Porady dotyczące bezpieczeństwa WordPress, aby zabezpieczyć WordPress
Opublikowany: 2023-05-07Czy martwisz się o bezpieczeństwo swojej witryny WordPress? Jeśli tak, nie jesteś sam.
WordPress jest jednym z najpopularniejszych systemów zarządzania treścią i jest używany przez miliony stron internetowych w całej sieci. Jednak wraz z jego popularnością wiąże się ryzyko wystąpienia luk w zabezpieczeniach, jeśli nie jest odpowiednio chroniony.
Poniższy przewodnik nauczy Cię, jak wykonać kilka prostych kroków, aby upewnić się, że Twoja witryna WordPress jest bezpieczna przed potencjalnymi zagrożeniami w przyszłości.
W tym artykule omówimy niektóre podstawowe praktyki bezpieczeństwa WordPress, które pomogą chronić Twoją witrynę. Omówimy takie tematy, jak wybór silnego hasła, regularne aktualizowanie wtyczek i motywów, korzystanie z certyfikatu SSL, realizacja strategii tworzenia kopii zapasowych i nie tylko.
Podejmując te środki, możesz mieć pewność, że Twoja witryna WordPress jest bezpieczna, a Twoje dane są bezpieczne.
Dlaczego musisz zabezpieczyć witrynę WordPress?
Zabezpieczenie witryny WordPress ma kluczowe znaczenie dla ochrony przed hakerami i potencjalnymi atakami, które mogą narazić na szwank Twoje dane lub zaszkodzić Twojej reputacji online. Wdrożenie środków bezpieczeństwa, takich jak silne hasła, regularne aktualizacje i kopie zapasowe, może zapobiec naruszeniom bezpieczeństwa i zapewnić bezpieczeństwo Twojej witryny.
Musisz wykonać kilka kroków, aby upewnić się, że Twoja witryna WordPress jest bezpieczna, aby chronić ją przed złośliwymi atakami i nieautoryzowanym dostępem. Musisz jak najszybciej podjąć niezbędne kroki, aby zabezpieczyć swoją stronę internetową, ponieważ jest ona podatna na zagrożenia.
Bezpieczeństwo jest jedną z najważniejszych rzeczy w Twojej witrynie WordPress w epoce cyfrowej. Jeśli nie zastosujesz odpowiednich środków bezpieczeństwa, Twoja witryna WordPress narazi Ciebie i Twoich gości na złośliwe ataki.
Witryny WordPress muszą być odpowiednio zabezpieczone, dlatego w tej sekcji omówimy, dlaczego jest to tak ważne, a także w jaki sposób możesz podjąć kroki, aby Twoja witryna WordPress była bezpieczna.
WordPress to jeden z najpopularniejszych systemów zarządzania treścią (CMS) w Internecie, z którego korzystają miliony stron internetowych.
Z tego powodu witryny WordPress są atrakcyjne dla hakerów i innych cyberprzestępców próbujących wykorzystać luki w zabezpieczeniach lub ukraść od nich poufne informacje.
Bez odpowiednich środków bezpieczeństwa Twoja witryna WordPress może zostać łatwo naruszona, narażając Ciebie i Twoich gości na kradzież danych, złośliwe oprogramowanie i inne cyberataki.
Oto niektóre z najczęstszych ataków na witryny WordPress:
1. Cross-site request forgery ( CSRF ) to kampania mająca na celu nakłonienie użytkowników do wykonania działań, które nie są przewidziane w bezpiecznej aplikacji internetowej.
2. Jest to rozproszony atak typu „odmowa usługi” , który zalewa witrynę internetową niechcianymi połączeniami, czyniąc ją bezużyteczną.
3. Obejście uwierzytelnienia to atak, który daje hakerom dostęp do zasobów Twojej witryny bez weryfikacji ich integralności.
4. Zagrożenie to, znane jako SQL injection (SQLi) , powoduje uszkodzenie danych w bazie danych, generując złośliwe zapytania SQL.
5. XSS (cross-site scripting) umożliwia przepływ złośliwego kodu z jednego miejsca do drugiego w witrynie.
6. Lokalne włączanie plików (LFI) zmusza witrynę internetową do uruchamiania złośliwych plików.
Zabezpieczenie witryny WordPress jest niezbędne do zapewnienia bezpieczeństwa Tobie i Twoim odwiedzającym. Wdrożenie odpowiednich środków bezpieczeństwa może pomóc chronić witrynę przed potencjalnymi atakami i zapewnić dodatkowy spokój ducha.
Poniższe wskazówki pomogą Ci zwiększyć bezpieczeństwo i ochronę Twojej witryny WordPress przy niewielkim wysiłku. Dzięki tym wskazówkom Twoja witryna będzie również chroniona przed złośliwymi atakami lub nieautoryzowanym dostępem.
Lista kontrolna bezpieczeństwa WordPress i dodatkowe wskazówki
Tylko jeden lub dwa środki bezpieczeństwa nie zapewnią pełnej ochrony Twojej witryny WordPress, więc upewnij się, że każdy aspekt jest bezpieczny.
W kolejnych częściach sprawdzimy i omówimy wiele różnych wskazówek dotyczących zwiększania bezpieczeństwa WordPress.
Najlepsze praktyki bezpieczeństwa WordPress
W tym artykule omówimy listę kontrolną zabezpieczeń WordPress i dodatkowe wskazówki. Bezpieczeństwo w Internecie ma kluczowe znaczenie dla sukcesu Twojej witryny WordPress, dlatego oto kilka rzeczy, które powinieneś wziąć pod uwagę jako część swojego planu bezpieczeństwa.
Uważne obserwowanie wszelkich podejrzanych zachowań w Twojej witrynie jest również bardzo ważne i może pomóc w zapobieganiu wszelkim uszkodzeniom witryny. Wykonanie tych kroków to najlepszy sposób, aby upewnić się, że witryna jest chroniona przed zagrożeniami, które mogą jej zaszkodzić w przyszłości.
Pomimo popularności i mocy WordPressa, może on być podatny na ataki, jeśli nie zostaną zastosowane środki bezpieczeństwa.
1. Regularnie aktualizuj rdzeń, wtyczki i motywy WordPress
Każdy właściciel witryny powinien zadbać o bezpieczeństwo swoich witryn WordPress jako priorytet. Jednym ze sposobów na to jest aktualizowanie wtyczek, motywów i rdzenia WordPress.
Aktualizacje są konieczne, ponieważ często naprawiają luki w zabezpieczeniach i inne błędy, które mogą narazić witrynę na ataki w przyszłości.
Na szczęście WordPress ułatwia aktualizację rdzenia, wtyczek i motywów. Możesz sprawdzić dostępne aktualizacje w panelu administracyjnym WordPress; większość aktualizacji zostanie zainstalowana automatycznie.
Jeśli korzystasz z zarządzanego hostingu WordPress, możesz również mieć dodatkowe opcje regularnego przeprowadzania automatycznych aktualizacji.
Ponadto ogólnie dobrym pomysłem jest używanie wtyczek i motywów wyłącznie z zaufanych źródeł. Zerowane wtyczki i motywy mogą zawierać złośliwy kod, więc najlepiej ich unikać, jeśli to możliwe. Sprawdzanie recenzji i ocen może pomóc w podjęciu decyzji, czy wtyczka lub motyw są godne zaufania.
Wreszcie, jeśli prowadzisz witrynę e-commerce, powinieneś rozważyć zainwestowanie w dodatkowe narzędzia i usługi bezpieczeństwa. Mogą one pomóc chronić Twoją witrynę przed złośliwymi atakami i zapewnić dodatkowe warstwy ochrony wykraczające poza zwykłe aktualizowanie oprogramowania.
2. Użyj bezpiecznych danych logowania WP-Admin
Aby chronić swoją witrynę, potrzebujesz unikalnych i bezpiecznych poświadczeń administratora WordPress.
Silne hasło powinno zawierać kombinację wielkich i małych liter, cyfr i znaków specjalnych.
Nigdy nie używaj przewidywalnych nazw użytkowników i haseł, takich jak admin
lub user
jako nazwy użytkownika lub 12345
jako hasła.
Ponadto regularna zmiana hasła administratora WordPress jest niezbędna, zwłaszcza po każdej znaczącej aktualizacji WordPress, aby hakerzy nie mogli uzyskać dostępu przez przestarzałą lukę w zabezpieczeniach.
3. Korzystaj z zaufanych motywów i wtyczek WordPress
Korzystanie z zaufanych motywów i wtyczek WordPress jest niezbędne do zapewnienia bezpieczeństwa witryny. Darmowe lub tanie motywy WordPress z niezaufanych źródeł mogą być kuszące, ale mogą narazić Twoją witrynę na ataki hakerów. Zaleca się również, aby nie używać zerowanych motywów ani wtyczek.
Wtyczki i motywy zweryfikowane przez zespół WordPress są najbezpieczniejsze w użyciu, jeśli chodzi o bezpieczeństwo, ponieważ są stale aktualizowane w celu ochrony przed potencjalnymi lukami w zabezpieczeniach.
Ponadto upewnij się, że masz oko na programistów, którzy oferują wsparcie dla swoich produktów i którzy regularnie aktualizują swój kod, ponieważ zapewni to, że jeśli pojawi się potencjalny problem z bezpieczeństwem, zostanie on wykryty tak szybko, jak to możliwe.
Wiele motywów i wtyczek jest teraz dostępnych z zaufanych źródeł, z regularnymi aktualizacjami, poprawkami błędów i innymi cennymi funkcjami. Jeśli szukasz zaufanego motywu, przeczytaj więcej o najlepszych motywach WordPress, a także sugerujemy motyw Publisher.
Ponadto powinieneś również przeczytać recenzje innych użytkowników, aby mieć jak największą pewność, że motywy i wtyczki, których zamierzasz użyć, są najwyższej jakości.
Wszelkie motywy i wtyczki należy również sprawdzić pod kątem backdoorów lub złośliwego kodu. Możesz skorzystać z usług, które to robią, jeśli nie czujesz się komfortowo, robiąc to samodzielnie.
4. Użyj wtyczki zabezpieczającej WordPress
Zabezpieczenie witryny to ważny krok, który powinien podjąć każdy właściciel witryny. Wtyczki bezpieczeństwa WordPress mogą to zrobić.
Możesz użyć tych wtyczek, aby chronić swoją witrynę WordPress przed złośliwymi atakami, wykrywać i usuwać złośliwe oprogramowanie oraz ogólnie poprawiać bezpieczeństwo.
Wybierz dobrą wtyczkę zabezpieczającą WordPress, która jest odpowiednia dla Twojej witryny z dostępnej różnorodności.
Dowiedz się, czy dostępne jest uwierzytelnianie dwuskładnikowe, sprawdzanie siły hasła i zapora ogniowa.
Upewnij się, że wybrana wtyczka jest regularnie aktualizowana za pomocą poprawek bezpieczeństwa, aby zachować ochronę.
Upewnij się, że zapoznałeś się z dostępnymi opcjami i wybrałeś taką, która odpowiada Twoim potrzebom. Chroń swoją witrynę za pomocą wtyczki zabezpieczającej WordPress.
5. Użyj bezpiecznego hostingu WordPress
Wybór bezpiecznego dostawcy hostingu WordPress powinien być najwyższym priorytetem przy ochronie Twojej witryny.
Upewnienie się, że Twoja witryna jest bezpieczna, zaczyna się od wyboru dostawcy usług hostingowych.
Wybierając jeden z nich, weź pod uwagę środki bezpieczeństwa swojego usługodawcy hostingowego. Upewnij się, że wybrany gospodarz jest proaktywny w tym obszarze.
Dobry host powinien mieć regularne skanowanie w poszukiwaniu złośliwego oprogramowania, ochronę przed atakami siłowymi i silne zapory ogniowe z ochroną przed atakami DDoS. Powinny również zapewniać szyfrowanie na poziomie serwera i codzienne kopie zapasowe.
Oprócz funkcji bezpieczeństwa poszukaj hosta, który zapewnia doskonałe wsparcie. Potrzebujesz kogoś, kto szybko zareaguje na wszelkie alerty lub problemy.
Co więcej, będziesz chciał mieć pewność, że wybrany przez Ciebie dostawca usług hostingowych oferuje wysoki czas pracy bez przestojów i montitorin, ponieważ przestoje mogą poważnie wpłynąć na Twoją witrynę.
Jako ostatnia wskazówka, upewnij się, że ceny są konkurencyjne, ponieważ wiele firm hostingowych oferuje podobne usługi. Spróbuj znaleźć zniżki lub oferty specjalne, aby zaoszczędzić trochę pieniędzy.
Podejmując te kroki i wybierając odpowiedniego dostawcę usług hostingowych, możesz mieć pewność, że Twoja witryna WordPress jest bezpieczna i chroniona przed złośliwymi atakami.
6. Zainstaluj certyfikat SSL
Aby chronić dane, które przechowujesz, wysyłasz i odbierasz na swojej stronie WordPress, powinieneś zainstalować certyfikat SSL jako część swoich środków bezpieczeństwa.
Bezpieczne certyfikaty SSL szyfrują ruch między Twoją witryną a przeglądarkami użytkowników, dzięki czemu dane, które wysyłają lub otrzymują, nie mogą zostać przechwycone.
Zainstalowanie certyfikatu SSL może również pomóc poprawić pozycję w wyszukiwarkach i sprawić, że witryna będzie bardziej atrakcyjna dla odwiedzających, dodając warstwę bezpieczeństwa i zaufania.
Aktualizowanie certyfikatu i regularne monitorowanie go pod kątem wad jest niezbędne po jego zainstalowaniu. Upewnij się, że znalazłeś godnego zaufania dostawcę certyfikatów SSL dla swojej witryny.
Te wskazówki pomogą Twojej witrynie WordPress zachować bezpieczeństwo, a odwiedzający poczują się komfortowo podczas przeglądania.
7. Usuń nieużywane wtyczki i motywy WordPress
Jednym z ważnych kroków do zabezpieczenia witryny WordPress jest regularne usuwanie nieużywanych wtyczek i motywów. Te nieużywane elementy mogą narazić Twoją witrynę na naruszenia bezpieczeństwa, ponieważ mogą nie otrzymywać niezbędnych aktualizacji lub poprawek.
Usuwając je, zmniejszasz potencjalną powierzchnię ataku swojej witryny, utrudniając hakerom znalezienie luk w zabezpieczeniach.
Ponadto usunięcie tych zbędnych zasobów może również pomóc w zwiększeniu szybkości ładowania i ogólnej wydajności witryny, zapewniając odwiedzającym lepsze wrażenia użytkownika.
Dlatego poświęć trochę czasu na okresowe przeglądanie wtyczek i motywów oraz usuwanie tych, które nie są już potrzebne do zapewnienia bezpieczeństwa i płynnego działania witryny.
8. Regularnie twórz kopie zapasowe
Tworzenie kopii zapasowych witryny WordPress jest istotną częścią bezpieczeństwa witryny. Regularne tworzenie kopii zapasowych gwarantuje, że w przypadku najgorszego i naruszenia bezpieczeństwa witryny można szybko przywrócić witrynę do znanego dobrego stanu bez utraty zawartości.
Tworzenie kopii zapasowych powinno być integralną częścią procesu bezpieczeństwa WordPress. Powinieneś dążyć do codziennych kopii zapasowych, chociaż możesz chcieć częściej tworzyć kopie zapasowe, jeśli często wprowadzasz zmiany lub aktualizacje w swojej witrynie.
Podczas tworzenia kopii zapasowych musisz wykonać kopię zapasową wszystkich elementów instalacji WordPress, w tym bazy danych, plików WordPress oraz wszelkich wtyczek, motywów i innych plików. Dobra wtyczka do tworzenia kopii zapasowych może pomóc w zabezpieczeniu witryny.
Będziesz potrzebować wielu kopii zapasowych na wypadek katastrofalnej awarii. Jeśli jedna kopia zapasowa jest uszkodzona, posiadanie innej pomoże zminimalizować przestoje podczas przywracania i uruchamiania witryny.
Na koniec upewnij się, że wykonałeś kopię zapasową plików w bezpiecznym miejscu. Istnieją usługi tworzenia kopii zapasowych w chmurze i serwery zdalne, z których można korzystać.
Ogólne wskazówki dotyczące bezpieczeństwa WordPress
W tej sekcji podam kilka ogólnych wskazówek, które pomogą Ci dodatkowo chronić Twoją witrynę przed hakerami i innymi zagrożeniami, które mogą pojawić się na Twojej drodze.
1. Włącz uwierzytelnianie dwuskładnikowe dla WP-Admin
Uwierzytelnianie dwuskładnikowe (2FA) to świetny sposób na zabezpieczenie witryny WordPress. Dodaje dodatkową warstwę ochrony oprócz zwykłej nazwy użytkownika i hasła, utrudniając hakerom uzyskanie dostępu do Twojej witryny.
Włączając 2FA, możesz mieć pewność, że nawet jeśli ktoś uzyska Twoje dane logowania, nadal nie będzie w stanie przejść drugiego etapu uwierzytelniania.
Istnieje kilka sposobów na skonfigurowanie uwierzytelniania dwuskładnikowego w WordPress. Najprostszym sposobem jest użycie wtyczki do uwierzytelniania dwuskładnikowego, takiej jak WordFence lub iThemes Security . Wtyczki te pozwolą Ci łatwo skonfigurować uwierzytelnianie dwuskładnikowe i dodać dodatkową warstwę ochrony do Twojej witryny.
2. Wyłącz Inspect Element i View Source
Wyłączenie Inspect Element and View Source jest ważnym krokiem do zabezpieczenia witryny WordPress. W ten sposób możesz uniemożliwić złośliwym podmiotom dostęp do poufnych informacji, takich jak kod źródłowy Twojej witryny.
Aby wyłączyć Inspect Element and View Source w WordPress, możesz użyć wtyczki, takiej jak WPShield Content Protector.
Aby wyłączyć Wyświetl źródło, wykonaj następujące czynności:
Krok 1: Pobierz WPShield Content Protector.
Krok 2: Zainstaluj wtyczkę z Wtyczki → Dodaj nową .
Krok 3: Przejdź do WP Shield → Ustawienia s.
Krok 4: Otwórz View Source Protector i włącz Wyświetl ochronę kodu źródłowego .
Krok 5: Protector oferuje dwa różne protokoły.
Wybierz protokół, który najbardziej Ci odpowiada:
1. Wyłącz tylko klawisze skrótów: Ta opcja całkowicie wyłącza wszystkie klawisze skrótów, ale nie jest to najbezpieczniejsza dostępna opcja, a bardziej zaawansowani użytkownicy mogą mieć dostęp do kodu źródłowego witryny.
2. Ukryj kod źródłowy + dodaj prawa autorskie Ostrzeżenie: Ta opcja jest bardzo bezpieczna. Jeśli ktoś spróbuje otworzyć Wyświetl kod źródłowy, cała zawartość strony zostanie usunięta i otrzyma wiadomość informującą, że nie może uzyskać dostępu do kodu źródłowego.
Krok 6: Zapisz wprowadzone zmiany.
Aby wyłączyć Inspekcję elementu, wykonaj następujące czynności:
Krok 1: Przejdź do WP Shield → Ustawienia .
Krok 2: Otwórz program Developer Tools Protector i włącz program Developer Tools Protector (zbadaj element) .
Krok 5: Protector oferuje trzy różne protokoły.
Wybierz protokół, który najbardziej Ci odpowiada:
1. Wyłącz tylko klawisze skrótów: Ten protokół wyłącza tylko klawisze skrótów, więc jeśli ktoś znajdzie sposób na dostęp do elementu inspekcji, może go użyć.
2. Wyczyść zawartość strony po otwarciu narzędzi deweloperskich: jeśli ktoś spróbuje otworzyć element inspekcji, zawartość strony zostanie wyczyszczona. Ta opcja jest bezpieczna w użyciu.
3. Przekieruj na stronę po otwarciu narzędzi deweloperskich: jeśli ktoś spróbuje otworzyć sekcję sprawdzania elementu, zostanie przekierowany na niestandardową stronę. Możesz wybrać sekcję Przekieruj na stronę.
Krok 6: Zapisz wprowadzone zmiany.
Wyłączając opcję Sprawdź element i Wyświetl źródło, możesz spać spokojnie, wiedząc, że Twoja witryna jest zabezpieczona przed wścibskimi oczami. Podjęcie niezbędnych kroków w celu ochrony treści pomoże zapewnić bezpieczeństwo Twojej witryny i odstraszy złośliwych aktorów.
Ważna uwaga: aby uzyskać więcej informacji, zapoznaj się z naszym szczegółowym artykułem na temat wyłączania elementu inspekcji w WordPress.
3. Ogranicz próby logowania
Jeśli planujesz zabezpieczyć WordPressa, ograniczenie prób logowania powinno być jedną z najważniejszych części każdej listy kontrolnej bezpieczeństwa.
Twoja witryna pozostanie bezpieczna, jeśli ograniczysz liczbę logowań, aby nieautoryzowani użytkownicy nie mieli do niej dostępu.
Możesz zainstalować wtyczkę, taką jak Ogranicz próby ponownego załadowania logowania, aby ograniczyć próby logowania. Ta wtyczka pozwala ustawić maksymalną liczbę nieudanych prób logowania, zanim użytkownik zostanie zablokowany. Możesz dostosować czas trwania blokady od kilku minut do całego dnia.
Aby użyć opcji Ogranicz próbę logowania, wykonaj następujące czynności:
Krok 1: Zainstaluj ponownie załadowane limity prób logowania z wtyczek → Dodaj nowy .
Krok 2: Przejdź do Ustawienia → Ogranicz próby logowania .
Krok 3: W Ustawieniach aplikacji → Blokada możesz ustawić ograniczenie prób logowania.
Krok 4: Zapisz zmiany.
Ważna uwaga: Aby uzyskać więcej informacji, zapoznaj się z naszym artykułem dotyczącym ograniczania prób logowania w WordPress.
4. Zmień adres URL strony logowania WordPress
Podjęcie niezbędnych kroków w celu zapewnienia bezpieczeństwa i integralności witryny WordPress rozpoczyna się od zabezpieczenia strony logowania na początku procesu.
Zmiana adresu URL strony logowania WordPress utrudnia dostęp złośliwym użytkownikom.
Stronę logowania można zmienić za pomocą wtyczki, takiej jak WP Hide Login.
Zmień adres URL strony logowania WordPress:
Krok 1: Przejdź do Wtyczki → Dodaj nowy i zainstaluj WPS Ukryj login .
Krok 2: Przejdź do Ustawienia → WPS Ukryj login .
Krok 3: Zmień link logowania w adresie URL logowania.
Krok 4: Zapisz zmiany.
Należy pamiętać, że zmiana adresu URL strony logowania WordPress nie zagwarantuje pełnego bezpieczeństwa Twojej witryny. Mimo to może pomóc zmniejszyć szanse złośliwych aktorów na uzyskanie dostępu do Twojej witryny.
Dodatkowo napisałem bardziej szczegółowy artykuł na temat zmiany adresu URL logowania. Koniecznie przeczytaj, jeśli jesteś zainteresowany.
Ważna uwaga: Aby uzyskać więcej informacji, zapoznaj się z naszym artykułem na temat zmiany adresu URL logowania do WordPress.
5. Nigdy nie używaj nazwy użytkownika „Admin”.
W przypadku użytkowników WordPress nazwa użytkownika admin
jest jedną z najczęstszych domyślnych nazw użytkownika i najprawdopodobniej będzie celem hakerów.
Ważne jest, aby nigdy nie używać domyślnej nazwy użytkownika admin
jako nazwy profilu logowania. Zamiast tego utwórz unikalną nazwę użytkownika, która nie będzie łatwa do odgadnięcia i upewnij się, że nie jest ona podobna do innych nazw użytkowników powiązanych z Twoją witryną lub innymi kontami, które masz online.
Jeśli Twoje imię i nazwisko jest dostępne na stronie internetowej, pamiętaj o zmianie nazwy wyświetlanej w Użytkownicy → Profil → Wyświetlaj nazwę publicznie jako .
Upewnij się, że ta nowa nazwa użytkownika jest powiązana z adresem e-mail, który jest również bezpieczny, ponieważ można go używać do resetowania haseł.
6. Automatycznie wyloguj bezczynnych użytkowników
Zabezpieczenie witryny WordPress jest niezbędne, aby chronić się przed złośliwymi atakami. Jednym ze sposobów, aby to zrobić, jest automatyczne wylogowywanie nieaktywnych użytkowników. Zmniejsza to ryzyko, że ktoś inny uzyska dostęp do Twojej witryny, gdy użytkownik może być z dala od swojego komputera lub urządzenia.
Możesz wylogować użytkownika, jeśli nie wchodzi on w interakcję ze stroną przez określony czas, używając wtyczek takich jak Inactive Plugin .
Ta opcja jest szczególnie ważna, jeśli ktoś korzysta z komputerów publicznych, narażając swoje i Twoje dane.
Na koniec aktualizuj swoje nazwy użytkownika i hasła, zwłaszcza jeśli podejrzewasz, że Twoje informacje mogą zostać ujawnione.
7. Wyłącz Hotlinkowanie
Wyłącz hotlinkowanie, aby zapewnić bezpieczeństwo swojej witrynie WordPress. Hotlinkowanie ma miejsce, gdy ktoś bezpośrednio łączy się z obrazem lub plikiem innej witryny internetowej we własnej witrynie internetowej bez samodzielnego hostowania pliku lub obrazu. Może to zużywać przepustowość i może stanowić zagrożenie dla bezpieczeństwa.
Jeśli chcesz zatrzymać hotlinkowanie w WordPress, możesz użyć wtyczki WPShield Content Protector. To blokuje hotlinki z innych stron, więc możesz linkować tylko do plików lub obrazów na swojej własnej stronie.
Aby wyłączyć hotlinkowanie, wykonaj następujące czynności:
Krok 1: Przejdź do WP Shield → Ustawienia .
Krok 3: Przejdź do iFrame Hotlink Protector i włącz Zabezpieczenie Hotlink iFrame .
Krok 4: Ten ochraniacz oferuje cztery różne protokoły.
Wybierz protokół, który najbardziej Ci odpowiada:
1. Pokaż wyskakujące okienko w żądaniach iFrame: Ten protokół wyświetla tylko wyskakujące okienko w iFrame. Nie jest to najbezpieczniejsza metoda.
2. Zablokuj i pokaż pustą stronę w elementach iFrame: Ten protokół blokuje żądanie i wyświetla pustą stronę. Jest to bardzo bezpieczna opcja; może to jednak wpłynąć na UX witryny.
3. Pokaż znak wodny Prawa autorskie do żądań iFrame: Ten protokół dodaje znak wodny do iFrame. To najlepsza opcja dla UX serwisu.
4. Przekieruj żądanie iFrame na stronę niestandardową: Można wybrać stronę niestandardową i tam przekierować żądaną stronę.
Krok 5: Zapisz wprowadzone zmiany.
Ważna uwaga: Oto pełny artykuł na temat zapobiegania hotlinkom, jeśli chcesz zapobiegać im w przypadku obrazów i innych multimediów.
8. Monitoruj aktywność użytkownika
Bezpieczeństwo witryny WordPress może zostać naruszone przez wiele zagrożeń, dlatego monitorowanie aktywności użytkowników jest niezbędne.
Będziesz w stanie zidentyfikować podejrzaną aktywność i podjąć kroki, aby jej zapobiec, jeśli będziesz śledzić, kto odwiedza witrynę, kiedy to robi i co robi.
Korzystając z wtyczki do monitorowania użytkowników, takiej jak WP Activity Log Security Solution, możesz śledzić aktywność użytkowników w witrynie WordPress.
Ta wtyczka umożliwia ustawianie ograniczeń ról użytkowników, śledzenie prób logowania i konfigurowanie alertów dotyczących nietypowych zachowań.
9. Sprawdź, czy nie ma złośliwego oprogramowania
Istnieje kilka powodów, dla których złośliwe oprogramowanie może stanowić poważny problem dotyczący bezpieczeństwa WordPress. Podejmowanie środków zapobiegawczych jest niezbędne, ponieważ sprawdzanie złośliwego oprogramowania, które mogło zainfekować Twoją witrynę.
Powinieneś przeskanować swoją witrynę WordPress za pomocą narzędzia antywirusowego, takiego jak Sucuri lub WordFence , aby znaleźć wszelkie możliwe zagrożenia i je usunąć.
Powinieneś również przeprowadzać regularne skanowanie w poszukiwaniu złośliwego oprogramowania, aby chronić się przed nowymi zagrożeniami. Ponadto upewnij się, że wszystkie wtyczki i motywy są aktualne i pochodzą z wiarygodnych źródeł.
Wykonanie tych kroków może sprawić, że Twoja witryna WordPress będzie bezpieczniejsza i mniej podatna na ataki złośliwego oprogramowania.
10. Wyłącz raportowanie błędów PHP
Musisz wyłączyć raportowanie błędów PHP, aby zabezpieczyć swoją witrynę WordPress. Pomoże Ci zlokalizować wąskie gardła i zapewnić płynne działanie.
Dzięki raportowaniu błędów PHP uzyskasz szczegółowe informacje o ścieżkach i strukturach plików swojej witryny, dzięki czemu będziesz wiedzieć, czy wszystko działa poprawnie.
Problem polega na tym, że pokazywanie luk w zabezpieczeniach witryny na zapleczu stanowi poważne zagrożenie bezpieczeństwa.
Jeśli wyświetla konkretną wtyczkę, na której pojawił się komunikat o błędzie, cyberprzestępcy mogą wykorzystać luki tej wtyczki.
Aby to naprawić, dodaj ten kod do wp-config.php :
error_reporting(0); @ini_set('display_errors', 0);
Wyłączając raportowanie błędów PHP, zasadniczo eliminujesz możliwość wyświetlenia przez Twoją witrynę wszystkiego, co wskazuje na błąd, który mogą zobaczyć hakerzy o złych intencjach.
Podjęcie niezbędnych środków ostrożności jest ważne, jeśli nie chcesz, aby Twoje poufne informacje dostały się w niepowołane ręce.
11. Użyj zapory sieciowej aplikacji
Zapora sieciowa aplikacji (WAF) jest podstawową warstwą bezpieczeństwa WordPress.
WAF monitoruje i blokuje złośliwy ruch w czasie rzeczywistym, chroniąc Twoją witrynę przed złośliwymi atakami i nieautoryzowanym dostępem.
Umożliwia także dostosowywanie reguł w celu wykrywania podejrzanych działań i odfiltrowywania typowych zagrożeń internetowych, takich jak cross-site scripting i iniekcja SQL.
Użyj WAF, który oferuje najwięcej funkcji i ustawień bezpieczeństwa, takich jak uwierzytelnianie dwuskładnikowe , dodawanie adresów IP do białej listy i blokowanie oraz szyfrowanie danych , aby zapewnić optymalną ochronę.
Ponadto upewnij się, że dostawca usług hostingowych często Cię aktualizuje, aby chronić Cię przed nowo wykrytymi błędami. Możesz także zainstalować wtyczkę zapory sieciowej na swojej stronie internetowej, aby odpowiednio ją zabezpieczyć.
Włączenie WAF może pomóc złagodzić ryzyko związane z witryną WordPress, ale powinno to być tylko częścią szerszego planu bezpieczeństwa.
12. Wyłącz edytor plików WordPress
Jest to doskonała funkcja dla blogerów, ponieważ pozwala im edytować pliki WordPress bezpośrednio w edytorze plików. Niemniej jednak jest to również niebezpieczna funkcja, ponieważ haker może uzyskać dostęp do Twojej witryny i zmienić dane za jej pomocą.
Edytory plików mogą być bramami dla hakerów, więc wyłącz je, jeśli ich nie używasz.
Możesz dodać następujący kod na dole pliku wp-config.php w katalogu głównym WordPress, aby wyłączyć Edytor plików:
define('DISALLOW_FILE_EDIT', true);
Możesz teraz wyłączyć Edytor plików i nie powinno to stanowić zagrożenia dla bezpieczeństwa.
13. Zmień domyślny prefiks bazy danych WordPress
Zmiana domyślnego prefiksu bazy danych witryn WordPress zwiększa ich bezpieczeństwo.
Zmiana domyślnego prefiksu bazy danych tworzy dodatkową warstwę zabezpieczeń, utrudniając hakerom odgadnięcie nazwy bazy danych.
Prefiks bazy danych WordPress identyfikuje bazę danych i wszystkie znajdujące się w niej tabele. Domyślnie prefiks to wp_
, ale możesz go zmienić na inny.
Aby zmienić prefiks:
Krok 1: Poszukaj pliku wp-config.php w plikach swojej witryny.
Krok 2: Poszukaj tej linii
“$table_prefix = 'wp_'”
Krok 3: Zmień wp_
na coś bardziej unikalnego, na przykład bsprefix_
i zapisz zmiany.
Krok 4: Otwórz swoją bazę danych w phpmyadmin.
Krok 5: Możesz zmienić nazwy tabel w SQL za pomocą tego kodu:
RENAME table `wp_tablename` TO `bsprefix_tablename`;
Każda tabela, którą chcesz zaktualizować, potrzebuje tego kodu.
Czasami trzeba zmienić niektóre wartości w tabelach, aby to zrobić, wykonaj następujące kroki:
Krok 1: Nadal mogą istnieć tabele z dołączonym starym prefiksem, więc zidentyfikuj je.
Krok 2: Otwórz SQL i uruchom to zapytanie:
SELECT * FROM `bsprefix_tablename` WHERE `field_name` LIKE '%wp_%'
W tym kodzie bsprefix_tablename
to tabela, którą już edytujesz.
Krok 3: Edytuj wyniki z nowym prefiksem, gdy tylko się pojawią.
14. Wyłącz XML-RPC
Jako zabezpieczenie zalecamy wyłączenie funkcji XML-RPC, aby Twoja witryna WordPress pozostała bezpieczna. Funkcja XML-RPC w WordPress umożliwia dostęp i publikowanie treści za pośrednictwem urządzeń mobilnych, włączanie trackbacków i pingbacków oraz korzystanie z wtyczki Jetpack.
W pliku .htaccess dodaj kod, aby go wyłączyć.
Aby wyłączyć XML-PRC, dodaj następujący kod do pliku .htaccess:
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all allow from 000.00.000.000 </Files>
Jednak XML-RPC może zostać wykorzystany przez hakerów do uzyskania dostępu do Twojej witryny i podjęcia wielu prób zalogowania się jednocześnie bez wykrycia przez oprogramowanie zabezpieczające, co naraża Twoją witrynę na atak.
Hakerzy używają interfejsów API XML-RPC, aby uzyskać dostęp do witryn WordPress. Wyłączenie go zatrzyma ataki siłowe, ataki DDoS, spam i inne problemy.
Będziesz chciał się upewnić, że Twoja witryna nadal działa po wyłączeniu XML-RPC. Sprawdź wtyczki, aby upewnić się, że nie wymagają one XML-RPC do działania.
Ważna uwaga: Aby uzyskać więcej informacji, zapoznaj się z naszym artykułem dotyczącym wyłączania XML-RPC w WordPress.
15. Ukryj wersję WordPressa
System zarządzania treścią WordPress wyróżnia się jako jeden z najpopularniejszych obecnie systemów zarządzania treścią na rynku, co czyni go atrakcyjnym celem dla złośliwych użytkowników.
Ukryj wersję WordPress jako jedną z tych praktyk bezpieczeństwa. Widoczna wersja WordPressa ułatwia hakerom ustalenie, jaka wersja działa na serwerze, dzięki czemu mogą znaleźć wszelkie znane luki w zabezpieczeniach.
Na szczęście ukrycie wersji WordPressa jest stosunkowo proste. Wszystko, co musisz zrobić, to postępować zgodnie z tymi instrukcjami:
Krok 1: Przejdź do Wygląd → Edytor plików motywu .
Krok 2: Otwórz funkcje motywu, dodaj następujący kod:
function wp_remove_version() { return ''; } add_filter('the_generator', 'wp_remove_version');
Metatag WordPress pokazuje również wersję i możesz to zmienić, dodając ten kod do function.php.
remove_action('wp_head', 'wp_generator');
Naprawianie zhakowanej witryny WordPress
Jeśli Twoja witryna WordPress została zhakowana, istnieje kilka kroków, które możesz podjąć, aby to naprawić. Najpierw zidentyfikuj i usuń złośliwy kod lub pliki. Następnie zaktualizuj wszystkie hasła i wtyczki do ich najnowszych wersji. Na koniec zastosuj środki bezpieczeństwa, takie jak uwierzytelnianie dwuskładnikowe i zapora ogniowa, aby zapobiec przyszłym atakom.
Zhakowana witryna WordPress może być przerażającym doświadczeniem. Jeśli tak się stanie, możesz potrzebować pomocy w ustaleniu, od czego zacząć.
Oto kilka wskazówek, które pomogą Ci naprawić zhakowaną witrynę WordPress. Ochrona witryny WordPress przed hakerami jest niezbędna.
Eksperci mogą pomóc w rozwiązaniu tego problemu, ale jeśli wolisz rozwiązać go samodzielnie, możesz wykonać kilka czynności.
Zacznij od zamknięcia swojej witryny. Zapobiegnie to dalszemu uszkodzeniu. Na wszelki wypadek wykonaj kopię zapasową wszystkich ważnych plików i danych.
Bardzo ważne jest, aby dowiedzieć się, skąd pochodzi atak, zanim zaczniesz naprawiać zhakowaną witrynę WordPress.
Spróbuj skontaktować się z dostawcą usług hostingowych i postępuj zgodnie z jego instrukcjami. Mogą być w stanie pomóc. Mają do czynienia z tego rodzaju sprawami na co dzień i znają swoje środowisko hostingowe, więc będą wiedzieć, jak pomóc.
Jeśli regularnie tworzysz kopię zapasową swojej witryny , możesz przywrócić witrynę WordPress do stanu sprzed ataku hakerów.
Skanuj w poszukiwaniu złośliwego oprogramowania i usuń je . Oczyść swoją witrynę WordPress i usuń wszystkie nieaktywne motywy lub wtyczki. Czasami to tutaj hakerzy ukrywają swoje backdoory.
Zajrzyj do sekcji użytkownika WordPressa, aby zobaczyć, kto ma uprawnienia administratora. Jeśli jest ktoś podejrzany, usuń go.
Gdy tylko Twoja baza danych WordPress zostanie sprawdzona pod kątem złośliwego kodu lub skryptów, możesz rozpocząć usuwanie złośliwego kodu lub skryptów ze swojego bloga . Możesz jednak rozważyć użycie wtyczki, takiej jak WP Security Scan, aby uczynić ten proces łatwiejszym i bardziej wydajnym.
Jeśli wykonasz te kroki, powinieneś być w stanie zabezpieczyć swoją witrynę WordPress i zapewnić jej bezpieczeństwo. Pamiętaj tylko – zawsze lepiej zapobiegać niż leczyć, więc aktualizuj swoją witrynę, używaj silnych haseł i uważaj na podejrzane działania.
Często zadawane pytania
Najłatwiejszymi sposobami zabezpieczenia witryny WordPress jest aktualizowanie jej, wyłączanie edycji plików, używanie silnych haseł, instalowanie certyfikatu SSL i regularne tworzenie kopii zapasowych wszystkiego.
Zgadzam się, że utrzymywanie aktualnej wersji WordPress jest jednym z najlepszych sposobów na zapewnienie bezpieczeństwa witryny. Najnowsze wersje WordPress zawierają poprawki bezpieczeństwa, które chronią Twoją witrynę przed potencjalnie złośliwymi atakami, dlatego zawsze musisz aktualizować wersję WordPress.
Szyfrowanie danych przesyłanych przez sieć za pomocą certyfikatu SSL doda kolejną warstwę bezpieczeństwa do Twojej witryny WordPress. Oprócz pomocy w budowaniu zaufania między Tobą a odwiedzającymi, pokazuje, że połączenie jest bezpieczne, a udostępniane przez nich dane są bezpieczne dla Ciebie.
Tworzenie kopii zapasowej danych witryny jest niezbędne, jeśli coś się stanie z witryną, na przykład włamanie lub wirus. Regularne kopie zapasowe zapewniają dostęp do najnowszej wersji Twoich danych, którą w razie potrzeby można przywrócić.
Wniosek
W tym poście na blogu na temat wskazówek bezpieczeństwa WordPress omówiliśmy znaczenie unikalnego hasła, uwierzytelniania dwuskładnikowego, regularnych aktualizacji wtyczek, korzystania z wtyczek zabezpieczających i wielu innych.
Daj mi znać, co myślisz w komentarzach poniżej, w zależności od tego, czy ten artykuł był pomocny, czy nie. Dziękuje za przeczytanie.
Bądź na bieżąco z samouczkami i aktualnościami BetterStudio na Facebooku i Twitterze.