Jak zabezpieczyć witrynę WordPress, przewodnik krok po kroku dotyczący zabezpieczania witryny WordPress

Ludzie mają błędne przekonanie, że wszystko, co jest darmowe i open source, jest mniej zabezpieczone. Ale prawda jest taka, że ​​społeczności open source, takie jak te, które stoją za WordPressem, są bardzo duże i upewnij się, że WordPress jest na bieżąco z najnowszymi praktykami bezpieczeństwa i kontrolami jakości. Wystarczy postępować zgodnie z najlepszymi praktykami i podjąć niezbędne środki ostrożności. Musisz mieć jasną wiedzę na temat zabezpieczenia witryny WordPress, aby chronić swoją witrynę.

Zacznijmy od przewodnika krok po kroku, jak zabezpieczyć witrynę WordPress, a następnie możesz przeczytać więcej dodatkowych wskazówek, jak zapewnić bezpieczną witrynę.

Przewodnik po zabezpieczeniu witryny WordPress

Zanim zaczniesz uczyć się, jak zabezpieczyć witrynę WordPress, zrozum, dlaczego jest to potrzebne w pierwszej kolejności. Jak każda czynność związana z witryną, bezpieczeństwo wymaga Twojego czasu, wysiłku i zasobów. Traktowanie tego poważnie i przydzielanie potrzebnych zasobów jest całkowicie satysfakcjonujące, ponieważ zaniechanie tego spowoduje kilka szkód dla reputacji Twojej marki i rozwoju firmy.

Według raportu, ponad 70% instalacji WordPressa jest podatnych na ataki z ponad 40 000 stron WordPress znajdujących się w pierwszym milionie w rankingu Alexa.

Zaatakowana witryna internetowa może prowadzić do nieudanych transakcji biznesowych, utraty prywatności, utraty czasu komputera i może spowodować duże straty finansowe. Rozważ niedawne ataki ransomware, które doprowadziły do ​​tego, że wiele firm musiało zapłacić za swoje pikiety, aby odzyskać swoje dane od hakerów.

Dlatego głównym celem środków bezpieczeństwa musi być zapobieganie, a nie reagowanie. Musisz zastosować odpowiednie narzędzia i praktyki, aby nie pozostawiać miejsca na wykorzystanie złośliwego oprogramowania i cyberataków.

Krok 1: Aktualizuj swój WordPress.

WordPress jest wspierany przez rosnącą społeczność programistów, która zapewnia stałe dostarczanie poprawek bezpieczeństwa i rozwiązań w celu zakrycia wykrytych luk w zabezpieczeniach. Możesz otrzymać te aktualizacje, regularnie aktualizując swój WordPress.

W przypadku większości drobnych aktualizacji możesz skonfigurować ustawienia WordPress, aby włączyć automatyczne aktualizacje. Pamiętaj, aby zaktualizować swoją wersję WordPressa do najnowszej wersji, gdy tylko pojawi się nowa wersja.

Najnowsze wersje nie tylko zapewniają zaktualizowane zabezpieczenia; zapewniają również najnowsze funkcje i ulepszenia w stosunku do istniejących funkcji. Aktualizacje WordPress są niezbędne do sprawnego działania witryny i mają kluczowe znaczenie dla bezpieczeństwa i stabilności Twojej witryny.

Wskazówka dla profesjonalistów: WordPress 5.5 jest niedostępny, zaktualizuj teraz swoją witrynę do najnowszej wersji.

Krok 2: Zaktualizuj wtyczki i motywy

Oprócz podstawowego WordPressa musisz również regularnie aktualizować wszystkie używane wtyczki i motywy.

Być może korzystasz z wielu wtyczek i motywów innych firm, z których niektóre mogą mieć słabą konserwację. Spróbuj zastąpić te wtyczki lepszymi alternatywami, które zapewnią regularne aktualizacje i funkcje bezpieczeństwa. Nieaktualne wtyczki mogą zawierać luki, o których możesz nie wiedzieć. Jeśli na Twojej stronie działa jakaś wtyczka, której obecnie nie używasz, dezaktywuj ją.

Przeprowadź miesięczny audyt wszystkich dostępnych wtyczek i zachowuj tylko te, które są niezbędne.

Krok 3: Używaj silnych haseł

Istnieje kilka kont użytkowników, takich jak konto zatrzymujące, konto administratora WordPress, konta FTP, konta baz danych i inne, z których będziesz korzystać podczas uruchamiania witryny WordPress. Każde z tych kont będzie wymagało identyfikatora e-mail i silnego hasła, aby zabezpieczyć autoryzowane użycie.

Wybierz więc dostosowane do tego celu adresy e-mail i używaj silnych haseł. Zapamiętywanie wszystkich haseł może być trudne, ale jest to niezbędny środek zapewniający bezpieczeństwo. Możesz spróbować użyć menedżera haseł, aby pomóc w zarządzaniu wszystkimi hasłami.

Krok 4: Ustal odpowiednie poziomy dostępu

Kiedy prowadzisz witrynę WordPress jako zespół lub masz różnych autorów gości piszących w Twojej witrynie, upewnij się, że każdemu użytkownikowi przypisujesz odpowiednie role i możliwości.

Zapoznaj się z rolami dostępnymi w WordPressie i twórz konta użytkowników tylko w odniesieniu do przypisanej roli.

Krok 5: Wybierz bezpieczną platformę hostingową

To prawdopodobnie najważniejsza część bezpieczeństwa WordPressa. Dobry partner hostingowy powinien być w stanie zapewnić odpowiednie środki bezpieczeństwa, aby uniknąć wycieków danych i cyberataków. Oto kilka cech dobrej platformy hostingowej, które powinieneś sprawdzić przy wyborze jednej z nich.

• Możliwość ciągłego monitorowania sieci w celu wykrycia wszelkich podejrzanych działań.
• Narzędzia do blokowania ataków DDOS
• Zapewnij serwery zapasowe na wypadek awarii zasilania lub trwającego cyberataku.
• Aktualny sprzęt i oprogramowanie, aby naprawić wszelkie znane luki w zabezpieczeniach
• Właściwe odzyskiwanie po awarii i plan awaryjny w celu ochrony danych na wypadek jakichkolwiek wypadków lub wpadek.

Wspólne plany hostingowe są bardziej ryzykowne niż dedykowane serwery hostingowe, ponieważ będziesz udostępniać zasoby serwera innym klientom. Może to narazić Cię na ryzyko skażenia między witrynami, w którym sąsiednia witryna może zostać wykorzystana do zhakowania Twojej witryny.

Należy pamiętać, że niektórzy dostawcy usług hostingowych oferują oprócz podstawowej ochrony serwera płatne dodatki zabezpieczające, takie jak Sitelock.

Ogólnie rzecz biorąc, dla lepszego bezpieczeństwa spróbuj wybrać zarządzany plan hostingowy WordPress.

Krok 6. Przygotuj rozwiązanie do tworzenia kopii zapasowych

Zawsze przechowuj zaktualizowaną kopię zapasową, która pomoże Ci w przypadku ataku lub poważnego wypadku. Kopie zapasowe pozwalają na szybsze przywrócenie witryny WordPress i przywrócenie do prawidłowego stanu. Istnieje wiele darmowych i płatnych wersji wtyczek WordPress, które umożliwiają tworzenie kopii zapasowych i bezpieczne przechowywanie ich w zdalnej lokalizacji.

Przechowywanie w zdalnej lokalizacji jest znacznie bezpieczniejsze w porównaniu z kopiami zapasowymi wykonywanymi na koncie hostingowym. Możesz skorzystać z dowolnych usług przechowywania w chmurze, takich jak Amazon i Dropbox.

Utwórz kopię zapasową swojej witryny raz dziennie i ustaw ją na automatyczną kopię zapasową. Możesz zwiększyć lub zmniejszyć częstotliwość tworzenia kopii zapasowych w zależności od częstotliwości aktualizacji.

Krok 7. Skorzystaj z wtyczek bezpieczeństwa WordPress

Zainstaluj dobrą wtyczkę bezpieczeństwa, która pomoże ci kontrolować i monitorować działania witryny. Wtyczki zabezpieczające mogą również pomóc w śledzeniu każdej interakcji, jaką Twoja witryna przeprowadza z kanałami stron trzecich, oraz wykrywać wszelkie podejrzane działania lub próby włamania się do witryny.

Na przykład działania takie jak nieudane próby logowania i ataki botów mogą być monitorowane i blokowane we właściwym czasie za pomocą wtyczek zabezpieczających. Możesz także przeprowadzać skanowanie w poszukiwaniu złośliwego oprogramowania, sprawdzanie integralności plików i inne zadania związane z bezpieczeństwem za pomocą wtyczek zabezpieczających. Przeprowadź badania na temat najlepszych dostępnych wtyczek zabezpieczających, które pasują do Twoich potrzeb i zacznij z nich korzystać.

Wskazówka dla profesjonalistów: niektóre wtyczki zabezpieczające, których możesz użyć, to Sucuri, Wordfence Security, Defender i VaultPress.

Krok 8. Włącz zaporę aplikacji internetowej

Zapory sieciowe pomagają zapewnić system obronny, który blokuje dostęp złośliwego ruchu do Twojej witryny. Istnieją dwa poziomy zapór, których musisz użyć.

• Zapora sieciowa na poziomie DNS

Ta zapora będzie przekierowywać Twoje żądania internetowe przez serwery proxy w chmurze i zezwalać na dotarcie do Twojej witryny tylko legalnemu ruchowi.

• Zapora na poziomie aplikacji

Zapora ta przeanalizuje żądanie po stronie serwera i pozwoli uruchomić skrypty tylko wtedy, gdy okaże się, że jest to prawdziwe żądanie. Ale ten typ zapory może zwiększyć obciążenie serwera.

Krok 9. Przełącz się na https

Witryny HTTP są o wiele bezpieczniejsze niż zwykłe witryny HTTP, ponieważ akceptują tylko bezpieczne połączenia oparte na szyfrowaniu. Warstwa gniazda SSL szyfruje każdy transfer danych między Twoją witryną a przeglądarką, co utrudnia hakerom uzyskanie dostępu do Twojej witryny.

Ceny certyfikatów SSL wydawanych przez prywatne władze zaczynają się od 80 dolarów rocznie. Możesz także zdecydować się na bezpłatne certyfikaty wydawane w ramach programu Let's Encrypt.

Wskazówki, jak zabezpieczyć witrynę WordPress

Niezależnie od tego, co zostało omówione powyżej, było to bardzo podstawowe, musisz zadbać o bezpieczeństwo. Oto kilka dodatkowych sugestii i wskazówek, jak stworzyć ściśle zabezpieczoną witrynę internetową.

Użyj niestandardowego identyfikatora użytkownika.

Porzuć zwykłą nazwę użytkownika admin, aby uzyskać coś bardziej osobistego i trudnego do odgadnięcia przez hakerów. Na szczęście WordPress wymaga teraz wybrania niestandardowej nazwy użytkownika dla swojego konta. Ale kiedy wykonujesz instalacje jednym kliknięciem, domyślna nazwa użytkownika jest ustawiona na admin, a zatem będziesz musiał zainstalować WordPress, aby ręcznie ustawić odpowiednią niestandardową nazwę użytkownika. Jeśli już ustawiłeś admin jako swoją nazwę użytkownika, utwórz nową nazwę użytkownika administratora i usuń starą. Do tego zadania możesz użyć wtyczki lub strony phpMyAdmin.

Wyłącz edycję plików

Aby wyłączyć wbudowany edytor kodu w WordPressie, musisz zmienić plik wp-config.php. Ustaw „DISALLOW_FILE_EDIT” na true. Tę funkcję można również włączyć, wzmacniając swoje konto WordPress za pomocą wtyczek zabezpieczających.

Gdy skrypt nie jest wymagany do uruchomienia z niektórych katalogów, można je tam bezpiecznie wyłączyć. Na przykład możesz wyłączyć wykonywanie pliku PHP, dodając odpowiednie wpisy do pliku htaccess

Ogranicz próby logowania

Można to skonfigurować za pomocą wtyczki zabezpieczającej, która może monitorować nieudane próby logowania z konta i blokować je na określony czas. Pomaga to zapobiegać atakom brute force.

Wzmocnij swoje loginy, używając uwierzytelniania dwuskładnikowego. Uwierzytelnianie dwuskładnikowe wymaga dwuetapowego procesu logowania, w którym oprócz hasła wysyłana jest jednorazowa wiadomość weryfikacyjna lub hasło na telefon komórkowy lub adres e-mail użytkownika. Powinieneś także pomyśleć o bezpieczeństwie swojej strony logowania. Twój adres URL logowania do WordPressa jest jednym z najbardziej wrażliwych miejsc.

Możesz także skorzystać z aplikacji uwierzytelniających, aby zapewnić silną warstwę ochrony przy każdej próbie logowania.

Dostosuj konwencje nazewnictwa baz danych.

Domyślnie tabele baz danych w WordPressie zaczynają się od prefiksu wp_, co pozwala hakerom zgadywać nazwy tabel. Spróbuj zmienić te przedrostki na bardziej spersonalizowane nazewnictwo, które zapewni dodatkową ochronę

Dodaj dodatkową ochronę hasłem na poziomie serwera, aby ograniczyć wszelkie próby ataków DOS.

Wyłącz indeksowanie i przeglądanie katalogów.

Kiedy hakerzy mogą przeszukiwać Twoje katalogi i pliki, mogą zidentyfikować każdą lukę i spróbować ją wykorzystać. To ustawienie można wykonać modyfikując plik htaccess.

Wyłącz XML-RPC. XML RPC został dodany z WordPress 3.5 jako sposób na optymalizację obsługi żądań. Może to jednak działać jak tylne drzwi ułatwiające hakerom ataki typu brute force. Tak więc, jeśli nie używasz XML-RPC w swojej witrynie, wyłącz go, modyfikując plik htaccess lub używając zapory.

Wyloguj bezczynnych użytkowników po pewnym czasie bezczynności.

Możesz skorzystać z nieaktywnej wtyczki wylogowania, aby automatycznie wylogować nieaktywnych użytkowników.

Dodaj pytania bezpieczeństwa do ekranu logowania, aby uzyskać dodatkowy poziom uwierzytelniania.

Uruchom skanowanie

Regularnie przeprowadzaj skanowanie w poszukiwaniu złośliwego oprogramowania, a jeśli zostanie znalezione jakiekolwiek złośliwe oprogramowanie lub niepotrzebne pliki, wyczyść je. Naprawianie zhakowanej witryny może być trudną sprawą. Lepiej zatrudnić specjalistę ds. bezpieczeństwa lub doświadczonego webmastera, aby się tym zajął. Jeśli próbujesz zrobić to sam, dobrze zbadaj, wykonaj kopię zapasową ważnych plików i zacznij naprawiać swoją witrynę.

Wybierz dobrą firmę hostingową, która ma wiele warstw zabezpieczeń.

Kiedy prowadzisz stronę internetową, która zawiera wrażliwe dane klientów, musisz zainwestować, aby dane były bezpieczne. Więc nie daj się skusić na wybieranie tańszych planów hostingowych, w których brakuje środków bezpieczeństwa. Spraw, aby bezpieczeństwo było głównym problemem przy wyborze platformy hostingowej.

Pobierz motywy i wtyczki ze zweryfikowanych źródeł. Darmowe motywy i wtyczki mogą wydawać się kuszące, ale bez odpowiedniej konserwacji i wsparcia te przestarzałe wtyczki lub motywy mogą zawierać podatne na ataki bloki kodu, które mogą zagrozić bezpieczeństwu Twojej witryny.

Dodatkowo ukryj podstawowe pliki WordPress, takie jak htaccess i wp-config.

Zawijanie

Pamiętaj o kluczowych zasadach zabezpieczania dowolnego oprogramowania – ogranicz dostęp i ustaw odpowiednie poziomy autoryzacji. Dodatkowo zawierają i chronią krytyczne komponenty w bazie danych. Upewnij się, że regularnie aktualizujesz swój system i przechowuj kopie zapasowe w bezpiecznej lokalizacji zdalnej. I zawsze używaj wtyczek i motywów tylko z zaufanych źródeł.

Używaj silnych haseł, nie udostępniaj swoich haseł, ograniczaj uprawnienia użytkowników i regularnie monitoruj aktywność w witrynie. Korzystaj z narzędzi bezpieczeństwa, które pomogą Ci monitorować i podejmować proaktywne działania w celu zabezpieczenia Twojej witryny.

I na koniec pamiętaj, aby zgłaszać wszelkie problemy z bezpieczeństwem i szukać pomocy w pomocy technicznej w celu dalszego zbadania. Nie wahaj się zatrudniać ekspertów do rozwiązywania problemów związanych z bezpieczeństwem.

Więc tak, to wszystko z mojej strony, mam nadzieję, że rozumiesz Jak zabezpieczyć witrynę WordPress.