Bezpieczeństwo WordPress: jak identyfikować i eliminować zagrożenia

Opublikowany: 2018-05-11

Wymówki takie jak „Jesteśmy za mali na atak” lub „Nie przetwarzamy wrażliwych danych, takich jak raporty finansowe” nie są już aktualne. Wielokrotnie udowodniono, że wszystkie strony internetowe, niezależnie od ich wielkości, są podatne na ataki i mogą wpaść w pułapkę hakerów.

Jeśli podchodzisz do swojej witryny profesjonalnie, powinieneś zwrócić uwagę na najlepsze praktyki bezpieczeństwa dla WordPressa. Udostępnimy wyczerpującą listę wskazówek dotyczących ochrony witryny WordPress przed hakerami i złośliwym oprogramowaniem.

Jako właściciel strony internetowej masz możliwość poprawy bezpieczeństwa WordPressa, nawet jeśli nie umiesz kodować i nie chcesz zagłębiać się w labirynt jego komplikacji.

Przygotowaliśmy instrukcję krok po kroku i stworzyliśmy nawigację, abyś nie miał trudności z przechodzeniem przez materiał. Szybko dotrzesz do odpowiedniego fragmentu tekstu, a pod koniec czytania Twoja strona będzie znacznie bezpieczniejsza niż większość zasobów w sieci.

Dlaczego bezpieczeństwo jest ważne?

Zhakowana witryna WordPress może poważnie zaszkodzić Twojej firmie i reputacji. Hakerzy mogą kraść informacje o użytkownikach, hasła, instalować złośliwe oprogramowanie i rozpowszechniać trojany wśród użytkowników.

W 2017 roku Google poinformowało, że ponad 55 milionów użytkowników zostało ostrzeżonych przed odwiedzaniem stron internetowych zawierających złośliwe oprogramowanie. Każdego tygodnia Google tworzy listę ponad 20 000 złośliwych programów.

Jeśli Twoja witryna jest Twoją firmą, musisz zwracać większą uwagę na jej bezpieczeństwo. Tylko Ty jesteś odpowiedzialny za ochronę swoich zasobów przed intruzami. Jak stwierdzono w WordPress Security Codex: „ Zasadniczo bezpieczeństwo nie polega na doskonale zabezpieczonych systemach. Taka rzecz może być niepraktyczna lub niemożliwa do znalezienia i/lub utrzymania. Bezpieczeństwo polega jednak na ograniczaniu ryzyka, a nie jego eliminacji. Chodzi o zastosowanie wszystkich odpowiednich dostępnych kontroli, w granicach rozsądku, które pozwolą ci poprawić ogólną postawę poprzez zmniejszenie prawdopodobieństwa stania się celem, a następnie zhakowania.”

Nie spiesz się i zapoznaj się z poniższymi najlepszymi praktykami, a także zapoznaj się ze sprawdzonymi w branży strategiami bezpieczeństwa WordPress, takimi jak korzystanie z aktualnego oprogramowania WordPress, silna polityka poświadczeń i administracja systemem zorientowana na bezpieczeństwo.

Rodzaje podatności

Typowe luki w zabezpieczeniach WordPressa to niski poziom bezpieczeństwa motywów, luki serwerów, baz danych, uprawnienia do plików, FTP i określone składniki plików, takie jak wp-admin, wp-config i wp-includes. Są najbardziej podatni na ataki.

Liczne incydenty hakerskie pokazały, jak łatwo intruzom można wykorzystać na swoją korzyść niechronione łącza w usługach bezpieczeństwa WordPress. Jedna luka może narazić Twoją witrynę na tysiące ataków. Na przykład na początku lutego cyberprzestępcy rozpoczęli zakrojoną na szeroką skalę kampanię, w której skompromitowane witryny WordPress przekierowywały odwiedzających do domen zawierających zestaw exploitów .

Exploit to fragment kodu, który może wykorzystywać luki w Twojej witrynie WordPress i umożliwiać hakerom włamanie się do systemu. Innymi słowy, jest to oprogramowanie, które wyszukuje niechronione elementy w Twojej witrynie i atakuje je.

Exploity powstają w wyniku błędów programistów, którzy nie zwracają należytej uwagi na bezpieczeństwo zasobu. Po wykryciu exploita należy stworzyć łatkę, która usunie tę lukę.

W innej serii ataków hakerzy wykorzystali lukę w pliku XML-RPC.

XML-RPC to protokół zdalnego wywoływania procedur (RPC), który używa XML do kodowania swoich wywołań i HTTP do zdalnego wysyłania żądań lub zamówień do stron internetowych. Jeśli nie chcesz dawać hakerom dodatkowej szansy na zhakowanie twojego zasobu, możesz go po prostu usunąć. Kiedy zajdzie taka potrzeba, możesz ją przywrócić.

Wstrzyknięcie SQL to najczęstszy sposób ataku na bazę danych z pominięciem zapór sieciowych, gdy hakerzy wysyłają do witryny specjalne żądania SQL. Te wstrzyknięcia kodu mogą tworzyć nowe konta administratorów, które mogą prowadzić do złośliwych lub oszukańczych witryn z Twojego zasobu.

Jak zapobiegać wstrzyknięciom SQL?

Komunikaty o błędach są używane głównie do pobierania poufnych informacji o witrynie. Więc albo powinny być wyłączone, albo muszą zostać utworzone niestandardowe komunikaty o błędach. Eksperci ds. cyberbezpieczeństwa z usług programistycznych WordPress twierdzą, że szyfrowanie SHA1 lub SHA powinno być używane dla wszystkich poufnych informacji i haseł. Ograniczenie liczby przyznanych uprawnień zmniejszy prawdopodobieństwo takich złośliwych ataków.

Ataki Brute Force

Atak brute force polega na próbach uzyskania poprawnej kombinacji loginu i hasła metodą prób i błędów. Jest to najłatwiejszy sposób, w jaki hakerzy próbują uzyskać dostęp do loginu. Ten rodzaj ataku można przeprowadzić na różne sposoby, przy czym każda metoda wielokrotnie próbuje odgadnąć kombinację loginu i hasła. Jest to powszechna taktyka stosowana przez boty, ponieważ nie ma ograniczeń co do liczby prób logowania do WordPressa. Jeśli atak się powiedzie, poufne informacje Twojej witryny i firmy mogą być zagrożone. Nawet jeśli to się nie powiedzie, twój system może być przeciążony.

Jak radzić sobie z atakami brute force?

Najlepszym sposobem jest aktywacja polityki blokowania, która eliminuje nieograniczoną liczbę prób logowania. Opóźnienia progresywne można również stosować, gdy konto jest zablokowane na określony czas. Pomogą w tym narzędzia takie jak Captcha, choć wpłynie to na użyteczność serwisu. Pomocne może być również tworzenie złożonych haseł do zwalczania tego typu ataków.

Skrypty między witrynami

Prawie 84% wszystkich naruszeń bezpieczeństwa w WordPressie to ataki typu Cross-Site Script lub XSS. Ten rodzaj luki najczęściej można znaleźć we wtyczkach do WordPressa. W tym przypadku intruz używa aplikacji internetowej do wysyłania złośliwych skryptów i kodów do bezpiecznych i niezawodnych witryn, wśród których może być również Twoja. W rezultacie złośliwe pliki JavaScript są pobierane na stronę internetową i wykorzystywane do kradzieży poufnych informacji.

Jak zapobiec cross-site scripting?

Istnieje kilka metod zapobiegania atakom XSS:

  1. Nie zezwalaj nierzetelnym danym na dostęp do dokumentów HTML.
  2. Użyj interfejsu Sanitization API WordPress i Escaping API WordPress (funkcje czyszczenia kodu w celu ochrony poufnych informacji i nieudostępniania ich publicznie — na przykład w wierszu adresu łącza przeglądarki).
  3. Przed wprowadzeniem niewiarygodnych danych do ciągu żądania adresu URL upewnij się, że jest on zakodowany w adresie URL.
  4. Zanim umieścisz niewiarygodne dane na stronach HTML, upewnij się, że są one zakodowane w HTML, zamieniając składnię kodu.

Ataki na serwer WWW i system operacyjny

Istnieją również pewne luki w zabezpieczeniach serwerów internetowych i systemów operacyjnych. Takie zagrożenia bezpieczeństwa powstają, gdy błąd zostanie zarejestrowany w OpenSSL, co umożliwia hakerom uzyskanie dostępu do baz danych i poufnych informacji. Ta poważna luka dotyczy prawie dwóch trzecich wszystkich stron internetowych.

Jak zapobiegać atakom na serwer WWW?

  1. Przeprowadzaj regularne kontrole bezpieczeństwa oprogramowania OpenSSL.
  2. Wykonaj weryfikację po stronie serwera.
  3. Nie ufaj wejściom z zewnątrz.
  4. Zaktualizuj sygnatury IPS i zapory oraz włącz sygnatury Heartbleed.
  5. Anuluj istniejące certyfikaty SSL i utwórz nowe.
  6. Nie twórz nowych certyfikatów ze starym kluczem.

Złośliwe programy mają na celu zniszczenie i uszkodzenie systemu lub uzyskanie dostępu do bazy danych. Takie oprogramowanie jest formą wykonywalnych kodów i skryptów, które przenikają do systemu bez zgody użytkownika.

Za każdym razem, gdy Twoja witryna WordPress zostanie zhakowana, spójrz na ostatnio zmodyfikowane pliki. Najczęstsze infekcje malware to backdoory, dyski do pobrania i złośliwe przekierowania.

Jak radzić sobie ze złośliwymi atakami?

  1. Usuń złośliwe pliki ręcznie.
  2. Przywróć witrynę WordPress z kopii zapasowej.
  3. Zawsze aktualizuj WordPress i wtyczki.
  4. Usuń konto „admin” i użyj innej unikalnej nazwy użytkownika.

Wykrywanie włamań

Istnieje niski odsetek prób włamania, które są niezwykle trudne do wykrycia, ale ogólnie można zidentyfikować wszelkie próby, niezależnie od tego, czy są udane, czy nie.

Wskaźniki wykrywania podatności:

  • Nagłe, nieprzewidziane wzrosty ruchu, zwłaszcza z zagranicy (często nie z Twojego regionu, gdzie prawdopodobieństwo znalezienia grupy docelowej jest bardzo niskie);
  • Twoja domena jest automatycznie przekierowywana do witryny innej firmy (często spam);
  • Twoja strona główna i strony wewnętrzne nagle się zmieniają lub zawartość znika;
  • Impulsy przepustowości wychodzącej mogą wskazywać, że serwer został przechwycony i wykorzystany do ataków DDoS;
  • Ruch bezpośredni i organiczny spada, ponieważ wyszukiwarki takie jak Google, Yandex, Bing i przeglądarki (Firefox i Chrome) ostrzegają o zagrożeniach związanych z odwiedzaniem Twojej witryny przez użytkowników.

Jeśli zauważysz jedną z wymienionych czynności w swojej witrynie, szybko przeprowadź diagnostykę bezpieczeństwa witryny WordPress tutaj . Po prostu zastąp www.example.com domeną swojej witryny w pasku adresu. Alternatywą dla usługi jest sprawdzanie reputacji witryny za pomocą bezpłatnego narzędzia URLVoid .

Wyeliminuj naruszenia bezpieczeństwa

Uważnie i obiektywnie monitoruj swoje zasoby pod kątem prób włamań. W przypadku problemów z bezpieczeństwem należy zacząć eliminować naruszenia.

Jeśli masz pewność, że Twoja witryna stała się celem cyberprzestępców, dobrze będzie poinformować o tym odwiedzających. Zorganizuj automatyczną dystrybucję wiadomości e-mail do użytkowników, ponieważ mogą być podatni na ataki hakerów. Powiadom ich, że Twoja witryna może być ofiarą naruszenia bezpieczeństwa i lepiej na jakiś czas zawiesić odwiedzanie witryny. Określ datę, do której problem zostanie rozwiązany.

Jeśli atak się rozprzestrzenił, warto wyłączyć witrynę i pracować w trybie offline, dopóki nie znajdziesz i nie rozwiążesz problemu. Na czas prac zaleca się umieszczenie zakładki „Strona w przebudowie”. Wyjaśni użytkownikom, że problem jest tymczasowy i nie odstraszy ich na zawsze.

Skontaktuj się ze swoim hostingiem

Firmy hostingowe pracują codziennie z tysiącami stron internetowych i borykają się z wszelkiego rodzaju problemami bezpieczeństwa w Internecie. Gdy dowiesz się, że bezpieczeństwo Twojej witryny jest zagrożone, skontaktuj się z firmą hostingową i wyjaśnij swój problem.

Większość firm hostingowych ma specjalistów IT, bezpieczeństwa. Mogą pomóc w identyfikowaniu i korygowaniu złośliwych ataków. Nawet jeśli Twoja firma hostingowa nie oferuje swojej pomocy, jej eksperci mogą skontaktować się z innymi właścicielami witryn, którzy napotkali podobny problem. Pomoże ci zrozumieć, co powinieneś zrobić, aby rozwiązać problem.

Dobrzy dostawcy hostingu podejmują dodatkowe środki, aby chronić swoje serwery przed typowymi zagrożeniami. Ale w przypadku hostingu współdzielonego udostępniasz zasoby innym właścicielom witryn. Zwiększa ryzyko ataków cross-site scripting, gdy haker może użyć sąsiedniej witryny do zaatakowania Twojej.

Korzystanie z hostingu zarządzanego przez WordPress zapewnia bezpieczniejsze działanie Twojej witryny ze względu na dodatkowe funkcje, takie jak automatyczne tworzenie kopii zapasowych, aktualizacje i bardziej złożone konfiguracje zabezpieczeń w celu ochrony zasobów.

Uzyskaj pomoc od ekspertów ds. bezpieczeństwa sieci

Zazwyczaj najbardziej podatnymi na ataki plikami witryn internetowych są pliki multimedialne, pliki .php oraz te, które są przechowywane w niebezpiecznych miejscach. Hakerzy wprowadzają do tych plików złośliwy kod i uszkadzają Twoją witrynę za pomocą ataków typu backdoor. Ponieważ są to typowe strefy ryzyka, najpierw należy je sprawdzić, a następnie udać się do innych obszarów witryny, aby rozpocząć proces czyszczenia.

Usuwanie złośliwego kodu z zainfekowanych plików wymaga pobrania ich z serwera, usunięcia zaatakowanego kodu i ponownego przesłania czystych plików na serwer.

Czasami samo wyczyszczenie zainfekowanych plików nie wystarczy. Być może hakerzy mają dostęp do Twoich plików i będą nadal wprowadzać w nich zmiany i usuwać fragmenty kodu. Właściwą praktyką jest porównanie wyczyszczonej wersji zainfekowanych plików z plikami źródłowymi twórców stron internetowych, aby sprawdzić, czy nie utraciłeś krytycznych fragmentów kodu.

Pamiętaj, że zazwyczaj hakerzy instalują powłoki backendowe, które pozwalają im włamać się na Twoją witrynę nawet po usunięciu wszystkich zainfekowanych plików. Te muszle często są zamaskowane jako zwykłe pliki. Jeśli Twoja witryna została naruszona, po powrocie do kopii zapasowej zleć zadanie służbom bezpieczeństwa, aby upewnić się, że Twoja witryna jest całkowicie bezpieczna i może dalej funkcjonować.

Zmień hasła

Wyczyszczenie zainfekowanych plików to tylko część zadania usuwania luk w zabezpieczeniach. Musisz upewnić się, że hakerzy nie uzyskają ponownie dostępu do Twoich danych. Najłatwiejszym, ale skutecznym sposobem na to jest zmiana haseł. WSZYSTKIE Twoje hasła z:

  • E-mail;
  • konto FTP;
  • Konto hostingowe;
  • Panel administracyjny WordPressa.

Musisz mieć pewność, że Twoje nowe hasła są niezawodne i nie można ich złamać za pomocą metod brute force. Pamiętaj, że kradzież haseł to najczęstszy rodzaj hakowania witryn WordPress. Dlatego zalecamy tworzenie bardziej złożonych haseł, które nigdy wcześniej nie były używane.

Głównym powodem, dla którego nowicjusze nie wolą używać silnych haseł, jest to, że trudno je zapamiętać. Teraz jest rozwiązanie tego problemu – wystarczy skorzystać z menedżera haseł.

Skutecznym sposobem na zmniejszenie ryzyka jest posiadanie wielu ról w celu uzyskania dostępu do konta WordPress. Jeśli masz autorów-gości, upewnij się, że rozumiesz role i możliwości wszystkich, zanim dodasz nowych użytkowników do swojej witryny.

Jak zabezpieczyć swoją witrynę WordPress

Zwykle utrzymanie bezpieczeństwa witryny postrzegane jest jako skomplikowana praca i wymaga personelu wysoko opłacanych profesjonalistów. W przypadku WordPressa sprawy nie są takie straszne. Pokażemy Ci, jak chronić witrynę WordPress bez dogłębnej wiedzy technicznej. Nie musisz umieć kodować, wykonywać skomplikowanych czynności, stać na głowie ani wykonywać tajemnych rytuałów voodoo.

Ruszajmy na to!

Krok 1. Ustaw opcje kopii zapasowej

Kopie zapasowe są twoją ochroną przed atakami WordPress. Pamiętaj, żadna strona internetowa nie może być w 100% bezpieczna. Nawet strony rządowe są od czasu do czasu atakowane. Więc twój zasób może również stać się celem.

Kopie zapasowe mają na celu szybkie przywrócenie podatnej strony internetowej. Dlatego zalecamy korzystanie w tym celu z gotowych wtyczek do WordPressa. Jest ich wiele: są opcje płatne i bezpłatne.

Najważniejszą rzeczą tutaj jest to, że kopie zapasowe muszą być wykonywane regularnie. Jest jedna ważna zasada – muszą być utworzone na zewnętrznej usłudze przechowywania (na przykład w chmurze Dropbox, Amazon), a nie na Twoim koncie hostingowym.

Im częściej aktualizujesz swoją stronę, tym częściej musisz robić jej kopie zapasowe. Jeśli codziennie aktualizujesz bloga, zalecamy wykonanie kopii zapasowej przynajmniej raz dziennie.

Jak to zrobić?

Pobierz wtyczki, takie jak VaultPress lub BackupBuddy . Są niezawodne i, co najważniejsze, łatwe w użyciu, łatwe do skonfigurowania i doskonale radzą sobie z główną funkcją tworzenia kopii zapasowych.

Korzystaj z wtyczek i usług bezpieczeństwa WordPress

Posiadanie podstawowej infrastruktury bezpieczeństwa jest koniecznością dla każdej strony internetowej, niezależnie od jej skali. Na przykład proste narzędzie Login Lockdown dla użytkowników WordPressa jest przydatne do zapobiegania prymitywnym atakom polegającym na próbach logowania z użyciem brutalnej siły.

Dlatego jeśli nie masz jeszcze firewalla lub systemu bezpieczeństwa chroniącego Twoją witrynę, aktywuj je bez zwłoki. Ponieważ naszym celem jest zapobieganie atakowi, a nie przywracanie po wyrządzeniu szkody, sugerujemy użycie zapory sieciowej (WAF) jako rozwiązania.

Zapora sieciowa to gotowe rozwiązanie programowe, które zapewnia dodatkowy poziom ochrony i kontroluje cały ruch przychodzący do Twojej witryny, blokując szeroką gamę złośliwych zagrożeń.

Walczy z najczęstszymi i agresywnymi zagrożeniami, w tym Open Web Application Security Project, SQL Injections, Cross-Site Scripting i Invalidated Redirects. Firewall lub firewall są często wbudowane w nowoczesne systemy operacyjne lub zawarte w płatnych systemach antywirusowych.

Zapora aplikacji internetowej (WAF) to najprostszy sposób ochrony witryny i zapewnienia jej bezpieczeństwa. Blokuje cały złośliwy ruch, zanim przejmie zasób.

Dobrzy dostawcy hostingu oferują wbudowaną ochronę WAF za pomocą modułu serwera mod_security Apache z otwartym kodem źródłowym, ale rozumiemy, że nie wystarczy blokować najnowsze wykryte zagrożenia. Moduł jest rzadko aktualizowany przez hostingodawcę, który nie ma wystarczających zasobów do śledzenia szybko zmieniającego się krajobrazu zagrożeń.

Dlatego użytkownicy powinni wziąć to zadanie we własne ręce, korzystając z zapory dostarczanej przez dostawców zabezpieczeń w chmurze. Takie oparte na chmurze pliki WAF to rozwiązania typu plug-and-play, które kontrolują cały ruch przychodzący i autonomicznie przetwarzają cały proces wykrywania i usuwania zagrożeń, aby szybko reagować na nowe i istniejące zagrożenia.

Poza tym takie usługi w chmurze zazwyczaj są dostarczane z sieciami dostarczania treści CDN, usługami przełączania awaryjnego DDoS, a nawet rozwiązaniami do równoważenia obciążenia w celu poprawy wydajności, bezpieczeństwa i dostępności.

Jako najlepszy firewall dla aplikacji internetowych dla WordPressa polecamy Sucuri . Zaletą zapory Sucuri jest to, że ma ona gwarancję usunięcia złośliwego oprogramowania. Deweloperzy gwarantują, że naprawią Twoją witrynę (bez względu na to, ile masz stron). Specjaliści ds. Bezpieczeństwa zwykle szacują swoją pracę na 250 USD za godzinę, podczas gdy pełny zakres zabezpieczeń z Sucuri można uzyskać za 199 USD rocznie.

Sucuri nie jest jedynym dostawcą firewalla. Jego słynnym konkurentem, który już depcze mu po piętach, jest Cloudflare .

Jakie są różnice między Sucuri a Cloudflare?

Obie usługi oferują różne plany, które zawierają inny zestaw funkcji.

Funkcje Cloudflare

Cloudflare zyskał sławę dzięki darmowej usłudze CDN. Specjalizuje się w zapobieganiu atakom DDoS. Cloudflare zapewnia dostęp do Twojej witryny użytkownikom podczas ataku lub przy dużym natężeniu ruchu, gdy serwer przestaje odpowiadać.

Zapora obejmuje również formularze i chroni Twoją witrynę przed komentarzami i rejestracjami spamu. Cloudflare oferuje również bezpłatne certyfikaty SSL we wszystkich swoich płatnych planach. Darmowe plany umożliwiają korzystanie tylko z certyfikatów Cloudflare. Aby uzyskać certyfikat niestandardowy, musisz przejść na plan biznesowy lub firmowy.

Chociaż Cloudflare ma bezpłatną wersję, która zapewnia bezpłatny CDN, większość innych funkcji, w tym zapora aplikacji internetowej, wymaga przejścia na płatny plan.

Cloudflare nie oferuje usługi skanowania serwerów w celu wykrycia złośliwego oprogramowania. Nie daje również gwarancji na usunięcie złośliwego oprogramowania.

Funkcje Sucuri

Sucuri to jedna z najbardziej niezawodnych usług bezpieczeństwa do monitorowania stron internetowych. Oferuje kompleksowe monitorowanie i skanowanie w poszukiwaniu złośliwego oprogramowania, ochronę przed DDoS i usuwanie złośliwego oprogramowania.

Sucuri oferuje CloudProxy, zaporę sieciową i usługi równoważenia obciążenia. Blokuje podejrzany ruch, zainfekowany kod, boty i inne zagrożenia. Sucuri regularnie skanuje Twoją witrynę.

Co wybrać?

Sucuri ma oczywiście więcej zalet, ponieważ oferuje najlepszą kombinację narzędzi i usług (strona z zaporą sieciową + równoważenie obciążenia + czyszczenie ze złośliwego oprogramowania/przywracanie hakerów).

cennik

Cloudflare oferuje bezpłatną usługę CDN dla każdego. Nie pobierają opłat za przepustowość, co oznacza, że ​​możesz korzystać z ich bezpłatnego CDN niezależnie od natężenia ruchu.

Jednak bezpłatny plan nie zawiera zapory sieciowej dla aplikacji internetowych. Twoja strona internetowa może korzystać z CDN, ale nie będzie odpowiednio chroniona przed atakami DDoS, spamem itp.

Aby korzystać z zapory, potrzebujesz planu Pro, który kosztuje 20 USD miesięcznie, ale ten plan nie obejmuje zaawansowanej redukcji ataków DDoS i niestandardowego SSL. Aby uzyskać te funkcje, musisz kupić biznesplan, który kosztuje 200 USD miesięcznie.

Sucuri nie oferuje darmowego planu. Ich plan bezpieczeństwa zaczyna się od 199 USD rocznie, co okazuje się być bardziej przystępne niż plan Pro CloudFlare. Ten podstawowy plan obejmuje pełne monitorowanie witryny, zaporę sieciową aplikacji internetowych, ochronę przed atakami DDoS, usuwanie złośliwego oprogramowania i bezpłatny certyfikat SSL.

Zamiast wykluczać istotne funkcje z planów niższego poziomu, Sucuri wykorzystuje priorytet czasowy jako zachętę do droższych planów. Na przykład czas na usunięcie złośliwego oprogramowania w podstawowym planie cenowym wynosi 12 godzin, 6 godzin w przypadku planu profesjonalnego i 4 godziny w przypadku planu biznesowego. Jednocześnie rzeczywisty czas czyszczenia jest szybszy niż wskazany w planach.

Sucuri oferuje całodobowe wsparcie dla wszystkich planów. Subskrybenci ich biznesplanów mogą również korzystać z pomocy na czacie.

Co wybrać?

Sucuri to oczywisty wybór dla małych firm, jeśli chodzi o ceny. Cloudflare Pro kosztuje 240 USD rocznie, a Sucuri pobiera 199 USD rocznie z szeroką gamą funkcji. Aby uzyskać tę samą funkcjonalność, musisz przejść do planu Cloudflare za 2400 USD rocznie. Najdroższy plan Sucuri to 499 USD rocznie.

Usuwanie złośliwego oprogramowania

Złośliwe oprogramowanie i zainfekowany kod to najczęstsze zagrożenia, z jakimi borykają się właściciele witryn.

W jaki sposób Sucuri i Cloudflare chronią witryny przed tymi typowymi zagrożeniami?

Darmowa wersja Cloudflare jest zwykle dobra jako sieć dostarczania treści, która przyspieszy pobieranie Twojej witryny.

Ochrona firewall dla stron internetowych (dostępna w wersji płatnej) obejmuje ochronę serwisu przed złośliwym kodem, exploitami w XSS JavaScript oraz formularzami. Nie oferuje wykrywania zmian w plikach, skanowania złośliwego oprogramowania, monitorowania czarnej listy i innych funkcji bezpieczeństwa. Możesz dodać aplikacje innych firm do skanowania złośliwego oprogramowania, ale te usługi będą cię kosztować dodatkowe pieniądze.

Sucuri specjalizuje się w monitorowaniu witryn i ochronie ich przed złośliwym oprogramowaniem i innymi atakami. Zapora Sucuri chroni przed atakami DDoS, wstrzyknięciami SQL, wstrzyknięciami JavaScript XSS, komentarzami i formularzami kontaktowymi spamu.

Jeśli jednak atakujący również przełamie te bariery, Sucuri zaoferuje oczyszczenie Twojej witryny (za darmo). Jeśli masz teraz witrynę dotkniętą złośliwym oprogramowaniem, Sucuri może ją również wyczyścić.

Co wybrać?

Aby korzystać z zapory aplikacji internetowej z usługami monitorowania, ochrony przed złośliwym oprogramowaniem i czyszczenia, najlepiej nadaje się Sucuri. Jednak w zakresie dostarczania treści lepiej jest użyć Cloudflare.

Krok 2. Przenieś do HTTPS, jeśli jeszcze tego nie zrobiłeś

Jednym z najnowszych czynników rankingowych oficjalnie ogłoszonych przez Google jest wymóg przejścia na HTTPS. Ten nacisk na bezpieczeństwo stron internetowych pokazuje, że Google poważnie podchodzi do faktu, że nierzetelne lub zhakowane strony internetowe są obniżane w rankingach wyszukiwarek. Według samego Google jest to próba zwiększenia bezpieczeństwa Internetu.

HTTPS to protokół zapewniający poufność wymiany danych między użytkownikiem a stroną internetową. Zapewnia bezpieczeństwo przesyłania ważnych informacji między witrynami a serwerami, w przeciwieństwie do starego protokołu HTTP.

Protokół HTTPS był wcześniej powszechnie używany w transakcjach finansowych w witrynach handlu elektronicznego w celu ochrony skrzynek pocztowych. Innymi słowy, był stosowany do wszelkich transakcji wymagających bezpieczeństwa i niezawodności.

Przenosząc swoją witrynę do protokołu HTTPS, nie tylko zwiększysz jej bezpieczeństwo; zwiększysz również swoje szanse na zdobycie wysokich pozycji w wynikach wyszukiwania w zapytaniach tematycznych Google i Bing.

Krok 3: Zainstaluj wtyczki zabezpieczające WordPress

Ważne jest, aby skonfigurować system audytu i monitorowania, który śledzi każdą aktywność, która ma miejsce w Twojej witrynie.

Potrzebujesz wtyczki zabezpieczającej, aby:

  • monitorować integralność plików;
  • śledzić nieudane próby logowania;
  • przeskanować witrynę w poszukiwaniu złośliwego oprogramowania;
  • wyeliminować wszelkie zagrożenia;
  • chronić swoją witrynę przed zagrożeniami;
  • mieć uniwersalnego pomocnika w walce z wszelkiego rodzaju podatnościami;

Bezpłatna wtyczka Sucuri Scanner poradzi sobie z tymi zadaniami.

Jak skonfigurować Sucuri Scanner?

  1. Utwórz darmowy klucz API. Pomoże prowadzić ewidencję śladów, sprawdzać integralność serwisu, powiadamiać e-mailem o wystąpieniu zagrożeń.
  2. Przejdź do zakładki Hardening w menu Sucuri na pulpicie WordPress. Zaznacz każdą opcję i kliknij przycisk „Wzmocnij”.

Te ustawienia pomagają blokować strefy ryzyka, których hakerzy często używają do swoich ataków.

  1. Skonfiguruj alerty o zagrożeniach przez e-mail. Aby upewnić się, że poczta e-mail nie zaśmieca Twojej poczty, zalecamy skonfigurowanie otrzymywania wiadomości e-mail tylko o krytycznych akcjach, takich jak rejestracja nowych użytkowników, zmiany we wtyczkach.

Wordfence Security to jedna z najbardziej znanych wtyczek bezpieczeństwa z ponad 2 milionami aktywnych instalacji i wbudowaną zaporą ogniową. Zapewnia kompleksową ochronę serwisu na wszystkich frontach:

  • Uniwersalna ochrona terenu;
  • Ochrona przed nowymi zagrożeniami;
  • Ochrona przed atakami brute force;
  • Wykrywanie złośliwego ruchu;
  • Blokowanie intruzów, zanim dotrą na miejsce;
  • Ochrona przed botami;
  • Blokowanie złośliwych sieci;
  • Ochrona danych wejściowych przed hasłami brute-force, atakami DDoS;
  • Skanowanie witryny w celu wykrycia zagrożeń;
  • Skanowanie tylnych drzwi;
  • Skanowanie w poszukiwaniu trojanów, podejrzanego kodu;
  • Skanowanie wiadomości i komentarzy.

Aby uzyskać bardziej niezawodną zaporę ogniową, musisz kupić wersję Premium (od 99 USD za rok). Podstawowe funkcje wtyczki są dostępne w wersji darmowej.

Wyślij prośbę do Google, Bing itp.

Negatywnym skutkiem włamania jest to, że wiele wyszukiwarek, przeglądarek i oprogramowania zabezpieczającego identyfikuje Twój zasób jako problematyczny i wysyła alerty użytkownikom, którzy chcą odwiedzić witrynę. W ten sposób starają się zapewnić bezpieczeństwo swoim użytkownikom, chronić ich przed niebezpieczeństwem.

Aby Twoja witryna powstała tak szybko, jak to możliwe, skontaktuj się z Google, Bing, Yahoo, Mozillą i innymi usługami w celu usunięcia witryny z ich czarnej listy.

Podsumowując

Podobnie jak w przypadku większości innych rzeczy, które nagle poszły nie tak, po prostu bądź ostrożny i upewnij się, że podjąłeś wszelkie możliwe środki ostrożności, aby chronić swoją witrynę WordPress przed wszelkimi atakami. Jeśli było to nieuniknione i już zostałeś zhackowany, nie zniechęcaj się.

Po prostu użyj negatywnego doświadczenia (którego zwykle można uniknąć) jako dzwonka alarmowego, wykonaj czynności opisane powyżej i zastosuj wszelkie środki bezpieczeństwa, aby uniknąć takiego zdarzenia w przyszłości.