Wszystko, co musisz wiedzieć o zabezpieczeniach WordPressa (+20 wskazówek dotyczących zabezpieczeń)

Jeśli szukasz najwyższej klasy, kompleksowego systemu zarządzania treścią do obsługi Twojej strony internetowej, nie szukaj dalej niż WordPress.

WordPress to doskonała, bezpieczna platforma od razu po wyjęciu z pudełka, ale zdecydowanie jest więcej, co możesz (i powinieneś!) zrobić, aby chronić swoją stronę przed złośliwymi zamiarami. Wiele z tych ulepszeń bezpieczeństwa jest łatwych do zaimplementowania i można je przeprowadzić ręcznie w zaledwie kilka minut. Inne wymagają jedynie zainstalowania odpowiedniego pluginu.

W tym artykule przeprowadzę Cię przez 20 różnych strategii zwiększania obronności Twojej fortecy WordPress. Ale najpierw, sprawdźmy, dlaczego bezpieczeństwo strony internetowej powinno być dla Ciebie ważne.

Dlaczego bezpieczeństwo WordPress jest tak ważne

Wybór WordPressa jako platformy to doskonały sposób na rozpoczęcie, gdy próbujesz stworzyć stronę. To nie tylko elastyczna, potężna platforma do budowania stron internetowych — jest również niezwykle bezpieczna.

Ale oczywiście żadna platforma nie może być w 100% bezpieczna, i jest wiele powodów, aby martwić się o bezpieczeństwo Twojej strony WordPress:

• Popularność – WordPress napędza ogromną część wszystkich stron internetowych, co czyni go głównym celem dla cyberprzestępców. Jego powszechne wykorzystanie sprawia, że jest atrakcyjną platformą do wykorzystywania luk i uzyskiwania nieautoryzowanego dostępu do stron internetowych.
• Podatności – Podobnie jak każde oprogramowanie, WordPress nie jest wolny od podatności. Hakerzy ciągle szukają luk w motywach, wtyczkach i podstawowym oprogramowaniu WordPress. Wykorzystanie ich może prowadzić do nieautoryzowanego dostępu, naruszeń danych, zniszczenia lub nawet pełnej kontroli nad stroną internetową.
• Naruszenia danych – Strony internetowe WordPress często przechowują wrażliwe informacje użytkowników, takie jak adresy e-mail, hasła i dane osobiste. Naruszenie bezpieczeństwa może ujawnić te poufne dane, prowadząc do kradzieży tożsamości, strat finansowych, a nawet konsekwencji prawnych (ojej!).
• Wpływ na SEO – Kompromitowana strona WordPress może być wykorzystywana do działań szkodliwych, takich jak hostowanie złośliwego oprogramowania, przekierowywanie odwiedzających na szkodliwe strony internetowe lub wysyłanie spamowych e-maili. Wyszukiwarki mogą oznaczyć takie strony i nałożyć na nie kary, co prowadzi do znacznego spadku pozycji i ruchu organicznego po odzyskaniu kontroli nad stroną.
• Reputacja i zaufanie – Jeśli strona WordPress jest skompromitowana i wykorzystywana do celów szkodliwych, może to poważnie zaszkodzić reputacji właściciela strony i osłabić zaufanie użytkowników. Pomyśl o sklepie internetowym, na przykład. Jeśli sklep nie może zobowiązać się do ochrony danych osobowych klientów, ludzie po prostu tam nie zrobią zakupów (i kto może ich winić?).
• Przestoje i straty finansowe – Zhakowana strona może doświadczać przedłużonych przestojów, podczas gdy właściciel strony pracuje nad rozwiązaniem naruszenia bezpieczeństwa. Z kolei przestoje mogą skutkować utratą biznesu, zmniejszeniem przychodów i dodatkowymi wydatkami na odzyskanie i przywrócenie.

Biorąc pod uwagę te ryzyka, inwestycja w środki zabezpieczające WordPress jest kluczowa, aby chronić Twoją stronę oraz dane użytkowników. Idealnie powinieneś poświęcić tyle samo czasu i wysiłku na zabezpieczenia, co projektowanie swojej strony na początku (jeśli nie więcej). Na szczęście dla Ciebie, drogi czytelniku, istnieje wiele prostych, szybkich sposobów na poprawę bezpieczeństwa Twojej strony, jak również bardziej złożone techniki, które możesz chcieć zastosować — a poniżej omawiamy je wszystkie.

Najważniejsze luki w zabezpieczeniach WordPressa

Jak mówi przysłowie, poznaj swojego wroga. Zanim zagłębimy się w nasze porady dotyczące bezpieczeństwa, dowiedzmy się więcej o lukach w zabezpieczeniach, przed którymi musisz chronić swoją stronę WordPress.

• Przestarzałe oprogramowanie, motywy i wtyczki – Korzystanie z nieaktualnych wersji WordPressa, motywów lub wtyczek może sprawić, że Twoja strona stanie się podatna na znane luki w zabezpieczeniach.
• Słabe nazwy użytkowników i hasła – Słabe dane logowania ułatwiają hakerom dostęp do Twojej strony. Unikaj używania popularnych nazw użytkowników takich jak “admin” i wybieraj silne, unikalne hasła zawierające kombinację liter, cyfr i symboli.
• Ataki brute force – Ataki brute force polegają na wielokrotnych próbach odgadnięcia danych logowania. Możesz ich zapobiegać, ograniczając próby logowania i stosując uwierzytelnianie dwuskładnikowe (więcej na ten temat później w artykule).
• Skrypty międzywitrynowe (XSS) – Podatności XSS występują, gdy do stron internetowych są wstrzykiwane złośliwe skrypty, potencjalnie kompromitujące przeglądarki użytkowników lub dane sesji. Wiele wtyczek zabezpieczających posiada funkcje zapobiegające XSS.
• Zainfekowanie złośliwym oprogramowaniem – Złośliwe oprogramowanie może zostać wstrzyknięte na Twoją stronę przez luki w zabezpieczeniach, zainfekowane motywy lub wtyczki, lub skompromitowane pliki. Aby uniknąć złośliwego oprogramowania, nie instaluj wtyczek bez sprawdzenia ich reputacji. Regularne skanowanie pod kątem złośliwego oprogramowania może wykryć infekcje, zanim zdążą zaszkodzić Twojej stronie.
• Drzwi tylnie – Drzwi tylne to ukryty punkt wejścia na stronę internetową, który umożliwia nieautoryzowany dostęp nawet po wprowadzeniu środków bezpieczeństwa. Drzwi tylnie mogą być tworzone przez złośliwych aktorów lub przypadkowo wprowadzone przez skompromitowane motywy, wtyczki lub słabe praktyki bezpieczeństwa. Gdy drzwi tylnie zostaną ustanowione, mogą umożliwić nieautoryzowany dostęp napastnikowi, który następnie może manipulować stroną, kraść dane lub wykonywać inne złośliwe działania bez wiedzy właściciela witryny.

Wprowadzenie wtyczek zabezpieczających i innych najlepszych praktyk może ochronić Twoją stronę przed tymi podatnościami. Więc bez zbędnych ceregieli, przejdźmy do tego, dla czego tu jesteś: praktyczne porady dotyczące bezpieczeństwa WordPress i jak je wdrożyć w życie.

20 wskazówek dotyczących bezpieczeństwa WordPress

Mam nadzieję, że przekonałem Cię do znaczenia utrzymania bezpiecznej strony WordPress. Jeśli nie, będę musiał ponownie zapisać się na kurs Perswazyjnego Pisania 101. Proszę, nie zmuszaj mnie do tego.

W dalszej części tego artykułu przedstawię 20 strategii (wraz z niektórymi z najlepszych wtyczek bezpieczeństwa WordPress) mających na celu zabezpieczenie Twojej strony przed niektórymi z najczęstszych i najniebezpieczniejszych luk w zabezpieczeniach. Nie musisz wdrażać każdej sugestii z tej listy (chociaż oczywiście możesz!), ale im więcej kroków podejmiesz, aby zabezpieczyć swoją stronę, tym mniejsze ryzyko napotkania katastrofy w przyszłości.

1. Użyj Jakościowego Hostingu

Możesz myśleć o swoim dostawcy hostingu jak o ulicy w Internecie, na której „mieszka” Twoja strona — to miejsce, w którym Twoja strona jest „zlokalizowana”. I tak jak dobra dzielnica szkolna ma znaczenie dla przyszłości Twojego dziecka (tak mówią; ja wyszedłem na ludzi), tak jakość bazy domowej Twojej strony ma znaczenie w wielu ważnych aspektach.

Solidny dostawca hostingu może wpłynąć na to, jak dobrze działa Twoja strona, jak jest niezawodna, jak bardzo może się rozwinąć, a nawet jak jest pozycjonowana w wyszukiwarkach. Najlepsi gospodarze oferują różnorodne przydatne funkcje, doskonałe wsparcie oraz usługi dostosowane do wybranej przez Ciebie platformy.

Jak prawdopodobnie już się domyśliłeś, twój dostawca hostingu może również mieć znaczący wpływ na bezpieczeństwo twojej strony. Jest kilka korzyści bezpieczeństwa wynikających z wyboru najlepszych firm hostingowych.

Jak Hosting Może Poprawić Bezpieczeństwo WordPress:

• Jakościowy hosting nieustannie aktualizuje swoje usługi, oprogramowanie i narzędzia, aby reagować na najnowsze zagrożenia i eliminować potencjalne luki w zabezpieczeniach.
• Hostingi często oferują różne funkcje zabezpieczające skierowane na konkretne zagrożenia, takie jak certyfikaty SSL/TLS oraz ochronę przed atakami DDoS. Powinieneś również uzyskać dostęp do Firewalla Aplikacji Webowej (WAF), który pomoże monitorować i blokować poważne zagrożenia dla Twojej strony.
• Twój hosting prawdopodobnie zapewni sposób na wykonanie kopii zapasowej Twojej strony (w niektórych przypadkach, nawet przeprowadzając kopie zapasowe w czasie rzeczywistym), więc jeśli zostaniesz zhakowany, łatwo możesz przywrócić stabilną, wcześniejszą wersję.
• Jeśli Twój hosting oferuje niezawodne wsparcie 24/7, zawsze będziesz miał kogoś, kto pomoże Ci w przypadku problemów związanych z bezpieczeństwem.

Ta lista powinna dać ci dobry punkt wyjścia do pracy przy szukaniu hosta dla twojej nowej strony. Będziesz chciał znaleźć takiego, który oferuje wszystkie funkcje i możliwości, których potrzebujesz, a także ma reputację niezawodności i doskonałej wydajności.

DreamPress to zarządzany hosting WordPress, który jest szybki, niezawodny, skalowalny i, oczywiście, bezpieczny. DreamPress obejmuje wstępnie zainstalowany certyfikat SSL/TLS i zapewnia dedykowany WAF zaprojektowany z zasadami stworzonymi do ochrony stron WordPress i blokowania prób zhakowania. W ramach planu hostingu otrzymasz również automatyczne kopie zapasowe, wsparcie 24/7 od ekspertów WordPress oraz Jetpack Premium — plugin, który może dodać wiele dodatkowych funkcji bezpieczeństwa do Twojej strony — bez dodatkowych kosztów.

Z DreamPress możesz spać spokojnie, wiedząc, że Twoja strona jest chroniona. Nasz serwis hostingowy nawet zajmuje się wieloma innymi krokami zwiększającymi bezpieczeństwo na tej liście — chociaż nadal zachęcamy do czytania dalej, aby dowiedzieć się, jakie dodatkowe kroki możesz podjąć, aby zabezpieczyć swoją stronę.

2. Zarejestruj swoją domenę prywatnie

Aby zarejestrować domenę, poprosimy Cię o podanie imienia, adresu i numeru telefonu. Te informacje są używane do śledzenia własności nazw domen i można je znaleźć w internecie za pomocą szybkiego wyszukiwania w katalogu WHOIS.

Pomimo że śledzenie tych informacji jest kluczowe dla zdrowia Internetu, rozsądne jest niechęć do umieszczania swoich danych osobowych online. Tutaj pojawia się Prywatna Rejestracja. Gdy rejestrujesz domenę w DreamHost (lub innej bezpiecznej platformie hostingowej, można przypuszczać), masz możliwość zastąpienia swoich danych osobowych odpowiednimi danymi z platformy hostingowej — więc wyszukiwanie twojej domeny w WHOIS pokaże adres i dane kontaktowe DreamHost zamiast twoich. Możesz nawet włączyć tę funkcję bezpieczeństwa po zarejestrowaniu domeny!

3. Zmień swoją nazwę administratora

Kiedy po raz pierwszy tworzysz swoją stronę, całą nową i lśniącą, otrzymujesz Profil Użytkownika. W każdej chwili możesz wrócić i zmienić swój Pseudonim lub wypełnić swoje Pełne Imię, ale zmiana nazwy użytkownika to inna historia — będziesz musiał stworzyć całkowicie nowego użytkownika i przyznać temu kontu rolę administratora. Wada? Musisz użyć innego adresu e-mail niż ten używany przez twoje obecne konto.

Możesz następnie zmienić swoją nazwę użytkownika, tworząc nowego użytkownika, przydzielając mu rolę administratora, przypisując do niego wszystkie swoje treści i usuwając swoje oryginalne konto. Gdy twoja poprzednia nazwa użytkownika zostanie usunięta, możesz zmienić adres e-mail swojego nowego konta, jeśli sobie tego życzysz.

4. Włącz Zaporę Aplikacji Internetowej

Prawdopodobnie znasz już pojęcie firewalla — programu, który pomaga blokować wszelkiego rodzaju niechciane ataki na Twoją stronę. Najprawdopodobniej masz jakiś rodzaj firewalla na swoim komputerze. Firewall aplikacji internetowej (WAF) to po prostu firewall zaprojektowany specjalnie dla stron internetowych. Może chronić serwery, konkretne strony internetowe lub całe grupy witryn.

WAF na Twojej stronie WordPress będzie działać jako bariera między Twoją stroną a resztą internetu. Firewall monitoruje przychodzącą aktywność, wykrywa ataki, złośliwe oprogramowanie i inne niepożądane zdarzenia, blokując wszystko, co uznaje za zagrożenie dla dostępu do Twojego serwera sieciowego. #winning

Masz wiele opcji dodania WAF do swojej strony (WordFence jest popularnym wyborem). Jednak jeśli zdecydowałeś się na nasz pakiet DreamPress, możesz być spokojny; nie będziesz potrzebować dodatkowego firewalla. DreamPress zawiera wbudowany WAF, który będzie monitorować Twoją stronę pod kątem zagrożeń i blokować dostęp złośliwym użytkownikom oraz programom. Nie wymaga to żadnych działań z Twojej strony.

DreamHost oferuje również DreamShield, naszą wewnętrzną usługę skanowania Malware. Kiedy aktywujesz DreamShield na swoim koncie hostingowym, będziemy skanować Twoją stronę codziennie pod kątem złośliwego kodu. Jeśli znajdziemy coś podejrzanego, zostaniesz niezwłocznie powiadomiony za pośrednictwem e-mail.

5. Wprowadź uwierzytelnianie dwuskładnikowe

Uwierzytelnianie dwuskładnikowe (znane również pod nazwą uwierzytelnianie dwuetapowe oraz różnymi podobnymi nazwami) odnosi się do dwuetapowego procesu, który musisz wykonać podczas logowania się na swoją stronę. Zajmuje to trochę więcej czasu i wysiłku, ale skutecznie utrudnia hakerom dostęp.

Uwierzytelnianie dwuskładnikowe polega na używaniu smartfona lub innego urządzenia do weryfikacji twojego logowania. Najpierw odwiedzisz swoją stronę WordPress i wprowadzisz swoją nazwę użytkownika oraz hasło jak zwykle. Następnie na twoje urządzenie mobilne zostanie wysłany unikalny kod, który musisz podać, aby zakończyć logowanie. Pozwala to udowodnić twoją tożsamość, pokazując, że masz dostęp do czegoś, co jest wyłącznie twoje — takiego jak konkretny telefon czy tablet.

Tak jak wiele funkcji WordPress, uwierzytelnianie dwuskładnikowe jest łatwe do dodania za pomocą dedykowanego pluginu. Plugin Two Factor Authentication to solidny wybór — został stworzony przez niezawodnych deweloperów, jest kompatybilny z Google Authenticator i umożliwi Ci dodanie funkcjonalności dwuskładnikowej do Twojej strony bez problemów.

Kolejną opcją jest Plugin Two-Factor, który został stworzony głównie przez głównych programistów WordPressa i jest dobrze znany ze swojej niezawodności. Jak każdy plugin w tej kategorii, wiąże się z pewną krzywą uczenia się, ale poradzi sobie z zadaniem i jest niezwykle bezpieczny. Jeśli jesteś gotów wydać trochę pieniędzy, możesz także sprawdzić premium rozwiązanie Jetpack w stylu Clef.

Niezależnie od wybranej ścieżki, upewnij się, że zaplanowałeś wszystko z wyprzedzeniem ze swoim zespołem, ponieważ będziesz musiał zebrać numery telefonów i inne informacje dla wszystkich kont użytkowników. Z tym, twoja strona logowania jest teraz zabezpieczona i gotowa do użycia.

6. Bądź ostrożny, dodając nowe wtyczki i motywy

Jedną z najlepszych rzeczy w WordPressie jest gotowa dostępność pluginów i motywów na prawie każdą potrzebę. Dzięki tym praktycznym narzędziom możesz sprawić, że Twoja strona będzie wyglądała właśnie tak, jak chcesz, i dodać prawie każdą funkcję lub funkcjonalność, o której pomyślisz.

Nie wszystkie pluginy i motywy są stworzone równo.

Programiści, którzy są nieostrożni lub nie mają odpowiedniego poziomu doświadczenia, mogą tworzyć pluginy, które są niestabilne lub niebezpieczne — albo po prostu kiepskie. Mogą stosować słabe praktyki programistyczne, które pozostawiają luki, które hakerzy mogą łatwo wykorzystać lub nieświadomie zakłócać kluczowe funkcjonalności.

To oznacza, że musisz być bardzo ostrożny w kwestii motywów i dodatków, które dodajesz do swojej strony. Każdy z nich powinien być dokładnie sprawdzony, aby upewnić się, że jest solidną opcją, która nie zaszkodzi Twojej stronie ani nie spowoduje problemów. Oto jak wybrać narzędzia wysokiej jakości:

• Przeczytaj recenzje – Sprawdź oceny użytkowników i recenzje, aby dowiedzieć się, czy inni mieli dobre doświadczenia z pluginem lub motywem.
• Wsparcie dewelopera – Sprawdź, jak niedawno plugin lub motyw został zaktualizowany. Jeśli minęło więcej niż sześć miesięcy, prawdopodobnie nie jest tak bezpieczny, jak mógłby być.
• Na spokojnie – Instaluj nowe pluginy i motywy pojedynczo, więc jeśli coś pójdzie nie tak, będziesz wiedział, co było przyczyną. Pamiętaj również, aby zrobić kopię zapasową swojej strony przed dodaniem czegokolwiek do niej.
• Zweryfikowane źródła – Pobieraj swoje pluginy i motywy z zaufanych źródeł, takich jak katalogi motywów i pluginów WordPress.org, ThemeForest i CodeCanyon oraz zaufane strony deweloperów.

7. Regularnie aktualizuj WordPress

Utrzymywanie WordPressa na bieżąco to jedna z najważniejszych rzeczy, jakie możesz zrobić, aby zabezpieczyć swoją stronę. Mniejsze poprawki i aktualizacje bezpieczeństwa będą implementowane automatycznie, ale możesz musieć zatwierdzić główne aktualizacje niezależnie (nie martw się, to jest bardzo proste do wykonania). To prawdopodobnie nie musi być mówione, ale DreamHost zajmuje się tymi aktualizacjami za ciebie, więc nie musisz się martwić.

Ale twoja praca się nie kończy tylko dlatego, że WordPress jest aktualny.

Musisz także regularnie aktualizować swoje pluginy, motywy oraz inne instalacje WordPress, aby zapewnić ich poprawne działanie oraz zabezpieczenie przed najnowszymi zagrożeniami. Na szczęście jest to również dość proste — wystarczy przejść do panelu WordPress, poszukać czerwonych powiadomień informujących o dostępnych aktualizacjach dla motywów lub pluginów, i kliknąć “Aktualizuj teraz” obok każdego z nich.

Możesz również zaktualizować swoje pluginy zbiorczo, zaznaczając je wszystkie, a następnie klikając przycisk aktualizacji, tutaj lub w panelu WordPress.

8. Konfiguruj Uprawnienia Plików

Porozmawiajmy technicznie przez minutę.

Dużo informacji, danych i treści na Twojej stronie WordPress jest przechowywanych w serii folderów i plików w jej backendzie. Są one zorganizowane w strukturę hierarchiczną, a każdemu z nich przypisany jest poziom uprawnień. Uprawnienia na plik lub folder WordPress określają, kto może go przeglądać i edytować. Mogą być ustawione tak, aby umożliwić dostęp każdemu, tylko Tobie lub prawie każdemu pomiędzy tymi opcjami.

Uprawnienia do plików są reprezentowane przez trzycyfrowy numer w WordPress, gdzie każda cyfra ma swoje znaczenie. Pierwsza cyfra oznacza pojedynczego użytkownika (właściciela witryny), druga cyfra grupę (na przykład członków twojej witryny), a trzecia każdego na świecie. Liczba ta oznacza, że użytkownik, grupa lub świat:

• 0: Brak dostępu do pliku.
• 1: Możliwość tylko wykonania pliku.
• 2: Możliwość edycji pliku.
• 3: Możliwość edycji i wykonania pliku.
• 4: Możliwość odczytu pliku.
• 5: Możliwość odczytu i wykonania pliku.
• 6: Możliwość odczytu i edycji pliku.
• 7: Możliwość odczytu, edycji i wykonania pliku.

Na przykład, jeśli plikowi przypisany jest poziom uprawnień 640, oznacza to, że główny użytkownik może czytać i edytować plik, grupa może czytać plik, ale nie edytować go, a reszta świata nie ma do niego dostępu wcale. Ważne jest, aby zapewnić, że każda osoba ma tylko taki poziom dostępu do plików i folderów Twojej strony, jakiego chcesz jej udzielić.

WordPress zaleca ustawienie folderów na poziom uprawnień 755 oraz plików na 644. Jesteś całkiem bezpieczny trzymając się tych wytycznych, chociaż możesz ustawić dowolną kombinację, jaką chcesz. Pamiętaj tylko, że najlepiej nie dawać nikomu więcej dostępu, niż jest to absolutnie konieczne, zwłaszcza do plików głównych.

Powinieneś również pamiętać, że idealne ustawienia uprawnień będą w pewnym stopniu zależeć od twojej usługi hostingowej, więc możesz chcieć dowiedzieć się, co twój dostawca usług rekomenduje.

Uwaga: Bądź bardzo ostrożny, dokonując zmian w poziomach uprawnień — wybór niewłaściwych wartości (takich jak straszliwe 777) może sprawić, że Twoja strona stanie się niedostępna.

A skoro już mówimy o tym temacie, ważne jest, aby zauważyć, że WordPress posiada wbudowany edytor kodu, który pozwala użytkownikom edytować pliki motywów i pluginów bezpośrednio z Obszaru Admina. Jest to przydatne, gdy jest to potrzebne, ale stanowi duże ryzyko bezpieczeństwa, jeśli Twoja strona wpadnie w niepowołane ręce. Dlatego powinieneś wyłączyć edycję plików za pomocą pluginu, takiego jak Sucuri.

9. Zachowaj minimalną liczbę użytkowników WordPress

Jeśli prowadzisz swoją stronę WordPress samodzielnie, nie musisz martwić się o ten krok. Po prostu nie dodawaj nikomu innemu konta na swojej stronie, a będziesz jedyną osobą, która może wprowadzać zmiany.

Jednak istnieje wiele powodów, dla których warto dodać kolejne konto użytkownika do Twojej strony: Możesz chcieć pozwolić innym autorom na dodawanie treści, lub możesz potrzebować osób do pomocy w edycji treści i zarządzaniu Twoją stroną. Możesz nawet mieć cały zespół użytkowników, którzy regularnie korzystają z Twojej strony WordPress i wprowadzają własne zmiany.

To może być korzystne (a nawet konieczne). Jednakże, stanowi to również potencjalne ryzyko bezpieczeństwa.

Im więcej osób wpuszczasz na swoją stronę, tym większe prawdopodobieństwo, że ktoś popełni błąd, spowoduje problemy lub po prostu okaże się być niekompetentny. Dlatego powinieneś utrzymywać liczbę użytkowników swojej strony na możliwie najniższym poziomie, nie ograniczając jej zdolności do rozwoju. W szczególności staraj się ograniczyć liczbę administratorów i innych ról użytkowników z wysokimi uprawnieniami.

Oto kilka innych najlepszych praktyk:

• Ogranicz każdego użytkownika tylko do uprawnień, które są niezbędne do wykonania jego pracy.
• Zachęcaj użytkowników do stosowania silnych haseł.
• Staraj się utrzymać jednego administratora i małą grupę edytorów.
• Usuń użytkowników, którzy opuścili stronę lub którym dostęp nie jest już potrzebny.
• Regularnie wylogowuj nieaktywnych użytkowników (wtyczka Inactive Logout jest świetna do tego celu!).
• Rozważ pobranie wtyczki takiej jak Members, która zapewnia interfejs użytkownika dla systemu ról i uprawnień WordPress’ role and capabilities.

10. Ograniczenie Prób Logowania

Każdy czasem zapomina swojego hasła. Ale dobre wieści! Domyślnie, WordPress pozwala na nieograniczoną liczbę prób.

Ale czy to naprawdę dobre wieści? Ataki siłowe, czyli ataki, podczas których haker próbuje dowolnej liczby haseł, to jedna z najczęstszych metod, jakie hakerzy wykorzystują do uzyskania dostępu do prywatnych kont. Bez ograniczeń na próby logowania, haker lub Bot mógłby próbować każde hasło z książki bez żadnych konsekwencji.

Najpierw sprawdź swój Web Access Firewall (WAF), aby ograniczyć liczbę prób logowania, które użytkownik może przeprowadzić. Jeśli Twój firewall jest już skonfigurowany, limit będzie już ustawiony, ale możesz również użyć osobnego pluginu do tego! Zarówno Login Lockdown jak i Cerber Limit Login Attempts rejestrują adres IP i znacznik czasu dla każdej nieudanej próby logowania, pozwalają ograniczyć liczbę nieudanych prób dozwolonych w określonym czasie oraz blokują adresy IP, które przekraczają limit. Obie wtyczki są darmowe, ale Login Lockdown jest prostszy i bardziej przyjazny dla początkujących. Jeśli wymagasz bardziej zaawansowanego systemu, Cerber Limit Login Attempts jest dobrym wyborem, umożliwiając nie tylko białą/czarną listę adresów IP, ale także powiadamianie administratorów, gdy osiągnięta zostanie określona liczba blokad.

11. Śledź aktywność w Twoim Panelu Admina

Jeśli masz wielu użytkowników, śledzenie tego, co robią na stronie, jest dobrym pomysłem. Monitorowanie aktywności w panelu administracyjnym WordPress pomoże Ci zauważyć, kiedy inni użytkownicy robią rzeczy, których nie powinni — oraz pomoże Ci wykryć, kiedy nieautoryzowani użytkownicy uzyskali dostęp.

Ale potrzebujesz również narzędzia, które pomoże Ci zobaczyć, kto stoi za różnymi działaniami na stronie — jak na przykład kiedy ktoś dokonuje nieautoryzowanej zmiany lub podejrzanej nowej instalacji. W tym celu potrzebujesz kolejnego pluginu. Simple History spełnia swoją nazwę, tworząc uproszczony, łatwy do zrozumienia log zmian i zdarzeń na Twojej stronie.

Aby uzyskać bardziej kompleksowe funkcje śledzenia, sprawdź WP Security Audit Log, który śledzi praktycznie wszystko, co dzieje się na Twojej stronie i oferuje dodatki premium.

12. Zabezpiecz stronę logowania hasłem

Strona logowania jest najbardziej prawdopodobnym sposobem na dostęp hakerów do twojej strony, dlatego jej ochrona to świetny sposób na zabezpieczenie reszty witryny. Może to być trochę techniczne, ale warto się tego nauczyć. Użyj tego poradnika, aby dowiedzieć się, jak utworzyć plik htaccess i dodać monit o hasło do strony logowania. Logowanie do twojego logowania — co jeszcze wymyślą?

A jeśli hostujesz treści, które nie muszą być widoczne dla wszystkich, możesz zabezpieczyć hasłem inne części swojej strony. Dla postów na blogu i innych stron, możesz dodać ochronę hasłem, przechodząc do stron >> wszystkie posty. Kliknij „edytuj”, a zobaczysz opcję zmiany widoczności na „Chronione hasłem”. Po prostu opublikuj, i voila, ta strona jest szczelnie zamknięta!

13. Ukryj swoją stronę logowania

Dodanie ochrony hasłem do strony logowania jest dobrym rozwiązaniem, ale jeszcze lepsze jest, gdy hakerzy nie mogą jej znaleźć. Zmiana stron wp-admin i wp-login jest łatwa i pomaga zniechęcić hakerów, którzy mogą łatwo znaleźć Twoją stronę logowania, jeśli zostawisz domyślne ustawienia.

Istnieje kilka pluginów, które mogą przekierować domyślną stronę logowania na inną stronę według Twojego wyboru. Wiele pluginów oferuje to jako część większego pakietu (na przykład, Defender także zawiera skaner malware i firewall). Jednak jeśli szukasz czegoś prostego, wypróbuj WPS Hide Login, który po prostu ukrywa Twoją stronę logowania. Tylko nie zapomnij dodać zakładki do swojej nowej strony logowania, abyś mógł ją znaleźć.

14. Aktualizacja PHP

Tak jak Ameryka działa na Dunkin’ (nie cytuj nas tutaj), WordPress działa na PHP. Aktualizacja WordPressa to nie wszystko, co trzeba zrobić, aby Twoja strona była bezpieczna — musisz również upewnić się, że używasz najnowszej wersji PHP.

Zazwyczaj każda wersja PHP jest wspierana przez co najmniej dwa lata od daty jej wydania, co oznacza, że podatności są adresowane przez inżynierów, którzy zaprojektowali kod. Kiedy kod staje się przestarzały (lub osiąga swój EOL, czyli „koniec życia”), nadszedł czas na aktualizację, inaczej ryzykujesz wystawienie na problemy z bezpieczeństwem, spowolnienia wydajności i mnóstwo błędów.

Aby sprawdzić, którą wersję PHP obecnie używasz, zaloguj się do swojej strony WordPress, i wybierz Narzędzia >> Stan Witryny. Przejdź do Informacji, a następnie Serwer, i zobacz swoją obecną wersję PHP.

15. Zabezpiecz swoją bazę danych WordPress

Pozostawienie czegokolwiek w ustawieniach domyślnych jest korzyścią dla hakerów, a domyślnie WordPress używa wp_ jako prefiksu dla wszystkich powiązanych tabel. Dobra wiadomość! Jeśli używasz Instalatora Jednego Kliknięcia, masz już prefiks z losowych liter i cyfr. Wystarczy, że kończy się on podkreślnikiem, a system będzie zadowolony. Lepsze wieści! Nawet jeśli twój WordPress jest już zainstalowany, może być kwalifikowany do Instalatora Jednego Kliknięcia, o ile strona jest całkowicie hostingowana i spełnia kilka innych wytycznych.

Zwróć uwagę, że zepsucie czegoś może być tak proste jak brakujące podkreślenie. Na szczęście dostępna jest domyślna wersja pliku wp-config.php na stronie WordPress Core, dzięki czemu możesz szybko i łatwo odbudować — niezależnie od tego, czy próbowałeś ręcznie zmienić prefiks bazy danych, czy za pomocą usługi takiej jak phpMyAdmin.

16. Dodaj pytania zabezpieczające

Pytania dotyczące zabezpieczeń są często pomijane, ale dodają dodatkowego impetu do twojego bezpieczeństwa. W zależności od pluginu, który wybierzesz, będziesz mógł wybierać z istniejących pytań zabezpieczających lub tworzyć własne.

17. Ukryj swoją wersję WordPress

Bezpieczeństwo przez zatajanie — jeśli nie mogą tego znaleźć, nie mogą tego zhakować!

Ukryj, którą wersję WordPressa używasz (lub ukryj, że w ogóle używasz WordPressa) poprzez zmianę kodu nagłówka. Jeśli to brzmi zbyt technicznie, użyj wtyczki takiej jak WPCode. Pamiętaj tylko, aby zmienić kod, a nie tylko edytować informacje wyświetlane w ustawieniach motywu — te fragmenty kodu wrócą przy następnej aktualizacji motywu.

18. Zapobiegaj Hotlinkingowi

Hotlinkowanie to działanie polegające na kradzieży przepustowości poprzez używanie plików hostowanych na jednej stronie i linkowanie ich do innej. Na przykład, załóżmy, że ktoś narysował całkiem sprytny komiks, a jakaś inna strona chce go pokazać bez pozwolenia. Mogliby hotlinkować komiks zamiast hostować go na własnych serwerach, co kosztuje oryginalną stronę więcej przepustowości, a więc i więcej pieniędzy.

Aby zablokować hotlinking, możesz zdecydować się na odrzucanie niektórych domen, zezwolenie tylko na niektóre domeny lub całkowite usunięcie możliwości hotlinkingu, wszystko poprzez wprowadzenie kilku zmian w pliku htaccess. Możesz nawet dołączyć fragment do swojego pliku .htaccess, który przekieruje wszystkie próby hotlinkingu na stronę lub obraz według twojego wyboru — może to być na przykład obraz, który mówi: „Przestań korzystać z hotlinkingu, darmozjadzie!”

19. Ochrona przed DDoS (Wyłącz XML RPC)

Rozproszony atak typu Denial of Service (lub DDoS) to kiedy haker używa wielu systemów do wysyłania ogromnej ilości danych i przytłoczenia swojego celu. Może to spowolnić i zakłócić działanie celu — wyobraź sobie ogromny korek na Twojej stronie internetowej, gdzie żaden prawowity ruch nie może się dostać.

Wiemy, że cierpliwość w internecie jest rzadkością, przeciętny użytkownik czeka tylko 3 sekundy na załadowanie się strony, zanim odejdzie, więc im szybciej zidentyfikujesz i rozwiążesz atak na swoją stronę, tym lepiej.

Choć zapobieganie atakom DDoS może wydawać się skomplikowane, jednym z pierwszych kroków, które możesz podjąć, jest usunięcie lub wyłączenie starych lub nieużywanych pluginów. Pluginy są niezwykle przydatne, ale zwiększając funkcjonalność, mają również dostęp do twojej strony internetowej, który może być wykorzystany. Tym razem pobieranie większej ilości pluginów nie jest rozwiązaniem!

XML-RPC umożliwia dostęp do WordPressa przez aplikację na Twoim urządzeniu mobilnym. Jeśli nie używasz smartfona do wprowadzania zmian na swojej stronie WordPress, prawdopodobnie nie potrzebujesz tej funkcji włączonej. Wyłączenie jej wiąże się z dodaniem krótkiego fragmentu kodu do pliku htaccess, co zwiększy Twoje bezpieczeństwo.

20. Skanowanie Malware

Malware (skrót od złośliwe oprogramowanie) ukrywa się w pozornie bezpiecznych aplikacjach, tak że użytkownik nie wie, że jego komputer lub strona internetowa zostały zainfekowane.

Skanowanie Malware to ważna obrona, która polega na używaniu oprogramowania anty-malware do identyfikacji i izolacji podejrzanych plików, dopóki nie zdecydujesz, czy należy je usunąć. Jeśli zagrożenie zostanie wykryte, dobry skaner malware usunie wszelkie ślady z twojego komputera jak najszybciej. Na szczęście, kilka pluginów zaporowych ma wbudowane skanowanie malware, więc upewnij się, że sprawdziłeś swoje pluginy zabezpieczające, co one oferują.

Jeśli korzystasz z DreamHost jako swojej platformy hostingowej, możesz aktywować DreamShield, aby obsługiwać codzienne skanowanie w poszukiwaniu Malware.

Bezpieczeństwo WordPress: Zabezpieczanie

Jeśli twoja strona zostanie zhakowana, spędzisz godziny (a może nawet dni) próbując naprawić szkody. Możesz trwale stracić dane lub zobaczyć, że twoje dane osobiste są zagrożone — lub co gorsza: dane twoich klientów.

Dlatego musisz poświęcić wystarczająco dużo czasu i energii, aby upewnić się, że Twoja strona jest bezpieczna. W przeciwnym razie po prostu ryzykujesz utratę cennego biznesu i cennego czasu.

Te porady dotyczące bezpieczeństwa WordPress powinny pomóc. Niektóre z nich to proste zmiany, inne wpływają na całą witrynę. Jeśli jednak szukasz jednej, znaczącej zmiany, którą możesz wprowadzić dzisiaj, aby zabezpieczyć swoją stronę, upewnij się, że działa ona na zabezpieczonym hoście WordPress.

DreamPress Hosting (z darmową migracją WordPress) jest specjalnie zaprojektowany dla środowiska WordPress. Ponadto, jeśli kiedykolwiek napotkasz problem z bezpieczeństwem, mamy Cię zabezpieczonego dzięki automatycznym codziennym kopiom zapasowym, codziennemu skanowi w poszukiwaniu Malware i naszemu zespołowi wsparcia ekspertów WordPress! Gotowy, aby chronić swoją stronę przed zagrożeniami i podatnościami? Dowiedz się więcej o hostingu DreamPress już dziś.