W artykule:
  1. Dlaczego haker byłby zainteresowany moją stroną?
  2. Jak haker znajdzie moją stronę?
  3. Zabezpieczenie WordPress: 32-Stopniowa Lista Kontrolna
  4. Część 1: kroki, które każdy powinien podjąć, aby zabezpieczyć swoją witrynę WordPress
  5. Część 2: zabezpieczanie witryny WordPress dla maniaków bezpieczeństwa
  6. Część 1: kroki, które każdy powinien podjąć, aby zabezpieczyć swoją witrynę WordPress
  7. #1: zawsze aktualizuj swoją wersję WordPress
  8. #2: nie zmieniaj rdzenia WordPress
  9. #3: Upewnij Się, Że Wszystkie Wtyczki Są Aktualizowane
  10. # 4: usuń wszelkie nieaktywne lub nieużywane wtyczki
  11. # 5: Upewnij Się, Że Wszystkie Motywy Są Aktualizowane
  12. # 6: Instaluj motywy, wtyczki i skrypty tylko z ich oficjalnego źródła
  13. #7: Wybierz bezpieczną usługę hostingową WordPress
  14. #8: upewnij się, że w Twojej witrynie działa najnowsza wersja PHP
  15. # 9: zmiana nazwy użytkownika administratora
  16. #10: Zawsze Używaj Silnych Haseł
  17. #11: nie używaj haseł ponownie
  18. #12: Chroń swoje hasło(y), unikając transmisji hasła zwykłego tekstu
  19. #13: Aktualizuj Swoją Witrynę Tylko Z Zaufanych Sieci
  20. #14: użyj lokalnego antywirusa
  21. #15: Włącz Google Search Console
  22. # 16: zabezpiecz WordPress za pomocą kuloodpornej wtyczki bezpieczeństwa WordPress
  23. #17: Jeśli Wszystko Inne Zawiedzie, Przywróć Z Kopii Zapasowej
  24. Część 2: Bezpieczeństwo WordPress Dla Maniaków Bezpieczeństwa
  25. #18: Ogranicz Próby Logowania
  26. #19: Włącz Uwierzytelnianie Dwuskładnikowe
  27. #20: Upewnij Się, Że Uprawnienia Do Plików Są Poprawne
  28. #21: Zmień domyślny prefiks tabeli
  29. #22: upewnij się, że ustawiłeś tajne klucze uwierzytelniania WordPress
  30. # 23: Wyłącz Wykonywanie PHP
  31. # 24: Segreguj Swoje Bazy Danych WordPress
  32. # 25: Ogranicz Uprawnienia Użytkowników Bazy Danych
  33. # 26: Wyłącz Edycję Plików
  34. # 27: Zabezpiecz Swój wp-config.php Plik
  35. #28: Wyłącz XML-RPC (jeśli go nie używasz)
  36. #29: Wyłącz Raportowanie błędów PHP
  37. # 30: zainstaluj Firewall
  38. #31: użyj zapory sieciowej dostarczania treści
  39. # 32: Monitoruj Swoje Bezpieczeństwo WordPress Dzięki Logowaniu Zabezpieczeń
  40. Dbanie O Bezpieczeństwo WordPressa

Kiedy zaczynałem jako projektant stron internetowych i programista, moim największym problemem było doprowadzenie rzeczy do działania tak, jak chciałem.

Martwiłem się bardziej o to, aby rzeczy (głównie) działały tak, jak oczekiwałem. Doprowadzenie rzeczy do szału było zwykle jednym z moich głównych celów podczas kończenia strony internetowej.

Bezpieczeństwo WordPress było najmniejszym z moich problemów. Hacking był czymś, o czym czytałem, a nie czymś, czego oczekiwałem, że mi się stanie. SQL injection, cross-site scripting, podniesienie uprawnień i krytyczne luki w zabezpieczeniach to tylko słowa kluczowe w tech news.

Ale pewnego dnia, zabezpieczenie moich stron nagle stało się bardzo ważne, bardzo szybko, kiedy mój kanał na Facebooku powiedział mi, że istnieje krytyczna luka w WordPressie, która była aktywnie wykorzystywana. Kiedy następnym razem próbowałem zalogować się na mojej stronie, moje dane logowania nie zostały zaakceptowane.

Większość moich stron została naruszona przez lukę.

Ale mi się poszczęściło. Podjąłem jeden nieumyślny środek ostrożności, który uratował moje witryny przed pełnym wykorzystaniem-zmieniłem nazwę użytkownika administratora – i pomimo faktu, że luka została wykorzystana na mojej stronie, hakerzy nie mogli się zalogować. Używałem złożonej nazwy użytkownika administratora, a nie domyślnej nazwy użytkownika “admin”, której oczekiwali hakerzy.

Dziś wiem co innego.

Bezpieczeństwo WordPress jest fundamentalne: każda witryna WordPress musi być w pełni zabezpieczona i utwardzona.

Zabezpiecz swoją witrynę dzięki naszej 32-stopniowej liście kontrolnej bezpieczeństwa dla WordPressPobierz bezpłatną listę kontrolną

Dlaczego haker byłby zainteresowany moją stroną?

Zanim naprawdę zanurzysz się głęboko w zabezpieczeniu swojej witryny i wszystkich kroków, które musisz podjąć, aby powstrzymać włamanie się do WordPressa, ważne jest, aby zrozumieć logistykę i uzasadnienie włamania na stronę.

To zrozumiałe, że możesz się zastanawiać:

“Dlaczego haker miałby interesować się moją stroną? To tylko strona mojego lokalnego biznesu, widziana najwyżej przez kilkaset osób. Co z tego wyciągną?”

Istnieje wiele powodów, dla których haker byłby zainteresowany twoją “małą” stroną internetową.

Chociaż niektóre hacking odbywa się z powodów politycznych (niszczenie stron internetowych w celu wysyłania określonych wiadomości politycznych, na przykład), tego typu hacki są zazwyczaj bardzo zlokalizowane i nie tak popularne, jak media głównego nurtu by je uznać za.

Większość ataków hakerskich ma miejsce z bardziej przebiegłych powodów.

W dzisiejszych czasach hakowanie jest częścią kręgu przestępczości, którego ostatecznym celem jest zarabianie pieniędzy za pomocą oszukańczych środków. Zazwyczaj po zhakowaniu strony internetowej staje się pośrednikiem w dystrybucji złośliwego oprogramowania. W większości przypadków właściciel strony jest nieświadomy tego wszystkiego.

Istnieją struktury, które są kupowane i sprzedawane na czarnym rynku online, co sprawia, że dystrybucja złośliwego oprogramowania za pośrednictwem zhakowanych stron internetowych jest łatwa.

W istocie, Twoja strona może stać się stroną zaangażowaną w działalność przestępczą!

Poza tym istnieją inne negatywne implikacje:

  • Twoja witryna może być używana jako serwer proxy do spamowania
  • Strona internetowa, która została zhakowana i zniszczona, najprawdopodobniej doprowadziłaby do nadszarpnięcia reputacji marki. To poza poważnym wstydem
  • Zhakowane witryny zazwyczaj przytłaczają ich serwer hostingowy, co powoduje zamknięcie witryny. Zazwyczaj skutkuje to utratą działalności
  • Koszty odzyskania zhakowanej strony internetowej mogą się różnić od bardzo małych (Jeśli masz kopię zapasową witryny) do pełnej przebudowy, jeśli Twoje dane zostaną usunięte / utracone bez szans na odzyskanie

Czy uważasz, że Twoja strona jest tak mała, że nikt jej nie zaatakuje? Pomyśl jeszcze raz.

Korzystanie z poniższej listy kontrolnej bezpieczeństwa WordPress przejdzie długą drogę w kierunku uczynienia witryny WordPress odporną na hakerów.

Jak haker znajdzie moją stronę?

Możesz fałszywie założyć, że w milionach stron internetowych dostępnych online prawdopodobieństwo znalezienia i kierowania witryny przez hakera jest bardzo odległe. W końcu twoja strona to tylko kropla w oceanie stron internetowych, prawda?

Strasznie się mylisz.

Hakerzy nie wykonują tej pracy ręcznie. Zatrudniają sługusów do brudnej roboty.

Cóż, nie do końca sługusy – są to w rzeczywistości (ro)boty lub Programy, których jedynym celem jest wyszukiwanie podatnych stron internetowych.

Te programy lub skrypty są zwykle uruchamiane na serwerach w chmurze, gdzie można je skonfigurować i zniszczyć w dowolnym momencie, pozostawiając niewiele śladów. Skrypty zatrudniają środki do odkrywania setek, jeśli nie tysięcy stron internetowych na godzinę.

Fakt, że skrypty są kupowane bardzo tanio i uruchamiane na tanich serwerach hostingowych w chmurze, sprawia, że “inwestycja” jest warta zachodu. Skrypty te są powszechnie kupowane i sprzedawane na podejrzanych forach marketingowych.

Po znalezieniu witryny jest ona badana pod kątem tysięcy znanych luk w zabezpieczeniach. Jeśli Twoja witryna WordPress nie została w pełni zabezpieczona, prawdopodobieństwo, że witryna pojawi się bez szwanku, jest absolutnie Minimalne.

Luki w zabezpieczeniach są stale wykrywane w WordPress i jego wtyczkach. Dlatego zabezpieczenie WordPress ma kluczowe znaczenie dla zdrowia Twojej witryny.

Zabezpieczenie WordPress: 32-Stopniowa Lista Kontrolna

Mając na uwadze wszystkie powyższe przerażające rzeczy, chcę się upewnić, że jesteś uzbrojony w całą wiedzę, którą możesz uzyskać, aby w pełni zabezpieczyć swoją witrynę WordPress.

Oto lista kontrolna wszystkich rzeczy, które powinieneś robić, aby zabezpieczyć swoje witryny WordPress.

Ta lista kontrolna jest podzielona na dwie części: pierwsza część zawiera środki, które absolutnie każdy powinien robić-głównie podstawowe rzeczy, takie jak posiadanie silnych haseł. Druga część dotyczy zaawansowanych środków bezpieczeństwa WordPress dla tych, którzy naprawdę mają paranoję na temat bezpieczeństwa. To jest dla administratorów, którzy chcą zablokować drzwi, założyć łańcuch wokół drzwi i założyć na nie kłódkę. A potem kłódka na kłódce.

Część 1: kroki, które każdy powinien podjąć, aby zabezpieczyć swoją witrynę WordPress

#1: zawsze aktualizuj swoją wersję WordPress
#2: nie zmieniaj rdzenia WordPress
#3: Upewnij Się, Że Wszystkie Wtyczki Są Aktualizowane
# 4: usuń wszelkie nieaktywne lub nieużywane wtyczki
# 5: Upewnij Się, Że Wszystkie Motywy Są Aktualizowane
# 6: Instaluj motywy, wtyczki i skrypty tylko z ich oficjalnego źródła
#7: Wybierz bezpieczną usługę hostingową WordPress
#8: upewnij się, że w Twojej witrynie działa najnowsza wersja PHP
# 9: zmiana nazwy użytkownika administratora
#10: Zawsze Używaj Silnych Haseł
#11: nie używaj haseł ponownie
#12: Chroń swoje hasło(y), unikając transmisji hasła zwykłego tekstu
#13: Aktualizuj Swoją Witrynę Tylko Z Zaufanych Sieci
#14: użyj lokalnego antywirusa
#15: Włącz Google Search Console
# 16: zabezpiecz WordPress za pomocą kuloodpornej wtyczki bezpieczeństwa WordPress
#17: Jeśli Wszystko Inne Zawiedzie, Przywróć Z Kopii Zapasowej

Część 2: zabezpieczanie witryny WordPress dla maniaków bezpieczeństwa

Cóż, nie do końca pasjonaci bezpieczeństwa, per se.

Chociaż są to nieco bardziej zaawansowane wskazówki dotyczące bezpieczeństwa WordPress, zazwyczaj musisz tylko wiedzieć, jak zainstalować wtyczkę, dostosować kilka plików tu i tam i ogólnie być gotowym na możliwość złamania rzeczy. Bądź gotowy do powrotu z kopii zapasowych, jeśli tak się stanie.

#18: Ogranicz Próby Logowania
#19: Włącz Uwierzytelnianie Dwuskładnikowe
#20: Upewnij Się, Że Uprawnienia Do Plików Są Poprawne
#21: Zmień domyślny prefiks tabeli
#22: upewnij się, że ustawiłeś tajne klucze uwierzytelniania WordPress
# 23: Wyłącz Wykonywanie PHP
# 24: Segreguj Swoje Bazy Danych WordPress
# 25: Ogranicz Uprawnienia Użytkowników Bazy Danych
# 26: Wyłącz Edycję Plików
# 27: Zabezpiecz swoją wp-config.plik php
#28: Wyłącz XML-RPC (jeśli go nie używasz)
#29: Wyłącz Raportowanie błędów PHP
# 30: zainstaluj Firewall
#31: użyj zapory sieciowej dostarczania treści
# 32: Monitoruj Swoje Bezpieczeństwo WordPress Dzięki Logowaniu Zabezpieczeń

Część 1: kroki, które każdy powinien podjąć, aby zabezpieczyć swoją witrynę WordPress

#1: zawsze aktualizuj swoją wersję WordPress

Raz po raz słyszysz ludzi, którzy wyłączają podstawowe aktualizacje WordPress, ponieważ ” aktualizacja może zepsuć jedną z moich wtyczek.”

Jest to poważnie błędne rozumowanie.

Gdybyś musiał wybrać między zhakowaną stroną a tymczasowo zepsutą wtyczką, którą byś wybrał?

Wtyczki, które są niezgodne z najnowszymi wersjami WordPressa, pozostaną w ten sposób tylko przez bardzo krótki czas. Z drugiej strony zhakowana strona to o wiele większy problem.

It's important to always keep your WordPress core software up-to-date.
Ważne jest, aby zawsze aktualizować podstawowe oprogramowanie WordPress.

Każda aktualizacja core rozwiązuje ostatnio wykryte problemy z bezpieczeństwem. Jeśli podstawowe oprogramowanie WordPress nie zostanie zaktualizowane, Twoja witryna będzie podatna na te problemy.

Jeśli chcesz włączyć aktualizacje rdzenia WordPress bez wtyczki, możesz to zrobić za pośrednictwem wp.config.php plik. Dodaj następujący wiersz do pliku:

Ładowanie gist raewrites / e6414aed587d9d138bdcbfa4ea1617c9

Powyższe jednak umożliwi również rozwój rdzenia i nocne aktualizacje, których prawdopodobnie nie chcesz. Dodaj następujące elementy do swojego funkcje.php plik, aby uzyskać tylko główne i mniejsze wydania:

Ładowanie gist raewrites / 48593149797e756e1eff09e9c17fee9c

Uwaga: zwykle nie zalecamy bezpośredniej edycji funkcje.php plik. Zawsze lepiej jest stworzyć motyw potomny.

Omówimy później, jak również automatycznie aktualizować wtyczki WordPress i motywy WordPress.

#2: nie zmieniaj rdzenia WordPress

W momencie, gdy ty lub deweloper edytujesz pliki źródłowe rdzenia WordPress, nie możesz już łatwo i automatycznie aktualizować WordPressa do najnowszej wersji, ponieważ stracisz zmiany wprowadzone w witrynie

Oznacza to, że Twoja strona jest martwa w wodzie, gdy tylko w Twojej wersji WordPress zostanie wykryta luka w zabezpieczeniach. Albo będziesz musiał samodzielnie wymyślić, jak zaimplementować konkretne poprawki, albo po prostu pozostawić je bez pokrycia. Pierwszy z nich to dużo kłopotów i logistyczny koszmar; drugi to poważne zagrożenie bezpieczeństwa.

Co należy zrobić, jeśli chcesz zmienić funkcjonalność WordPress? Napisz plugin oczywiście. Daje to możliwość robienia wszystkiego, czego potrzebujesz, bez narażania rdzenia WordPress.

Oczywiście ta sama logika dotyczy wtyczek i motywów. W momencie, gdy wykonasz jakiekolwiek podstawowe poprawki wtyczek i motywów, tracisz możliwość aktualizacji do najnowszej wersji. To pozostawia Twoją witrynę otwartą na hakowanie.

Istnieją sposoby i sposoby uzyskania pożądanej funkcjonalności, której potrzebujesz bez faktycznej zmiany rdzenia. Jeśli jakiś programista, z którym pracujesz, zasugeruje wprowadzenie takich zmian, przebiegnij milę.

#3: Upewnij Się, Że Wszystkie Wtyczki Są Aktualizowane

Podobnie jak w przypadku plików podstawowych WordPress, luki w zabezpieczeniach są często spotykane w wtyczkach WordPress innych firm. Doszło do wielu głośnych incydentów hakerskich z powodu popularnych wtyczek zawierających luki w zabezpieczeniach.

Nie będziemy ich tutaj wymieniać i zawstydzać. Większość oprogramowania jest podatna na te problemy w pewnym momencie swojego istnienia. To, w jaki sposób radzimy sobie z luką, pokazuje, z czego są ludzie prowadzący firmę.

Wiele razy, gdy tylko pojawi się problem, twórcy wtyczki szybko go naprawią i wydadzą aktualizację.

W tym momencie staje się twoja odpowiedzialność aby zaktualizować wtyczkę do najnowszej wersji, w przeciwnym razie nadal jesteś podatny na atak hakerski.

Always keep your plugins up-to-date to ensure you are using the latest version.
Zawsze aktualizuj swoje wtyczki, aby upewnić się, że używasz najnowszej wersji.

Niezależnie od tego, czy robisz to ręcznie, czy automatycznie, zawsze aktualizuj swoje wtyczki.

Możesz włączyć automatyczne aktualizacje w tle na WordPress.org wtyczki za pomocą następujących zmian w Twoim funkcje.php plik

Ładowanie gist raewrites / f3bc81335177aef8d09cbb02e550b311

Dotyczy to tylko wtyczek pobranych z WordPress.org. wszelkie komercyjne aktualizacje wtyczek muszą być obsługiwane za pośrednictwem własnego mechanizmu aktualizacji.

Nie zaniedbuj aktualizacji wtyczek. Zachowaj aktywne członkostwo wtyczek, abyś zawsze mógł otrzymywać najnowsze aktualizacje.

# 4: usuń wszelkie nieaktywne lub nieużywane wtyczki

Wraz ze wzrostem liczby instalowanych wtyczek wzrasta ryzyko wykrycia luki w jednej z tych wtyczek.

Czasami instalujemy wtyczki, aby przetestować ich funkcjonalność, a następnie zapominamy o ich usunięciu z naszej strony. Jeśli w tych wtyczkach zostanie wykryta Luka, Twoja witryna stanie się łatwym celem (zwłaszcza jeśli nie zastosujesz się do powyższych porad i zawsze aktualizujesz wtyczki).

Twoja strona jest nadal podatna na zagrożenia, nawet jeśli ta wtyczka jest zainstalowana na twojej stronie i nie jest używana.

Najbezpieczniejszym sposobem zminimalizowania ryzyka jest całkowite odinstalowanie wszelkich wtyczek, których nie używasz. Istnieje bardzo łatwy sposób, aby dowiedzieć się, które wtyczki nie są używane. Są one oznaczone jako Nieaktywny w sekcji Wtyczki administratora WordPress.

Usuń je.

Ponadto usuń wszelkie wtyczki, które są aktywne, ale nadal nie są używane. Jeszcze lepiej, podczas testowania wtyczek, nie testuj ich na swojej stronie NA ŻYWO. Zamiast tego utwórz kopię testową swojej witryny(na lokalnym serwerze testowym lub w miejscu oddzielonym od serwera aktywnego). Wykonaj testowanie wtyczek w tej witrynie zamiast witryny na żywo.

# 5: Upewnij Się, Że Wszystkie Motywy Są Aktualizowane

Ta sama logika, która dotyczy aktualizacji rdzenia WordPress i aktualizacji wtyczek, dotyczy motywów. Zabezpieczenie WordPress oznacza, że wszystkie motywy muszą być aktualizowane do ich najnowszych wersji. W przeciwnym razie wszelkie luki w zabezpieczeniach, które zostały naprawione, pozostaną problemem w Twojej witrynie.

Teraz prawdopodobnie myślisz o wszystkich zmianach, które wprowadziłeś do motywu i o tym, jak te zmiany się zepsują, jeśli wykonasz aktualizację motywu. W rzeczywistości zmiany w motywach powinny być dokonywane za pomocą motywów potomnych, a nie bezpośrednio do rzeczywistego motywu. Pozwoli to uzyskać najnowsze poprawki i aktualizacje zabezpieczeń bez przerywania zmian.

Jeśli chcesz całkowicie odpocząć, najlepiej byłoby również usunąć nieużywane motywy. Możesz sprawdzić, które motywy wymagają aktualizacji z Wygląd > Motywy sekcja w adminie WordPress.

Możesz także włączyć automatyczne aktualizacje w tle dla WordPress.org motywy również za pomocą następujących zmian w swoim funkcje.php plik:

Wczytywanie gist raewrites / c1910badb28a14aadafcd703e602e9de

Dotyczy to motywów pobranych z WordPress.org.

Wszelkie komercyjne aktualizacje motywów muszą być obsługiwane za pośrednictwem własnego mechanizmu aktualizacji. Zachowaj aktywną subskrypcję, aby mieć pewność, że otrzymasz wszystkie aktualizacje zabezpieczeń.

Uwaga: jeśli poprawiasz wp-config.php oraz funkcje.php Pliki to nie twoja sprawa, możesz włączyć wszystkie automatyczne aktualizacje w tle za pomocą wtyczki WordPress, zaawansowane automatyczne aktualizacje. Możesz użyć zaawansowanych automatycznych aktualizacji, aby dostosować ustawienia automatycznych aktualizacji i włączyć wszystkie powyższe.

# 6: Instaluj motywy, wtyczki i skrypty tylko z ich oficjalnego źródła

Czasami, gdy czasy są trudne, możemy ulec pokusie “obejścia” płatności dobrego tematu lub wtyczki, poprzez uzyskanie go z *kaszel* mniej niż renomowanych witryn.

Właściwie, nie ma nic złego w nazywaniu i zawstydzaniu tutaj. Piractwo, torrenty i inne strony warezowe są czymś, czego musisz unikać, jak plaga.

Zazwyczaj jednak nie zdajemy sobie sprawy, że wiele z tych pirackich motywów, które pobierasz za darmo, zostało złośliwie poprawionych. Najczęściej w skrypcie instalowane są tylne drzwi. Dzięki temu strona, w której motyw lub wtyczka jest używana, jest zdalnie kontrolowana przez hakerów z nikczemnych powodów.

Czy powierzyłbyś swoje pieniądze znanemu oszustowi? Nie sądzę. To samo dotyczy twojej strony internetowej. Nie ufaj “darmowym” skryptom WordPress pochodzącym od ludzi, których firma kradnie pracę innych ludzi.

Więc gdzie są bezpieczne strony, aby znaleźć motywy jakości?

WordPress.org jest najczęstszym miejscem, w którym znajdują się wtyczki i motywy do WordPress. Komercyjne wtyczki lub motywy można znaleźć na wielu stronach, zaczynając oczywiście od WPMU DEV i stron takich jak WordPress.com, ThemeForest.net lub CodeCanyon.net

Jeśli Bezpieczeństwo WordPress jest dla Ciebie ważne, trzymaj się z dala od pirackich witryn.

#7: Wybierz bezpieczną usługę hostingową WordPress

Dobra usługa hostingowa WordPress znacznie chroni Twoją witrynę przed atakami hakerskimi.

Usługi hostingowe świadczące o bezpieczeństwie będą miały dedykowany zespół ds. bezpieczeństwa, który monitoruje najnowsze luki w zabezpieczeniach (nawet hacki 0-day, tj. te, dla których nie ma jeszcze rozwiązania) i prewencyjnie stosuje zasady dotyczące swoich zapór ogniowych, aby złagodzić wszelkie ataki hakerskie na Twoją witrynę.

Hosting WordPress to trochę gorący temat, więc nie będę tutaj zalecał, ale strona hostingowa WordPress zawiera kilka sugestii. Nie są to w żadnym razie jedyne Firmy hostingowe świadczące o bezpieczeństwie. Sprawdź post Web Hosting Review: więc kto jest najlepszy? aby sprawdzić listę hostów internetowych, na które należy zwrócić uwagę.

#8: upewnij się, że w Twojej witrynie działa najnowsza wersja PHP

Globalna strona statystyk WordPress zawiera alarmujące statystyki: tylko 1.7% instalacji WordPress działa na najnowszej wersji PHP (7), podczas gdy około 19.8% uruchamia wersję 5.6, która jest nadal obsługiwana.

Reszta instalacji WordPress (blisko 80%) działa na wersjach, które nie są już obsługiwane!

The latest WordPress version stats show most installations are using PHP version 5.4, which is unsupported.
Najnowsze statystyki wersji WordPress pokazują, że większość instalacji korzysta z wersji PHP 5.4, która nie jest obsługiwana.

Poza tym, że Twoja witryna nie korzysta z funkcji wydajności wydanych w najnowszych wersjach, oznacza to również, że wykryte poprawki bezpieczeństwa nie zostaną naprawione. Pozostaną na wolności, gotowe do eksploatacji.

Podobnie jak WordPress otrzymuje szereg podstawowych aktualizacji, w tym poprawki zabezpieczeń, PHP, podstawowy silnik WordPress, również otrzymuje sprawiedliwy udział w aktualizacjach wersji.

Teraz aktualizacja rdzenia, motywów i wtyczek WordPress jest dość prostą operacją.

Don't forget to update to the latest version of PHP.
Nie zapomnij zaktualizować PHP do najnowszej wersji.

Z drugiej strony aktualizacja wersji PHP zależy w dużej mierze od usługi hostingowej. Dobra usługa hostingowa powinna udostępniać najnowsze wersje PHP do użytku z instalacją WordPress za pośrednictwem czegoś o nazwie Z Przełącznikiem wersji PHP (który jest zwykle dostępny za pośrednictwem konta cPanel).

# 9: zmiana nazwy użytkownika administratora

Do WordPress 3.0 domyślna nazwa użytkownika loginu administratora była ” admin.”To stworzyło trochę Bonanzy dla hakerów, ponieważ nie było potrzeby, aby odgadnąć nazwę użytkownika administratora. Jest to coś, co obowiązuje do dziś. Wiele osób nadal używa “admin” jako domyślnej nazwy użytkownika administratora.

Jednym z najszybszych sposobów zabezpieczenia loginu administratora WordPress przed atakami brute force jest zmiana domyślnej nazwy użytkownika “admin” na coś trudniejszego do odgadnięcia. (To właśnie uratowało moją własną witrynę przed zhakowaniem).

Możesz – i powinieneś-to zrobić podczas rzeczywistej instalacji WordPress.

Jeśli Twoja nazwa użytkownika jest obecnie admin, powinieneś utworzyć nowego użytkownika administratora z nazwą użytkownika, która jest mniej oczywista do odgadnięcia i usunąć starego użytkownika administratora.

Możesz również zmienić nazwę Użytkownika za pomocą phpMyAdmin lub uruchomić skrypt SQL w bazie danych, aby zmienić nazwę użytkownika administratora:

Wczytywanie gist raewrites / ab92d3559f7d72dcce5d91f73badd848

Ta szybka i łatwa sztuczka bezpieczeństwa WordPress może udaremnić wiele prostych prób włamania.

#10: Zawsze Używaj Silnych Haseł

Obserwując, jak klient wprowadza hasło administratora, Lubię dać mu ich prywatność i odwrócić wzrok od klawiatury.

Ale kilka lat temu, przypadkowo nie odwróciłem uwagi wystarczająco szybko, gdy wpisywali hasło. Ku mojemu przerażeniu, widziałem, jak wpisują następujące:

1 2 3 4 5 6

Powiedzieć, że byłem przerażony, byłoby niedopowiedzeniem.

Kolejna kombinacja loginu i hasła, z którą bardzo często się spotykam, która (prawie) przynosi mi łzy w oczach, to ta kombinacja nazwy użytkownika i hasła:

admin/admin

Poza tym, że każdy, kto patrzy ci przez ramię (jak ja), natychmiast odbierze to hasło, istnieje o wiele poważniejszy powód, dla którego musisz tworzyć silne hasła: hakerzy wiedzą, że ludzie mają tendencję do zapominania swoich haseł i są skłonni do używania prostych, łatwych do odgadnięcia haseł.

Wykorzystują to na swoją korzyść, mając listę najczęściej używanych haseł, które próbują w kółko. To się nazywa brutalne wymuszanie hasła. Ponieważ niektórzy ludzie będą używać tych haseł, jest to zasadniczo gra liczbowa – a szanse są zwykle ułożone przeciwko tobie.

Więc zawsze używaj silnego hasła.

Oto przykład silnego hasła: ThizzI5alongstr * ngbuzzw00rd$

Czy wszystkie Twoje hasła powinny być tak złożone jak to? Prawdopodobnie.

#11: nie używaj haseł ponownie

Nigdy nie należy ponownie używać haseł.

Rozumiem, wygodnie jest mieć jedno (mam nadzieję silne) hasło na całej planszy. Nie będziesz musiał pamiętać tak wielu haseł, ale jest to bardzo złe na wielu poziomach.

Po raz kolejny, hakerzy wiedzą, że jest to trochę ludzkiej słabości. Oznacza to, że gdy jedno z Twoich kont zostanie naruszone, ma prawdopodobny dostęp do wszystkich pozostałych kont.

Istnieje wiele menedżerów haseł, które pozwolą Ci tworzyć różne hasła i bezpiecznie je przechowywać. Są one wysoce zalecane.

To nie jest tylko bezpieczeństwo WordPress-to jest po prostu zdrowy rozsądek.

#12: Chroń swoje hasło(y), unikając transmisji hasła zwykłego tekstu

Jest to znany fakt (i smutna rzeczywistość), że istnieje wiele rodzajów szpiegowania ruchu internetowego. Poufne dane, takie jak karty kredytowe i hasła, nigdy nie powinny być przesyłane w formie niezaszyfrowanej.

Na Twoich danych będzie mnóstwo oczu (i analizatorów). Upewnij się, że chronisz swoje hasła, stosując następujące techniki zapobiegawcze

  1. Nie wysyłaj haseł za pośrednictwem poczty e-mail, czatu, sieci społecznościowych ani innych niezaszyfrowanych form transmisji
  2. Zaimplementuj HTTPS w swojej witrynie WordPress, szczególnie w backendzie, aby uniknąć wysyłania haseł w postaci zwykłego tekstu. Możesz dowiedzieć się wszystkiego o implementacji HTTPS w naszym artykule Jak korzystać z SSL i HTTPS w WordPress.
  3. Unikaj używania zwykłego FTP podczas uzyskiwania dostępu do witryny. Użyj SSH lub FTPS. Protokół FTP został napisany w ciemnych wiekach Internetu i nie jest bezpieczny w użyciu. Hasła i pliki są przesyłane w postaci zwykłego tekstu i w ogóle nie są szyfrowane. FTPS lub (Secure FTP), z drugiej strony, faktycznie szyfruje transmisję danych przez FTP. Zanim będziesz w stanie to zrobić, musisz skonfigurować konto FTPS na serwerze hostingowym.
  4. Oczywiście hasła nie powinny być udostępniane użytkownikom ani przechowywane w postaci zwykłego tekstu w dowolnym miejscu, bez względu na to, jak wygodne może to być. Praktyka udostępniania loginów i haseł stoi w obliczu bezpieczeństwa i odpowiedzialności.

#13: Aktualizuj Swoją Witrynę Tylko Z Zaufanych Sieci

Czasami mamy tendencję do wygody znalezienia darmowego internetu Wifi jako wybawienia.

Ale paranoiczni maniacy bezpieczeństwa (tacy jak ja) mają tendencję do drżenia na myśl o aktualizacji strony internetowej z niezaufanej sieci, takiej jak bezpłatne połączenie Wifi w lokalnej kawiarni.

Otwarte połączenie Wi-Fi jest niezwykle łatwe do podsłuchania. Możesz otrzymywać znacznie więcej niż” freebie”, o którym myślałeś, że otrzymujesz, jeśli uzyskasz dostęp do witryny administracyjnej WordPress z niezaufanej sieci.

Aktualizuj witrynę tylko z zaufanych sieci, takich jak te w domu i biurze.

#14: użyj lokalnego antywirusa

Wyobraź sobie, że jesteś wirusem komputerowym siedzącym na stacjonarnej stacji roboczej. Poczekaj chwilę.

Pamiętaj, że głównym celem wirusa jest rozprzestrzenianie się tak daleko, jak to możliwe. Czy jest lepszy sposób na rozprzestrzenianie się tego wirusa niż replikowanie się na twojej stronie internetowej? Nieźle, co?

Jest to taktyka szeroko stosowana przez wirusy. Istnieje wiele zainfekowanych stacji roboczych w dowolnym momencie. A z tych stacji roboczych jest wielu, którzy są używani przez administratorów WordPress.

To trochę najgorsza kombinacja. Wirus na pulpicie może szybko się rozprzestrzeniać i prowadzić do infekcji witryny. Może również szpiegować hasła, a nawet karty kredytowej i innych danych osobowych.

Upewnij się, że na lokalnej stacji roboczej działa dobry i zaktualizowany program antywirusowy, aby zapobiec zainfekowaniu i rozprzestrzenianiu się na Twoją witrynę.

#15: Włącz Google Search Console

Chociaż nie jest to ścisłe zalecenie dotyczące bezpieczeństwa WordPress, jest to coś, co może uzupełnić kroki, które już podjąłeś, aby wzmocnić bezpieczeństwo WordPress.

Google i inne wyszukiwarki są zainteresowane upewnieniem się, że Twoja witryna jest czysta od złośliwego oprogramowania. Z tego powodu Google Search console poinformuje cię, jeśli Twoja witryna zacznie zawierać złośliwe pliki.

Chociaż jest to nie idealna sytuacja, w której Twoja witryna zostałaby już zhakowana, zamiast działać, aby zapobiec zhakowaniu witryny WordPress, nadal dobrze jest wiedzieć, że złośliwe oprogramowanie zostało wykryte w Twojej witrynie, abyś mógł jak najszybciej rozwiązać problem.

Google Search Console is a free service offered by Google that helps you monitor and maintain your site's presence.
Google Search Console to bezpłatna usługa oferowana przez Google, która pomaga monitorować i utrzymywać obecność witryny.

# 16: zabezpiecz WordPress za pomocą kuloodpornej wtyczki bezpieczeństwa WordPress

Wiele kroków w tej liście kontrolnej nie jest trywialnych. Mogą również wymagać trochę technicznego majsterkowania przy Twojej witrynie WordPress, a zamiast zabezpieczać WordPress, możesz go wysadzić.

Ale mamy wszystko pod kontrolą. Defender to łatwy, ale pewny sposób zabezpieczenia WordPressa przy niewielkim wysiłku lub bez wysiłku z twojej strony. Nasza wtyczka bezpieczeństwa może zidentyfikować wszelkie problemy z bezpieczeństwem WordPress mające obecnie wpływ na twoje witryny i udzielić wskazówek, jak je naprawić.

Chociaż uważamy, że Defender jest jedną z najlepszych opcji dla osób zaznajomionych z WPMUDEV, istnieje wiele innych opcji pod względem bezpieczeństwa WordPress. Dwie z bardziej popularnych opcji to Sucuri i Wordfence – bardzo różnią się sposobem działania. Ten pierwszy jest w pełni opartym na chmurze rozwiązaniem, które łączy się również jako zapora ogniowa, a nawet CDN, ten drugi w rzeczywistości działa bezpośrednio na twojej stronie (jest to wtyczka). Sprawdziliśmy oba na CollectiveRay.com, więc spójrz na ten artykuł też, jeśli chcesz dokonać świadomego wyboru z plusy i minusy każdego.

A scan in progress with a loading bar at 53.77% complete.
Defender skanuje witrynę w poszukiwaniu luk w zabezpieczeniach jednym kliknięciem.

Po naprawieniu problemów możesz również uruchomić skanowanie, aby upewnić się, że żaden z motywów lub wtyczek nie zawiera znanych luk w zabezpieczeniach. Jeśli tak się stanie, będziesz mógł podjąć działania, aby rozwiązać te problemy, zanim staną się poważnymi problemami w Twojej witrynie.

Poza tym, że po raz pierwszy go zainstalujesz, Defender pozwala zaplanować regularne skany Twoich stron internetowych. Jeśli jesteś taki jak ja, na pewno będziesz bardzo entuzjastycznie nastawiony do bezpieczeństwa WordPress pewnego dnia, ale gdy robi się gorąco, bezpieczeństwo przechodzi na backburner. Automatyczne skanowanie zapewni, że nie stracisz bezpieczeństwa WordPress.

Istnieje wiele innych doskonałych funkcji w WordPress Defender, w tym monitorowanie czarnej listy i alerty, raporty o lukach i niestandardowe utwardzanie.

#17: Jeśli Wszystko Inne Zawiedzie, Przywróć Z Kopii Zapasowej

Wymieniłem dość listę rzeczy, które powinieneś zrobić, aby zabezpieczyć WordPress i rozumiem, że może to być nieco zadanie, aby wdrożyć je wszystkie. Wiem też, że w praktyce możesz stracić kilka z nich.

Ale jest jedno zadanie, którego naprawdę nie powinieneś pomijać!

Jeśli twój czas jest niefortunny, a Twój upływ dzieje się w tym samym czasie, co atak hakerski, ważne jest, aby mieć plan awaryjny.

Jedną rzeczą, której nigdy, przenigdy nie powinieneś przegapić lub zapomnieć, jest posiadanie planu kopii zapasowej WordPress. Nie tylko w przypadku ataków hakerskich, ale nawet w przypadku wypadków, usterek technicznych i innych wpadek. Posiadanie kopii zapasowej zapewnia szybkie przywrócenie i ponowne uruchomienie witryny.

Snapshot Pro jest jak wehikuł czasu dla Twojej witryny, umożliwiający tworzenie kopii zapasowych i przywracanie całej witryny, a nawet planowanie regularnych automatycznych kopii zapasowych.

Po skonfigurowaniu planu kopii zapasowej wiesz, że jeśli Twoja witryna zostanie zhakowana, musisz tylko odkryć źródło włamania, wrócić z kopii zapasowej, naprawić “dziurę”, która pozwoliła zhakować Twoją witrynę i możesz iść.

Ważna uwaga: powinieneś co jakiś czas testować kopię zapasową WordPress, przywracając ją do tymczasowej lokalizacji i upewniając się, że wszystko działa. Ostatnią rzeczą, której potrzebujesz, jest kopia zapasowa, którą think działa, ale w rzeczywistości nie.

security_patches_810

Część 2: Bezpieczeństwo WordPress Dla Maniaków Bezpieczeństwa

#18: Ogranicz Próby Logowania

Omówiliśmy już brutalne wymuszanie haseł i fakt, że korzystanie z botów jest tanie i dobrą inwestycją dla hakerów. Z tego powodu należy wprowadzić mechanizmy blokujące wszelkie próby brutalnego wymuszania hasła.

Wtyczka WordPress Limit Login robi dokładnie to. Jeśli wykryje kilka błędnych prób logowania, odmawia Użytkownikowi możliwości ponownej próby przez pewien czas. To oczywiście sprawia, że próby wymuszania brutalności są znacznie trudniejsze do osiągnięcia sukcesu i znacznie poprawia bezpieczeństwo WordPress.

#19: Włącz Uwierzytelnianie Dwuskładnikowe

Jednym ze sposobów szybkiego i bardzo łatwego zabezpieczenia loginów WordPress jest włączenie uwierzytelniania dwuskładnikowego, znanego również jako 2FA.

2FA tworzy mechanizm, w którym aby zalogować się do zaplecza WordPress, oprócz zwykłego hasła, będziesz potrzebował również tokena bezpieczeństwa opartego na czasie, który jest unikalny dla każdego użytkownika. Token ten wygasa również po upływie czasu, zwykle 60 sekund.

Token bezpieczeństwa jest zazwyczaj generowany przez aplikację, taką jak Google Authenticator.

Ponieważ wygasa token bezpieczeństwa unikalny dla każdego użytkownika, nawet jeśli ktoś zna Twoje dane logowania, nadal nie będzie mógł się zalogować. Dzieje się tak dlatego, że nie będą mieli bieżącego tokena bezpieczeństwa. To drastycznie zwiększa siłę twojego logowania, a także pomaga złagodzić ataki brute force na Twoje dane logowania.

Istnieje wiele wtyczek, które mogą pomóc w konfiguracji uwierzytelniania dwuskładnikowego WordPress. Sprawdź 6 najlepszych wtyczek uwierzytelniania zabezpieczeń WordPress dla niektórych z naszych ulubionych.

#20: Upewnij Się, Że Uprawnienia Do Plików Są Poprawne

To trochę techniczna sprawa.

PHP i WordPress ogólnie używają zestawu uprawnień związanych z plikami i folderami. Bez wchodzenia w zbyt wiele szczegółów, istnieją różne rodzaje uprawnień

  • Publicznie zapisywalne pliki i katalogi
  • Pliki zapisywalne tylko przez serwer WWW
  • Pliki tylko do odczytu

Ogólnie rzecz biorąc, twój serwer WWW zazwyczaj musi być w stanie pisać pliki, aby WordPress działał poprawnie, podczas gdy publiczny internet nigdy nie musi mieć dostępu do zapisu plików.

Niektórzy początkujący lub leniwi programiści mogą zasugerować zmianę uprawnień, aby były bardziej luźne. Mogą na przykład sugerować publiczne zapisywanie określonych plików lub folderów (777). Spowoduje to poważne zagrożenie bezpieczeństwa, ponieważ oznacza to, że każdy może napisać cokolwiek do tego folderu. Możesz mieć pewność, że znajdziesz wiele paskudów w swojej witrynie WordPress, jeśli to zrobisz. Prawdopodobnie znajdą również sposoby i środki na Wyskakiwanie z folderu, aby siać spustoszenie w pozostałej części witryny.

Ogólnie rzecz biorąc, pliki powinny mieć uprawnienia 644, a foldery 755. Na wp-config.php plik powinien mieć uprawnienia 400 lub 440.

Jeśli ktoś mówi inaczej, bądź bardzo ostrożny. Moja sugestia to przestać zadawać się z każdym, kto sugeruje inaczej.

Jak sprawdzić poprawne uprawnienia do plików? Defender, wspomniany powyżej, jest wtyczką bezpieczeństwa WordPress, która sprawdzi i naprawi uprawnienia do plików w razie potrzeby.

#21: Zmień domyślny prefiks tabeli

Jest to kolejna pozostałość po starych wersjach WordPressa. Wcześniej nazwa tabel WordPress w bazie danych używana do rozpoczynania się od prefiksu wp_

Chociaż nie jest to już domyślne zachowanie, niektórzy ludzie nadal mają tendencję do powrotu do tej (niebezpiecznej) praktyki, podczas gdy starsze wersje oczywiście nadal muszą z tym żyć.

Chociaż jest to, ściśle mówiąc, bezpieczeństwo WordPress poprzez zaciemnienie, zmiana nazwy tabel z wp_ na inny prefiks może nadal blokować niektóre próby ataków SQL injection.

Procedura zmiany nazwy istniejących tabel wp_ powinna być wykonywana tylko przez zaufanego programistę WordPress.

#22: upewnij się, że ustawiłeś tajne klucze uwierzytelniania WordPress

Być może natknąłeś się na te osiem kluczy bezpieczeństwa i uwierzytelniania WordPress wp-config.php plik i zastanawiał się, co to jest. Być może nigdy nie widziałeś ani nie słyszałeś o nich.

Wyglądają mniej więcej tak:

secret-keys
Automatycznie generowane klucze bezpieczeństwa WordPress.

Zasadniczo są to Zmienne losowe, które są używane, aby utrudnić odgadnięcie lub złamanie haseł WordPress. Dzieje się tak dlatego, że dodaje element losowości do sposobu, w jaki hasła są przechowywane w bazie danych, co czyni je znacznie trudniejszymi do złamania za pomocą brutalnej siły.

Chociaż większość witryn hostowanych samodzielnie nie ma ich na miejscu, powinieneś je faktycznie wdrożyć.

Jest to stosunkowo prosta procedura:

1. Wygeneruj zestaw kluczy za pomocą generatora losowego WordPress
2. Edytuj swój wp.plik konfiguracyjny i w sekcji Uwierzytelnianie unikalnych kluczy należy znaleźć miejsce, w którym można dodać unikalne klucze wygenerowane w kroku 1

Nie udostępniaj tych kluczy ani nie udostępniaj ich publicznie. To niszczy ich cel.

# 23: Wyłącz Wykonywanie PHP

Jedną z pierwszych rzeczy, które zrobiłby haker, gdyby miał jakiś dostęp do twojej witryny, byłoby wykonanie PHP z katalogu. Ale jeśli miałbyś to wyłączyć, nawet jeśli w Twojej witrynie WordPress istniała luka, ta ochrona poważnie sparaliżowałaby resztę prób hakera przejęcia Twojej witryny.

Jest to dość silny krok bezpieczeństwa WordPress i może złamać niektóre motywy i wtyczki, które mogą tego wymagać, ale powinieneś zaimplementować to przynajmniej w najbardziej podatnych katalogach wp-zawiera oraz uploads.

Ochrona ta musi być zaimplementowana za pośrednictwem .htaccess pliki. Dodaj poniższy kod do .htaccess plik w katalogu głównym instalacji WordPress:

Ładowanie gist raewrites / 31943dcd7da5c4663994ed199467bd6c

# 24: Segreguj Swoje Bazy Danych WordPress

Jeśli uruchamiasz wiele witryn na tym samym koncie serwera hostingowego, możesz pokusić się o utworzenie wszystkich witryn w tej samej bazie danych.

Stwarza to zagrożenie bezpieczeństwa WordPress. Jeśli jedna strona zostanie naruszona, wszystkie inne witryny WordPress hostowane w tej samej bazie danych są również narażone na poważne ryzyko włamania.

Podczas konfigurowania instalacji WordPress pierwszą rzeczą, którą powinieneś zrobić, to utworzyć nową bazę danych. Nadaj jej oddzielną nazwę bazy danych, nazwę użytkownika bazy danych i hasło, które różnią się od innych witryn lub loginów, które posiadasz.

W ten sposób, jeśli jedna z Twoich witryn zostanie zhakowana, infekcja nie rozprzestrzeni się na inne witryny na tym samym współdzielonym koncie hostingowym.

# 25: Ogranicz Uprawnienia Użytkowników Bazy Danych

Podczas konfigurowania witryny WordPress po raz pierwszy możesz, z powodu braku informacji, stworzyć problem bezpieczeństwa za pomocą uprawnień użytkownika bazy danych.

Ogólnie rzecz biorąc, użytkownik bazy danych potrzebuje tylko następujących uprawnień: w przypadku większości codziennych operacji WordPress użytkownik bazy danych potrzebuje tylko uprawnień do odczytu i zapisu danych do bazy danych: SELECT, INSERT, UPDATE and DELETE.

W ten sposób można usunąć dodatkowe uprawnienia, takie jak DROP, ALTER i GRANT.

Uwaga: niektóre główne aktualizacje wersji WordPressa mogą faktycznie wymagać tych uprawnień, jednak w większości przypadków ogólne działanie WordPressa nie wymaga tych uprawnień.

Wskazane jest, aby przed wykonaniem jakichkolwiek aktualizacji WordPress lub instalacją lub aktualizacjami wtyczek WordPress mieć w pełni działającą kopię zapasową.

# 26: Wyłącz Edycję Plików

Kiedy jesteś w początkowej fazie tworzenia strony internetowej, prawdopodobnie będziesz musiał majstrować przy tematach i plikach wtyczek. Domyślnie administratorzy WordPress mają prawo do edycji plików PHP.

Po opracowaniu i uruchomieniu witryny będziesz miał znacznie mniej potrzeby edytowania tych plików.

Jednak umożliwienie administratorom edytowania plików jest problemem bezpieczeństwa. Dzieje się tak dlatego, że jeśli hakerowi uda się zalogować do twojej witryny, natychmiast będzie miał uprawnienia edycji i będzie mógł zmieniać pliki, aby dopasować je do swoich złośliwych potrzeb.

Możesz (i powinieneś) wyłączyć edycję plików dla administratorów WordPress po uruchomieniu witryny za pomocą następującego polecenia w wp-config.php plik:

Ładowanie gist raewrites / ea5715f5c66184b0088c6b1a7d42af7d

# 27: Zabezpiecz Swój wp-config.php Plik

Gdyby twoje pliki WordPress miały być analogiczne do ludzkiego ciała, wp-config.php plik byłby sercem.

Nie będę wdawał się w zbyt wiele szczegółów na temat wp-config.php tutaj-omówiliśmy to dość obszernie w pliku wp-config WordPress: obszerny przewodnik.

Ale fakt, że przechowuje tak ważne rzeczy, takie jak dane logowania do bazy danych używanej przy instalacji WordPressa, hashowanie hasła i inne ważne ustawienia konfiguracyjne, wystarczy powiedzieć, że ten plik jest bardzo ważne. Najwyraźniej nie chcesz, żeby ktoś grzebał w tych aktach.

Zdecydowanie polecam wdrożenie konkretnych środków bezpieczeństwa, aby zabezpieczyć ten krytyczny plik konfiguracyjny WordPress. Istnieją rozbieżności co do tego, czy ten plik powinien zostać przeniesiony z jego lokalizacji głównej, jednak większość zgadza się, że plik ten musi być zabezpieczony.

Jeśli nie zaimplementowałeś jeszcze kroku #23 powyżej (Wyłącz Wykonywanie PHP), możesz dodać następujące elementy do swojego .pliki htaccess:

Ładowanie gist raewrites / c7246edad57d441356b8914b5c366db9

#28: Wyłącz XML-RPC (jeśli go nie używasz)

WordPress zapewnia aplikacji możliwość zdalnego dostępu za pośrednictwem tak zwanego interfejsu programowania aplikacji (lub API). Oznacza to, że aplikacje mogą uzyskać dostęp do witryny (z łagodnych powodów). Typowym przykładem użycia XML-RPC jest aktualizacja witryny za pomocą aplikacji mobilnej.

Istnieje również kilka wtyczek, które używają XML-RPC. Na przykład Jetpack korzysta z funkcji XML-RPC.

Jednak XML-RPC może być również używany do wykonywania ataków hakerskich na twojej stronie internetowej.

Wielu użytkowników uważa dziś, że XML-RPC jest tak bezpieczny, jak reszta rdzenia WordPress, ale możesz mieć pewność, że XML-RPC jest czymś, co będą sprawdzać Skrypty hakerskie. Prawdopodobnie znajdziesz wiele trafień do XML-RPC, jeśli włączyłeś logowanie na swojej stronie.

Jeśli masz pewność, że nie masz żadnych aplikacji firm trzecich lub wtyczki WordPress nie korzystają z witryny WordPress za pośrednictwem XML-RPC, możesz wyłączyć ją za pomocą wtyczki WordPress.

#29: Wyłącz Raportowanie błędów PHP

Podczas tworzenia witryny zgłaszanie błędów oszczędza życie. Pokazuje dokładnie, skąd pochodzi błąd, dzięki czemu można go szybko naprawić.

Ale w witrynie NA ŻYWO raportowanie błędów daje hakerom kluczowe wskazówki, aby ułatwić im życie.

Na przykład sprawdź poniższy raport o błędzie:

PHP error reporting can give away important information about your WordPress installation.
Raportowanie błędów PHP może ujawnić ważne informacje o instalacji WordPress.

Powyższy błąd polega na podaniu nazwy użytkownika konta. To kluczowa informacja dla kogoś, kto chce zaatakować twoje konto hostingowe.

Jest to tylko jedna informacja – raportowanie błędów może zazwyczaj dać naprawdę dobre wskazówki, jeśli wiesz, jakich słabości szukasz.

Możesz wyłączyć raportowanie błędów PHP, korzystając z następującej zmiany php.ini plik:

Ładowanie gist raewrites / f9f1005cf15af0c1282c4281c271ca2a

Zapewnia to, że wszelkie zagrożenia bezpieczeństwa WordPress utworzone przez ekspozycję poufnych informacji o Twojej witrynie są ograniczane.

# 30: zainstaluj Firewall

Istnieją dwa główne typy zapór sieciowych lub ich zastosowania. W zabezpieczeniach sieciowych zapory sieciowe służą do segregacji różnych typów sieci. Albo coś się nie dostanie, albo coś się nie wydostanie.

Ponownie, jeśli użyjemy analogii, firewall może być opisany jako bramkarz – możesz wejść na imprezę VIP tylko wtedy, gdy jesteś na liście gości. Podobnie jak bramkarz na imprezie, który zazwyczaj powstrzymuje ludzi przed wejściem, zapory programowe mogą być używane do powstrzymywania hakerów przed zbliżeniem się do twojej witryny (imprezy).

W przypadku zabezpieczenia WordPressa użyjemy zapory aplikacji internetowej (WAF), aby hakerzy nie wtykali brudnych rąk (lub botów) w miejsca, w których nie pasują.

Istnieje wiele zapór WAF, ale jedną z najbardziej niezawodnych, darmowych i otwartych zapór Zwykle dostępnych w usługach hostingowych WordPress jest zapora ModSecurity.

Możesz poprosić swoją usługę hostingową, aby sprawdzić, czy jest ona dostępna w Twojej usłudze hostingowej i włączyć ją, jeśli jest. Po włączeniu dostawca hostingu lub zaufany programista WordPress może zazwyczaj sugerować lub wdrażać zasady dotyczące ModSecurity.

#31: użyj zapory sieciowej dostarczania treści

Głównym zastosowaniem sieci dostarczania treści jest zazwyczaj optymalizacja wydajności witryny poprzez szybką obsługę dużych zasobów. Możesz dowiedzieć się więcej CDN w naszym artykule 9 najlepsze usługi CDN dla Super szybkiej witryny WordPress.

CDN zapewniają jednak inną dodatkową funkcję: większość CDN jest w stanie chronić przed wieloma problemami bezpieczeństwa WordPress.

Jeśli korzystasz z CDN (i powinieneś), upewnij się, że włączyłeś również reguły bezpieczeństwa, aby poprawić ochronę Twojej witryny WordPress.

# 32: Monitoruj Swoje Bezpieczeństwo WordPress Dzięki Logowaniu Zabezpieczeń

Jeśli nie wiesz, jakie ataki mają miejsce na twojej stronie, prawdopodobnie nie będziesz w stanie ich powstrzymać, prawda?

Możesz poprawić bezpieczeństwo WordPress poprzez monitorowanie dzienników. Na przykład, jeśli okaże się, że większość prób włamania pochodzi z określonego kraju, który nie jest obsługiwany przez witrynę, możesz użyć zapory sieciowej do zablokowania tego kraju.

Jest to oczywiście bardzo prosty przykład tego, co monitoring może odkryć.

Możesz użyć OSSEC, jeśli masz bezpośredni dostęp do swojego serwera hostingowego. Możesz także użyć wtyczki audytu zabezpieczeń, aby prowadzić regularne dzienniki audytu.

Dbanie O Bezpieczeństwo WordPressa

Ta ostateczna lista kontrolna bezpieczeństwa WordPress może dać ci sporo pracy, jeśli wcześniej nie myślałeś o zabezpieczeniu swojej witryny WordPress. Dobrą rzeczą jest to, że te kroki nie wymagają dużego wysiłku, aby stać się częścią procesu tworzenia strony internetowej.

Bezpieczeństwo WordPress jest czymś, co należy traktować poważnie. Ataki hakerskie stały się normą. Twoja strona jest prawdopodobnie obecnie atakowana.

OK, więc możesz nie umieścić wszystkich powyższych, ale im więcej tych środków bezpieczeństwa WordPress, tym lepiej. Bo nie wolałbyś być bezpieczny, niż żałować?

Ile z tych kroków podjąłeś, aby zabezpieczyć swoją witrynę WordPress? Podziel się swoim wynikiem poniżej! I nie zapomnij pobrać naszej 32-stopniowej listy kontrolnej PDF.

Tagi:

You May Also Like

Jak naprawić nieprawidłowy błąd JSON w WordPress (Przewodnik dla początkujących)

W artykule: Co powoduje błąd “nieprawidłowa odpowiedź JSON” w WordPress?1. Sprawdź adresy…

Jak naprawić błąd krytyczny w WordPress (krok po kroku)

W artykule: Co To jest błąd krytyczny w WordPress?Co powoduje krytyczny błąd…

Jak zmienić kolor linku w WordPress (poradnik dla początkujących)

W artykule: Dlaczego Linki Są Ważne?Jak dodawać linki w postach i stronach…

9 Najlepsze Darmowe Wtyczki WordPress Author Bio Box

W artykule: 1. Simple Author Box2. Branda3. Autor postu WP4. Author Bio…