Najlepszy przewodnik bezpieczeństwa WordPress-krok po kroku (2021)

Bezpieczeństwo WordPress to temat o ogromnym znaczeniu dla każdego właściciela witryny. Na czarnej liście Google znajduje się około 10,000+ stron internetowych każdego dnia dla złośliwego oprogramowania i około 50,000 dla phishingu każdego tygodnia.

Jeśli poważnie myślisz o swojej witrynie, musisz zwrócić uwagę na najlepsze praktyki bezpieczeństwa WordPress. W tym przewodniku udostępnimy wszystkie najlepsze wskazówki dotyczące bezpieczeństwa WordPress, które pomogą Ci chronić swoją witrynę przed hakerami i złośliwym oprogramowaniem.

Podczas gdy podstawowe oprogramowanie WordPress jest bardzo bezpieczne i jest regularnie kontrolowane przez setki programistów, można wiele zrobić, aby zapewnić bezpieczeństwo witryny.

W WPBeginner wierzymy, że bezpieczeństwo to nie tylko eliminacja ryzyka. Chodzi również o zmniejszenie ryzyka. Jako właściciel strony internetowej możesz wiele zrobić, aby poprawić bezpieczeństwo WordPress (nawet jeśli nie jesteś zaznajomiony z technologią).

Mamy szereg działań, które możesz podjąć, aby chronić swoją witrynę przed lukami w zabezpieczeniach.

Aby to ułatwić, stworzyliśmy tabelę treści, która pomoże Ci łatwo poruszać się po naszym najlepszym przewodniku dotyczącym bezpieczeństwa WordPress.

Spis treści

Podstawy bezpieczeństwa WordPress

• Dlaczego bezpieczeństwo WordPress jest ważne?
• Aktualizowanie WordPressa
• Hasła i uprawnienia użytkowników
• Rola Hostingu WWW

Bezpieczeństwo WordPress w prostych krokach (bez kodowania)

• Zainstaluj rozwiązanie do tworzenia kopii zapasowych WordPress
• Najlepsza Wtyczka Bezpieczeństwa WordPress
• Włącz zaporę aplikacji WWW (WAF)
• Przenieś witrynę WordPress do SSL / HTTPS

Bezpieczeństwo WordPress dla użytkowników DIY

• Zmień domyślną nazwę Użytkownika „admin”
• Wyłącz Edycję Plików
• Wyłącz Wykonywanie plików PHP
• Ogranicz Próby Logowania
• Dodaj Uwierzytelnianie Dwuskładnikowe
• Zmień Prefiks Bazy Danych WordPress
• Ochrona hasłem WP-Admin i logowanie
• Wyłącz indeksowanie i Przeglądanie katalogów
• Wyłącz XML-RPC w WordPress
• Automatyczne wylogowywanie użytkowników bezczynnych
• Dodaj pytania bezpieczeństwa do WordPress Zaloguj się
• Skanowanie WordPress pod kątem złośliwego oprogramowania i luk
• Naprawianie Zhakowanej witryny WordPress

Gotowy? Zaczynajmy.

Dlaczego Bezpieczeństwo witryny jest ważne?

Zhakowana witryna WordPress może spowodować poważne szkody dla przychodów i reputacji Twojej firmy. Hakerzy mogą kraść informacje o użytkownikach, hasła, instalować złośliwe oprogramowanie, a nawet rozpowszechniać złośliwe oprogramowanie wśród użytkowników.

Co najgorsze, możesz płacić hakerom ransomware, aby odzyskać dostęp do swojej witryny.

W marcu 2016 r. Google poinformowało, że ponad 50 milionów użytkowników witryny zostało ostrzeżonych, że odwiedzana witryna może zawierać złośliwe oprogramowanie lub ukraść informacje.

Co więcej, google co tydzień umieszcza na czarnej liście około 20 000 stron internetowych pod kątem złośliwego oprogramowania i około 50 000 na potrzeby phishingu.

Jeśli Twoja witryna jest firmą, musisz zwrócić szczególną uwagę na bezpieczeństwo WordPress.

Podobnie jak odpowiedzialność właścicieli firm za ochronę fizycznego budynku sklepu, jako właściciel firmy online Twoim obowiązkiem jest ochrona witryny biznesowej.

[Powrót do góry ↑]

Aktualizowanie WordPressa

WordPress to oprogramowanie open source, które jest regularnie utrzymywane i aktualizowane. Domyślnie WordPress automatycznie instaluje drobne aktualizacje. W przypadku głównych wersji musisz ręcznie zainicjować aktualizację.

WordPress zawiera również tysiące wtyczek i motywów, które możesz zainstalować na swojej stronie. Te wtyczki i motywy są utrzymywane przez zewnętrznych programistów, którzy regularnie wydają aktualizacje.

Te aktualizacje WordPress są kluczowe dla bezpieczeństwa i stabilności witryny WordPress. Musisz upewnić się, że rdzeń WordPress, wtyczki i motyw są aktualne.

[Powrót do góry ↑]

Silne hasła i uprawnienia użytkowników

Najczęstsze próby włamania do WordPress wykorzystują skradzione hasła. Możesz to utrudnić, używając silniejszych haseł, które są unikalne dla Twojej witryny. Nie tylko dla obszaru administracyjnego WordPress, ale także dla kont FTP, bazy danych, konta hostingowego WordPress i niestandardowych adresów e-mail, które używają nazwy domeny witryny.

Wielu początkujących nie lubi używać silnych haseł, ponieważ są trudne do zapamiętania. Dobrą rzeczą jest to, że nie musisz już pamiętać haseł. Możesz użyć menedżera haseł. Zobacz nasz przewodnik, jak zarządzać hasłami WordPress.

Innym sposobem na zmniejszenie ryzyka jest nie dawanie nikomu dostępu do konta administratora WordPress, chyba że absolutnie musisz. Jeśli masz duży zespół lub autorów gości, upewnij się, że rozumiesz role i możliwości użytkowników w WordPress przed dodaniem nowych kont użytkowników i autorów do witryny WordPress.

[Powrót do góry ↑]

Rola hostingu WordPress

Twoja usługa hostingowa WordPress odgrywa najważniejszą rolę w bezpieczeństwie Twojej witryny WordPress. Dobry współdzielony dostawca hostingu, taki jak Bluehost lub Siteground, podejmuje dodatkowe środki w celu ochrony swoich serwerów przed typowymi zagrożeniami.

Oto jak dobra firma hostingowa działa w tle, aby chronić swoje strony internetowe i dane.

• Stale monitorują swoją sieć pod kątem podejrzanej aktywności.
• Wszystkie dobre Firmy hostingowe mają narzędzia do zapobiegania atakom DDOS na dużą skalę
• Aktualizują oprogramowanie serwerowe, wersje php i sprzęt, aby zapobiec wykorzystywaniu przez hakerów znanej luki w zabezpieczeniach w starej wersji.
• Mają gotowe do wdrożenia plany odzyskiwania po awarii i wypadków, które pozwalają im chronić Twoje dane w przypadku poważnej awarii.

W planie hostingu współdzielonego udostępniasz zasoby serwera wielu innym klientom. Otwiera to ryzyko zanieczyszczenia między witrynami, w których haker może użyć sąsiedniej witryny do zaatakowania Twojej witryny.

Korzystanie z zarządzanej usługi hostingowej WordPress zapewnia bezpieczniejszą platformę dla Twojej witryny. Zarządzane firmy hostingowe WordPress oferują automatyczne kopie zapasowe, automatyczne aktualizacje WordPress i bardziej zaawansowane konfiguracje zabezpieczeń w celu ochrony Twojej witryny

Zalecamy WPEngine jako nasz preferowany zarządzany dostawca hostingu WordPress. Są również najbardziej popularne w branży. (Zobacz nasz specjalny kupon WPEngine).

Możesz również wypróbować Liquid Web, który jest dobrą alternatywą dla WP Engine.

[Powrót do góry ↑]

Bezpieczeństwo WordPress w prostych krokach (bez kodowania)

Wiemy, że poprawa bezpieczeństwa WordPress może być przerażającą myślą dla początkujących. Zwłaszcza jeśli nie jesteś technikiem. Nie jesteś sam.

Pomogliśmy tysiącom użytkowników WordPress w hartowaniu ich bezpieczeństwa WordPress.

Pokażemy Ci, jak możesz poprawić bezpieczeństwo WordPress za pomocą kilku kliknięć (nie wymaga kodowania).

Jeśli potrafisz wskaż i kliknij, możesz to zrobić!

Zainstaluj rozwiązanie do tworzenia kopii zapasowych WordPress

Kopie zapasowe są twoją pierwszą obroną przed każdym atakiem WordPress. Pamiętaj, nic nie jest w 100% bezpieczne. Jeśli rządowe strony internetowe mogą zostać zhakowane, to Twoje też.

Kopie zapasowe pozwalają szybko przywrócić witrynę WordPress na wypadek, gdyby stało się coś złego.

Istnieje wiele darmowych i płatnych wtyczek do tworzenia kopii zapasowych WordPress, z których możesz korzystać. Najważniejszą rzeczą, którą musisz wiedzieć, jeśli chodzi o kopie zapasowe, jest to, że musisz regularnie zapisywać kopie zapasowe całej witryny w zdalnej lokalizacji (nie na koncie hostingowym).

Zalecamy przechowywanie go w usłudze w chmurze, takiej jak Amazon, Dropbox lub w chmurach prywatnych, takich jak Stash.

W zależności od tego, jak często aktualizujesz swoją witrynę, idealnym ustawieniem może być tworzenie kopii zapasowych raz dziennie lub w czasie rzeczywistym.

Na szczęście można to łatwo zrobić za pomocą wtyczek takich jak UpdraftPlus lub BlogVault. Są one niezawodne i co najważniejsze łatwe w użyciu (nie wymaga kodowania).

[Powrót do góry ↑]

Najlepsza Wtyczka Bezpieczeństwa WordPress

Po wykonaniu kopii zapasowych następną rzeczą, którą musimy zrobić, to skonfigurować system audytu i monitorowania, który śledzi wszystko, co dzieje się w Twojej witrynie.

Obejmuje to monitorowanie integralności plików, nieudane próby logowania, skanowanie złośliwego oprogramowania itp.

Na szczęście wszystko to może być załatwione przez najlepszą darmową wtyczkę bezpieczeństwa WordPress, Sucuri Scanner.

Musisz zainstalować i aktywować bezpłatną wtyczkę Sucuri Security. Aby uzyskać więcej informacji, zapoznaj się z naszym przewodnikiem krok po kroku, jak zainstalować wtyczkę WordPress.

Po aktywacji musisz przejść do menu Sucuri w panelu administracyjnym WordPress. Pierwszą rzeczą, o którą zostaniesz poproszony, jest wygenerowanie bezpłatnego klucza API. Umożliwia to rejestrowanie audytu, sprawdzanie integralności, alerty e-mail i inne ważne funkcje.

Następną rzeczą, którą musisz zrobić, to kliknąć kartę „hartowanie” z menu ustawień. Przejdź przez każdą opcję i kliknij przycisk” Zastosuj hartowanie”.

Te opcje pomagają zablokować kluczowe obszary, które hakerzy często wykorzystują w swoich atakach. Jedyną opcją hartowania, która jest płatną aktualizacją, jest zapora aplikacji internetowej, którą wyjaśnimy w następnym kroku, więc pomiń ją na razie.

Omówiliśmy również wiele z tych opcji ” hartowania „w dalszej części tego artykułu dla tych, którzy chcą to zrobić bez użycia wtyczki lub tych, które wymagają dodatkowych kroków, takich jak” zmiana prefiksu bazy danych „lub”zmiana nazwy użytkownika administratora”.

Po części hartowania domyślne ustawienia wtyczki są wystarczająco dobre dla większości stron internetowych i nie wymagają żadnych zmian. Jedyną rzeczą, którą zalecamy dostosowywanie, są „alerty e-mailowe”.

Domyślne ustawienia alertów mogą zaśmiecać skrzynkę odbiorczą wiadomościami e-mail. Zalecamy otrzymywanie powiadomień o kluczowych działaniach, takich jak zmiany w wtyczkach, rejestracja nowych użytkowników itp. Możesz skonfigurować alerty, przechodząc do ustawień Sucuri ” alerty.

Ta wtyczka bezpieczeństwa WordPress jest bardzo potężna, więc Przeglądaj wszystkie karty i ustawienia, aby zobaczyć wszystko, co robi, takie jak skanowanie złośliwego oprogramowania, dzienniki audytu, nieudana próba śledzenia logowania itp.

Włącz zaporę aplikacji WWW (WAF)

Najprostszym sposobem na ochronę witryny i pewność bezpieczeństwa WordPress jest użycie zapory aplikacji internetowej (WAF).

Zapora sieciowa blokuje cały złośliwy ruch, zanim dotrze do twojej witryny.

Zapora sieciowa na poziomie DNS – Te zapory kierują ruch w witrynie przez ich serwery proxy w chmurze. Dzięki temu mogą wysyłać tylko prawdziwy ruch do serwera www.

Zapora Na Poziomie Aplikacji – Te wtyczki firewall sprawdzają ruch po dotarciu do serwera, ale przed załadowaniem większości skryptów WordPress. Ta metoda nie jest tak skuteczna jak Zapora na poziomie DNS w zmniejszaniu obciążenia serwera.

Aby dowiedzieć się więcej, zobacz naszą listę najlepszych wtyczek zapory WordPress.

My używaj i polecaj Sucuri jako najlepszy firewall aplikacji internetowych dla WordPress. Możesz przeczytać o tym, jak Sucuri pomógł nam zablokować 450,000 ataków WordPress w ciągu miesiąca.

Najlepszą częścią zapory Sucuri jest to, że jest ona również wyposażona w gwarancję czyszczenia złośliwego oprogramowania i usuwania czarnej listy. Zasadniczo, jeśli zostaniesz zhakowany pod ich obserwacją, gwarantują, że naprawią Twoją stronę (bez względu na to, ile masz stron).

Jest to dość silna gwarancja, ponieważ naprawa zhakowanych stron internetowych jest droga. Eksperci od bezpieczeństwa zwykle pobierają 250 USD za godzinę. Podczas gdy możesz dostać cały stos bezpieczeństwa Sucuri za $199 rocznie.

Popraw bezpieczeństwo WordPress z zaporą Sucuri „

Sucuri nie jest jedynym dostawcą zapory na poziomie DNS. Innym popularnym konkurentem jest Cloudflare. Zobacz nasze porównanie Sucuri vs Cloudflare (plusy i minusy).

[Powrót do góry ↑]

Przenieś swoją witrynę WordPress do SSL / HTTPS

SSL (Secure Sockets Layer) to protokół, który szyfruje transfer danych między witryną a przeglądarką użytkowników. To szyfrowanie utrudnia komuś węszenie i kradzież informacji.

Po włączeniu SSL Twoja witryna będzie używać HTTPS zamiast HTTP, zobaczysz również znak kłódki obok adresu witryny w przeglądarce.

Certyfikaty SSL były zazwyczaj wydawane przez urzędy certyfikacji, a ich ceny zaczynają się od 80 do setek dolarów rocznie. Ze względu na dodatkowe koszty większość właścicieli witryn zdecydowała się nadal korzystać z niezabezpieczonego protokołu.

Aby to naprawić, organizacja non-profit o nazwie Let ’ s Encrypt postanowiła zaoferować bezpłatne Certyfikaty SSL właścicielom witryn. Ich projekt jest wspierany przez Google Chrome, Facebook, Mozilla i wiele innych firm.

Teraz łatwiej niż kiedykolwiek zacząć używać SSL dla wszystkich witryn WordPress. Wiele firm hostingowych oferuje teraz bezpłatny certyfikat SSL dla Twojej witryny WordPress.

Jeśli Twoja firma hostingowa go nie oferuje, możesz go kupić od Domain.com. mają najlepszą i najbardziej niezawodną ofertę SSL na rynku. Jest wyposażony w gwarancję bezpieczeństwa $ 10,000 I pieczęć zabezpieczającą TrustLogo.

Bezpieczeństwo WordPress dla użytkowników DIY

Jeśli zrobisz wszystko, o czym wspomnieliśmy do tej pory, jesteś w całkiem dobrej formie.

Ale jak zawsze, możesz zrobić więcej, aby wzmocnić bezpieczeństwo WordPress.

Niektóre z tych kroków mogą wymagać znajomości kodowania.

Zmień domyślną nazwę Użytkownika „admin”

W dawnych czasach domyślną nazwą użytkownika administratora WordPress była „admin”. Ponieważ nazwy użytkowników stanowią połowę danych logowania, ułatwiło to hakerom przeprowadzanie ataków brute-force.

Na szczęście WordPress zmienił to i teraz wymaga wybrania niestandardowej nazwy użytkownika w momencie instalacji WordPressa.

Jednak niektóre instalatory 1-click WordPress nadal ustawiają domyślną nazwę użytkownika administratora na „admin”. Jeśli zauważysz, że tak jest, prawdopodobnie dobrym pomysłem jest przełączenie hostingu.

Ponieważ WordPress nie pozwala domyślnie zmieniać nazw użytkowników, istnieją trzy metody, których możesz użyć do zmiany nazwy użytkownika.

1. Utwórz nową nazwę użytkownika administratora i usuń starą.
2. Użyj wtyczki zmiany nazwy użytkownika
3. Zaktualizuj nazwę Użytkownika z phpMyAdmin

Omówiliśmy wszystkie trzy z nich w naszym szczegółowym przewodniku, jak prawidłowo zmienić nazwę Użytkownika WordPress (krok po kroku).

Uwaga: Mówimy o nazwie użytkownika o nazwie „admin”, a nie o roli administratora.

[Powrót do góry ↑]

Wyłącz Edycję Plików

WordPress jest wyposażony we wbudowany edytor kodu, który pozwala edytować pliki motywów i wtyczek bezpośrednio z obszaru administracyjnego WordPress. W niewłaściwych rękach ta funkcja może stanowić zagrożenie dla bezpieczeństwa, dlatego zalecamy jej wyłączenie.

Możesz to łatwo zrobić, dodając następujący kod w wp-config.plik php.

// Zakaz edycji pliku
define ('DISALLOW_FILE_EDIT', true );

Alternatywnie, możesz to zrobić za pomocą 1-click za pomocą funkcji hartowania w darmowej wtyczce Sucuri, o której wspomnieliśmy powyżej.

[Powrót do góry ↑]

Wyłącz Wykonywanie plików PHP w niektórych katalogach WordPress

Innym sposobem na wzmocnienie bezpieczeństwa WordPress jest wyłączenie wykonywania plików PHP w katalogach, w których nie jest to potrzebne, takich jak /wp-content/uploads/.

Możesz to zrobić, otwierając edytor tekstu, taki jak Notatnik i wklejając ten kod:

< Pliki *.php>
zaprzecz wszystkim
< / Files>

Następnie musisz zapisać ten plik jako .htaccess i prześlij go do / wp-content / uploads / folderów na swojej stronie internetowej za pomocą klienta FTP.

Aby uzyskać bardziej szczegółowe wyjaśnienie, zobacz nasz przewodnik dotyczący wyłączania wykonywania PHP w niektórych katalogach WordPress

Alternatywnie, możesz to zrobić za pomocą 1-click za pomocą funkcji hartowania w darmowej wtyczce Sucuri, o której wspomnieliśmy powyżej.

[Powrót do góry ↑]

Ogranicz Próby Logowania

Domyślnie WordPress pozwala użytkownikom spróbować zalogować się tyle razy, ile chcą. To sprawia, że Twoja witryna WordPress jest podatna na ataki brute force. Hakerzy próbują złamać hasła, próbując zalogować się za pomocą różnych kombinacji.

Można to łatwo naprawić, ograniczając nieudane próby logowania, które użytkownik może wykonać. Jeśli używasz wspomnianej wcześniej zapory sieciowej, zostanie to automatycznie załatwione.

Jeśli jednak nie masz konfiguracji zapory sieciowej, wykonaj poniższe czynności.

Najpierw musisz zainstalować i aktywować wtyczkę login LockDown. Aby uzyskać więcej informacji, zobacz nasz przewodnik krok po kroku, jak zainstalować wtyczkę WordPress.

Po aktywacji odwiedź Ustawienia ” Blokada Logowania strona do konfiguracji wtyczki.

Aby uzyskać szczegółowe instrukcje, zapoznaj się z naszym przewodnikiem na temat tego, jak i dlaczego należy ograniczyć próby logowania w WordPress.

[Powrót do góry ↑]

Dodaj Uwierzytelnianie Dwuskładnikowe

Technika uwierzytelniania dwuetapowego wymaga od użytkowników zalogowania się przy użyciu metody uwierzytelniania dwuetapowego. Pierwszy to nazwa użytkownika i hasło, a drugi krok wymaga uwierzytelnienia za pomocą osobnego urządzenia lub aplikacji.

Większość najlepszych stron internetowych, takich jak Google, Facebook, Twitter, pozwala włączyć go dla swoich kont. Możesz również dodać tę samą funkcjonalność do swojej witryny WordPress.

Najpierw musisz zainstalować i aktywować wtyczkę uwierzytelniania dwuskładnikowego. Po aktywacji musisz kliknąć link „Two Factor Auth” na pasku bocznym administratora WordPress.

Następnie musisz zainstalować i otworzyć aplikację authenticator na telefonie. Istnieje kilka z nich dostępnych, takich jak Google Authenticator, Authy i LastPass Authenticator.

Zalecamy korzystanie z LastPass Authenticator lub Authy, ponieważ oba pozwalają na tworzenie kopii zapasowych kont w chmurze. Jest to bardzo przydatne w przypadku zgubienia telefonu, zresetowania lub zakupu nowego telefonu. Wszystkie loginy do konta zostaną łatwo przywrócone.

Będziemy używać LastPass Authenticator dla samouczka. Instrukcje są jednak podobne dla wszystkich aplikacji auth. Otwórz aplikację authenticator, a następnie kliknij przycisk Dodaj.

Zostaniesz zapytany, czy chcesz ręcznie zeskanować witrynę lub zeskanować kod kreskowy. Wybierz opcję Skanuj kod kreskowy, a następnie skieruj aparat w telefonie na kod QR pokazany na stronie ustawień wtyczki.

To wszystko, twoja aplikacja uwierzytelniająca zapisze ją teraz. Następnym razem, gdy zalogujesz się do swojej witryny, zostaniesz poproszony o dwuskładnikowy kod auth po wprowadzeniu hasła.

Po prostu otwórz aplikację authenticator w telefonie i wprowadź kod, który na niej widzisz.

[Powrót do góry ↑]

Zmień Prefiks Bazy Danych WordPress

Domyślnie WordPress używa wp_ jako prefiksu dla wszystkich tabel w bazie danych WordPress. Jeśli Twoja witryna WordPress używa domyślnego prefiksu bazy danych, hakerzy mogą łatwiej odgadnąć nazwę Twojej tabeli. Dlatego zalecamy jego zmianę.

Możesz zmienić prefiks bazy danych, postępując zgodnie z naszym samouczkiem krok po kroku, jak zmienić prefiks bazy danych WordPress, aby poprawić bezpieczeństwo.

Uwaga: Może to uszkodzić twoją witrynę, jeśli nie zostanie wykonana prawidłowo. Kontynuuj tylko, jeśli czujesz się komfortowo ze swoimi umiejętnościami kodowania.

[Powrót do góry ↑]

Ochrona hasłem WordPress Admin i Strona logowania

Zwykle hakerzy mogą poprosić o folder wp-admin i stronę logowania bez żadnych ograniczeń. Dzięki temu mogą próbować swoich sztuczek hakerskich lub uruchamiać ataki DDoS.

Możesz dodać dodatkową ochronę hasłem na poziomie serwera, która skutecznie zablokuje te żądania.

Postępuj zgodnie z naszymi instrukcjami krok po kroku, jak zabezpieczyć hasłem swój katalog admin WordPress (wp-admin).

[Powrót do góry ↑]

Wyłącz indeksowanie i Przeglądanie katalogów

Przeglądanie katalogów może być używane przez hakerów, aby dowiedzieć się, czy masz jakieś pliki ze znanymi lukami, więc mogą skorzystać z tych plików, aby uzyskać dostęp.

Przeglądanie katalogów może być również używane przez inne osoby do przeglądania plików, kopiowania obrazów, sprawdzania struktury katalogów i innych informacji. Dlatego zaleca się wyłączenie indeksowania i przeglądania katalogów.

Musisz połączyć się ze swoją witryną za pomocą menedżera plików FTP lub cPanel. Następnie zlokalizuj .plik htaccess w katalogu głównym Twojej witryny. Jeśli nie możesz go tam zobaczyć, zapoznaj się z naszym przewodnikiem, dlaczego nie możesz zobaczyć .plik htaccess w WordPress.

Następnie musisz dodać następującą linię na końcu .plik htaccess:

Opcje-Indeksy

Nie zapomnij zapisać i przesłać .plik htaccess z powrotem do twojej witryny. Aby uzyskać więcej informacji na ten temat, zobacz nasz artykuł o tym, jak wyłączyć przeglądanie katalogów w WordPress.

[Powrót do góry ↑]

Wyłącz XML-RPC w WordPress

XML-RPC został domyślnie włączony w WordPress 3.5, ponieważ pomaga połączyć witrynę WordPress z aplikacjami internetowymi i mobilnymi.

Ze względu na swoją potężną naturę, XML-RPC może znacznie wzmocnić ataki brute-force.

Na przykład tradycyjnie, jeśli haker chciał wypróbować różne hasła 500 w Twojej witrynie, musiałby wykonać oddzielne próby logowania 500, które zostaną przechwycone i zablokowane przez wtyczkę blokady logowania.

Ale z XML-RPC, haker może użyć system.multicall funkcja do wypróbowania tysięcy haseł z powiedzmy 20 lub 50 żądaniami.

Dlatego też, jeśli nie używasz XML-RPC, zalecamy wyłączenie go.

Istnieją 3 sposoby wyłączenia XML – RPC w WordPress, a my omówiliśmy je wszystkie w naszym samouczku krok po kroku, jak wyłączyć XML-RPC w WordPress.

Wskazówka: The .metoda htaccess jest najlepsza, ponieważ jest najmniej zasobochłonna.

Jeśli używasz wspomnianej wcześniej zapory aplikacji sieciowej, może ona się tym zająć.

[Powrót do góry ↑]

Automatycznie Wyloguj bezczynnych użytkowników w WordPress

Zalogowani użytkownicy mogą czasami oddalać się od ekranu, co stwarza zagrożenie bezpieczeństwa. Ktoś może przejąć sesję, zmienić hasła lub wprowadzić zmiany na swoim koncie.

Dlatego wiele witryn bankowych i finansowych automatycznie wylogowuje nieaktywnego użytkownika. Możesz również zaimplementować podobną funkcjonalność w swojej witrynie WordPress.

Musisz zainstalować i aktywować nieaktywną wtyczkę wylogowania. Po aktywacji odwiedź Ustawienia ” Nieaktywne Wylogowanie strona do konfiguracji ustawień wtyczki.

Wystarczy ustawić czas trwania i dodać wiadomość wylogowania. Nie zapomnij kliknąć przycisku zapisz zmiany, aby zapisać swoje ustawienia.

[Powrót do góry ↑]

Dodaj pytania bezpieczeństwa do ekranu logowania WordPress

Dodanie pytania zabezpieczającego do ekranu logowania WordPress jeszcze bardziej utrudnia komuś uzyskanie nieautoryzowanego dostępu.

Możesz dodać pytania zabezpieczające, instalując wtyczkę pytania zabezpieczające WP. Po aktywacji musisz odwiedzić stronę pytania bezpieczeństwa Ustawienia, aby skonfigurować ustawienia wtyczki.

Aby uzyskać bardziej szczegółowe instrukcje, zobacz nasz samouczek na temat dodawania pytań bezpieczeństwa do ekranu logowania WordPress.

[Powrót do góry ↑]

Skanowanie WordPress pod kątem złośliwego oprogramowania i luk

Jeśli masz zainstalowaną wtyczkę bezpieczeństwa WordPress, te wtyczki będą rutynowo sprawdzać pod kątem złośliwego oprogramowania i oznak naruszeń bezpieczeństwa.

Jeśli jednak zauważysz nagły spadek ruchu w witrynie lub rankingów wyszukiwania, możesz ręcznie uruchomić skanowanie. Możesz użyć wtyczki zabezpieczającej WordPress lub użyć jednego z tych złośliwych programów i skanerów bezpieczeństwa.

Uruchamianie tych skanów online jest dość proste, wystarczy wprowadzić adresy URL witryny, a ich roboty przeszukują Twoją witrynę, aby wyszukać znane złośliwe oprogramowanie i złośliwy kod.

Teraz należy pamiętać, że większość skanerów bezpieczeństwa WordPress może po prostu skanować witrynę. Nie mogą usunąć złośliwego oprogramowania ani wyczyścić zhakowanej witryny WordPress.

To prowadzi nas do następnej sekcji, czyszczenia złośliwego oprogramowania i zhakowanych witryn WordPress.

[Powrót do góry ↑]

Naprawianie Zhakowanej witryny WordPress

Wielu użytkowników WordPressa nie zdaje sobie sprawy z znaczenia kopii zapasowych i bezpieczeństwa witryny, dopóki ich witryna nie zostanie zhakowana.

Czyszczenie witryny WordPress może być bardzo trudne i czasochłonne. Naszą pierwszą radą byłoby pozwolić profesjonalistom się tym zająć.

Hakerzy instalują backdoory na dotkniętych witrynach, a jeśli te backdoory nie zostaną prawidłowo naprawione, Twoja witryna prawdopodobnie zostanie ponownie zhakowana.

Umożliwienie profesjonalnej firmie ochroniarskiej, takiej jak Sucuri, naprawienia Twojej witryny, zapewni, że Twoja witryna będzie bezpieczna do ponownego użycia. Będzie to również chronić przed wszelkimi przyszłymi atakami.

Dla żądnych przygód i majsterkowiczów przygotowaliśmy przewodnik krok po kroku dotyczący naprawy zhakowanej witryny WordPress.

[Powrót do góry ↑]

To wszystko, mamy nadzieję, że ten artykuł pomógł Ci poznać najlepsze praktyki bezpieczeństwa WordPress, a także odkryć najlepsze wtyczki bezpieczeństwa WordPress dla Twojej witryny.

Jeśli podoba Ci się ten artykuł, zasubskrybuj nasz kanał YouTube dla samouczków wideo WordPress. Znajdziesz nas również na Twitterze i Facebooku.