Wskazówki, jak zabezpieczyć swoją witrynę WordPress przed lukami
Opublikowany: 2021-09-09
Możesz skończyć na tym artykule, szukając Jak zabezpieczyć witrynę WordPress przed exploitami? lub
Jak zabezpieczyć witrynę WordPress przed włamaniami i złośliwym oprogramowaniem?
Lub Porady zabezpieczą Twoją witrynę WordPress przed wszystkimi exploitami.
Oczywiście jest to właściwy artykuł, który mówi o wszelkiego rodzaju technikach, narzędziach i wtyczkach, które pomogą Ci zabezpieczyć witrynę WordPress.
Według W3Techs WordPress obsługuje ponad 58% wszystkich stron internetowych korzystających z CMS, co przekłada się na 24,9% wszystkich stron na świecie.
Tak więc wraz ze wzrostem wykorzystania WordPressa i coraz większą popularnością tego, jak łatwo jest go skonfigurować i jak łatwo jest używać, nastąpił wzrost korzystania z coraz większej liczby motywów WordPress oraz wtyczek.
Ale ponieważ jest to łatwe, towarzyszy temu również jeździec. Hakerzy mogą łatwo go zhakować, jeśli są używane we wszystkich domyślnych ustawieniach.
Stąd potrzeba zrozumienia bezpieczeństwa i zabezpieczenia witryny opartej na WordPressie, ponieważ nikt nie lubi, gdy ich witryna zostanie zhakowana.
Gdy wyszukujesz w Google to słowo kluczowe: „zapobiegaj włamaniu do WordPressa”, pojawia się 8 milionów lub więcej wyników, że jak desperacko ludzie lubią programistów, a także nowicjusze, chcą znać techniki i narzędzia zapobiegania włamaniom dla swojej witryny WordPress.
Oto lista wskazówek i narzędzi, a także technik, które jako twórcy motywów WordPress moglibyśmy wymyślić.
Oczywiście ten artykuł może prowadzić do dyskusji, a wraz z upływem czasu można wprowadzić więcej informacji i uzupełnień.
Zaczniemy od najprostszych technik, a następnie przejdziemy do bardziej skomplikowanych:
Prostsze wskazówki dotyczące bezpieczeństwa:
1. Hosting : Twój hosting odgrywa kluczową i ważną rolę w zabezpieczeniu witryny WordPress. Wiele razy jest to zły host, który cię zhakuje.
Jeśli masz świetny hosting, wiele spraw można szybko załatwić, a większość frustracji można zredukować. Na przykład: Kopie zapasowe są łatwe.
Ataki Brute Force, spam i wstrzykiwanie SQL są często sprawdzane i unikane. Dlatego porozmawiamy o najbardziej polecanych hostach i ich narzędziach.
a. Hosting współdzielony : większość ludzi chce po prostu założyć swoją witrynę internetową, dlatego nie chcą wydawać dużo za pierwszym razem, a tym samym wybrać hosting współdzielony jako swoją platformę.
Istnieją tysiące firm hostingowych, które zapewniają hosting współdzielony i nie możemy dodać ich tutaj wszystkich, ale uwzględniamy tylko hosting współdzielony 4, który osobiście wypróbowaliśmy i możemy polecić.
Jednak może być jeszcze lepsza lub podobna usługa. Daj nam znać:
i. Bluehost : Bluehost jest stale odwoływany przez WordPress.org na swojej stronie hostingowej: https://wordpress.org/hosting/ Jest to dobry punkt wyjścia do współdzielonego hostingu w przypadku, gdy potrzebujesz witryny WordPress, ponieważ ma ona zarówno WordPress premium hosting dla przyszły i prosty hosting współdzielony z instalacją 1 kliknięciem.
Ponieważ jest to hosting współdzielony, który kosztuje od 3 do 4 USD miesięcznie, nie możesz narzekać na brak funkcji lub usług.
Ma jednak zautomatyzowane narzędzie do tworzenia kopii zapasowych, znane jako kreator kopii zapasowych, wraz z cpanelem, którego można użyć. Dzięki temu kopie zapasowe mogą zapewnić bezpieczeństwo, a jeśli kiedykolwiek Twoja witryna zostanie zhakowana, możesz przywrócić kopię zapasową.
ii. Mały pomarańczowy : Jesteśmy osobiście hostowani na tym hostingu i większość funkcji obecnych w Bluehost jest tutaj obecna. Ale przede wszystkim to, co lubimy najbardziej i możemy powiedzieć, że jest nawet lepsze od powyższego gospodarza, to wsparcie.
Zgłoszenia pomocy technicznej są odbierane w ciągu 5-6 godzin i zawsze możemy porozmawiać z kimś na czacie na żywo w ciągu kilku minut.
Wsparcie jest tym, co wyróżnia tego gospodarza spośród innych, ponieważ jest wiele odpowiedzi i pomocy, których mogą udzielić za darmo. Wystarczy, że ich o to poprosisz. Przykład: instalacja pamięci podręcznej serwera NGINX, kopie zapasowe i sposób ich używania itp.
iii. SiteGround : Kolejny popularny hosting współdzielony WordPress zapewnia również dobre narzędzia do tworzenia kopii zapasowych witryny. Reszta cpanel i standardowe funkcje są obecne. Czat jest również proaktywny, a zgłoszenia pomocy technicznej są często odbierane.
iv. GoDaddy : GoDaddy jest największym rejestratorem domen, dlatego wielu woli go również do hostingu. Overtime GoDaddy również wprowadził kilka zmian, aby uczynić go niezawodnym hostingiem dla WordPressa.
Zaczęła również oferować standardowy hosting Cpanel WordPress, który umożliwia tworzenie kopii zapasowych i innych łatwych w użyciu narzędzi.
b. Zarządzany hosting WordPress : dla tych, którzy mają niewielki budżet i chcą mieć hosting, który zarządza ich bezpieczeństwem.
Te 2 firmy hostingowe spośród wielu uznaliśmy za niezawodne, tańsze niż reszta i często pomagające zabezpieczyć Twoją witrynę, a także informujące, które wtyczki są dobre, a które nie.
Mają też nocne kopie zapasowe, co oznacza, że jesteś z nimi spokojny. Więc za każdym razem, gdy zdarzy się włamanie, co jest rzadkie, ponieważ zarządzają nim, mogą szybko przywrócić kopię zapasową:
i. WP Engine : WP Engine pozwala poznać listę wtyczek, które polecają dla większości. Dlatego wrażliwe wtyczki są trzymane na dystans.
ii. FlyWheel : Koło zamachowe mówi, aby nie instalować żadnej wtyczki zabezpieczającej, ponieważ same zajmują się bezpieczeństwem, co oznacza, że nie musisz nic robić po zainstalowaniu z nimi, a oni zajmują się resztą.
2. Kopie zapasowe: Kopie zapasowe mogą być wykonywane za pomocą menedżera plików cpanel lub przez FTP (dla plików) i pobieranie bazy danych za pomocą phpMyAdmin za pomocą cpanel lub dostępu do bazy danych hosta.
Istnieją setki samouczków na temat ręcznego tworzenia kopii zapasowej witryny WordPress. Jednak powinieneś rozważyć przeczytanie procedur tworzenia kopii zapasowych Codex, ponieważ są one bezpieczne i zostały ładnie napisane: http://codex.wordpress.org/WordPress_Backups.
Istnieje również kilka wtyczek. Porozmawiamy o nich w skrócie, ponieważ większość z nich, o których tutaj wspomnieliśmy, działa dobrze i ma dobre recenzje od innych:
a. BackUpWordPress
b. BackUpBuddy (dostępna również płatna wersja tej wtyczki)
C. VaultPress
D. Kopia zapasowa i przywracanie Dropbox
mi. Tworzenie i przywracanie kopii zapasowej Amazon S3
3. Zaktualizuj wersję WordPressa : W większości przypadków z powodu korzystania ze starszej wersji WordPressa Twoja witryna jest zagrożona atakiem hakerów. WordPress rozpoznaje wiele błędów i parametrów bezpieczeństwa w swoich poprzednich wersjach oraz zgłaszanych przez innych współtwórców, które są od czasu do czasu aktualizowane.
Dlatego korzystanie z najnowszej wersji WordPressa powinno zmniejszyć ryzyko zhakowania lub dołączenia przez złośliwe oprogramowanie.
4. Aktualizowanie wtyczek i motywów WordPress : Generalnie w ten sam sposób autorzy motywów i autorzy wtyczek publikują aktualizacje i funkcje. W większości są to aktualizacje funkcji.
Ale od czasu do czasu autorzy ci dostrzegają również luki w zabezpieczeniach, dlatego dobrą praktyką jest dalsze używanie zaktualizowanych wtyczek i motywów.
5. Zmień domyślną nazwę użytkownika i hasło : Domyślna nazwa użytkownika i domyślne hasło, takie jak proste ciągi cyfr lub utrzymywanie administratora, jest w porządku, o ile jesteś na serwerze lokalnym lub na stronie testowej.
Ale w przypadku witryn biznesowych ważne jest, aby zmienić domyślną nazwę użytkownika i hasło.
Teraz z najnowszymi wersjami WordPressa można wybrać bezpieczną nazwę użytkownika i generuje bezpieczne hasło, ale dla użytkowników ze starszymi wersjami WordPressa możesz przejść do swojego profilu, aby zmienić hasło.
Jednak do zmiany nazwy użytkownika użyj phpMyAdmin, jeśli czujesz się komfortowo, zmieniając ją stamtąd, lub użyj dowolnej z poniższych wtyczek:
a. Rozszerzono zmianę nazwy administratora
b. Zmieniacz nazwy użytkownika
6. Uwierzytelnianie dwuetapowe w przypadku ataków Brute Force : uwierzytelnianie dwuetapowe jest niezbędne w przypadku, gdy witryna otrzymuje wiele ataków Brute Force i ma duży ruch lub poufne informacje.
Uwierzytelnianie dwuetapowe zabezpiecza obszar logowania do witryny WordPress i czyni go bardzo złożonym w przypadku ataków typu brute force. Wtyczki, których można użyć do uwierzytelniania dwuetapowego to:
a. Klucz wiolinowy
b. Duet
C. Authy
D. Google Authenticator
mi. Rublon
Te proste kroki powinny sprawić, że użytkownik poczuje się pewniej, jeśli chodzi o posiadanie na czas kopii zapasowych i przynajmniej prezentowanie swojej witryny z minimalnym poziomem bezpieczeństwa.
Kolejne kroki, które omówimy, to bardziej złożone kroki w jeszcze większym zabezpieczeniu witryny WordPress.
Złożone kroki:
1. Kroki wymienione w Hardening WordPress by Codex : http://codex.wordpress.org/Hardening_WordPress
Większość z tych kroków jest przeznaczona dla programistów lub osób, które od dłuższego czasu korzystają z WordPressa i rozumieją, jak działa wp-config.
Korzystałem z menedżera plików lub ftp i może wprowadzać zmiany w htaccess, wp-config itp.
Te kroki z pewnością stanowią punkt wyjścia do zabezpieczenia Twojej witryny. Jednak nadal niektóre z nielicznych wtyczek zabezpieczających, które omówimy w następnej kolejności, zapewnią ochronę sieciową Twojej witryny WordPress, dlatego powinieneś również sprawdzić następujące:
2. Wtyczki, które pomogą w wykrywaniu złośliwego oprogramowania i zmianie wykrywania plików :
a. Sucuri Site Scan : Sucuri Site Scan ma sporo zakładek. Na pierwszej karcie znajdują się ogólne ustawienia dotyczące tego, kiedy otrzymywać powiadomienia o alertach, takich jak logowanie, ataki typu brute force, rejestracja nowych użytkowników, alerty o nieudanych próbach logowania, instalacja wtyczek itp.
Więc jeśli masz wielu użytkowników w swojej witrynie i wielu administratorów lub redaktorów, którzy mogą zainstalować wtyczkę, te funkcje są przydatne i niezbędne.
Drugi to skanowanie złośliwego oprogramowania, które informuje o wszelkiego rodzaju złośliwym oprogramowaniu lub złośliwym kodzie obecnym w dowolnej wtyczce lub katalogu motywów.
Sprawdza również pliki błędów, zmodyfikowane pliki, jeśli takie istnieją. Skanowanie powinno zostać ograniczone, jeśli ruch w witrynie jest niski i korzystasz z hostingu współdzielonego, ponieważ skanowanie również zajmuje dużo pamięci hostingowej.
Trzecia część to wzmocnienie bezpieczeństwa, takie jak usunięcie wersji WordPressa (ponieważ niższe wersje są bardziej podatne na włamania, hakerzy sprawdzają wersję i wiedzą, w której wersji występują luki w zabezpieczeniach).
W związku z tym usunięcie wersji WordPress, katalog przesyłania, w którym przechowywane są media, musi być zabezpieczony i wzmocniony, ograniczenie dostępu do treści wp, wzmocniony plik readme.html, usunięcie i zmiana domyślnego konta administratora, zmiana domyślnego prefiksu bazy danych Ochrona Sucuri Firewall .
Nie testowaliśmy tego, ale pojawia się za pomocą zapory Cloudproxy, która, jak twierdzi, powinna pomóc zabezpieczyć Twoją witrynę przed wstrzyknięciami DDOS, Brute Force i SQL. Jeśli korzystałeś z tej funkcji, daj nam znać, ponieważ nie mamy dowodu, że ta zapora naprawdę pomaga.
b. Antivirus : Inną przydatną wtyczką jest Antivirus. Wykrywa pliki motywów WordPress i pliki baz danych pod kątem bezpieczeństwa i wykorzystania.
Jedyną wadą tej wtyczki bezpieczeństwa jest to, że użyje ona wp-cron i jeśli skonfigurujesz codzienne skanowanie, w przypadku, gdy Twój hosting współdzielony nie jest tak potężny, a Twoja witryna ma większy rozmiar.
Jeśli chodzi o strony, posty i bazę danych, ta wtyczka może pochłaniać dużo zasobów podczas skanowania plików i tabel bazy danych.
C. Anti-Malware i Brute Force Security firmy ELI : Anti-Malware i Brute Force Security, jak sama nazwa wskazuje, wykonują świetną robotę w tym zakresie.
Jeśli zarejestrujesz się w celu uzyskania wtyczki na gotmls.net, otrzymasz wszystkie aktualizacje znanych zagrożeń. Skanuje również htaccess w poszukiwaniu wszelkich skryptów, sprawdza, czy nie występują exploity timethumb i ostrzega, sprawdza wszelkie skrypty backdoora i prosi, aby Cię nie używać, oraz sprawdza Twój login pod kątem wszelkich luk.
W ten sposób ta wtyczka wykonuje zadanie anty-malware. Sprawdza również wszystkie oryginalne pliki WordPress. Możesz z niego korzystać i sprawdzać problemy w swojej istniejącej witrynie oraz je usuwać.
D. Sprawdzanie autentyczności motywu : W większości przypadków staramy się skanować wtyczki i ogólne zabezpieczenia pulpitu WordPress, takie jak logowanie, pliki WordPress itp.
Ale motywy WordPress i ich bezpieczeństwo są również ważne, ponieważ mogą zawierać niepotrzebne skrypty lub zamaskowany złośliwy kod, który można łatwo zhakować.
Dlatego ta wtyczka służy jako fajne narzędzie do skanowania i sprawdzania motywu, a gdy już wiesz, które pliki są niepożądane lub który kod jest problematyczny, możesz skierować go do oryginalnego autora motywu w celu usunięcia lub zmiany kodu.
Aby bezpieczniej praktykować lub jeśli istnieje zbyt wiele luk w zabezpieczeniach, użyj bezpieczniejszego motywu. W większości przypadków sprawdzanie motywów działa lepiej niż antywirus.
3. Wtyczki zabezpieczające, które zabezpieczą Twoją witrynę WordPress
a. All in One WP Security and Firewall : Ten zajmuje się następującymi elementami, które podsumowują większość zabezpieczeń, które możesz zastosować w swojej witrynie:
i. Bezpieczeństwo logowania użytkownika
ii. Bezpieczeństwo konta użytkownika
iii. Bezpieczeństwo rejestracji użytkownika
iv. Bezpieczeństwo plików systemowych
v. Konfiguracja zapory
vi. Funkcja czarnej listy
vii. Bezpieczeństwo bazy danych
viii. Kopie zapasowe
ix. Firewall i Brute Force
b. Bezpieczeństwo WordFence
C. Lepsze zabezpieczenia WP (teraz iThemes Security)
D. Bezpieczeństwo kuloodporne
4. Inne trzymane z tej listy, ale mogą być przydatne :
a. Acunetix WP Security : Ostatnio pojawiło się wiele negatywnych recenzji dotyczących tej wtyczki na WordPress.org, dlatego nie mogliśmy jej polecić.
b. Bezpieczeństwo 6Scan : Wielu klientów skarżyło się, że po zainstalowaniu tej wtyczki witryna jest pusta i dlatego nie możemy jej polecić.
C. Skaner wykorzystania
D. Skaner internetowego złośliwego oprogramowania Quttera