WordPress Security

Zabezpieczenia WordPress – Kompletny przewodnik dla Rock Solid WP Security [w zestawie bezpłatna wtyczka]

Published on: May 23, 2020

Zabezpieczenia WordPress – Kompletny przewodnik dla Rock Solid WP Security [w zestawie bezpłatna wtyczka]

Będąc wykorzystywanym przez jedną trzecią wszystkich stron internetowych, WordPress zawsze przyciąga uwagę hakerów. W ostatnich latach zasięg ataków na WordPress jest alarmujący i wymaga działania. Pomimo ataków WordPress Security jest wciąż bardzo źle rozumianą i niedocenianą koncepcją. Właściciele witryn uważają, że wygodniej jest je przeoczyć. 

This Blog Includes show

Jednak w wyniku tych exploitów wiele osób pogodzi się z potrzebą aktualizacji swoich standardów bezpieczeństwa WordPress. Ale często na morzu decydują, które praktyki bezpieczeństwa są uzasadnione, a jakie nie. Nie martw się! Przeprowadziliśmy dla Ciebie badania. W tym artykule znajdziesz pełną listę niezbędnych i możliwych do zastosowania środków bezpieczeństwa WordPress dla Twojej witryny. Co więcej, ta lista jest niezależna od Twojej wiedzy technicznej i może być łatwo zastosowana przez każdego. 

Jeśli szukasz, przejrzyj poniższe adresy URL

WordPress Security – Porozmawiajmy o liczbach

WordPress jest utrzymywany przez grupę kompetentnych programistów. Nadal pozostaje najbardziej złośliwie atakowanym CMS na świecie. Według badań ponad 70% stron internetowych WordPress jest podatnych na ataki. Ponadto ostatnie włamania do wtyczki WordPress, takiej jak RODO, WP Live chat, narażają tysiące stron na ryzyko. Ponadto szczegóły CVE ujawniają, że większość tych ataków dotyczy skryptów krzyżowych.

Jak widać na wykresie, większość witryn WordPress cierpi na XSS, a następnie wykonanie kodu. Ponadto inne badanie ujawnia, że ​​40% wszystkich ataków jest ukierunkowanych na małe i średnie strony internetowe. Tak więc ludzie, którzy wierzą, że włamują się tylko duże strony internetowe, otrzymują odpowiedź.

Ponadto większość tych ataków jest bezpośrednim wynikiem zaniedbanego bezpieczeństwa WordPress. Według Kinsta 55% zhakowanych stron miało przestarzałe wersje wtyczek, motywów lub CMS.

Wiemy już, że konsekwencje włamania mogą być katastrofalne dla firmy. Istnieje wiele rzeczy, które mogą pójść nie tak. Na przykład osoba atakująca może wtrącać się w poufne dane klientów. Mogą ukraść twoje dane uwierzytelniające, źle skonfigurować stronę internetową i tak dalej. A jeśli zdobędą twoje dane finansowe / dotyczące płatności, możesz również zbankrutować. Inne ukryte konsekwencje włamania mogą obejmować nieufność do marki, utratę autorytetu, wartość domeny itp. Ponadto włamanie może również spowodować pogorszenie wyników wyszukiwania witryny.

Powiązany przewodnik – Problemy bezpieczeństwa WordPress 2019

Jak zaostrzyć zabezpieczenia WordPress

Budowa godnej strony internetowej wymaga czasu, wysiłku i energii. Ale wszystkie te wysiłki zmienią się w fiasko, jeśli nie zadbamy o bezpieczeństwo. Z pewnością nie zwracanie należytej uwagi na bezpieczeństwo WordPress może mieć trwałe skutki. 

Jednak ochrona Twojej witryny jest o wiele łatwiejsza niż myślisz. Tak więc, jeśli dokładnie przestrzegasz tej listy środków bezpieczeństwa WordPress dla swojej witryny, gwarantuję, że ryzyko zmniejszy się do absolutnego minimum.

Website Vulnerability Scanner
Scan your website for 140+ security issues like header security, cookie security, CORS tests, HTTPS security etc.

1. Regularnie twórz kopie zapasowe swojej witryny WordPress

Spójrzmy prawdzie w oczy – nikt nie jest odporny na ataki hakerskie w Internecie. Pierwszą rzeczą do zrobienia dla Twojej witryny WordPress jest właściwe zarządzanie ryzykiem. To znaczy, zaplanuj wcześniej scenariusz taki jak hack. A mając dobre kopie zapasowe w sklepie, możesz śmiało usunąć zhakowaną wersję i natychmiast przywrócić witrynę do normy. Oczywiście w przypadku nagłego włamania kopie zapasowe mogą uchronić Cię przed całkowitym upadkiem.

Motywem kopii zapasowej jest przywrócenie Twojej witryny do najlepszego stanu na wypadek włamania. Ponadto b należy regularnie wykonywać kopie zapasowe. Teraz częstotliwość może zmieniać się od codziennej do tygodniowej do miesięcznej w zależności od częstotliwości aktualizacji treści witryny.

Ponadto pamiętaj o zrobieniu wielu kopii zapasowych (odpowiednio podając godzinę i datę). Ponieważ włamanie może pozostać ukryte przez wiele dni, w takim przypadku może być potrzebna kopia zapasowa z datą powrotu.

Dlatego, aby kopie zapasowe były bardziej funkcjonalne, w kopii zapasowej należy uwzględnić następujące pliki i foldery:

1. Pliki WordPress

  • Instalacja rdzenia
  • Wtyczki WP
  • Motywy WordPress
  • Obrazy i pliki
  • Skrypty JavaScript i PHP oraz inne pliki kodu
  • Dodatkowe pliki i statyczne strony internetowe

2. Baza danych WordPress

Baza danych WordPress przechowuje kluczowe informacje, takie jak szczegóły wpisów, stron, komentarzy, tagów, użytkowników, kategorii, pól niestandardowych itp. Dlatego niezwykle ważne jest, aby uwzględnić to w kopii zapasowej.

Sprawdzanie, czy kopia zapasowa działa, jest częścią tego procesu. Na koniec sprawdź, czy kopia zapasowa spełnia swój cel i umożliwia szybkie i pełne odzyskanie działającej witryny.

Uwaga – zachowaj kopię zapasową na podstawie daty i godziny.

a) Kopia zapasowa bazy danych WordPress

Aby utworzyć kopię zapasową bazy danych WordPress, użyj wiersza polecenia MySQL. W przeciwnym razie można również użyć interfejsów administracyjnych, takich jak phpMyAdmin.

Możesz wykonywać kopie zapasowe ręcznie, poprzez cPanel, chmurę itp. Omówiliśmy tutaj kilka metod:

a) Jak wykonać ręczne tworzenie kopii zapasowej WordPress

Wykonaj poniższe czynności, aby ręcznie wykonać kopię zapasową –

  • Kompresuj pliki swojej witryny
  • Pobierz go na urządzenie lokalne
  • Przechowuj go zdalnie
  • Utwórz menedżera kopii zapasowych z parametrem nazwę pliku, datę i godzinę utworzenia kopii zapasowej

Teraz ręczne tworzenie kopii zapasowej może być żmudnym i czasochłonnym zadaniem. Musisz uważnie monitorować pobieranie każdego pliku. Ponadto zarządzanie kopiami zapasowymi to znowu dużo pracy.

Jedyną darmową alternatywą oferującą pełne możliwości tworzenia kopii zapasowych, która wyróżnia się na liście, jest BackWPup. Możesz pominąć to wszystko i zamiast tego użyć wtyczki WordPress. Wtyczki takie jak Updraftplus, Backupbuddy itp. Automatyzują cały proces tworzenia kopii zapasowej i są bardzo łatwe w użyciu.

b) Kopia zapasowa WordPress poprzez cPanel 

Inną opcją jest tworzenie kopii zapasowych przez Cpanel. Oto jak możesz to zrobić:

  1. Zaloguj się do panelu sterowania cPanel.
  2. Kliknij ikonę „Kopia zapasowa”.
  3. Wybierz „Wygeneruj / pobierz pełną kopię zapasową”.
  4. Wybierz „Katalog domowy” w „Miejsce docelowe kopii zapasowej” i wprowadź swój adres e-mail, zanim klikniesz przycisk „Generuj kopię zapasową”.
  5. Otrzymasz wiadomość e-mail, gdy kopia zapasowa będzie gotowa.

c) Tworzenie kopii zapasowej w chmurze Twojego WordPress

Tworzenie kopii zapasowych w chmurze jest najwygodniejszym sposobem tworzenia kopii zapasowej strony internetowej WordPress. Różne usługi chmurowe, takie jak Amazon S3, Dropbox, skrytka itp. Upraszczają procedurę tworzenia kopii zapasowej.

2. Zwiększ bezpieczeństwo, aktualizując CMS, wtyczki i motywy do najnowszych wersji

Po zabezpieczeniu planu tworzenia kopii zapasowych najłatwiejszym sposobem zabezpieczenia witryny jest aktualizacja . Każda aktualizacja, czy to dla podstawowego CMS, czy wtyczek lub motywów, zawiera łaty bezpieczeństwa i poprawki bezpieczeństwa. Szybkie aktualizacje dzięki tym aktualizacjom mogą niesamowicie zmniejszyć ryzyko. Nawet najlepsi eksperci ds. Bezpieczeństwa uważają, że aktualizowanie witryny eliminuje większość zagrożeń.

Ale poważna aktualizacja może czasem zepsuć niektóre funkcje strony internetowej. Dlatego dobrą praktyką jest wcześniejsze wykonanie kopii zapasowej. Następnie przełącz swoją witrynę w tryb konserwacji przed rozpoczęciem ważnej aktualizacji.

 Ponadto rdzeń WordPress ma trzy różne typy aktualizacji:

  • Podstawowe aktualizacje programistyczne, znane jako „krwawiąca krawędź”
  • Niewielkie podstawowe aktualizacje, takie jak wydania dotyczące konserwacji i zabezpieczeń
  • Główne aktualizacje głównych wersji

Drobne wydania są automatycznie aktualizowane przez WordPress w wewnętrznej bazie danych. Tak więc to tylko najważniejsze główne wydania, którymi musisz się zająć. Podobnie, aktualizacja motywów również jest wtyczkami.

Porada od specjalistów – możesz użyć naszej wtyczki WP Hardening, aby naprawić ponad 12 problemów, takich jak (Zatrzymaj wyliczanie użytkowników, Wyłącz XMLRPC, Ukryj nr wersji i wiele innych)

Wtyczka WP Hardening

Ponownie istnieją dwa sposoby aktualizacji rdzenia, motywów i wtyczek – ręczne i zautomatyzowane . Obie metody zostały wyjaśnione poniżej –

a) Podręcznik

Core Update – Aktualizacja strony WordPress jest dość łatwa. Ponieważ WordPress automatycznie instaluje wszystkie drobne łatki, musisz wypchnąć tylko aktualizacje głównych wersji. Aby to zrobić

  1. Zaloguj się do swojego wp-admin
  2. Przejdź do sekcji Aktualizacje.
  3. Sprawdź, czy są dostępne aktualizacje. Jeśli tak, zaktualizuj je wszystkie.

Aktualizacja motywów i wtyczek aby zaktualizować motywy i wtyczki, wykonaj następujący proces,

  1. Zaloguj się do swojego wp-admin
  2. Przejdź do sekcji Aktualizacje.
  3. Sprawdź, czy są dostępne aktualizacje. Jeśli tak, zaktualizuj je wszystkie.

b) Zautomatyzowane

Core Update – Jak już wspomniano, WordPress domyślnie automatyzuje drobne łatki bezpieczeństwa. Można jednak zastąpić te zmiany, edytując plik wp-config.php, dodając lub modyfikując następującą instrukcję – 

define( 'WP_AUTO_UPDATE_CORE', true )

W przypadku głównych aktualizacji sprawdź sekcję aktualizacji w backendie WordPress i zainicjuj aktualizację, jeśli jest dostępna.

Aktualizacja motywów i wtyczek Motywy i wtyczki mogą być aktualizowane automatycznie przy użyciu filtrów. Najlepszym miejscem do umieszczenia filtra jest wtyczka, której należy użyć . Ponadto WordPress nie zaleca umieszczania filtrów w pliku wp-config.php. Wynika to z faktu, że umieszczenie filtrów w pliku wp-config.php może powodować konflikt z innymi częściami kodu.

Aby włączyć automatyczne aktualizacje motywów i wtyczek, dodaj następujący kod

add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );

 

Zaktualizuj zabezpieczenia Wordress

3. Zaktualizuj PHP do najnowszej wersji

Mówiąc o aktualizacjach, jest jeszcze jedna aktualizacja, którą musisz się zająć – wersja PHP. PHP jest podstawowym językiem programowania WordPress. Z pewnością aktualizacja do najnowszej stabilnej wersji zwiększy bezpieczeństwo WordPress.

Uwaga: PHP w wersji 7.0 i starszych nie ma obsługi bezpieczeństwa i jest podatny na znane i niezałatane luki w zabezpieczeniach. Dlatego musisz zaktualizować do najnowszej wersji PHP, tj. 7.3.

Uwaga: wersja 7.2 PHP nie będzie obsługiwana po 30 listopada 2019 r.

Oto jak możesz zaktualizować swoje PHP:

  1. Zaloguj się do swojego cPanel
  2. Przejdź do sekcji Oprogramowanie. Kliknij konfigurację PHP
  3. Następnie wybierz najnowszą stabilną wersję PHP i kliknij aktualizację.
  4. Przejrzyj zmiany w phpmyinfo

4. Usuń niedziałające wtyczki / motywy

Jeśli nie korzystałeś z wtyczki przez dłuższy czas, musisz się jej pozbyć, aby zabezpieczyć WordPress. Dzieje się tak, ponieważ mimo że wtyczka nie jest już używana lub jest wyłączona, pliki nadal istnieją. Ponadto pliki te mogą zawierać nieznane ci podatności. Przede wszystkim osoby atakujące mogą łatwo wykorzystać te luki. Dlatego usuń niedziałające wtyczki i motywy.

Oto jak możesz to zrobić:

  1. Zaloguj się do pulpitu WordPress
  2. Przejdź do sekcji Wtyczki
  3. Zidentyfikuj nieaktywne wtyczki i usuń je.

5. Zainstaluj wtyczkę zapory WordPress 

Czy muszę powiedzieć, że nieustanne monitorowanie Twojej witryny jest po ludzku niemożliwe? Najlepszym rozwiązaniem jest tutaj zapora sieciowa. Zapora to system ciągłego monitorowania Twojej witryny. Co najważniejsze, wykrywa i blokuje złośliwy ruch przychodzący do Twojej witryny. 

Chociaż istnieje wiele zapór ogniowych do wyboru, powinieneś wybrać tylko te przetestowane przez hakerów. Zapora sieciowa Astry to solidne rozwiązanie. Będzie Cię chronić w czasie rzeczywistym przed cyberatakami. Co więcej, działa na twoim serwerze i nie wymaga zmiany DNS.

Powiązany blog – W  jaki sposób Zapora może pomóc Ci zabezpieczyć Twoją witrynę WordPress

Zapora działa
W jaki sposób Astra Web Application Firewall chroni twoją stronę WordPress

 

Oto różne cechy zapory Astra:

  • Filtrowanie dobrego ruchu przed złym ruchem i blokowanie niechcianego ruchu w sieci.
  • Blokowanie nadchodzących zagrożeń, takich jak SQLi, ataki brute force, CSRF, ataki DDoS, LFI, RFI, skrypty między witrynami, złe boty, spam i inne exploity zero-day
  • Oprócz intuicyjności jest także inteligentną zaporą ogniową do wykrywania wzorców ataków i konfigurowania się na następny atak.
  • Zapora sieciowa Astra to także świetny sposób na blokowanie / dodawanie adresów IP do białej listy.
  • Ponadto WAF Astra poprawia także szybkość i wydajność strony internetowej.

Szybkość i bezpieczeństwo to dwa pożądane aspekty bezpieczeństwa strony internetowej, a firewall poprawia oba. Ponadto w dobie rosnącej liczby zagrożeń i ataków online zapora ogniowa jest koniecznością.

6. Hostuj swoją witrynę WordPress na bezpiecznym serwerze

Serwer hostingowy odgrywa ważną rolę w bezpieczeństwie Twojej witryny WordPress. Mądry wybór hosta może zmienić zasady gry w zabezpieczeniach WordPress. Wybierając serwer, należy wziąć pod uwagę następujące kwestie:

  • Autorytet
  • Recenzje i oceny
  • Wsparcie
  • Dostosowywanie
  • Czas ładowania

7. Dostosuj stronę logowania, aby zwiększyć bezpieczeństwo przed atakami Brute-Force

Ochrona stron logowania i administratora to kolejny sposób na zabezpieczenie WordPressa. Atakujący mogą włamać się na twoją stronę poprzez brutalne wymuszanie, jeśli nie są zabezpieczone. Teraz w atakach typu „brute-force” stosuje się metodę „próbuj i próbuj”, aby odgadnąć połączenie nazwy użytkownika i hasła do witryny z zadziwiająco dużą prędkością.

Ustaw mocne i unikalne nazwy użytkowników i hasła dla każdej z tych stron. Unikaj używania oczywistej nazwy użytkownika, takiej jak „admin”, nazwy witryny, własnego imienia i właściwego słowa, które można znaleźć w słowniku. To samo dotyczy haseł, nie używaj „Hasła”, własnego imienia, nazwy witryny itp. Jako hasła.

Powiązany przewodnikJak zmienić adres URL administratora w WordPress

8. Ogranicz liczbę prób logowania

Innym sposobem ochrony obszaru administracyjnego WordPress przed brutalną siłą jest ograniczenie liczby prób logowania na nim. Przydają się wtyczki takie jak Limit prób logowania i Loginizer.

9. Ustaw prawidłowe role użytkownika

Nie wszyscy użytkownicy muszą mieć wszystkie uprawnienia w WordPress. Możesz rozdzielić wymagane role dla każdego użytkownika zgodnie z jego obowiązkami na stronie. Dzięki tym rolom możesz lepiej kontrolować i monitorować, kto robi to, co robisz w Twojej witrynie. Domyślnie WordPress definiuje sześć ról, a mianowicie w kolejności malejącej ich uprawnień – superadministrator, administrator, redaktor, autor, współautor i subskrybent.

 Możesz użyć wstępnie zdefiniowanego zestawu ról użytkownika lub utworzyć niestandardowe role zgodnie z własnymi potrzebami. Wstępnie zdefiniowane można przypisać z samego pulpitu nawigacyjnego, natomiast w przypadku niestandardowych ról potrzebna byłaby wtyczka. Do tego celu najlepiej nadaje się wtyczka User Role Editor.

 Oto jak możesz zdefiniować niestandardowe role użytkowników za pomocą tej wtyczki:

  1. Zainstaluj wtyczkę „Edytor roli użytkownika”
  2. Przejdź do „Użytkownicy”> Inne role Krok
  3. Zdefiniuj / dodaj niestandardowe role dla konkretnego użytkownika.

10. Chroń plik wp-config

 wp-config.php zawiera szczegóły konfiguracji twojej strony WordPress. Wszelkie absurdalne kompromisy w tym pliku mogą całkowicie zniszczyć Twoją witrynę. Dlatego plik wp-config powinien być traktowany z najwyższą ostrożnością i musi być zabezpieczony z najwyższą pilnością. Ponadto przechowuje również poufne informacje o poświadczeniach bazy danych WordPress.

Niektóre sposoby zabezpieczenia pliku wp-config to:

  • Przenoszenie go poza folder główny
  • Blokowanie dostępu wewnętrznego i modyfikacji kodu w pliku wp-config.php
  • Modyfikacja domyślnego pliku wp-config.php
  • Ustawienie 400 uprawnień w pliku wp-config.php. Oznacza to, że użytkownik i grupy mają uprawnienia tylko do odczytu, a inni nie mają w ogóle dostępu.

11. Ogranicz dostęp do wp-admin

Wp-admin to obszar administratora twojej witryny. Można powiedzieć, że jest to kontroler Twojej witryny. Hakerzy nieustannie próbują użyć siły, aby przejąć kontrolę nad całą witryną. Dlatego niezbędne jest zabezpieczenie obszaru wp-admin w celu zwiększenia bezpieczeństwa WordPress. Możesz zabezpieczyć obszar wp-admin w następujący sposób:

Ograniczanie dostępu i zezwalanie tylko wybranym adresom IP na stronę administratora to jeden ze sposobów zabezpieczenia tego. W ten sposób wszelkie nieznane adresy IP są automatycznie blokowane. W folderze wp-admin utwórz plik .htaccess i wklej tam następujący kod:

Order Deny, Allow
Deny from all
Allow from xx.xx.xx.xx
Edytuj plik xx.xx.xx.xx, aby zawierał adres IP. W przypadku wielu białych list adresów IP powtórz „Zezwalaj na” w następnym wierszu i tak dalej.

Zwykle na stronie logowania do WordPress znajduje się link Zarejestruj się. Wyłącz ten formularz rejestracyjny, aby zniechęcić do dostępu do wp-admin. 

 12. Zaktualizuj klucze bezpieczeństwa WordPress

Tajne klucze bezpieczeństwa zapewniają bezpieczeństwo plików cookie na stronie WordPress. Musisz skonfigurować klucze bezpieczeństwa, aby zniechęcić do kradzieży plików cookie i podszywania się pod użytkowników. Po ustawieniu tajnych kluczy bezpieczeństwa spowoduje to unieważnienie wszystkich bieżących sesji i będzie wymagać ponownego uwierzytelnienia użytkownika. Przede wszystkim administrator musi zmienić klucze bezpieczeństwa, jeśli występuje w nich ryzyko naruszenia bezpieczeństwa, a nawet podejrzenia o naruszenie.

Możesz generować tajne klucze zarówno ręcznie, jak i za pomocą internetowego generatora kluczy. WordPress ma również swój oficjalny generator tajnych kluczy . Wygeneruj stąd klucze i wklej je w pliku wp-config i możesz zacząć.

13. Utwórz unikalny prefiks bazy danych

Baza danych WordPress to obszar, w którym znajdują się ważne informacje / dane dotyczące strony internetowej i użytkowników. Jest to oczywiście oczywisty cel. Domyślnie wpdb zawiera 11 tabel, które zawierają tabele dla – danych użytkowników, adresów URL witryn, postów, stron, komentarzy itp.

Ponadto wszystkie te tabele mają przed sobą powszechnie znany domyślny prefiks wp_. Nazwy tych tabel są również powszechnie znane. W przypadku niewłaściwego sprawdzania poprawności i zasad odkażania podczas wstawiania zapytań haker może uruchomić polecenia SQL, aby pobrać dane ze znanej tabeli bazy danych.

Aby zabezpieczyć bazę danych, musisz zmienić prefiks bazy danych na coś innego. Ponadto zmiana prefiksu bazy danych podczas instalacji jest idealnym sposobem. Jeśli jednak go nie zmieniłeś, możesz go także zmienić za pomocą polecenia SQL lub za pomocą wtyczki. Obie te metody są przedstawione poniżej:

a) Podręcznik

Jak wspomniano wcześniej, prefiks bazy danych można zmienić za pomocą polecenia SQL. Uruchamiając serię poleceń. Aby uzyskać szczegółowe instrukcje i procedurę, kliknij ten link.

b) Zautomatyzowane

Istnieje kilka wtyczek do WordPress, które pomagają w automatyzacji całego procesu zmiany prefiksu. Jedną z takich bezpłatnych wtyczek jest wtyczka z prefiksem tabeli zmian.

14. Dodatkowe czynniki uwierzytelniające dla bezpieczeństwa administratora WordPress

Co więcej, aby zabezpieczyć witrynę, uwierzytelnianie dwuskładnikowe to inteligentne narzędzie. To narzędzie zapewnia prawdziwą tożsamość użytkownika w Twojej witrynie, wymagając więcej niż hasła do zalogowania się. W ten sposób uniemożliwia dostęp do niego każdemu fałszywemu, nieuwierzytelnionemu użytkownikowi, nawet jeśli zgadnie twoje hasło. Wtyczka uwierzytelniania dwuskładnikowego to świetny sposób na zastosowanie tego zabezpieczenia w witrynie.

15. Skonfiguruj wtyczkę automatycznego wylogowania

Nie wszyscy użytkownicy WordPress są wystarczająco ostrożni i czujni, aby się wylogować po zakończeniu każdej sesji. Kradzież plików cookie i przechwytywanie sesji również powodują poważne wektory ataku na WordPress. Musisz ustawić automatyczne wylogowanie, aby wszyscy bezczynni klienci zostali wylogowani ze strony internetowej.

16. Wzmocnij hasła, aby zwiększyć bezpieczeństwo WordPress

Może to wydawać się zbyt oczywistym środkiem bezpieczeństwa, ale nawet wtedy wielu to zaniedbuje. Zawsze wybieraj unikalne i silne hasła do swoich kont WordPress. Unikaj także używania hasła jako hasła, hasła administratora i odpowiednich słów ze słownika. Upewnij się, że hasło składa się z liter (wielkich i małych liter), cyfr i znaków specjalnych.

17. Szyfrowanie danych SSL 

Posiadanie certyfikatu SSL (Secure Socket Layer) dla domeny witryny zwiększa jego uprawnienia i bezpieczeństwo. Szyfruje przesyłanie danych między użytkownikiem a serwerem. Odkąd HTTPS wpłynął na rankingi Google, wyrosło wiele firm autoryzujących. Jednak nie wszystkie z nich są uznawane przez Google za wiarygodne. Dlatego musisz uzyskać certyfikat SSL ze zweryfikowanego i zaufanego źródła.

Ponadto nie przekierowywanie wszystkich stron internetowych do HTTPS może mieć również niekorzystny wpływ na Twoją witrynę. Posiadanie stron HTTP i HTTPS na stronie internetowej jest znane jako zawartość mieszana. Teraz Google regularnie oflaguje witryny pod kątem mieszanych treści. Dlatego pamiętaj o przekierowaniu wszystkich stron do HTTPS.

18. Komentarze kontrolne

WordPress jest niesławny z powodu wszechobecnych spamerskich komentarzy. W związku z tym należy uważnie przejrzeć komentarze przed dopuszczeniem ich na swojej stronie internetowej. Co więcej, możesz go całkowicie wyłączyć lub dodać kilka warunków, aby zablokować spam. Wymaga to ręcznego wysiłku. Możesz również wybrać wtyczkę taką jak Askimet, aby wykonać zadanie.

19. Ustaw ścisłe uprawnienia do plików i folderów w WordPress

Możesz osiągnąć kolejny kamień milowy w zakresie bezpieczeństwa WordPress, ustawiając surowsze uprawnienia do plików i folderów. Zalecane uprawnienia do plików / folderów dla różnych plików / folderów to:

  • Dla wp-config.php = 400
  • Dla przesyłanych folderów = 755
  • Dla plików .htaccess = 400
  • Dla wp = content = 755
  • Dla wp-obejmuje = 755
  • Dla index.php = 444
Uprawnienia do plików / folderów WordPress

20. Ukryj numer wersji WordPress, aby chronić WordPress przed znanymi lukami

Znane luki w różnych wersjach WordPress są łatwo dostępne w Internecie. Te bazy danych stanowią skarb dla hakerów. Używają botów / botnetów do wyszukiwania stron internetowych WordPress z tymi nieaktualnymi wersjami. Gdy bot dotrze do Twojej witryny, najpierw szuka numeru wersji i wymienionej w nim luki. Gdy znajdą jedną z takich witryn, wykorzystują lukę.

 Możesz chronić swoją witrynę przed atakami, po prostu ukrywając numer wersji WordPress.

podręcznik

Ukryj numer wersji WordPress przed metatagiem Generator,

  1. Przejdź do katalogu głównego
  2. Przejdź do katalogu / wp-content / themes /
  3. W pliku functions.php dodaj następujący wiersz kodu

    remove_action('wp_head', 'wp_generator');

Ukryj numer wersji WordPress przed domyślnymi kanałami RSS w następujący sposób

  1. Przejdź do katalogu głównego
  2. Przejdź do katalogu / wp-content / themes /
  3. W pliku functions.php dodaj następujące wiersze kodu u dołu

1

2)

3)

4

5

funkcja remove_wp_version_rss () {

 powrót”;

 }

 

add_filter (‘the_generator’, ‘remove_wp_version_rss’);

Zautomatyzowane 

Dostępne są wtyczki, które ukrywają numer wersji WordPress, zalecamy użycie wtyczki Meta Generator i usuwania informacji o wersji .

21. Wyłącz wykonywanie PHP, gdy nie jest potrzebne

Podczas gdy WordPress automatycznie uruchamia wykonywanie plików PHP dla wszystkich katalogów witryny, najlepiej jest wyłączyć je dla takich katalogów jak / wp-content / uploads /. Będziesz mógł to zrobić za pomocą dostępu FTP. Oto jak:

  1. Uzyskaj dostęp do swojej witryny za pomocą FTP
  2. Przejdź do katalogu / wp-content / uploads /
  3. Wklej następujący kod i zapisz dokument w formacie .htaccess.
    <Files *.php>
    deny from all
    </Files>

22. Popraw ochronę sprzętu

Ochrona logiki, z której uzyskujesz dostęp do witryny, jest logiczna. Niezabezpieczony komputer z lukami w zabezpieczeniach służy jako sposób na włamanie do Twojej witryny przez hakerów. Upewnij się, że gadżet jest dobrze chroniony przez zainstalowaną zaporę ogniową i oprogramowanie antywirusowe. To nie tylko zablokuje ataki WordPress, ale także wszelkie nadchodzące zagrożenia bezpieczeństwa online.

Podobnie jak w przypadku strony internetowej, niedziałające wtyczki stanowią problem, podobnie przestarzałe i nieczynne aplikacje są również zaproszeniem na zagrożenie. Dlatego usuń wszystkie niepotrzebne / nieaktualne aplikacje ze swojego urządzenia.

Większość aplikacji prosi o różne uprawnienia zaraz po ich zainstalowaniu. Zasadniczo staraj się nadawać im jak najmniej uprawnień.

23. Wyłącz zastrzyki skryptu

Nie zezwalaj na wstrzykiwanie skryptów, aby uniemożliwić hakerom wstrzykiwanie złośliwego kodu do istniejących dokumentów PHP. Możesz wyłączyć zastrzyki skryptu, dodając następujący kod:

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

24. Pobierz wtyczki z renomowanych źródeł

Nie wszystkie wtyczki mają dedykowanych programistów. Wiele wtyczek do WordPressa nie jest nawet tak często obsługiwanych. Tak więc, zanim zdecydujesz się na jakąkolwiek losową wtyczkę strony trzeciej, musisz wziąć pod uwagę następujące kwestie:

  • Recenzje i oceny
  • Ostatnia aktualizacja i częstotliwość aktualizacji
  • Wsparcie

25. Regularnie skanuj WordPress w poszukiwaniu złośliwego oprogramowania i tylnych drzwi

Monitorowanie witryny jest równie ważne, jak jej zabezpieczenie. Posiadanie proaktywnego skanera złośliwego oprogramowania, który okresowo skanuje witrynę, ma kluczowe znaczenie dla bezpieczeństwa WordPress. Od czasu do czasu skanując witrynę w poszukiwaniu wirusów i złośliwego oprogramowania, możesz być na bieżąco z dobrem swojej witryny.

Skaner szkodliwego oprogramowania oparty na uczeniu maszynowym Astry doskonale do tego nadaje. Inne skanery obejmują:

Skanując stronę internetową, będziesz w stanie wykryć ryzyko naruszenia bezpieczeństwa zamiast zajmować się faktycznymi atakami w ich trakcie.

26. Audyt bezpieczeństwa WordPress

Zastosowałeś wszystkie środki bezpieczeństwa w swojej witrynie, jednak nawet wtedy wymaga ona regularnej konserwacji. Audyt bezpieczeństwa premium może Ci bardzo pomóc. Od czasu do czasu twoja strona musi być sprawdzana pod kątem nowych luk i złamanych zabezpieczeń.

Program do oceny luk w zabezpieczeniach i penetracji firmy Astra ma inżynierowie sprawdzający Twoją witrynę pod kątem możliwych luk. W takim audycie bezpieczeństwa kod źródłowy, wtyczki i kompozycje są dokładnie kontrolowane. Odkrywa również luki i backdoory na twojej stronie.

Powiązany przewodnik –   Jak przeprowadzić audyt bezpieczeństwa WordPress i pentesting

Problemy bezpieczeństwa i zapobieganie WordPress

 Wniosek

Wymienione w tym przewodniku środki bezpieczeństwa WordPress to ewangelie bezpieczeństwa. Musisz wytrwale stosować i utrzymywać je w swojej witrynie WordPress, aby zwiększyć bezpieczeństwo. Te wskazówki bezpieczeństwa WordPress zapewnią ochronę Twojej witryny przed zagrożeniami internetowymi.

Możesz także dołączyć do naszego DARMOWEGO kursu bezpieczeństwa WordPress – https://www.getastra.com/s/wordpress-security-course

Czy ten artykuł był pomocny? Udostępnij to znajomym

Was this post helpful?

Shikhil Sharma

Shikhil Sharma is the founder & CEO of Astra Security. Being involved with cybersecurity for over six years now, his vision is to make cyber security a 5-minute affair. Shikhil plays on the line between security and marketing. When not thinking about how to make Astra super simple, Shikhil can be found enjoying alternative rock or a game of football.Astra Security has been rewarded at Global Conference on Cyber Security by PM of India Mr. Narendra Modi. French President Mr. François Hollande also rewarded Astra under the La French Tech program. Astra Security is also a NASSCOM Emerge 50 company.
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

Psst! Hi there. We’re Astra.

We make security simple and hassle-free for thousands
of websites and businesses worldwide.

Our suite of security products include firewall, malware scanner and security audits to protect your site from the
evil forces on the internet, even when you sleep.

earth spiders cards bugs spiders

Made with ❤️ in USA France India Germany