Niezbędne wskazówki, jak zabezpieczyć swoją witrynę WordPress

Spojrzmy prawdzie w oczy! Nikt nie lubi włamywać się na swoją stronę internetową lub profil społecznościowy. Ale oto dwa różne scenariusze. Pozwól, że wszystko ci wyjaśnię.

Zhakowanie profilu społecznościowego oznacza utratę danych osobowych, a co najważniejsze, dostanie się w niepowołane ręce. Teraz, jeśli możesz odzyskać konto, dotyczy to tylko Ciebie lub Twoich zamkniętych.

Ale w innym przypadku, gdy Twoja witryna zostanie zhakowana, najpierw tracisz autentyczny profil, który utworzyłeś jako bloger lub marketer online, co również wpływa na Twoje zarobki.

Wydaje mi się, że pierwszy scenariusz jest dla ciebie całkiem prosty i jasny, ale drugi zawiera wiele pod spodem. Nie martw się, zajmiemy się WordPressem i podzielę się kilkoma wskazówkami, które zapewnią, że będzie on całkowicie bezpieczny, ale najpierw musimy zrozumieć podstawy i przejść na tę samą stronę.

Po skutkach włamań do witryny

Zacznijmy od listy e-mailowej. Każdy bloger angażuje się w budowanie listy e-mailowej, co tworzy zaufanie wśród czytelników, a także zwiększa ruch i konwersję. Teraz, gdy Twoja witryna zostanie zhakowana, nieznany sprawca może zanotować Twoją listę i może wysłać złośliwą zawartość, a może taką, która próbuje sprzedać im niewłaściwy przedmiot (czego nigdy byś nie zrobił). Wkrótce dostawca usług internetowych dowie się, że e-mail dołączony do Twojej domeny wysyła spamerskie wiadomości e-mail i zablokuje Cię. W przyszłości za każdym razem, gdy wyślesz nową wiadomość, trafia ona bezpośrednio do folderu Spam, którego nikt nie odważy się otworzyć.

Teraz przejdźmy do drugiego scenariusza, w którym wpływa to na pieniądze, które zarabia Twój blog. Cóż, gdy stracisz autentyczny profil wśród subskrybentów e-maili, przestaną oni wierzyć w Twoje słowa i przestaną kupować to, co do tej pory polecałeś i liczyć gotówkę. Ponadto, jeśli witryna ulegnie awarii, ruch spadnie, co powoduje, że zarobki dotykają gruntu.

Wreszcie, możesz pracować zbyt ciężko, aby odzyskać siły po tych dwóch głównych stratach, a trzecia wystąpi jednocześnie. W momencie, gdy witryna została zhakowana, zaczynasz inwestować kluczowy czas po niewłaściwej stronie. Tak, aby znaleźć, co poszło nie tak, a następnie spróbować wszystkiego, aby to naprawić i zminimalizować szkody. Teraz chyba nie muszę przypominać, jak cenny jest czas dla nas wszystkich.

Aby zapewnić bezpieczeństwo i utrzymać swoją witrynę, wysiłki, zarobki i czas na załączonej właściwej ścieżce, musisz zrozumieć jeden fakt. Fakt ten jest dołączony do każdej witryny WordPress, tj. WordPress jest platformą typu open source.

Nawet jeśli nie był dostępny za darmo, doświadczony haker mógł go zhakować, ale udostępnienie go jako open-source sprawia, że ​​jego praca jest prosta i prosta. Mimo to twórcy skryptu WordPress włożyli dużo ciężkiej pracy, aby wszystko było mocne, aby nie wyglądało to jak bułka z masłem dla niepowołanych rąk.

Niewiele kroków, które możesz wykonać, aby utwardzić instalację WordPressa, jest niezwykle proste i wygląda na oczywiste i są w pełni dowodem, że chronią Twoją witrynę przed normalnymi hakerami lub atakami. Ale podzielę się również kilkoma najlepszymi metodami, które możesz zastosować i zminimalizować ryzyko zhakowania.

Uwaga – żadna pojedyncza witryna internetowa nie jest w pełni zabezpieczona przed włamaniem. Musisz zrozumieć ten fakt! Ale jeśli wzmocnisz ochronę, to przynajmniej poprosisz tego hakera, aby użył najlepszych metod i wysiłków.

Niezbędne metody zabezpieczania witryny WordPress

W oparciu o wytrzymałość dzielę metody. Zacznijmy więc od tych oczywistych. Możesz je również nazwać niezbędnymi.

#1 Aktualizuj WordPress

Jak powiedziałem powyżej, zespół odpowiedzialny za skrypt WordPress jest już świadomy wad w dziale bezpieczeństwa i bardzo zależy im na tym, aby ich produkt był bezpieczny. Aby to zapewnić, zawsze pracują nad ulepszaniem swoich produktów i regularnie publikują aktualizacje techniczne i bezpieczeństwa.

Teraz Twoim obowiązkiem jest aktualizowanie witryny przy każdym nowym wydaniu. Możesz pominąć drobną aktualizację techniczną, ale jeśli jest to aktualizacja bezpieczeństwa, zdecydowanie zaleca się podjęcie działań. FYI, zanim podejmiesz decyzję, upewnij się, że wszystkie wtyczki, których używasz, są kompatybilne z tą nowo wydaną wersją.

#2 Użyj silnego hasła administratora

Ktokolwiek zapoznał się z podstawami WordPressa i pulpitem nawigacyjnym, wie, że można łatwo uzyskać dostęp do części zaplecza, przechodząc przez stronę logowania /wp-admin. Teraz nie możesz zmienić tego faktu, ale możesz użyć silnego hasła, które jest trudne do odgadnięcia, a nawet trudniejsze do przewidzenia przez oprogramowanie za pomocą niektórych algorytmów (tak, jest wiele dostępnych do tworzenia takich prognoz). Musisz również usunąć domyślnego użytkownika administratora i utworzyć nowego z unikalną nazwą i silnym hasłem, które będzie mu towarzyszyć.

Kiedy mówię „silne”, mam na myśli, że musisz utworzyć hasło z kombinacji małych i dużych liter, cyfr i znaków specjalnych. Obecnie sam WordPress sugeruje silne hasło, które jest generowane przez system, ale trudne do zapamiętania dla ludzi. Stwórz więc własne silne hasło i zapamiętaj je lub użyj oferowanego przez system i zachowaj je w bezpiecznym miejscu oraz spróbuj je zapamiętać.

#3 Usuń wersję WordPress

Idąc dalej, każda instalacja WordPressa pokazuje dokładną używaną wersję. Możesz zobaczyć wersję skryptu używaną na dowolnej stronie internetowej, która jeszcze go nie ukryła. Teraz, gdy haker dowie się o wersji WordPressa, rozpoczęcie pracy nad postem staje się dla niego zbyt łatwe. Z drugiej strony, jeśli wersja nie jest potwierdzona, musi dużo kopać, aby najpierw znaleźć wersję, a następnie zacząć atakować związane z nią luki.

Tak więc, aby usunąć wersję WordPressa, która w żaden sposób nie wpływa na funkcjonalność, musisz użyć wtyczki o nazwie Usuń wersję lub postępować zgodnie z instrukcjami udostępnionymi przez Jeffa Starra na jego blogu.

#4 Użyj lepszego i niezawodnego hosta

Jeśli wybrałeś hosta, o którym nikt nigdy nie słyszał i który nie oferuje wysokiej jakości usług, spełniając standardy przemysłowe, to od samego początku dokonałeś złego wyboru. Teraz musisz najpierw wykonać pełną kopię zapasową swojej witryny, zarówno frontonu, jak i bazy danych, a następnie przenieść ją na lepszy i niezawodny host.

Jeśli twój budżet jest zbyt niski, możesz wybrać między Bluehost, iPage, ASmallOrange itp., ale jeśli twój budżet pozwala na poruszanie się dalej, możesz wybrać DreamHost, InMotion, SiteGround lub dowolną inną znaną nazwę. Utrzymanie dobrego hosta na zapleczu zapewnia najwyższe bezpieczeństwo serwera, na którym znajduje się Twoja strona internetowa, a także dedykowana ochrona, która chroni przed zwariowaniem. Krótko mówiąc, nigdy nie wybieraj hosta, o którym nie możesz znaleźć dobrych recenzji.

#5 Zawsze utrzymuj zaktualizowaną kopię zapasową

Jak wspomniałem w moim ostatnim punkcie, konieczne jest zachowanie kopii zapasowej zaktualizowanej wersji strony internetowej. W ten sposób, nawet jeśli haker uzyska dostęp do Twojej witryny, możesz usunąć wszystko z serwera i odświeżyć witrynę, korzystając z kopii zapasowej ostatniej najlepszej wersji.

Nie jest to sposób na ochronę witryny, ale z pewnością pomaga w utrzymaniu witryny przy życiu po katastrofie. Ponadto witryna WordPress zawiera wiele problemów technicznych i w takich przypadkach Twoja witryna może ulec awarii. Tak więc posiadanie kopii zapasowej ostatniej najlepszej wersji może pomóc Ci pozostać po lepszej stronie.

Super mocne sposoby na ochronę WordPressa

Idąc dalej, poniżej znajdziesz najlepsze metody, które możesz zastosować, aby utrzymać witrynę WordPress z dala od ataków hakerskich.

#1 Miej oko na wtyczki

Wtyczki to najłatwiejsza metoda wstrzyknięcia złośliwego kodu do witryny, a najgorsze jest to, że jeśli tak się stanie, zrobią to Twoje ręce. Aby uchronić Cię przed wyrządzeniem jakiejkolwiek szkody witrynie, musisz sprawdzić recenzje i strony pomocy technicznej każdej zainstalowanej wtyczki (lub która zostanie zainstalowana w przyszłości).

Bez wtyczek niewiele można zrobić i dlatego działają one jak wielki profesjonalista dla skryptu, ale ze względu na ten efekt uboczny są również zaliczane do wad. Yu może przeczytać szczegółowe informacje o zaletach i wadach WordPressa opublikowanego przez Davida Lockie. Został opublikowany dwa lata temu, ale kwestie, o których wspomniał, wciąż się sprawdzają.

#2 Ogranicz próby logowania

Istnieją wtyczki, które pomogą Ci to osiągnąć i jest to rodzaj profesjonalnego sposobu ochrony Twojej witryny. Dostępny jest mechanizm, lepiej znany jako Brute Force Attack, który przechodzi przez każdą możliwą kombinację haseł na stronie internetowej i ostatecznie osiąga wynik. Działa to bardzo łatwo, a użytkownik nie musi nawet patrzeć na ekran, gdy ta metoda łamie twoje hasło, ponieważ jest to całkowicie automatyczne.

Jak więc chronić swoją witrynę przed atakiem Brute Force? Cóż, wadą tej metody jest to, że próbuje wszystkich możliwych poświadczeń logowania. Możesz wykorzystać tę wadę na swoją korzyść, ograniczając próby logowania. Domyślnie WordPress zezwala na nieskończone próby logowania do witryny. Ale za pomocą niektórych wtyczek możesz ograniczyć te liczby i obniżyć je do 5 lub 10. Gdy użytkownik przekroczy limit, ogranicz mu dostęp do witryny przez cały dzień, a może kilka godzin. W ten sposób Brute Force Attack będzie wymagał dłuższego wysiłku, aby wykonać crack. Możesz sprawdzić wtyczkę Login LockDown, która dla mnie wygląda dobrze.

#3 Ukryj stronę logowania

To kolejna metoda ukrywania hakera i pomagania Twojej witrynie w zachowaniu bezpieczeństwa. Jeśli haker nie próbuje włamać się na serwer i tylko chce włamać się przez tylne drzwi WordPressa, tj. stronę logowania, możesz utrudnić mu pracę, przenosząc stronę logowania w inne miejsce.

Można to osiągnąć za pomocą prostej wtyczki Lockdown WP Admin, która oferuje nawet umieszczenie uwierzytelniania HTTP na stronie logowania. Co więcej, wtyczka nigdy nie wpływa na żaden inny kod związany z logowaniem lub bezpieczeństwem rdzenia WordPressa i nadal wykonuje to dokładnie.

#4 Użyj motywów, które działają na zweryfikowanym kodzie

Tak jak powiedziałem ci o wyborze niezawodnego serwera, a także sprawdzaniu wtyczek, musisz sprawdzić i użyć sprawdzonych motywów. Motywy to drugi sposób wstrzykiwania złośliwego kodu do systemu podstawowego, dlatego zdecydowanie zaleca się korzystanie tylko z autentycznych produktów i pobieranie ich z renomowanych źródeł. W przypadku darmowego motywu zawsze korzystaj z katalogu WordPress.org lub możesz otrzymać płatne lub darmowe motywy z MyThemeShop, StudioPress, ThemeForest, ElegantThemes i dowolnego innego dużego gracza w mieście.

#5 Ustaw uprawnienia do pliku/katalogu

Cóż, jeśli zajrzysz głęboko do Menedżera plików po stronie serwera, znajdziesz system uprawnień do plików lub katalogów. Te proste kody blokują lub utrzymują dostęp otwarty, zgodnie z wprowadzonymi ustawieniami. Musisz je zrozumieć i nałożyć niestandardową blokadę na swoje pliki i katalogi. Możesz znaleźć szczegółowy opis tego samego tutaj.

Ostatnia wskazówka – „ Nigdy nie uzyskuj dostępu do witryny w nieznanej sieci”.

Ta jest prosta wskazówka, która w końcu może chronić nie tylko Twoją witrynę, ale także dane osobowe na laptopie lub smartfonie. Nigdy nie łącz się z nieznanym połączeniem, które nie używa żadnego szyfrowania. W przypadku korzystania z publicznego Wi-Fi, zawsze ograniczaj korzystanie z aplikacji do konieczności i nigdy nie myśl o dostępie do Twojej witryny.

Do Ciebie

Wreszcie, wszystko zależy od tego, jakie dokładnie metody zastosujesz, aby strona była jak najlepiej zabezpieczona. Rozumiem, że wykonanie wszystkich tych kroków nie jest jednodniową pracą i wymaga dużej wiedzy technicznej, ale możesz łatwo znaleźć dedykowany przewodnik, który Ci pomoże, lub filmy na YouTube. W nadchodzącej przyszłości postaramy się jak najlepiej opracować osobne przewodniki na temat metod, które według Ciebie są trudne do naśladowania. Podziel się z nami swoimi przemyśleniami i opiniami w sekcji komentarzy poniżej.