7 sprawdzonych metod zabezpieczania witryny WordPress — wskazówki dotyczące bezpieczeństwa

Opublikowany: 2017-06-15

WordPress jest zawsze atakowany! Tak, dobrze słyszałeś i jako bloger i programista masz obowiązek zabezpieczyć WordPressa. Ponad 25% wszystkich stron internetowych jest obsługiwanych przez WordPress. W tym momencie ważne jest, aby dowiedzieć się, czy ludzie ufają godnemu CMS, czy nie.

Wielu twórców stron internetowych przyznało już, że WordPress ma problemy z bezpieczeństwem, ale w jakim stopniu? Jak wzmocnić bezpieczeństwo WordPressa? Pokażemy Ci 7 ostatecznych kroków do zabezpieczenia witryn WordPress.

Czy WordPress jest bezpieczny?

Incydenty naruszenia bezpieczeństwa WordPressa są już na antenie. W ostatnich latach zgłoszono już dwa poważne naruszenia bezpieczeństwa WordPressa.

Jednak WordPress może stać się tak samo bezpieczny jak inne systemy CMS, a mianowicie Drupal lub Magento, a odpowiedzialność spoczywa głównie na właścicielach stron internetowych, programistach i dostawcach usług utrzymania WordPressa.

Jeśli nie wywiązujesz się ze swoich obowiązków, nikt nie może zapewnić bezpieczeństwa Twojej witryny WordPress.

Kto atakuje witrynę WordPress?

Gdy próbujesz zapobiec hakowaniu WordPress, potrzebujesz pomysłów na temat hakerów witryn internetowych. Kto interesuje się Twoją witryną? Kim są potencjalni napastnicy witryny? Ogólnie rzecz biorąc, istnieją trzy rodzaje podmiotów, które atakują witryny WordPress.

Pojedynczy bot: Bot to pojedynczy program zaprojektowany przez hakerów. Wyszukuje znane luki w witrynach WordPress. Metoda botów to rodzaj nieskomplikowanego ataku, który może zaatakować niewielką liczbę witryn.

Botnet: Botnet to wiele wersji programu działającego na ogromnej liczbie maszyn w celu jednoczesnego hakowania dużej liczby stron internetowych. Większość włamań do WordPressa jest powodowana przez botnet.

Człowiek: ludzie atakujący lub hakerzy interesują się tylko tymi witrynami, które zawierają poufne dane prywatne lub witryny, które są dochodowe finansowo. W przeciwieństwie do botów, ludzie atakujący są bardzo wyrafinowani i niebezpieczni.

7 kroków do zabezpieczenia witryn WordPress

Oto lista 7 ostatecznych kroków, aby zabezpieczyć swoją witrynę WordPress.

1. Aktywacja dwuetapowego procesu uwierzytelniania

Dwuetapowy proces uwierzytelniania jest stosowany przez prawie wszystkie rodzaje witryn internetowych, w których bezpieczeństwo jest priorytetem.

Od dłuższego czasu korzystamy z wtyczki WordPress Google Authenticator autorstwa Henrik Schack i działa ona naprawdę dobrze. Musisz zainstalować tę wtyczkę na swoich witrynach WordPress, a następnie zainstalować aplikację Google Authenticator na smartfonie, jest ona bezpłatna i możesz ją pobrać ze sklepu Play.

weryfikacja dwuetapowa WordPress z Google Authenticator
weryfikacja dwuetapowa WordPress z Google Authenticator

Dlaczego więc nie jest dla WordPressa? W przypadku weryfikacji dwuetapowej lub procesu uwierzytelniania dwuskładnikowego użytkownik jest proszony o podanie hasła OTP innego niż hasło do konta.

Użytkownik może otrzymać ten OTP za pośrednictwem osobistego numeru telefonu komórkowego, który jest zarejestrowany w WordPress. Jest to dodatkowa warstwa bezpieczeństwa, która chroni witrynę przed hakerami.

Dostępnych jest wiele bezpłatnych wtyczek do uwierzytelniania dwuskładnikowego WordPress, które umożliwiają dodanie uwierzytelniania dwuskładnikowego w WordPress.

2. Aktualizacja WordPress

Eksperci CMS zawsze zalecają regularne aktualizowanie WordPressa. Czemu? Jak każdy inny CMS, WordPress również ewoluuje i dodaje nowe funkcje, a także łata możliwe tylne drzwi hakerów.

Zaktualizuj, aby zabezpieczyć WordPress
Zaktualizuj, aby zabezpieczyć WordPress

Dlatego jeśli nie aktualizujesz WordPressa, stajesz się podatny na ataki hakerów. Poza tym WordPress oferuje aktualizacje tylko dwa razy w roku, a aktualizacja WordPressa zajmuje tylko kilka minut.

3. Utwórz silne hasło

Aby chronić swoją witrynę WordPress, zawsze musisz wybierać silne hasła. W hasłach WordPress rozróżniana jest wielkość liter, co jest dobre dla bezpieczeństwa.

Aby zmienić hasło, przejdź do Użytkownicy > Twój profil i w sekcji zarządzania kontem kliknij przycisk Generuj hasło. Skopiuj i zapisz to silne hasło, które wygeneruje dla Ciebie WordPress.

użyj silnego hasła, aby zabezpieczyć WordPress
użyj silnego hasła, aby zabezpieczyć WordPress

Aby utworzyć silne hasło uwzględniające wielkość liter, musisz uwzględnić alfabet (losowy) zarówno wielkimi, jak i małymi literami. Oprócz tego musisz również uwzględnić znaki specjalne i cyfry.

Hasło powinno mieć minimum 12 do 14 znaków. Nie należy nikomu udostępniać hasła ani pisać go gdzieś, do którego inni mają łatwy dostęp.

Ten Gwl#73FLp4@B2J jest przykładem idealnego hasła.

4. Zmień nazwę użytkownika „Administrator”

Admin to domyślna nazwa użytkownika konta WordPress, co ułatwia hakerom. Zachowując domyślną nazwę użytkownika, hakerzy mają przywilej nie odgadywania nazwy użytkownika i bezpośrednio przechodzą po hasło.

Możesz zmienić nazwę użytkownika ręcznie w ustawieniach WordPress lub użyć wtyczki do zmiany nazwy użytkownika. Jest to łatwy krok (środek ostrożności), aby przeszkodzić hakerom.

  1. Jeśli Twoja obecna nazwa użytkownika to „admin”, przejdź do Użytkownicy > Dodaj nowe i utwórz nowe konto użytkownika z nową nazwą użytkownika i silnym hasłem oraz nadaj temu nowemu użytkownikowi rolę „Administrator”.
  2. Wyloguj się z konta WordPress i zaloguj się za pomocą nowego konta użytkownika i usuń starego użytkownika z nazwą użytkownika „admin” lub zmień jego rolę na Subskrybent.

5. Wtyczki zabezpieczające WordPress

Korzystanie z wtyczek zabezpieczających, takich jak kompleksowe zabezpieczenia WP, jest skutecznym krokiem do ochrony witryny przed hakerami.

Zainstaluj wtyczki zabezpieczające WordPress
Zainstaluj wtyczki zabezpieczające WordPress

Możesz łatwo pominąć kilka głównych zagrożeń bezpieczeństwa, a także problem ze złośliwym oprogramowaniem, wdrażając odpowiednią wtyczkę bezpieczeństwa.

Jeśli nie masz pewności, która wtyczka bezpieczeństwa jest najlepsza dla Twojej witryny, możemy Ci ją zasugerować. Sucuri to jedna z najlepszych wtyczek bezpieczeństwa używanych przez dużą liczbę użytkowników WordPressa na całym świecie.

6. Ogranicz próby logowania

Domyślnie WordPress pozwala na nieograniczoną turę logowania. Nie jest to jednak dobra cecha, biorąc pod uwagę kwestie bezpieczeństwa.

Możesz użyć różnych wtyczek, aby ograniczyć liczbę prób logowania. Wtyczka taka jak LockDown okazała się wyjątkowo dobra. Poza tym, jeśli możesz również użyć zapory aplikacji sieciowej (WAF).

Cerber Security to darmowa i aktualna wtyczka do ograniczania prób logowania.

7. Dodatkowe pytanie zabezpieczające do logowania do WordPressa

Jeśli używasz wtyczki JetPack, przejdź do Jetpack > Ustawienia > Bezpieczeństwo i włącz ochronę przed atakami Brute Force. Możesz także aktywować logowanie do WordPress.com, aby logowanie do WordPressa było bezpieczniejsze i prostsze.

Jetpack WordPress ochrona przed brutalną siłą
Jetpack WordPress ochrona przed brutalną siłą

Dodanie pytania zabezpieczającego jest dość skuteczną procedurą. Za pomocą niektórych wtyczek, takich jak WP Security Questions Plugin, możesz dodać pytanie bezpieczeństwa, na które należy odpowiedzieć podczas logowania do witryny.

Spróbuj jednak wybrać bardziej osobiste pytanie, które nie jest łatwe do odgadnięcia przez osoby postronne lub osoby, które mają z Tobą ograniczone interakcje. Ta sztuczka jest skuteczna tylko wtedy, gdy możesz mądrze wybrać osobiste pytanie.

Podsumowanie myśli

Jeśli masz witrynę WordPress, musisz szczerze rozważyć jej problemy z bezpieczeństwem. Wiele funkcji WordPressa czyni go podatnym na ataki hakerów.

Jednak zachowując kilka środków ostrożności i używając odpowiednich wtyczek, podatności można zredukować. Wypróbuj sugestie, które dla Ciebie wymieniliśmy. Jeśli podobają Ci się nasze wskazówki, czekaj na dalsze aktualizacje!