7 wskazówek, jak zabezpieczyć użytkowników WordPressa w 2021 roku

Opublikowany: 2021-03-16

Najlepszym sposobem zabezpieczenia użytkowników WordPressa w 2021 roku jest użycie silnego hasła i uwierzytelniania dwuskładnikowego. Wydaje się to całkiem proste, prawda? W rzeczywistości bezpieczeństwo użytkowników WordPressa jest nieco bardziej zniuansowane.

Ilekroć mówimy o bezpieczeństwie użytkownika, często słyszymy pytania typu, czy każdy użytkownik WordPressa powinien mieć takie same wymagania bezpieczeństwa i ile bezpieczeństwa jest zbyt dużym bezpieczeństwem?

Nie martw się. Odpowiadamy na wszystkie te pytania. Ale najpierw porozmawiajmy o różnych typach użytkowników WordPressa.

Jakie są rodzaje użytkowników WordPressa?

Istnieje 5 różnych domyślnych użytkowników WordPress.

Administrator
Redaktor
Autor
Współpracownik
Abonent

Uwaga: wiele witryn WordPress ma szóstego użytkownika. Superadministrator ma pełny dostęp do funkcji administrowania siecią witryny i wszystkich innych funkcji. Mogą tworzyć nowe i usuwać witryny w sieci, a także zarządzać użytkownikami sieci, wtyczkami i motywami.

Każdy użytkownik ma inne możliwości. Możliwości określają, co mogą zrobić po uzyskaniu dostępu do pulpitu nawigacyjnego. Przeczytaj więcej o rolach i uprawnieniach użytkowników WordPress.

Potencjalne szkody różnych zhakowanych użytkowników WP

Zanim zrozumiemy, jak zabezpieczyć naszych użytkowników WordPressa, musimy najpierw zrozumieć poziom zagrożenia każdego typu zaatakowanego użytkownika. Rodzaj i poziom szkód, jakie może zadać atakujący, różni się znacznie w zależności od ról i możliwości zhakowanego użytkownika.

Administrator — wysoki poziom zagrożenia

Administratorzy mają możliwości, co tylko chcą.

Twórz, usuwaj i modyfikuj użytkowników.
Instaluj, usuwaj i edytuj wtyczki i motywy.
Twórz, usuwaj i edytuj wszystkie posty i strony.
Publikuj i cofaj publikację postów i stron.
Dodaj i usuń multimedia.

Jeśli haker dostanie się w ręce jednego z administratorów Twojej witryny, może zatrzymać Twoją witrynę dla okupu. Ransomware odnosi się do sytuacji, gdy haker przejmie Twoją witrynę i nie zwróci Ci jej, chyba że zapłacisz mu wysoką opłatę.

Jeśli haker dostanie się w ręce jednego z administratorów Twojej witryny, może zatrzymać Twoją witrynę dla okupu. Ransomware odnosi się do sytuacji, gdy haker przejmie Twoją witrynę i nie zwróci Ci jej, chyba że zapłacisz mu wysoką opłatę.

Średni czas przestoju ataku ransomware wynosi 9,5 dnia. Ile przychodu kosztowałoby Cię 10 dni bez sprzedaży?

Redaktor – Wysoki poziom zagrożenia

Redaktor zarządza całą zawartością serwisu. Ci użytkownicy wciąż mają sporo władzy.

Twórz, usuwaj i edytuj wszystkie posty i strony.
Publikuj i cofaj publikację wszystkich postów i stron.
Prześlij pliki multimedialne.
Zarządzaj wszystkimi linkami.
Zarządzaj komentarzami.
Zarządzaj kategoriami.

Jeśli atakujący przejmie kontrolę nad kontem redaktora, może zmodyfikować jedną z Twoich stron, aby wykorzystać ją w ataku phishingowym. Phishing to rodzaj ataku wykorzystywanego do kradzieży danych użytkownika, w tym danych logowania i numerów kart kredytowych.

Phishing to jeden z najpewniejszych sposobów na umieszczenie Twojej witryny na czarnej liście przez Google. Każdego dnia 10 000 witryn trafia na listę blokad Google z różnych powodów.

Uwaga: iThemes Security Site Scan codziennie sprawdza stan listy blokowania Google Twojej witryny.

Autor – Średni poziom zagrożenia

Autor został zaprojektowany do tworzenia i zarządzania własną treścią.

Twórz, usuwaj i edytuj własne posty i strony.
Publikuj i publikuj własne posty.
Prześlij pliki multimedialne

Gdyby atakujący przejął kontrolę nad kontem autora, mógłby utworzyć strony i posty, które przekierują odwiedzających Twoją witrynę na złośliwe witryny.

Współtwórca i subskrybent – niski poziom zagrożenia

Współtwórca to uproszczona wersja roli autora. Nie mają mocy wydawniczej.

Twórz i edytuj własne posty.
Usuń własne nieopublikowane posty.

Subskrybent może czytać rzeczy publikowane przez innych użytkowników.

Hakerzy z rolą współautora lub subskrybenta nie mogą wprowadzać żadnych złośliwych zmian, ale mogą ukraść poufne informacje przechowywane na koncie lub stronie profilu użytkownika.

7 wskazówek, jak zabezpieczyć swoich użytkowników WordPress

Ok, więc to jest trochę paskudnych rzeczy, które hakerzy mogą zrobić na naszych stronach internetowych. Dobrą wiadomością jest to, że większości ataków na konta użytkowników WordPress można zapobiec przy niewielkim wysiłku z Twojej strony.

Przyjrzyjmy się, co możesz zrobić, aby zabezpieczyć użytkowników WordPressa. Prawda jest taka, że te metody bezpieczeństwa pomogą zabezpieczyć każdy typ użytkownika WordPress. Ale gdy przejdziemy przez każdą z metod, poinformujemy Cię, których użytkowników powinieneś wymagać, aby korzystać z tej metody.

1. Daj ludziom tylko te możliwości, których potrzebują

Najłatwiejszym sposobem ochrony witryny jest zapewnienie użytkownikom tylko potrzebnych im możliwości, a nie niczego więcej. Jeśli jedyną rzeczą, jaką ktoś zamierza zrobić w Twojej witrynie, jest tworzenie i edytowanie własnych postów na blogu, nie potrzebuje możliwości edytowania postów innych osób.

2. Ogranicz próby logowania

Ataki typu brute force odnoszą się do metody prób i błędów wykorzystywanej do wykrywania kombinacji nazwy użytkownika i hasła w celu włamania się na stronę internetową. Domyślnie w WordPress nie ma nic wbudowanego, aby ograniczyć liczbę nieudanych prób logowania, które ktoś może wykonać.

Bez ograniczenia liczby nieudanych prób logowania, które może wykonać napastnik, może próbować nieskończonej liczby nazw użytkowników i haseł, aż do skutku.

Funkcja iThemes Security Pro Local Brute Force Protection śledzi nieprawidłowe próby logowania wykonane przez adresy IP i nazwy użytkowników. Gdy adres IP lub nazwa użytkownika wykona zbyt wiele kolejnych nieprawidłowych prób logowania, zostaną one zablokowane i nie będą mogły podejmować kolejnych prób logowania.

3. Zabezpiecz użytkowników WordPressa silnymi hasłami

Im silniejsze hasło do konta użytkownika WordPress, tym trudniej je odgadnąć. Złamanie siedmioznakowego hasła zajmuje 0,29 milisekundy. Ale haker potrzebuje dwóch wieków, aby złamać dwunastoznakowe hasło!

W idealnym przypadku silne hasło to ciąg alfanumeryczny o długości dwunastu znaków. Hasło powinno zawierać duże i małe litery oraz inne znaki ASCII.

Chociaż każdy może czerpać korzyści z używania silnego hasła, możesz chcieć zmusić tylko osoby z umiejętnościami na poziomie autora i wyższym do posiadania silnych haseł.

Funkcja iThemes Security Pro Passwords Requirement pozwala zmusić określonych użytkowników do używania silnego hasła.

4. Odrzuć przejęte hasła

Mimo że 91% ludzi wie, że ponowne używanie haseł jest kiepską praktyką, 59% ludzi nadal używa swoich haseł wszędzie! Wiele z tych osób nadal używa haseł, o których wiedzą, że pojawiły się w zrzucie bazy danych.

Hakerzy używają formy ataku brutalnej siły zwanej atakiem słownikowym. Atak słownikowy to metoda włamania się do witryny WordPress z powszechnie używanymi hasłami, które pojawiły się w zrzutach bazy danych. „Kolekcja nr 1? Data Breach hostowana na serwerze MEGA obejmowała 1 160 253 228 unikalnych kombinacji adresów e-mail i haseł. To jest miliard z b. Taki wynik naprawdę pomoże atakowi słownikowemu zawęzić najczęściej używane hasła WordPress.

Jest to konieczne, aby uniemożliwić użytkownikom z możliwościami na poziomie autora i wyższym używanie zhakowanych haseł. Możesz także zastanowić się, czy nie pozwolić użytkownikom niższego poziomu na używanie zhakowanych haseł.

Jest to całkowicie zrozumiałe i zachęca do jak najprostszego tworzenia nowego konta klienta. Jednak klient może nie wiedzieć, że hasło, którego używa, zostało znalezione w zrzucie danych. Wyświadczyłbyś swojemu klientowi wspaniałą przysługę, powiadamiając go o tym, że hasło, którego używa, zostało naruszone. Jeśli używają tego hasła wszędzie, możesz ich uratować przed poważnymi bólami głowy.

Funkcja iThemes Security Pro Refuse Compromised Passwords zmusza użytkowników do używania haseł, które nie pojawiły się w żadnych naruszeniach haseł śledzonych przez Have I Been Pwned.

5. Zabezpiecz użytkowników WordPressa za pomocą uwierzytelniania dwuetapowego

Uwierzytelnianie dwuskładnikowe to proces weryfikacji tożsamości osoby, wymagający dwóch oddzielnych metod weryfikacji. Google udostępnił na swoim blogu, że korzystanie z uwierzytelniania dwuskładnikowego może powstrzymać 100% automatycznych ataków botów. Bardzo lubię te szanse.

Powinieneś przynajmniej wymagać od administratorów i redaktorów korzystania z uwierzytelniania dwuskładnikowego.

Funkcja uwierzytelniania dwuskładnikowego iThemes Security Pro zapewnia dużą elastyczność podczas wdrażania 2fa w witrynie. Możesz włączyć dwuskładnikowość dla wszystkich lub niektórych użytkowników, a także możesz zmusić użytkowników wysokiego poziomu do korzystania z 2fa przy każdym logowaniu.

6. Ogranicz dostęp urządzenia do pulpitu nawigacyjnego WP

Ograniczenie dostępu do pulpitu WordPress do zestawu urządzeń może dodać silną warstwę bezpieczeństwa do Twojej witryny. Jeśli haker nie korzysta z urządzenia odpowiedniego dla użytkownika, nie będzie mógł użyć zaatakowanego użytkownika do wyrządzenia szkód w Twojej witrynie.

Dostęp do urządzenia należy ograniczyć tylko do administratorów i redaktorów.

Funkcja iThemes Security Pro Trusted Devices identyfikuje urządzenia, których Ty i inni użytkownicy używacie do logowania się do witryny WordPress. Gdy użytkownik zalogował się na nierozpoznanym urządzeniu, Zaufane urządzenia mogą ograniczyć jego możliwości na poziomie administratora. Oznacza to, że gdyby atakujący zdołał włamać się do zaplecza Twojej witryny WordPress, nie miałby możliwości dokonania żadnych złośliwych zmian w Twojej witrynie.

7. Zabezpiecz użytkowników WordPressa przed przejęciem sesji

WordPress generuje sesyjny plik cookie za każdym razem, gdy logujesz się do swojej witryny. Załóżmy, że masz rozszerzenie przeglądarki, które zostało porzucone przez programistę i nie wydaje już aktualizacji zabezpieczeń. Na nieszczęście dla Ciebie zaniedbane rozszerzenie przeglądarki ma lukę. Luka pozwala złym podmiotom przejąć pliki cookie przeglądarki, w tym wspomniany wcześniej plik cookie sesji WordPress. Ten rodzaj hakowania jest znany jako przejęcie sesji . Atakujący może więc wykorzystać lukę rozszerzenia, aby odłączyć Twój login i zacząć wprowadzać złośliwe zmiany z Twoim użytkownikiem WordPress.

Powinieneś mieć włączoną ochronę przed przejęciem sesji dla administratorów i redaktorów.

Funkcja iThemes Security Pro Trusted Devices sprawia, że przejmowanie sesji to już przeszłość. Jeśli urządzenie użytkownika ulegnie zmianie podczas sesji, iThemes Security automatycznie wyloguje użytkownika, aby zapobiec wszelkim nieautoryzowanym działaniom na koncie użytkownika, takim jak zmiana adresu e-mail użytkownika lub przesyłanie złośliwych wtyczek.

Zawijanie

Popularność WordPressa sprawia, że jest celem hakerów na całym świecie. Jak już wspomnieliśmy, atakujący może wyrządzić szkody, hakując nawet najniższy poziom użytkownika WordPressa. Dobrą wiadomością jest to, że chociaż nie ma sposobu, aby zapobiec atakom na użytkowników WordPressa, przy odrobinie wysiłku z naszej strony możemy zapobiec sukcesowi ataków.

Michael Moore

Co tydzień Michael opracowuje raport na temat luk w zabezpieczeniach WordPressa, aby pomóc chronić Twoje witryny. Jako Product Manager w iThemes pomaga nam w dalszym ulepszaniu linii produktów iThemes. Jest wielkim kujonem i uwielbia uczyć się wszystkich rzeczy technicznych, starych i nowych. Możesz znaleźć Michaela spędzającego czas z żoną i córką, czytającego lub słuchającego muzyki, gdy nie pracuje.