Wskazówki dotyczące ochrony WordPressa. 12 wskazówek, jak chronić swoją witrynę
Opublikowany: 2019-07-11WordPress to jeden z najpopularniejszych CMS na świecie. Korzysta z niego ponad 18,9% wszystkich stron internetowych, a liczba instalacji przekroczyła 76,5 mln. Niestety taka popularność ma swoje wady. Według raportu Sucuri (bezpieczeństwo i ochrona stron internetowych), WordPress jest najbardziej podatnym na hakowanie CMS na świecie. Jeśli jednak zastosujesz się do najlepszych praktyk w tej materii i zastosujesz kilka technik z tego przewodnika, zdasz sobie sprawę, że ochronę WordPressa można łatwo wzmocnić w kilku prostych krokach.
Czego będziesz potrzebować
Zanim zaczniemy, sprawdź następujące elementy:
- Dostęp do panelu sterowania WordPress;
- Dostęp do Twojego konta hostingowego (opcjonalnie).
Zawartość
Krok 1. Utrzymanie aktualnej wersji WordPressa;
Krok 2. Korzystanie z niestandardowych danych logowania;
Krok 3. Włączenie uwierzytelniania dwuetapowego;
Krok 4. Wyłączanie raportów o błędach PHP;
Krok 5. Nie używaj pustych szablonów dla WordPress;
Krok 6. Skanowanie WordPressa w poszukiwaniu złośliwego oprogramowania;
Krok 7. Przeniesienie witryny na bezpieczniejszy hosting;
Krok 8. Tworzenie kopii zapasowych danych tak często, jak to możliwe;
Krok 9. Wyłączenie opcji edycji plików;
Krok 10. Usuwanie nieużywanych szablonów i wtyczek;
Krok 11. Używanie .htaccess do poprawy bezpieczeństwa WordPress;
Krok 12. Zmiana standardowych prefiksów bazy danych WordPress, aby zapobiec wstrzyknięciu SQL Podsumowanie
Krok 1. Utrzymanie aktualnej wersji WordPress
Będzie to pierwszy i najważniejszy krok do poprawy bezpieczeństwa WordPressa. Jeśli potrzebujesz czystej witryny bez złośliwego oprogramowania, upewnij się, że wersja Twojego WordPressa jest aktualna. Ta rada może wydawać się prosta, ale tylko 22% wszystkich instalacji WordPressa jest w najnowszej wersji.
WordPress zaimplementował funkcję automatycznej aktualizacji w wersji 3.7, ale działa ona tylko w przypadku niewielkich aktualizacji zabezpieczeń. Podczas gdy duże aktualizacje kluczy muszą być instalowane ręcznie.
Jeśli nie wiesz, jak zaktualizować WordPress, sprawdź to.
Krok 2. Korzystanie z niestandardowych danych logowania
Czy używasz „admin” jako nazwy administratora w WordPressie? Jeśli odpowiedź brzmi „tak”, poważnie zmniejszasz bezpieczeństwo WordPressa i ułatwiasz włamanie się do panelu sterowania. Zdecydowanie zaleca się zmianę nazwy użytkownika administratora na inną (zobacz ten samouczek, jeśli nie masz pewności, jak to zrobić) lub utworzenie nowego konta administratora z innymi danymi.
Wykonaj poniższe czynności, jeśli wolisz drugą opcję:
- Zaloguj się do panelu sterowania WordPress;
- Znajdź sekcję „Użytkownicy” i kliknij przycisk „Dodaj nowy”;
- Utwórz nowego użytkownika i przypisz uprawnienia administratora;
- Zaloguj się do WordPressa za pomocą nowych danych;
- Wróć do sekcji Użytkownicy i usuń domyślne konto administratora.
Dobre hasło odgrywa kluczową rolę w bezpieczeństwie WordPressa. Znacznie trudniej jest złamać hasło składające się z cyfr, wielkich i małych liter oraz symboli specjalnych. Narzędzia takie jak LastPass i 1Password mogą pomóc w tworzeniu złożonych haseł i zarządzaniu nimi. Ponadto, jeśli kiedykolwiek będziesz musiał zalogować się do panelu sterowania WordPress podczas łączenia się z niezabezpieczoną siecią (np. kawiarnie, biblioteki publiczne itp.), nie zapomnij użyć bezpiecznej sieci VPN, która chroni Twoje dane logowania.
Krok 3. Włączenie uwierzytelniania dwuetapowego
Uwierzytelnianie dwuetapowe dodaje dodatkową warstwę bezpieczeństwa do Twojej strony autoryzacyjnej. Po potwierdzeniu nazwy użytkownika dodaje kolejny krok, który musisz wykonać, aby pomyślnie uwierzytelnić. Najprawdopodobniej korzystasz już z tego, aby uzyskać dostęp do poczty e-mail, banku internetowego i innych kont zawierających poufne informacje. Dlaczego nie użyć go również w WordPressie?
Chociaż może się to wydawać skomplikowane, włączenie uwierzytelniania dwuetapowego w WordPressie jest bardzo łatwe. Wszystko, co musisz zrobić, to zainstalować aplikację do dwuetapowego uwierzytelniania i skonfigurować ją dla swojego WordPressa. Więcej szczegółowych informacji na temat włączania uwierzytelniania dwuetapowego w WordPress można znaleźć tutaj.
Krok 4. Wyłączanie raportów o błędach PHP
Raporty o błędach PHP mogą być bardzo przydatne, jeśli tworzysz witrynę internetową i chcesz się upewnić, że wszystko działa poprawnie. Jednak pokazywanie błędów wszystkim jest poważnym zaniedbaniem w bezpieczeństwie WordPressa.
Powinieneś to naprawić jak najszybciej. Nie martw się, nie musisz być programistą, aby wyłączyć raporty o błędach PHP w WordPressie. Większość dostawców usług hostingowych oferuje tę opcję w panelu sterowania. Jeśli nie, po prostu dodaj następujące wiersze do pliku wp-config.php. Możesz użyć klienta FTP lub Menedżera plików, aby edytować plik wp-config.php.
raportowanie_błędów(0);
@ini_set('display_errors', 0);
Krok 5. Nie używaj pustych szablonów dla WordPress
Pamiętaj, „jedyny darmowy ser jest w pułapce na myszy”. To samo dotyczy pustych szablonów i wtyczek.
W całym Internecie są tysiące pustych wtyczek i szablonów. Użytkownicy mogą je pobrać za darmo, korzystając z różnych udostępniania plików lub plików torrent. Nie wiedzą, że większość z nich jest zainfekowana złośliwym oprogramowaniem lub linkami do czarnych metod optymalizacji wyszukiwarek.
Przestań używać pustych wtyczek i szablonów. Jest to nie tylko nieetyczne, ale także szkodzi bezpieczeństwu WordPressa. W końcu zapłacisz więcej programiście za wyczyszczenie witryny.
Krok 6. Skanowanie WordPressa w poszukiwaniu złośliwego oprogramowania
Hakerzy często wykorzystują dziury w szablonach lub wtyczkach do infekowania WordPressa. Dlatego tak ważne jest częstsze sprawdzanie swojego bloga. W tym celu dostępnych jest wiele dobrze napisanych wtyczek. WordFence wyróżnia się z tłumu. Oferuje przewodnik użytkowania i możliwość automatycznego testowania, a także kilka innych różnych ustawień. Możesz nawet odzyskać zmodyfikowane/zainfekowane pliki za pomocą kilku kliknięć. Jest dostępny bezpłatnie. Te fakty powinny wystarczyć do zainstalowania go już teraz.
Inne popularne wtyczki zwiększające bezpieczeństwo WordPressa:
- Bezpieczeństwo kuloodporne . W przeciwieństwie do WordFence, o którym mówiliśmy wcześniej, BulletProof nie skanuje twoich plików, ale zapewnia zaporę ogniową, ochronę bazy danych itp. Cechą charakterystyczną jest możliwość skonfigurowania i zainstalowania wtyczki za pomocą kilku kliknięć.
- Bezpieczeństwo Sucuri . Ta wtyczka chroni Cię przed atakami DDOS, ma czarną listę, skanuje Twoją witrynę w poszukiwaniu złośliwego oprogramowania i kontroluje zaporę. Jeśli coś znajdzie, zostaniesz o tym powiadomiony e-mailem. Google, Norton, McAfee – ta wtyczka zawiera wszystkie czarne listy z tych programów.
Krok 7. Przeniesienie witryny na bezpieczniejszy hosting
Ta rada może wydawać się dziwna, ale statystyki pokazują, że ponad 40% witryn WordPress zostało zhakowanych z powodu luk w zabezpieczeniach ich kont hostingowych. Te statystyki powinny zachęcić Cię do przeniesienia WordPressa na bezpieczniejszy hosting. Kilka kluczowych faktów, o których należy pamiętać przy wyborze nowego hostingu:
- Jeśli jest to hosting współdzielony, upewnij się, że Twoje konto jest odizolowane od innych użytkowników i nie ma ryzyka infekcji z innych witryn na serwerze.
- Hosting posiada funkcję automatycznego tworzenia kopii zapasowych;
- Serwer posiada zaporę innej firmy oraz narzędzie do skanowania.
Krok 8. Twórz kopie zapasowe swoich danych tak często, jak to możliwe
Nawet największe strony internetowe są codziennie hakowane, mimo że ich właściciele wydają tysiące na poprawę bezpieczeństwa WordPressa.
Nawet jeśli postępujesz zgodnie z najlepszymi praktykami w tym obszarze i stosujesz wskazówki zawarte w tym artykule, nadal musisz regularnie tworzyć kopie zapasowe swojej witryny.
Istnieje kilka sposobów tworzenia kopii zapasowej, np. możesz ręcznie pobrać pliki strony i wyeksportować bazę danych lub skorzystać z narzędzi oferowanych przez firmę hostingową. Innym sposobem jest użycie wtyczek WordPress. Najpopularniejsze z nich to:
- VaultPress;
- Kopia zapasowaWordPress;
- BackupGuard.
Możesz nawet zautomatyzować proces tworzenia i przechowywania kopii zapasowych WordPress w Dropbox.
Krok 9. Wyłączenie opcji edycji plików
Jak zapewne wiesz, WordPress ma wbudowany edytor, który umożliwia edycję plików PHP. Ta funkcja jest tak samo przydatna, jak prawdopodobnie może być szkodliwa. Jeśli hakerzy uzyskają dostęp do panelu sterowania, pierwszą rzeczą, jaką zauważą, jest Edytor plików. Niektórzy użytkownicy WordPressa wolą całkowicie wyłączyć tę funkcję. Można go wyłączyć, edytując plik wp-config.php, dodając do niego następujący kod:
zdefiniuj ( 'DISALLOW_FILE_EDIT', prawda );
To wszystko, czego potrzebujesz, aby wyłączyć tę funkcję w WordPressie.
WAŻNY. Jeśli chcesz ponownie włączyć tę funkcję, użyj klienta FTP lub Menedżera plików dla swojego hostingu i usuń ten kod z pliku wp-config.php.
Krok 10. Usuwanie nieużywanych szablonów i wtyczek
Oczyść swoją witrynę w WordPressie i usuń wszystkie nieużywane szablony i wtyczki. Hakerzy często używają wyłączonych i nieaktualnych szablonów i wtyczek (nawet oficjalnych wtyczek WordPress), aby uzyskać dostęp do panelu sterowania lub pobrać złośliwą zawartość na serwer. Usuwając wtyczki i szablony, których przestałeś używać (i być może zapomniałeś zaktualizować) dawno temu, zmniejszasz ryzyko i zwiększasz bezpieczeństwo witryny WordPress.
Krok 11. Używanie .htaccess do poprawy bezpieczeństwa WordPress
.htaccess to plik niezbędny do poprawnej pracy linków WordPress. Bez prawidłowych wpisów w pliku .htaccess otrzymasz wiele błędów 404.
Niewielu użytkowników wie, że .htaccess można wykorzystać do poprawy ochrony WordPressa. Na przykład możesz zablokować dostęp lub wyłączyć wykonywanie PHP w określonych folderach.
WAŻNY. Przed wprowadzeniem jakichkolwiek zmian w pliku utwórz kopię zapasową starego pliku .htaccess. W tym celu możesz skorzystać z klienta FTP lub Menedżera plików.
Wyłączanie dostępu do administracyjnej części WordPressa
Poniższy kod umożliwia dostęp do części administracyjnej WordPressa tylko z niektórych adresów IP.
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName „Kontrola dostępu administratora WordPress”
Podstawowy typ uwierzytelniania
odmowa zamówienia, zezwolenie.
Odmowa od wszystkich
zezwól od xx.xx.xx.xx.xxx
zezwól od xx.xx.xx.xx.xxx
Pamiętaj, że „xx.xx.xx.xx.xxx” to Twój adres IP. Możesz skorzystać z tej witryny, aby sprawdzić swój aktualny adres IP. Jeśli korzystasz z więcej niż jednego połączenia do zarządzania witryną w WordPressie, upewnij się, że wpisałeś inne adresy IP (dodaj tyle adresów, ile potrzebujesz). Nie zaleca się używania tego kodu, jeśli masz dynamiczny adres IP.
Wyłączanie wykonywania PHP w określonych folderach
Hakerzy lubią przesyłać skrypty backdoora do folderu pobierania WordPress. Domyślnie ten folder służy tylko do przechowywania plików multimedialnych. Dlatego nie powinien zawierać żadnych plików PHP. Możesz łatwo wyłączyć wykonywanie PHP, tworząc nowy plik .htaccess w /wp-content/uploads/ z następującymi regułami:
Odmowa od wszystkich
Ochrona pliku wp-config.php
Plik wp-config.php zawiera jądro konfiguracji WordPress i szczegóły bazy danych MySQL. Dlatego jest to najważniejszy plik w WordPressie. Dlatego często staje się głównym celem hakerów WordPress. Możesz go jednak łatwo zabezpieczyć, korzystając z następujących reguł .htaccess:
rozkaz zezwolić, odmówić.
Odmowa od wszystkich
Krok 12. Zmiana standardowych prefiksów bazy danych WordPress, aby zapobiec wstrzyknięciu SQL
Baza danych WordPress zawiera i przechowuje wszystkie kluczowe informacje niezbędne do działania Twojej witryny. W rezultacie staje się kolejnym celem hakerów i spamerów, którzy wykonują zautomatyzowany kod do implementacji kodu SQL. Podczas instalacji WordPressa wiele osób nie zadaje sobie trudu, aby zmienić standardowy prefiks bazy danych wp_. Według WordFence, 1 na 5 hacków WordPressa jest związany z implementacją kodu SQL. Ponieważ wp_ jest jedną ze standardowych wartości, hakerzy zaczynają od niej w pierwszej kolejności. Na tym etapie pokrótce rozważę ochronę strony internetowej na WordPressie przed takimi atakami.
Zmiana tabeli prefiksów dla istniejącej witryny WordPress
WAŻNY. Bezpieczeństwo przede wszystkim! Zanim zaczniesz, upewnij się, że masz kopię zapasową bazy danych MySQL.
Część pierwsza. Zmiana prefiksu w wp-config.php
Znajdź plik wp-config.php za pomocą klienta FTP lub Menedżera plików i znajdź wiersz z $table_prefix.
Możesz dodać dodatkowe cyfry, litery lub podkreślenia. Następnie zapisz zmiany i przejdź do następnego kroku. W tym przewodniku będę używał wp_1secure1_ jako nowego przedrostka tabeli.
Będąc w pliku wp-config.php, znajdź nazwę swojej bazy danych, aby wiedzieć, którą zmienić. Zajrzyj do sekcji define('DB_NAME'.
Część druga. Aktualizacja wszystkich tabel bazy danych
Teraz musisz zaktualizować wszystkie rekordy w swojej bazie danych. Można to zrobić za pomocą phpMyAdmin.
Znajdź bazę danych zdefiniowaną w pierwszej części i zaloguj się do niej.
Domyślnie instalacja WordPressa posiada 12 tabel i każda z nich powinna zostać zaktualizowana. Można to jednak zrobić szybciej, używając partycji SQL w phpMyAdmin.
Ręczna zmiana każdej tabeli zajmie dużo czasu, więc użyj zapytań SQL, aby przyspieszyć ten proces. Poniższa składnia pozwoli Ci zaktualizować wszystkie tabele w Twojej bazie danych:
ZMIEŃ NAZWĘ tabelę `wp_commentmeta` NA `wp_1secure1_commentmeta`;
ZMIEŃ NAZWĘ tabelę `wp_comments` NA `wp_1secure1_comments`;
ZMIEŃ NAZWĘ tabelę `wp_links` NA `wp_1secure1_links`;
ZMIEŃ NAZWĘ tabelę `wp_options` NA `wp_1secure1_options`;
ZMIEŃ NAZWĘ tabelę `wp_postmeta` NA `wp_1secure1_postmeta`;
ZMIEŃ NAZWĘ tabelę `wp_posts` NA `wp_1secure1_posts`;
ZMIEŃ NAZWĘ tabelę `wp_terms` NA `wp_1secure1_terms`;
ZMIEŃ NAZWĘ tabelę `wp_termmeta` NA `wp_1secure1_termmeta`;
RENAME tabela `wp_term_relationships` NA `wp_1secure1_term_relationships`;
ZMIEŃ NAZWĘ tabelę `wp_term_taxonomy` NA `wp_1secure1_term_taxonomy`;
ZMIEŃ NAZWĘ tabelę `wp_usermeta` NA `wp_1secure1_usermeta`;
ZMIEŃ NAZWĘ tabelę `wp_users` NA `wp_1secure1_users`;
Niektóre szablony lub wtyczki WordPress mogą dodawać dodatkowe tabele do bazy danych. Jeśli masz więcej niż 12 tabel w bazie danych MySQL, dodaj pozostałe tabele ręcznie do zapytania SQL i wykonaj je.
Część trzecia. Sprawdzanie opcji i niestandardowych tabel metadanych
W zależności od liczby zainstalowanych wtyczek, niektóre wartości w Twojej bazie danych muszą być aktualizowane ręcznie. Możesz to zrobić, wykonując oddzielne zapytania SQL dla opcji i tabel metadanych.
W tabeli opcji użyj:
WYBIERZ * Z `wp_1secure1_options` GDZIE `nazwa_opcji` LIKE `% wp_%`
Dla tabeli metadanych:
WYBIERZ * Z `wp_1secure1_usermeta` GDZIE `meta_key` JAK `% wp_%`
Po otrzymaniu wyników zapytania po prostu zaktualizuj wszystkie wartości od wp_ do nowo skonfigurowanego prefiksu. W tabeli metadanych użytkownika należy edytować pole meta_key, natomiast w tabeli opcji należy zmienić wartość nazwa_opcji.
Zabezpieczanie nowych instalacji WordPress
Jeśli planujesz zainstalować nowe witryny WordPress, nie musisz robić tego od nowa. Możesz łatwo zmienić prefiksy tabel WordPress podczas procesu instalacji.
Gratulacje! Pomyślnie poprawiłeś bezpieczeństwo swojej bazy danych.
Wniosek
Chociaż WordPress jest najbardziej podatnym na hakowanie CMS na świecie, nie jest trudno poprawić jego ochronę. W tym przewodniku podałem Ci 12 wskazówek, które pomogą Ci zabezpieczyć WordPressa.
Biografia autora : Roy jest entuzjastą technologii, kochającym ojcem bliźniaków, programem w firmie produkującej oprogramowanie na zamówienie, redaktorem naczelnym chciwego czytelnika TheHomeDweller.com i ogrodnikiem.