Jak chronić witrynę WordPress przed hakerami

Przewodnik bezpieczeństwa WordPress dla małych firm & przedsiębiorcy. Dowiedz się, jak chronić swoją witrynę WordPress przed hakerami dzięki tym proaktywnym krokom.


Wskazówki dotyczące bezpieczeństwa WordPress

Jest takie powiedzenie: „Jeśli je zbudujecie, przyjdą”. A w świecie online oznacza to hakerów. Ale co robisz, aby ich powstrzymać? Bezpieczeństwo jest ważne, a proaktywne podejście jest najlepszym sposobem ochrony Twojej witryny. Podobnie jak w przypadku domu lub firmy, chcesz zabezpieczyć swoje aktywa. Większość stron internetowych WordPress jest zainfekowanych z powodu braku aktualizacji plików, zerwania jednego z loginów lub ataku brutalnej siły. Najtrudniejsze jest uświadomienie sobie, że infekcja złośliwym oprogramowaniem może wystąpić na dowolnej stronie. Widziałem atak brutalnej siły na stronie testowej, która nawet nie została zaindeksowana przez Google i nie miała odwiedzających. Chociaż nic nigdy nie jest w 100% pełnym dowodem, istnieją sposoby na uniknięcie najgorszego. Oto proste kroki, które właściciel małej firmy może podjąć, aby zabezpieczyć swoją działalność online, nie wymagając od programisty ani kodowania z Twojej strony.

Znaczenie haseł

Świetne hasło to pierwsza linia obrony, która chroni niechciane osoby przed twoimi witrynami. Gdy bot próbuje wejść na pulpit WordPress, pierwszą rzeczą, której próbują użyć podczas logowania, jest „admin” i „hasło”, ponieważ ta kombinacja jest najczęściej używanym loginem. Zmiana go na „Pa $$ w0rd” nie czyni go bardziej bezpiecznym, ponieważ nadal odczytuje „hasło”. Nazwy lub cokolwiek, co nadal będzie czytać jako czytelne słowo, to najłatwiejsze zhakowane hasła. Zazwyczaj każde hasło powinno składać się z co najmniej 12 znaków, które są nieczytelne, zawierających duże i małe litery, cyfry i znaki specjalne. Im więcej znaków w haśle, tym trudniej jest je złamać. Jeśli chcesz sprawdzić, jak bezpieczne są twoje hasła, sprawdź Jak bezpieczne jest moje hasło szachownica. To pokaże, jak długo zajęłoby botowi komputerowemu złamanie hasła. Kontroler powiedział mi, że złamanie hasła zajmie komputerowi stacjonarnemu około 377 miliardów lat. Wtedy wiesz, że masz świetne hasło!

Wtyczki bezpieczeństwa pomagają

Istnieje wiele rodzajów wtyczek bezpieczeństwa, które wykonują szereg funkcji. Możesz użyć więcej niż jednej wtyczki bezpieczeństwa w swojej witrynie, o ile nie masz ustawionych do robienia tych samych rzeczy. Oto lista świetnych wtyczek bezpieczeństwa WordPress, które są dostępne. Ale w tym artykule oto, w jaki sposób skonfigurowałem wszystkie moje witryny w celu zapewnienia maksymalnego bezpieczeństwa.

Jetpack – Korzystam z fikcyjnej wtyczki Jetpack na wszystkich moich stronach. Mają kilka wbudowanych funkcji bezpieczeństwa, które włączam.

  • Monitor – Jetpack powiadomi Cię, gdy Twoja strona się zawiesi i kiedy wróci. Zawsze miej świadomość, że Twoi klienci nie mogą uzyskać dostępu do Twojej witryny.
  • Protect – Protect to niegdyś samodzielna wtyczka o nazwie BruteProtect. Była to jedna z najczęściej używanych wtyczek do blokowania ataków siłowych. Automattic nabył go w zeszłym roku i teraz ma wbudowany Jetpack.
  • Zarządzaj – Zarządzanie Jetpack umożliwia aktualizację wtyczek, motywów i rdzenia wszystkich hostowanych witryn z jednego pulpitu nawigacyjnego i daje możliwość automatycznych aktualizacji.

iThemes Security (wcześniej Better WP Security) – Chociaż iThemes Security NIE jest zaporą bezpieczeństwa, daje ogromne korzyści z zabezpieczenia strony internetowej bez konieczności samodzielnej zmiany kodu. Mają darmową i wersję Pro. Oto funkcje, które należy włączyć w tej wtyczce podczas korzystania z Jetpack.

  • Zawsze zezwalaj iThemes Security na pisanie do wp-config.php i .htaccess. W ten sposób wtyczka mówi stronie internetowej, jak wzmocnić bezpieczeństwo.
  • Włącz powtarzającego przestępcę na czarnej liście
  • Włącz wykrywanie 404
  • Skorzystaj z trybu Away, gdy wiesz, że nikt nie powinien logować się do deski rozdzielczej. Przestań, jeśli pracujesz na swojej stronie o każdej porze dnia.
  • Włącz blokowanie użytkowników i funkcję czarnej listy HackRepair.com. Dzięki temu znane złośliwe adresy IP będą znajdować się z dala od Twojej witryny.
  • Włącz wykrywanie zmian plików i podziel sprawdzanie plików na uchwyty. iThemes powiadomi Cię, jeśli któryś z plików się zmienił i nie pasuje do oryginalnych plików repozytorium.
  • Włącz funkcję ukrywania kopii zapasowej. Spowoduje to zmianę twojego loginu z YourSite.com/wp-login.php na wybraną przez Ciebie stronę niestandardową. Nie umieszczaj go jako bieżącej lub przyszłej strony lub postu. Świetne przykłady to enter, main lub secure.
  • iThemes Security oferuje teraz skanowanie witryny Sucuri dla wszystkich użytkowników wtyczek.
  • Włącz silne hasła dla wszystkich użytkowników, w tym subskrybentów.
  • Zaznacz wszystkie pola w poprawkach systemowych.
  • W obszarze Tweaks WordPress nie wyłączaj całkowicie XML-RPC podczas korzystania z Jetpack, ponieważ może to spowodować nieprawidłowe działanie Jetpack.
  • Wersja Pro daje możliwość używania uwierzytelniania dwuskładnikowego do logowania między innymi funkcjami.

WordFence – Chociaż uwielbiam skaner WordFence, zazwyczaj pobieram go na stronę tylko wtedy, gdy sprawdzam dwukrotnie, aby upewnić się, że wszystkie złośliwe oprogramowanie zostało usunięte. Jeśli uważasz, że Twoja witryna została zainfekowana, WordFence może wykryć każdy plik WordPress, który został zmieniony z oryginalnego. WordFence oferuje również narzędzie buforujące. Jeśli zdecydujesz się na użycie WordFence, możesz włączyć wszystkie opcje, ale nie uruchamiać go za pomocą iThemes Security, Jetpack’s Protect lub Sucuri Security, ponieważ mogą one powodować konflikty między sobą.

Sucuri Security – Sucuri ma zarówno zaporę ogniową, jak i program antywirusowy, które mogą pomóc zablokować złych gości z Twojej witryny. Sucuri ma najczęściej używaną zaporę WordPress w branży. Możesz uruchomić Sucuri CloudProxy Firewall z iThemes Security, ale pobierz listę adresów IP CloudProxy od Sucuri i umieść na swojej białej liście IP w ustawieniach iThemes Security.

Uwierzytelnianie dwuskładnikowe

Przy każdym logowaniu, na którym można mieć uwierzytelnianie dwupartyjne, zawsze zaleca się użycie. Można to skonfigurować na różne sposoby. Może być CAPTCHA, kod autoryzacji Google lub proste pytanie matematyczne, aby udowodnić, że jesteś człowiekiem. Jeśli zdecydujesz się na użycie któregokolwiek z nich, upewnij się, że każda osoba uzyskująca dostęp do pulpitu ma własny login. Udostępniane dane logowania mogą powodować problemy, zwłaszcza jeśli używasz kodu autoryzacji Google wysyłanego na telefon komórkowy.

  • iThemes Security Pro – ma wiele opcji dwuskładnikowych, w tym CAPTCHA. Autoryzacja Google i prosta matematyka.
  • Klucz wiolinowy – Używając telefonu komórkowego, Clef oferuje podejście bez hasła do logowania do pulpitu WordPress.
  • Google Authenticator – Wykorzystuje uwierzytelnianie dwuskładnikowe przez aplikację Google Authenticator na Androida / iPhone’a / Blackberry.

Zawsze aktualizuj

Największym powodem, dla którego szkodliwy kod dostaje się do witryny, jest luka w kodzie wtyczki, motywu lub witryny. Łatwo temu zaradzić, utrzymując witrynę w cyklu aktualizacji. Niektórzy właściciele będą mieli ustalony dzień tygodnia na aktualizację swojej witryny, podczas gdy inni będą aktualizować za każdym razem, gdy się zalogują. Istnieją wtyczki, które mogą pomóc w aktualizowaniu witryn.

  • Jetpack – Obsługuj wszystkie witryny powiązane z Jetpack w jednym pulpicie WordPress.com
  • iThemes Sync – Synchronizuj do 10 witryn za darmo, więc jest jeden pulpit do aktualizacji, uruchamiania BackupBuddy i odblokowywania blokad iThemes Security.

Mieć system zapasowy

Niewiele jest ważniejsze w przypadku witryny internetowej niż posiadania systemu tworzenia kopii zapasowych. Dopóki istnieje pełna kopia zapasowa strony internetowej, w tym bazy danych, nigdy nie utracisz swojej strony internetowej. Istnieje wiele sposobów na wykonanie kopii zapasowej strony internetowej, niektóre są zautomatyzowane, niektóre ręczne. Zawsze wysyłaj kopie zapasowe w innym miejscu niż serwer.

  • Updraft Plus – Mają bezpłatną wersję premium do tworzenia kopii zapasowych witryny.
  • BackupBuddy – Dodatkowa wtyczka do tworzenia kopii zapasowych, która integruje się z iThemes Security and Sync.

Różne wskazówki bezpieczeństwa

Chociaż nie mieszczą się w większej kategorii, są równie ważne, aby o nich pamiętać

  • Zawsze używaj SFTP podczas korzystania z menedżera plików.
  • Trzymaj katalogi na 755, a pliki na 644. Nigdy nie używaj ich na 777 lub 666, ponieważ wszyscy mogą je wykonywać.
  • Sprawia, że ​​nazwa użytkownika i hasło do bazy danych są złożone.
  • Nie wysyłaj haseł w wiadomości e-mail. Dołącz je jako skompresowany dokument tekstowy.
  • Użyj menedżera haseł, aby śledzić swoje dane logowania. LastPass i 1Password to świetne narzędzia, których można używać w dowolnej przeglądarce i na urządzeniach mobilnych.
  • Zachowaj na swoim komputerze program antywirusowy, aby zatrzymać automatyczne pobieranie ze złośliwej witryny.

Wykonanie tych kroków pomoże Tobie i Twojej firmie online zachować bezpieczeństwo. Pamiętaj, że proaktywność to najlepsze podejście do bezpieczeństwa WordPress!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map