15 sposobów na zwiększenie bezpieczeństwa witryny WordPress
Opublikowany: 2020-10-08WordPress to popularny CMS (system zarządzania treścią). Jest to jeden z najbardziej przyjaznych dla użytkownika systemów zarządzania treścią z wieloma różnymi motywami i przydatnymi wtyczkami. Możesz stworzyć dowolną niszową stronę internetową za pomocą WordPressa. Dlatego WordPress umożliwia korzystanie z około 36 procent witryn w Internecie. Jednak popularność może mieć swoje koszty. Ponieważ WordPress zajmuje tak korzystną pozycję na rynku, często jest atakowany przez hakerów. WordPress pozostaje popularnym wyborem do błyskawicznego przygotowania dowolnej witryny internetowej, a także ma wiele funkcji. Dlatego mądrze jest, aby Twoja witryna WordPress była bezpieczniejsza, aby cieszyć się platformą bez martwienia się o cyberzagrożenia. Ponadto większość ludzi błędnie zakłada, że jeśli mają pełnoprawną witrynę biznesową, tylko wtedy powinni wydać dodatkowe pieniądze na wprowadzenie środków bezpieczeństwa. Jednak nawet jeśli używasz go na stronie portfolio, sklepie eCommerce lub jakiejkolwiek innej stronie internetowej, lepiej jest zastosować środki ochronne. Przyjrzyjmy się 15 prostym sposobom na zwiększenie bezpieczeństwa witryny WordPress i uniemożliwienie hakerom zrujnowania Twojej firmy.
1. Zawsze wybieraj doskonałą firmę hostingową:
To musi być Twój pierwszy i najważniejszy krok w kierunku zapewnienia bezpieczeństwa witryny. Upewnij się, że korzystasz z dobrej firmy hostingowej, która ma przydatne funkcje bezpieczeństwa. Kilka funkcji, na które należy zwrócić uwagę, to: PHP (najnowsza wersja), firewall, MySQL, monitorowanie bezpieczeństwa 24/7 i Apache. Powinieneś również spróbować pozostać przy usługach hostingowych, które regularnie sprawdzają złośliwe oprogramowanie i wykonują codzienne kopie zapasowe. Doskonałe usługi hostingowe miałyby również środki zapobiegające DDOS. Jeśli myślisz o swoich zabezpieczeniach WordPress jako warstwach, wybrana usługa hostingowa jest pierwszą warstwą lub hakerami ściennymi, którzy próbowaliby się przebić, aby dostać się do Twojej witryny. Dlatego nawet jeśli dobre usługi hostingowe kosztują trochę więcej w kieszeni, weź tę szczyptę, aby upewnić się, że wybierasz zaufaną i renomowaną usługę hostingową.
2. Zmień nazwę użytkownika administratora:
Jeśli wcześniej korzystałeś z WordPressa lub jesteś nowym użytkownikiem, zdałeś sobie sprawę, że WordPress używał nazwy „Admin” jako domyślnej nazwy użytkownika. Większość użytkowników nigdy nie zadaje sobie trudu, aby zmienić tę nazwę użytkownika. Problem polega na tym, że hakerzy mieliby spore szanse na uzyskanie poprawnej nazwy użytkownika, gdy próbowali zaatakować Twoją witrynę brutalną siłą. Nie należy używać nazwy „Admin” jako nazwy użytkownika WordPress. Obecnie WordPress nadal pozwala użytkownikom ustawić swoją nazwę użytkownika od samego początku, zamiast podawać im nazwę użytkownika „Admin”. Jeśli jednak masz wcześniej zainstalowaną witrynę WordPress, sprawdź swoją nazwę użytkownika i zmień ją, jeśli nadal jest ustawiona na „Administrator”. Jeśli tak, możesz utworzyć inną nazwę użytkownika administratora dla swojej witryny, przechodząc do Użytkownicy, a następnie Dodaj nową. Tam możesz wpisać swoją unikalną nazwę użytkownika i hasło. Upewnij się, że ustawiłeś jako Administrator, a następnie kliknij przycisk Dodaj nowego użytkownika.
3. Zawsze używaj silnych haseł:
Hasło do Twojej witryny WordPress i usługi hostingowej powinno być zarówno silne, jak i bezpieczne. Aby stworzyć silne hasło, zawsze używaj kombinacji wielkich i różnych małych liter, takich jak alfabety, cyfry, symbole i inne. Jest również idealny do korzystania z oprogramowania do zarządzania hasłami, takiego jak LastPass lub Dashlane, do generowania i przechowywania bezpiecznych haseł.
4. Skorzystaj z konta redaktora lub współtwórcy, aby publikować na swojej stronie internetowej:
To świetny sposób na dodanie bezpieczeństwa do Twojej witryny WordPress. WordPress umożliwia tworzenie kont współtwórców i redaktorów, jeśli musisz uzyskać dostęp do innych użytkowników, aby pisać blogi lub publikować w swojej witrynie, ale nie dajesz im praw administracyjnych. Możesz założyć jedno takie konto dla siebie i publikować na stronie za ich pomocą. Utrudniłoby to hakerom uszkodzenie Twojej witryny. Nawet jeśli zdołają włamać się do profilu współtwórcy lub redaktora, nie będą mieli żadnej kontroli administracyjnej ani uprawnień.
5. Utwardź swój obszar administracyjny:
Musisz skupić się na jak największym zabezpieczeniu obszaru administracyjnego. W tym celu należy zmodyfikować domyślny adres URL używany do logowania administratora w witrynie i ograniczyć liczbę nieudanych prób logowania. Spowoduje to zablokowanie użytkownika, jeśli przekroczy ten limit. Każdy adres URL administratora WordPress wygląda tak: „twojadomena.com/wp-admin”. Podobnie jak użytkownicy mają tendencję do zmiany nazwy użytkownika „Admin”, często nie zawracają sobie głowy zmianą adresów URL administratora. Dałoby to hakerom bezpośredni dostęp do strony logowania w Twoim obszarze administracyjnym, gdzie mogliby spróbować włamać się do Twojej witryny. Aby zmienić adres URL administratora, możesz skorzystać z wtyczek, takich jak WPS Hide Login. Aby ograniczyć liczbę nieudanych prób, możesz również użyć wtyczki Login Lockdown.
6. Zawsze aktualizuj pliki:
Nieaktualne pliki są często pomijane i stanowią poważne zagrożenie dla bezpieczeństwa Twojej witryny. Twoja strona internetowa staje się otwarta na różne hacki i exploity. Dlatego powinieneś zainstalować aktualizacje, gdy tylko zostaną wydane. Wyrób sobie nawyk okresowego przeglądania wtyczek, z których korzystasz. Usuń wtyczki, których już nie potrzebujesz. Utrzymywanie dodatkowych wtyczek, które nie są przydatne, zwiększa większość witryny i daje więcej punktów dostępu hakerom.
7. Skorzystaj z wtyczki do tworzenia kopii zapasowych:
Musisz wyrobić sobie nawyk robienia kopii zapasowych swojej witryny, jeśli jeszcze tego nie zrobiłeś. System kopii zapasowych pomaga przywrócić witrynę, jeśli najgorszy scenariusz witryny zostanie zhakowany. Istnieje wiele niezawodnych i przydatnych wtyczek do tworzenia kopii zapasowych, takich jak UpdraftPlus, których można używać do tworzenia regularnego harmonogramu tworzenia kopii zapasowych witryny. Nie zapomnij przechowywać pliku kopii zapasowej poza siedzibą firmy, aby mieć pewność, że pliki nie zostaną zainfekowane.
8. Skorzystaj z 2FA:
Użyj wtyczki Google Authenticator, aby skonfigurować konfigurację 2FA (uwierzytelnianie dwuskładnikowe) w celu ochrony witryny. Oznacza to, że oprócz używania danych logowania do logowania, musisz również wprowadzić wygenerowany przez aplikację mobilną kod do logowania się na swojej stronie. To przynajmniej zatrzymałoby ataki metodą prób i błędów na Twoją witrynę. Dlatego może to być użyteczna taktyka. 2FA jest dostępna jako darmowa funkcja w jednej z najlepszych wtyczek bezpieczeństwa do WordPressa, Wordfence (sami używamy go w Web Design Dev).
9. Użyj SSL i HTTPS:
Jeśli przeglądasz Internet lub jesteś otoczony przez osoby znające się na Internecie, słyszałeś o ludziach podkreślających potrzebę posiadania protokołu HTTPS i certyfikatów bezpieczeństwa SSL w Twojej witrynie. HTTPS to skrót od Hypertext Transfer Protocol Secure. SSL oznacza Secure Socket Layers.
Protokół HTTPS umożliwia przeglądarce odwiedzającego zabezpieczenie chronionego połączenia z serwerem hostingowym, co zapewnia bezpieczne połączenie z Twoją witryną. Ten protokół HTTPS jest zabezpieczony przez SSL. W związku z tym SSL i HTTP pomagają zapewnić, że wszystkie informacje wymieniane między przeglądarką odwiedzającego a Twoją witryną są szyfrowane. Korzystanie z obu tych funkcji w Twojej witrynie nie tylko pomoże zwiększyć bezpieczeństwo i znacznie poprawi pozycję Twojej witryny w wyszukiwarkach. To z kolei wzbudziłoby zaufanie użytkowników i poprawiłoby również współczynniki konwersji.
10. Skorzystaj z nagłówków bezpieczeństwa:
Innym skutecznym sposobem na dodanie zabezpieczeń do witryny WordPress jest zaimplementowanie nagłówków bezpieczeństwa. Te nagłówki bezpieczeństwa są ustawiane na poziomie serwera, aby zapobiegać atakom hakerskim i zmniejszać liczbę luk w zabezpieczeniach. Możesz zainstalować te wtyczki bezpieczeństwa ręcznie, dodając kody, lub użyć wtyczki, takiej jak Security Headers, aby dodać ją automatycznie.
11. Wyloguj się z nieaktywnych użytkowników:
Jeśli masz wiele loginów do swojej witryny, z których nie korzystasz często, ale nie wylogowujesz się, zmień ten nawyk. Jeśli którykolwiek z Twoich identyfikatorów użytkownika jest przez większość czasu bezczynny, wyloguj się z tych kont po okresie braku aktywności. Możesz również użyć do tego wtyczki, na przykład Inactive Logout, aby z łatwością zakończyć wszystkie nieaktywne sesje. Jest to ważne, ponieważ jeśli zalogujesz się do swojej witryny w celu dodania nowego posta na blogu i rozproszy Cię jakieś inne zadanie poboczne, Twoja sesja może zostać łatwo przechwycona, a hakerzy mogą wykorzystać to okno do zainfekowania Twojej witryny.
12. Zablokuj hotlinkowanie:
Hotlinking to kradzież czyjejś przepustowości poprzez bezpośrednie łącze do zasobów witryny, takich jak filmy lub obrazy. Załóżmy, że znalazłeś zdjęcie online i masz ochotę udostępnić je w swojej witrynie. W tym celu powinieneś najpierw mieć pozwolenie lub zapłacić premię za ten obraz. W przeciwnym razie istnieje duże prawdopodobieństwo, że będzie to niezgodne z prawem. Jeśli jednak uda Ci się uzyskać pozwolenie, możesz użyć adresu URL obrazu i użyć go do umieszczenia zdjęcia w swoim poście. Jest to problematyczne, ponieważ ten obraz byłby wyświetlany w Twojej witrynie, ale byłby przechowywany na serwerze innej witryny.
Jest to kłopotliwe, ponieważ nie będziesz mieć żadnej kontroli nad tym, czy obraz pozostaje na serwerze, czy nie. I ludzie mogą to zrobić również w Twojej witrynie. Jeśli naprawdę chcesz zabezpieczyć swoją witrynę WordPress, hotlinking doprowadzi do zmniejszenia prędkości ładowania i potencjalnie wyższych kosztów serwera. Możesz użyć wbudowanych narzędzi wtyczki „Wszystko w jednym WP Security and Firewall” do blokowania i łączenia na gorąco.
13. Dodaj pytanie bezpieczeństwa logowania:
Czasami trzymanie się podstaw również znacznie pomaga. Posiadanie uwierzytelniania dwuskładnikowego i dodatkowe pytanie zabezpieczające, na które użytkownik musi odpowiedzieć przed zalogowaniem się do Twojej witryny, utrudniłoby hakerom dostęp do Twojej witryny i byłoby bardziej irytujące. Pytania bezpieczeństwa mogą również dotyczyć instytucji finansowych, platform e-mail lub witryn członkowskich. Pytanie zabezpieczające zasadniczo działa jako drugie hasło do Twojej witryny. Idealne pytanie zabezpieczające byłoby pytaniem, na które tylko Ty znasz odpowiedź. Utrudnianie rzeczy miałoby sens, gdyby odpowiedź nie była nawet związana z pytaniem. Oczywiście musisz być na tyle sprytny, aby sam zapamiętać odpowiedź. Ta podstawowa sztuczka może pomóc chronić Twoją witrynę WordPress za pomocą wielu fałd.
14. Upewnij się, że korzystasz z najnowszej wersji PHP:
Bycie na bieżąco z najnowszymi wersjami PHP nie wymaga myślenia, jeśli chodzi o bezpieczeństwo w sieci. Jednak zdziwiłbyś się statystykami. Tylko 3,6 proc. użytkowników WordPressa prowadzi swoją stronę internetową na najnowszej wersji PHP – 7,2. Ponad 12 procent witryn WordPress nadal działa w wersji 5.4, która nie jest nawet obsługiwana.
Niekorzystanie z najnowszej wersji PHP oznacza, że w nowej wersji wykryto i naprawiono pewne luki w zabezpieczeniach. Jednak nie byłyby dostępne w Twojej witrynie. A ponieważ błędy i poprawki są otwarcie wymieniane na każdej liście dziennika zmian aktualizacji wersji PHP, hakerzy z łatwością poznają luki, które pozwolą dostać się do Twojej witryny.
15. Wyłącz przeglądanie katalogów:
Osoby, które atakują witryny WordPress, mogą wykorzystać przeglądanie katalogów w celu znalezienia wtyczek lub motywów, które mają luki w Twojej witrynie. Te wady mogą zostać wykorzystane do włamania się do Twojej witryny. Mogą uzyskać dostęp do Twojej witryny i wstrzyknąć do niej złośliwe skrypty, reklamy i niechciane linki. Mogą również przeglądać Twoje pliki, znajdować strukturę katalogów, kopiować obrazy i uzyskiwać dostęp do innych informacji. Dlatego najlepiej jest wyłączyć opcję indeksowania i przeglądania katalogów. Aby to wykonać, musisz uzyskać dostęp do witryny WordPress za pośrednictwem klienta FTP i edytować plik „.htaccess” w katalogu głównym witryny i dodać następujący wiersz na dole – Opcje – Indeksy.
Oto 15 sposobów na zwiększenie bezpieczeństwa witryny WordPress. Upewnij się, że przestrzegasz wszystkich tych instrukcji i wskazówek oraz włączasz je w swojej witrynie, aby zapewnić maksymalną ochronę i bezpieczeństwo. Wszystkie powyższe metody dodają warstwę ochrony do Twojej witryny WordPress, co utrudnia hakerom uzyskanie tego, czego chcą. Te wytyczne są doskonałym miejscem do rozpoczęcia ochrony treści witryny i poufnych informacji. Pomogłoby to również wzmocnić Twoją obecność w Internecie, ponieważ im bezpieczniejsza jest strona internetowa, tym bezpieczniejsza jest również dla odwiedzających ją osób. Doceniają to zarówno odwiedzający, jak i wyszukiwarki, co daje Ci wiarygodność na rynku.