L O A D I N G

11 kroków do zabezpieczenia WordPressa

HomeWordPress11 kroków do zabezpieczenia WordPressa
Shpae
Shpae
Shpae

Czy zgłosiłeś krytyczny błąd we wtyczce, która naruszyła ponad 200 000 aktywnych witryn WordPress? Jeśli w tym momencie pomyślałeś, że nadszedł czas, aby sprawdzić bezpieczeństwo swojej witryny, ten przegląd Ci pomoże.

Błąd we wtyczce umożliwia hakerom wyczyszczenie całej bazy danych witryny lub zresetowanie jej do stanu domyślnego. Pozwala to atakującemu na późniejsze zalogowanie się jako administrator, co pozwala mu uzyskać pełną kontrolę nad witryną. W podobny sposób wiele rzeczy zagraża Twojej witrynie, jeśli nie zwracasz wystarczającej uwagi na bezpieczeństwo WordPress.

WordPress jest najczęściej używanym systemem CMS i jako taki każdego dnia przyciąga ogromną liczbę ataków. Dlatego konieczne jest naprawdę dobre zabezpieczenie stron internetowych w WordPressie. Co więc możesz zrobić, aby zabezpieczyć swoją stronę internetową?

1) Wybierz wysokiej jakości hosting

Według statystyk, zły hosting jest odpowiedzialny za 41% ataków na strony internetowe , co jest najczęstszą przyczyną wszystkich. Wybierz dostawcę usług hostingowych, który zapewnia wiele warstw zabezpieczeń. Zdecydowanie nie warto wybierać dostawcy wyłącznie na podstawie ceny.

Sprawdź na przykład, czy dostawca usług hostingowych obsługuje najnowsze wersje PHP i MySQL oraz czy regularnie sprawdza złośliwe oprogramowanie i codziennie tworzy kopie zapasowe .

2) Wykonaj kopię zapasową

Nawet jeśli zastosujesz się do wszystkich zaleceń bezpieczeństwa WordPress w 100%, nie ma gwarancji, że Twoja witryna nie zostanie zhakowana. Regularne tworzenie kopii zapasowych powinno stać się dla Ciebie oczywistością, niezależnie od tego, jak niski jest poziom zagrożenia. Kopia zapasowa chroni również przed błędami, które możesz popełnić samodzielnie podczas edycji strony.

Wysokiej jakości hosting powinien regularnie tworzyć kopie zapasowe dla Ciebie, ale nie powinieneś pozostawiać niczego przypadkowi i sam zająć się kopią zapasową. Wtyczka do tworzenia kopii zapasowych może ci w tym pomóc:

  • BackupBuddy
  • UpdraftPlus
  • Duplicator
  • VaultPress

3) Regularnie aktualizuj WordPress, wtyczki i szablony

Podobnie jak w przypadku większości programów, aktualizacja WordPressa jest jedną z najłatwiejszych i najważniejszych rzeczy, które możesz zrobić dla bezpieczeństwa. Dlatego regularnie aktualizuj wtyczki, szablony i sam WordPress. Możesz skonfigurować automatyczne aktualizacje, dodając kod do pliku wp-config.php :

  • Automatyczne aktualizacje WordPress:

zdefiniuj („WP_AUTO_UPDATE_CORE”, prawda);

  • Automatyczne aktualizacje wtyczek:

add_filter(’auto_update_plugin’, '__return_true’);

  • Automatyczne aktualizacje szablonów:

add_filter(’auto_update_theme’, '__return_true’ );

Jednocześnie pamiętaj, że niektóre aktualizacje mogą zmienić ustawienia Twojej witryny . Dlatego zwykle bardziej odpowiednie jest przeprowadzanie aktualizacji ręcznie na czas, z wcześniejszą kopią zapasową wszystkiego.

4) Wybieraj szablony i wtyczki ze zweryfikowanych źródeł

Chociaż wybór darmowego szablonu jest kuszący, powinieneś używać tylko szablonów premium dla swojej witryny ze zweryfikowanych źródeł. Darmowe szablony, aw jeszcze większym stopniu szablony premium, pobierane z nieoficjalnych źródeł, często zawierają słaby lub złośliwy kod, więc wszelkie dodatkowe środki bezpieczeństwa mogą być niepotrzebne od samego początku.

Sprawdź także, czy nadal pojawiają się aktualizacje dla wybranego szablonu lub wtyczki. Ten ostatni nie powinien być starszy niż kilka miesięcy. Ponadto przed zakupem określonego szablonu lub wtyczki możesz sprawdzić wpvulndb.com , czy nie ma znanych zagrożeń bezpieczeństwa.

5) Zmień dane logowania

Nie używaj nazwy logowania Admin. Większość hakerów używa go jako pierwszej opcji ataków, ponieważ WordPress czyni go domyślną opcją dla administratora witryny.

Wybierz długie i silne hasło . WordPress umożliwia kombinację cyfr, małych, wielkich liter i znaków specjalnych. Powinieneś skorzystać z tej opcji, ponieważ wielokrotnie zwiększy to złożoność łamania hasła. Ponieważ prawdopodobnie nie będziesz pamiętać takiego hasła, a zapisywanie haseł na papierze nie jest bezpieczne ani praktyczne, możesz skorzystać z aplikacji do zarządzania hasłami .

6) Skonfiguruj weryfikację dwuetapową

Obecnym trendem w bezpieczeństwie logowania jest uwierzytelnianie dwuskładnikowe , które wymaga weryfikacji loginu po ewentualnym wycieku hasła, na przykład za pomocą Google Authenticator , który jest powiązany z własnym urządzeniem. Informuje również o każdej nieudanej próbie nieautoryzowanego logowania.

7) Ustaw ograniczoną liczbę prób logowania

Atak brutalną siłą jest strategią wielu atakujących. Innymi słowy, testowanie wszystkich możliwych kombinacji haseł. Oczywiście bronisz się przed tą strategią silnym hasłem, ale dla większego bezpieczeństwa wskazane jest również ustawienie ograniczonej liczby prób logowania .

Wystarczy zainstalować wtyczkę, która pozwala ustawić limit nieudanych prób logowania, po którym adres IP, z którego wykonano próby logowania, zostanie zablokowany na określony czas . Uważaj jednak, aby nie zablokować w ten sposób własnego dostępu do administracji.

W niektórych wtyczkach możesz również użyć blokowania adresów IP do logowania . W związku z tym, jeśli minimalna liczba użytkowników, których adresy IP się nie zmieniają, zaloguje się do administrowania Twoim serwisem, możesz zezwolić tylko na logowanie z określonych adresów IP. Na przykład przy większej liczbie użytkowników możesz zezwolić tylko na logowanie z Czech. Lub wręcz przeciwnie, blokuj dostęp z krajów, z których rejestrujesz większą liczbę ataków. Należy jednak zachować ostrożność podczas blokowania adresów IP. Zwłaszcza jeśli jesteś jedynym administratorem strony.

8) Zmień adres URL strony logowania

Domyślnie instalacja WordPress ma adres logowania w postacidomena-nazw.pl/wp-admin. Ten adres URL jest popularnym celem ataków i rejestracji fałszywych kont w witrynie, jeśli masz włączoną rejestrację. W tym kierunku pewnym zabezpieczeniem jest zmiana adresu URL npdomena-nazw.pl/panel-admina.

9) Dezaktywuj edytor szablonów i wtyczek

WordPress zawiera edytor szablonów i wtyczek, który umożliwia edycję witryny bezpośrednio w środowisku WordPress. Jednocześnie ta przydatna funkcja umożliwia wykorzystanie, jeśli atakujący przeniknie do administracji witryny. Bezpieczniejszą opcją jest wyłączenie edytora i edytowanie szablonów i wtyczek tylko z dostępem do FTP . Możesz wyłączyć edytor szablonów i wtyczek, po prostu dodając następujący kod do pliku wp-config.php :

zdefiniuj( „DISALLOW_FILE_EDIT”, true );

10) Zmień prefiks tabel w bazie danych

Jeśli masz już zainstalowanego WordPressa, być może pamiętasz z jego instalacji, że domyślnie ustawiany jest tzw. prefiks bazy danych w postaciwp_. Podobny do nazwy logowaniaAdmini adres URL logowaniadomena-nazw.pl/wp-adminto domyślny przedrostek popularnego i bardziej podatnego na ataki celu.

Zmiana prefiksu na lepiej zaszyfrowaną formę typut8bz2hj48tr266_możesz to zrobić na przykład dzięki wtyczce iThemes Security . Przed wprowadzeniem tej zmiany należy najpierw wykonać kopię zapasową bazy danych.

11) Wyłącz raportowanie błędów PHP

Domyślnie WordPress wysyła komunikaty o błędach PHP, jeśli Twoja witryna nie działa poprawnie. Ułatwia to znalezienie miejsca wystąpienia błędu, ponieważ komunikat o błędzie PHP zawiera również ścieżkę do pliku na serwerze. Niestety, hakerzy często nadużywają tych informacji. Dlatego lepiej jest wyłączyć raportowanie błędów PHP, dodając następujący kod do pliku wp-config.php :

@ini_set(’display_errors’,’Off’);

@ini_set(’zgłaszanie_błędów’,0);

Niektóre kroki bezpieczeństwa WordPress są zadaniem dla doświadczonego programisty, a szczególnie w przypadku długo działającej witryny zawsze należy wykonać kopię zapasową witryny i postępować ostrożnie. Nie tylko mniej doświadczeni użytkownicy mogą skorzystać z bezpieczeństwa dzięki jednej z wtyczek bezpieczeństwa, takich jak iThemes Security , Sucuri Security lub Wordfence Security .

Jeśli nie wiesz co zrobić, strona jest dla Ciebie kluczowa i nie masz możliwości się nią zająć, chętnie Ci w tym pomożemy.

Pracujmy razem!

Dzięki odpowiedniej strategii, planowaniu i agencji SEO możesz zdobyć cenne pozycje w rankingu Google i pozyskać nowych klientów online.

12 lat doświadczenia i miliony użytkowników odwiedzających witryny internetowe naszych klientów. Specjalizujemy się w tworzeniu, zarządzaniu oraz pozycjonowaniu stron internetowych, copywritingu, prowadzeniu blogów i zarządzaniu witrynami oraz usługami hostingowymi. 

Usługi

Kontakt

Copyright ©2022 by waszkiewicz.media. Wszystkie prawa zastrzeżone.