Co jest lepsze niż dobrze zbudowana strona internetowa? Dobrze zbudowana strona internetowa z solidnymi zabezpieczeniami.
Trzymaj się mnie, ponieważ odkryję niektóre z najlepszych praktyk bezpieczeństwa dla Twojej witryny WordPress. Są one nie tylko przyjazne dla początkujących, ale także bardzo przystępne cenowo, jeśli nie całkowicie bezpłatne.
Pod koniec tego artykułu będziesz mieć plan działania, aby zabezpieczyć swoją witrynę przed wszelkiego rodzaju cyberzagrożeniami. Więc zapnij pasy i zaczynajmy!
Spis treści:
Czy Twoja witryna WordPress jest bezpieczna?
Chociaż WordPress jest uważany za najpopularniejszy do tej pory CMS, ta reputacja ma pewne konsekwencje. Używane przez ponad 35% stron internetowych w Internecie WordPress staje się ulubionym celem ataków złośliwego oprogramowania. Tylko w 2018 r. Sucuri poinformowało, że około 23 000 witryn WordPress padło ofiarą naruszeń bezpieczeństwa.
Czy to oznacza, że WordPress ma okropny system bezpieczeństwa?
Zupełnie nie! Wręcz przeciwnie, główną przyczyną naruszeń bezpieczeństwa stron internetowych jest brak świadomości bezpieczeństwa użytkowników.
Jako renomowany CMS, WordPress regularnie publikuje poprawki bezpieczeństwa i aktualizacje oprogramowania. Mimo to te ulepszenia nie będą miały większego znaczenia, chyba że wiesz, co z nimi zrobić.
Krótko mówiąc, odgrywasz znaczącą rolę w zabezpieczaniu swojej witryny.
Teraz, gdy znasz już swoją rolę i odpowiedzialność jako webmastera, nadszedł czas, aby dowiedzieć się, co możesz zrobić, aby poprawić bezpieczeństwo swojej witryny. Zapoznaj się z poniższymi najlepszymi praktykami bezpieczeństwa i spróbuj wdrożyć je w swojej witrynie.
Używaj silnych nazw użytkownika i haseł
Tworzenie silnych danych logowania może być najłatwiejszą praktyką bezpieczeństwa, jaką każdy może wykonać, ale wielu użytkowników nadal tego nie robi. Uwierz lub nie, 23,2 mln kont nadal używaj „123456” jako hasła. Ten sam problem dotyczy nazw użytkowników, gdzie wielu użytkowników używa standardowych nazw użytkowników, takich jak „admin” i „administrator”.
Jeśli potrzebujesz pomocy w opracowaniu silnych haseł, jest ich mnóstwo generatory haseł tam możesz korzystać bezpłatnie. Jeśli chodzi o nazwy użytkowników, możesz dodać do słów kluczowych cyfry i znaki specjalne, aby były bardziej unikalne.
Używanie słabych danych logowania sprawi, że Twoja witryna będzie podatna na ataki typu brute force. Ten rodzaj cyberataku wykorzystuje metodę prób i błędów do odgadnięcia Twoich danych logowania. Dlatego najlepiej jest unikać używania typowych słów kluczowych w informacjach logowania.
Jeśli masz zwyczaj zapominania hasła, możesz rozważyć użycie LastPass zapamiętać i używać go jednym kliknięciem. Jeśli chodzi o nazwy użytkowników, możesz dodać do słów kluczowych cyfry i znaki specjalne, aby były bardziej unikalne.
Ukryj login WordPress
Ta prosta sztuczka może chronić Twoje witryny WP przed atakującymi, których celem są ataki typu brute force. Posługiwać się WPS Ukryj Login darmowa wtyczka do zmiany adresu URL logowania na coś unikalnego.
Włącz uwierzytelnianie dwuskładnikowe
Po zabezpieczeniu poświadczeń logowania administratora możesz jeszcze bardziej usprawnić proces logowania, włączając uwierzytelnianie dwuskładnikowe. Ten proces bezpieczeństwa tworzy dodatkową warstwę ochrony, która wymaga od użytkowników uzyskania unikalnego kodu z aplikacji uwierzytelniającej. Wdrażając go na swojej stronie, tylko użytkownicy z prawidłowymi danymi logowania i kodem mogą logować się na swoje konto.
WordPress ma do wyboru wiele wtyczek uwierzytelniania dwuskładnikowego. Kilka z najlepszych to Google Authenticator, Uwierzytelnianie dwuetapoweoraz Dwuczynnikowy.
Zmień prefiks bazy danych WordPress
Baza danych serwisu jest najpopularniejszym celem ataków typu SQL injection. Tego typu cyberataki zmuszają bazę danych do wykonania złośliwego kodu, umożliwiając hakerom swobodne modyfikowanie lub eliminowanie zawartych w niej danych. Ponieważ ataki typu SQL injection obejmują około 80% prób włamania co miesiąc, nie należy lekceważyć tego zagrożenia.
Jednym z czynników, które sprawiają, że baza danych jest podatna na ataki typu SQL injection, jest użycie domyślnego prefiksu bazy danych wp_. Używając przewidywalnej bazy danych, prefiks pozwala hakerom odgadnąć nazwy Twoich tabel i siać spustoszenie w Twojej bazie danych. Dlatego gorąco polecam zmienić go przy najbliższej okazji.
Oto szczegółowy przewodnik jak zmienić prefiks bazy danych WordPress. Możesz także spróbować Wtyczka Zmień prefiks tabeli.
Wyłącz raportowanie błędów PHP
Funkcja raportowania błędów PHP pomaga znacznie szybciej lokalizować błędy w plikach PHP. Jednak pozwala również innym osobom zobaczyć luki w Twojej witrynie. Dlatego zalecam całkowite wyłączenie tej funkcji.
WordPress domyślnie wyłącza funkcję raportowania błędów. Jeśli jest włączony z jakiegoś powodu, powinieneś wyłączyć go ręcznie przez modyfikowanie pliku wp-config.php. W zależności od usługi hostingowej kilku dostawców hostingu umożliwia również zarządzanie tym ustawieniem z ich panelu sterowania.
Aktualizuj WordPress
Aby nadążyć za stale rosnącymi rodzajami cyberataków, WordPress okresowo publikuje aktualizacje wraz z najnowszymi łatami bezpieczeństwa. To ulepszenie dotyczy nie tylko rdzenia WordPressa, ale także wtyczek i motywów. Biorąc to pod uwagę, używanie przestarzałego oprogramowania jest receptą na katastrofę.
Chociaż WordPress automatycznie wdraża drobne aktualizacje oprogramowania, nadal musisz ręcznie wykonywać główne aktualizacje. Dlatego pamiętaj, aby regularnie szukać nowych aktualizacji w sekcji Aktualizacje panelu administracyjnego WordPressa, aby uniknąć luk w zabezpieczeniach witryny.
Jest też darmowa wtyczka Łatwy menedżer aktualizacjiktórego możesz użyć do kontrolowania sposobu aktualizowania rdzenia WordPressa, motywów i wtyczek.
Wyłącz przeglądanie katalogów
Przeglądanie katalogów umożliwia szybki dostęp do struktury witryny i poszczególnych katalogów. Może jednak zmienić się w miecz obosieczny, jeśli inne osoby również będą miały do niego dostęp. Hakerzy często używają go do znajdowania podatnych na ataki plików, wtyczek i motywów, a następnie wykorzystują je, aby uzyskać dostęp do Twojej witryny.
Jeśli hostujesz swoją witrynę WP na platformie premium, możesz nie musieć się martwić, ponieważ zajmą się tymi optymalizacjami. Jeśli jednak prowadzisz własny hosting lub musisz wyłączyć go ręcznie, sprawdź to artykuł wiedzieć, jak wyłączyć przeglądanie katalogów w WordPress.
Usuń numer wersji WordPress
WordPress stale publikuje aktualizacje, aby naprawić luki w zabezpieczeniach poprzedniej wersji. Starsze wersje są zwykle nękane większą liczbą luk w zabezpieczeniach. Dlatego upublicznienie wersji WordPressa nie jest najlepszym pomysłem dla twojego systemu bezpieczeństwa w sieci.
Domyślnie Twoja wersja WordPressa jest widoczna w prawym dolnym rogu panelu administracyjnego i źródła strony. Pojawia się również w mniej oczywistych miejscach, takich jak RSS, CSS i skrypty witryny. Jest super artykuł który zawiera przewodnik krok po kroku, jak usunąć wersję WordPressa z tych miejsc.
Wyłącz edycję plików
Wbudowany edytor plików WordPress pozwala znacznie łatwiej modyfikować wtyczki i skrypty motywów. Mimo to ta funkcja może zagrozić Twojej witrynie, jeśli wpadnie w niepowołane ręce. Z tego powodu najlepiej całkowicie wyłączyć edycję plików. Możesz to zrobić, dodając poniżej w pliku wp-config.php.
define('DISALLOW_FILE_EDIT', true);
Wykonuj regularne kopie zapasowe
Tworzenie kopii zapasowych jest tak samo ważne, jak zabezpieczenie strony internetowej. W najgorszym przypadku kopie zapasowe mogą uchronić Cię przed koniecznością odbudowy witryny od podstaw.
Proces może wydawać się żmudny, ale istnieje wiele wtyczek do tworzenia kopii zapasowych, takich jak VaultPress oraz BlogVault co może sprawić, że będzie to bezproblemowe. Protip, użyj wtyczki, która ma funkcję automatycznego tworzenia kopii zapasowych, aby zaoszczędzić czas i uniknąć zapychania systemu przez nieaktualne kopie zapasowe.
Jeśli nie lubisz używać zbyt wielu wtyczek, możesz rozważyć użycie iThemes Security Pro, które dbają przede wszystkim o więcej.
Zatrzymaj spam i negatywne SEO
Spam jest wszędzie i nikt go nie lubi.
Jeśli prowadzisz popularną witrynę i nie masz odpowiedniego systemu zapobiegania spamowi, każdego dnia możesz przyciągać tysiące spamerów. Zbyt duża ilość spamu jest zła dla SEO i doświadczenia użytkownika. Wyobraź sobie, że masz setki nieistotnych komentarzy w poście na blogu.
Powiedz nie spamowi, używając Antyspam CleanTalk rozwiązanie.
Użyj WAF
Jedną z najlepszych inwestycji, jakie możesz poczynić w celu zabezpieczenia swojej witryny, jest użycie WAF (Zapora aplikacji internetowych). Pomaga zabezpieczyć witrynę przed 10 najczęstszymi lukami OWASP, znanymi i nieznanymi lukami w zabezpieczeniach, złośliwym kodem, atakami DDoS i wieloma innymi.
Opcji jest kilka – SUCURI, Malcare, Cloudflare.
Zarządzaj motywami i wtyczkami
Jedną z największych zalet korzystania z WordPressa jest ogromna kolekcja wtyczek i motywów. Jak na ironię, wtyczki i motywy WordPressa podszywają się pod największe źródło podatności które mogą narazić Twoją witrynę na ryzyko. Dlatego powinieneś mądrze dokonać wyboru i ostrożnie zarządzać tymi, które zainstalowałeś.
Najprostszym sposobem, aby uniemożliwić hakerom dostęp do Twojej witryny za pośrednictwem wadliwego oprogramowania, jest użycie wtyczek i motywów z doskonałymi recenzjami i ocenami. To świetne wskaźniki, które powiedzą Ci, że są dobrze utrzymane i działają prawidłowo. Ponadto należy okresowo sprawdzać dostępność aktualizacji, aby poprawić ich wydajność.
Zawijanie
Ponieważ cyberzagrożenia na całym świecie nie planują wycofania się w najbliższym czasie, ważne jest, aby zabezpieczyć swoją witrynę WordPress przed potencjalnym niebezpieczeństwem. Na szczęście istnieje wiele łatwych, ale skutecznych praktyk bezpieczeństwa, które można wykonać, aby poprawić ogólne bezpieczeństwo witryny.
Ten artykuł dowodzi, że nie potrzebujesz dużego budżetu ani zaawansowanej wiedzy technicznej, aby wykonać niektóre z najlepszych praktyk bezpieczeństwa. Pytanie brzmi, czy jesteś gotów na wyzwanie?
Chcesz akceptować płatności za pośrednictwem swojej strony internetowej? Oto najlepsze wtyczki do akceptowania płatności w witrynach WordPress.
Związane z:
Jak korzystać z Google Cloud SQL z WordPress.