Bezpieczeństwo i utwardzanie WordPress, ostateczny przewodnik

WordPress jest bardzo popularny. Mniej więcej co piąta witryna internetowa korzysta z WordPressa w jakiejś formie. Może to być prowadzenie skromnego bloga, wielostronnego systemu zarządzania treścią (CMS) lub witryny e-commerce. W rezultacie nie jest niespodzianką, że witryny WordPress są bardzo popularnym celem zarówno doświadczonych hakerów, jak i script-kiddies.

Ostatnią rzeczą, jakiej chce każdy webmaster, jest dowiedzenie się, że jego witryna została zhakowana; może zostać wzięty jako zakładnik i jest częścią botnetu, rozpowszechnia złośliwe oprogramowanie lub bierze udział w atakach typu „odmowa usługi” (DoS). W tym artykule podzielimy się kilkoma wskazówkami i strategiami, które pomogą Ci wzmocnić witrynę WordPress.

Spis treści

• Czy WordPress jest bezpieczny?
• Wtyczki i motywy
  • Uruchom mniej oprogramowania
  • Przestrzegaj najmniej uprzywilejowanej zasady
  • Zaktualizuj wtyczki i motywy WordPress
  • Trzymaj się z dala od „pustych” wtyczek i motywów WordPress
• Aktualizuj WordPress
• Hosting WordPress
• Pulpit WordPress
  • Wyłącz rejestrację
  • Kwalifikacje
  • Uwierzytelnianie dwuetapowe (2FA)
• Hartowanie rdzenia WordPress
  • Wyłącz logowanie debugowania
  • Wyłącz XML-RPC
  • Ogranicz WordPress REST API
  • Zapobiegaj ujawnianiu wersji WordPress
  • Zapobiegaj wyliczaniu użytkowników WordPress
  • Wyłącz edytor plików WordPress
  • Wyłącz zarządzanie motywami i wtyczkami
• TLS (SSL)
• Wnioski i kolejne kroki

Czy WordPress jest bezpieczny?

Jest to pytanie, które zadaje wielu administratorów systemów, i słusznie. Chociaż WordPress jest ogólnie dobrze zbudowany i bezpieczny, ma reputację tego, że jest podatny na luki w zabezpieczeniach i nie jest „klasy korporacyjnej”. Ta reputacja nie jest do końca sprawiedliwa. Najczęściej problemy polegają na tym, że WordPress jest niezwykle popularnym pakietem oprogramowania, który można łatwo skonfigurować, korzystając ze skrótów bezpieczeństwa. Co prowadzi nas do naszego pierwszego tematu — wtyczek i motywów.

Wtyczki i motywy

Problem numer jeden, który nęka bezpieczeństwo WordPressa, sprawia, że ​​jest on niezwykle popularny. Wtyczki i motywy WordPress różnią się znacznie pod względem jakości i bezpieczeństwa. Chociaż zespół WordPress wykonał wiele pracy, aby pomóc programistom w tworzeniu bezpieczniejszych wtyczek i motywów, nadal pozostają one koszmarem bezpieczeństwa. Można to zauważyć podczas korzystania ze źle utrzymanych wtyczek lub wtyczek uzyskanych ze szkicowego źródła.

Zanim będziemy kontynuować omawianie wtyczek i motywów WordPress, najpierw zrozummy, czym właściwie jest wtyczka WordPress. Wtyczki to po prostu niestandardowy kod PHP, który WordPress uruchamia w celu rozszerzenia funkcjonalności WordPressa. Aby uzyskać bardziej szczegółowe i techniczne wyjaśnienie, zobacz Czym są wtyczki WordPress.

Podobnie motywy WordPress umożliwiają dostosowanie wizualnych aspektów witryny WordPress. Z punktu widzenia osoby atakującej różnica między nimi jest bardzo niewielka, ponieważ oba mogą zostać wykorzystane do uruchomienia złośliwego kodu.

Uruchom mniej oprogramowania

Jak więc stwierdzić, czy wtyczka jest złośliwa, czy nie? To skomplikowane pytanie, ale na szczęście mamy dla Ciebie odpowiedź. Pisaliśmy o tym szczegółowo, jak wybrać najlepszą wtyczkę WordPress do swojej witryny WordPress.

Nawet jeśli przeprowadzisz wszystkie niezbędne badania, są również szanse, że wtyczka nadal może stanowić zagrożenie dla bezpieczeństwa. Tak więc jednym ze sposobów zmniejszenia ryzyka jest uruchamianie tylko oprogramowania, którego absolutnie potrzebujesz i któremu ufasz. Przed zainstalowaniem nowej wtyczki WordPress zadaj sobie pytanie, czy naprawdę musisz zainstalować tę wtyczkę. Czy mały fragment kodu we wtyczce specyficznej dla witryny może załatwić sprawę, czy też naprawdę potrzebujesz w pełni rozwiniętej wtyczki?

Ważne — bądź bardzo czujny z fragmentami kodu, które znajdziesz w Internecie. Nigdy nie używaj fragmentu kodu, chyba że w pełni rozumiesz, co robi — tylko dlatego, że znajduje się na StackOverflow, nie oznacza to, że jest bezpieczny w użyciu.

Jeśli naprawdę potrzebujesz uruchomić wtyczkę, upewnij się, że jest ona aktywnie utrzymywana i regularnie aktualizowana, jak wyjaśniamy w naszym przewodniku. Z reguły im więcej pobrań i najnowszych aktualizacji wtyczki lub motywu wskazuje, że jest on powszechnie używany i jest aktywnie utrzymywany przez jego autorów. Nie oznacza to, że wtyczka nigdy nie będzie miała luki. Jeśli jednak zostanie znaleziona luka, programista szybko zadziała i szybko wyda poprawkę.

Staraj się unikać wtyczek, które nie mają wielu pobrań i, co najważniejsze, nie mają aktywnej społeczności i regularnych aktualizacji. Jeśli coś nie otrzymało aktualizacji w ciągu roku, zazwyczaj jest to czerwona flaga.

Przestrzegaj najmniej uprzywilejowanej zasady

WordPress nie musi używać użytkownika root MySQL, aby połączyć się ze swoją bazą danych. Nie każdy użytkownik WordPressa nie musi też pełnić roli administratora. Podobnie, uruchamianie większości programów jako uprzywilejowany użytkownik nie jest dobrym pomysłem, chyba że istnieje ku temu konkretny powód.

Najlepsza praktyka w zakresie bezpieczeństwa zawsze nakazuje aplikacjom nadawanie możliwie najmniejszych uprawnień, które pozwalają na prawidłowe działanie, z wyłączonymi dodatkowymi uprawnieniami. Ta praktyka jest powszechnie określana jako zasada najmniejszych przywilejów.

Załóżmy hipotetycznie, że WordPress łączy się z bazą danych z uprzywilejowanym kontem użytkownika. W przypadku wtyczki WordPress zawierającej lukę w postaci wstrzyknięcia SQL, atakujący może nie tylko uruchamiać zapytania SQL jako administrator, ale w niektórych przypadkach może nawet wykonywać polecenia systemu operacyjnego. Jeśli atakującemu uda się wykonać polecenia systemu operacyjnego, może być w stanie przeprowadzić rozpoznanie i eskalować atak na inne systemy.

Uruchamianie oprogramowania z uprawnieniami administratora lub zapewnianie użytkownikom większego dostępu niż jest to konieczne to proszenie o kłopoty. Jest to sprzeczne z wypróbowaną i przetestowaną zasadą najmniejszych uprawnień, ponieważ pozwala atakującemu wyrządzić więcej szkód w przypadku naruszenia bezpieczeństwa.

Dobrą rzeczą w WordPress jest to, że ma wiele wbudowanych ról, których możesz użyć do przypisania różnych uprawnień różnym użytkownikom, w zależności od ich wymagań. Dużo pisaliśmy o tym, jak korzystać z ról użytkownika WordPress w celu poprawy bezpieczeństwa WordPress.

Zaktualizuj wtyczki i motywy WordPress

Aktualizacje wtyczek i motywów WordPress są ważne nie tylko po to, aby korzystać z nowych funkcji i poprawek błędów, ale także po to, aby załatać luki w zabezpieczeniach. Zarówno wtyczki, jak i motywy można łatwo aktualizować w interfejsie WordPress.

Niektóre wtyczki komercyjne prawdopodobnie będą miały własne mechanizmy aktualizowania wtyczek, jednak w większości przypadków jest to niewidoczne dla użytkowników. Niemniej jednak upewnij się, że niezależnie od używanego systemu aktualizacji, aktualizujesz wtyczki i motywy.

Nie używaj „pustych” wtyczek i motywów WordPress

WordPress korzysta z GPL ¹ . Bez wchodzenia w szczegóły, licencja GPL pozwala każdemu swobodnie rozpowszechniać oprogramowanie na licencji GPL. Obejmuje to komercyjne/premium na licencji GPL motywy WordPress i wtyczki. W związku z tym pobranie zmodyfikowanego, zwykle określanego jako nulled , motywu premium lub wtyczki i używanie go za darmo może nie być nielegalne.

Jednak, jak już zapewne zgadłeś, poza brakiem wsparcia dla twórcy wtyczek, jest bardzo mało prawdopodobne, aby otrzymywać aktualizacje dla zerowych wtyczek. Co więcej, nie masz możliwości sprawdzenia, czy źródło tej wtyczki zostało zmodyfikowane w celu zrobienia czegoś nikczemnego.

Aktualizuj WordPress

Tak jak powinieneś aktualizować swoje wtyczki i motywy, powinieneś również zadbać o to, aby wersja WordPressa, której używasz, była aktualna. Na szczęście jest to teraz znacznie prostsze niż w przeszłości, ponieważ krytyczne aktualizacje zabezpieczeń pojawiają się automatycznie. Oczywiście, chyba że wyraźnie wyłączysz tę funkcjonalność.

Oprócz nowych funkcji, ulepszeń i poprawek błędów, główne aktualizacje WordPressa zawierają również poprawki bezpieczeństwa, które mogą chronić Cię przed atakującymi wykorzystującymi Twoją witrynę WordPress i wykorzystującą ją do nieuczciwych zysków.

Hosting WordPress

Miejsce i sposób, w jaki zdecydujesz się hostować swoją witrynę WordPress, będzie w dużym stopniu zależeć od Twoich wymagań. Chociaż nie ma nic złego w samodzielnym hostingu WordPressa i zarządzaniu nim, jeśli nie jesteś tak doświadczony technicznie, albo chcesz upewnić się, że spełniasz większość podstaw bezpieczeństwa WordPressa bez wykonywania dużych obciążeń, możesz zdecydować się na zarządzany dostawca hostingu WordPress, taki jak Kinsta lub WP Engine.

Ponieważ mieliśmy strony internetowe hostowane na obu hostach, pisaliśmy o nich. W naszych historiach klientów podkreślamy nasze doświadczenia z nimi. Aby dowiedzieć się więcej o swoim doświadczeniu, przeczytaj naszą historię klienta WP Engine i Kinsta. Zarządzany hosting WordPress odrzuca wiele decyzji dotyczących bezpieczeństwa i konfiguracji, o które musisz się martwić.

Oczywiście zarządzany hosting WordPress może również nie być dla Ciebie. Możesz samodzielnie hostować WordPress, zwłaszcza jeśli masz ograniczony budżet. WordPress z własnym hostingiem zapewnia również większą kontrolę nad instalacją WordPressa. Aby dowiedzieć się więcej o różnych opcjach hostingu WordPress i o tym, co działa najlepiej, zapoznaj się z przewodnikiem dotyczącym wyboru hostingu WordPress.

Pulpit WordPress

Pulpit nawigacyjny WordPress Twojej witryny to miejsce, w którym nie chcesz, aby ktoś nieuprawniony czaił się. Chociaż istnieją witryny, które mają uzasadnione powody, aby umożliwić użytkownikom publicznym logowanie się za pomocą pulpitu WordPress, stanowi to ogromne zagrożenie bezpieczeństwa i należy je bardzo dokładnie rozważyć.

Na szczęście większość witryn WordPress nie ma tego wymogu i jako takie powinno uniemożliwiać dostęp do pulpitu WordPress. Można to zrobić na kilka sposobów i powinieneś wybrać ten, który najlepiej Ci odpowiada.

Powszechną praktyką jest ograniczanie dostępu hasłem chroniącym strony WordPress Admin (wp-admin). Innym rozwiązaniem byłoby zezwolenie na dostęp do /wp-admin tylko do kilku wybranych adresów IP.

Wyłącz rejestrację

Domyślnie WordPress nie pozwala użytkownikom publicznym na rejestrację w Twojej witrynie WordPress. Aby potwierdzić, że rejestracja użytkownika jest wyłączona:

1. przejdź do strony Ustawienia > Ogólne w obszarze pulpitu WordPress
2. przejdź do sekcji Członkostwo
3. upewnij się, że pole wyboru obok Każdy może się zarejestrować nie jest zaznaczone.

Kwalifikacje

Jak każda inna strona internetowa, dostęp do pulpitu WordPress jest tak silny, jak Twoje dane uwierzytelniające. Wymuszanie silnego zabezpieczenia haseł WordPress jest kluczową kontrolą bezpieczeństwa każdego systemu, a WordPress nie jest wyjątkiem.

Chociaż WordPress nie ma żadnego sposobu na ustawienie polityki haseł po wyjęciu z pudełka, wtyczka taka jak WPassword jest absolutnie niezbędna do egzekwowania wymagań dotyczących siły hasła u wszystkich użytkowników, którzy mają dostęp do pulpitu WordPress.

Gdy wymusisz silne zabezpieczenia hasłem w swojej witrynie, użyj WPScan, aby przetestować słabe poświadczenia WordPress, aby upewnić się, że żadne konto nadal nie używa słabych haseł.

Uwierzytelnianie dwuetapowe (2FA)

Inną niezbędną kontrolą bezpieczeństwa dla pulpitu WordPress jest wymaganie uwierzytelniania dwuskładnikowego. Uwierzytelnianie dwuskładnikowe (2FA) znacznie utrudnia atakującemu uzyskanie dostępu do pulpitu WordPress, jeśli atakującemu uda się odkryć hasło użytkownika (np. atakujący może odkryć hasło użytkownika po naruszeniu danych).

Na szczęście konfiguracja uwierzytelniania dwuskładnikowego w WordPressie jest bardzo łatwa. Istnieje wiele wysokiej jakości wtyczek, których możesz użyć, aby dodać tę funkcję. Przeczytaj najlepsze wtyczki uwierzytelniania dwuskładnikowego dla WordPress, aby zapoznać się z najlepszymi wtyczkami 2FA dostępnymi dla WordPress.

Hartowanie rdzenia WordPress

Mimo że rdzeń WordPressa jest bezpiecznym oprogramowaniem, nie oznacza to, że nie możemy go dalej wzmacniać. Poniżej znajduje się kilka strategii hartowania specyficznych dla rdzenia WordPress.

Upewnij się, że rejestrowanie debugowania jest wyłączone

WordPress umożliwia programistom rejestrowanie komunikatów debugowania w pliku (domyślnie jest to /wp-content/debug.log). Chociaż jest to całkowicie akceptowalne w środowisku programistycznym, należy pamiętać, że do tego pliku może również łatwo uzyskać dostęp osoba atakująca, jeśli ten sam plik i/lub ustawienia trafią do środowiska produkcyjnego.

Debugowanie WordPressa jest domyślnie wyłączone. Chociaż zawsze lepiej jest to sprawdzić — upewnij się, że nie masz zdefiniowanej stałej WP_DEBUG w pliku wp-config.php lub jawnie ustaw ją na wartość false. Zapoznaj się z przewodnikiem debugowania WordPress, aby uzyskać listę wszystkich opcji debugowania.

Jeśli z jakiegoś powodu potrzebujesz dzienników debugowania WordPressa na swojej stronie życia, zaloguj się do pliku poza głównym serwerem WWW (np. /var/log/wordpress/debug.log). Aby zmienić pa

define('WP_DEBUG_LOG', '/path/outside/of/webserver/root/debug.log');

Wyłącz XML-RPC

Specyfikacja XML-RPC WordPressa została zaprojektowana, aby umożliwić komunikację między różnymi systemami. Oznacza to, że praktycznie każda aplikacja może wchodzić w interakcje z WordPress. Specyfikacja WordPress XML-RPC była historycznie ważna dla WordPressa. Pozwala na interakcję i integrację z innymi systemami i oprogramowaniem.

Dobrą rzeczą jest to, że XML-RPC został zastąpiony przez WordPress REST API. Zwrócenie uwagi na niektóre problemy związane z bezpieczeństwem związane z XML-RPC; jego interfejs był przez lata źródłem wielu luk w zabezpieczeniach. Może być również używany przez atakujących do wyliczania nazw użytkowników, brutalnego wymuszania haseł. lub ataki typu „odmowa usługi” (DoS) za pośrednictwem pingbacków XML-RPC.

Dlatego jeśli nie używasz aktywnie XML-RPC i nie masz odpowiednich kontroli bezpieczeństwa, powinieneś je wyłączyć. Ponieważ jest to łatwe do osiągnięcia bez instalowania wtyczki innej firmy, poniżej omówimy, jak to zrobić.

Chociaż możesz po prostu skonfigurować swój serwer sieciowy tak, aby blokował dostęp do /xmlrpc.php, preferowaną metodą jest jawne wyłączenie XML-RPC za pomocą wbudowanego filtra WordPress . Po prostu dodaj następujące elementy do pliku wtyczki i aktywuj go w swojej witrynie.

add_filter('xmlrpc_enabled', '__return_false');

Heads-up

• Dobrym pomysłem jest skorzystanie z WordPressa musi używać wtyczki do tego i innych podobnych fragmentów kodu.

Ogranicz WordPress REST API

W tym samym duchu, co XML-RPC, WordPress API jest nowoczesnym sposobem komunikacji aplikacji innych firm z WordPress. Chociaż jest bezpieczny w użyciu, zaleca się ograniczenie niektórych funkcji w nim, aby zapobiec wyliczaniu użytkowników i innym potencjalnym lukom w zabezpieczeniach. W przeciwieństwie do XML-RPC, WordPress nie zapewnia prostego, natywnego sposobu całkowitego wyłączenia REST API (wcześniej ² , ale to jest przestarzałe, więc mądrze jest nie robić tego dłużej), jednak możesz to ograniczyć.

Jak zwykle w przypadku WordPressa, możesz użyć wtyczki, aby to osiągnąć, lub możesz dodać następujący filtr do pliku wtyczki i aktywować go w swojej witrynie. Poniższy kod wyłączy WordPress REST API dla każdego, kto nie jest zalogowany, zwracając nieautoryzowany kod stanu HTTP (kod stanu 401) za pomocą haka WordPress rest_authentication_errors.

add_filter( 'rest_authentication_errors', function( $result ) {
if ( ! empty( $result ) ) {
return $result;
}
if ( ! is_user_logged_in() ) {
return new WP_Error( 'rest_not_logged_in', 'You are not currently logged in.', array( 'status' => 401 ) );
}
return $result;
});

Dodatkowo WordPress REST API domyślnie włącza JSONP. JSONP to stara technika omijania zasad tego samego pochodzenia przeglądarki, zanim nowoczesne przeglądarki obsługują CORS (Cross-origin Resource Sharing). Ponieważ może to potencjalnie zostać wykorzystane jako krok w ataku przez atakującego, nie ma prawdziwego powodu, aby to było włączone. Zaleca się wyłączenie go za pomocą filtra WordPress rest_jsonp_enabled za pomocą poniższego fragmentu PHP.

add_filter('rest_enabled', '__return_false');

Więcej informacji na ten temat można znaleźć w dokumentacji filtra.

Zapobiegaj ujawnianiu wersji WordPress

Podobnie jak wiele innych aplikacji internetowych, WordPress domyślnie ujawnia swoją wersję w wielu miejscach. Ujawnienie wersji nie jest dokładnie luką w zabezpieczeniach, jednak informacje te są bardzo przydatne dla atakującego podczas planowania ataku. W rezultacie wyłączenie funkcji ujawniania wersji WordPressa może nieco utrudnić atak.

WordPress wycieka wiele informacji o wersji. Na szczęście ten element GitHub oferuje obszerną listę filtrów WordPress do wyłączenia w postaci wtyczki WordPress. Oczywiście możesz włączyć ten kod do wszelkich istniejących wtyczek specyficznych dla witryny lub niezbędnych do użycia, które już masz.

Zapobiegaj wyliczaniu użytkowników WordPress

WordPress jest podatny na szereg ataków wyliczania użytkowników. Takie ataki pozwalają atakującemu dowiedzieć się, jacy użytkownicy istnieją, niezależnie od tego, czy użytkownik istnieje, czy nie. Chociaż może się to wydawać nieszkodliwe, należy pamiętać, że osoby atakujące mogą wykorzystać te informacje w ramach większego ataku. Aby uzyskać więcej informacji na ten temat, przeczytaj, jak wyliczyć użytkowników WordPressa za pomocą WPScan.

Aby zapobiec wyliczaniu użytkowników WordPress, musisz upewnić się, że następujące funkcje WordPress są wyłączone lub ograniczone.

• Ogranicz WordPress REST API do nieuwierzytelnionych użytkowników
• Wyłącz WordPress XML-RPC
• Nie udostępniaj /wp-admin i /wp-login.php bezpośrednio w publicznym Internecie

Dodatkowo będziesz musiał również skonfigurować swój serwer sieciowy, aby uniemożliwić dostęp do /?author=<numer>. Jeśli używasz Nginx, możesz użyć następującej konfiguracji, aby zapobiec wyliczaniu użytkowników WordPress.

RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule .* - [R=403,L]

Alternatywnie, jeśli korzystasz z serwera Apache HTTP Server, możesz użyć następującej konfiguracji, aby zapobiec wyliczaniu użytkowników WordPress.

if ( $query_string ~ "author=([0-9]*)" ) {
return 403;
}

Wyłącz edytor plików WordPress

Jedną z najniebezpieczniejszych funkcji WordPressa jest możliwość edycji plików z poziomu samego pulpitu WordPress. Nie powinno być żadnego uzasadnionego powodu, dla którego każdy użytkownik powinien to zrobić, a już na pewno nie do rdzenia WordPressa. Jeśli już, chcesz się upewnić, że dokładnie wiesz, jakie pliki uległy zmianie, korzystając z wysokiej jakości wtyczki bezpieczeństwa do monitorowania integralności plików (FIM).

Aby otrzymywać powiadomienia o zmianach w plikach, skorzystaj z opracowanej przez nas wtyczki Website File Changes Monitor.

Wszelkie zmiany plików w witrynie powinny być dokonywane za pośrednictwem bezpiecznego połączenia (np. SFTP) lub najlepiej śledzone w repozytorium kontroli wersji i wdrażane za pomocą CI/CD.

Aby wyłączyć edytor plików wtyczek i motywów na pulpicie nawigacyjnym WordPress, po prostu dodaj następujące elementy do pliku wp-config.php.

define('DISALLOW_FILE_EDIT', true );

Wyłącz zarządzanie motywami i wtyczkami

Dobrą najlepszą praktyką bezpieczeństwa WordPress jest wyłączenie zarządzania wtyczkami i motywami z pulpitu WordPress. Zamiast tego użyj narzędzi wiersza poleceń, takich jak wp-cli, aby wprowadzić te zmiany.

Wyłączając zmiany motywów i wtyczek, drastycznie zmniejszasz powierzchnię ataku witryny WordPress. W takim przypadku, nawet jeśli atakujący pomyślnie włamie się na konto administratora, nie będzie mógł wgrać złośliwej wtyczki, aby eskalować atak poza dostęp do pulpitu WordPress.

Stała DISALLOW_FILE_MODS zdefiniowana w wp-config.php wyłącza aktualizacje i instalację wtyczek i motywów za pośrednictwem pulpitu nawigacyjnego. Wyłącza również wszystkie modyfikacje plików na pulpicie nawigacyjnym, usuwając w ten sposób edytor motywów i edytor wtyczek.

Aby wyłączyć modyfikacje motywów i wtyczek na pulpicie nawigacyjnym WordPress, dodaj następujące elementy do pliku wp-config.php.

define('DISALLOW_FILE_MODS', true );

WordPress HTTPS (SSL / TLS)

Transport Layer Security (TLS) jest absolutnie niezbędny dla bezpieczeństwa WordPressa, jest bezpłatny i łatwy w konfiguracji. Uwaga: TLS to protokół, który zastąpił Secure Socket Layer, SSL. Jednak ponieważ termin SSL jest bardzo popularny, wielu nadal określa TLS jako SSL.

Gdy odwiedzasz swoją witrynę przez HTTPS (HTTP przez TLS), żądania i odpowiedzi HTTP nie mogą być przechwycone i podsłuchiwane ani gorzej zmodyfikowane przez atakującego.

Chociaż TLS ma więcej wspólnego z serwerem internetowym lub siecią dostarczania treści (CDN) niż z instalacją WordPress, jednym z najważniejszych aspektów TLS (WordPress HTTPS) jest jego egzekwowanie. W Internecie dostępnych jest wiele informacji o tym, jak skonfigurować WordPress HTTPS (SSL i TLS).

Jeśli nie masz doświadczenia w edytowaniu plików konfiguracyjnych i wolisz przełączyć się na WordPress HTTPS za pomocą wtyczki, możesz użyć Really Simple SSL lub WP force SSL. Obie są bardzo dobrymi i łatwymi w użyciu wtyczkami.

Kolejne kroki dla jeszcze bezpieczniejszego WordPressa

Jeśli dotarłeś tak daleko, to świetnie, ale to nie znaczy, że nie ma jeszcze więcej do zrobienia. Poniżej znajduje się kilka elementów, którymi możesz się przyjrzeć, aby jeszcze bardziej wzmocnić swoją witrynę WordPress.

1. Utwardź PHP. Biorąc pod uwagę, że PHP jest podstawowym komponentem każdej witryny WordPress, wzmocnienie PHP jest jednym z logicznych kolejnych kroków. Pisaliśmy o tym obszernie w Najlepszym ustawieniu bezpieczeństwa PHP dla witryn WordPress.
2. Używaj renomowanych wtyczek bezpieczeństwa. Wysokiej jakości wtyczki bezpieczeństwa oferują zaawansowane funkcje bezpieczeństwa, które nie są natywnie zawarte w WordPress. Istnieje ogromna liczba wtyczek bezpieczeństwa WordPress. Pamiętaj jednak, aby wybrać wtyczki o dobrej reputacji i najlepiej takie, w których dostępne jest wsparcie premium lub komercyjne, takie jak nasze wysokiej jakości wtyczki zabezpieczające do WordPressa.
3. Przeprowadź audyt uprawnień do plików. W przypadku witryn WordPress działających w systemie Linux nieprawidłowe uprawnienia do plików mogą umożliwić nieautoryzowanym użytkownikom dostęp do potencjalnie wrażliwych plików. Aby uzyskać więcej informacji na ten temat, zapoznaj się z naszym przewodnikiem dotyczącym konfigurowania bezpiecznych uprawnień witryny WordPress i serwera WWW.
4. Wykonaj audyt pliku kopii zapasowej. Pliki kopii zapasowej, które przypadkowo pozostawiono dostępne, mogą spowodować wyciek poufnych informacji. Obejmuje to konfigurację zawierającą sekrety, które mogą umożliwić atakującym przejęcie kontroli nad całą instalacją WordPressa.
5. Utwardź swój serwer WWW
6. Wzmocnij MySQL
7. Dodaj niezbędne nagłówki bezpieczeństwa HTTP
8. Upewnij się, że masz działający system tworzenia kopii zapasowych WordPress.
9. Użyj usługi ochrony DDoS
10. Wdróż politykę bezpieczeństwa treści
11. Zarządzaj ujawnionymi kopiami zapasowymi i plikami bez odniesień.

Wniosek – to dopiero pierwszy krok na drodze do bezpieczeństwa WordPress

Gratulacje! Jeśli zastosowałeś się do wszystkich powyższych porad i wdrożyłeś wszystkie zalecane najlepsze praktyki bezpieczeństwa, Twoja witryna WordPress jest bezpieczna. Jednak bezpieczeństwo WordPressa nie jest jednorazową poprawką – to ciągle ewoluujący proces. Istnieje duża różnica między wzmocnieniem witryny WordPress (stan jednorazowy) a utrzymywaniem jej bezpieczeństwa przez lata.

Hartowanie to tylko jeden z czterech etapów procesu bezpieczeństwa WordPress (koło bezpieczeństwa WordPress). Aby zapewnić bezpieczną witrynę WordPress przez cały rok, musisz postępować zgodnie z iteracyjnym procesem bezpieczeństwa WordPress: testowanie > wzmacnianie > monitorowanie > ulepszanie. Musisz stale testować i sprawdzać stan bezpieczeństwa swojej witryny WordPress, wzmacniać oprogramowanie, monitorować system i ulepszać konfigurację w oparciu o to, co widzisz i czego się uczysz. Na przykład:

• narzędzie takie jak WPScan może pomóc Ci przetestować stan bezpieczeństwa Twojej witryny WordPress
• zapora WordPress może chronić Twoją witrynę WordPress przed złośliwymi znanymi atakami hakerskimi
• dziennik aktywności WordPressa może pomóc Ci przejść długą drogę – zapisując wszystkie zmiany, które zachodzą w Twojej witrynie, możesz poprawić odpowiedzialność użytkownika, wiedzieć, co robi każdy użytkownik, a także mieć oko na wszystkie działania pod maską
• narzędzia, takie jak nasze wtyczki bezpieczeństwa i zarządzania WordPress, mogą pomóc zapewnić bezpieczeństwo haseł, wzmocnić proces bezpieczeństwa WordPress, otrzymywać powiadomienia o zmianach plików i wiele więcej

Masz wszystkie odpowiednie narzędzia, aby zapewnić bezpieczeństwo swojej witryny. Nawet jeśli prowadzisz małą witrynę WordPress, poświęć trochę czasu na stopniowe zapoznawanie się z tym przewodnikiem. Upewnij się, że nie wkładasz pracy w tworzenie świetnej strony internetowej, tylko po to, by została ona splądrowana przez atak ukierunkowany na WordPress.

Nie ma czegoś takiego jak 100% skuteczne zabezpieczenie. Jednak znacznie utrudniasz atakującemu zdobycie przyczółka i skuteczne zaatakowanie witryny WordPress, stosując różne techniki utwardzania opisane w tym przewodniku. Pamiętaj, że gdy napastnicy atakują kolejną ofiarę, nie musisz ich przechytrzyć. Musisz tylko być bezpieczniejszy niż następna podatna witryna!