logowania. Użyj pola obok tej opcji i zamień domyślny adres URL logowania na niestandardowy.
Możesz użyć losowej kombinacji liter i cyfr. Utrudni to atakującym odgadnięcie. Pamiętaj tylko, aby dodać do zakładek nową stronę logowania lub ustawić adres URL, który będziesz mógł zapamiętać.
17. Ogranicz próby logowania
Jak wspomniano wcześniej, osoby atakujące mogą uzyskać dostęp do Twojej witryny, wypróbowując wiele kombinacji nazw użytkowników i haseł. Ustawianie silnych haseł może być skutecznym sposobem blokowania prób, ale jest jeszcze jedna rzecz, którą możesz zrobić, aby powstrzymać ataki siłowe.
Wiąże się to z ograniczeniem liczby prób logowania, jakie użytkownicy mogą podjąć w określonym przedziale czasu. To ograniczenie nie wpłynie na zwykłych użytkowników, ale powinno wystarczyć, aby udaremnić ataki brute-force z wykorzystaniem botów. Ograniczając częstotliwość, z jaką mogą wypróbowywać nowe dane uwierzytelniające, możesz zminimalizować szanse, że im się to uda.
Istnieje wiele narzędzi, za pomocą których możesz ograniczyć próby logowania w WordPress. Jeśli korzystasz z Jetpack, masz dostęp do jego funkcji ochrony przed brutalną siłą. To automatycznie ogranicza próby logowania, które Jetpack identyfikuje jako złośliwe.
Jetpack może również pomóc w umieszczeniu adresów IP na liście dozwolonych, dzięki czemu nie będą one blokowane przez narzędzie do ochrony przed brutalną siłą. Możesz użyć tego dla swojego adresu IP i adresów IP swoich współpracowników, aby zapobiec fałszywym flagom.
18. Automatyczne wylogowywanie nieaktywnych użytkowników
Wiele stron internetowych wyloguje Cię z konta po określonym czasie. Jest to środek bezpieczeństwa mający na celu uniemożliwienie innym osobom przejęcia Twojej sesji, jeśli uzyskają dostęp do Twojego komputera.
Może to nie stanowić problemu w zależności od tego, skąd się logujesz, ale nadal jest to środek bezpieczeństwa, który warto wdrożyć. Dotyczy to szczególnie sytuacji, gdy inne osoby mają dostęp do panelu Twojej witryny.
WordPress nie wylogowuje użytkowników automatycznie. Aby dodać tę funkcję, musisz użyć wtyczki takiej jak Inactive Logout.
Po zainstalowaniu wtyczki przejdź do Ustawienia → Nieaktywne wylogowanie → Ustawienia ogólne . Poszukaj opcji Limit czasu bezczynności i ustaw żądaną wartość w minutach.
Teraz użytkownicy będą automatycznie wylogowywani, jeśli będą bezczynni przez określony czas. Wtyczka umożliwia także skonfigurowanie wiadomości informującej ich, dlaczego ich sesja została zamknięta, aby nie byli zdezorientowani, gdy wrócą.
19. Zmień domyślny prefiks bazy danych WordPress
Każda baza danych WordPress ma nazwę. Domyślnie jest to nazwa wp_coś, gdzie „coś” zastępuje rzeczywistą nazwę bazy danych.
To, co jest tutaj naprawdę ważne, to przedrostek. Domyślnie WordPress używa przedrostka wp_ , co oznacza, że atakujący mogą łatwo odgadnąć pełną nazwę bazy danych.
Sama zmiana prefiksu może znacznie utrudnić to zadanie atakującym. Niestety zmiana prefiksu bazy danych WordPress nie jest taka prosta.
Ten proces wymaga edycji obu plików podstawowych i wprowadzenia zmian w samej bazie danych. Zanim więc zrobisz cokolwiek innego, musisz wykonać pełną kopię zapasową witryny, która obejmuje wszystkie pliki i bazę danych. Dzięki temu, jeśli coś pójdzie nie tak, będziesz mógł przywrócić kopię zapasową.
Aby rozpocząć, wejdź na stronę internetową poprzez FTP i przejdź do pliku wp-config.php . Otwórz plik i poszukaj w środku tej linii:
$table_prefix = 'wp_';
Możesz śmiało zastąpić przedrostek „wp_” czymś innym, na przykład „newprefix_”. To jednak tylko przykład. Będziesz chciał wybrać coś, co trudno zgadnąć.
Teraz zapisz plik i uzyskaj dostęp do bazy danych za pomocą phpMyAdmin. Wybierz bazę danych WordPress z listy po lewej stronie i kliknij SQL w menu u góry ekranu nad listą tabel.
Spowoduje to otwarcie strony, na której możesz wykonywać polecenia SQL mające wpływ na bazę danych. To, co musisz teraz zrobić, to zastąpić istniejące prefiksy tabel dla wszystkich tabel w bazie danych. Domyślnie oznacza to następujące tabele:
- wp_opcje
- wp_postmeta
- wp_posts
- wp_term_relationships
- wp_term_taxonomy
- wp_terms
- wp_commentmeta
- wp_komentarze
- wp_links
Pamiętaj, że niektóre wtyczki mogą także dodawać nowe tabele do bazy danych. Będziesz także musiał zaktualizować przedrostki tych tabel.
Dla każdej tabeli musisz uruchomić następujące polecenie SQL:
RENAME table wp_xxxx TO newname_xxxx;
Symbole zastępcze „xxxx” oznaczają nazwę każdej tabeli po podkreśleniu. Podobnie, będziesz musiał zmienić prefiks newname_ na ten, który ustawiłeś wcześniej podczas modyfikowania wp-config.php .
W razie potrzeby powtórz ten proces dla każdej tabeli w bazie danych. Kiedy będziesz gotowy, możesz wrócić do pulpitu nawigacyjnego.
Zmiana prefiksu bazy danych może spowodować uszkodzenie aktywnych wtyczek i motywów w Twojej witrynie. Narzędzia te nie rozpoznają zaktualizowanej bazy danych, dopóki ich nie dezaktywujesz i nie aktywujesz ponownie.
Dlatego musisz przejrzeć każdą wtyczkę i motyw w swojej witrynie i postępować zgodnie z tym procesem. Kiedy już skończysz, sprawdź swoją witrynę, aby upewnić się, że wszystko działa tak, jak powinno.
20. Ukryj swoją wersję WordPressa
W przeszłości WordPress wyświetlał w stopce wersję oprogramowania używanego przez witrynę. Pomysł był taki, że te informacje mogłyby być przydatne do rozwiązywania problemów i byłoby znacznie łatwiej je znaleźć, gdyby były łatwo dostępne dla odwiedzających front-end.
Problem z tym podejściem polega na tym, że wyświetlenie numeru wersji oznacza, że atakujący mogą wyszukać luki specyficzne dla tej wersji. Daje to złośliwym aktorom wiele informacji, które mogą wykorzystać do przeprowadzenia ataku na Twoją witrynę internetową.
Ponadto ta funkcja nie przynosi żadnych praktycznych korzyści. W końcu zawsze możesz sprawdzić wersję WordPress swojej witryny z poziomu pulpitu nawigacyjnego.
Nowsze wersje WordPressa nie wyświetlają już tych informacji w interfejsie. Jeśli w stopce widzisz numer wersji, oznacza to, że Twoja witryna potrzebuje aktualizacji WordPress.
21. Aktualizuj swoją wersję PHP
Jak zapewne wiesz, WordPress jest zbudowany w dużej mierze na PHP. Opiera się na tym języku programowania do wykonywania większości zadań administracyjnych.
PHP to także oprogramowanie. Oznacza to, że otrzymuje regularne aktualizacje zawierające nowe funkcje i funkcje oraz lepszą wydajność.
WordPress wymaga, aby na Twoim serwerze działał PHP w wersji 7.4 lub wyższej. Istnieją nowsze wersje PHP i każda z nich zapewnia ulepszenia wydajności i bezpieczeństwa oprogramowania. Uaktualnienia te dotyczą również samego WordPressa.
Większość renomowanych dostawców usług hostingowych aktualizuje PHP na swoich serwerach wraz z pojawieniem się nowych wersji. Niektórzy dostawcy umożliwiają nawet ręczne przełączanie między wersjami (co może być konieczne do rozwiązywania problemów z błędami w witrynie WordPress).
Możesz sprawdzić, jaka wersja PHP działa w Twojej witrynie, przechodząc do Ustawienia → Stan witryny → Informacje → Serwer na pulpicie nawigacyjnym WordPress. Tutaj zobaczysz przegląd konfiguracji Twojego serwera, w tym wersję PHP, której używa.
Jeśli ta wersja jest nieaktualna, możesz skontaktować się ze swoim usługodawcą hostingowym. Być może będą w stanie zaktualizować dla Ciebie PHP. Mimo to jest to coś, czego nie powinieneś musisz to zrobić, jeśli korzystasz z renomowanego dostawcy usług hostingowych, ponieważ on zajmie się tym za Ciebie.
22. Wyłącz raportowanie błędów PHP
WordPress jest wyposażony w narzędzie do debugowania, które umożliwia systemowi CMS rejestrowanie błędów PHP. Możesz użyć tych raportów o błędach, aby rozwiązać problemy techniczne w swojej witrynie.
Niestety raporty te mogą również prowadzić do problemów z bezpieczeństwem. Jeśli atakujący uzyskają dostęp do dzienników błędów PHP, mogą uzyskać wiele informacji o działaniu Twojej witryny. Mogą zobaczyć, jakie wtyczki są aktywne w Twojej witrynie (jeśli wyświetlają błędy), a także ważne pliki w Twojej witrynie, w których występują problemy z PHP.
Jeśli aktywnie nie rozwiązujesz problemu z błędem w WordPressie, nie musisz włączać raportowania błędów PHP. Jeśli używasz go do diagnozowania problemu, będziesz chciał wyłączyć tryb debugowania WordPressa, gdy tylko uzyskasz potrzebne informacje.
Wyłączenie raportowania błędów PHP wymaga modyfikacji pliku wp-config.php , który znajduje się w katalogu głównym WordPress informator. Dostęp do katalogu można uzyskać poprzez FTP, jak pokazano wcześniej.
Następnie otwórz plik wp-config.php i dodaj następujący wiersz kodu:
define ( 'WP_DEBUG', true );
Zmień prawdę wartość na fałsz i zapisz plik. Spowoduje to wyłączenie dzienników błędów w WordPress.
W razie potrzeby możesz je ponownie włączyć w dowolnym momencie. Wystarczy zmienić wartość z powrotem na true .
23. Usuń niepotrzebne wtyczki i motywy
Wtyczki i motywy sprawiają, że WordPress jest tak wszechstronną platformą. Dodają nowe funkcje do Twojej witryny i umożliwiają dostosowanie jej wyglądu.
Problem w tym, że niektórzy instalują dziesiątki wtyczek i motywów, ale korzystają tylko z kilku z nich. Na przykład możesz wypróbować wiele różnych motywów, zanim zdecydujesz się na swój ulubiony, ale nigdy nie odinstalowuj pozostałych.
Każda aktywna wtyczka w Twojej witrynie stwarza zagrożenie bezpieczeństwa. Zazwyczaj ryzyko to jest minimalne w przypadku wtyczek, które otrzymują regularne aktualizacje i mają za sobą renomowany zespół programistów. W przypadku nieaktualnych wtyczek lub tych, które nie otrzymują już aktualizacji, ryzyko to drastycznie wzrasta.
To samo tyczy się tematów. Motywy, których nie używasz w swojej witrynie, mogą prowadzić do luk w zabezpieczeniach.
Jeśli nie korzystasz aktywnie z określonego motywu lub wtyczki, najbezpieczniej jest je odinstalować (a nie tylko dezaktywować). Zajmie to tylko kilka minut, ale może mieć ogromne znaczenie dla bezpieczeństwa Twojej witryny. Ponadto, jeśli zmienisz zdanie, zawsze możesz ponownie zainstalować usuniętą wtyczkę lub motyw.
Jednak tutaj jest wyjątek. Możesz chcieć zachować domyślny motyw, taki jak Twenty Twenty-Three , zainstalowany, ale nieaktywny, na potrzeby rozwiązywania problemów.
24. Usuń niepotrzebne konta użytkowników
Ogólna zasada brzmi: nikt nie powinien mieć dostępu do Twojej witryny, jeśli nie jest to absolutnie konieczne. Jeśli musisz przyznać komuś dostęp (w celu publikowania treści, konserwacji lub aktualizowania witryny), pamiętaj, aby nie przypisać tej osobie roli użytkownika z większymi uprawnieniami, niż potrzebuje.
Gdy dana osoba nie będzie już potrzebować dostępu do witryny, możesz usunąć jej konto. Zapobiegnie to zmianie witryny internetowej bez Twojej zgody.
Te konta użytkowników stwarzają kolejne ryzyko. Niektóre osoby mogą ponownie wykorzystać dane uwierzytelniające ze swoich kont osobistych, aby zalogować się do Twojej witryny. Jeśli te dane uwierzytelniające wyciekną w wyniku naruszenia bezpieczeństwa, osoby atakujące będą mogły je wykorzystać, aby uzyskać dostęp do Twojej witryny.
Usuwanie kont użytkowników w WordPressie jest proste. Aby to zrobić, przejdź do Użytkownicy → Wszyscy użytkownicy i wybierz konto. Po zidentyfikowaniu konta, które chcesz usunąć, najedź na nie kursorem i kliknij Usuń .
Pamiętaj, że ta opcja pojawi się tylko wtedy, gdy jesteś administratorem. Dopóki nikt inny nie ma dostępu do konta administratora, powinieneś być jedyną osobą z możliwością usuwania kont użytkowników.
25. Monitoruj aktywność użytkowników
Jeśli prowadzisz witrynę WordPress, w której inne osoby mają dostęp do pulpitu nawigacyjnego i mogą publikować treści, wprowadzać zmiany w witrynie i ją aktualizować, prawdopodobnie prędzej czy później napotkasz problemy związane z bezpieczeństwem. Na przykład ktoś może ukraść jego dane uwierzytelniające lub zainstalować wtyczkę, która powoduje zagrożenie bezpieczeństwa witryny.
Z tego powodu dobrym pomysłem jest, aby administrator miał oko na to, co robią inni, gdy korzystają z witryny.
Dzienniki aktywności to narzędzia monitorujące określone zdarzenia i rejestrujące, kiedy one wystąpią. Możesz uzyskać dostęp do tego dziennika i zobaczyć, kto co i kiedy zrobił. Dzięki temu możesz wykryć zdarzenia i działania, które mogą negatywnie wpłynąć na bezpieczeństwo Twojej witryny.
Ta funkcja nie jest domyślnie dostępna w WordPressie, ale możesz ją dodać za pomocą wtyczki. Jetpack Security zawiera dziennik aktywności, w którym przechowywane są dane z ostatnich 30 dni.
Dziennik jest hostowany poza siedzibą firmy. Dlatego jeśli utracisz dostęp do witryny, możesz sprawdzić dziennik, aby zobaczyć, co się stało, przed przywróceniem ostatniej kopii zapasowej.
26. Wykorzystaj CDN, aby zmniejszyć ryzyko ataku DDoS
Sieci dostarczania treści (CDN) mogą pomóc drastycznie skrócić czas ładowania. Robią to poprzez buforowanie Twojej witryny internetowej za pomocą sieci centrów danych rozproszonych na całym świecie. Gdy ktoś odwiedza witrynę, CDN przechwytuje żądanie i ładuje kopię z najbliższego serwera.
Korzystanie z CDN oferuje szereg korzyści poza skróceniem czasu ładowania. Na przykład Twój serwer jest mniej obciążony, co oznacza, że Twoja witryna będzie lepiej przygotowana do obsługi dużych skoków ruchu. Co więcej, CDN może działać jako bariera w przypadku ataku.
Jeśli Twoja witryna internetowa stanie się celem ataku DDoS, CDN może ją szybko zamknąć. Wiele sieci CDN może poprosić odwiedzających o sprawdzenie, czy są ludźmi, jeśli sieć wykryje coś dziwnego w połączeniu. Ponieważ ataki DDoS opierają się na botach, często nie są w stanie ominąć tego typu kontroli bezpieczeństwa.
Nawet jeśli atak DDoS dotrze do sieci CDN, jej centra danych są zbudowane tak, aby zarządzać ogromnym napływem ruchu. W międzyczasie Twoja witryna będzie chroniona przez CDN.
Możesz zintegrować dowolny CDN z WordPress. Jetpack CDN jest bardzo łatwy w konfiguracji. Możesz włączyć tę funkcję bezpłatnie we wtyczce Jetpack, a CDN rozpocznie buforowanie plików multimedialnych z Twojej witryny.
27. Przejdź na dostawcę hostingu skupiającego się na bezpieczeństwie
Każdy usługodawca hostingowy ma swój własny punkt sprzedaży. Na przykład niektórzy dostawcy hostingu bardziej skupiają się na bezpieczeństwie i wydajności, podczas gdy inni traktują priorytetowo przystępną cenę.
Idealnie byłoby, gdybyś wybrał usługodawcę hostingowego, który zapewnia najwyższą wydajność i bezpieczeństwo (i nie pobiera za to nieuczciwej stawki). Istnieje wiele hostów internetowych, które spełniają te kryteria i wykonują za Ciebie podstawowe zadania związane z bezpieczeństwem. Zadania te mogą obejmować:
- Kopie zapasowe
- Konfigurowanie WAF
- Ochrona cię przed atakami DDOS
- Skanowanie i czyszczenie złośliwego oprogramowania
Jeśli chcesz spędzić więcej czasu i energii na prowadzeniu witryny, a mniej na ochronę jej przed atakami, chcesz wybrać hosta, który ceni bezpieczeństwo. Aby rozpocząć, możesz wziąć listę zalecanych hostów WordPress.
Hosty, które zapewniają zarządzane plany hostingu, mają tendencję do oferowania więcej pod względem bezpieczeństwa. Oczywiście usługi te będą nieco droższe niż niezarządzane plany, ale mogą pomóc w uspokojeniu umysłu.
28. Rozważ rozwiązanie bezpieczeństwa przedsiębiorstwa
Jeśli prowadzisz stronę internetową na poziomie przedsiębiorstwa, środki bezpieczeństwa powinny wykraczać poza aktualizację wtyczek i tworzenie kopii zapasowych. Będziesz potrzebować rozwiązania bezpieczeństwa, które zapewnia kompleksową ochronę dla swojej witryny.
WPSCAN ma największą bazę danych w zabezpieczeniach WordPress na rynku.
WPSCan oferuje rozwiązanie bezpieczeństwa zorientowane na przedsiębiorstwo. Można to dostosować do potrzeb Twojej firmy i tego rodzaju witryny, którą masz. Możesz skontaktować się bezpośrednio do WPSCAN, aby uzyskać ocenę bezpieczeństwa Twojej witryny i poprosić o wycenę.
Często Zadawane Pytania
Ta lista wskazówek dotyczących bezpieczeństwa WordPress obejmowała najważniejsze środki ochrony witryny. Jeśli nadal masz pytania dotyczące poprawy bezpieczeństwa witryny, ta sekcja będzie miała na nie odpowiedzieć.
Jakie wspólne zagrożenia mogą złagodzić te najlepsze praktyki bezpieczeństwa WordPress?
Ten przewodnik obejmuje wszystko, od podstawowych środków ochronnych po bardziej zaawansowane praktyki bezpieczeństwa. Jeśli poświęcisz czas na wdrożenie każdego środka przedstawionego w tym artykule, Twoja witryna powinna być chroniona przed najczęstszymi zagrożeniami. Należą do nich ataki brutalnej siły, kradzież danych i złośliwe oprogramowanie.
Ostatecznym celem tych środków jest upewnienie się, że żaden złośliwy aktor nie może uzyskać dostępu do Twojej witryny i spowodować szkody. Mogą również zapobiegać błędom niedoświadczonych użytkowników, takich jak instalowanie złej wtyczki.
Jaki jest najłatwiejszy sposób na poprawę bezpieczeństwa WordPress?
Jeśli nie masz czasu na wdrożenie każdej miary w tym przewodniku, najlepszą rzeczą, jaką możesz zrobić, to skonfigurować wtyczkę WordPress Security. Narzędzia te automatycznie włączą niezliczone funkcje, które pomagają chronić twoją stronę internetową.
Jetpack Security to rozwiązanie typu „” w jednym w jednym, które automatyzuje wiele niezbędnych zadań. Wykonuje kopie zapasowe w czasie rzeczywistym, konfiguruje zaporę ogniową, skanuje i zapewnia szybkie poprawki dla złośliwego oprogramowania, chroni witrynę przed spamem i nie tylko. Zapewnia również dostęp do dzienników aktywności, dzięki czemu możesz zidentyfikować dowolne działania w Twojej witrynie, które mogły spowodować problem bezpieczeństwa (i który je wykonał).
Jaka jest najlepsza wtyczka bezpieczeństwa dla WordPress?
Do wyboru jest wiele wtyczek bezpieczeństwa WordPress, ale Security JetPack jest jednym z najbardziej kompleksowych rozwiązań na rynku. Obsługuje większość praktyk bezpieczeństwa omówionych w tym poście, w tym kopie zapasowe, skanowanie i usunięcie złośliwego oprogramowania oraz ochronę spamu.
Jak kopii zapasowe witryny WordPress i gdzie powinienem przechowywać kopie zapasowe?
Istnieje wiele sposobów tworzenia kopii zapasowej witryny WordPress. Możesz wykonać kopię zapasową wszystkich plików i bazy danych ręcznie, użyć wtyczki, która robi to dla Ciebie, lub zarejestruj się w planach hostingu, który zawiera niektóre ograniczone kopie zapasowe.
W większości przypadków nie chcesz przechowywać kopii zapasowych lokalnie lub w jednym miejscu. Właśnie dlatego zazwyczaj nie zaleca się polegania na samych tworzonych kopiach kopii zapasowych. Kopie zapasowe w chmurze są zwykle bezpieczniejsze, ponieważ większość dostawców przechowuje wiele kopii ze względu na redundancję.
Bezpieczeństwo JetPack obejmuje kopie zapasowe w chmurze w czasie rzeczywistym. Wszystko jest przechowywane poza siedzibą, a nowa kopia zapasowa odbywa się za każdym razem, gdy dokonujesz zmiany na swojej stronie internetowej.
Jak często powinienem aktualizować moją witrynę WordPress?
Idealnie powinieneś aktualizować WordPress i jego komponenty, gdy tylko dostępne są aktualizacje. Korzystanie z najnowszej wersji dowolnego oprogramowania zwiększy bezpieczeństwo i wydajność Twojej witryny. Ponadto zapewnia dostęp do najnowszych funkcji.
Wiele aktualizacji koncentruje się na łataniu luk w zabezpieczeniach. Idealnie będziesz chciał codziennie sprawdzać swoją witrynę pod kątem aktualizacji. Możesz nawet włączyć automatyczne aktualizacje wtyczek. Wszystko to i więcej jest możliwe dzięki bezpieczeństwu JetPack, najlepszej wtyczce bezpieczeństwa w czasie rzeczywistym i kopii zapasowej.
Jak często powinienem skanować moją witrynę WordPress w poszukiwaniu złośliwego oprogramowania?
Jeśli możesz, powinieneś codziennie skanować swoją witrynę w poszukiwaniu złośliwego oprogramowania. Ponieważ jest to tak krytyczne zadanie, warto go zautomatyzować. W ten sposób wtyczka bezpieczeństwa lub skaner złośliwego oprogramowania nadal będzie szukał luk w zabezpieczeniach, nawet jeśli nie jesteś dostępny.
Bezpieczeństwo JetPack obejmuje zautomatyzowane skanowanie złośliwego oprogramowania. Wtyczka okresowo skanuje twoją stronę i powiadamia, jeśli znajdzie coś podejrzanego.
Bezpieczeństwo Jetpack: Całkowiste ochrona WordPress i kopie zapasowe
Ochrona witryny WordPress może być dużo pracy. Musisz wykonywać regularne kopie zapasowe, przeprowadzać aktualizacje, skanować witrynę pod kątem złośliwego oprogramowania i nie tylko. Ponadto będziesz chciał upewnić się, że każdy, kto ma dostęp do Twojej witryny, używa mocnych nazw użytkowników i haseł.
Rozwiązanie typu „wszystko w jednym w jednym, takim jak JetPack Security, może obsłużyć większość tych zadań dla Ciebie. Otrzymasz zautomatyzowane kopie zapasowe i skany, ochronę spamu, potężną zaporę ogniową i wiele innych. Wszystko, co musisz zrobić, to zainstalować wtyczkę i włączyć te funkcje.
Czy jesteś gotowy na zwiększenie bezpieczeństwa swojej witryny? Zacznij od JetPack Security już dziś!