Jak zabezpieczyć witrynę WordPress przed hakerami?

Opublikowany: 2016-04-05

Niefortunna rzeczywistość w życiu każdego programisty jest taka, że nie ma absolutnej obrony przed zagrożeniami bezpieczeństwa i hakerami dotyczącymi stron internetowych lub blogów WordPress.

Inteligentny i zdecydowany haker zawsze znajdzie sposób na ominięcie środków bezpieczeństwa i znajdzie drogę do systemu, ku przerażeniu programisty. Ale obowiązkiem programisty jest uczynienie tego niezmiernie trudnym dla hakera.

Jak często, gdy poziom trudności hakowania jest bardzo wysoki, haker odchodzi i włamuje się na stronę internetową o słabszym zabezpieczeniu. Aby zmniejszyć zagrożenie hakerami, istnieją proste środki bezpieczeństwa, które mogą zastosować twórcy stron internetowych i programiści.

Wskazówki, jak zabezpieczyć witrynę WordPress przed zhakowaniem:

Podczas wyszukiwania w Google informacji o zapobieganiu włamaniom WordPress, znaleziono pięć milionów wyników, ponieważ niezliczone opinie na temat zapobiegania włamaniom można znaleźć na kilku stronach internetowych.

Ale ironią jest to, że nawet oprogramowanie tych witryn w większości nie jest aktualizowane, ponieważ właściciel witryny może być zajęty inną witryną lub treścią.

Ta obojętna postawa jest ogromnym zagrożeniem dla bezpieczeństwa witryny i haker może wykorzystać tę okazję do zhakowania witryny.

1. Nigdy nie stosuj wartości domyślnych:

Istnieją różne metody rejestracji i korzystania z WordPressa. Tak więc po wybraniu planu hostingowego nazwa domeny i oprogramowanie instalacyjne ostrzegają, aby nigdy nie używać ustawień domyślnych. Użycie ustawień domyślnych ułatwi hakerowi, ponieważ będzie miał więcej informacji na temat strony internetowej, co znacznie pomoże hakerowi osiągnąć swój cel.

Nigdy nie używaj domyślnej nazwy użytkownika ani hasła konta hostingowego i systemu zarządzania treścią witryny, ponieważ po zainstalowaniu WordPressa hasło i nazwa użytkownika zostaną zmienione.

Zmień również informacje; przekazane firmie hostingowej lub podczas rejestracji, ponieważ nigdy nie można być pewnym wszystkich osób; z dostępem do danych na serwerze firmy hostingowej.

2. Zawsze usuwaj nieużywane wtyczki i nieużywane obrazy:

Niewiele osób uważa, że niepotrzebne obrazy należy zawsze usuwać, ponieważ tylko nadużywają miejsca na serwerach, ale większość uważa, że przechowywanie niepotrzebnych obrazów stwarza zagrożenie dla bezpieczeństwa. Chociaż to stwierdzenie wydaje się dość śmieszne, to prawda, pojęcie nieużywanych wtyczek i obrazów zwiększających zagrożenia bezpieczeństwa jest prawdziwe, ponieważ hakerzy często atakują wtyczki; które ludzie kupowali en bloc ze względu na ich popularność, nie myśląc o ich użyteczności.

Wielu programistów przechowuje w swoim systemie wiele zbędnych wtyczek, przez te wtyczki haker uzyskuje dostęp i poprzez tę lukę gromadzi dane ze strony internetowej. Istnieje duże prawdopodobieństwo naruszenia, ponieważ wtyczki nigdy nie są używane, a ostatnie aktualizacje zabezpieczeń nie zostały wykonane, ponieważ rzadko lub nie są używane.

Instancja wtyczki TimThumb; zawierał błąd lub lukę, którą hakerzy wykorzystali do uzyskania dostępu do wielu witryn WordPress w celu zbierania informacji i zakłócania działania witryn, dlatego zaleca się usuwanie niepotrzebnych wtyczek i obrazów, aby lepiej chronić witryny przed zagrożeniami hakerskimi, a także aby pomóc w usterce witryn darmowy.

3. Miej długie i skomplikowane hasła, zmieniaj je na bieżąco:

Wybierz hasło zawierające co najmniej osiem lub więcej znaków, składające się z dowolnej kombinacji cyfr, liter i znaków specjalnych. Wskazane jest, aby nie używać słów lub imion, dat urodzenia itp., ponieważ można je odgadnąć.

Nigdy nie zapisuj swojego hasła w żadnej witrynie elektronicznej z wyjątkiem zaszyfrowanego pola hasła witryny WordPress, jeśli boisz się zapomnieć hasła, zanotuj je w notatniku i zachowaj.

Regularnie co około siedemdziesiąt dni; zmienić hasło, aby utrudnić hakerowi zadanie. Tak jak gdyby miał na stronie działający program brute force, będzie musiał zacząć hakować od początku, ponieważ zmienione hasło uniemożliwi mu włamanie się na stronę.

4. Zapoznaj się z niektórymi opcjami bezpieczeństwa firmy hostingowej:

Bardzo często widać, że firma hostingowa, która hostuje witrynę, ma kilka opcji ochrony, z których można skorzystać, jeśli uzna się to za w porządku. Jak widać na przykładzie firmy hostingowej HostGator; po kliknięciu dodatku „ Bezpieczeństwo i przyspieszenie witryny ” niektóre podstawowe opcje bezpieczeństwa zapewniają podstawową ochronę. Ale bądź ostrożny, aby zbytnio polegać na tych firmach hostingowych, często dają kody rabatowe i kupony, kody te są tanie i dlatego mają więcej niż jeden podobny kod, co czyni je bardzo podatnymi na hakerów.

5. Wolę używać wtyczek WordPress:

Istnieje różne oprogramowanie, które dostarcza wtyczki do systemu zarządzania treścią WordPress, ale jakość jest różna, ponieważ niektóre są wiarygodne, a inne bezużyteczne. Lepiej więc używać tylko wtyczek WordPress lub kupować inne wtyczki po przeprowadzeniu odpowiednich badań, nie zwracając uwagi na reklamy. Bądź sceptyczny i zawsze szukaj rozsądnych, ale dezaprobujących zeznań, ponieważ częściej taka jest rzeczywistość.

Poszukiwanie wtyczki z bardziej pozytywnymi opiniami to renomowane oprogramowanie zabezpieczające i używane od ponad sześciu miesięcy; minimum. Nigdy nie pobieraj i nie instaluj wtyczek bez odpowiedniej inspekcji i niezawodnych rynków aplikacji.

6. Przestań być nieostrożny z zatwierdzonymi freelancerami:

Kiedy właściciele witryn udostępniają oryginalne hasła freelancerom, w większości przypadków wszystko jest w porządku, dopóki praca nie zostanie wykonana przez redaktora witryny WordPress, problemy zaczynają się dopiero po opłaceniu freelancera. Następnie witryna zostaje zhakowana i zaczynają się kłopoty, ale można temu zapobiec, jeśli decyzje zostaną podjęte z pewną dozą rozwagi przez właściciela witryny.

Powinien był usunąć zgodę freelancera na użytkowanie po zakończeniu pracy, a także freelancerowi należało podać dowolne hasło zamiast oryginalnego hasła używanego przez właściciela witryny.

Kontrolowane użycie powinno być zapewnione freelancerowi, aby nie miał kontroli nad stroną internetową po wykonaniu swojej pracy. Staraj się nie popełniać tych głupich błędów i nie zagrażać bezpieczeństwu witryn WordPress, właściciel powinien zawsze mieć wyłączną i najwyższą kontrolę nad działaniem witryny.

7. Zawsze korzystaj z wysoce zabezpieczonego hostingu:

Kup witrynę od hosta, który zapewnia najwyższy priorytet bezpieczeństwu. Istnieje wiele darmowych pakietów hostingowych, których nie stać na skuteczne środki bezpieczeństwa, ale nawet kosztowne pakiety hostingowe mają czasami słabe zabezpieczenia.

Po przeprowadzeniu odpowiednich badań i inspekcji, decyzja o wyborze odpowiedniego i odpowiedniego pakietu hostingowego spoczywa na właścicielu strony internetowej.

Ponieważ hakerzy często wchodzą przez luki w witrynie hostingowej i zbierają informacje o witrynie WordPress i stwarzają problemy dla witryny.

8. Utwórz kopię zapasową strony:

Zawsze dla prawidłowego tworzenia kopii zapasowej witryny, ponieważ po zhakowaniu witryny może się ona zawiesić, a wszystkie dane zostaną na jakiś czas utracone. Jeśli ktoś pasjonuje się hakowaniem strony internetowej; nawet niemożliwe można osiągnąć, gdy piętnastoletni chłopiec włamał się do NASA, także Richard Pryce, szesnastoletni Londyńczyk, włamał się do amerykańskich systemów bezpieczeństwa, od tego czasu uważa się je za potencjalne zagrożenia narodowe. Tak więc niebezpieczeństwo hakerów jest zawsze bliskie właścicielom witryn, a wtyczki powinny być wybierane po długim namyśle, a kopia zapasowa powinna być zawsze dostępna.

Nawet jeśli haker zhakuje witrynę i usunie wszystkie informacje, nie wpłynie to tak bardzo na witrynę, dzięki kopii zapasowej możesz ponownie uruchomić witrynę z bezpieczeństwem, zmieniając hasła i wtyczki oraz ponownie przesyłając dane w ciągu jednego dnia. Wymagane są tylko dwie ostatnie wersje kopii zapasowej witryny, dzięki czemu kopia zapasowa również nie zajmuje dużo miejsca na serwerze.

9. Regularnie aktualizuj oprogramowanie:

To samo dotyczy wszystkich rzeczy elektronicznych i technologicznych, dlatego witryna WordPress powinna być regularnie aktualizowana wraz z wtyczkami bezpieczeństwa. Nigdy nie używaj starszych wersji WordPressa, ponieważ starsze wersje stają się podatne na ataki hakerów, ponieważ istnieją od dłuższego czasu, a tym samym są łatwiejsze do włamania.

Aby wzmocnić bezpieczeństwo, wyeliminuj wersję WordPress z demonstracji dla wszystkich. WordPress zawsze tworzy lepsze wersje z każdą gradacją, więc bezpieczeństwo jest silniejsze w zaktualizowanych wersjach.

Zawsze podążaj za kanałem WordPress, aby otrzymywać informacje o najnowszej wersji WordPressa lub po prostu zaloguj się do administratora strony. WordPress Development i BlogSecurity.net są wysoce zalecane dla właścicieli witryn WordPress do śledzenia, aby otrzymywać informacje o najnowszych gradacjach i zmianach.

10. Skorzystaj z kluczy WordPress w wp-config.php:

Klucze WordPress są ważnym środkiem bezpieczeństwa, klucze działają jak sole dla plików cookie WordPress, gwarantując w ten sposób lepsze szyfrowanie informacji o kliencie. Wygeneruj klucze za pomocą Generatora kluczy WordPress.

11. Zdecydowanie zainstaluj WP Security Scan:

Wtyczka WP Security Scan to silna, łatwa i skomputeryzowana kontrola bezpieczeństwa. Ta wtyczka będzie sprawdzać witrynę WordPress pod kątem włamań i naruszeń bezpieczeństwa, gdy tylko zostanie znaleziony złośliwy kod lub program, właściciel zostanie poinformowany o naruszeniu.

12. Spróbuj zmienić prefiks tabeli:

Domyślnie prefiks tabeli dla WordPress to [wp.___]; wszyscy wiedzą o tym, więc ataki SQL Injection na hakera są wykonywane bez wysiłku, ponieważ prefiks jest prosty do założenia. Dlatego wysoce zaleca się zmianę prefiksu tabeli, dokonaną ręcznie lub za pomocą wtyczki WP Security Scan. Ręczny sposób jest trudny do naśladowania dla nowego twórcy stron internetowych, a sposób wtyczki WP Security Scan ułatwił zmianę prefiksu tabeli.

13. Sprawdź naruszenia WordPressa, blokując wyszukiwarkom możliwość kierowania do segmentu administracyjnego:

Wyszukiwarki internetowe śledzą całą witrynę i katalogują wszystkie treści, o ile nie jest to zabronione. Część administracyjna nie powinna być katalogowana, ponieważ zawiera wszystkie informacje poufne i dotyczące bezpieczeństwa, najłatwiejszym procesem zatrzymania indeksowania jest utworzenie pliku robots.txt w katalogu głównym, a następnie umieszczenie wymaganego kodu.

14. Dostęp do hipertekstu Hacki:

Dostęp hipertekstowy (.htaccess) to domyślna nazwa plików organizacji fazy katalogu, która umożliwia zdecentralizowane zarządzanie formacją w witrynie internetowej. Pliki hipertekstowe są często używane do wskazywania limitów bezpieczeństwa określonego katalogu. Powinno to być znane wszystkim programistom i właścicielom witryn internetowych, ponieważ dostęp hipertekstowy może zapewnić wysoki poziom bezpieczeństwa. Po zmodyfikowaniu .htaccess w celu zabezpieczenia bloga przed hakerami, sam .htaccess nie powinien pozostać otwarty na ataki. Zastosuj więc .hta do dowolnego pliku, aby uniemożliwić dostęp z zewnątrz.

15. Przeglądanie katalogów nie powinno być dozwolone:

Głupotą jest przyznanie widzom prawa do przeglądania całego katalogu przeglądania. Takie przeglądanie katalogów daje hakerowi łatwą szansę obserwowania struktur katalogów, a tym samym wypatrywania luki w zabezpieczeniach, aby uzyskać dostęp. Środek zapobiegawczy to proste dodanie dwóch wierszy w .htaccess głównego katalogu bloga WordPress.

16. Zabezpiecz lub zablokuj wp-config.php:

Wp-config.php jest niezbędnym elementem witryny WordPress, ponieważ zawiera wszystkie ważne dane witryny, a także konfigurację bloga. Dlatego bezpieczeństwo wp-config.php jest fundamentalne i odbywa się poprzez dodanie kodu .htaccess do pliku w katalogu głównym.

17. Hacki dostępu hipertekstowego:

18. Przeglądanie katalogów nie powinno być dozwolone:

Głupotą jest przyznanie widzom prawa do przeglądania całego katalogu przeglądania. Takie przeglądanie katalogów daje hakerowi łatwą szansę obserwowania struktur katalogów, a tym samym obserwowania luki w zabezpieczeniach, aby uzyskać dostęp. Środek zapobiegawczy to proste dodanie dwóch wierszy w .htaccess głównego katalogu bloga WordPress.

19. Zabezpiecz lub zablokuj wp-config.php:

20. Unikaj i utrudniaj wstrzykiwanie skryptu:

Dzięki temu witryna WordPress może być chroniona przed wstrzykiwaniem skryptów i redundantnymi zmianami _REQUEST, GLOBALS. Tutaj również korzeniem jest .htacces.

Dodatkowe wskazówki do rozważenia:

Należy zawsze przestrzegać uprawnień do plików, ponieważ WP Security Scan zawsze ostrzega w określony sposób.
Przejrzyj pewne podejrzane pliki w katalogu głównym, korzystając z najlepszego klienta FTP i plików Chmod, jeśli to konieczne, w razie potrzeby można również zainstalować WordPress Firewall 2, aby chronić witrynę przed złośliwymi hakerami.
Zapora WordPress Firewall 2 natychmiast ostrzega użytkownika, gdy witryna zostanie zhakowana, ale wadą jest to, że czasami blokuje użytkownika, więc nie instaluj WordPress Firewall 2, chyba że zostaniesz zaatakowany przez superhakerów, ponieważ w przeciwnym razie prosty .htaccess wystarczy, aby dbaj o bezpieczeństwo witryn WordPress.
Wskazane jest podjęcie odpowiednich środków zapobiegawczych, aby powstrzymać hakerów przed wejściem na strony WordPress, jak mówi powiedzenie „lepiej zapobiegać niż leczyć”.

Wszystkie wyżej wymienione metody są bardzo korzystne w zapobieganiu włamaniom, a nawet można zagwarantować, że po podjęciu tych środków zapobiegawczych masz pewność, że Twoja witryna nie zostanie zhakowana.