Jak zabezpieczyć swoją witrynę Wordpress

Opublikowany: 2020-05-01

Każdy twórca witryny WordPress musi dbać o bezpieczeństwo swojej witryny, Google czarnej listy (czarnej listy) ponad 10 000 witryn dziennie, ponieważ te witryny zostały zainfekowane złośliwym oprogramowaniem.

Niestety, nie zdarza się to po prostu innym. Im szybciej zdasz sobie z tego sprawę, tym lepiej dla ciebie.

Nawet jeśli jądro WordPressa jest bardzo bezpieczne dzięki setce programistów, faktem pozostaje, że pozostaje podatne na ataki, ponieważ jest bardzo celem hakerów, ponieważ około 25% stron internetowych jest tworzonych za pomocą WordPressa.

Jako webmaster możesz zrobić wiele rzeczy, aby zwiększyć bezpieczeństwo swojej witryny WordPress.

Dlatego postanowiłem napisać ten artykuł w nadziei, że będzie on jak najprostszy i jak najbardziej przejrzysty.

Zobaczysz, że istnieje wiele kroków, które możesz podjąć, aby zapobiec zainfekowaniu lub zniszczeniu witryny przez hakera.

Chociaż środki te nie wyeliminują całkowicie zagrożeń, znacznie je zmniejszą.

Jeśli Twoja witryna jest już zainfekowana złośliwym oprogramowaniem, zalecamy wykonanie tych kroków, które pomogą Ci usunąć złośliwe oprogramowanie z Twojej witryny.

Więc zacznijmy.

Potrzebujesz pomocy, aby Twoja witryna była w 100% bezpieczna? Zarezerwuj rozmowę z WP Buffs już teraz i uzyskaj 10-20% zniżki!

Odwiedź WP Buffs

1: Zaktualizuj WordPress oraz jego motywy i wtyczki.

WordPress jest regularnie aktualizowany, podobnie jak motywy i wysokiej jakości wtyczki. Ma to kluczowe znaczenie dla bezpieczeństwa i stabilności Twojej witryny.

1: Zaktualizuj WordPress oraz jego motywy i wtyczki.
Zaprojektowany przez Freepik

2: Wzmocnij swoje hasła, aby zabezpieczyć WordPress

Najczęstszym atakiem jest kradzież hasła z powodu stosunkowo słabego hasła.

Możesz znacznie skomplikować zadanie hakerowi, wzmacniając hasło WordPress, ale także te podczas łączenia się z kontem FTP, bazą danych, hostem, e-mailami itp.

Wielu z was nie lubi używać zbyt skomplikowanych haseł, bojąc się ich zapomnienia. W takim przypadku radzę skorzystać z „menedżera haseł”.

Menedżer haseł przechowuje wszystkie hasła w bezpiecznej chmurze i pozwala zarządzać nimi za pomocą jednego hasła.

Jest ich wiele, ale polecam LastPass , jest łatwy w użyciu i darmowy.

3: Zainstaluj wtyczkę do tworzenia kopii zapasowych

3: Zainstaluj wtyczkę do tworzenia kopii zapasowych
Zaprojektowany przez Freepik

Tworzenie kopii zapasowej witryny to dobry sposób na naprawienie wszelkich szkód, które haker mógł wyrządzić w Twojej witrynie.

W przypadku ataku wtyczka do tworzenia kopii zapasowych umożliwi przywrócenie witryny do stanu sprzed ataku.

Istnieje wiele wtyczek do tworzenia kopii zapasowych dla WordPressa, ale nie wszystkie są sobie równe. Musi być łatwy w użyciu, umożliwiać tworzenie kopii zapasowych całej witryny, regularne automatyczne tworzenie kopii zapasowych i oczywiście możliwość zapisywania kopii zapasowych poza serwerami hosta (dysk twardy, chmura itp.).

Oto trzy, które spełniają wszystkie powyższe kryteria. Wszystkie trzy mają bezpłatną i płatną wersję.

  • UpdraftPlus
  • Pomocnik
  • Powielacz

4: Zainstaluj wtyczkę bezpieczeństwa

Następnym krokiem po obejrzeniu kopii zapasowych jest zainstalowanie wtyczki zabezpieczającej, która stale monitoruje Twoją witrynę i śledzi wszelkie podejrzane działania, które mogą się tam odbywać.

  • Skanowanie w poszukiwaniu złośliwego oprogramowania
  • Wykrywanie uszkodzeń plików
  • Blokowanie użytkowników
  • Itp

Zalecana wtyczka:

  • Wordfence (wersja bezpłatna i płatna)
  • Bezpieczeństwo iThemes (wersja bezpłatna i płatna)
  • Sucuri

5: Wybierz motyw jakości

Wysokiej jakości motyw WordPress to bezpieczny motyw, który nie ma znanych luk w zabezpieczeniach, jest regularnie aktualizowany, spełnia odpowiednie standardy kodowania i jest zgodny z Twoją wersją WordPressa, ale także z innymi elementami Twojej witryny, takimi jak wtyczki.

Posiadanie motywu, który spełnia wszystkie te kryteria, nie tylko pomoże uniknąć błędów, błędów kompatybilności i całej masy podobnych problemów, ale także ograniczy możliwości ataku, ponieważ Twoja witryna WordPress będzie miała mniej luk w zabezpieczeniach do wykorzystania. Unikaj więc za wszelką cenę wszelkich zerowych motywów.

Poniżej kilka motywów, których często używam i które polecam z zamkniętymi oczami:

  • Temat: Oceanwp (bezpłatny).
  • Motywy: ThemeIsle (bezpłatne i płatne).
  • Temat: Divi (płatność).
  • Temat: dodatkowo (płatny).
  • Temat: Generuj prasę (bezpłatną i płatną).
  • Temat: Astra (bezpłatny i płatny).

6: Zmień nazwę użytkownika WordPress

Jeśli podczas instalacji najnowszych wersji WordPressa można wybrać inną nazwę niż słynny „admin”, wcześniej tak nie było. Jednak zawsze najlepiej jest, aby administrator nie zostawiał znanej nazwy użytkownika. Oczywiście w takim przypadku nie należy publikować artykułów ani odpowiadać na komentarze pod pseudonimem administratora.

Istnieją różne metody zmiany nazwy użytkownika w WordPress:

  • Metoda ręczna.
  • Użyj wtyczki

Przeczytaj ten artykuł, aby szczegółowo zapoznać się z 2 metodami (samouczki).

https://www.wpbeginner.com/beginners-guide/how-to-change-your-password-in-wordpress/

7: Dodaj dwa czynniki identyfikacji (uwierzytelnianie dwuskładnikowe)

Ta opcja zmusza użytkownika do identyfikacji za pomocą dwóch różnych metod. Klasyczna metoda z nazwą użytkownika i hasłem oraz druga metoda, polegająca na odebraniu kodu na innym urządzeniu niż komputer, z którego zwykle korzystasz.

Jeśli używasz Wordfence , iThemes Security lub UpdraftPlus , wszystkie zapewniają tę funkcję bezpieczeństwa.

8: Automatyczne wylogowanie nieaktywnych użytkowników w WordPressie?

Często zdarza się, że użytkownik odchodzi od ekranu na chwilę pozostając w kontakcie z WordPress, co może stanowić zagrożenie dla bezpieczeństwa. Ktoś może przejąć jego sesję, zmienić hasło lub zmienić konto.

Rozwiązanie polega na zainstalowaniu wtyczki, która zajmie się odłączeniem nieaktywnego użytkownika po określonym czasie.

W tym celu polecam wtyczkę „Nieaktywne wylogowanie”, jest ona darmowa, bardzo prosta w konfiguracji i dobrze spełnia swoje zadanie.

Po zainstalowaniu przejdź do „ Ustawienia ” na pulpicie WordPress i kliknij „ Nieaktywne wylogowanie ”, aby skonfigurować wtyczkę

Tam wystarczy określić czas bezczynności przed rozłączeniem i komunikat, który zostanie wyświetlony, gdy to nastąpi, kliknij „ zapisz zmiany ”, aby zakończyć.

9: Dodaj pytanie zabezpieczające, aby połączyć się z WordPress

Dodanie pytania zabezpieczającego do ekranu logowania WordPress znacznie zmniejszy prawdopodobieństwo, że nieupoważniona osoba będzie mogła uzyskać dostęp do Twojego konta.

Możesz dodać jedno lub więcej pytań zabezpieczających, instalując wtyczkę: WP Security Question

10: Zmień adres URL połączenia

Domyślnie adres URL do połączenia z WordPressem jest zawsze taki sam: https://www.twojanazwa.com/wp-admin (wstawiam .com, ale może to być .net lub inne rozszerzenie).

Aby utrudnić zadanie potencjalnemu hakerowi, który chce przeprowadzić atak „Brute Force” na Twoją witrynę, możesz zmienić adres URL połączenia.

Zobacz tę wtyczkę: WPS Ukryj logowanie.

11: Skaner WordPress pod kątem wirusów lub złośliwego oprogramowania oraz możliwych luk w zabezpieczeniach i innych luk

Jeśli nie zainstalowałeś wtyczki zabezpieczającej na swoim WordPressie i zauważysz nagły spadek ruchu lub pogorszenie pozycji w wyszukiwarkach, pilnie musisz dokonać pełnej analizy swojej strony.

W tym przypadku dwie opcje:

Albo zdecydujesz się zainstalować wtyczkę bezpieczeństwa i natychmiast rozpocząć skanowanie, albo rozpocząć skanowanie online na jednej z poniższych witryn. Wszystkie są bezpłatne i bardzo łatwe w użyciu.

Wystarczy wpisać adres swojej witryny i rozpocząć skanowanie.

  • https://wpsec.com/
  • https://app.upguard.com/webscan
  • https://www.virustotal.com/gui/home/upload

12: Wylecz swoją witrynę

Jeśli zainstalowałeś wtyczkę bezpieczeństwa, jest mało prawdopodobne, że zostałeś zainfekowany. Ale wielu z was nadal o tym nie myśli.

Przede wszystkim należy zrozumieć, że o wiele łatwiej jest zapobiec infekcji witryny WordPress niż ją wyleczyć.

Czyszczenie witryny WordPress może być czasochłonne i często będziesz musiał zatrudnić profesjonalistę, zwłaszcza jeśli nie wykonałeś pełnej kopii zapasowej witryny.

Hakerzy instalują backdoory na zainfekowanych stronach i jeśli nie zostaną odpowiednio potraktowane, prawdopodobnie Twoja witryna zostanie ponownie zhakowana.