Przewodnik bezpieczeństwa WordPress: Bezpieczny WordPress 2022

Opublikowany: 2022-02-17

Wyobraź sobie to:

Otwierasz swoją witrynę WordPress, pełną bystrych oczu, krzaczastych ogonów i gotową do przesłania swojego najnowszego posta na blogu… tylko po to, by spotkać się z mnóstwem dziwnych treści, które kierują ludzi do kupowania tabletek farmaceutycznych na podejrzanych stronach internetowych.

To najgorszy koszmar większości webmasterów, ale może się to przydarzyć Twojej witrynie WordPress… jeśli nie zastosujesz odpowiednich najlepszych praktyk w zakresie bezpieczeństwa.

Nie próbujemy Cię straszyć – WordPress jest bezpieczny. Ma dedykowany zespół ds. bezpieczeństwa oraz armię doświadczonych współpracowników i programistów, którzy pomagają utrzymać ten stan.

Ale jeśli nie budujesz na tym bezpiecznym fundamencie, stosując najlepsze praktyki bezpieczeństwa WordPress, możesz otwierać drzwi dla złośliwych graczy, aby mogli wbić swoje kły do ​​Twojej witryny.

W tym poście jesteśmy tutaj, aby pomóc Ci dowiedzieć się, jakie są te najlepsze praktyki, abyś mógł powstrzymać ten koszmarny scenariusz przed urzeczywistnieniem.

W tym celu omówimy następujące sekcje:

  • Czy WordPress jest bezpieczny?
  • Dlaczego nie powinieneś czekać na uporządkowanie bezpieczeństwa
  • 21 rzeczy, które możesz teraz zrobić w kwestii bezpieczeństwa
  • Ryzyko naruszenia bezpieczeństwa
  • Jak sprawdzić, czy Twoja witryna została zhakowana?
  • Trzy najwyższej klasy wtyczki zabezpieczające WordPress
  • Trzy najważniejsze taktyki bezpieczeństwa do wdrożenia
  • Monitorowanie i naprawianie naruszeń bezpieczeństwa WordPress

Chociaż opracowanie najlepszych praktyk w tym poście może zająć Ci kilka godzin, ta niewielka inwestycja teraz przyniesie korzyści w przyszłości w postaci bezpiecznej, kuloodpornej witryny WordPress.

Czy WordPress jest bezpieczny?

WordPress obsługuje ponad 43% wszystkich witryn w Internecie, co oznacza, że ​​jest to soczysty cel dla złośliwych cyberprzestępców.

Fakt, że WordPress jest tak popularny, oznacza również, że jest używany przez wiele różnych osób, w tym osoby o bardzo różnym poziomie wiedzy. Pomyśl o doświadczonym programiście a kimś, kto właśnie uruchamia swojego pierwszego bloga… i wszystkich pomiędzy.

Są tu dobre i złe wieści…

Dobre wieści:

WordPress jest bezpieczny. Dlatego jest używany przez tak wielu zwykłych ludzi, jak i duże organizacje, takie jak amerykański Biały Dom i Facebook.

WordPress jest używany przez duże marki, które cenią bezpieczeństwo

Facebook i Biały Dom nie powierzyłyby swoich witryn niezabezpieczonej platformie. Co więcej, 43% stron internetowych nie działałoby na WordPressie, gdyby nie był bezpieczny.

Złe wieści :

Wiele witryn WordPress zostaje zhakowanych. W raportach Sucuri o zhakowanych stronach internetowych WordPress jest rutynowo najczęściej atakowaną platformą ( pamiętaj – jest bardzo popularny ).

A więc – w jaki sposób WordPress może być bezpieczny , a także mieć zhakowane strony? Czy nie są to wzajemnie wykluczające się rzeczy?

Cóż, odpowiedź dotyczy wyłącznie tego, jak ludzie korzystają z WordPressa.

Jeśli aktywnie przestrzegasz najlepszych praktyk w zakresie bezpieczeństwa, takich jak te, które omówimy w tym poście, możesz zapewnić bezpieczeństwo swojej witryny WordPress i uniknąć problemów.

WordPress ma duży aparat bezpieczeństwa, w tym oficjalny zespół ds. bezpieczeństwa ponad 50 członków oraz szereg doświadczonych programistów, którzy tworzą bezpieczne rozszerzenia i zgłaszają potencjalne problemy.

Ci ludzie wykonują świetną robotę, aby zapewnić bezpieczeństwo WordPressa – ale nadal musisz wykonać swoją część, jeśli chcesz, aby tak pozostało.

Jeśli nie opierasz się na ciężkiej pracy tych współtwórców WordPressa i nie stosujesz najlepszych praktyk, możesz popełniać błędy, które otwierają dziury w oprogramowaniu WordPress, czy to przy użyciu słabego hasła, instalacji podatnej na ataki wtyczki, czy czegoś innego.

Dlaczego nie powinieneś czekać, aby poważnie podejść do bezpieczeństwa WordPress

Bezpieczeństwo WordPressa to jedna z tych rzeczy, która wydaje się, że nie jest to wielka sprawa… dopóki nie jest to naprawdę wielka sprawa .

Masz wiele rzeczy na głowie, jeśli chodzi o marketing i rozwój swojej witryny, więc łatwo jest odepchnąć zabezpieczenia, ponieważ trudno jest powiązać poprawę bezpieczeństwa ze wskaźnikami wzrostu, takimi jak ruch lub przychody.

Jesteśmy tu trochę dosadni, ale ten sposób myślenia jest niesamowicie krótkowzroczny. Wdrożenie poniższej listy kontrolnej zabezpieczeń WordPressa zajmuje trochę czasu i potencjalnie trochę pieniędzy, ale te koszty bledną w porównaniu z tym, ile „zapłacisz”, jeśli Twoja witryna zostanie naruszona.

Jedno naruszenie bezpieczeństwa z łatwością „kosztuje” więcej pod względem straconego czasu, przychodów, ruchu SEO i zaufania odwiedzających.

Zasadniczo nie chcesz ryzykować bezpieczeństwa swojej witryny. Poświęć czas teraz , aby uchronić się przed ogromnymi kosztami w przyszłości.

20 rzeczy, które możesz teraz zrobić w kwestii bezpieczeństwa WordPress

Do tej pory rozmawialiśmy o teorii. Teraz zacznijmy przestawiać się na kilka praktycznych taktyk blokowania witryny, zaczynając od listy kontrolnej zabezpieczeń WordPress, którą możesz zaimplementować, aby chronić swoją witrynę już dziś.

1. Zrozum podstawowe motywy bezpieczeństwa WordPress

Zanim zmienisz cokolwiek w swojej witrynie, będziesz chciał zrozumieć podstawowe tematy związane z bezpieczeństwem WordPressa:

  • Ogranicz dostęp – ogranicz dostęp do swojej witryny, zarówno za pomocą zamierzonych metod (konta użytkowników), jak i niezamierzonych metod (podatności).
  • Zawierają problemy — jeśli złośliwy aktor uzyska dostęp, chcesz ograniczyć szkody, które może wyrządzić.
  • Używaj tylko zaufanych stron trzecich – chociaż rdzeń WordPressa jest bezpieczny, każde rozszerzenie, które dodajesz do swojej witryny, stanowi potencjalną lukę w zabezpieczeniach.

2. Szybko zastosuj aktualizacje WordPress

Aby chronić swoją witrynę przed pojawiającymi się lukami w zabezpieczeniach, konieczne jest niezwłoczne zastosowanie aktualizacji rdzeni WordPress, aktualizacji wtyczek i aktualizacji motywów. Dotyczy to zwłaszcza aktualizacji zabezpieczeń, które należy zastosować natychmiast*.

*Aktualizacje bezpieczeństwa mają w numerze wersji dwie kropki – np. 5.9.1. Możesz poczekać z zastosowaniem głównych aktualizacji funkcji, które mają tylko jedną kropkę – np. 5.9.

3. Używaj silnych haseł do wszystkiego

Używanie silnych, unikalnych haseł do konta administratora WordPress, konta hostingowego i innych narzędzi (np. poświadczeń SFTP) może znacznie pomóc w zapobieganiu atakom typu brute force i innym rodzajom ataków opartych na logowaniu.

Aby bezpiecznie przechowywać hasła, możesz użyć menedżera haseł, takiego jak Bitwarden lub LastPass. Te menedżery haseł mogą również pomóc w generowaniu unikalnych haseł.

4. Użyj zaufanych wtyczek

Instaluj wtyczki tylko od zaufanych programistów, którzy nadal aktywnie ją opiekują, aby uwzględnić nowe wydania WordPressa i nowo wykryte luki w zabezpieczeniach.

5. Zabezpiecz swój komputer

Upewnij się, że komputer, z którego korzystasz, aby uzyskać dostęp do witryny WordPress, jest czysty. Korzystaj z wysokiej jakości oprogramowania antywirusowego i regularnie skanuj złośliwe oprogramowanie.

6. Zablokuj swoją stronę logowania

Oprócz używania silnych haseł możesz chronić swoją stronę logowania za pomocą taktyk, takich jak ograniczanie prób logowania i uwierzytelnianie dwuskładnikowe. Możesz to osiągnąć za pomocą bezpłatnych wtyczek specyficznych dla funkcji, takich jak Ogranicz liczbę prób logowania ponownie i uwierzytelnianie dwuetapowe. Możesz też użyć niektórych z szerokich wtyczek bezpieczeństwa WordPress, które omówimy w dalszej części tego postu.

Możesz także zmienić adres URL logowania do WordPressa. Chociaż nie zapewnia to większego bezpieczeństwa logowania, jeśli zastosujesz powyższe wskazówki, może to zmniejszyć ruch botów.

7. Rób regularne kopie zapasowe

Regularne wykonywanie kopii zapasowych i przechowywanie ich na długim miejscu to ogromny element bezpieczeństwa WordPressa. Jeśli masz ostatnią kopię zapasową, najgorszy przypadek naruszenia bezpieczeństwa jest niedogodnością, a nie katastrofą, jeśli chodzi o dane Twojej witryny.

Większość zarządzanych hostów WordPress oferuje obecnie automatyczne kopie zapasowe poza witryną. Jeśli nie, możesz użyć wtyczki takiej jak UpdraftPlus.

8. Korzystaj z bezpiecznego hostingu

Użyj wysokiej jakości hosta WordPress, który implementuje solidne protokoły bezpieczeństwa, takie jak zapory sieciowe i skanowanie złośliwego oprogramowania. Chociaż nie powinieneś polegać tylko na swoim hoście, wysokiej jakości hosting WordPress może przejść długą drogę do zabezpieczenia Twojej witryny WordPress.

9. Zainstaluj certyfikat SSL i użyj HTTPS

Upewnij się, że masz zainstalowany certyfikat SSL i skonfiguruj swoją witrynę tak, aby wymusić cały ruch do bezpiecznej wersji HTTPS. Gwarantuje to, że wszelkie dane przesyłane między przeglądarką odwiedzającego a serwerem Twojej witryny są szyfrowane.

Możesz skonsultować się z zespołem pomocy technicznej lub dokumentacją swojego hosta, aby dowiedzieć się, jak zainstalować certyfikat SSL, a wtyczki, takie jak Really Simple SSL, mogą pomóc Ci wymusić ruch HTTPS w Twojej witrynie.

10. Używaj SFTP i nie przechowuj haseł

Upewnij się, że podczas łączenia się z serwerem witryny używasz protokołu SFTP, a nie zwykłego FTP (który jest niezaszyfrowany). Ponadto staraj się unikać przechowywania haseł SFTP w kliencie FTP, chyba że są one zaszyfrowane i chronione hasłem.

11. Wyłącz XML-RPC

XML-RPC pomaga niektórym aplikacjom, takim jak aplikacja na iPhone'a, łączyć się z witryną WordPress. Większość ludzi nigdy nie będzie używać tych aplikacji do łączenia się, co oznacza, że ​​XML-RPC jest tylko niepotrzebnym wektorem podatności na ataki typu brute force lub DDoS.

Z tego powodu większość ludzi wyłącza XML-RPC, co można osiągnąć za pomocą wtyczki, takiej jak Wyłącz XML-RPC lub jednej z ogólnych wtyczek bezpieczeństwa, które omówimy później.

12. Wyłącz edycję plików

Domyślnie WordPress pozwala administratorom bezpośrednio edytować pliki motywów i wtyczek z pulpitu WordPress, co stanowi ogromną lukę w zabezpieczeniach, jeśli złośliwy aktor kiedykolwiek uzyska dostęp do pulpitu nawigacyjnego.

Możesz go wyłączyć, dodając linię do pliku wp-config.php .

13. Monitoruj pod kątem problemów z bezpieczeństwem

Wprowadzanie regularnych zasad monitorowania bezpieczeństwa może pomóc w wyłapaniu problemów, zanim staną się one większymi problemami. W dalszej części tego wpisu porozmawiamy o właściwych praktykach monitorowania.

14. Bezpieczny klucz plików i folderów WordPress

Niektóre pliki i foldery WordPress są szczególnie podatne na ataki, dlatego warto zwrócić szczególną uwagę na zabezpieczenie pliku wp-config.php oraz folderów wp-admin i wp-includes .

15. Zaimplementuj odpowiednie uprawnienia do plików

Uprawnienia do plików kontrolują dostęp użytkowników i programów do plików i folderów na serwerze hostingowym. Jeśli są niewłaściwie skonfigurowane, mogą dać złośliwym aktorom dostęp do ważnych plików, takich jak plik wp-config.php lub plik .htaccess .

Aby poznać odpowiednie uprawnienia dla WordPress, możesz przeczytać tę stronę WordPress.org.

16. Rozważ rejestrowanie aktywności

Rejestrowanie aktywności umożliwia śledzenie tego, co dzieje się w Twojej witrynie, co może pomóc w wyłapaniu podejrzanych zachowań, zanim stanie się poważnym problemem.

Aby skonfigurować rejestrowanie aktywności, możesz użyć specjalistycznej wtyczki, takiej jak WP Activity Log. Lub niektóre uniwersalne wtyczki zabezpieczające WordPress zawierają również funkcję rejestrowania.

17. Dodaj najnowsze nagłówki bezpieczeństwa

Zabezpieczające nagłówki HTTP mogą pomóc w zabezpieczeniu witryny, kontrolując sposób interakcji przeglądarek internetowych z zawartością witryny. Zazwyczaj konfigurujesz je na poziomie serwera — KeyCDN ma świetny post wyjaśniający najważniejsze nagłówki zabezpieczeń.

18. Zabezpiecz swoją bazę danych

Użycie unikalnego prefiksu tabeli bazy danych i unikalnej nazwy bazy danych może nieco utrudnić złośliwym podmiotom wprowadzanie złośliwej zawartości do bazy danych, chociaż niektórzy eksperci dyskutują o jej użyteczności. Biorąc pod uwagę, że ta zmiana jest łatwa do zastosowania, nadal jest tego warta, nawet jeśli jest to niewielka ilość „zabezpieczenia przez ukrycie”.

19. Wyłącz Hotlinking

Hotlinkowanie obrazów przez inne witryny może nie stanowić bezpośredniego zagrożenia dla bezpieczeństwa, ale może mieć negatywny wpływ na serwer w postaci marnowania zasobów, więc wyłączenie hotlinkowania jest dobrą praktyką w zakresie bezpieczeństwa.

20. Skonfiguruj wcześniej ochronę przed atakami DDoS

Przygotuj plan radzenia sobie z rozproszonymi atakami typu „odmowa usługi”. Możesz zapytać swojego hosta, jakie zabezpieczenia mają na miejscu, lub dodać swoją witrynę do Cloudflare, aby w razie potrzeby szybko włączyć tryb Cloudflare „Jestem pod atakiem”.

Jakie są zagrożenia, gdy witryna zostanie naruszona?

Istnieją trzy główne rodzaje zagrożeń, jeśli Twoja witryna zostanie naruszona…

Zagrożenia dla odwiedzających witrynę

Jeśli przechowujesz dane o odwiedzających, złośliwi aktorzy mogą uzyskać dostęp do wszystkich tych informacji, co może spowodować problemy z kradzieżą tożsamości lub kradzieżą finansową w zależności od przechowywanych danych.

Złośliwi aktorzy mogą również próbować nakłonić użytkowników do pobrania szkodliwych plików i zainfekowania ich komputerów.

Zagrożenia dla właścicieli witryn

Naruszenie bezpieczeństwa może spowodować bezpośrednie problemy w postaci utraty danych, straconego czasu i niedostępności witryny. Jeśli nie wykonujesz regularnych kopii zapasowych ( co, miejmy nadzieję, nie ma miejsca po przeczytaniu tego przewodnika ), możesz nawet stracić całą witrynę i trzeba ją przebudować od zera.

Naruszenie może również powodować mniej namacalne problemy, takie jak utrata zaufania odwiedzających lub ogólny uszczerbek na reputacji.

Ryzyko dla innych witryn

Jeśli korzystasz z hostingu współdzielonego i/lub niektórych innych witryn na tym samym koncie hostingowym, jedna witryna, która zostanie naruszona, może szybko rozprzestrzenić się na inne witryny, jeśli witryny nie są od siebie ściśle odizolowane. W ten sposób zainfekowanie jednej witryny może działać jak domino, aby usunąć inne witryny, nawet jeśli w przeciwnym razie witryny te byłyby bezpieczne.

Jak stwierdzić, czy Twoja witryna WordPress została zhakowana?

Istnieją dwa sposoby, aby dowiedzieć się, że Twoja witryna została zhakowana:

  • Znaki reaktywne – odkrywasz problem, ponieważ widzisz problem na swojej stronie.
  • Znaki proaktywne — Twoje protokoły monitorowania bezpieczeństwa ostrzegają o problemie, zanim pojawi się on w Twojej witrynie.

Najlepiej byłoby używać narzędzi, które pozwalają proaktywnie naprawiać problemy, zamiast czekać, aż staną się problemem. W ten sposób możesz zminimalizować uszkodzenia swojej witryny.

Reaktywne oznaki hakowania

  • Alert przeglądarki — większość przeglądarek wyświetli ostrzeżenie, jeśli odwiedzisz zainfekowaną stronę. Jeśli tak się stanie, gdy odwiedzasz własną witrynę, wiesz, że masz problem.
  • Alert wyszukiwarki – Google będzie również ostrzegać odwiedzających, jeśli klikną link, który prowadzi do zainfekowanej witryny. Mówi coś w stylu „Ta witryna mogła zostać zhakowana”.
  • Usługi dla webmasterów – jeśli korzystasz z Google Search Console, Google powiadomi Cię o problemach z bezpieczeństwem, jeśli przejdziesz do Bezpieczeństwo i czynności ręczne → Problemy z bezpieczeństwem .
  • Odwiedzający internet — jeśli odwiedzający natkną się na złośliwą zawartość, mogą o tym bezpośrednio poinformować.
Google Chrome wyświetla ostrzeżenie, jeśli witryna jest zainfekowana złośliwym oprogramowaniem

Proaktywne oznaki hakowania

  • Skaner złośliwego oprogramowania — skaner złośliwego oprogramowania może wykryć złośliwy kod na serwerze, nawet jeśli nie zaczął wpływać na interfejs witryny.
  • Kontrole integralności plików – jeśli podstawowe pliki WordPress nie pasują do oficjalnych wersji, to znak, że coś może być nie tak w Twojej witrynie. Większość wtyczek zabezpieczających automatycznie powiadomi Cię, jeśli podstawowy plik zostanie zmodyfikowany.
  • Monitory ruchu – monitorowanie ruchu na Twojej witrynie WordPress pomoże Ci wykrywać nieprawidłowości na bieżąco.
Wtyczka Wordfence oferuje skanowanie bezpieczeństwa WordPress

Trzy najlepsze wtyczki i narzędzia zabezpieczające WordPress

Jeśli potrzebujesz dodatkowego spokoju, jeśli chodzi o bezpieczeństwo WordPress, możesz rozważyć skorzystanie z dedykowanej wtyczki lub usługi zabezpieczającej WordPress.

Chociaż te narzędzia nie eliminują całkowicie potrzeby zachowania czujności, mogą poradzić sobie z większością najlepszych praktyk bezpieczeństwa WordPress.

Oto trzy najlepsze:

1. Ogrodzenie świata

Wordfence to jedna z najlepszych wtyczek zabezpieczających WordPress

Wordfence to najpopularniejsza wtyczka bezpieczeństwa WordPress na WordPress.org. Posiada kompleksowy zestaw funkcji, które mogą chronić i monitorować wszystkie obszary bezpieczeństwa Twojej witryny:

  • Zapora aplikacji internetowej (WAF) do proaktywnego blokowania zagrożeń, zanim zdążą one zaszkodzić Twojej witrynie. Zawiera stale aktualizowany zestaw definicji do blokowania pojawiających się zagrożeń.
  • Skanowanie złośliwego oprogramowania i bezpieczeństwa w celu wykrycia infekcji lub luk w zabezpieczeniach.
  • Funkcje bezpieczeństwa logowania, w tym ograniczanie prób logowania, uwierzytelnianie dwuskładnikowe, ochrona przed wyciekiem hasła, wyłączanie/umacnianie XML-RPC i inne.
  • Rejestrowanie w czasie rzeczywistym w celu wykrycia złośliwych graczy.
  • Powiadomienia , aby natychmiast powiadomić Cię o potencjalnych problemach w Twojej witrynie.
  • Wiele innych mniejszych taktyk wzmacniania , w tym wykrywanie zmian plików.
  • Centralny pulpit bezpieczeństwa, który pozwala zarządzać bezpieczeństwem wielu witryn z jednego miejsca.

Dostępna jest bezpłatna wersja na WordPress.org, a Wordfence Premium zaczyna się od 99 USD.

2. Sucuri

Sucuri to wtyczka i firewall

Sucuri to dwie rzeczy:

  1. Bezpłatna wtyczka na WordPress.org, która implementuje podstawowe praktyki wzmacniania bezpieczeństwa.
  2. Płatna usługa zapory sieciowej, która znajduje się przed Twoim serwerem i blokuje złośliwy ruch, zanim dotrze on do Twojej witryny.

Aby uzyskać najlepszą ochronę, użyj obu narzędzi.

Bezpłatna wtyczka Sucuri implementuje następujące funkcje zwiększające bezpieczeństwo:

  • Monitorowanie integralności plików
  • Dzienniki audytu
  • Automatyczne monitorowanie czarnej listy
  • Podstawowe opcje utwardzania, takie jak wyłączanie edycji plików i blokowanie niektórych plików PHP
  • Nieudane monitorowanie logowania w celu wykrycia ataków typu brute force
  • Automatyczne alerty bezpieczeństwa przez e-mail

Aby korzystać z usługi zapory, zmień serwery nazw domeny na Sucuri, a zapora Sucuri będzie chronić Twoją witrynę na poziomie sieci.

Wtyczka Sucuri jest bezpłatna, ale zapora zaczyna się od 10 USD miesięcznie. Możesz także zapłacić za pełny plan bezpieczeństwa witryny, który obejmuje czyszczenie i usuwanie złośliwego oprogramowania. Plany te zaczynają się od 200 USD rocznie.

3. Bezpieczeństwo iThemes

iThemes Security Pro dla WordPress

iThemes Security to kolejne popularne narzędzie, które może pomóc wzmocnić witrynę i monitorować ją pod kątem problemów z bezpieczeństwem.

Oto, w czym może pomóc:

  • Skaner witryny automatycznie wykryje znane luki w witrynie.
  • Ochrona logowania, w tym uwierzytelnianie dwuskładnikowe, ograniczanie prób logowania, zaufane urządzenia, wymagania dotyczące silnych haseł i nie tylko.
  • Dzienniki bezpieczeństwa, w tym rejestrowanie zdarzeń związanych z bezpieczeństwem i rejestrowanie aktywności użytkownika.
  • Wykrywanie zmiany pliku, aby sprawdzić, czy pliki podstawowe zostały zmodyfikowane.
  • Powiadomienia e-mail , aby natychmiast powiadomić Cię o potencjalnych problemach z bezpieczeństwem.
  • Ogólne wzmocnienie WordPressa , w tym wyłączanie XML-RPC, wyłączanie edycji plików, sprawdzanie uprawnień do plików i wiele innych.

Jedną z funkcji, której iThemes Security nie oferuje, jest zapora ogniowa – programiści zalecają sparowanie jej z usługą zapory sieciowej Sucuri, jeśli chcesz zapory.

Chociaż istnieje ograniczona bezpłatna wersja iThemes Security na WordPress.org, będziesz potrzebować iThemes Security Pro dla najlepszej ochrony. Zaczyna się od 80 dolarów.

Skoncentruj się na tych trzech rzeczach, aby uzyskać największy zwrot z inwestycji w bezpieczeństwo WordPress

Jak wiele rzeczy w życiu, bezpieczeństwo WordPressa jest zgodne z zasadą 80/20 Pareto. Oznacza to, że skupienie się na kilku podstawowych taktykach bezpieczeństwa WordPressa zapewni Ci większość drogi do posiadania bezpiecznej witryny.

Chociaż z pewnością uważamy, że ważne jest, aby postępować zgodnie z listą kontrolną zabezpieczeń WordPress, którą udostępniliśmy powyżej, skupienie się tylko na trzech obszarach ochroni Cię przed większością problemów z zabezpieczeniami WordPress.

Przejrzyjmy je…

1. Wtyczki

Chociaż podstawowe oprogramowanie WordPressa jest bezpieczne ( o ile będziesz je aktualizować ), wtyczki wprowadzają zmienne, nad którymi główny zespół nie może kontrolować, co czyni je jednym z największych wektorów ataków dla złośliwych podmiotów.

Jednak wtyczki są również istotną częścią WordPressa, więc ich nieużywanie nie jest realistyczną opcją.

Oto trzy sposoby, aby nadal korzystać z wtyczek, jednocześnie znacznie minimalizując ryzyko:

  • Unikaj porzuconych wtyczek – jeśli wtyczka nie jest już utrzymywana, oznacza to, że nie ma nikogo, kto mógłby naprawić nowo wykryte problemy i zachować zgodność z nowszymi wersjami WordPressa.
  • Kupuj tylko od renomowanych programistów — korzystaj z zaufanych programistów, takich jak HeroThemes, którzy stosują najlepsze praktyki bezpieczeństwa WordPress i są na bieżąco z pojawiającymi się zagrożeniami.
  • Aktualizuj regularnie — nawet najlepsze wtyczki najlepszych programistów mogą czasami mieć nowo wykryte luki. Wysokiej jakości programiści załatują te luki, zanim staną się problemem – o ile szybko zaktualizujesz.

2. Brutalne ataki siłowe

Ataki typu brute force to powszechny wektor ataków, który polega na dostaniu się do Twojej witryny za pośrednictwem strony logowania. Nie ma znaczenia, jak bezpieczna jest reszta Twojej witryny — jeśli złośliwy gracz może odgadnąć Twoją nazwę użytkownika i hasło, ma klucze do drzwi wejściowych.

Oto jak się chronić:

  • Używaj silnych, unikalnych haseł — wybierz silne hasło dla wszystkich swoich kont i nie używaj tego samego hasła w wielu miejscach.
  • Ogranicz próby logowania – powstrzymaj ludzi przed brutalnym wymuszaniem Twojej strony logowania poprzez ograniczenie nieudanych prób logowania i/lub dodanie CAPTCHA.
  • Rozważ uwierzytelnianie dwuskładnikowe — dla jeszcze większego bezpieczeństwa możesz rozważyć użycie uwierzytelniania dwuskładnikowego za pośrednictwem wiadomości SMS lub najlepiej aplikacji na smartfona lub klucza sprzętowego.
  • Unikalna nazwa użytkownika – nie używaj „admin” jako swojej nazwy użytkownika i staraj się, aby Twoja nazwa użytkownika była trudna do odgadnięcia.
Przykład ograniczenia prób logowania na WordPressie

3. Konto hostingowe

Twoja witryna WordPress może zostać całkowicie zablokowana; ale jeśli złośliwy aktor uzyska dostęp do twojego konta hostingowego, może zrobić z twoją witryną prawie wszystko, co chce.

Aby temu zapobiec, konieczne jest również zablokowanie konta hostingowego i serwera:

  • Używaj silnych haseł – podobnie jak w przypadku konta WordPress, używaj silnych, unikalnych haseł do kont hostingowych i SFTP.
  • Włącz uwierzytelnianie dwuskładnikowe — większość dostawców hostingu obsługuje uwierzytelnianie dwuskładnikowe — skorzystaj z tego.
  • Użyj SFTP – zawsze łącz się przez SFTP, a nie niezaszyfrowany FTP.
  • Nie przechowuj haseł SFTP — nie przechowuj niezaszyfrowanych haseł SFTP w swoim kliencie FTP.

Monitorowanie, identyfikacja i naprawa naruszeń bezpieczeństwa WordPress

Jeśli wdrożysz wszystkie powyższe taktyki bezpieczeństwa WordPress, miejmy nadzieję, że nigdy nie będziesz mieć do czynienia z naruszeniem bezpieczeństwa.

Jednak zawsze może się zdarzyć , że coś prześlizgnie się przez pęknięcia, dlatego ważne jest, aby mieć plan wykrywania i naprawiania problemów z bezpieczeństwem.

Monitorowanie pod kątem luk

  • Skanuj swoją witrynę — użyj narzędzi takich jak Sucuri SiteCheck, aby wyłapać problemy z czarną listą i przeskanować serwer za pomocą wtyczki zabezpieczającej.
  • Google Search Console – zwróć uwagę na ostrzeżenia w sekcji o kwestiach bezpieczeństwa.
  • Użyj polecenia Google site w wyszukiwarce – wyszukaj site:twojastrona.com, aby sprawdzić, czy Google zaindeksował treści, które wyglądają na złośliwe. Może to być zawartość, której nie utworzyłeś, lub zawartość z dziwnymi tytułami/metaopisami.
  • Dziennik aktywności — przeglądaj dziennik aktywności swojej witryny, aby wyłapać podejrzaną aktywność.
  • Sprawdź analitykę – szukaj niewyjaśnionych spadków lub szczytów w analityce ruchu.
  • Plik .htaccess – zwróć uwagę na zmiany w swoim pliku .htaccess, ponieważ w tym miejscu wielu aktorów umieszcza złośliwe przekierowania lub konfiguruje reguły klienta użytkownika, aby ukryć swój spam SEO przed ludzkimi użytkownikami.
Przykład sprawdzania czarnej listy w Sucuri SiteCheck

Zidentyfikuj problemy

Gdy Twoje działania monitorujące wykryją coś złego, nadszedł czas, aby zidentyfikować konkretny problem w Twojej witrynie, aby móc go naprawić i uruchomić witrynę. Aby to zrobić, możesz użyć wtyczki zabezpieczającej, aby przeskanować swoją witrynę i zidentyfikować złośliwe pliki oraz backdoory.

Naprawianie witryny

Po zidentyfikowaniu konkretnego problemu nadszedł czas, aby naprawić witrynę.

Istnieje kilka różnych dróg, którymi możesz się wybrać w zależności od ciężkości infekcji i poziomu wiedzy:

  • Użyj wtyczki zabezpieczającej — wiele wtyczek zabezpieczających oferuje poprawki jednym kliknięciem, poprzez wyczyszczenie pliku lub przywrócenie witryny do czystej wersji.
  • Zatrudnij eksperta – jeśli czujesz się przytłoczony, możesz zapłacić za usługę ekspercką, taką jak Bezpieczeństwo witryny Sucuri lub Usługi czyszczenia witryn Wordfence.
  • Wykonaj czyszczenie ręczne – jeśli posiadasz wiedzę techniczną, możesz ręcznie wyczyścić witrynę – MalCare ma szczegółowy przewodnik, jak przeprowadzić czyszczenie ręczne.

Jeśli Twoja witryna została umieszczona na czarnej liście przez Google, po oczyszczeniu witryny możesz poprosić o sprawdzenie. Możesz to zrobić w sekcji Problemy dotyczące bezpieczeństwa w Google Search Console.

Dbaj o bezpieczeństwo swojej witryny WordPress

WordPress jest bezpieczny, ale sposoby, w jakie ludzie korzystają z WordPressa, nie zawsze są bezpieczne.

Poświęcenie trochę czasu na stworzenie proaktywnego planu bezpieczeństwa WordPressa przyniesie korzyści w postaci bezpiecznej witryny i uniknięcia konieczności radzenia sobie z naruszeniem w przyszłości.

Możesz zastosować wskazówki z tego postu i postępować zgodnie z listą kontrolną bezpieczeństwa WordPress, taką jak lista kontrolna Wordfence. Jeśli potrzebujesz pomocy, możesz również uzyskać pomoc od programisty lub wynająć usługę konserwacji WordPress.

Bezpieczeństwo WordPressa również nie jest czymś, w czym jesteś sam. Masz całą społeczność WordPressa w swojej witrynie, która pomaga tworzyć bezpieczniejsze witryny.

Tutaj w HeroThemes koncentrujemy się na tworzeniu bezpiecznych, niezawodnych wtyczek i motywów, które pozwalają rozszerzyć witrynę WordPress przy jednoczesnym zachowaniu jej bezpieczeństwa. Jest mnóstwo innych programistów, którzy robią to samo.

Jeśli będziesz trzymać się takich rozszerzeń i postępować zgodnie z innymi najlepszymi praktykami bezpieczeństwa, możesz czerpać korzyści z bezpiecznej witryny WordPress.