Technologiczne, Gadżety, Telefony Komórkowe, Pobieranie Aplikacji!

Jak chronić witrynę WordPress przed hakerami (17 porad ekspertów)

Jak chronić witrynę WordPress przed hakerami (17 porad ekspertów)

Chcesz chronić swoją witrynę WordPress przed hakerami?

Bezpieczeństwo WordPressa to nie tylko opcja. Musisz chronić swoją witrynę przed zagrożeniami bezpieczeństwa, takimi jak złośliwy kod, złośliwe oprogramowanie, boty i inne.

Co tydzień Google umieszcza na czarnej liście ponad 10 000 witryn internetowych ze względu na złośliwe oprogramowanie i ponad 50 000 witryn zawierających phishing. Jeśli więc poważnie myślisz o zabezpieczeniu swojej witryny, trafiłeś we właściwe miejsce.

W tym przewodniku po bezpieczeństwie WordPressa pokażemy, jak chronić witrynę WordPress przed większością problemów związanych z bezpieczeństwem.

Czy WordPress może być bezpieczny?

WordPress może być bezpiecznym systemem zarządzania treścią (CMS), jeśli zastosuje się niezbędne środki bezpieczeństwa witryny. Poniżej przedstawiamy najważniejsze środki ostrożności dotyczące bezpieczeństwa witryny internetowej i wyjaśniamy, dlaczego jest to istotne dla witryny Twojej firmy.

Podstawy bezpieczeństwa WordPressa

Zacznijmy od zrozumienia, dlaczego bezpieczeństwo Twojej witryny WordPress jest niezbędne do jej powodzenia i jak wdrożyć podstawowe środki bezpieczeństwa.

Po pierwsze, możesz zadać sobie pytanie, dlaczego bezpieczeństwo WordPressa jest ważne?

1. Dowiedz się, dlaczego bezpieczeństwo WordPressa jest ważne

Wyobraź sobie, że pewnego dnia budzisz się i widzisz, że Twoja witryna WordPress została zhakowana. Wszystko, co wiąże się z tworzeniem profesjonalnej witryny biznesowej, bloga lub witryny e-commerce, zostaje zniszczone przez irytujących hakerów.

Hakerzy mogą wprowadzić luki w zabezpieczeniach, które nie tylko szkodzą dochodom i reputacji Twojej firmy. Mogą także kraść dane osobowe, takie jak hasła i dane kart kredytowych, a także instalować złośliwe oprogramowanie, które wysyła je do użytkowników.

Co najgorsze, możesz stać się ofiarą płacenia za oprogramowanie ransomware w celu odzyskania dostępu do Twojej witryny.

Jeśli Twoja witryna ma charakter biznesowy i chcesz uniknąć tego koszmaru, musisz zwrócić większą uwagę na bezpieczeństwo WordPressa. Zaczyna się od prostej praktyki polegającej na aktualizowaniu podstawowej wersji WordPressa.

2. Aktualizuj podstawowe pliki WordPress

Ponieważ WordPress jest oprogramowaniem typu open source, jest regularnie konserwowany i aktualizowany. Domyślna instalacja WordPressa automatycznie instaluje drobne aktualizacje, ale główne wersje wymagają ręcznej aktualizacji WordPressa do najnowszej wersji.

Podobnie WordPress zawiera tysiące wtyczek i motywów. Zewnętrzni twórcy narzędzi również regularnie publikują aktualizacje.

Ponadto aktualizacje często zawierają poprawki zabezpieczeń, które naprawiają luki w zabezpieczeniach. Dlatego ważne jest, aby często aktualizować wtyczki i motywy WordPress, aby zapewnić stabilność i bezpieczeństwo swojej witryny.

3. Usuń nieużywane motywy i wtyczki

Oprócz ciągłego aktualizowania wtyczek i motywów, powinieneś także usunąć te, których już nie używasz.

Używanie niepotrzebnych motywów i wtyczek jest jak pozostawienie nieużywanych drzwi otwartych. Oferuje hakerom tylne drzwi, więc pozbądź się wszystkiego, czego nie potrzebujesz.

4. Używaj silnych haseł i uprawnień

Najczęstsze próby włamań do WordPressa wykorzystują skradzione nazwy użytkownika i hasła w celu uzyskania dostępu do stron internetowych. Aby utrudnić próby włamań, używaj silnych haseł, które są unikalne dla Twojej witryny WordPress.

Dotyczy to Twojej witryny WordPress, hostingu, kont FTP, firmowej poczty e-mail i nie tylko.

Chociaż kuszące jest używanie imienia Twojego zwierzaka, ponieważ jest ono łatwe do zapamiętania, łatwo je również odgadnąć.

Najlepszą praktyką jest użycie hasła składającego się z co najmniej 12 znaków. Znaki te muszą składać się z wielkich i małych liter, symboli i liter.

Wielu użytkowników WordPressa unika tworzenia skomplikowanych haseł, ponieważ są one trudne do zapamiętania. Dobra wiadomość jest taka, że ​​możesz używać menedżerów haseł do bezpiecznego tworzenia i przechowywania silnych haseł.

Kolejną ważną wskazówką jest zachowanie prywatności konta administratora WordPress. Jeśli nad Twoją witryną pracuje duży zespół lub wielu autorów WordPressa, możesz przypisać ich specjalnie role i uprawnienia użytkowników przed dodaniem nowych kont użytkowników.

5. Wybierz bezpieczną firmę hostingową WordPress

Kolejnym podstawowym krokiem w zakresie bezpieczeństwa jest upewnienie się, że korzystasz z usług renomowanego dostawcy usług hostingowych. Najlepsi dostawcy hostingu WordPress, tacy jak Bluehost, SiteGround i Hostinger, dokładają szczególnej staranności, aby chronić swoje serwery przed lukami w zabezpieczeniach.

Dobra firma hostingowa WordPress często pracuje za kulisami, aby chronić Twoją witrynę za pomocą następujących środków:

  • Uważaj na podejrzaną aktywność
  • Utrzymuj narzędzia zapobiegające atakom DDOS na dużą skalę
  • Aktualizuj oprogramowanie serwera, sprzęt i wersje PHP
  • Wdrażaj plany odzyskiwania po awarii i plany awaryjne w przypadku ważnych wydarzeń

Wielu hostów oferuje plany hostingu współdzielonego, w ramach których udostępniasz zasoby serwera WWW innym klientom.

Ponieważ może to grozić atakiem hakerów na sąsiednie witryny, najlepszym rozwiązaniem jest skorzystanie z zarządzanego hostingu WordPress.

Zarządzani dostawcy hostingu WordPress, tacy jak WPEngine, mają bezpieczniejszą platformę. Oferują także automatyczne kopie zapasowe, aktualizacje WordPress i zaawansowane zabezpieczenia.

Żadne kroki bezpieczeństwa WordPress bez kodu

Rozumiemy, że poprawa bezpieczeństwa WordPressa może być zniechęcająca, szczególnie dla nowych właścicieli witryn i początkujących. Nie martw się; poniższe kroki nie wymagają żadnej wiedzy technicznej.

Za kilka minut będziesz na dobrej drodze do zabezpieczenia WordPressa bez pisania żadnego kodu.

6. Zainstaluj rozwiązanie do tworzenia kopii zapasowych WordPress

Tworzenie kopii zapasowej WordPressa to jedna z pierwszych linii obrony przed hakerami. Jeśli stanie się coś strasznego, pozwolą Ci przywrócić witrynę do poprzedniego stanu.

Najlepsze wtyczki do tworzenia kopii zapasowych WordPress mają wersje bezpłatne i płatne z dodatkowymi funkcjami, takimi jak baza danych WordPress i przesyłanie plików, punkty przywracania i powiadomienia e-mail. Jednak najważniejszą funkcją, której należy szukać, jest zapisywanie i regularne wykonywanie kopii zapasowych w lokalizacji zdalnej.

Poszukaj rozwiązań do tworzenia kopii zapasowych z pamięcią zewnętrzną w miejscach takich jak Amazon, Dropbox lub pamięć prywatna w chmurze. Wybierz także wtyczki, które pozwalają na zaplanowane tworzenie kopii zapasowych, na przykład raz dziennie lub w czasie rzeczywistym.

Niektóre popularne wtyczki do tworzenia kopii zapasowych z tymi funkcjami PowielaczKopie zapasowe UpdraftPlus, BlogVault i Jetpack VaultPress. Są łatwe w użyciu, niezawodne i nie wymagają kodowania.

7. Wybierz najlepszą wtyczkę zabezpieczającą WordPress

Po uzyskaniu rozwiązania do tworzenia kopii zapasowych kolejnym zadaniem jest skonfigurowanie systemu monitorowania, który może śledzić aktywność na Twojej stronie internetowej. Działanie to może obejmować nieudane próby logowania, monitorowanie integralności plików, sprawdzanie pod kątem złośliwego oprogramowania i nie tylko.

Większość tych zadań monitorowania można łatwo obsłużyć za pomocą Sucuri Scanner, najlepszej darmowej wtyczki zabezpieczającej WordPress. Po zainstalowaniu i aktywacji Sucuri przejdź tutaj Bezpieczeństwo Sucuri »Ustawienia z panelu WordPress i kliknij zakładkę Hartowanie.

Teraz przejdź przez każdą opcję i kliknij przycisk Zastosuj utwardzanie kula.

Te ustawienia pomagają blokować części Twojej witryny, które hakerzy często wykorzystują do swoich ataków. Jedyną opcją, za którą będziesz musiał zapłacić za uaktualnienie, jest Zapora aplikacji sieci Web, którą omówimy w następnym kroku.

Jest to jedna z innych alternatywnych wtyczek zabezpieczających WordPress WordFence i Bezpieczeństwo iThemes.

8. Korzystanie z zapory aplikacji sieciowych (WAF).

Korzystanie z zapory sieciowej to skuteczny sposób blokowania złośliwego ruchu, zanim dotrze on do Twojej witryny WordPress. Istnieje kilka typów tej zapory do wyboru.

  • Zapora sieciowa na poziomie DNS: Kieruje ruch w Twojej witrynie przez serwery proxy w chmurze i wysyła tylko rzeczywisty ruch do Twojego serwera internetowego.
  • Zapora sieciowa na poziomie aplikacji: Sprawdza ruch w momencie dotarcia do serwera, ale przed załadowaniem skryptów WordPress.

Jak wspomniano powyżej, zapora sieciowa Sucuri jest w tym przypadku solidnym rozwiązaniem. Sucuri pomógł WPBeginnerowi zablokować 450 000 ataków w ciągu 3 miesięcyco potwierdza jego skuteczność.

Wtyczka zapewnia również gwarancję usunięcia złośliwego oprogramowania i czarnej listy, więc jeśli zostanie zhakowana podczas korzystania z niej, Twoja witryna zostanie naprawiona bez zadawania pytań. Biorąc pod uwagę, że większość ekspertów ds. bezpieczeństwa pobiera opłatę w wysokości około 250 dolarów za godzinę, usługa ta jest kradzieżą za jedyne 199 dolarów rocznie.

Zwiększ bezpieczeństwo swojego WordPressa dzięki Sucuri Firewall już dziś.

9. Przełącz z HTTP na SSL/HTTPS

Jeśli jeszcze tego nie zrobiłeś, kolejnym kluczowym krokiem będzie dodanie szyfrowania SSL do Twojej witryny WordPress. SSL, skrót od Secure Sockets Layer, szyfruje transmisję danych pomiędzy Twoją witryną a przeglądarką odwiedzającego. Zasadniczo utrudnia to hakerom kradzież informacji.

Po włączeniu protokołu SSL Twoja witryna będzie używać protokołu HTTPS zamiast HTTP. Ikona kłódki pojawi się także obok jego adresu w przeglądarce internetowej.

Certyfikaty SSL kosztują od 80 do setek dolarów rocznie, dlatego wielu właścicieli witryn ich unika. Ponieważ jednak Let’s Encrypt oferuje bezpłatne certyfikaty SSL, wielu dostawców hostingu oferuje je w ramach swoich planów.

Jeśli Twój dostawca usług internetowych nie oferuje protokołu SSL, możesz go kupić w witrynie domain.com. Mają najbardziej zaufaną umowę SSL z gwarancją bezpieczeństwa w wysokości 10 000 USD i pieczęcią bezpieczeństwa TrustLogo.

Zaawansowane wskazówki dotyczące bezpieczeństwa WordPressa

Kiedy już opanujesz powyższe kroki bezpieczeństwa, czas na wyższy poziom. Zawsze możesz zrobić więcej, aby zabezpieczyć swoją witrynę WordPress. Przyjrzyjmy się specjalnym środkom bezpieczeństwa.

Notatka: Niektóre z poniższych kroków mogą wymagać umiejętności kodowania.

10. Ogranicz próby logowania

Aby jeszcze bardziej chronić swoją witrynę przed atakami typu brute-force, możesz ograniczyć próby logowania do WordPress. W ten sposób, jeśli ktoś wielokrotnie wprowadzi błędne hasło, na jakiś czas zostanie zablokowany dostęp do Twojej witryny.

Jednym ze sposobów wdrożenia tej funkcji jest Przeładowano limit prób logowania łączyć.

Umożliwia określenie maksymalnej liczby błędnych haseł dozwolonych przed zablokowaniem użytkownika i wysłaniem wiadomości e-mail w przypadku niepowodzenia logowania.

Pełne instrukcje dotyczące konfigurowania tej wtyczki można znaleźć w tym przewodniku na stronie internetowej jak ograniczyć próby logowania w WordPress.

11. Stosuj uwierzytelnianie dwuskładnikowe

Uwierzytelnianie dwuskładnikowe sprawia, że ​​proces logowania legalnych użytkowników jest bardziej skomplikowany i irytujący, a także pomaga utrzymać niechciane osoby poza Twoją witryną.

Jak sama nazwa wskazuje, uwierzytelnianie dwuskładnikowe wymaga od użytkowników wykonania dwóch kroków bezpieczeństwa, zanim będą mogli korzystać z witryny. Pierwszym krokiem jest zazwyczaj tradycyjne wyzwanie związane z nazwą/hasłem. Drugim krokiem jest wprowadzenie kodu zabezpieczającego przesłanego SMS-em lub innym bezpiecznym urządzeniem.

Istnieje wiele wtyczek, które umożliwiają skonfigurowanie uwierzytelniania dwuskładnikowego, na przykład darmowego Wtyczka uwierzytelniania dwuskładnikowego WordPress.

Po zainstalowaniu i aktywacji rozszerzenia kliknij przycisk Uwierzytelnianie dwuskładnikowe link w panelu administracyjnym WordPress, który ujawnia Twój jednorazowy kod instalacyjny.

Następnie zainstaluj i otwórz na swoim telefonie aplikację uwierzytelniającą, taką jak Google Authenticator, a następnie kliknij ikonę plusa, aby dodać nowy kod.

Stamtąd możesz zeskanować kod QR na stronie ustawień wtyczki, aby dokończyć instalację.

Następnym razem, gdy zalogujesz się do swojej witryny WordPress, po wprowadzeniu hasła zostaniesz poproszony o podanie dwuskładnikowego kodu uwierzytelniającego.

12. Ukryj stronę logowania WordPress

Prawie każdy haker wie, że dostęp do stron administracyjnych WordPressa zwykle uzyskuje się poprzez dodanie /wp-admin po nazwie domeny. Na przykład, jeśli nazwa Twojej domeny to xyz.com, strona administracyjna jest prawdopodobnie dostępna pod następującym adresem URL: http://xyz.com/wp-admin.

Wiedzą również, że nazwa strony logowania to wp-login.php.

Na szczęście można to zmienić. Wtyczki takie jak Ukryj logowanie WPSumożliwia dostosowanie adresu URL logowania.

Hakerom znacznie trudniej jest włamać się do Twojego systemu, jeśli nie mogą znaleźć Twojej strony logowania. Możesz także skorzystać z tego przewodnika, aby zmienić adres URL logowania do WordPress.

13. Zmień domyślną nazwę użytkownika administratora

Podobnie instalacja WordPressa może nadać kontom administratora nazwę użytkownika „admin”. Najlepiej jak najszybciej zmienić tę nazwę, ponieważ hakerzy ją znają i mogą spróbować „brute force” (wielokrotne wpisywanie różnych haseł) przy użyciu tej nazwy użytkownika.

Wielu dostawców usług hostingowych zdaje sobie sprawę z potencjału tego ataku i w rezultacie unika tworzenia konta administratora o nazwie „admin”. Warto jednak sprawdzić, aby zwiększyć bezpieczeństwo.

14. Nadanie dostępu administratora na podstawie adresu IP

Jeśli jesteś jedyną osobą upoważnioną do wykonywania zadań administracyjnych na Twojej witrynie WordPress, możesz również ograniczyć dostęp administracyjny na podstawie adresu IP.

Twój adres IP to kwartet liczb, które identyfikują Cię w Internecie. Pomyśl o tym jak o swoim adresie cyfrowym.

Mając to na uwadze, możesz powiedzieć WordPressowi, aby zezwalał na dostęp administratorowi tylko wtedy, gdy ma on określony adres IP. Oznacza to, że hakerom próbującym uzyskać dostęp do Twojej witryny z innego adresu IP nie uda się.

Aby zaimplementować tę funkcję bezpieczeństwa, przejdź tutaj whatismyip.com aby poznać Twój adres IP. Następnie musisz zmodyfikować plik .htaccess w katalogu administratora hosta, aby wprowadzić zmianę zabezpieczeń.

Jeśli nie wiesz, jak to zrobić, zadzwoń na linię pomocy technicznej swojego dostawcy usług hostingowych i poproś technika, aby zrobił to za Ciebie.

W szczególności chcesz dodać do pliku coś takiego:

zamówienie odmów, zezwól Odmów wszystkim Zezwól od xxx.xxx.xxx.xxx

Zastąp „xxx.xxx.xxx.xxx” adresem IP widocznym na whatismyip.com. Po wykonaniu tej czynności i zapisaniu pliku tylko osoby posiadające ten adres IP będą mogły uzyskać dostęp do panelu administracyjnego WordPress.

Notatka: Twój dostawca usług internetowych (ISP) od czasu do czasu zmienia Twój adres IP. Jeśli tak się stanie, zostaniesz zablokowany w swojej witrynie. Rozwiązaniem jest skontaktowanie się z pomocą techniczną i poproszenie technika o odpowiednią aktualizację adresu IP. Zrób to na własne ryzyko.

15. Wyłącz XML-RPC w WordPress

ML-RPC to funkcja wprowadzona w WordPress 3.5, która pomaga połączyć witrynę WordPress z aplikacjami internetowymi i mobilnymi. Jednak ze względu na swoją siłę może również wzmocnić ataki brutalną siłą.

Na przykład w przeszłości, jeśli haker chciał wypróbować 500 różnych haseł, musiał wykonać 500 prób logowania, co zwykle przechwytywały wtyczki. Jednak dzięki XML-RPC hakerzy mogą użyć funkcji system.multicall, aby wypróbować tysiące haseł przy mniejszej liczbie żądań.

W związku z tym, jeśli nie używasz XML-RPC, najlepiej go wyłączyć. Pełne instrukcje można znaleźć w tym przewodniku w witrynie internetowej jak wyłączyć XML-RPC w WordPress.

16. Wyłącz edycję plików

WordPress ma wbudowany edytor kodu, który umożliwia edycję plików motywów i wtyczek WordPress w obszarze administracyjnym WordPress. W niepowołanych rękach ta funkcja może zagrozić bezpieczeństwu Twojej witryny, dlatego najlepiej ją wyłączyć.

Możesz to zrobić po prostu dodając następujący kod do pliku wp-config.php.

odmowa to wszystko

Alternatywnie możesz wyłączyć edycję plików, korzystając ze wspomnianej wcześniej funkcji Hartowanie bezpłatnej wtyczki Sucuri.

17. Przeskanuj swoją witrynę WordPress pod kątem złośliwego oprogramowania

Prawdopodobnie masz już na swoim komputerze oprogramowanie antywirusowe, które skanuje dysk twardy w poszukiwaniu potencjalnych zagrożeń. Jeśli masz zainstalowaną wtyczkę zabezpieczającą WordPress, będzie ona regularnie skanować Twoją witrynę pod kątem luk w zabezpieczeniach i złośliwego oprogramowania.

Jednak nagły spadek ruchu na stronie lub pozycji w wyszukiwarkach może wskazywać, że coś jest nie tak i należy sprawdzić to ręcznie. Możesz użyć wtyczki zabezpieczającej WordPress lub złośliwe oprogramowanie i skaner bezpieczeństwa W związku z tym.

Uruchomienie skanera online jest łatwe. Po prostu wpisz adres URL swojej witryny, a skaner przeskanuje ją w poszukiwaniu złośliwego oprogramowania i złośliwego kodu.

Chociaż te skanery mogą skanować Twoją witrynę, nie mogą usuwać złośliwego oprogramowania ani czyścić witryn zaatakowanych przez hakerów.

Następne kroki

Mamy nadzieję, że ten przewodnik dotyczący ochrony witryny WordPress przed hakerami okazał się przydatny. Twoja witryna WordPress jest tak samo podatna na włamania, jak każda inna witryna w Internecie, ale przestrzegając najlepszych praktyk bezpieczeństwa WordPress, możesz zmniejszyć ryzyko ataku.

Aby uzyskać więcej informacji, zapoznaj się z następującymi samouczkami i przewodnikami:

Dziękuje za przeczytanie! Chętnie poznamy Twoją opinię, więc zostaw komentarz w przypadku jakichkolwiek pytań lub opinii.

Możesz także nas śledzić youtube, X (dawniej Twitter)I Facebook aby uzyskać więcej przydatnych treści, które pomogą Ci rozwijać Twój biznes.

Stacey pisze o WordPressie i marketingu cyfrowym od ponad 10 lat, a na inne tematy znacznie dłużej. Fascynuje go także projektowanie stron internetowych, doświadczenie użytkownika i SEO.