TechBlogSD - Wszystko do WordPressa i tworzenia stron internetowych
Instrukcje WEB i WordPress, nowości, recenzje motywów i wtyczek

Przewodnik po zabezpieczeniach WordPress – 28 wskazówek, jak chronić swoją witrynę

1

WordPress obsługuje ponad 35% stron w Internecie. Ze względu na dużą popularność i charakter open source, witryny WordPress są jednym z głównych celów hakerów i złośliwego oprogramowania. Twoja witryna WordPress może być łatwym celem dla atakujących ze względu na prostą nazwę użytkownika administratora, łatwe hasła i przestarzały motyw lub wtyczki. Ale nie musisz się martwić, możesz łatwo chronić swoją witrynę, wykonując kilka prostych kroków. Oto przewodnik krok po kroku dotyczący bezpieczeństwa WordPress dla początkujących, aby zrozumieć różne aspekty ochrony witryny przed atakami i lukami w zabezpieczeniach.

Powiązane: Pobierz przewodnik bezpieczeństwa WordPress w formacie PDF.

Przewodnik po zabezpieczeniach WordPress

  1. Chroń swój komputer i telefon komórkowy przed wirusami
  2. Korzystaj z bezpiecznego hostingu
  3. Aktualizuj swoją instalację
  4. Używaj silnych haseł
  5. Brak nazwy użytkownika administratora
  6. Bezpieczne zarządzanie rolami
  7. Używaj niezawodnych motywów i wtyczek
  8. Wyłącz edytor motywów i wtyczek w interfejsie administratora
  9. Zablokuj wykonywanie PHP z pulpitu nawigacyjnego
  10. Zatrzymaj atak brute force
  11. Blokuj podejrzanych użytkowników, adresy IP i boty
  12. Wyłącz przeglądanie katalogów
  13. Wyłącz wersję WordPress
  14. Zmień prefiks tabeli bazy danych
  15. Zmień adres URL administratora WordPress
  16. Użyj poprawnych uprawnień do plików
  17. Śledź zmiany w plikach
  18. Użyj podstawowych ustawień zapory
  19. Odmów dostępu do pliku dziennika
  20. Wyłącz XMLPRC i pingbacki
  21. Bezpieczna obsługa poufnych danych
  22. Zapobiegaj spamowi
  23. Okresowa kopia zapasowa witryny
  24. Przeskanuj witrynę w poszukiwaniu złośliwego oprogramowania
  25. Monitoruj błędy 404
  26. Chroń pliki „wp-config.php" i „.htaccess”
  27. Zapewnij bezpieczny dostęp stronom trzecim
  28. Użyj wtyczki bezpieczeństwa

1 Dbaj o bezpieczeństwo komputera i telefonu

Przewodnik po zabezpieczeniach WordPress – 28 wskazówek, jak chronić swoją witrynę

Budowa strony internetowej wymaga wielu zasobów, takich jak dokumenty, obrazy, skrypty, pliki i filmy. Do dalszego tworzenia treści może być konieczne posiadanie dedykowanego laptopa i telefonu komórkowego. Zwłaszcza na platformie WordPress z własnym hostingiem zdalny dostęp do serwera przez FTP jest wymagany przez większość czasu w celu rozwiązywania problemów i przesyłania. Dlatego zainstaluj program antywirusowy na swoim komputerze i regularnie skanuj pliki. Nie zapomnij zeskanować plików wtyczek i motywów przed przesłaniem ich na swoją witrynę WordPress.

Przesłanie pojedynczego skryptu lub pliku ze złośliwym kodem na Twój serwer zepsuje całą Twoją ciężką pracę. Twoja firma hostingowa prawdopodobnie również zbanuje twoje konto za powodowanie problemów z serwerem. Ponadto upewnij się, że masz dostęp do pulpitu WordPress tylko przez zabezpieczone połączenie Wi-Fi i unikaj sieci publicznych, aby chronić swoje dane.

2 Bezpieczny hosting

Instalacja WordPressa wymaga płatnego hostingu, który należy zakupić od dowolnej firmy hostingowej. Jako nowy użytkownik WordPressa możesz wydawać mniej pieniędzy i kupować tani hosting współdzielony dla swojej witryny. Niewątpliwie prędzej czy później pożałujesz swojej decyzji o wyborze złej firmy hostingowej. Gdy jesteś na serwerze współdzielonym, ważne jest, aby wszystkie witryny na tym serwerze działały bezpiecznie i bezpiecznie.

Często setki, a nawet tysiące witryn współdzielą adres IP jednego serwera. Kiedy jedna strona na twoim serwerze zostanie zhakowana, istnieje więcej możliwości, że cały serwer może zostać zhakowany, a Ty również zostaniesz dotknięty. W przeszłości było wiele przypadków, tysiące witryn na serwerze zostało zhakowanych, ponieważ haker mógł wyłączyć serwer przez lukę w jednej witrynie.

WordPress poleca kilka bezpiecznych firm hostingowych, takich jak Bluehost, SiteGround i DreamHost. Musisz jednak skontaktować się z firmą przed zakupem planu hostingowego.

Przewodnik po zabezpieczeniach WordPress – 28 wskazówek, jak chronić swoją witrynę

Hosting polecany przez WordPress

Upewnij się, że Twoja witryna może być okresowo całkowicie zarchiwizowana, a kopia zapasowa jest przechowywana poza serwerem. Z punktu widzenia bezpieczeństwa przechowywanie kopii zapasowej na tym samym serwerze jest naprawdę bezużyteczne, gdy sam serwer jest atakowany.

3 Bądź na bieżąco

WordPress ma trzy główne komponenty do częstej aktualizacji.

  • Temat
  • Wtyczki
  • Podstawowe pliki WordPress

Ponieważ zagrożenia mogą ewoluować z biegiem czasu, wszystkie te trzy składniki należy zaktualizować do najnowszych i zabezpieczonych wersji. Zdecydowanie zaleca się włączenie automatycznej aktualizacji wersji WordPress, aby wszelkie poprawki zabezpieczeń były automatycznie instalowane bez Twojej interwencji. Upewnij się również, że aktualizujesz motywy i wtyczki na serwerze hostingowym, aby były bezpieczne i aktualne.

Dowiedz się więcej o tym, jak działa WordPress.

4 Ustaw silne hasło

Zazwyczaj użytkownicy instalują WordPress za pomocą usług instalacji jednym kliknięciem oferowanych przez firmy hostingowe. Jest to proces krótszy niż 5 minut i istnieją możliwości, że nie możesz podać bardzo silnego hasła podczas tego szybkiego procesu instalacji, zwłaszcza gdy robisz to po raz pierwszy. Również większość użytkowników zapomina zaktualizować hasło po wstępnej konfiguracji, a niektórzy mądrzy użytkownicy używają nawet hasła jako „hasła”.

Witryna WordPress z własnym hostingiem wymaga wielu haseł z różnych powodów. Upewnij się, że masz silne hasła do wszystkich swoich kont i chroń poświadczenia przed nieznanymi osobami.

  • Hasło logowania do panelu administracyjnego WordPress
  • Hasło logowania do konta FTP
  • Hasło do bazy danych
  • Hasła dla różnych użytkowników w Twojej witrynie, takich jak administrator, redaktorzy, współtwórcy itp.
  • Twoje hasło logowania do konta hostingowego
  • Hasło dostępu do cPanel i phpMyadmin

Możesz także użyć uwierzytelniania dwuskładnikowego, aby zalogować się do pulpitu WordPress. Pomaga to mieć dwa hasła, na przykład jedno do pierwszego logowania do pulpitu nawigacyjnego, a dodatkowe hasło zostanie wysłane na Twój telefon komórkowy w celu ostatecznego zalogowania. Natychmiast zmień hasło, jeśli zauważysz, że coś dzieje się nie tak w Twojej witrynie. Skorzystaj z naszego bezpłatnego narzędzia do generowania haseł, aby utworzyć złożone hasło i sprawdzić siłę hasła za pomocą naszego bezpłatnego narzędzia do sprawdzania siły hasła.

Powiązane: Pobierz przewodnik bezpieczeństwa WordPress w formacie PDF.

5 Zmień nazwę użytkownika administratora

Podobnie jak w przypadku haseł, większość z nas ma zwyczaj podawać prostą nazwę użytkownika, taką jak „admin”. Pierwszą próbą, jaką jakikolwiek bot lub haker spróbuje zalogować się do Twojej witryny, będzie nazwa użytkownika „admin” i hasło jako „hasło”. Po zakończeniu instalacji WordPress nie pozwoli na zmianę nazwy użytkownika. Dlatego podczas instalacji podaj złożoną nazwę użytkownika i hasło, aby hakerzy i boty nie mogli ich łatwo odgadnąć.

Dowiedz się więcej o tym, jak zmienić administratora swoją nazwę użytkownika.

Możesz zachować pseudonim i nazwę wyświetlaną inne niż nazwa użytkownika, aby utrudnić hakerom znalezienie nazwy użytkownika administratora. Podobnie postaraj się, aby nazwy użytkownika administratora, redaktora i współtwórcy były różne. W przeciwnym razie hakerzy mogą łatwo znaleźć nazwę użytkownika administratora w Twojej witrynie na stronie archiwów autora.

6 Użyj bezpiecznego zarządzania rolami

WordPress oferuje wiele ról do klasyfikowania osób, które obsługują Twoją witrynę. Administrator, redaktor, współtwórca, subskrybent to tylko niektóre z ról, które możesz przypisać. Gdy masz włączoną funkcję rejestracji w swojej witrynie, upewnij się, że oferujesz subskrybenta lub brak roli nowym użytkownikom, którzy się rejestrują.

Przewodnik po zabezpieczeniach WordPress – 28 wskazówek, jak chronić swoją witrynę

Włącz rolę subskrybenta dla nowych użytkowników

Konieczne jest podanie danych logowania administratora, aby uzyskać określonego asystenta dla komercyjnych wtyczek lub motywu. Zawsze twórz osobnego administratora i udostępniaj go tylko w prywatnym obszarze forów pomocy, który nie jest widoczny dla innych użytkowników. Nie zapomnij usunąć użytkownika, gdy Twoje zapytanie zostanie rozwiązane.

7 Użyj niezawodnego motywu i wtyczek

WordPress ma 57 tysięcy darmowych wtyczek dostępnych w repozytorium w momencie pisania tego artykułu. Oprócz tych darmowych wtyczek istnieje równoważna liczba wtyczek premium i bezpłatnych oferowanych za pośrednictwem różnych witryn internetowych stron trzecich. Podobnie ogromna liczba darmowych i premium motywów jest dostępna do wyboru.

Różne rodzaje darmowych i płatnych wtyczek zawsze kuszą początkujących do zainstalowania i wypróbowania na swojej witrynie WordPress. Obfitość motywów i wtyczek może spowodować ogromne zagrożenie bezpieczeństwa Twojej witryny. Nie ma gwarancji, że te wtyczki i motywy będą utrzymywane i aktualizowane w celu ochrony przed najnowszymi lukami. Nie kupuj ani nie instaluj wtyczek i motywów z niewiarygodnych zasobów i zawsze miej nawyk testowania wtyczek i motywów w witrynie deweloperskiej przed wdrożeniem ich w działającej witrynie. Zawsze wybieraj wersję premium, aby uzyskać odpowiednie wsparcie, zamiast korzystać z bezpłatnych wersji.

Oprócz bezpieczeństwa zainstalowanie większej liczby wtyczek zmniejszy również szybkość ładowania strony. Dlatego usuń niepotrzebne wtyczki i utrzymuj przycinanie listy tak mniej, jak to możliwe.

Powiązane: Jak skonfigurować bloga WordPress z Bluehost?

8 Wyłącz edycję plików z panelu administracyjnego

WordPress umożliwia edycję motywów i wtyczek w plikach PHP bezpośrednio z panelu administracyjnego. Gdy ktoś ma nieautoryzowany dostęp do Twojego panelu administracyjnego, może łatwo wstrzyknąć złośliwy kod z pulpitu nawigacyjnego bez dostępu do katalogu głównego serwera. Dlatego usuń dostęp do edytora, aby chronić swoje dane przed osobami uzyskującymi dostęp do panelu administracyjnego.

Dodaj poniższy kod w pliku „wp-config.php”, aby wyłączyć opcje edytora wtyczek i motywów w interfejsie administratora.

define('DISALLOW_FILE_EDIT',true);

Dowiedz się więcej o tym, jak edytować plik wp-config.php w instalacji WordPress.

9 Zapobieganie wykonywaniu plików PHP

Hakerzy uruchamiają pliki PHP w Twojej witrynie, aby wywołać niepożądane działania. Możesz zablokować użytkowników wykonujących pliki PHP z interfejsu administratora z dowolnego adresu IP innego niż Twój. Aby włączyć blokowanie wykonywania PHP, utwórz plik „.htaccess” i umieść go w folderach „/wp-content/plugins/” i „/wp-content/themes/” z następującą zawartością:

<Files *.php > deny from all allow from "Your IP address" </Files>

10 Ochrona przed atakami Brute Force

Atak brute force to sposób na próbę zalogowania się do Twojej witryny za pomocą odgadnięcia nazwy użytkownika i hasła. Dowolna witryna WordPress może być zalogowana przy użyciu adresu URL – „yoursite.com/wp-admin/” lub „yoursite.com/wp-login.php/”. Istnieją tysiące złych botów, które będą próbowały zalogować się do Twojej witryny WordPress, ponieważ adres URL logowania jest znany wszystkim.

Utrzymywanie silnej nazwy użytkownika i hasła administratora jest niezbędne, aby boty nie mogły odgadnąć. Z drugiej strony tysiące botów trafiających na twoją stronę logowania zwiększą wykorzystanie procesora i pamięci RAM twojego serwera. Doprowadzi to Twoją firmę hostingową do zablokowania Twojego konta, szczególnie na współdzielonym środowisku hostingowym.

Istnieje wiele wtyczek bezpieczeństwa dostępnych dla WordPressa, które chronią ataki typu brute force za pomocą jednej lub kombinacji następujących metod.

  • Włącz maksymalną liczbę prób logowania, aby użytkownik został zablokowany po kilku próbach. Jako administrator otrzymasz powiadomienie dotyczące blokady z nazwą użytkownika i danymi IP.
  • Użyj captcha w formularzach logowania i rejestracji, aby chronić automatyczne próby logowania botów.
  • Gdy znane złe boty próbują się zalogować, zostaną przekierowane na serwer localhost, aby uniknąć ładowania na twoim serwerze.
  • Zmień adres URL logowania do panelu administracyjnego.
  • Prowadzenie białej listy, aby umożliwić dostęp do strony logowania tylko tym adresom IP. Wszystkie inne adresy IP nie będą miały dostępu do Twojej strony logowania.
  • Zapobieganie logowaniu w oparciu o pliki cookie, które pozwala tylko osobom posiadającym specjalne pliki cookie ustawione w przeglądarce na logowanie się do Twojej witryny.
  • Wykorzystanie techniki honeypot do wstawienia ukrytego pola na stronie logowania. Ponieważ boty mają tendencję do wypełniania wszystkich pól na stronie logowania, można je łatwo powstrzymać przed dostępem do Twojej witryny.

Dowiedz się, jak szczegółowo zapobiegać atakom typu brute force w witrynie WordPress.

11 Blokuj podejrzanych użytkowników, boty i czarną listę adresów IP

Innym ważnym aspektem bezpieczeństwa jest monitorowanie użytkowników i botów uzyskujących dostęp do Twojej witryny. Ponieważ większość płatnych usług hostingowych opiera się na limicie ruchu, konieczne jest monitorowanie automatycznych botów indeksujących Twoją witrynę. Szczegóły ruchu możesz znaleźć za pomocą jednego z narzędzi statystycznych dostępnych na Twoim koncie hostingowym, takich jak „Awstats”. Poszczególni użytkownicy, nazwa agenta użytkownika botów i adresy IP mogą zostać zablokowane w celu ochrony Twojej witryny.

Możesz także łatwo zablokować wszystkie adresy IP inne niż Twój, tworząc plik „.htaccess” i umieszczając go w folderze „/wp-admin/” z następującym kodem:

order deny,allow allow from "Your IP address" deny from all

Jeśli uzyskujesz dostęp do panelu administracyjnego z więcej niż jednego adresu IP, zezwól na wiele adresów IP, dodając wiele poleceń zezwolenia, jak poniżej:

order deny,allow allow from "Your IP address1" allow from "Your IP address2" allow from "Your IP address3" deny from all

Możesz również zablokować cały kraj za pomocą wtyczek blokujących kraj.

12 Wyłącz przeglądanie katalogów

Przeglądanie katalogów umożliwia każdemu użytkownikowi przeglądanie struktury katalogów witryny. Na przykład każdy może otworzyć folder „/wp-content/plugins/” w przeglądarce i sprawdzić wszystkie zainstalowane wtyczki w swojej witrynie. Gdy haker dowie się, że w Twojej witrynie jest problematyczna wtyczka, będzie to łatwe wejście do przejęcia witryny.

Przeglądanie katalogów można wyłączyć, dodając poniższą dyrektywę w pliku „.htaccess” znajdującym się w katalogu głównym serwera.

Options All -Indexes

Dowiedz się, jak edytować plik .htaccess w witrynie WordPress.

13 Wyłącz wersję WordPress

Witryny WordPress pokazują wersję WordPressa, której używa, w kodzie źródłowym stron. Możesz kliknąć prawym przyciskiem myszy i wyświetlić kod źródłowy swojej witryny WordPress w przeglądarce, aby znaleźć informacje o wersji, jak poniżej:

<meta name="generator" content="WordPress 5.5" />

Idealnie nie jest konieczne ukrywanie tego tagu metageneratora, jeśli natychmiast aktualizujesz do najnowszej wersji. Zaleca się ukrycie tej informacji o wersji, jeśli nie używasz najnowszej wersji lub nie aktualizujesz jej okresowo.

Stare wersje WordPressa mają wiele znanych luk w zabezpieczeniach, które są naprawiane z biegiem czasu. Hakerzy mogą wykorzystać te informacje o wersji, aby znaleźć witryny korzystające ze starych wersji i łatwo wprowadzić te luki. Oprócz tagu metageneratora WordPress pokazuje również numer wersji w większości plików arkuszy stylów i skryptów, dodając sufiks „/?ver=5.5″. Użyj wtyczek bezpieczeństwa, aby całkowicie usunąć informacje o wersji ze wszystkich kodów źródłowych.

Oferta SEO: Zoptymalizuj swoją witrynę dzięki specjalnej 14-dniowej bezpłatnej wersji próbnej Semrush Pro.

14 Zmień prefiks tabeli bazy danych

Po zainstalowaniu WordPressa zostaniesz promowany do wprowadzenia prefiksu dla tabel Twojej bazy danych MySQL. WordPress domyślnie dodaje „wp_” do wszystkich tabel bazy danych jako prefiks. Na przykład cała zawartość tekstowa witryny WordPress jest przechowywana w tabeli „wp_posts”. Ułatwia to hakerom wstrzyknięcie złośliwego kodu do tabel bazy danych bezpośrednio poprzez nieodpowiedni dostęp.

Ogólnie rzecz biorąc, instalacja jednym kliknięciem od firm hostingowych zawsze dodaje złożony prefiks do bazy danych WordPress. Ale podczas ręcznej instalacji WordPressa, jeśli podałeś prosty prefiks, zalecamy zmianę go teraz. Możesz zmienić prefiks tabeli bazy danych za pomocą dowolnej wtyczki zabezpieczającej, ponieważ ręczna zmiana jest raczej trudnym zadaniem dla początkujących.

Zmieniając prefiks, zwiększasz ochronę swojej bazy danych, ponieważ hakerzy nie mogą odgadnąć poprawnych nazw tabel.

15 Zmień adres URL logowania WordPress

Zmiana adresu URL logowania zmniejszy ataki brute force, ponieważ żadne boty i hakerzy nie znajdą sposobu na zalogowanie się do Twojej witryny. Wtyczki takie jak iThemes Security i All in one WP security and firewall oferują łatwy sposób zmiany adresu URL logowania. Możesz zachować adres URL podobny do „ http://nazwa-witryny.com/dontattack1me4/ ” zawierający znaki alfanumeryczne, aby był bezpieczniejszy.

16 Korzystanie z prawidłowych uprawnień do plików

Każdy plik i folder w instalacji WordPress ma zdefiniowane uprawnienia do plików. Pomaga to zdecydować, kto może czytać, pisać lub uruchamiać określone pliki w witrynie. Ogólnie pliki takie jak „wp-config.php” i „.htaccess” powinny być chronione odpowiednimi uprawnieniami, aby grupa publiczna nie miała dostępu do tych plików.

Przewodnik po zabezpieczeniach WordPress – 28 wskazówek, jak chronić swoją witrynę

Zmień uprawnienia do plików za pomocą FileZilla

Domyślne uprawnienia do plików zdefiniowane przez WordPress są w większości wystarczające do ochrony Twoich danych. Problem pojawia się jednak, gdy instalujesz wtyczki i motywy, które zmienią lub utworzą wiele folderów w Twojej instalacji. Dobrą praktyką jest przeskanowanie witryny i upewnienie się, że masz odpowiednie uprawnienia do wszystkich ważnych folderów.

17 Śledzenie zmian w plikach

Hakerzy wstrzykują złośliwy kod do Twojego systemu plików i wyświetlają swoją zawartość zamiast Twojej, gdy witryna jest otwierana. Dlatego dobrym pomysłem jest śledzenie zmian w ważnych plikach w witrynie. Generalnie wszystkie podstawowe pliki z rozszerzeniem .php (takie jak „wp-config.php”) nie powinny być zmieniane przez nikogo bez Twojej wiedzy.

Możesz osiągnąć to śledzenie plików za pomocą dowolnej wtyczki bezpieczeństwa. Te wtyczki pozwalają wybrać konkretny katalog i pliki w witrynie do śledzenia.

18 Użyj podstawowych ustawień zapory

Istnieją podstawowe i zaawansowane ustawienia zapory sieciowej, które poprawiają bezpieczeństwo Twojej witryny WordPress. Ogólnie te kontrole są dodawane w pliku „.htaccess” i uniemożliwiają hakerom i botom dostęp do Twojej witryny. Niektóre ustawienia zapory w celu poprawy bezpieczeństwa WordPressa obejmują:

  • Odmów dostępu do plików „wp-config.php” i „.htaccess”.
  • Ogranicz rozmiar przesyłanego pliku
  • Usuń podpis serwera

19 Odmów dostępu do pliku dziennika

Rozwiązywanie problemów z WordPressem wymaga umiejętnej analizy sytuacji. WordPress umożliwia włączenie rejestrowania debugowania, dzięki czemu można łatwo dowiedzieć się, co się dzieje, gdy akcja jest uruchamiana w Twojej witrynie. Po włączeniu debugowania plik „debug.log” zostanie zapisany w „/wp-content/debug.log”. Jest to ważny plik, który należy chronić przed hakerami, aby uniknąć wycieku poufnych informacji. Upewnij się, że wyłączysz debugowanie po zakończeniu rozwiązywania problemów i usuń pliki dziennika.

Możesz także wyłączyć dostęp przeglądarki do pliku „debug.log” i kontynuować dostęp za pomocą FTP.

20 Wyłącz XMLPRC i Pingbacks

Kiedy monitorujesz ruch w swojej witrynie, zdziwisz się, widząc liczbę botów próbujących uzyskać dostęp do strony „/xmlprc.php”. Hakerzy mogą wykorzystać API XMLPRC do usunięcia Twojej witryny na wiele sposobów, w tym luki w zabezpieczeniach, takie jak DoS lub Denial of Service.

Oprócz kwestii hakerskich konieczne jest zabezpieczenie dostępu do strony „xmlprc.php”, aby zmniejszyć obciążenie serwera hostingowego. Upewnij się, że nie używasz funkcji XMLPRC w witrynie WordPress i wyłącz ją, aby chronić witrynę przed hakerami.

Ostrzeżenie: zwróć uwagę, że niektóre wtyczki i aplikacje, takie jak aplikacja WordPress na iOS, korzystają z tego interfejsu API XMLPRC. Jeśli wyłączysz usługę, aplikacja lub wtyczka nie będą działać.

Podobnie jak XMLPRC, pingbacki mogą również powodować problemy z bezpieczeństwem Twojej witryny. Możesz wyłączyć pingbacki z panelu administracyjnego i poprawić ochronę danych w swojej witrynie.

Przewodnik po zabezpieczeniach WordPress – 28 wskazówek, jak chronić swoją witrynę

Wyłącz pingbacki w WordPress

21 Bezpieczna obsługa wrażliwych danych

W świecie bezpieczeństwa WordPress hakowanie niekoniecznie oznacza zawsze przejęcie witryny lub serwera. W większości przypadków hakowanie ma na celu kradzież poufnych danych, takich jak dane e-mail i dane karty kredytowej dostępne w witrynie. Używaj protokołu HTTPS na stronach do zbierania danych za pośrednictwem formularzy, zwłaszcza jeśli dane mają charakter wrażliwy, takich jak dane finansowe, numer ubezpieczenia społecznego itp., i wysyłaj dane przez zabezpieczone serwery poczty e-mail w celu ochrony przed hakerami. Zwłaszcza jeśli posiadasz sklep internetowy, obowiązkowe jest używanie SSL i egzekwowanie protokołu HTTPS dla transakcji finansowych.

Nie używaj pliku robots.txt do ukrywania ważnych stron i katalogów przed wyszukiwarkami. Każdy może wyświetlić Twój plik robots.txt w przeglądarce i uzyskać dostęp do ukrytych stron. Używanie dyrektyw „.htaccess” może pomóc w lepszym kontrolowaniu, ale porozmawiaj z twórcą wtyczek lub ekspertem, jeśli nie rozumiesz, w jaki sposób dane są przechowywane i przesyłane.

Ogólnie dane zebrane z formularzy są przechowywane w niestandardowych tabelach w bazie danych i wykorzystywane do różnych celów. Dlatego upewnij się, że żadna inna osoba nie ma dostępu do Twojego konta hostingowego i nie czyta tabel bazy danych.

22 Zapobieganie spamowi

Chociaż spamowanie nie polega na hakowaniu, haker może być spamerem, który sprawdza luki w zabezpieczeniach witryny, przesyłając komentarze lub formularze.

  • Upewnij się, że używasz wtyczek zapobiegających spamowi, takich jak Akismet, aby chronić swoją witrynę przed spamerami.
  • W razie potrzeby możesz użyć captcha w komentarzach, logowaniu, rejestracji i formularzach kontaktowych.
  • Blokuj komentarze niepochodzące z Twojej domeny, aby uniemożliwić botom automatyczne generowanie komentarzy spoza Twojej witryny.

23 Mieć okresową kopię zapasową witryny

Z perspektywy bezpieczeństwa i tworzenia kopii zapasowych będą wyglądały dwa różne tematy. Ale prawda jest taka, że ​​są one ze sobą powiązane jako dwa etapy pojedynczego działania. Gdy witryna zostanie zhakowana, pierwszą rzeczą, której potrzebujesz, jest posiadanie bezpiecznej kopii zapasowej, aby przywrócić zawartość.

  • Upewnij się, że masz okresową kopię zapasową plików witryny i bazy danych.
  • Przechowuj kopię zapasową poza serwerem hostingowym.
  • Chroń swoją kopię zapasową przed nieautoryzowanym dostępem, podobnie jak ochrona działającej witryny.
  • Przetestuj i potwierdź, że kopia zapasowa działa i można ją przywrócić w sytuacji awaryjnej.
  • Sprawdź u swojego usługodawcy hostingowego, czy utworzono kopię zapasową całej zawartości witryny i czy może on pomóc w przywróceniu jej w przypadku awarii.

Regularnie twórz kopie zapasowe swojej witryny, aby można było ją przywrócić w sytuacjach awaryjnych. Pobierz również kopię zapasową na komputer lokalny i trzymaj ją z dala od serwera hostingowego. Lokalna kopia zapasowa pomoże Ci przywrócić witrynę, gdy Twój serwer zostanie zainfekowany.

Uwaga: Możesz utworzyć lokalne środowisko programistyczne WordPress za pomocą MAMP dowolnego innego oprogramowania i okresowo tworzyć kopie zapasowe swojej aktywnej witryny na komputerze lokalnym.

24 Skanuj w poszukiwaniu złośliwego oprogramowania

Złośliwe lub złośliwe oprogramowanie to fragment kodu, który haker umieści w Twoim zwykłym kodzie. Znalezienie złośliwego oprogramowania w witrynie może być trudne, ponieważ trudno jest odróżnić złośliwy kod. Okresowo skanuj witrynę pod kątem złośliwego oprogramowania za pomocą płatnych usług bezpieczeństwa, aby zapewnić bezpieczeństwo zawartości witryny. Większość firm hostingowych i wtyczek zabezpieczających oferuje funkcję skanowania pod kątem złośliwego oprogramowania i wysyła status skanowania na adres e-mail.

Gdy Twoja witryna zostanie zainfekowana złośliwym oprogramowaniem lub wystąpi jakikolwiek inny problem z zabezpieczeniami WordPress, pierwszą rzeczą, jaką możesz zauważyć, jest spadek ruchu. Ponieważ boty wyszukiwarek, takie jak Googlebot, są bardzo inteligentne, mogą wykryć złośliwy kod i obniżyć ranking wyszukiwania, aby chronić użytkowników. Możesz skorzystać z narzędzi bezpieczeństwa dostępnych w Google Search Console i upewnić się, że Twoja witryna jest bezpieczna do przeglądania.

Przewodnik po zabezpieczeniach WordPress – 28 wskazówek, jak chronić swoją witrynę

Sprawdź problemy z bezpieczeństwem w Google Search Console

25 Monitorowanie błędów 404

Automatyczne boty będą próbowały uzyskać dostęp do nieistniejących stron w Twojej witrynie, co prowadzi do błędu 404. Monitorowanie błędu 404 da ci wyobrażenie o tym, kto próbuje uzyskać dostęp do starych lub nieistniejących adresów URL w Twojej witrynie.

Na przykład bot lub użytkownik próbujący uzyskać dostęp do nieistniejącej strony „…/płatność/” powinien zostać zablokowany. Oznacza to, że bot lub użytkownik próbuje odgadnąć potencjalne ukryte strony w Twojej witrynie, aby uzyskać poufne dane.

Powiązane: Przewodnik SEO WordPress w celu poprawy rankingu wyszukiwania.

26 Chroń pliki WP-config i .htaccess

„Wp-config.php” to plik konfiguracyjny zawierający ważne informacje, takie jak nazwa bazy danych i hasło do witryny WordPress. Dostęp do pliku można uzyskać za pośrednictwem FTP lub konta hostingowego za pomocą opcji takich jak „Menedżer plików”. Większość wtyczek zabezpieczających dodaje parametry w tym pliku konfiguracyjnym, aby kontrolować zachowanie. Zdecydowanie zaleca się wykonanie kopii zapasowej pliku „wp-config.php” przed wprowadzeniem jakichkolwiek ustawień wtyczek związanych z bezpieczeństwem.

Podobnie plik „.htaccess” znajdujący się w katalogu głównym witryny jest kluczowym plikiem używanym do środków bezpieczeństwa. Upewnij się, że masz kopię zapasową przed modyfikacją pliku za pomocą wtyczek bezpieczeństwa.

27 Zapewnianie bezpiecznego dostępu stron trzecich

Kiedy kupujesz motyw lub wtyczkę ze strony trzeciej, może być konieczne zapewnienie dostępu administratora do nich w celu rozwiązywania problemów. Postępuj zgodnie z poniższymi wytycznymi w kontaktach z programistami zewnętrznymi:

  • Sprawdź wszystkie aspekty rozwiązywania problemów i potwierdź potrzebę udostępniania danych logowania administratora.
  • Nigdy nie udostępniaj własnego dostępu administratora do stron internetowych osób trzecich.
  • Utwórz nową nazwę użytkownika z dostępem administracyjnym i przekaż mu.
  • Gdy oferujesz dostęp do FTP, upewnij się, że ograniczasz dostęp tylko do wymaganego folderu lub domeny.
  • Podczas usuwania konta FTP należy uważać, aby usunąć tylko konto, a nie dane powiązane z kontem FTP. Niewłaściwe usunięcie konta FTP wraz z powiązanymi danymi usunie zawartość w ciągu kilku sekund.

28 Użyj wtyczek bezpieczeństwa WordPress

Wdrożenie wszystkich omówionych powyżej środków bezpieczeństwa będzie trudnym zadaniem dla właścicieli witryn. Na szczęście istnieje wiele darmowych i premium wtyczek bezpieczeństwa WordPress, które oferują te funkcje jako pakiet. Możesz użyć darmowych wtyczek, takich jak All in One WP Security i Firewall, lub częściowo darmowych wtyczek, takich jak iThemes security / Wordfence. Większość wyżej wymienionych punktów jest oferowana jako pakiet w tej wtyczce bezpieczeństwa i ułatwia pracę.

Poniżej znajdują się niektóre z popularnych wtyczek zabezpieczających i zdecydowanie zalecamy przetestowanie tej, która jest odpowiednia dla Twoich potrzeb, przed instalacją na stronie internetowej.

Wtyczki pakietu bezpieczeństwa

Te wtyczki oferują większość funkcji bezpieczeństwa w pakiecie.

  • iThemes Security (dawniej Better WP Security)
  • Bezpieczeństwo Wordfence
  • Bezpieczeństwo kuloodporne
  • Wszystko w jednym WordPress bezpieczeństwo i zapora sieciowa

Wtyczki do ochrony hasłem

  • Wymuś silne hasła
  • Wygaśnięcie hasła WordPress

Ochrona przed brutalną siłą

  • Rozwiązanie bezpieczeństwa logowania
  • Blokada logowania
  • Zmień nazwę wp-login.php
  • Moduł ochrony Jetpack.
  • Blokada administratora WP
  • Klucz — uwierzytelnianie dwuskładnikowe
  • Google Authenticator

Wtyczka HTTPS

  • WordPress HTTPS (SSL)

Bezpieczeństwo poczty e-mail

  • WP Poczta SMTP

Ostatnie słowa

Chociaż lista jest długa, konieczne jest przestrzeganie wszystkich wskazówek dotyczących bezpieczeństwa WordPress, aby chronić swoją witrynę. Jak wspomniano, możesz użyć dowolnej wtyczki bezpłatnej lub premium, aby zaimplementować większość tych funkcji. Ponadto zalecamy zachowanie bezpieczeństwa jako nawyku regularnego tworzenia kopii zapasowych i utrzymywania witryny z aktualnymi aktualizacjami.

Źródło nagrywania: webnots.com
Leave A Reply

Ta strona korzysta z plików cookie, aby poprawić Twoje wrażenia. Zakładamy, że nie masz nic przeciwko, ale możesz zrezygnować, jeśli chcesz. AkceptujęWięcej szczegółów