12 wskazówek dotyczących bezpieczeństwa WordPress 2021 – Powstrzymaj hakerów włamujących się do Twojej witryny

40% wszystkich stron internetowych korzysta dziś z WordPressa. I jeśli się nie mylę, ty też jesteś jednym z nich!

WordPress zyskał dużą popularność w ciągu ostatnich kilku lat. Jednak wielka popularność zaprasza również wprawnych hakerów!

Każdego dnia ponad 10 000 witryn internetowych jest umieszczanych przez Google na czarnej liście zawierającej kody złośliwego oprogramowania. To sprawia, że ​​bezpieczeństwo witryny jest sprawą najwyższej wagi.

W dzisiejszym artykule omówię 12 skutecznych środków bezpieczeństwa WordPress i wskazówek dotyczących bezpieczeństwa , które pomogą chronić Twoją witrynę przed lukami w zabezpieczeniach online i atakami hakerów!

Więc bez zbędnych ceregieli, przejdźmy do tego!

Wskazówki dotyczące bezpieczeństwa WordPress i korzystanie z wtyczki zabezpieczającej WordPress

1) Skorzystaj z dobrej usługi hostingowej

Dobra usługa hostingowa jest kluczowym elementem tworzenia udanej strony internetowej. Czy wiesz, że na serwerach hostingowych wykonywana jest maksymalna liczba prób włamania?

Firmy hostingowe ze słabymi usługami bezpieczeństwa stały się wylęgarnią cyberprzestępczości.

Bluehost jest niesławny z powodu naruszeń bezpieczeństwa! Ich serwery zostały kilkakrotnie zhakowane z powodu rażących błędów i luk w ich kodzie.

Czy Twoja witryna jest hostowana na Bluehost? Czy doświadczasz bardzo powolnego wczytywania strony lub częstych awarii witryny? Potem nadszedł czas, aby przejść do innego hosta.

Zły hosting może narazić wszystkie dane Twojej witryny. Aby się uratować, musisz zawsze zwracać szczególną uwagę przy wyborze usługi hostingowej.

2) Użyj dobrej wtyczki bezpieczeństwa

Wtyczka może mieć duży wpływ na bezpieczeństwo i wydajność Twojej witryny. Ale jeśli Twój hosting nie jest satysfakcjonujący, Twoja witryna jest zawsze narażona na zhakowanie. Tak więc dobry hosting jest koniecznością.

Polecam dwie wysoce wydajne wtyczki zabezpieczające do WordPressa:

1. Bezpieczeństwo Wordfence
2. Bezpieczeństwo iThemes

Obie te wtyczki są potężne, ale Wordfence Security ma niską prędkość ładowania na niektórych stronach internetowych, więc wolę iThemes Security dla moich stron internetowych.

3) Ustaw inną stronę logowania

Musisz zauważyć, że możesz uzyskać dostęp do strony logowania do witryn WordPress za pośrednictwem adresu URL: twojastrona.com/wp-admin . Ale jest haczyk!

Jeśli myślisz z perspektywy hakera, ta informacja to jackpot. Mogę uzyskać dostęp do dosłownie każdej strony logowania do witryny WordPress, dodając wp-admin na końcu adresu URL!

Maksymalna liczba prób włamania jest zawsze podejmowana na stronach logowania.

Musimy unikać wszelkich szans na zhakowanie. Dzięki iThemes Security możesz zmienić stronę logowania z wp-admin na coś innego, na przykład twojastrona.com/ this_is_my_site lub dosłownie wszystko, co nie jest powszechne.

Ale także przechowuj go bezpiecznie zapisany w 3-4 różnych lokalizacjach. Jeśli zgubisz ten adres URL, nie ma innego sposobu, aby dostać się do Twojej witryny.

Oto jak możesz zmienić swoją stronę logowania za pomocą iThemes Security:

4) Użyj silnej nazwy użytkownika i hasła

WordPress oferuje domyślną nazwę użytkownika dla swoich witryn internetowych jako „admin” . A większość użytkowników nigdy nie zadaje sobie trudu, aby to zmienić, ponieważ jest to dla nich łatwe i wygodne do zapamiętania.

Ale ogólne nazwy użytkownika, takie jak „admin”, ułatwiają hakerom znalezienie Twojego hasła, ponieważ mają już Twoją nazwę użytkownika.

Mogą używać technik, takich jak atak Brute Force, aby odgadnąć hasło, a następnie obrabować Cię z cennych danych. (Zastanawiasz się, co to jest Brute Force Attack? Czytaj dalej, aby się dowiedzieć.)

Tak więc, jako użytkownik WordPressa, bądź o krok przed hakerami i zacznij wymuszać silne hasła w swojej witrynie.

Dzięki wtyczce iThemes Security możesz szybko skonfigurować te ustawienia.

5) Ustaw limit liczby prób logowania

Więc rozmawialiśmy o Brute Force Attack. Jest to rodzaj cyberataku, w którym haker próbuje różnych kombinacji haseł, aby zalogować się na Twoje konto, dopóki nie znajdzie właściwego / docelowego hasła.

Złamanie słabych haseł zajmuje tylko kilka sekund. Silne mogą zająć dużo czasu. Ponieważ proces odgadywania hasła zajmuje dużo czasu, atak ten jest również nazywany Wyczerpującym wyszukiwaniem.

Jest to bardzo niezawodna metoda złamania czyjegoś hasła, ponieważ w końcu, po wypróbowaniu wszystkich kombinacji, z pewnością znajdą docelowe hasło, bez względu na to, jak silne może być!

Według statystyk, w 2017 roku około 5% naruszeń bezpieczeństwa miało miejsce z powodu ataków Brute force! Możesz więc sobie wyobrazić, jak proste jest wykonanie tego ataku!

Możesz jednak kontrolować te działania, ustawiając limit liczby prób logowania.

Na przykład, jeśli użytkownik spróbuje zalogować się na Twoje konto ponad 3 razy, zostanie zablokowany na 24 godziny. Zapewni to większe bezpieczeństwo. iThemes Security oferuje świetne ustawienia dostosowywania prób logowania.

6) Zaimplementuj uwierzytelnianie dwuetapowe

Jak już widzieliśmy, hakerzy mogą w końcu znaleźć każdą kombinację haseł za pomocą ataku brute force. Oznacza to, że bez względu na to, jak silne jest Twoje hasło, Twoje konto nigdy nie jest bezpieczne!

To tutaj 2FA zaznacza swoją obecność. 2FA (Two Factor Authentication) to dodatkowa warstwa bezpieczeństwa po zabezpieczeniu kont hasłami.

Stanowi drugą metodę weryfikacji tożsamości użytkownika, łącząc dwa czynniki – to, co wiesz (np. hasło) i to, co posiadasz (np. odcisk palca lub inna cecha identyfikacyjna).

Za każdym razem, gdy ktoś próbuje zalogować się na Twoje konto, uwierzytelnianie dwuskładnikowe wysyła na Twoje urządzenie SMS-em unikalne hasło OTP (hasło jednorazowe). Po wprowadzeniu tego kodu umożliwia on dostęp do konta.

Ta metoda jest zdecydowanie najbezpieczniejszą i najskuteczniejszą ze wszystkich i każdy powinien jej używać na swoich kontach, aby zapewnić maksymalne bezpieczeństwo.

6) Użyj Cloudflare do ochrony przed atakami DDoS

DDoS (Distributed Denial of Service) to cyberatak, w którym hakerzy wykorzystują sieć komputerów zombie o nazwie „Botnet”, aby zakłócić normalny ruch i zepsuć witrynę.

Głównym celem ataku DDoS jest uniemożliwienie dostępu do witryny dla prawdziwych użytkowników poprzez zalanie jej większą liczbą żądań, niż może obsłużyć serwer sieciowy.

Mówiąc prościej, jest to jak niechciany korek uliczny, który nie przepuszcza prawdziwych ludzi.

Jak więc możesz zapobiec temu korkowi? Cloudflare jest w tym przypadku Twoim ratunkiem! Chroni Twoją witrynę przed wszystkimi złośliwymi działaniami online, takimi jak ataki DDoS, wirusy, boty i inne natrętne elementy.

Poprawia również szybkość ładowania strony, pomaga w rankingach wyszukiwarek i zapewnia bezpłatny certyfikat SSL, aby zapewnić większe bezpieczeństwo komunikacji online od stron trzecich.

Możesz skorzystać z bezpłatnego certyfikatu SSL i ochrony przed atakami DDoS, wykonując te proste kroki:

1. Utwórz konto na Cloudflare.com
2. Dodaj swoją witrynę
3. Wybierz darmowy/płatny plan zgodnie z własnym wyborem
4. Dodaj serwery nazw Cloudflare w swoich rekordach DNS.

Spowoduje to połączenie Twojej witryny z Cloudflare i będziesz mógł cieszyć się jego wyjątkowymi funkcjami bezpieczeństwa.

7) Unikaj używania pustych wtyczek i motywów

Większość użytkowników WordPressa nie zdaje sobie nawet sprawy, że używa motywów/wtyczek Nulled.

Nulled motywy i wtyczki to funkcje premium dystrybuowane za darmo. Dystrybutor może dodać własny fragment złośliwego kodu do swojego kodu źródłowego i ukraść Twoje dane.

Kolejną wadą motywów/wtyczek Nulled jest brak aktualizacji. Deweloper często wydaje aktualizacje, aby naprawić problemy z bezpieczeństwem w oprogramowaniu.

Ale w przypadku motywów Nulled dystrybutor nie jest legalnym deweloperem. Dlatego nie ma dostępnych aktualizacji. W związku z tym są bardzo podatni na hakerów zewnętrznych.

Wreszcie, nie ma opcji obsługi ani dostosowywania motywów Nulled. Nie możesz zmieniać czcionek, kolorów czcionek, pozycji widżetów ani innych elementów na stronie.

Dlatego nigdy nie używaj motywów Nulled. Zawsze musisz wybierać motywy GPL (GNU General Public Licence). Licencja GPL to darmowa i zidentyfikowana licencja, która daje użytkownikom swobodę używania i zmiany kodu oprogramowania.

Dlatego przed zakupem lub instalacją upewnij się, że Twój motyw jest objęty licencją GPL.

8) Regularnie aktualizuj WordPress, wtyczki i motywy

Twórcy motywów i wtyczek nieustannie naprawiają wady i aktualizują swoje motywy/wtyczki. Dlatego zawsze aktualizuj je co 15 dni, w przeciwnym razie możesz zostać zhakowany.

Nie przegap też aktualizacji swojej witryny WordPress do najnowszej wersji, aby cieszyć się płynnym działaniem.

Na przykład, jeśli ktoś znalazł sposób na zhakowanie danych użytkowników, wykorzystując kod motywu/wtyczki. Ty też używasz tego motywu/wtyczki.

Teraz, jeśli zapomnisz zaktualizować, będziesz narażony na złośliwe ataki hakerskie!

9) Usuń nieaktywne wtyczki i motywy

Załóżmy, że chcesz wyświetlić galerię obrazów w swoim poście. Instalujesz do niego wtyczkę, a po zakończeniu pracy znajduje się ona w Twoim folderze wtyczek nieużywana od lat! Czy nie zdarzyło się to każdemu z nas?

Ta praktyka może narazić Twoje cenne dane na ryzyko, ponieważ hakerzy próbowali manipulować Twoimi danymi również za pomocą nieaktywnych motywów i wtyczek. Dlatego zawsze upewnij się, że je usuniesz, jeśli nie są już używane.

Ile obecnie nieaktywnych wtyczek masz na swojej stronie? Daj mi znać w polu komentarza!

10) Wyłącz rejestrację użytkownika

Jaką masz stronę internetową? Czy wymaga to od użytkowników tworzenia kont w Twojej witrynie? Jeśli nie, najlepiej wyłączyć „rejestracje użytkowników”.

Jeśli używasz swojej witryny WordPress do podstawowych celów związanych z blogowaniem, wyłącz tę funkcję, ponieważ próby włamania mogą się również odbywać za pośrednictwem strony rejestracji użytkowników.

11) Rób regularne kopie zapasowe

To oczywiste – regularnie rób kopie zapasowe witryn. Ale ważną rzeczą do zapamiętania jest to, że powinna to być kopia zapasowa Off-Site.

Kopie zapasowe Off-Site szyfrują, kompresują i zabezpieczają nasze dane na innym serwerze niż serwer główny. Ma to wiele zalet, takich jak:

• Oszczędza miejsce do przechowywania
• Mamy kopię zapasową danych na wypadek awarii całego systemu
• Zapobiega przestojom witryny
• Chroni nasze dane przed atakami online

Ale trzeba wiedzieć, jak utworzyć kopię zapasową, a także jak ją przywrócić.

Maksymalna liczba osób może wykonywać kopie zapasowe, ale problem pojawia się przy ich przywracaniu. Aby zapewnić bezpieczeństwo swojej witryny, od razu naucz się tych podstawowych umiejętności!

12) Zmień prefiks tabeli WordPress, aby uniknąć wstrzyknięcia SQL

Tabele WordPress zawierają wszystkie informacje o Twojej witrynie, w tym dane logowania. Dlatego jest to najbardziej ulubiony cel hakerów.

A jeśli zauważyłeś, prefiks dla tabel bazy danych WordPress to domyślnie wp_ . Ponieważ zwykli użytkownicy, tacy jak Ty i ja, nie widzą potrzeby jego zmiany, atakującym łatwiej jest wybrać ten domyślny prefiks i wykonać wstrzyknięcie kodu SQL na naszej stronie internetowej.

Wstrzyknięcie SQL to technika hakerska, w której haker wykorzystuje pewną lukę w motywie/wtyczce, aby przejąć kontrolę nad tabelami bazy danych użytkownika, uzyskując w ten sposób taki sam poziom uprawnień do bazy danych, jak właściciel, czyli Ty.

Czy to nie brzmi przerażająco? Wtyczka iThemes Security oferuje nam łatwe opcje edycji prefiksu tabeli i zapobieganie wstrzykiwaniu SQL bez wysiłku!

Jak korzystać z wtyczki zabezpieczającej WordPress

Aby dowiedzieć się, jak korzystać z wtyczki WordPress Security, możesz obejrzeć ten film. Użyłem darmowej wersji dla iThemes Security Pro, aby skonfigurować wszystkie środki bezpieczeństwa WordPress.

Wniosek

Tak więc to wszystko na dzisiaj. Mam nadzieję, że ten artykuł pomoże Ci zachować bezpieczeństwo witryny WordPress, postępując zgodnie z tymi wskazówkami i korzystając z wtyczek bezpieczeństwa.

Jakie inne środki bezpieczeństwa wdrażacie na swoich stronach internetowych? Udostępnij je w sekcji komentarzy poniżej.

Jeśli podoba Ci się ta treść, zasubskrybuj ten blog . To jest podpis Kripesha! Do zobaczenia w następnym. Uważajcie i uczcie się dalej, chłopaki!