Jak sprawić, by witryna WordPress była bezpieczna?

Opublikowany: 2020-10-27

Uruchomienie własnej witryny WordPress w dzisiejszych czasach jest dość łatwe. Niestety hakerzy szybko zaczną atakować Twoją witrynę.

Najlepszym sposobem na zabezpieczenie witryny WordPress jest zrozumienie każdego punktu podatności, który wynika z prowadzenia witryny WordPress. Następnie zainstaluj odpowiednie zabezpieczenia, aby blokować hakerów w każdym z tych punktów.

Spis treści

    W tym artykule dowiesz się, jak lepiej zabezpieczyć swoją domenę, login WordPress oraz narzędzia i wtyczki dostępne do zabezpieczenia witryny WordPress.

    Utwórz domenę prywatną

    W dzisiejszych czasach bardzo łatwo jest znaleźć dostępną domenę i kupić ją po bardzo niskiej cenie. Większość ludzi nigdy nie kupuje żadnych dodatków do swojej domeny. Jednak jednym z dodatków, który zawsze powinieneś rozważyć, jest Ochrona prywatności.

    Istnieją trzy podstawowe poziomy ochrony prywatności w GoDaddy, ale odpowiadają one również ofertom większości dostawców domen.

    • Podstawowe : ukryj swoje imię i nazwisko oraz dane kontaktowe w katalogu WHOIS. Jest to dostępne tylko wtedy, gdy rząd zezwala na ukrycie informacji kontaktowych domeny.
    • Pełna : zastąp własne informacje alternatywnym adresem e-mail i danymi kontaktowymi, aby ukryć swoją faktyczną tożsamość.
    • Ultimate : dodatkowe zabezpieczenia, które blokują skanowanie złośliwych domen i obejmują monitorowanie bezpieczeństwa witryny dla Twojej rzeczywistej witryny.

    Zwykle uaktualnienie domeny do jednego z tych poziomów bezpieczeństwa wymaga jedynie wybrania uaktualnienia z listy rozwijanej na stronie z listą domen.

    Podstawowa ochrona domeny jest dość tania (zwykle około 9,99 USD rocznie), a wyższy poziom bezpieczeństwa nie jest dużo droższy.

    Jest to doskonały sposób na powstrzymanie spamerów przed wykradaniem Twoich danych kontaktowych z bazy danych WHOIS lub innych osób, które chcą uzyskać dostęp do Twoich danych kontaktowych w złych zamiarach.

    Ukryj pliki wp-config.php i .htaccess

    Podczas pierwszej instalacji WordPressa musisz dołączyć identyfikator administratora i hasło do bazy danych SQL WordPress w pliku wp-config.php.

    Te dane są szyfrowane po instalacji, ale chcesz również zablokować hakerom możliwość edytowania tego pliku i uszkodzenia witryny. Aby to zrobić, znajdź i edytuj plik .htaccess w folderze głównym witryny i dodaj następujący kod na dole pliku.

     # chroń wpconfig.php
     <pliki wp-config.php>
     zamów zezwól, odrzuć
     Odmowa od wszystkich
     </file>

    Aby zapobiec zmianom samego .htaccess, dodaj również następujące elementy na dole pliku.

     # Chroń plik .htaccess
     <Pliki .htaccess>
     zamów zezwól, odrzuć
     Odmowa od wszystkich
     </Pliki>

    Zapisz plik i zamknij edytor plików.

    Możesz również rozważyć kliknięcie prawym przyciskiem myszy każdego pliku i zmianę uprawnień, aby całkowicie usunąć dostęp do zapisu dla wszystkich.

    Chociaż robienie tego w pliku wp-config.php nie powinno powodować żadnych problemów, robienie tego na .htaccess może powodować problemy. Zwłaszcza jeśli używasz jakichkolwiek wtyczek WordPress, które mogą wymagać edycji pliku .htaccess za Ciebie.

    Jeśli otrzymasz jakiekolwiek błędy z WordPress, zawsze możesz zaktualizować uprawnienia, aby ponownie zezwolić na dostęp do zapisu w pliku .htaccess.

    Zmień adres URL logowania do WordPressa

    Ponieważ domyślną stroną logowania dla każdej witryny WordPress jest twojadomena/wp-admin.php, hakerzy użyją tego adresu URL, aby spróbować włamać się do Twojej witryny.

    Zrobią to za pomocą tak zwanych ataków „brute force”, w których będą wysyłać odmiany typowych nazw użytkowników i haseł, których często używa wiele osób. Hakerzy mają nadzieję, że będą mieli szczęście i trafią na odpowiednią kombinację.

    Możesz całkowicie powstrzymać te ataki, zmieniając adres URL logowania do WordPressa na coś niestandardowego.

    Istnieje wiele wtyczek WordPress, które pomogą Ci to zrobić. Jednym z najczęstszych jest WPS Hide Login.

    Ta wtyczka dodaje sekcję do zakładki Ogólne w obszarze Ustawienia w WordPress.

    Tam możesz wpisać dowolny adres URL logowania i wybrać Zapisz zmiany , aby go aktywować. Następnym razem, gdy będziesz chciał zalogować się do swojej witryny WordPress, użyj tego nowego adresu URL.

    Jeśli ktoś spróbuje uzyskać dostęp do starego adresu URL wp-admin, zostanie przekierowany na stronę 404 Twojej witryny.

    Uwaga : jeśli używasz wtyczki pamięci podręcznej, dodaj nowy adres URL logowania do listy witryn, których nie można przechowywać w pamięci podręcznej. Następnie wyczyść pamięć podręczną, zanim ponownie zalogujesz się do witryny WordPress.

    Zainstaluj wtyczkę bezpieczeństwa WordPress

    Do wyboru jest wiele wtyczek zabezpieczających WordPress. Spośród nich Wordfence jest najczęściej pobieranym, nie bez powodu.

    Bezpłatna wersja Wordfence zawiera potężny silnik skanowania, który wyszukuje zagrożenia typu backdoor, złośliwy kod we wtyczkach lub w witrynie, zagrożenia wstrzykiwania MySQL i nie tylko. Zawiera również zaporę sieciową do blokowania aktywnych zagrożeń, takich jak ataki DDOS.

    Pozwoli to również powstrzymać ataki typu brute force, ograniczając próby logowania i blokując użytkowników, którzy podejmują zbyt wiele błędnych prób logowania.

    W darmowej wersji dostępnych jest sporo ustawień. To więcej niż wystarczające, aby chronić małe i średnie witryny przed większością ataków.

    Istnieje również przydatna strona pulpitu nawigacyjnego, którą możesz przejrzeć, aby monitorować ostatnie zagrożenia i ataki, które zostały zablokowane.

    Użyj generatora haseł WordPress i 2FA

    Ostatnią rzeczą, jakiej oczekujesz, jest łatwe odgadnięcie hasła przez hakerów. Niestety zbyt wiele osób używa bardzo prostych haseł, które są łatwe do odgadnięcia. Niektóre przykłady obejmują użycie nazwy strony internetowej lub własnej nazwy użytkownika jako części hasła lub nieużywanie żadnych znaków specjalnych.

    Jeśli zaktualizowałeś WordPressa do najnowszej wersji, masz dostęp do potężnych narzędzi zabezpieczających hasłem, aby zabezpieczyć swoją witrynę WordPress.

    Pierwszym krokiem do poprawy bezpieczeństwa hasła jest przejście do każdego użytkownika witryny, przewinięcie w dół do sekcji Zarządzanie kontem i wybranie przycisku Generuj hasło .

    Spowoduje to wygenerowanie długiego, bardzo bezpiecznego hasła zawierającego litery, cyfry i znaki specjalne. Zapisz to hasło w bezpiecznym miejscu, najlepiej w dokumencie na dysku zewnętrznym, który możesz odłączyć od komputera w trybie online.

    Wybierz opcję Wyloguj się wszędzie , aby upewnić się, że wszystkie aktywne sesje są zamknięte.

    Wreszcie, jeśli zainstalowałeś wtyczkę bezpieczeństwa Wordfence, zobaczysz przycisk Aktywuj 2FA . Wybierz tę opcję, aby włączyć uwierzytelnianie dwuskładnikowe dla loginów użytkowników.

    Jeśli nie używasz Wordfence, musisz zainstalować jedną z tych popularnych wtyczek 2FA.

    • Google Authenticator
    • Uwierzytelnianie dwuetapowe
    • Uwierzytelnianie dwuetapowe Rublon
    • Uwierzytelnianie dwuetapowe Duo

    Inne ważne względy bezpieczeństwa

    Jest jeszcze kilka rzeczy, które możesz zrobić, aby w pełni zabezpieczyć swoją witrynę WordPress.

    Zarówno wtyczki WordPress, jak i sama wersja WordPressa powinny być zawsze aktualizowane. Hakerzy często próbują wykorzystać luki w starszych wersjach kodu w Twojej witrynie. Jeśli nie zaktualizujesz obu, narażasz swoją witrynę na ryzyko.

    1. Regularnie wybieraj wtyczki i zainstalowane wtyczki w panelu administracyjnym WordPress. Przejrzyj wszystkie wtyczki pod kątem stanu, który mówi, że dostępna jest nowa wersja.

    Gdy zobaczysz taki, który jest nieaktualny, wybierz zaktualizuj teraz . Możesz również rozważyć wybranie opcji Włącz automatyczne aktualizacje wtyczek.

    Jednak niektórzy ludzie nie chcą tego robić, ponieważ aktualizacje wtyczek mogą czasami uszkodzić witrynę lub motyw. Dlatego zawsze dobrze jest przetestować aktualizacje wtyczek w lokalnej witrynie testowej WordPress przed włączeniem ich w aktywnej witrynie.

    2. Gdy zalogujesz się do pulpitu WordPress, zobaczysz powiadomienie, że WordPress jest nieaktualny, jeśli korzystasz ze starszej wersji.

    Ponownie wykonaj kopię zapasową witryny i załaduj ją na lokalną witrynę testową na własnym komputerze, aby sprawdzić, czy aktualizacja WordPress nie powoduje uszkodzeń witryny, zanim zaktualizujesz ją na swojej aktywnej stronie internetowej.

    3. Skorzystaj z bezpłatnych funkcji bezpieczeństwa swojego hosta internetowego. Większość hostów internetowych oferuje różne bezpłatne usługi bezpieczeństwa dla witryn, które tam hostujesz. Robią to, ponieważ nie tylko chroni Twoją witrynę, ale zapewnia bezpieczeństwo całego serwera. Jest to szczególnie ważne, gdy korzystasz ze współdzielonego konta hostingowego, na którym inni klienci mają witryny na tym samym serwerze.

    Często obejmują one bezpłatne instalacje zabezpieczeń SSL dla Twojej witryny, bezpłatne kopie zapasowe, możliwość blokowania złośliwych adresów IP, a nawet bezpłatny skaner witryny, który regularnie skanuje Twoją witrynę w poszukiwaniu złośliwego kodu lub luk w zabezpieczeniach.

    Prowadzenie strony internetowej nigdy nie jest tak proste, jak instalacja WordPressa i publikowanie treści. Ważne jest, aby Twoja witryna WordPress była jak najbardziej bezpieczna. Wszystkie powyższe wskazówki mogą Ci w tym pomóc bez większego wysiłku.