Jak przeprowadzić audyt bezpieczeństwa WordPress

Opublikowany: 2021-11-08

Zabezpieczenie witryny WordPress nie jest jednorazową sprawą. Bez względu na to, jak bardzo ufasz swojej wtyczce zabezpieczającej lub jak dokładnie radziłeś sobie z hartowaniem witryny, bezpieczna witryna dzisiaj nie zapewni bezpiecznej witryny jutro. Aby powstrzymać hakerów, musisz regularnie przeprowadzać audyty bezpieczeństwa WordPress i uzupełniać znalezione luki w zabezpieczeniach.

Taktyki hakowania witryn internetowych stale się rozwijają, a wraz z nimi pojawiają się środki zapobiegawcze, które zapewniają bezpieczeństwo witryny. Pomyśl o tym jako o cyklu. Im bezpieczniejsza jest strona internetowa, tym bardziej kreatywni muszą być hakerzy, aby się do niej dostać, co oznacza, że ​​Twoja strona musi stać się jeszcze bezpieczniejsza i tak dalej.

Staraj się przeprowadzać audyt bezpieczeństwa WordPress co najmniej co trzy miesiące. Każdy miesiąc jest lepszy, a co tydzień (lub nawet codziennie, w zależności od wrażliwości Twojej witryny) jest najlepszy. I oczywiście, jeśli uważasz, że coś jest nie tak z Twoją witryną, natychmiast przeprowadź audyt bezpieczeństwa. Każda z poniższych sytuacji powinna wywołać czerwoną flagę:

  • Twoja strona internetowa jest nagle powolna i powolna.
  • Nastąpił duży spadek ruchu w witrynie bez wyraźnego powodu.
  • Pojawiają się nowe konta, próby logowania lub prośby o „zapomniałem hasła”.
  • W Twojej witrynie znajdują się nowe linki, których nie dodałeś.

Poniższe kroki są niezbędne, aby Twoja witryna była w doskonałym stanie pod względem bezpieczeństwa. Z listą kontrolną pod ręką sprawisz, że audyty będą uproszczone, a nie przytłaczające.

Przegląd audytu bezpieczeństwa WordPress

W takim czy innym momencie prawie każda witryna WordPress napotka jakiś problem z bezpieczeństwem. Częstym jest wtyczka lub motyw, który jest nękany luką, umożliwiając hakerom dostęp do Twojej witryny. Po zhakowaniu witryny może zdarzyć się wiele rzeczy:

  • Skradzione dane osobowe klientów
  • Nielegalne reklamy i wyświetlane treści
  • Ruch skierowany w inne miejsce
  • Dane WordPress zaszyfrowane, usunięte lub sprzedane

To o wiele więcej niż ból głowy lub zepsuty serwis na kilka godzin. Hakerzy mogą przetrzymywać Twoje dane dla okupu. Informacje z Twojej witryny mogą być sprzedawane w Dark Web. Google może umieścić Twoją witrynę na czarnej liście pod kątem wyświetlania spamu na stronach internetowych. Klienci mogą pozwać Cię w przypadku kradzieży danych karty kredytowej. Inne witryny mogą zostać zainfekowane, gdy hakerzy uzyskają dostęp do Twojej.

Audyty bezpieczeństwa WordPress identyfikują te luki w zabezpieczeniach, dzięki czemu można je od razu załatać – zanim haker się do nich dostanie. Upewnisz się, że podejmowane przez Ciebie kroki bezpieczeństwa nadal działają, potrzebują większej ochrony.

Oceń wtyczkę bezpieczeństwa, której używasz

Twoja wtyczka bezpieczeństwa WordPress jest jednym z najważniejszych narzędzi do ochrony Twojej witryny. Upewnij się, że twoja wtyczka bezpieczeństwa nadal działa w następujący sposób:

  • Dziennik aktywności: śledzi użytkowników Twojej witryny, w tym kto i kiedy się logował, nieudane próby logowania i zmiany w witrynie.
  • Zapora sieciowa: blokuje boty, hakerów i adresy IP, które próbują dostać się do Twojej witryny.
  • Próby logowania: Wysokiej jakości wtyczki zabezpieczające wymuszają silne hasła, wymagają uwierzytelniania dwuskładnikowego i ograniczają próby logowania.
  • Ochrona logowania: Blokuje ataki typu brute-force, czyli gdy hakerzy próbują się zalogować przy użyciu różnych kombinacji nazwy użytkownika i hasła.
  • Skanowanie i usuwanie złośliwego oprogramowania: Powinno to być uruchamiane codziennie, dokładnie skanując bazę danych, pliki i foldery witryny w poszukiwaniu złośliwego oprogramowania i usuwając wszystko, co znajdzie.
  • Alerty w czasie rzeczywistym: Wtyczka powinna natychmiast powiadamiać Cię, jeśli w Twojej witrynie dzieje się coś podejrzanego.

Nie masz jeszcze wtyczki zabezpieczającej? Zastanów się nad uzyskaniem takiego, który będzie wstępnym krokiem w audycie bezpieczeństwa WordPress. Zebraliśmy 6 najlepszych wtyczek bezpieczeństwa WordPress do wyboru.

Przetestuj rozwiązanie do tworzenia kopii zapasowych witryny

Jeśli coś pójdzie nie tak w Twojej witrynie, co jest niemożliwe lub zbyt skomplikowane do naprawienia, posiadanie kopii zapasowej WordPress oznacza, że ​​możesz przywrócić witrynę do poprzedniego stanu sprzed wystąpienia problemu. Jeśli jednak tworzenie kopii zapasowej się nie powiedzie, nie masz nic do przywrócenia, co oznacza, że ​​możesz utknąć w zainfekowanej lub nieprawidłowo działającej witrynie. W idealnym przypadku będziesz korzystać z rozwiązania do tworzenia kopii zapasowych (niezależnie od tego, czy jest ono dostarczane przez hosta, czy z używanej wtyczki), które umożliwia testowanie kopii zapasowych, takiego jak BlogVault. Możesz również przeczytać nasz artykuł z 6 najlepszymi wtyczkami do tworzenia kopii zapasowych WordPress.

Przejdź przez administratora WordPressa i konfigurację FTP

Dzięki WordPressowi możesz mieć wiele osób logujących się do pracy nad różnymi projektami, ale to nie znaczy, że każda osoba mająca login powinna mieć pełny dostęp do Twojej witryny. A jeśli chodzi o klienta FTP, umożliwienie dostępu wielu osobom oznacza, że ​​mogą one wprowadzać zmiany w Twojej witrynie… cóż, we wszystkim.

Kiedy dodajesz nowego użytkownika w WordPressie, przypisujesz mu rolę (możesz też edytować jego profil, aby zmienić jego rolę):

audyt bezpieczeństwa wordpress

Różne role mają różne możliwości. Na przykład administrator może uzyskać dostęp do wszystkich narzędzi administracyjnych witryny (takich jak zmiana motywu lub instalowanie wtyczki), ale współtwórca może tylko pisać i zarządzać własnymi postami. Oto kompleksowy podział różnych ról i ich możliwości.

Aby przeprowadzić audyt bezpieczeństwa WordPress, wykonaj następujące czynności:

  • Zobacz, którzy użytkownicy WordPressa mają dostęp na poziomie administratora.
  • Zdecyduj, czy wszyscy ci użytkownicy potrzebują tego poziomu dostępu (i czy inni, którzy mają ograniczony dostęp, powinni być administratorami).
  • Obniż uprawnienia i ogranicz dostęp, aktualizując role użytkowników dla tych osób.
  • Jeśli nie rozpoznajesz użytkowników w panelu, usuń ich – mogą to być konta utworzone przez hakera.
  • Czy jakieś nazwy użytkowników to po prostu „admin”? Jest to zbyt powszechna nazwa użytkownika, której hakerzy często próbują użyć, aby uzyskać dostęp do Twojej witryny. Utwórz nowe konto użytkownika dla osoby i usuń stare konto.
  • Usuń konta FTP dla użytkowników, którzy nie potrzebują tak wysokiego poziomu dostępu.

Wreszcie, jeśli Twoja witryna zezwala członkom, chcesz się upewnić, że muszą oni faktycznie utworzyć konto podczas rejestracji i że ich domyślna rola nie zezwala na dostęp administratora. Przejdź do Ustawienia > Ogólne . Usuń zaznaczenie pola obok Każdy może się zarejestrować . Następnie wybierz odpowiednią opcję w obszarze Nowa domyślna rola użytkownika .

Upewnij się, że WordPress jest aktualny

Możesz uruchomić to automatycznie, ale nadal opłaca się dwukrotnie sprawdzić, czy WordPress jest zaktualizowany do najnowszej wersji. Aktualizacje nie tylko łatają luki w zabezpieczeniach — poprawiają również wydajność i dodają funkcje. Przejdź do Pulpit > Aktualizacje , aby sprawdzić, czy jest gotowe.

audyt bezpieczeństwa wordpress

Oczyść swoje wtyczki i motywy

Wtyczki mogą rozszerzyć możliwości Twojej witryny, ale są również podatne na ataki, zwłaszcza jeśli nie są aktualizowane przez zbyt długi czas. Niezawodni programiści będą na bieżąco z lukami w zabezpieczeniach swoich wtyczek i publikują aktualizacje z łatami. Podczas aktualizacji zabezpieczeń WordPress przejdź do listy wtyczek i wykonaj następujące czynności:

  • Dezaktywuj i odinstaluj wszelkie wtyczki, których już nie używasz lub których nie rozpoznajesz.
  • Zaktualizuj wszystkie pozostałe wtyczki, które mają gotowe aktualizacje.
  • Jeśli używasz wtyczki, która nie otrzymywała aktualizacji od programisty, rozważ użycie innej, która ma taką samą funkcjonalność — przestarzała wtyczka jest zbyt podatna na problemy z bezpieczeństwem.

Nawet jeśli przeprowadzasz audyt bezpieczeństwa WordPress raz w miesiącu, dobrym pomysłem jest częstsze sprawdzanie wtyczek w celu ich aktualizacji w razie potrzeby. Usuń także wszelkie motywy, których obecnie nie używasz lub których nie spodziewasz się potrzebować. Podobnie jak w przypadku wtyczek, motywy niosą ze sobą ryzyko luk w zabezpieczeniach, więc najlepiej jest zadbać o to, aby Twoja witryna była jak najmniej zaśmiecona.

Bądź bezpieczny!

Nie przestajesz pracować nad innymi częściami swojej firmy – wymyślaniem nowych produktów lub usług, ich marketingiem, sprzedażą itp. Bezpieczeństwo Twojej witryny nie powinno być inne. Niewielki problem może szybko doprowadzić do włamania zagrażającego firmie, jeśli nie złapiesz go na czas, ale nie wiedząc, gdzie znajdują się obszary problemowe, nie będziesz wiedział, które poprawki wdrożyć.

Dbanie o bezpieczeństwo witryny jest procesem ciągłym, a lista kontrolna audytu bezpieczeństwa WordPress pozwala uniknąć kłopotów z pamiętaniem, co robić każdego miesiąca. Ponadto im więcej możesz zautomatyzować za pomocą wtyczki zabezpieczającej, tym lepiej. Twoja lista kontrolna audytu bezpieczeństwa WordPress może być znacznie mniejsza, jeśli większość tego, co musisz zrobić, to dwukrotnie sprawdzić, czy wtyczka nadal działa poprawnie. Mamy szczegółowe przeglądy recenzji dwóch wiodących wtyczek bezpieczeństwa, Sucuri i Wordfence.