Ochrona witryny WordPress przed hakerami w 2021 r.

Każdego dnia hakerzy atakują ponad 100 000 stron internetowych! Z tego powodu ważne jest, aby Twoja witryna WordPress była bezpieczna. Twoja witryna może być jedną z tych witryn w dowolnym momencie. WordPress jest dość bezpieczny. Jednak wiele witryn WordPress pada ofiarą włamań. Jest to mniej związane z samym WordPressem, a bardziej z tym, jak jako webmaster dbasz o swoją witrynę i ustawiasz zabezpieczenia.

Nawet jeśli upewniłeś się, że Twoja witryna jest bezpieczna przed jej uruchomieniem, utrzymanie bezpieczeństwa zapewni, że Twoja witryna będzie przez cały czas odpowiednio chroniona.

Zanim zaczniemy, warto zapoznać się z niektórymi typowymi problemami związanymi z bezpieczeństwem witryn WordPress:

• Ataki Brute Force – Ataki Brute Force są powodem, dla którego ważne jest posiadanie silnego hasła. Atakujący będzie wprowadzał dane logowania w kółko, dopóki nie uzyska właściwej kombinacji logowania, aby uzyskać dostęp do Twojej witryny WordPress.
• Złośliwe oprogramowanie — skrót od złośliwego oprogramowania, złośliwe oprogramowanie to kod, który służy do uzyskania nieautoryzowanego dostępu do witryny w celu gromadzenia poufnych danych należących do właściciela firmy oraz jego klientów lub kontaktów.
• Exploity włączania plików – Exploity włączania plików mają miejsce, gdy do ładowania zdalnych plików używany jest niezabezpieczony kod, co daje hakerom dostęp do Twojej witryny. Zapewni im to również dostęp do pliku wp-config.php, który jest zasadniczo podstawą instalacji WordPressa. Jeśli ten plik zostanie naruszony, hakerzy mogą uzyskać dostęp do danych logowania do bazy danych i zabezpieczeń szyfrowania.
• SQL Injections – SQL injection to atak na Twoją bazę danych WordPress, dzięki któremu atakujący uzyskuje dostęp do Twojej bazy danych, a tym samym do Twoich danych. Gdy tak się stanie, atakujący będzie mógł dodawać i zmieniać dane, które mogą zawierać złośliwe linki i spam.
• Cross Site Scripting – Cross Site Scripting jest najczęstszym problemem związanym z wtyczkami i polega na tym, że atakujący znajduje sposób na skłonienie ofiary do nieświadomego załadowania stron internetowych z niezabezpieczonymi skryptami javascript.

Co się dzieje, gdy Twoje bezpieczeństwo zostanie naruszone?

Hakerzy mogą ukraść Twoje dane i wszelkie dane należące do Twoich klientów, narażając te dane na niebezpieczeństwo. Złośliwe oprogramowanie może być rozpowszechniane z Twojej witryny wśród odwiedzających, co może uszkodzić Twój ranking SEO, a także reputację Twojej marki. Na koniec cała witryna może zostać wyczyszczona, co w przypadku braku kopii zapasowej może spowodować poważne problemy.

Teraz najważniejsze pytanie brzmi: jak zabezpieczyć swoją witrynę przed hakerami? W przypadku witryn WordPress istnieje wiele sposobów na zwiększenie bezpieczeństwa witryny. W tym przewodniku pokażę Ci kilka podstawowych zmian w zabezpieczeniach, które możesz wprowadzić, aż do bardziej szczegółowych funkcji bezpieczeństwa WordPress. Zanurzmy się.

Jakie są podstawowe ustawienia zabezpieczeń?

Większość witryn nie zawiera nawet podstawowych informacji, co sprawia, że ​​ochrona jest dość niechlujna. Tutaj omówimy podstawowe rzeczy, które możesz zrobić, aby zwiększyć bezpieczeństwo WordPressa.

1. Silne referencje

Może to zabrzmieć głupio, ale upewnienie się, że masz silne hasło, jest twoją pierwszą linią obrony. Dzisiaj ludzie nadal używają haseł takich jak Password123, które zapewniają bardzo małą ochronę. Użycie nazwy użytkownika lub nawet adresu e-mail jako hasła może być kuszące, ale nie rób tego!

Silne hasło będzie się różnić od nazwy użytkownika i/lub adresu e-mail i będzie zawierać duże oraz małe litery, cyfry i znaki specjalne (np. !,*,%).

Podobnie możesz być zaskoczony, gdy dowiesz się, że wiele osób używa admin jako nazwy użytkownika. Jeśli tak, czas to zmienić.

2. Bezpieczny hosting wykorzystujący bezpieczne połączenie

Hosty są odpowiedzialni za bezpieczeństwo Twojej witryny tak samo jak Ty. Obecnie hosting jest dostarczany za pośrednictwem hostingu w chmurze lub hostingu współdzielonego (sprawdź najlepsze tanie opcje hostingu WordPress). Hosting w chmurze obsługuje wiele witryn na wielu serwerach, podczas gdy hosting współdzielony będzie hostował wiele witryn na jednym serwerze.

Hosting w chmurze jest ceniony za wyższy poziom niezawodności i bezpieczeństwa, ponieważ nie wymaga udostępniania ograniczonych zasobów w wielu witrynach. To jest problem z uruchomieniem hostingu współdzielonego, a gdy hosty gromadzą więcej witryn, niż może obsłużyć serwer, powoduje to, że witryny są podatne na ataki.

Nie oznacza to, że hosting współdzielony jest zły. Odpowiedzialni gospodarze zawsze będą korzystać z bezpiecznego połączenia i nigdy nie dadzą serwerowi więcej, niż jest w stanie obsłużyć. To może być dobry moment, aby sprawdzić swojego hosta i dowiedzieć się, czy musisz dokonać zmiany.

3. Uwierzytelnianie dwuetapowe

Prostą poprawką bezpieczeństwa jest włączenie uwierzytelniania dwuskładnikowego po zalogowaniu się do pulpitu nawigacyjnego. Doda to dodatkową warstwę bezpieczeństwa do Twojej witryny i jest bardzo łatwe do włączenia w ustawieniach.

Uwierzytelnianie to zazwyczaj kod za pośrednictwem wiadomości SMS lub e-mail. Niektórym denerwuje konieczność przejścia przez dodatkowy krok, aby się zalogować, ale warto, aby uzyskać dodatkową ochronę.

3. Certyfikaty SSL

Nie masz pewności, czy Twoja witryna ma certyfikat SSL? Witryna z SSL będzie zawierać https:/ na początku swojego adresu internetowego, a Twoja przeglądarka często powie, że witryna jest niezabezpieczona. Certyfikaty SSL informują odwiedzających witrynę, że Twoja witryna jest bezpieczna, więc ich dane są chronione podczas korzystania z niej.

Większość dostawców usług hostingowych uwzględnia teraz certyfikaty SSL w swoich kosztach subskrypcji, ale jeśli ich nie masz, możesz zapłacić za jeden za pośrednictwem swojego hosta lub możesz skorzystać z bezpłatnego certyfikatu Let's Encrypt (zobacz, jak ręcznie dodać bezpłatny SSL do witryny WordPress).

Jako właściciel witryny, powinieneś sprawdzić różne typy SSL podczas wybierania certyfikatu SSL dla swojej witryny. Na przykład, jeśli witryna e-commerce ma wiele subdomen, powinieneś pomyśleć o uzyskaniu certyfikatu SSL z wieloznaczną kartą.

Dostępnych jest wiele renomowanych marek certyfikatów, które mogą pomóc w zbudowaniu zaufania w witrynie, takich jak AlphaSSL, Comodo, GlobalSign, DigiCert. Możesz wybrać dowolnego, ponieważ wszystkie renomowane marki obsługują uwierzytelnione certyfikaty SSL.

4. Utwórz kopię zapasową swojej witryny

Bez względu na to, jak silne są zabezpieczenia Twojej witryny, nigdy nie będzie ona w 100% kuloodporna. Z tego powodu tworzenie kopii zapasowej witryny (patrz porównanie wtyczek do tworzenia kopii zapasowych WordPress) jest jedną z absolutnych konieczności bezpieczeństwa witryny. Jeśli pojawi się nieuniknione, możesz mieć pewność, że nie będziesz musiał zaczynać swojej witryny od zera.

Możesz użyć wtyczki do tworzenia kopii zapasowych, takiej jak Duplicator (zobacz, jak migrować witrynę WordPress za pomocą Duplicator), BackupBuddy (sprawdź recenzję BackupBuddy), WPvivid (zobacz recenzję WPvivid), kopię zapasową 10Web (sprawdź recenzję 10Web) itp.

Innym sposobem tworzenia kopii zapasowych danych jest synchronizacja dowolnych aplikacji lub oprogramowania, w którym używasz tych samych danych. Na przykład możesz wykonać kopię zapasową swoich kontaktów, synchronizując Mailchimp i Office 365, co pozwoli Ci zachować bezpieczeństwo danych kontaktowych.

5. Wtyczki i motywy

Witryny WordPress działają na motywach i wielu wtyczkach, które również wymagają aktualizacji. Te aktualizacje są niezbędne, aby Twoja witryna działała płynnie, ale także w celu naprawienia wszelkich błędów lub problemów w ich oprogramowaniu. Tak wiele firm ma witryny, które działają na starszych wersjach oprogramowania, a oni nawet o tym nie wiedzą.

Inną kwestią jest używanie pustych motywów i wtyczek, które zawierają zmodyfikowany kod i nie są zaufane. Korzystanie z pustych wtyczek może narazić Twoją witrynę na ryzyko.

6. Zaktualizuj swoją wersję PHP

Każda witryna, która działa w bardzo starej wersji PHP, jest narażona na zagrożenia bezpieczeństwa. Nieaktualne PHP może narazić Twoją witrynę WordPress na podatność na ataki. Dobrym pomysłem jest sprawdzenie, czy Twój działa na najnowszej wersji PHP. Możesz znaleźć swoją wersję, sprawdzając żądanie nagłówka w swojej witrynie, używając różnych wtyczek lub za pośrednictwem cPanel, jeśli używa go Twój hosting.

7. Zaostrzenie obszaru administracyjnego

Obszar administracyjny WordPressa zasadniczo daje użytkownikowi możliwość dostępu i wykonywania niektórych zadań w Twojej witrynie i często pozostaje niezabezpieczony. Z tego powodu jest to najczęściej atakowany obszar witryny WordPress.

Możesz wzmocnić zabezpieczenia, dodając dodatkowe środki uwierzytelniania do swojego katalogu administratora. Możesz dodać uwierzytelnianie dwuskładnikowe i ograniczyć próby logowania, aby dodać kolejną warstwę bezpieczeństwa i odstraszyć hakerów.

Możesz pójść o krok dalej i zmienić adres URL logowania do WordPressa. Domyślny adres URL witryn WordPress to domain.com/wp-admin lub /login.php, co ułatwia hakerom próby ataków typu brute force na login administratora.

Chociaż nie jest to duża poprawka bezpieczeństwa, zmiana adresu URL utrudnia atakującym dostęp do witryny. Możesz zmienić adres URL logowania za pomocą wtyczki, takiej jak iThemes Security (zobacz porównanie iThemes Security vs WordFence), Hide My WP (sprawdź porównanie Swift Performance vs Hide My WP) itp.

Jak wdrożyć silniejsze zabezpieczenia?

Oto kilka zaleceń dotyczących wyższego poziomu bezpieczeństwa witryny WordPress.

1. Zainstaluj wtyczkę bezpieczeństwa WordPress

Być może zastanawiasz się, czy istnieje fajna wtyczka, którą możesz zainstalować, aby pomóc w bezpieczeństwie, a dobrą wiadomością jest to, że jest ich wiele. Zaletą korzystania z tych wtyczek są ich różne funkcje, a także możliwość przeskanowania instalacji WordPressa w poszukiwaniu zmodyfikowanych plików, które mogą wskazywać na próbę włamania. Te wtyczki zawierają również:

• Informacje WHOIS na temat odwiedzających witrynę
• Uwierzytelnianie dwuetapowe
• reCAPTCHA
• Skanowanie złośliwego oprogramowania
• Wygaśnięcie hasła – zmusza do zresetowania hasła po określonym czasie.
• Zapory zabezpieczające WordPress

Chociaż mogą nie rozwiązać wszystkich problemów związanych z bezpieczeństwem, wtyczka może pomóc dodać kolejną warstwę obrony i zapobiec próbom włamań. Polecam rozważyć następujące wtyczki: Sucuri, Jetpack Security, iThemes Security Pro, BulletProof Security, Wordfence, MalCare (patrz recenzja MalCare) itp.

2. Ukryj swoją wersję WordPressa

Im mniej dostępnych informacji o Tobie i konfiguracji Twojej witryny, tym trudniej hakerom namierzyć Cię. Ukrycie wersji witryny uniemożliwi hakerom zidentyfikowanie Twojej witryny jako działającej w starszej wersji.

Prostszym rozwiązaniem jest upewnienie się, że Twoja witryna jest zawsze aktualna, ale jeśli chcesz zachować środki ostrożności, możesz ukryć swoją wersję WordPressa, dodając kod do pliku functions.php motywu.

3. Uprawnienia do plików

Uprawnienia do plików to zestaw reguł używanych przez serwer WWW do kontrolowania dostępu do plików w witrynie. Posiadanie niewłaściwych uprawnień może uniemożliwić działanie Twojej witryny, ale może również umożliwić hakerom dostęp do tych plików oraz przepisywanie i zmienianie tych plików.

Zalecane wartości uprawnień do plików są następujące: Wszystkie pliki powinny być ustawione na 644, a wszystkie katalogi na 755 lub 750. Katalogi nigdy nie powinny być ustawione na 777.

4. Bezpieczeństwo bazy danych

Twoja baza danych zostanie nazwana niezależnie od nazwy Twojej witryny. Więc jeśli twoja strona nazywa się richie rich, twoja baza danych będzie miała nazwę wp_richierich. Zmieniając to na coś niepowiązanego, hakerzy nie mogą odgadnąć nazwy Twojej bazy danych.

Innym sposobem na zwiększenie bezpieczeństwa jest zmiana domyślnego prefiksu tabeli WordPress. Domyślnie WordPress używał wp_ jako prefiksu, którego używa do tworzenia bazy danych. Podczas instalacji możesz zmienić ten prefiks i jest to zalecane, aby utrudnić hakerom odgadnięcie nazwy Twojej bazy danych.

5. Zapobieganie atakom DDoS

DDoS to rodzaj ataku typu „odmowa usługi”, który nie uszkadza Twojej witryny, ale powoduje jej awarię na wiele godzin, a nawet dni. Chociaż może to nie spowodować żadnych szkód w Twojej witrynie, może zaszkodzić Twojej firmie, jeśli będziesz polegać na tym, że Twoja witryna będzie przez cały czas w pełni funkcjonalna. Możesz zapobiec atakowi DDoS, korzystając z zabezpieczeń innych firm, takich jak Securi lub Cloudflare.

6. Chroń swój plik wp-config.php

Jak wspomniałem wcześniej, plik wp-config.php jest najważniejszym plikiem w Twojej instalacji WordPressa. Jeśli zostanie naruszony, haker może uzyskać Twój login do bazy danych, który zapewni mu pełny dostęp do Twojej witryny.

Może to brzmieć przerażająco, ale nie martw się, możesz wzmocnić zabezpieczenia pliku wp-config.php, zmieniając uprawnienia do pliku. Pliki w katalogu głównym są zwykle ustawione na 644, co umożliwia właścicielowi odczytywanie i zapisywanie plików i jest odczytywane przez użytkowników w grupie właściciela i wszystkich innych.

Jeśli chcesz zablokować dostęp do innych zastosowań, pliki powinny być ustawione na 440 lub 400. Warto pamiętać, że niektóre platformy hostingowe będą miały różne uprawnienia. Dzieje się tak, ponieważ użytkownik nie ma uprawnień do zapisu plików. W takim przypadku dobrym pomysłem jest skontaktowanie się z dostawcą usług hostingowych, aby upewnić się, jakie są uprawnienia.

Dbaj o bezpieczeństwo swojej witryny WordPress

Istnieje wiele powodów, dla których witryny WordPress są hackowane. Oczyszczenie zhakowanej witryny WordPress nie jest niemożliwe, ale podejmując środki zapobiegawcze, możesz zmniejszyć szanse na posiadanie zhakowanej witryny, dzięki czemu nie musisz się martwić o czyszczenie witryny lub, w najgorszym przypadku, zbudowanie zupełnie nowej Strona internetowa.