Prosta lista kontrolna bezpieczeństwa dla witryn WordPress

Czy wiesz, że ponad 100 000 stron internetowych jest hakowanych codziennie? To prawda, cyberprzestępczość jest poważnym zagrożeniem dla każdej firmy, a każdy, kto ma witrynę WordPress, również nie jest bezpieczny. Miałem starcie z hakerami (i musiałem odzyskać moją witrynę WordPress) i prawdopodobnie wiesz, że to było brzydkie.

Hakerzy aktywnie poszukują podatnych witryn, aby łamać i wykradać dane, które mogą udostępnić dla zysku pieniężnego lub czystego złośliwego zamiaru. Aby chronić siebie i swoją cenną witrynę, powinieneś poważnie zastanowić się nad wzmocnieniem bezpieczeństwa WordPress.

Biorąc pod uwagę utratę przychodów, czasu i wysiłku, gdy hakerzy włamują się do twojej witryny, stworzyliśmy następującą listę kontrolną bezpieczeństwa, której możesz użyć do zabezpieczenia witryny WordPress. Wszystkie elementy bezpieczeństwa w poście są stosunkowo łatwe do wdrożenia nawet dla początkujących:

1. Aktualizacja WordPress
2. Aktualizuj Motywy I Wtyczki
3. Używaj Unikalnych I Silnych Haseł
4. Zainstaluj wtyczkę bezpieczeństwa WordPress
5. Wybierz Świetny Hosting WordPress
6. Użyj SSL (HTTPS)
7. Tworzenie pełnej kopii zapasowej witryny
8. Użyj zapory aplikacji webowej (WAF)
9. Wyłącz edycję plików w WordPress Admin
10. Zabezpiecz Swoją Stronę Logowania
11. Dodaj Uwierzytelnianie
12. Wyloguj Nieaktywnych Użytkowników
13. Skanuj w poszukiwaniu złośliwego oprogramowania i problemów
14. Użyj VPN

Jak widać, podzielimy post na wiele części obejmujących wszystko, od wyboru bezpiecznego hosta po utwardzenie obszaru administracyjnego i innych. Będziesz musiał powtórzyć niektóre zadania związane z bezpieczeństwem, takie jak regularne aktualizowanie motywów. Inne zadania są jednorazowe, ale nadal mają znaczący wpływ na bezpieczeństwo witryny. Sprawdź, co musisz naprawić i zrób to od razu, ponieważ hakerzy też nie tracą czasu.

1. Aktualizacja WordPress

Rdzeń WordPress jest regularnie kontrolowany i sprawdzany pod kątem luk w zabezpieczeniach. W przypadku wykrycia luk w zabezpieczeniach i błędów, główni Programiści zwykle wydają aktualizacje konserwacji. Drobne aktualizacje są instalowane w witrynie WordPress automatycznie.

Będziesz jednak musiał ręcznie zaktualizować WordPress dla wszystkich głównych wersji. Jest to stosunkowo prosty proces, ponieważ otrzymujesz dokuczliwą wiadomość w panelu administracyjnym WordPress. Tylko 22% stron internetowych działa na najnowszej wersji WordPress, co jest smutne, biorąc pod uwagę, jak łatwo jest zaktualizować.

Nie bądź w pozostałych 78%, ponieważ zasadniczo wystawiasz swoją witrynę na wszelkiego rodzaju ataki, nie aktualizując swojej witryny. Zwykle hakerzy są pierwszą grupą osób, które dowiadują się o wszelkich lukach w starych wersjach, ponieważ liczą na wady, aby rozpocząć udane ataki.

Przed aktualizacją WordPress zalecamy przeczytanie informacji o wersji, aby zobaczyć, co się zmieniło i wykonać kopię zapasową witryny (dla bezpieczeństwa). W ten sposób teraz, czego się spodziewać po kliknięciu tego przycisku aktualizacji, i masz failsafe gdyby coś poszło nie tak.

2. Aktualizuj Motywy I Wtyczki

Aktualizując rdzeń WordPress, nie zapomnij również zaktualizować swoich motywów i wtyczek. Hakerzy szczególnie lubią stare motywy i wtyczki ze znanymi lukami w zabezpieczeniach.

Wykorzystują te luki w zabezpieczeniach, a nawet mogą ukryć tylne drzwi w starym motywie lub wtyczce. Jeśli nie zaktualizujesz, mogą włamać się do twojej witryny, kiedy tylko im się spodoba.

Aby uniknąć utraty niestandardowych stylów, zalecamy użycie motywu podrzędnego WordPress w przeciwieństwie do motywu nadrzędnego. W ten sposób nie stracisz swoich dostosowań po zaktualizowaniu motywu.

Yo powinien również wyeliminować wszelkie nieaktywne motywy, wtyczki i nieużywane instalacje WordPress. Nie tylko zaoszczędzisz przepustowość i sprawisz, że Twoja strona będzie szybsza, ale także powstrzymasz hakerów.

Kolejna szybka Uwaga, nigdy nie pobieraj” zerowanych ” motywów premium i wtyczek. Korzystaj tylko z zaufanych źródeł, takich jak WordPress.org, Envato, lub inny renomowany sklep tematyczny.

3. Używaj Unikalnych I Silnych Haseł

Będziesz zaskoczony, gdy dowiesz się, że większość stron internetowych jest hakowana, gdy źli faceci kradną twoje dane logowania. Dodatkowo ataki brute force są dość powszechne i obejmują bombardowanie strony logowania tysiącami kombinacji nazwy użytkownika i hasła, dopóki coś nie da.

Jeśli używasz słabych nazw użytkowników i haseł (takich jak niesławny „admin” lub „12345”), bardzo ułatwiasz hakerom włamanie się do twojej witryny. Zyskaj nawyk tworzenia unikalnych i silnych haseł, które regularnie zmieniasz. Możesz nawet użyć darmowego generatora online, takiego jak ten z LastPass.

Zarządzanie wieloma silnymi hasłami może stanowić problem. Aby pomóc, często polegam na menedżerach haseł, takich jak 1Password lub LastPass, między innymi. Nie używaj ponownie tego samego hasła na wielu stronach internetowych i zawsze chroń swoje dane logowania. Upewnij się, że użytkownicy WordPress również używają silnych haseł.

Pamiętaj, aby używać silnych haseł do poczty e-mail, cPanel, baz danych MySQL i kont FTP.

4. Zainstaluj wtyczkę bezpieczeństwa WordPress

Ilekroć tworzę nową stronę WordPress, zwykle mam kilka wtyczek defacto, które instaluję prawie automatycznie. Dostaję wtyczkę anty-spamową, formularz kontaktowy 7, skróty Symple i bezpieczeństwo iThemes, moją wtyczkę bezpieczeństwa WordPress.

Wtyczka pozwala mi wzmocnić moją obronę WordPress bez zerwania potu. Ma tak wiele funkcji, które sprawiają, że trzymanie złych facetów z dala od moich stron internetowych jest proste. Konfiguracja wtyczki jest bardzo łatwa; powinieneś być gotowy i działać w mgnieniu oka.

Najlepsze wtyczki bezpieczeństwa WordPress oferują różne funkcje, więc przed instalacją sprawdź, czy otrzymujesz wszystkie funkcje potrzebne do zabezpieczenia całej witryny, bez względu na to, jak wyjątkowa. Standardowe funkcje obejmują skanowanie złośliwego oprogramowania, blokowanie adresów IP, zapobieganie brutalnej sile, uwierzytelnianie dwuskładnikowe i wiele więcej-sprawdzanie wielu pól tej listy kontrolnej bezpieczeństwa, którą właśnie czytasz!

5. Wybierz Świetny Hosting WordPress

Zazwyczaj początkujący wybierają pierwszy tani pakiet hostingowy, z którym się spotykają. Nie miałbym ci tego za złe, ponieważ nie wiesz lepiej, ale wątpliwie tani (lub nawet darmowy) współdzielony hosting może narazić Cię na ryzyko bezpieczeństwa. Wiem to na pewno, ponieważ zostałem zhakowany na dwie różne firmy hostingowe oferujące współdzielony hosting.

Hosting współdzielony polega na udostępnianiu serwera tysiącom innych stron internetowych. Zwiększa to ryzyko zanieczyszczenia krzyżowego. Oznacza to, że haker może uzyskać dostęp do twojej witryny, nawet jeśli czyjaś witryna była pierwotnym punktem ataku.

Z drugiej strony zarządzany hosting WordPress koncentruje się wyłącznie na stronach internetowych WordPress. Nie udostępniasz serwera innym i masz więcej opcji zabezpieczeń, aby zachować bezpieczeństwo. Oferują również dedykowane wsparcie, a Więcej opcji odzyskiwania powinno się zdarzyć.

Jeśli musisz korzystać z hostingu współdzielonego, powiedzmy, że zaczynasz od bloga, który jeszcze nie zarabia, upewnij się, że Witryny są odizolowane lub „uwięzione”.”Jeśli prowadzisz stronę biznesową lub e – commerce, opłaca się korzystać z najlepszego hostingu WordPress, który możesz zmieścić w swoim budżecie od samego początku-takiego jak VPS, dedykowany lub zarządzany hosting WordPress.

6. Użyj SSL (HTTPS)

W dzisiejszych czasach wiele firm hostingowych WordPress oferuje bezpłatne certyfikaty SSL od samego początku i nie bez powodu. Certyfikaty SSL sprawiają, że Twoja witryna jest bezpieczniejsza niż witryny bez SSL. Google zaleca również stosowanie certyfikatów SSL w celu ochrony danych w witrynie (i upewnij się, że użytkownicy wiedzą, czy używasz SSL, czy nie).

HTTPS jest bezpieczniejszy niż poprzedni HTTP. Witryna internetowa korzystająca z protokołu HTTPS szyfruje wszystkie dane, które poruszają się między przeglądarką użytkownika a serwerami. Jeśli haker przechwytuje komunikację, znajdzie tylko zaszyfrowane dane, które są tak przydatne, jak jednonogi mężczyzna w konkursie kopania tyłków 🙂

Instalowanie certyfikatów SSL na większości hostów internetowych jest tak proste, jak A, B, C. Większość oferuje instalatory jednym kliknięciem, które ułatwiają cały proces. Po prostu zaloguj się do swojego cPanel i kliknij jeden przycisk, aby zainstalować i zarządzać swoimi certyfikatami SSL. Jeśli chcesz bardziej praktyczne podejście, rozważ sprawdzenie Let ’ s Encrypt.

7. Tworzenie pełnej kopii zapasowej witryny

Kiedy hakerzy zdetronizowali mnie, musiałem odbudować moje strony internetowe od podstaw, ból głowy, którego bym uniknął, gdybym niezawodnie pamiętał o kopii zapasowej WordPressa.

Ale nie, kopie zapasowe, które były z moim hostem, zostały uszkodzone podczas ataku i nie, nie miałem dodatkowego rozwiązania do tworzenia kopii zapasowych. Klasyczny przypadek włożenia wszystkich jajek do jednego koszyka, który dał mi trudną lekcję.

Obecnie tworzę pełne kopie zapasowe witryn, które zawierają pliki i bazy danych mojej witryny. Używam głównie ManageWP, ale używam również wtyczki Duplicator do przechowywania kopii zapasowych na moim komputerze i na Dysku Google.

Zachęcam do regularnego tworzenia pełnych kopii zapasowych. Wiele rozwiązań do tworzenia kopii zapasowych WordPress pozwala zautomatyzować cały proces, oszczędzając czas i zapewniając spokój ducha.

8. Użyj zapory aplikacji webowej (WAF)

Aby dodać dodatkową warstwę zabezpieczeń do witryny WordPress i lepiej spać w nocy, Włącz zaporę aplikacji internetowej (WAF). WAF chroni Twoją witrynę, blokując złośliwy ruch na długo przed dotarciem do twojej witryny. Jest to proaktywny środek, aby zatrzymać złoczyńców martwych na ich tropie, zanim spowodują jakiekolwiek szkody.

Zapora filtruje Twój ruch przychodzący, eliminując hakerów, jednocześnie pozwalając legalnym użytkownikom. Wiele firm zajmujących się bezpieczeństwem WordPress oferuje zapory aplikacji internetowych wraz z innymi funkcjami. Popularne opcje w branży to Sucuri i Cloudflare.

9. Wyłącz edycję plików w WordPress Admin

WordPress CMS jest wyposażony w fantastyczny edytor kodu, który pozwala edytować wtyczki i pliki motywów w panelu administracyjnym WordPress. Edytor kodu jest doskonałym narzędziem do twojej dyspozycji, ale w niepowołanych rękach hakerzy mogą go użyć do deface lub dodać złośliwe oprogramowanie na twojej stronie.

Zawsze możesz edytować pliki motywu i wtyczek (w razie potrzeby) za pośrednictwem FTP lub menedżera plików w cPanel, co oznacza, że możesz całkowicie wyłączyć edytor kodu w WordPress. Nie chcesz, aby hakerzy, którzy uzyskują dostęp do obszaru administracyjnego WordPress, mieli dostęp do edytora kodu, ponieważ mogą spowodować wiele szkód za pomocą kilku linii kodu.

Co robić? Możesz wyłączyć wbudowany edytor kodu za pomocą darmowej wtyczki Sucuri Security. Alternatywnie możesz dodać następujący kod do swojego wp-config.php plik:

// Zakaz edycji pliku
define ('DISALLOW_FILE_EDIT', true );

Idziemy dalej.

10. Zabezpiecz Swoją Stronę Logowania

Zazwyczaj formularz logowania na WordPress ma dwa pola; Nazwa użytkownika i hasło. Z napastnikami brute force i botami coraz mądrzejszymi z dnia na dzień, jak powstrzymać hakerów przed uzyskaniem dostępu do obszaru administracyjnego WordPress? To proste; dodajesz CAPTCHA lub pytania zabezpieczające, które utrudniają komukolwiek uzyskanie nieautoryzowanego dostępu.

I nie musisz edytować kodu, aby dodaj CAPTCHA lub pytania bezpieczeństwa na Twoją stronę logowania. Istnieje popularna wtyczka WordPress znana jako pytanie zabezpieczające WP, która jest łatwa w konfiguracji i obsłudze. Jeśli chcesz użyć CAPTCHA, możesz użyć prostego logowania Captcha, Wordfence lub jednej z wielu innych opcji dostępnych za darmo na stronie WordPress.org.

Jednocześnie możesz zmień adres URL wp-login za coś wyjątkowego. W ten sposób boty i hakerzy będą mieli trudności z odgadnięciem adresu URL strony logowania. wp-login jest już popularny wśród hakerów, więc warto zmienić adres URL na coś innego. Możesz użyć wtyczki, takiej jak WPS Ukryj Logowanie.

11. Dodaj Uwierzytelnianie

Ponadto rozważ wdrożenie uwierzytelniania dwu-i wieloskładnikowego. Jeśli haker uzyska dostęp do Twoich danych logowania, nie będzie mógł zalogować się do twojej witryny WordPress. Dostępnych jest wiele opcji, ale Google Authenticator jest popularnym wyborem.

Poza tym ogranicz logowania na stronie logowania. Jeśli odwiedzający próbuje zalogować się za pomocą konta, które nie istnieje lub próbuje się zalogować wiele razy, najprawdopodobniej jest to haker lub bot próbujący brutalnie wymusić wejście. Możesz użyć wtyczki, takiej jak ograniczenie prób logowania lub blokada logowania, aby utrzymać te natrętne elementy z dala.

12. Wyloguj Nieaktywnych Użytkowników

Jeśli masz witrynę WordPress z wieloma użytkownikami, nie możesz w pełni kontrolować, w jaki sposób i gdzie użytkownicy uzyskują dostęp do twojej witryny. Autor może zdecydować się na korzystanie z bezpłatnego publicznego Wi-Fi, aby dokonać ostatecznych poprawek w artykule. Projektant stron internetowych może opuścić swoje biurko i wrócić z godzinnej przerwy na lunch.

W takich sytuacjach użytkownik może nieświadomie narazić swoją witrynę na zagrożenia bezpieczeństwa. Złośliwa osoba może przejąć sesję, edytować swoje dane i po prostu siać spustoszenie. Jeśli nieupoważniona strona wie, co robi, może łatwo przejąć konto użytkownika i wyrządzić szkodę.

Co robić? Możesz wylogować nieaktywnych użytkowników automatycznie po określonym czasie. A najlepsze? Istnieją wtyczki do tego celu. Jedną z popularnych opcji jest nieaktywna Wtyczka wylogowania, która zawiera opcje dostosowywania czasu bezczynności przed wylogowaniem, niestandardową wiadomość wyskakującą lub przekierowanie po wylogowaniu i limit czasu zgodnie z rolą użytkownika.

13. Skanuj w poszukiwaniu złośliwego oprogramowania i problemów (regularnie)

Często zapominane, regularne skanowanie witryny WordPress może pomóc wcześnie zidentyfikować problemy z bezpieczeństwem. To zajmuje tylko sekundę, aby haker włamał się do twojej witryny i zrobił wszelkiego rodzaju paskudne rzeczy. Właśnie dlatego powinieneś być zawsze na bieżąco.

Wiele wtyczek bezpieczeństwa WordPress do skanowania w poszukiwaniu infekcji złośliwym oprogramowaniem, znanych luk w zabezpieczeniach, przestarzałych skryptów, ataków brute force, nieistniejących kopii zapasowych i tak dalej. Wtyczki wysyłają szczegółowe raporty o znanych problemach, dzięki czemu można je naprawić lub zatrudnić profesjonalistę.

Istnieje wiele skanerów stron internetowych, takich jak Sucuri SiteCheck, których możesz użyć, aby sprawdzić swoją witrynę w mgnieniu oka. Wszystko, co musisz zrobić, to wpisać swój adres URL,a Narzędzia automatycznie sprawdzą Twoją witrynę. Następnie oferują Ci raport na temat tego, co musisz naprawić. Po otrzymaniu raportu natychmiast napraw wszystkie luki w zabezpieczeniach.

14. Użyj VPN

Jeśli prowadzisz stronę internetową, która zawiera poufne informacje, które nigdy nie mogą dostać się w ręce hakerów, rozważ użycie wirtualnej sieci prywatnej (VPN), tym bardziej, gdy korzystasz z bezpłatnego publicznego Wi-Fi. VPN chroni Cię przed atakami typu man-in-middle, które są powszechne w sieciach publicznych, w tym w domu i pracy.

Wirtualna sieć prywatna zapewnia, że nawet jeśli napastnicy uzyskają dostęp do systemu i wykradną Twoje dane, nie mogą nic zrobić z danymi, które Ci zabierają. Jeśli masz sieć internetową, którą udostępniasz wielu osobom, Zawsze używaj VPN przed uzyskaniem dostępu do obszaru administracyjnego WordPress.

Inne Opcje Zabezpieczeń WordPress

Potrzebujesz więcej do zrobienia? Chcielibyśmy, aby Twoja strona była bezpieczna przez cały czas, więc oto dodatkowe elementy bezpieczeństwa, które możesz dodać do listy kontrolnej:

• Wyłącz wykonywanie plików PHP w / wp-content / wp-uploads/
• Zmień prefiks bazy danych WordPress
• Hasło Chroń swoje strony admina i logowania po stronie serwera
• Wyłącz indeksowanie katalogów
• Wyłącz WP REST API i XML-RPC, jeśli nie jest to potrzebne
• Nie edytuj / nie zmieniaj rdzenia WordPress-napisz lub użyj wtyczki, która oferuje funkcje, których potrzebujesz
• Upewnij się, że Twoja strona działa w najnowszej wersji PHP
• Użyj programu antywirusowego na komputerze
• Włącz Google Search Console
• Zmniejsz luki w zabezpieczeniach XSS i SQL Injection (możesz potrzebować bardziej zaawansowanej technologicznie osoby, która pomoże Ci z tymi dwoma)

Naprawdę liczba kroków, które możesz podjąć, aby chronić swoją witrynę, jest nieograniczona. Ale jeśli możesz sprawdzić elementy 14, które wymieniliśmy, jest to ogromny krok do zabezpieczenia Twojej witryny.

Zabezpieczenie witryny WordPress jest trudne, ale nie niemożliwe. Dzięki odpowiednim narzędziom i umiejętnościom możesz szybko wzmocnić swoje bezpieczeństwo WordPress i trzymać złych aktorów z dala.

Podsumowując, zawsze aktualizuj swoją stronę. Ponadto nigdy nie pobieraj motywów ani wtyczek z nierzetelnych witryn. Aby być po bezpiecznej stronie w przypadku najgorszego zdarzenia, Zawsze miej niezawodne rozwiązanie do tworzenia kopii zapasowych.

Mamy nadzieję, że znalazłeś wszystkie wskazówki, których potrzebujesz, aby zabezpieczyć swoją stronę WordPress, a więc biznes online. Jeśli masz pytanie lub potrzebujesz pomocy w ustaleniu, jak zabezpieczyć swoją witrynę WordPress, daj nam znać w komentarzach. Uważaj na siebie!