Jak zabezpieczyć WordPressa przed włamaniem?

WordPress jest najpopularniejszym systemem zarządzania treścią (CMS) i obsługuje ponad 30% stron internetowych. Jednak w miarę rozwoju hakerzy zwracają uwagę i zaczynają specjalnie atakować witryny WordPress. Bez względu na to, jakie treści zapewnia Twoja witryna, nie jesteś wyjątkiem. Jeśli nie podejmiesz pewnych środków ostrożności, możesz zostać zhakowany. Jak wszystko związane z technologią, musisz sprawdzić bezpieczeństwo swojej witryny.

W tym samouczku podzielimy się naszymi 10 najlepszymi wskazówkami, aby zabezpieczyć witrynę WordPress.

Wybierz dobrą firmę hostingową

Najprostszym sposobem zabezpieczenia witryny jest skorzystanie z usług dostawcy hostingu, który zapewnia wiele warstw zabezpieczeń.

Może wydawać się kuszące, aby pójść z tanim dostawcą usług hostingowych, ponieważ oszczędzanie pieniędzy na hostingu witryny oznacza, że ​​możesz je wydać gdzie indziej w organizacji. Nie daj się jednak skusić tej trasie. Może i często powoduje koszmary na drodze. Twoje dane mogą zostać całkowicie usunięte, a Twój adres URL może zacząć przekierowywać gdzie indziej.

Płacenie nieco więcej za wysokiej jakości firmę hostingową oznacza, że ​​dodatkowe warstwy bezpieczeństwa są automatycznie przypisywane do Twojej witryny. Dodatkową korzyścią, dzięki korzystaniu z dobrego hostingu WordPress, możesz znacznie przyspieszyć swoją witrynę WordPress.

Chociaż istnieje wiele firm hostingowych, zalecamy WPEngine. Zapewniają wiele funkcji bezpieczeństwa, w tym codzienne skanowanie w poszukiwaniu złośliwego oprogramowania oraz dostęp do pomocy technicznej 24/7, 365 dni w roku. Ich cena jest również rozsądna.

Nie używaj nullowanych motywów

Motywy premium WordPress wyglądają bardziej profesjonalnie i mają bardziej konfigurowalne opcje niż darmowy motyw. Ale można argumentować, że masz za co płacisz. Motywy premium są kodowane przez wysoko wykwalifikowanych programistów i są testowane, aby przejść wiele testów WordPress od razu po wyjęciu z pudełka. Nie ma żadnych ograniczeń dotyczących dostosowywania motywu, a otrzymasz pełne wsparcie, jeśli coś pójdzie nie tak w Twojej witrynie. Przede wszystkim będziesz otrzymywać regularne aktualizacje motywów.
Istnieje jednak kilka witryn, które zawierają null lub crackowane motywy. Motyw zerowany lub pęknięty to zhakowana wersja motywu premium, dostępna w nielegalny sposób. Są również bardzo niebezpieczne dla Twojej witryny. Te motywy zawierają ukryte złośliwe kody, które mogą zniszczyć witrynę i bazę danych lub zalogować poświadczenia administratora.

Chociaż może być kuszące, aby zaoszczędzić kilka dolarów, zawsze unikaj motywów o zerowej wartości.

Zainstaluj wtyczkę zabezpieczającą WordPress

Regularne sprawdzanie bezpieczeństwa witryny pod kątem złośliwego oprogramowania jest czasochłonne i chyba że regularnie aktualizujesz swoją wiedzę na temat kodowania, możesz nawet nie zdawać sobie sprawy, że patrzysz na złośliwe oprogramowanie zapisane w kodzie. Na szczęście inni zdali sobie sprawę, że nie wszyscy są programistami i wydali wtyczki zabezpieczające WordPress, aby pomóc. Wtyczka bezpieczeństwa dba o bezpieczeństwo Twojej witryny, skanuje ją w poszukiwaniu złośliwego oprogramowania i monitoruje witrynę 24/7, aby regularnie sprawdzać, co dzieje się na Twojej stronie.

Sucuri.net to świetna wtyczka bezpieczeństwa WordPress. Oferują one audyt działań związanych z bezpieczeństwem, monitorowanie integralności plików, zdalne skanowanie w poszukiwaniu złośliwego oprogramowania, monitorowanie czarnej listy, skuteczne wzmacnianie bezpieczeństwa, działania zabezpieczające po hakowaniu, powiadomienia bezpieczeństwa, a nawet zaporę internetową (za dodatkową opłatą)

http://sanrahpo1.pl/tworzenie-stron-internetowych
http://sanrahpo1.pl/tworzenie-stron-siedlce
http://sanrahpo1.pl/tworzenie-stron-warszawa
http://sanrahpo1.pl/strony-www-krakow
http://sanrahpo1.pl/strony-www-lodz
http://sanrahpo1.pl/strony-www-poznan
http://sanrahpo1.pl/strony-www-gdansk
http://sanrahpo1.pl/strony-www-szczecin
http://sanrahpo1.pl/strony-www-bydgoszcz
http://sanrahpo1.pl/strony-www-lublin
http://sanrahpo1.pl/strony-www-bialystok

Użyj silnego hasła

Hasła są bardzo ważną częścią bezpieczeństwa witryny i niestety często pomijane. Jeśli używasz zwykłego hasła, np. „123456, abc123, hasło”, musisz natychmiast zmienić swoje hasło. Chociaż hasło może być łatwe do zapamiętania, jest również niezwykle łatwe do odgadnięcia. Zaawansowany użytkownik może łatwo złamać hasło i wejść bez większych problemów.

Ważne jest, aby używać złożonego hasła, lub jeszcze lepiej, takiego, które jest automatycznie generowane z użyciem różnych liczb, bezsensownych kombinacji liter i znaków specjalnych, takich jak% lub ^.

Wyłącz edycję plików

Podczas konfigurowania witryny WordPress na pulpicie nawigacyjnym znajduje się funkcja edytora kodu, która pozwala edytować motyw i wtyczkę. Można uzyskać do niego dostęp, wybierając kolejno Wygląd> Edytor. Innym sposobem na znalezienie edytora wtyczek jest przejście do opcji Wtyczki> Edytor.

Po uruchomieniu witryny zalecamy wyłączenie tej funkcji. Jeśli hakerzy uzyskają dostęp do panelu administracyjnego WordPress, mogą wstrzyknąć subtelny, złośliwy kod do motywu i wtyczki. Często kod jest tak subtelny, że możesz nie zauważyć, że coś jest nie tak, dopóki nie będzie za późno.
Aby wyłączyć możliwość edycji wtyczek i pliku motywu, po prostu wklej następujący kod do pliku wp-config.php.

zdefiniuj („DISALLOW_FILE_EDIT”, prawda);

Zainstaluj certyfikat SSL

Obecnie Single Sockets Layer, SSL, jest korzystny dla wszystkich rodzajów stron internetowych. Początkowo protokół SSL był potrzebny, aby strona była bezpieczna dla określonych transakcji, takich jak przetwarzanie płatności. Jednak dzisiaj Google uznało to za ważne i zapewnia stronom z certyfikatem SSL ważniejsze miejsce w wynikach wyszukiwania.

SSL jest obowiązkowy w przypadku wszystkich witryn przetwarzających poufne informacje, np. Hasła lub dane karty kredytowej. Bez certyfikatu SSL l danych między przeglądarką użytkownika a Twoim serwerem internetowym jest dostarczanych zwykłym tekstem. Mogą to odczytać hakerzy. Korzystając z protokołu SSL, poufne informacje są szyfrowane przed przesłaniem między ich przeglądarką a serwerem, co utrudnia odczyt i zwiększa bezpieczeństwo witryny.

W przypadku witryn, które akceptują poufne informacje, średnia cena SSL wynosi około 70-199 USD rocznie. Jeśli nie zaakceptujesz żadnych poufnych informacji, nie musisz płacić za certyfikat SSL. Prawie każda firma hostingowa oferuje bezpłatny certyfikat Let’s Encrypt SSL, który możesz zainstalować na swojej stronie.

Zmień adres URL logowania WP

Domyślnie, aby zalogować się do WordPress, adres to „twoja strona.com/wp-admin”. Pozostawiając tę ​​opcję jako domyślną, możesz zostać zaatakowany brutalną siłą w celu złamania kombinacji nazwy użytkownika i hasła. Jeśli akceptujesz rejestrację kont abonamentowych, możesz również uzyskać wiele rejestracji spamu. Aby temu zapobiec, możesz zmienić adres URL logowania administratora lub dodać pytanie bezpieczeństwa do strony rejestracji i logowania.
Wskazówka: Możesz dodatkowo zabezpieczyć swoją stronę logowania, dodając wtyczkę 2-czynnikową do WordPressa. Podczas próby zalogowania konieczne będzie dodatkowe uwierzytelnienie w celu uzyskania dostępu do witryny – na przykład może to być hasło i adres e-mail (lub tekst). Jest to ulepszona funkcja bezpieczeństwa, która uniemożliwia hakerom dostęp do Twojej witryny.
Pro Wskazówka 2: Możesz również sprawdzić, które adresy IP mają najwięcej nieudanych prób logowania, a następnie możesz zablokować te adresy IP.

Ogranicz próby logowania

Domyślnie WordPress pozwala użytkownikom próbować zalogować się tyle razy, ile chcą. Może to pomóc, jeśli często zapominasz, jakie litery są duże, ale także otwiera cię na ataki brutalną siłą.
Ograniczając liczbę prób logowania, użytkownicy mogą próbować ograniczoną liczbę razy, dopóki nie zostaną tymczasowo zablokowani. Ogranicza szansę na próbę brutalnej siły, gdy haker zostanie zablokowany, zanim będzie mógł zakończyć atak.

Możesz to łatwo włączyć za pomocą wtyczki WordPress prób limitów logowania. Po zainstalowaniu wtyczki możesz zmienić liczbę prób logowania, wybierając Ustawienia> Próby ograniczenia logowania. Jeśli chcesz włączyć próby logowania bez wtyczki, możesz to zrobić. Pełny samouczek jest tutaj.

Ukryj pliki wp-config.php i .htaccess

Jest to zaawansowany proces poprawy bezpieczeństwa witryny, ale jeśli poważnie podchodzisz do swojego bezpieczeństwa, dobrą praktyką jest ukrywanie plików .htaccess i wp-config.php witryny, aby uniemożliwić hakerom dostęp do nich.

Zdecydowanie zalecamy wdrożenie tej opcji przez doświadczonych programistów, ponieważ należy najpierw wykonać kopię zapasową witryny, a następnie zachować ostrożność. Jakikolwiek błąd może spowodować, że Twoja witryna będzie niedostępna.

Aby ukryć pliki, po utworzeniu kopii zapasowej należy wykonać dwie czynności:
Najpierw przejdź do pliku wp-config.php i dodaj następujący kod,


pozwolenie na zamówienie, odmowa
Odmowa od wszystkich

W podobny sposób dodasz następujący kod do pliku .htaccess,

pozwolenie na zamówienie, odmowa
Odmowa od wszystkich

Chociaż sam proces jest bardzo łatwy, ważne jest, aby upewnić się, że masz kopię zapasową przed rozpoczęciem na wypadek, gdyby coś poszło nie tak.

Zaktualizuj swoją wersję WordPress

Aktualizowanie WordPress jest dobrą praktyką w celu zapewnienia bezpieczeństwa Twojej witryny. Z każdą aktualizacją programiści wprowadzają kilka zmian, często razy w tym aktualizacje funkcji bezpieczeństwa. Pozostając na bieżąco z najnowszą wersją, pomagasz chronić się przed byciem celem wcześniej zidentyfikowanych luk i exploitów, które hakerzy mogą wykorzystać do uzyskania dostępu do Twojej witryny.

Ważne jest również zaktualizowanie wtyczek i motywów z tych samych powodów.

Domyślnie WordPress automatycznie pobiera niewielkie aktualizacje. W przypadku większych aktualizacji konieczne będzie jednak zaktualizowanie go bezpośrednio z pulpitu administracyjnego WordPress.
Wniosek

Bezpieczeństwo WordPress jest jedną z kluczowych części strony internetowej. Jeśli nie utrzymujesz bezpieczeństwa WordPress, hakerzy mogą łatwo zaatakować Twoją witrynę. Utrzymanie bezpieczeństwa witryny nie jest trudne i można tego dokonać bez wydawania ani grosza. Niektóre z tych rozwiązań są przeznaczone dla zaawansowanych użytkowników, ale jeśli masz jakieś pytania, AmDee jest tuż za rogiem cyfrowym.