Jak zabezpieczyć swoją witrynę WordPress przed hakerami?

Jednym z najważniejszych aspektów organizacji, które należy wykonać, jest bezpieczeństwo sieci. Jeśli Twoja witryna jest Twoim zamkiem, hakerzy są dzisiejszymi najeźdźcami, próbującymi przełamać zabezpieczenia Twojej witryny, aby uzyskać dostęp do ukrytego w niej skarbu. Od ciebie zależy, czy będziesz je trzymać z daleka, bo jeśli tego nie zrobisz, wyrządzą wiele krzywdy.

WordPress to popularna platforma CMS z ponad 60% udziałem w rynku. Według ekspertów, każdego dnia buduje się ponad 500 stron internetowych za pomocą kreatora stron WordPress. Jeśli używasz WordPressa jako platformy do tworzenia stron internetowych, ważne jest, aby wziąć pod uwagę bezpieczeństwo.

Ale jak hakerzy mogą dostać się do Twojej witryny i jak możesz ich powstrzymać? Aby dowiedzieć się więcej o bezpieczeństwie witryny WordPress, zapoznaj się z poniższymi sekcjami:

Dlaczego hakerzy atakują bezpieczeństwo Twojej witryny?

Ochrona witryny przed atakami hakerskimi jest priorytetem dla każdej firmy, a tym bardziej dla tych, którzy prowadzą sklep internetowy. Powinniśmy przyjrzeć się „dlaczego” bezpieczeństwa witryny, zanim przyjrzymy się „jak”. Co skłania hakerów do atakowania Twojej witryny? Znajomość odpowiedzi może pomóc w ustaleniu, które części witryny wymagają największej ochrony.

Poniżej znajduje się lista najczęstszych przyczyn zagrożeń bezpieczeństwa witryn internetowych:

1. Aby uzyskać poufne informacje

Aby uzyskać dostęp do poufnych informacji, hakerzy próbują przeniknąć do Twojej witryny z kilku powodów. Pierwszym — iz pewnością najczęstszym — jest uzyskanie poufnych informacji. Informacje te są często powiązane z Twoją firmą – dokumentami firmowymi, dokumentacją sprzedaży i inną własnością intelektualną, którą hakerzy mogą wykorzystać w przyszłości, aby zaszkodzić Twojej firmie.

Hakerzy mogą również służyć do informacji użytkownika. Jeśli przechowujesz dane swoich klientów lub klientów w swojej witrynie, w szczególności informacje finansowe, hakerzy mogą wykorzystać je do kradzieży pieniędzy od tych, którzy kupili od Ciebie.

2. Hostowanie złośliwego oprogramowania

Innym powodem, dla którego hakerzy mogą atakować Twoją witrynę, jest wykorzystanie jej jako punktu dystrybucji wirusów. Gdy hakerzy uzyskują dostęp do Twojej witryny, mogą instalować wirusy i używać ich jako startera do rozpowszechniania tych wirusów w Internecie.

To działanie podważy Twoją reputację w Google, który zobaczy złośliwe oprogramowanie w Twojej witrynie i wyeliminuje Cię z rankingu wyszukiwania, a także utrudni eliminację wirusów. Wszystkie twoje wysiłki w optymalizacji wyszukiwarek (SEO) pójdą na marne.

3. Dla zabawy

Wreszcie, wielu hakerów włamuje się na strony internetowe dla czystej emocji. Lubią przełamywać zapory sieciowe i łamać wszystkie Twoje zabezpieczenia, aby uzyskać satysfakcję z przejęcia kontroli nad Twoją witryną.

Inni idą o krok dalej, mając nadzieję, że dzięki swoim oszustwom wyrobią sobie markę. Kiedy haker zostaje zatrzymany, często korzysta z mediów społecznościowych, aby pochwalić się swoimi wyczynami. Niestety, nawet jeśli zostaną zatrzymani, szkoda dla Twojej witryny została już wyrządzona.

Jakie są najczęstsze zagrożenia bezpieczeństwa witryn internetowych?

Przyjrzyjmy się kilku typowym sposobom, w jakie hakerzy próbują obejść Twoje zabezpieczenia po omówieniu, dlaczego hakerzy atakują Twoją witrynę i dlaczego może być ona tak niebezpieczna. Trzy główne rodzaje zagrożeń bezpieczeństwa witryn internetowych, na które warto mieć oko!

1. Wirusy i złośliwe oprogramowanie

Omówiliśmy już, w jaki sposób hakerzy mogą rozprzestrzeniać złośliwe oprogramowanie w Twojej witrynie. Jednak złośliwe oprogramowanie to kolejny sposób, w jaki hakerzy mogą uzyskać dostęp do Twojej witryny.

Często zaczyna się od czegoś tak podstawowego, jak kliknięcie linku. Hakerzy znajdą sposób na uzyskanie linków przed Tobą, najczęściej za pośrednictwem e-maili. Kiedy klikniesz na linki, zostanie uwolniony wirus, który szybko wejdzie na twoją stronę z twojego komputera.

W tym momencie cała Twoja witryna ulegnie awarii, pozostawiając Cię zablokowanym i podatnym na wszystko, co spróbują hakerzy – nie wspominając o tym, że w rezultacie ucierpi Twoja sprzedaż!

2. Łącza spamowe

Hakerzy mogą często próbować nakłonić odwiedzających Twoją witrynę do klikania złośliwych linków, oprócz prób nakłonienia Cię do tego. Pozostawianie komentarzy na swojej stronie jest jedną z najpopularniejszych metod, jaką to robią.

Miej oko na to, co mówią Twoi czytelnicy, jeśli masz bloga, na którym mogą zamieszczać komentarze. Hakerzy często wykorzystują ten kanał do rozpowszechniania linków, które omyłkowo pobierają złośliwe oprogramowanie na komputery użytkowników.

Gdy Google zauważy te linki pochodzące z Twojej witryny, szybko ukarze Cię w wynikach wyszukiwania, dlatego powinieneś unikać umieszczania tych komentarzy na swojej stronie.

3. Ataki DDOS

Rozproszone ataki typu „odmowa usługi” (DDoS) to trzeci najczęstszy rodzaj problemu z bezpieczeństwem witryn internetowych, który w ostatnich latach zyskał na popularności. Kiedy hakerzy powodują awarię całej witryny, zalewając ją fałszywym ruchem, jest to znane jako atak DDoS.

Hakerzy tworzą ogromne armie fałszywych adresów IP i nakazują im wszystkim dostęp do Twojej witryny w tym samym czasie. Twoja witryna ulegnie awarii, ponieważ nie będzie w stanie obsłużyć tak dużej liczby odwiedzających. Uniemożliwi to innym osobom odwiedzanie witryny, co wpłynie na Twoje rankingi i konwersje.

Dlaczego bezpieczeństwo witryny jest ważne?

Zhakowana witryna WordPress może znacznie zaszkodzić przychodom i reputacji Twojej firmy. Hakerzy mogą kraść informacje o użytkownikach, hasła, instalować szkodliwe oprogramowanie, a nawet infekować użytkowników złośliwym oprogramowaniem. W najgorszym przypadku możesz być zmuszony zapłacić hakerom za oprogramowanie ransomware, aby odzyskać dostęp do Twojej witryny.

Według Google ponad 50 milionów użytkowników witryn zostało ostrzeżonych, że odwiedzana przez nich witryna może zawierać złośliwe oprogramowanie lub kraść informacje. Co więcej, każdego tygodnia Google umieszcza na czarnej liście około 20 000 stron internetowych pod kątem złośliwego oprogramowania i około 50 000 stron internetowych pod kątem phishingu.

Jeśli prowadzisz witrynę biznesową, zwróć szczególną uwagę na bezpieczeństwo WordPressa. Ponieważ obowiązkiem prawdziwego właściciela sklepu jest zabezpieczenie swojego budynku, obowiązkiem właściciela firmy internetowej jest również obrona swojej strony internetowej.

Jak zabezpieczyć swoją witrynę WordPress przed hakerami?

Oto kilka wskazówek, jak zabezpieczyć witrynę WordPress przed hakerami. Możesz zacząć od zmiany haseł, upewniając się, że nie zostawiasz żadnych danych osobowych w postach lub komentarzach, instalując wysokiej jakości zaporę sieciową i oprogramowanie antywirusowe oraz korzystając z wielu środków bezpieczeństwa, które zostały wbudowane w WordPress przez lata . Wykonaj następujące kroki, aby zabezpieczyć witrynę WordPress:

1. Aktualizowanie WordPressa

WordPress to program o otwartym kodzie źródłowym, który jest regularnie aktualizowany i utrzymywany. Dlatego ważne jest, aby aktualizować witryny WordPress, aby zapewnić ich bezpieczeństwo. WordPress domyślnie automatycznie instaluje drobne aktualizacje. W przypadku wersji głównych należy ręcznie uruchomić aktualizację. WordPress przypomina nam również o tych aktualizacjach w sekcji „Aktualizacje”.

WordPress zawiera również bibliotekę tysięcy wtyczek i motywów, których możesz użyć do dostosowania swojej witryny. Deweloperzy zewnętrzni utrzymują te wtyczki i motywy oraz regularnie wydają aktualizacje.

Te aktualizacje WordPress mają kluczowe znaczenie dla bezpieczeństwa i stabilności Twojej witryny WordPress. Sprawdź, czy Twój rdzeń WordPress, wtyczki i motyw są aktualne.

2. Silne hasła i uprawnienia użytkownika

Skradzione hasła są używane w większości prób włamania do WordPressa. Używaj trudniejszych haseł, które są unikalne dla Twojej witryny, aby to utrudnić. Nie tylko dla obszaru administracyjnego WordPress, ale także dla kont FTP, baz danych, kont hostingowych WordPress i niestandardowych adresów e-mail, które używają nazwy domeny Twojej witryny.

Ponieważ silne hasła są trudne do zapamiętania, wielu początkujących unika ich. Dobrą wiadomością jest to, że nie musisz już zapamiętywać haseł. Możesz użyć menedżera haseł, aby śledzić swoje hasła.

Inną strategią zmniejszania niebezpieczeństwa jest udostępnianie konta administratora WordPress tylko osobom, których absolutnie potrzebujesz. Upewnij się, że rozumiesz role i możliwości użytkowników w WordPress przed dodaniem nowych kont użytkowników i autorów do swojej witryny WordPress, jeśli masz duży zespół lub autorów gości.

3. Rola hostingu WordPress

Twoja usługa hostingowa WordPress jest najważniejszym aspektem bezpieczeństwa Twojej witryny WordPress. Kompetentna firma hostingu współdzielonego zrobiłaby wszystko, aby zabezpieczyć swoje serwery przed częstymi zagrożeniami.

Oto, jak kompetentna firma hostingowa chroni Twoje witryny i dane w tle.

• Obserwują swoją sieć pod kątem wszelkich wątpliwych zachowań.
• Aby zapobiec atakom DDOS na dużą skalę, wszystkie dobre firmy hostingowe dysponują narzędziami.
• Aby uniemożliwić hakerom wykorzystanie znanej luki w zabezpieczeniach starszej wersji
• utrzymują na bieżąco oprogramowanie serwerowe, wersje PHP i sprzęt.

4. Zainstaluj rozwiązanie do tworzenia kopii zapasowych WordPress

Kopie zapasowe to Twoja pierwsza linia obrony w przypadku ataku na WordPressa. Pamiętaj, że nic nie jest bezpieczne. Jeśli witryny rządowe mogą zostać zhakowane, możesz być pewien, że Twoje również.

Kopie zapasowe umożliwiają szybkie odzyskanie witryny WordPress, jeśli coś pójdzie nie tak. Możesz korzystać z różnych darmowych i płatnych wtyczek do tworzenia kopii zapasowych WordPress. Najważniejszą rzeczą do zapamiętania w przypadku kopii zapasowych jest to, że kopie zapasowe całej witryny muszą być regularnie zapisywane w odległym miejscu (nie na koncie hostingowym

Sugerujemy przechowywanie go u dostawcy chmury, takiego jak Amazon, Dropbox lub Google Drive. W zależności od tego, jak często aktualizujesz swoją witrynę, najlepszym rozwiązaniem mogą być kopie zapasowe raz dziennie lub kopie zapasowe w czasie rzeczywistym.

Kopia zapasowa Twojej witryny WordPress składa się z następujących elementów:

• Instalacja rdzenia WordPress
• Wtyczki WordPress
• Motywy WordPress
• Obrazy i pliki
• JavaScript, PHP i inne pliki kodu
• Dodatkowe pliki i statyczne strony internetowe

5. Najlepsza wtyczka bezpieczeństwa WordPress

Następnym krokiem po wykonaniu kopii zapasowych jest zbudowanie systemu audytu i monitorowania, który rejestruje wszystko, co dzieje się na Twojej stronie.

Monitorowanie integralności plików, nieudane próby logowania, wykrywanie wirusów itd. to elementy wtyczki zabezpieczającej. Nie są dodatkami ani dodatkami, ale istotnymi składnikami każdej witryny WordPress.

Jedynym celem wtyczek zabezpieczających jest zapewnienie bezpieczeństwa Twojej witryny. Robi to, odstraszając hakerów, zapobiegając atakom, wykrywając luki w zabezpieczeniach i łagodząc je, zanim staną się problemem. Istnieje wiele wtyczek zabezpieczających, z których możesz wybrać, aby zabezpieczyć swoją witrynę.

Zobacz, co zapewniają wtyczki zabezpieczające WordPress:

• Aktywny monitoring bezpieczeństwa
• Monitorowanie czarnej listy
• Ochrona przed atakami brute force
• Skanowanie plików
• Zapory sieciowe
• Skanowanie złośliwego oprogramowania
• Powiadomienia o wykryciu zagrożenia bezpieczeństwa
• Działania po włamaniu
• Utwardzanie bezpieczeństwa

I wiele więcej…

6. Włącz zaporę aplikacji internetowej (WAF)

Wtyczka zapory dla WordPress (znana również jako zapora aplikacji internetowej lub WAF) działa jako bariera między Twoją witryną a całym ruchem przychodzącym. Te zapory sieciowe aplikacji internetowych monitorują ruch w Twojej witrynie i zapobiegają przedostawaniu się wielu typowych zagrożeń bezpieczeństwa do witryny WordPress.

Te zapory sieciowe aplikacji internetowych zazwyczaj przyspieszają i poprawiają wydajność Twojej witryny, a także znacznie zwiększają bezpieczeństwo WordPress.

Wtyczki zapory WordPress są podzielone na dwie kategorie.

Zapory sieciowe na poziomie DNS — te zapory sieciowe filtrują ruch w Twojej witrynie przez serwery proxy w chmurze. W rezultacie mogą dostarczać tylko legalny ruch na Twój serwer sieciowy.

Zapora na poziomie aplikacji — te wtyczki zapory sprawdzają ruch po dotarciu do serwera, ale przed załadowaniem większości skryptów WordPress. Pod względem minimalizacji obciążenia serwera rozwiązanie to nie jest tak skuteczne, jak zapora na poziomie DNS.

Proponujemy zastosowanie zapory na poziomie DNS, ponieważ bardzo dobrze odróżniają one legalny ruch w witrynie od złośliwych zapytań.

Osiągają to, monitorując tysiące stron internetowych, porównując trendy, wyszukując botnety i znane złośliwe adresy IP oraz ograniczając połączenia do adresów URL, których użytkownicy nigdy by nie szukali.

Ponadto zapory sieciowe na poziomie DNS zmniejszają obciążenie serwera hostingowego WordPress, zapewniając, że Twoja witryna nie przestanie działać.

Oto kilka najlepszych nazw wtyczek WordPress Firewall:

• Sucuri
• MaxCDN (ścieżka stosu)
• Cloudflare
• Bezpieczeństwo Wordfence
• Plecak odrzutowy
• Bezpieczeństwo kuloodporne
• Wszystko w jednym WP Security
• Zapora ogniowa
• Zapora ninja
• Astra
• MalCare
• Bezpieczeństwo obrońcy
• WP Cerber

7. Przenieś swoją witrynę WordPress na SSL/HTTPS

SSL (Secure Sockets Layer) to technika szyfrowania danych, która szyfruje transmisję danych między Twoją witryną a przeglądarką użytkownika. Komuś trudniej jest przeszukiwać i kraść informacje za pomocą tego szyfrowania. Twoja witryna będzie używać protokołu HTTPS zamiast HTTP, gdy włączysz SSL, a obok adresu witryny w przeglądarce pojawi się ikona kłódki.

Urzędy certyfikacji tradycyjnie dostarczały certyfikaty SSL, których cena waha się od 5 do 1000 USD rocznie, w zależności od poziomu potrzeb bezpieczeństwa Twojej witryny. Większość właścicieli witryn zdecydowała się na dalsze korzystanie z niezabezpieczonego protokołu ze względu na dodatkowe koszty. Aby rozwiązać ten problem, Let's Encrypt, grupa non-profit, postanowiła udostępnić właścicielom witryn bezpłatne certyfikaty SSL. Google Chrome, Facebook, Mozilla i wiele innych firm wsparło ich wysiłki.

Rozpoczęcie korzystania z SSL we wszystkich witrynach WordPress jest teraz łatwiejsze niż kiedykolwiek. Darmowy certyfikat SSL dla Twojej witryny WordPress jest teraz dostępny w kilku firmach hostingowych.

8. Zmień domyślną nazwę użytkownika „admin”

Podczas instalacji WordPressa domyślną nazwą użytkownika administratora będzie „admin”. Jeśli nadal będziesz używać „admin” jako swojej nazwy użytkownika administratora, haker może łatwo uzyskać dostęp do Twojej witryny. Hakerzy przeprowadzają ataki typu brute force na konta, w których domyślna nazwa użytkownika to „admin”, aby spróbować odzyskać hasła. Gdy haker zaloguje się na konto z domyślną nazwą użytkownika administratora WordPress, będzie miał pełne uprawnienia do Twojej witryny.

Domyślnym loginem administratora WordPressa był kiedyś „admin”. Ponieważ nazwy użytkowników stanowią 50% wszystkich danych logowania, ataki brute-force zostały ułatwione.

Na szczęście WordPress poprawił to i teraz prosi o podanie unikalnej nazwy użytkownika podczas instalacji oprogramowania.

Jednak niektóre instalatory WordPressa za pomocą jednego kliknięcia nadal używają „admin” jako domyślnej nazwy użytkownika administratora. Jeśli to odkryjesz, prawdopodobnie dobrym pomysłem będzie zmiana dostawcy usług hostingowych.

Ponieważ WordPress domyślnie nie umożliwia zmiany nazwy użytkownika, będziesz musiał użyć jednej z trzech technik.

• Usuń starą nazwę użytkownika administratora i utwórz nową.
• Zaktualizuj nazwę użytkownika z phpMyAdmin
• Użyj wtyczki do zmiany nazwy użytkownika

9. Wyłącz edycję plików

WordPress zawiera edytor kodu, który umożliwia edycję plików motywów i wtyczek bezpośrednio z obszaru administracyjnego WordPress. Ta funkcja może stanowić zagrożenie dla bezpieczeństwa w niepowołanych rękach, dlatego zalecamy jej wyłączenie.

Administratorzy mogą uzyskać dostęp do podstawowych plików, jeśli mają włączoną „edycję plików”. Jest to zagrożenie bezpieczeństwa, ponieważ każdy może dostać się do środka i mieć pełną kontrolę nad Twoimi danymi.

Aby zmniejszyć ryzyko naruszenia bezpieczeństwa, wyłącz dostęp do kodu swojej witryny i włączaj go tylko wtedy, gdy musisz edytować pliki. Aby wyłączyć edycję plików w administratorze WordPress, wykonaj następujące proste kroki:

1. Zaloguj się do panelu sterowania One.com.

2. Otwórz Menedżera plików w sekcji Pliki i zabezpieczenia.

3. Znajdź plik wp-config.php i zaznacz pole, aby go zaznaczyć.

4. Kliknij Edytuj na pasku menu u góry ekranu.

5. Wyszukaj wp-config dla define('DISALLOW_FILE_EDIT', zwykle znajduje się on na dole.

6. Jeśli go znalazłeś, sprawdź, czy jest ustawiony na „prawda” (patrz poniżej). Jeśli go tam nie ma, musisz go dodać na dole pliku, w ten sposób:

define('DISALLOW_FILE_EDIT', prawda);

7. Kliknij Zapisz u góry ekranu.

Wskazówka: jeśli chcesz tymczasowo zezwolić na edycję plików, możesz po prostu zamienić „prawda” na „fałsz”. Zmień go z powrotem po zakończeniu edycji.

10. Ogranicz próby logowania

WordPress domyślnie pozwala użytkownikom próbować logować się tyle razy, ile chcą. Twoja witryna WordPress jest teraz narażona na ataki siłowe. Hakerzy próbują łamać hasła, logując się różnymi kombinacjami.

Można temu łatwo zaradzić, ograniczając liczbę nieudanych prób logowania użytkownika. Jeśli korzystasz ze wspomnianej wcześniej zapory sieciowej, jest ona obsługiwana automatycznie.

Jeśli jednak nie masz zapory, musisz ją skonfigurować.

Możesz ograniczyć próby logowania w WordPressie na dwa sposoby:

1). Ogranicz próby logowania za pomocą wtyczki

2). Ogranicz próby logowania bez wtyczki

11. Autoryzacja dwuetapowa

Użytkownicy muszą logować się przy użyciu dwuetapowej procedury uwierzytelniania, gdy korzystają z metod uwierzytelniania dwuskładnikowego. Pierwszym krokiem jest wprowadzenie loginu i hasła, a drugim uwierzytelnienie za pomocą innego urządzenia lub aplikacji.

Możesz włączyć go dla swoich kont w najpopularniejszych witrynach, takich jak Google, Facebook i Twitter. Tę samą funkcję można dodać do witryny WordPress.

Wraz z ostatnimi cyberatakami wzrosły wymagania dotyczące uwierzytelniania dwuskładnikowego (2FA). Włączając uwierzytelnianie dwuskładnikowe w WordPress, możesz chronić swoją witrynę lub blog przed hakerami i nieautoryzowanym dostępem. Możesz włączyć uwierzytelnianie dwuskładnikowe (2FA) w WordPress, stosując 2 różne metody:

Metoda 1. Dodanie uwierzytelniania dwuskładnikowego w WordPress

Jest to zalecana metoda, która jest naprawdę łatwa dla wszystkich użytkowników. Pozwala zwiększyć bezpieczeństwo konta poprzez ustawienie uwierzytelniania dwuskładnikowego.

Najpierw musisz zainstalować i aktywować wtyczkę WP 2FA – Dwuskładnikowe uwierzytelnianie.

Po aktywacji musisz odwiedzić stronę Użytkownicy »Twój profil i przewinąć w dół do sekcji „Ustawienia WP 2FA”, aby zakończyć proces.

Metoda 2. Dodanie uwierzytelniania dwuskładnikowego przy użyciu dwuskładnikowego

Aby włączyć 2FA w WordPress za pomocą tej metody, musisz zainstalować i aktywować wtyczkę Two Factor.

Po aktywacji wtyczki należy wejść na stronę Użytkownicy » Profil i przewinąć w dół do sekcji Opcje dwuskładnikowe i postępować zgodnie z instrukcjami.

12. Zmień prefiks bazy danych WordPress

Ponieważ każda informacja w witrynie WordPress jest przechowywana w bazie danych, jest to preferowany cel hakerów. Zautomatyzowane kody wstrzykiwane SQL są używane przez spamerów i hakerów. Niestety podczas instalacji WordPressa wiele osób zaniedbuje aktualizację prefiksu bazy danych. Celując w domyślny prefiks wp_, hakerzy mogą łatwiej zaplanować masowy atak. Najmądrzejszą strategią ochrony bazy danych jest zmiana prefiksu bazy danych, co jest dość proste do wykonania w nowej witrynie. Jednak skuteczna zmiana prefiksu bazy danych WordPress dla istniejącej witryny bez całkowitego jej zepsucia wymaga kilku kroków.

13. Ochrona hasłem administratora WordPress i strony logowania

Możesz wzmocnić bezpieczeństwo najważniejszego punktu dostępu do swojej witryny, blokując hasłem katalog administratora WordPress.

Panel administracyjny WordPressa służy jako serce Twojej witryny. Możesz go używać do tworzenia postów i stron, zmiany motywu, instalowania wtyczek WordPress i nie tylko.

Kiedy hakerzy próbują uzyskać dostęp do Twojej witryny, często korzystają z panelu wp-admin. Stosując bezpieczne hasło i ograniczając próby logowania, możesz chronić swoją witrynę przed potencjalnymi zagrożeniami. Ochrona katalogu administratora hasłem to sprytny sposób na dodanie kolejnej warstwy zabezpieczeń hasłem do Twojej witryny.

Wykonaj te proste kroki, aby zabezpieczyć hasłem administratora WordPress

Krok 1: Zaloguj się do cPanel i sprawdź kartę Pliki.

Krok 2: Znajdź „Prywatność katalogu” i kliknij ją.

Krok 3: Edytuj folder wp-admin.

Krok 4: Hasło chroni wp-admin.

Krok 5: Ustaw użytkownika i hasło.

14. Wyłącz indeksowanie i przeglądanie katalogów

Hakerzy mogą wykorzystać przeglądanie katalogów, aby sprawdzić, czy masz jakieś pliki ze znanymi lukami w zabezpieczeniach, aby móc wykorzystać te pliki w celu uzyskania dostępu.

Inne osoby mogą korzystać z przeglądania katalogów, aby przeglądać pliki, kopiować zdjęcia, ustalać strukturę katalogów i uzyskiwać inne informacje. W rezultacie zdecydowanie zaleca się wyłączenie indeksowania i przeglądania katalogów.

Musisz połączyć się ze swoją witryną przez FTP lub menedżera plików w cPanel. Znajdź plik .htaccess w katalogu głównym swojej witryny. Następnie na samym końcu pliku .htaccess dodaj następującą linię:

Opcje Wszystkie -Indeksy

Zmodyfikowany kod będzie wyglądał tak:

Pamiętaj, aby zapisać i ponownie przesłać plik .htaccess do swojej witryny.

15. Wyłącz XML-RPC w WordPressie

Ponieważ pomaga zintegrować witrynę WordPress z aplikacjami internetowymi i mobilnymi, XML-RPC został domyślnie włączony w WordPress 3.5.XML-RPC może znacznie zwiększyć ataki siłowe ze względu na swój silny charakter.

Na przykład, jeśli haker chciał w przeszłości wypróbować 500 różnych haseł w Twojej witrynie, musiałby wykonać 500 różnych prób logowania, które wtyczka blokady logowania przechwyciłaby i blokowała.

Z drugiej strony haker może używać systemu z XML-RPC. Korzystając z funkcji wielu połączeń, możesz wypróbować dziesiątki tysięcy różnych haseł za pomocą zaledwie 20 lub 50 żądań. W rezultacie, jeśli nie używasz XML-RPC, zalecamy jego wyłączenie. Możesz wyłączyć XML-RPC za pomocą wtyczki lub ręcznie.

16. Automatycznie wyloguj bezczynnych użytkowników w WordPress

Zalogowani użytkownicy mogą czasami odchodzić od swoich ekranów, stwarzając zagrożenie bezpieczeństwa. Ktoś może przejąć kontrolę nad swoją sesją, zmieniać hasła i modyfikować swoje konto.

Dlatego wiele witryn bankowych i finansowych automatycznie blokuje bezczynnych użytkowników. Podobną funkcjonalność można również zaimplementować w witrynie WordPress.

Wtyczka Inactive Logout musi być zainstalowana i aktywowana. Aby skonfigurować ustawienia wtyczki, kliknij Ustawienia » Nieaktywne Wyloguj po aktywacji.

Ustaw minutnik i wiadomość o wylogowaniu i gotowe. Nie zapomnij zapisać zmian, klikając przycisk Zapisz zmiany.

17. Dodaj pytania bezpieczeństwa do ekranu logowania WordPress

Nieautoryzowanemu dostępowi do obszaru administracyjnego WordPress można zapobiec na wiele sposobów. Trudniej jest znaleźć równowagę między bezpieczeństwem a doświadczeniem użytkownika, jeśli prowadzisz witrynę dla wielu użytkowników lub witrynę członkowską WordPress.

Umieszczenie pytań zabezpieczających na ekranie logowania może być korzystne. Twoi użytkownicy zostaną poproszeni o udzielenie odpowiedzi na jedno lub więcej pytań, na które inni użytkownicy nie powinni znać odpowiedzi, zanim będą mogli zalogować się do Twojej witryny WordPress. Alternatywą jest uwierzytelnianie dwuskładnikowe lub 2FA. Ta alternatywa jest bezpieczniejsza, ale konfiguracja zajmuje trochę więcej czasu.

18. Skanowanie WordPressa w poszukiwaniu złośliwego oprogramowania i luk

Jeśli masz zainstalowaną wtyczkę bezpieczeństwa WordPress, będzie ona regularnie skanować w poszukiwaniu złośliwego oprogramowania i dowodów naruszeń bezpieczeństwa.

Jeśli zauważysz znaczny spadek ruchu w witrynie lub rankingu wyszukiwania, powinieneś ręcznie uruchomić skanowanie. Możesz użyć jednego z tych skanerów złośliwego oprogramowania i bezpieczeństwa lub wtyczki bezpieczeństwa WordPress.

Korzystanie z tych skanów online jest proste; po prostu wprowadź adresy URL swojej witryny, a ich roboty przeszukają Twoją witrynę w poszukiwaniu znanego złośliwego oprogramowania i szkodliwego kodu.

Pamiętaj, że większość skanerów bezpieczeństwa WordPress może skanować tylko Twoją witrynę. Nie będą mogli pozbyć się infekcji ani wyczyścić zhakowanej witryny WordPress.

Oto najpopularniejsze nazwy skanerów bezpieczeństwa WordPress do wykrywania złośliwego oprogramowania i hacków:

1. Sucuri SiteCheck

2. Skaner bezpieczeństwa IsItWP

3. Bezpieczne przeglądanie Google

4. WPSec

5. SkanujWP

6. Skanowanie bezpieczeństwa WordPress

7. WPrecon

8. Quttera

9. Inspektor sieci

10. Skaner luk w zabezpieczeniach WordPress

11. Skaner chmury UpGuard

12. Skaner adresów URL zapytań URL

13. Wirus Razem

14. Bezpieczna sieć Norton

19. Naprawianie zhakowanej witryny WordPress

Wielu użytkowników WordPressa nie zdaje sobie sprawy z konieczności tworzenia kopii zapasowych i bezpieczeństwa witryny, dopóki nie jest za późno.

Czyszczenie witryny WordPress może być czasochłonne i trudne. Naszą pierwszą radą jest przekazanie zadania ekspertowi.

Backdoory są instalowane przez hakerów na przejętych witrynach i jeśli te backdoory nie zostaną odpowiednio usunięte, najprawdopodobniej Twoja witryna zostanie ponownie zhakowana.

Zezwolenie wykwalifikowanej firmie zajmującej się bezpieczeństwem na naprawę witryny gwarantuje, że będzie ona ponownie bezpieczna. Ochroni Cię również przed przyszłymi zagrożeniami.

20. Zaktualizuj swoje motywy i wtyczki

Wtyczki i motywy są na tym samym wózku. Twój istniejący motyw, a także wszelkie wtyczki, które zainstalowałeś w swojej witrynie, muszą zostać zaktualizowane. Chroni to przed lukami w zabezpieczeniach, błędami i potencjalnymi naruszeniami bezpieczeństwa.

Od czasu do czasu, podobnie jak w przypadku większości produktów oprogramowania, określone wtyczki mogą zostać zhakowane lub ujawnić w nich luki w zabezpieczeniach. W przeszłości wtyczki takie jak Ninja Forms i WooCommerce były nękane poważnymi problemami.

Jak więc aktualizować motywy i wtyczki?

Najpierw spójrzmy na wtyczki. Przejdź do Wtyczki / Zainstalowane wtyczki, aby zobaczyć listę wszystkich wtyczek. WordPress powiadomi Cię, jeśli wtyczka nie zostanie zaktualizowana do najnowszej wersji:

Aby zaktualizować swój motyw, przejdź do Wygląd / Motywy, gdzie zobaczysz listę wszystkich zainstalowanych motywów. Te, które nie są już używane, zostaną zidentyfikowane w taki sam sposób, jak wtyczki. Po prostu wybierz „Aktualizuj teraz” z menu rozwijanego.

21. Ogranicz dostęp użytkowników do swojej witryny

Jeśli nie jesteś jedyną osobą, która ma dostęp do Twojej witryny, zachowaj ostrożność podczas dodawania nowych użytkowników. Powinieneś mieć wszystko pod kontrolą i dążyć do zakazania jakiejkolwiek formy dostępu użytkownikom, którzy tego nie potrzebują.

Możesz ograniczyć funkcje i uprawnienia swoich użytkowników, jeśli masz ich dużą liczbę. Powinni mieć dostęp tylko do tych funkcji, które są im potrzebne do wykonywania swoich obowiązków.

Wymuś silne hasła również może pomóc w rozwiązaniu tego problemu. WordPress domyślnie sugeruje bezpieczne hasło, ale nie zmusi Cię do jego zmiany, jeśli wybierzesz słabe. Ta wtyczka nie pozwoli Ci kontynuować, chyba że Twoje hasło jest wystarczająco silne.

To może być fajne rozwiązanie dla każdego, kto wchodzi do Twojego administratora. To w zasadzie Twój jedyny sposób, aby upewnić się, że używają silnych haseł w taki sam sposób, jak Ty.

22. Chroń swój wp-config.php

Plik wp-config.php jest jednym z najważniejszych, a zatem podatnych plików witryny. Przechowuje ważne informacje i dane dotyczące całej instalacji WordPressa. To podstawa Twojej witryny WordPress. Nie będziesz mógł normalnie korzystać ze swojego bloga, jeśli stanie się z nim coś strasznego.

Jedną prostą rzeczą, którą możesz zrobić, jest przeniesienie pliku wp-config.php o jeden katalog powyżej katalogu głównego WordPress. Ta zmiana nie będzie miała wpływu na Twoją witrynę WordPress, ale hakerzy nie będą już mogli jej znaleźć.

23. Regularnie zmieniaj hasła

Zezwalanie na nieograniczone próby podania nazwy użytkownika i hasła w formularzu logowania jest dokładnie tym, co pomaga hakerowi odnieść sukces. Pozwolenie im na nieskończoną liczbę prób w końcu doprowadzi do odkrycia Twoich danych logowania. Aby tego uniknąć, należy najpierw ograniczyć liczbę dostępnych prób. Zezwalanie na nieograniczone próby podania nazwy użytkownika i hasła w formularzu logowania jest dokładnie tym, co pomaga hakerowi odnieść sukces. Pozwolenie im na nieskończoną liczbę prób w końcu doprowadzi do odkrycia Twoich danych logowania. Aby tego uniknąć, należy najpierw ograniczyć liczbę dostępnych prób.

Niektóre wyspecjalizowane wtyczki mogą służyć do ograniczania liczby możliwych prób logowania.

Co więcej, częsta zmiana haseł zmniejsza prawdopodobieństwo włamania się hakera do Twojej witryny. Nie mam na myśli „codziennie”, kiedy mówimy „często”… Wystarczy raz na 2-3 miesiące. Dla tych, którzy próbują się włamać, różnorodność psuje zabawę.

Jak VOCSO może pomóc?

Ponieważ codziennie pojawiają się nowe technologie, trudno nadążyć za najnowszymi zmianami i ulepszeniami. Jesteśmy wiodącą firmą zajmującą się tworzeniem stron internetowych WordPress, która stara się dostarczać naszym klientom najlepsze produkty i usługi. Oprócz tworzenia bezpiecznych witryn internetowych z wysokiej jakości programowaniem, zapewniamy naszym klientom również inne usługi, takie jak zarządzanie witryną, przeprojektowanie witryny, tworzenie niestandardowych aplikacji internetowych, tworzenie aplikacji mobilnych, optymalizacja pod kątem wyszukiwarek i kompletne rozwiązania z zakresu marketingu cyfrowego.

Wniosek

Jak widać, istnieje wiele technik poprawiających bezpieczeństwo instalacji WordPressa. Korzystanie z inteligentnych haseł, aktualizacja rdzenia i wtyczek oraz wybór bezpiecznego zarządzanego serwera WordPress to tylko kilka sposobów na zapewnienie bezpieczeństwa witryny WordPress. Dla wielu z was witryna WordPress służy zarówno jako firma, jak i źródło pieniędzy, dlatego należy jak najszybciej zastosować niektóre z wymienionych powyżej najlepszych praktyk w zakresie bezpieczeństwa.

Zabezpieczanie witryny WordPress to proces ciągły. Ponieważ cyberataki nieustannie ewoluują, musisz regularnie je oceniać. Ryzyko będzie zawsze istniało, ale możesz je złagodzić, korzystając z funkcji bezpieczeństwa WordPress.

Mamy nadzieję, że ten post pozwolił lepiej zrozumieć znaczenie środków bezpieczeństwa WordPress i sposobu ich wdrażania.

Jeśli potrzebujesz większej przejrzystości , VOCSO może pomóc Ci we wprowadzeniu w życie tego przewodnika dotyczącego bezpieczeństwa witryny !