Kako zaščititi spletno mesto WordPress pred hekerji

Varnostni vodnik za WordPress za mala podjetja & podjetniki. Naučite se, kako zaščititi svoje spletno mesto WordPress pred hekerji s temi proaktivnimi koraki.


Nasveti za varnost WordPressa

Obstaja pregovor “Če ga boste zgradili, bodo prišli.” In v spletnem svetu to pomeni hekerji. Toda kaj storite, da jih ustavite? Varnost je pomembna in najbolj aktiven način zaščite spletnega mesta je. Tako kot pri hiši ali podjetju tudi vi želite varovati svoje premoženje. Večina spletnih mest WordPress je okuženih zaradi pomanjkanja posodobljenih datotek, prekinitve ene od prijav ali napada z grobo silo. Najtežji del je spoznanje, da se okužba z zlonamerno programsko opremo lahko zgodi na katerem koli spletnem mestu. Opazil sem napad s silovitim napadom na testno mesto, ki ga Google sploh ni indeksiral in ni imel obiskovalcev. Čeprav nikoli ni nič 100% popolnega dokaza, se najhujšemu izognemo. Tu so preprosti koraki, ki jih lahko sprejme lastnik majhnega podjetja, da ohranijo svoje spletno podjetje varno, za katerega ne potrebujete razvijalca ali kodiranja.

Pomen gesel

Odlično geslo je prva obrambna linija, ki nezaželene ljudi ne bo shranila na vaših spletnih mestih. Ko bot poskusi priti na nadzorno ploščo WordPress, je prva stvar, ki jo poskušajo uporabiti pri prijavi, “admin” in “geslo”, saj je ta kombinacija najbolj razširjena prijava. Če ga spremenite tako, da je »Pa $$ w0rd«, ne postane varnejše niti zaradi dejstva, da še vedno bere »geslo«. Imena ali karkoli, kar bo še vedno brala kot čitljiva beseda, so najlažja vlomljena gesla. Običajno mora biti vsako geslo vsaj 12 nečitljivih znakov, ki vsebujejo velike in male črke, številke in posebne znake. Več znakov v geslu, težje ga je prebiti. Če želite preizkusiti, kako varna so gesla, preverite Kako varno je moje geslo ček. To vam bo pokazalo, kako dolgo bo računalniški bot potreboval vaše geslo. Preverjevalec mi je rekel, da bo na namiznem računalniku potrebovalo približno 377 milijard let, da se moje geslo pokvari. Takrat boste vedeli, da imate odlično geslo!

Varnostni vtičniki pomagajo

Obstaja veliko vrst varnostnih vtičnikov, ki opravljajo vrsto funkcij. Na svojem spletnem mestu lahko uporabljate več varnostnih vtičnikov, če jih ne nastavite za iste stvari. Tu je seznam nekaterih odličnih varnostnih dodatkov za WordPress, ki so na voljo. Toda za ta članek je tukaj opisano, kako sem nastavila vsa svoja spletna mesta za maksimalno varnost.

Jetpack – Na vseh svojih spletnih mestih uporabljam večnamenski vtičnik Jetpack. Ima nekaj funkcij, vgrajenih za varnostne ukrepe, ki jih vklopim.

  • Monitor – Jetpack vas bo obvestil, ko se bo vaše spletno mesto ustavilo in kdaj se bo spet pojavilo. Vedno bodite seznanjeni, ko stranke ne morejo dostopati do vašega spletnega mesta.
  • Protect – Protect je bil nekoč samostojen vtičnik, imenovan BruteProtect. Bil je eden največje uporabljenih vtičnikov za preprečevanje napadov grobe sile. Automattic jo je kupil lani, zdaj pa jo je vgradil v Jetpack.
  • Upravljanje – Jetpack’s Manage vam omogoča posodabljanje vtičnikov, tem in jedra vseh samoplačniških spletnih mest z ene nadzorne plošče in vam daje možnost samodejnih posodobitev.

iThemes varnost (prej boljša varnost WP) – Medtem ko iThemes Security NI zaščitni zid, vendar prinaša velike koristi pri varovanju spletnega mesta, ne da bi morali sami spremeniti kodo. Imajo brezplačno in Pro različico. Tu so funkcije, ki jih je treba vklopiti s tem vtičnikom med uporabo Jetpacka.

  • Vedno dovolite, da iThemes Security piše v wp-config.php in .htaccess. Tako vtičnik pove spletnemu mestu, kako utrditi varnost.
  • Omogoči ponavljanje kršitelja na črni seznam
  • Omogoči zaznavanje 404
  • Izkoristite način Away, ko veste, da se nihče ne sme prijaviti na nadzorno ploščo. Pustite se, če delate na svojem spletnem mestu ob vseh urah dneva.
  • Omogočite uporabnike prepovedi in funkcijo črnega seznama HackRepair.com. Tako bo znani zlonamerni IP oddaljen od vašega spletnega mesta.
  • Omogočite zaznavanje sprememb datoteke in preverjanje datoteke razdelite na vpenjalne glave. iThemes vas bo obvestil, če se je katera od datotek spremenila in se ne ujema s tistimi, ki so v originalnih datotekah repozitorija.
  • Omogočite funkcijo skrite zaščitene datoteke. To bo spremenilo vašo prijavo s spletnega mesta YourSite.com/wp-login.php na stran po vaši izbiri. Ne postavljajte ga kot trenutno ali prihodnjo stran ali objavo. Odlični primeri so vnos, glavni ali varen.
  • iThemes Security zdaj ponuja skeniranje Sucuri SiteCheck za vse uporabnike vtičnikov.
  • Omogočite močna gesla za vse uporabnike, vključno z naročniki.
  • Potrdite vsa polja v sistemskih nastavitvah.
  • Na področju WordPress Tweaks ne uporabljajte popolnoma onemogočite XML-RPC pri uporabi Jetpack-a, ker lahko to Jetpack ne deluje več pravilno.
  • Različica Pro vam omogoča uporabo dvofaktorne pristnosti za prijavo med druge funkcije.

WordFence – Medtem, ko obožujem optični bralnik WordFence, ga navadno prenesem na spletno mesto, ko dvakrat preverim, ali so bile izbrisane vse zlonamerne programske opreme. Če menite, da je vaše spletno mesto okuženo, WordFence lahko zazna katero koli datoteko WordPress, ki je bila spremenjena iz prvotne. WordFence ponuja tudi orodje za predpomnjenje. Če se odločite za uporabo programa WordFence, lahko omogočite vse možnosti, vendar jih ne zaženite z iThemes Security, Jetpack’s Protect ali Sucuri Security, saj lahko med seboj povzročijo konflikt..

Sucuri Varnost – Sucuri ima tako požarni zid kot AntiVirus, ki lahko pomaga blokirati slabe fante z vašega spletnega mesta. Sucuri ima najbolj razširjen požarni zid WordPress v industriji. Sucuri CloudProxy Firewall lahko zaženete z iThemes Security, vendar dobite seznam IP-jev CloudProxy-ja od Sucuri-ja, da ga vstavite v svoj beli seznam IP-ja v nastavitvah iThemes Security..

Dvofaktorska overitev

Vsako prijavo, pri kateri imate lahko avtentikacijo dveh strank, je vedno priporočljivo uporabiti. Obstajajo različni načini, kako to lahko nastavite. Lahko je CAPTCHA, Googlova koda za avtorizacijo ali preprosto matematično vprašanje, s katerim lahko dokažete, da ste človek. Če se odločite za uporabo katerega koli od teh, se prepričajte, da ima vsaka oseba, ki dostopa do nadzorne plošče, svojo prijavo. Skupna prijava lahko povzroči težave, zlasti če uporabite Googlovo avtorizacijsko kodo, poslano na mobilni telefon.

  • iThemes Security Pro – ima več možnosti z dvema faktorjema, vključno s CAPTCHA. Googlova avtorizacija in preprosta matematika.
  • Clef – Clef s svojim mobilnim telefonom ponuja pristop brez gesla za prijavo na svojo nadzorno ploščo WordPress.
  • Google Authenticator – Uporablja dvofaktorsko overjanje s programom Google Authenticator za Android / iPhone / Blackberry.

Vedno posodobite

Največji razlog, da zlonamerna koda pride na spletno mesto, je zaradi ugotovljene ranljivosti v kodi za vtičnik, temo ali spletno mesto. To je enostavno odpraviti, če je vaše spletno mesto na ciklu posodobitve. Nekateri lastniki bodo imeli določen dan v tednu, da posodobijo svoje spletno mesto, medtem ko se bodo drugi posodabljali vsakič, ko se prijavijo. Obstajajo vtičniki, ki lahko pomagajo pri posodabljanju spletnih mest.

  • Jetpack – Na eni nadzorni plošči WordPress.com upravljajte z vsemi povezanimi mesti Jetpack
  • iThemes Sync – Sinhronizirajte do 10 mest brezplačno, tako da je ena nadzorna plošča za posodobitev, zagon BackupBuddy in odklepanje varnostnih izklopov iThemes.

Imejte rezervni sistem

Zelo malo je pomembnejšega pri spletnem mestu, potem pa je vzpostavljen varnostni sistem. Dokler obstaja popolna varnostna kopija spletnega mesta, vključno z bazo podatkov, vaše spletne strani ne boste nikoli izgubili. Obstaja veliko načinov za varnostno kopiranje spletnega mesta, nekateri so avtomatizirani, nekateri so ročni. Varnostne kopije vedno pošiljajte kam drugam kot strežnik.

  • Updraft Plus – Imajo brezplačno in vrhunsko različico za varnostno kopiranje vaše spletne strani.
  • BackupBuddy – Vrhunski rezervni vtičnik, ki se integrira z iThemes Security in Sync.

Razni varnostni nasveti

Čeprav se ti ne uvrščajo v večjo kategorijo, si jih je treba zapomniti

  • Pri upravljanju datotek vedno uporabljajte SFTP.
  • Imejte imenike na 755, datoteke pa na 644. Nikoli jih ne imejte pri 777 ali 666, saj jih vsi lahko izvršijo.
  • Prepričajte se, da sta uporabniško ime in geslo baze podatkov zapletena.
  • Ne pošiljajte gesla po e-pošti. Pripnite jih kot dokument z zadrgo.
  • S pomočjo upravitelja gesel spremljajte svoje prijave. LastPass in 1Password sta odlični orodji, ki jih lahko uporabljate v katerem koli brskalniku in na svojih mobilnih napravah.
  • Na svojem računalniku imejte protivirusni program, da zaustavite samodejni prenos z zlonamernega spletnega mesta.

S pomočjo teh korakov boste vi in ​​vaše spletno podjetje pomagali ostati varni. Ne pozabite, da je proaktiven najboljši pristop k varnosti WordPressa!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map