Jak zabezpieczyć witrynę WordPress w 2023 r. (szczegółowy samouczek)
Opublikowany: 2023-07-28WordPress stał się jednym z najpopularniejszych systemów zarządzania treścią (CMS) na świecie, na którym zbudowano ponad 44% stron internetowych. Podobnie jak w przypadku każdej platformy internetowej, bezpieczeństwo powinno znajdować się na szczycie listy obaw. W tym poście przyjrzymy się problemom związanym z bezpieczeństwem WordPress i udzielimy wskazówek, jak zapewnić bezpieczeństwo Twojej witryny WordPress.
Zanurzmy się.
- 1 Czy WordPress jest bezpieczny?
- 2 obawy dotyczące bezpieczeństwa WordPress
- 3 Jak zabezpieczyć swoją witrynę WordPress
- 3.1 Bezpieczeństwo WordPress: wybierz dobry hosting WordPress
- 3.2 Zadbaj o bezpieczeństwo logowania do WordPress
- 3.3 Użyj pakietu wtyczek zabezpieczających WordPress
- 3.4 Aktualizuj PHP
- 3.5 Wybierz silne hasła
- 3.6 Bezpieczeństwo WordPress: Aktualizuj oprogramowanie
- 3.7 Zainstaluj certyfikat SSL
- 3.8 Przeprowadź audyt bezpieczeństwa
- 3.9 Zaawansowane techniki bezpieczeństwa WordPress
- 4 Co zrobić, jeśli Twoja witryna WordPress zostanie zhakowana
- 5 końcowych przemyśleń na temat bezpieczeństwa WordPress
Czy WordPress jest bezpieczny?
W przeważającej części tak. Programiści WordPress ciężko pracują, aby utrzymać bezpieczeństwo swojej platformy poprzez regularne łatki i aktualizacje. Ponieważ jednak WordPress jest zbudowany na platformie open source, hakerzy mogą analizować sposób jego budowy i często opracowywać nowe sposoby przejmowania kontroli nad witrynami WordPress. Z tego powodu bezpieczeństwo WordPress ma kluczowe znaczenie. Znajomość ryzyka związanego z korzystaniem z WordPress jest ważna, aby lepiej zrozumieć, jak zabezpieczyć swoją witrynę.
Wątpliwości dotyczące bezpieczeństwa WordPressa
Podczas obsługi witryny WordPress istnieje kilka potencjalnych zagrożeń, o których należy pamiętać. Jednym z największych problemów są hakerzy. Ponieważ WordPress jest tak popularny, przyciąga uwagę nikczemnych aktorów, którzy próbują wykorzystać luki w zabezpieczeniach, takie jak przestarzałe wtyczki lub podstawowe pliki, aby uzyskać nieautoryzowany dostęp do Twojej witryny. Mogą stosować takie metody, jak backdoory, przeprowadzanie ataków siłowych, ataków farmaceutycznych, ataków typu „odmowa usługi” (DoS) lub cross-site scripting (XSS).
Jeśli nie zostanie to rozwiązane, mogą wystąpić poważne konsekwencje, takie jak złośliwe oprogramowanie (złośliwy kod przeznaczony do kradzieży informacji o użytkownikach witryny), przekierowanie witryny do zupełnie innej witryny, dodanie treści, których nie znasz, ostrzeżenia Google, które mogą zaszkodzić Twojej pozycji w SERP lub, co gorsza, niemożność zalogowania się do Twojej witryny.
Jak zabezpieczyć swoją witrynę WordPress
W poniższej sekcji omówimy najlepsze praktyki w celu zwiększenia bezpieczeństwa WordPress w celu ochrony witryny przed potencjalnymi zagrożeniami.
Subskrybuj nasz kanał na Youtube
Bezpieczeństwo WordPress: Wybierz dobry hosting WordPress
Pierwszym krokiem do podjęcia jest współpraca z dobrą firmą hostingową WordPress. Przy tak wielu dostępnych opcjach może być trudno określić, jak wybrać odpowiedniego gospodarza. Jeśli jesteś początkującym, prawdopodobnie najlepiej będzie wybrać dobrego zarządzanego dostawcę hostingu, takiego jak SiteGround, który zapewni wszystkie aktualizacje zabezpieczeń dla WordPressa, jednocześnie utrzymując serwer, na którym jest zainstalowany. Dla tych, którzy są bardziej obeznani z technologią, dostawca hostingu w chmurze, taki jak Cloudways, jest doskonałym wyborem.
Każda z tych opcji zapewnia wszystkie narzędzia potrzebne do zapewnienia bezpieczeństwa witryny, w tym:
- Darmowy certyfikat SSL
- Zapora sieciowa aplikacji (WAF)
- Dostęp przez SFTP
- Rozproszona ochrona przed odmową usługi (DDoS).
- Zabezpieczenie przed złośliwym oprogramowaniem
Zadbaj o bezpieczeństwo logowania do WordPress
Inną łatwą rzeczą, którą możesz zrobić, aby zwiększyć bezpieczeństwo WordPress, jest zablokowanie danych logowania. Można to zrobić na kilka sposobów, w tym za pomocą wtyczki do zmiany adresu URL logowania z /wp-admin na coś, co wybierzesz. Możesz także dodać uwierzytelnianie dwuskładnikowe (2FA) do swojego logowania i ograniczyć próby logowania, co pomoże odeprzeć boty.
Innym sposobem ochrony swojego loginu jest połączenie go z kontem Google za pomocą logowania Google Apps dla WordPress. Po zablokowaniu logowania należy dodać adresy IP użytkowników do białej listy. Gwarantuje to, że tylko zarejestrowani użytkownicy mogą uzyskać dostęp, nawet jeśli udało im się odgadnąć hasło.
Użyj pakietu wtyczek bezpieczeństwa WordPress
Inną bardzo przydatną rzeczą, którą możesz zrobić, jest zainstalowanie dobrej wtyczki zabezpieczającej, takiej jak iThemes Security. Pozwoli ci to dodać 2FA, ograniczyć próby logowania, zaplanować tworzenie kopii zapasowych i ukryć login WordPress.
Oprócz wtyczki zabezpieczającej WordPress rozważ zainstalowanie dobrej wtyczki do tworzenia kopii zapasowych, takiej jak UpdraftPlus, jeśli Twój host nie oferuje kopii zapasowych. Wtyczka do tworzenia kopii zapasowych chroni Cię przed utratą plików witryny, pomagając uniknąć odbudowy WordPressa od podstaw. Możesz łatwo przywrócić witrynę przy niewielkim wysiłku, jeśli coś pójdzie nie tak. Wreszcie, włączenie wtyczki dziennika aktywności, takiej jak WP Activity Log, pozwoli ci określić, co poszło nie tak i kiedy.
Aktualizuj PHP
WordPress wymaga trzech rzeczy do poprawnego działania: obsługi PHP, MySQL i HTTPS. PHP, czyli preprocesor hipertekstowy, jest popularnym językiem skryptowym typu open source używanym do tworzenia stron internetowych i stanowi podstawę WP. Podobnie jak WordPress, bycie open source pozostawia otwarte dla złośliwych aktorów, którzy chcą skorzystać. Aby uniknąć tych potencjalnych problemów, najlepiej aktualizować PHP. Nie tylko pomaga w bezpieczeństwie WordPress, ale także zapewnia optymalne działanie witryny.
Wybierz Silne hasła
Jednym z najważniejszych aspektów bezpieczeństwa WordPressa jest wybór silnych haseł do logowania. Słabe lub łatwe do odgadnięcia hasła narażają Twoją witrynę na nieautoryzowany dostęp i narażają ją na działanie botnetów. Botnety to zbiór komputerów, które zostały zainfekowane złośliwym oprogramowaniem i znajdują się pod kontrolą hakera. Są główną przyczyną ataków DDoS w Internecie, ale możesz zapobiec temu, że Twoja witryna stanie się ich ofiarą, stosując odpowiednie środki ostrożności.
Możesz na przykład chronić swoją witrynę, upewniając się, że wszyscy użytkownicy przestrzegają zasad dotyczących haseł. Świetnym sposobem na to jest zainstalowanie wtyczki, takiej jak Password Policy Maker.
Bezpieczeństwo WordPress: Aktualizuj oprogramowanie
Kolejnym prostym krokiem w zakresie bezpieczeństwa WordPress jest aktualizowanie rdzenia, wtyczek i motywów WordPress. Pozostawienie nieaktualnego oprogramowania może mieć negatywne konsekwencje dla Twojej witryny, w tym naruszenia bezpieczeństwa, biały ekran śmierci WordPress lub dowolną liczbę typowych błędów.
Możesz samodzielnie nadążać za aktualizacjami lub włączyć automatyczne aktualizacje. To, co jest dla Ciebie odpowiednie, zależy od kilku czynników, w tym czasu, wiedzy i rodzaju oprogramowania, na którym działa Twoja instalacja WordPress. Niezależnie od tego, czy zajmujesz się aktualizacjami, czy wybierasz automatyczną aktualizację, zawsze powinieneś wykonać kopię zapasową przed wykonaniem jakichkolwiek aktualizacji.
Zainstaluj certyfikat SSL
Jeśli współpracujesz z dobrym dostawcą usług hostingowych, jedną z korzyści z tego płynących jest bezpłatny certyfikat SSL. Mogą jednak zaistnieć sytuacje, w których będziesz musiał zainstalować je samodzielnie. Większość dostawców, takich jak SiteGround, oferuje bezpłatny SSL, który instaluje się w ciągu kilku minut. Czytając to, możesz zapytać : „Dlaczego potrzebuję certyfikatu SSL?”. wyjaśnijmy.
SSL, czyli warstwa bezpiecznego gniazda, rozszerza protokół przesyłania hipertekstu (HTTP) do bezpiecznego protokołu przesyłania hipertekstu (HTTPS), dodając szyfrowanie i dodatkową warstwę zabezpieczeń. Na przykład konsument, który dokonuje zakupu przez HTTP, ryzykuje, że dane jego karty kredytowej zostaną wykorzystane. Z drugiej strony ich informacje byłyby chronione, gdyby dokonali tego samego zakupu przez HTTPS. Twoja witryna i jej odwiedzający są narażeni i narażeni na ataki bez tego bezpiecznego połączenia. Dlatego zainstalowanie certyfikatu SSL na każdej nowej stronie internetowej ma kluczowe znaczenie.
Przeprowadź audyt bezpieczeństwa
Po podjęciu kroków w celu zabezpieczenia witryny ważne jest, aby od czasu do czasu przeprowadzać audyt bezpieczeństwa WordPress. Tak jak technologia zmienia się codziennie, tak samo zmienia się arsenał narzędzi hakerów. Złośliwe oprogramowanie i inne taktyki są regularnie opracowywane, więc zabezpieczenie witryny WordPress nie jest sprawą jednorazową. Zaplanuj regularne kontrole bezpieczeństwa i szukaj oznak, że Twoja witryna może mieć problemy. Jeśli zauważysz, że Twoja witryna ładuje się powoli, ruch spada, odkrywasz nowe linki, których nie dodałeś, lub doświadczasz nadmiernej liczby prób logowania, być może nadszedł czas, aby przeprowadzić skanowanie zabezpieczeń, aby upewnić się, że witryna pozostaje bezpieczna.
Zaawansowane techniki bezpieczeństwa WordPress
Oprócz kroków wymienionych powyżej istnieje kilka bardziej zaawansowanych technik, które można włączyć do witryny w celu zwiększenia bezpieczeństwa WordPress.
Wzmocnij plik wp-config.php
Jednym z powszechnych punktów dostępu dla hakerów jest plik wp-config.php Twojej witryny WordPress. Zawiera informacje o Twojej bazie danych, w tym nazwę, hosta, nazwę użytkownika i hasło. Pozostawienie tego ważnego pliku otwartego może okazać się szkodliwe, więc ukrywanie go jest zawsze dobrym pomysłem.
Przenieś swój plik wp-config.php
Aby przenieść wp-config, możesz przeciągnąć go do folderu głównego swojej witryny (publiczny kod HTML), a WordPress będzie go szukał za każdym razem, gdy witryna zostanie pingowana. Jeśli jednak struktura plików Twojej witryny zawiera plik htaccess, możesz go dodatkowo zabezpieczyć, dodając dyrektywę odmawiającą dostępu do niego za pomocą następującego kodu:
<FilesMatch "wp-config/.php"> Require all denied </FilesMatch">
Uwaga: zanim to zrobisz, upewnij się, że dostawca usług hostingowych nie podjął już kroków w celu przeniesienia pliku wp-config. Niektóre hosty, takie jak Kinsta, robią to automatycznie, aby zapewnić bezpieczeństwo Twojej witryny.
Zmień klucze solne WordPress
Innym sposobem ochrony pliku wp-config jest zmiana kluczy solnych witryny. Te klucze zapewniają dodatkową warstwę ochrony podczas zapisywania haseł do bazy danych, logowania do plików cookie i innych ważnych aspektów bezpieczeństwa WordPress. Jeśli hakerzy mogą uzyskać klucze solne, mogą uzyskać dostęp do bazy danych i plików Twojej witryny, w tym przechowywanych informacji o kartach kredytowych, haseł i innych ważnych informacji. Dlatego zaleca się okresową ich wymianę.
Zmień uprawnienia do plików
Domyślnie pliki w katalogu głównym są ustawione na 644, co oznacza, że można je zarówno odczytywać, jak i zapisywać, co naraża je na ataki złych aktorów. Według WordPressa nie należy pozostawiać ich z domyślnymi uprawnieniami. Zamiast tego należy je zmienić na 440 lub 400, aby uniemożliwić innym osobom na tym samym serwerze ich odczytanie. Jednak przed wprowadzeniem jakichkolwiek zmian w uprawnieniach do plików należy skontaktować się z dostawcą usług hostingowych. Mogą mieć unikalny system, więc zmiana uprawnień może spowodować zakłócenia w Twojej witrynie.
Wyłącz XML-RPC
XML-RPC to interfejs API WordPress, który umożliwia połączenie witryny z aplikacjami i narzędziami innych firm. W ostatnich latach był wykorzystywany w atakach typu brute force, umożliwiając dostęp do stron WordPress. Jest używany głównie do nawiązywania połączeń Zapier lub zdalnego dostępu do Twojej witryny za pośrednictwem aplikacji. Powinieneś wyłączyć XML-RPC na swoim serwerze, jeśli nie używasz żadnego z tych połączeń.
Można to zrobić na kilka sposobów, w tym wyłączenie go przez htaccess, użycie fragmentu kodu lub wtyczki. Najbardziej zaawansowana metoda, htaccess, może być trudna dla początkujących, dlatego najbardziej zalecanym podejściem jest użycie fragmentu kodu.
W przypadku metody htaccess użyj klienta FTP, aby uzyskać dostęp do plików witryny, a następnie dodaj następujący kod do pliku htaccess:
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny, allow deny from all allow from 123.123.123.123 </Files>
Uwaga: Pamiętaj, aby zmienić adres IP 123.123.123.123 na własny.
Alternatywnie możesz użyć karty htaccess narzędzi wtyczki AIOSEO, aby wstawić kod:
Jeśli wolisz wyłączyć XML-PRC za pomocą fragmentu kodu, możesz to łatwo zrobić za pomocą wtyczki WPCode. Ma wbudowany fragment kodu, którego można użyć do wyłączenia interfejsu API.
Ukryj wersję WordPressa
Jest to często pomijany krok, jeśli chodzi o bezpieczeństwo WordPress, ale ważny. Domyślnie WordPress pozostawia ślad w kodzie Twojej witryny, który pokazuje, która wersja jest zainstalowana. Może się to wydawać nieszkodliwe, ale uzyskując dostęp do kodu źródłowego witryny, hakerzy mogą ustalić, jakiej wersji WordPress używasz. Jeśli są nieaktualne, mogą użyć tych informacji do włamania się do Twojej witryny poprzez wstrzyknięcie złośliwego oprogramowania lub złośliwych skryptów.
Tak więc, jako dodatkowy środek bezpieczeństwa WordPress, ukryj wersję WordPress swojej witryny, aby utrudnić hakerom przejęcie kontroli nad Twoją witryną. Są na to dobre sposoby. Możesz zaimplementować wtyczkę fragmentu kodu, która usunie linię w kodzie źródłowym lub utworzyć motyw potomny i umieścić go w pliku functions.php.
function elegantthemes_remove_version() { return ''; } add_filter('the_generator', 'elegantthemes_remove_version');
Alternatywnie, jeśli chcesz usunąć wersję WP w metatagu, w ciągach zapytań do bazy danych i w kanałach RSS, użyj tego kodu:
/* Hide WP version strings from scripts and styles * @return {string} $src * @filter script_loader_src * @filter style_loader_src */ function elegantthemes_remove_wp_version_strings( $src ) { global $wp_version; parse_str(parse_url($src, PHP_URL_QUERY), $query); if ( !empty($query['ver']) && $query['ver'] === $wp_version ) { $src = remove_query_arg('ver', $src); } return $src; } add_filter( 'script_loader_src', 'elegantthemes_remove_wp_version_strings' ); add_filter( 'style_loader_src', 'elegantthemes_remove_wp_version_strings' ); /* Hide WP version strings from generator meta tag */ function wordpress_remove_version() { return ''; } add_filter('the_generator', 'elegantthemes_remove_version');
Co zrobić, jeśli Twoja witryna WordPress zostanie zhakowana
Nawet jeśli zrobisz wszystko dobrze, możesz znaleźć się w sytuacji, w której Twoja witryna została zhakowana. Na szczęście istnieją kroki, które możesz podjąć, w tym przełączenie witryny w tryb odzyskiwania, przywrócenie z ostatniej kopii zapasowej lub zresetowanie haseł. Jeśli wszystko inne zawiedzie, Twój dostawca usług hostingowych może być w stanie pomóc.
Ostatnie przemyślenia na temat bezpieczeństwa WordPress
Podejmując niezbędne kroki w celu zwiększenia bezpieczeństwa WordPress, możesz zapewnić, że Twoja witryna będzie działać normalnie, a jednocześnie będzie bezpieczna dla odwiedzających. Chociaż WordPress oferuje ogromne korzyści i łatwość użytkowania, ważne jest, aby zrozumieć jego wady. Na szczęście istnieje wiele wtyczek bezpieczeństwa WordPress, takich jak iThemes, które mogą pomóc w utrzymaniu porządku.
Szukasz więcej informacji na temat WordPressa? Sprawdź niektóre z naszych szczegółowych artykułów, które w mgnieniu oka przekształcą Cię w eksperta od WordPress:
- Jak zainstalować WordPress: ostateczny przewodnik
- 10 najlepszych opcji hostingu WordPress w 2023 r. (wyselekcjonowany)
- 31 najlepszych wtyczek WordPress w 2023 r. (wszystko, czego potrzebujesz)
- 10 najlepszych motywów WordPress w 2023 r. (porównane i ocenione)
Polecane zdjęcie za pośrednictwem Pikovit / shutterstock.com