Jak chronić swoją witrynę WordPress [Jedyny przewodnik, jakiego będziesz potrzebować]
Opublikowany: 2021-08-05
Użytkownicy WordPressa spędzają dużo czasu na projektowaniu, zawartości i optymalizacji swojej witryny, ale często zapominają o jednym istotnym czynniku: bezpieczeństwie witryny. Chociaż może się to wydawać nudne dla osób, które nie są programistami, zapewnienie bezpieczeństwa WordPressa jest kluczowym elementem prowadzenia firmy.
Dlaczego możesz zapytać?
Zbadajmy razem to pytanie.
Wiele osób lekceważy te informacje, ponieważ nigdy nie mieli do czynienia ze zhakowaną witryną , więc po prostu nie mogą sobie wyobrazić kłopotów, czasu i wysiłku, jakie może spowodować jej rozwiązanie.
Po pierwsze, jeśli prowadzisz biznes online lub przynajmniej zarządzasz częścią swojej firmy za pośrednictwem strony internetowej, atak hakerski nieuchronnie zatrzyma Twój proces pracy. Jeśli posiadasz sklep internetowy, nie będziesz w stanie sprzedawać; jeśli zarezerwujesz spotkania za pośrednictwem swojej strony internetowej, nie będziesz mógł tego zrobić.
W przypadku dużych sklepów internetowych jest to szczególnie złe – nie tylko przez jakiś czas nie będziesz w stanie sprzedawać, ale możesz również stracić zamówienia. Kopie zapasowe witryn są zwykle tworzone raz dziennie, a jeśli zhakujesz się kilka godzin po ich wykonaniu, wszystkie zamówienia złożone w międzyczasie zostaną utracone.
Jeśli Twoja witryna działa, możliwe, że nadal doszło do włamania – na przykład linki mogą zostać wstrzyknięte do kodu i prowadzić do innych witryn.
Jeśli zarabiasz na swojej witrynie za pomocą reklam, możesz zastąpić swoje reklamy cudzymi reklamami (a tym samym wyświetlać reklamy, z których nie uzyskasz żadnych przychodów).
Istnieje wiele przypadków, w których Twoja witryna może zostać naruszona, a uświadomienie sobie tego zajmie Ci kilka dni, jeśli nie tygodni. W scenariuszu z wstrzyknięciem linków spamowych może to wpłynąć na SEO (ponieważ Google zdecydowanie nie lubi linków spamerskich). W rezultacie Twoje rankingi Google mogą ucierpieć, a naprawa tego rodzaju szkód może zająć dużo czasu.
Jest też kwestia zaufania klientów; ludzie są naprawdę zaniepokojeni, gdy słyszą, że witryna, z której korzystają, została zhakowana.
Stosowanie certyfikatów SSL zapobiegło najpoważniejszym konsekwencjom, takim jak wyciek numerów kart kredytowych, ale niektóre dane nadal można uzyskać. Użytkownicy mogą powiązać atak hakerski na Twoją witrynę ze słabymi zabezpieczeniami i zdecydować o całkowitym zaprzestaniu korzystania z Twoich usług.
Ogólnie rzecz biorąc, jeśli Twoja witryna zostanie zhakowana, możesz ją naprawić, ale ochrona WordPressa w pierwszej kolejności jest o wiele bezbolesna.
Jeśli atak miał już miejsce, możesz użyć wtyczki do przeskanowania swojej witryny, ale większość dostępnych wtyczek po prostu wskaże, które pliki zostały ostatnio zmodyfikowane, i nadal będziesz musiał wszystko wyczyścić ręcznie.
Innym sposobem na rozwiązanie tego problemu jest przywrócenie kopii zapasowej witryny. Nie jest to jednak naprawa gwarantowana w 100%, zwłaszcza jeśli nie masz pewności, kiedy Twój WordPress został zhakowany (a zatem, która kopia zapasowa jest na pewno czysta).
Możesz również skontaktować się z wyspecjalizowaną agencją, która oferuje usuwanie złośliwego oprogramowania i pomoc techniczną; będą działać stosunkowo szybko i wyczyszczą Twój WordPress za Ciebie, ale oczywiście ma to swoją cenę.
Musisz pamiętać, że nawet jeśli uda ci się naprawić uszkodzenia, ta sytuacja może (i prawdopodobnie się powtórzy) powtórzyć, jeśli nie ustawisz odpowiedniej ochrony.
Najlepszym sposobem na to, aby działać zapobiegawczo i zabezpieczyć swoją witrynę, jest szczegółowe i kompleksowe podejście do ochrony.
Ale co to oznacza?
Jak więc chronić swoją witrynę WordPress ? Jakie praktyczne kroki możesz podjąć? Cieszymy się, że zapytałeś! Czytaj dalej.
Zazwyczaj wybiera się hosting poprzez rekomendację od znajomego, przez agencję budującą stronę internetową lub poprzez badania online.
Niedoświadczeni użytkownicy często szukają najtańszych cen. Podobnie jak w przypadku większości rzeczy w życiu, niezawodny, wysokiej jakości hosting będzie kosztował więcej, a także zaoferuje więcej. Dobrzy dostawcy hostingu oferują wiele funkcji bezpieczeństwa, które mogą oznaczać różnicę między tym, czy masz do czynienia ze zhakowaną witryną, czy nie.
Z drugiej strony tani dostawcy hostingu będą ciąć rogi, kiedy tylko będą mogli, aby pokryć różnicę, i niestety bezpieczeństwo to obszar, który bardzo cierpi.
Pozwól, że przedstawimy Ci przykład niektórych funkcji, które udostępniamy naszym klientom. Oprócz klasycznych opcji, takich jak ochrona przed atakami DDoS, certyfikaty SSL i zapory aplikacji internetowych, mamy kilka, które podniosą poziom bezpieczeństwa Twojej witryny.
Jednym z nich jest Patchman, aplikacja, która może być niezwykle przydatna dla użytkowników, którzy nie aktualizują automatycznie swojego WordPressa. Patchman skanuje twoją instalację i naprawia wszelkie znane luki w głównych plikach WordPressa i wielu popularnych wtyczkach. Zamiast automatycznie aktualizować oprogramowanie w celu naprawienia luki, która może powodować problemy z zależnościami, które mogą łamać witrynę, Patchman stosuje poprawkę bezpieczeństwa do aktualnie zainstalowanej wersji.
Możesz mieć całkowitą pewność, że zastosowane poprawki zostaną wykonane bezpiecznie i bez uszkodzenia Twojej witryny.
Jeśli wybierasz hosting współdzielony, wybór wydajnego i bezpiecznego hostingu jest koniecznością. Wiele firm oferuje również hosting WordPress, który jest specjalnie skonfigurowany dla WordPressa, a Twoja witryna zazwyczaj działa na nim znacznie lepiej.
Jeśli masz witrynę o dużym wolumenie i zdecydujesz się na aktualizację swojego konta hostingowego, wybierz w pełni zarządzany serwer dedykowany, który zagwarantuje wyższy poziom bezpieczeństwa, w przeciwieństwie do tańszego (niezarządzanego) odpowiednika.
Podsumowując, wykonaj dokładne badania dotyczące hostingu i nie pozwól, aby cena kierowała Cię przy wyborze.
Powodem tego są luki wykryte przez hakerów. Jeśli chcesz przeczytać więcej na ten temat, polecamy ten artykuł, ale podsumowując, luki w zabezpieczeniach to „dziury” w kodzie aplikacji, z której korzystasz. Hakerzy znajdują i wykorzystują luki w zabezpieczeniach, a programiści starają się je szybko naprawić.
Podobnie jak inne aplikacje CMS, WordPress przechodzi cykle aktualizacji, w których dodawane są nowe funkcje, a programiści pracują nad naprawą wszelkich znanych luk w zabezpieczeniach. Każdego roku pojawiają się zazwyczaj 1-3 główne aktualizacje i wiele pomniejszych, z których wszystkie mają kluczowe znaczenie dla bezpieczeństwa, ponieważ prawie zawsze zawierają łatki bezpieczeństwa.
Ale poczekaj - jeśli masz coś takiego jak Patchman, dlaczego nadal musisz aktualizować?
Patchman obejmuje podstawowe pliki WordPress i niektóre z najpopularniejszych wtyczek, ale wiele wtyczek nie jest łatanych za pośrednictwem aplikacji. Oznacza to, że wszystkie te wtyczki, jeśli pozostaną nieaktualne, z łatwością staną się punktem wejścia dla hakerów do robienia tego, co chcą w Twojej witrynie.
Aktualizowanie WordPressa jest dość łatwe.
Przede wszystkim wszystkie wersje po 5.6 (wydane w grudniu 2020 r.) mają włączone automatyczne aktualizacje, co oznacza, że nie musisz nic robić. Jeśli z jakiegoś powodu tak nie jest (powiedzmy, że programista je wyłączył), istnieje kilka sposobów włączenia automatycznych aktualizacji.
Jednym z nich jest Softaculous, aplikacja często używana przez użytkowników cPanel do instalowania WordPressa na swoich serwerach. Menedżer WordPress firmy Softaculous umożliwia konfigurowanie automatycznych aktualizacji; możesz wybrać automatyczne uaktualnianie tylko drobnych aktualizacji lub również głównych.
Możesz dodatkowo zdecydować się na automatyczną aktualizację wtyczek i motywów. Co najlepsze, przed każdą automatyczną aktualizacją zostanie wykonana kopia zapasowa, na wypadek gdyby zaistniała potrzeba cofnięcia.
Inną opcją, jeśli jesteś biegły w modyfikowaniu kodu, jest użycie natywnej konfiguracji automatycznych aktualizacji WordPressa - dowiedz się więcej na ten temat bezpośrednio w KB WordPressa.
Wiele osób używa nazwy użytkownika „admin”, ponieważ pojawia się ona domyślnie podczas korzystania z aplikacji, takiej jak Softaculous, do instalacji WordPressa.
Nie używaj domyślnej nazwy użytkownika , co ułatwia hakerom — wybierz inną nazwę użytkownika, np. adres e-mail. Jeśli otrzymałeś już utworzonego użytkownika o tej nazwie użytkownika, utwórz nowego administratora i usuń istniejącego.
To samo dotyczy twojego hasła; im jest silniejszy, tym lepiej. Wybierz długie hasło zawierające cyfry i znaki specjalne lub, jeszcze lepiej, wygeneruj losowe hasło.
Jeśli obawiasz się, że zapomnisz hasła, spróbuj wymyślić system, który pomoże Ci je zapamiętać. Niektórzy lubią używać statycznej kombinacji znaków + nazwa strony jako wyróżnikiem (Jack1990Apple!), inni wybierają hasła asocjacyjne.
Oczywiście możesz po prostu zapisać swoje dane logowania i nie martwić się, czy je zapamiętasz. Nie używaj jednak przeglądarki do przechowywania danych logowania! Jest to dość niebezpieczna (i powszechnie używana) opcja.
Jeśli chcesz przechowywać swoje dane logowania, aby nie trzeba było ich wpisywać za każdym razem, użyj menedżera haseł, takiego jak Lastpass - mają darmowy plan, a Twoje dane logowania będą tak bezpieczne, jak to tylko możliwe. Z menedżerem haseł musisz zapamiętać tylko 1 hasło (główne), a także przechowywać dane karty kredytowej.
Klienci korzystający z usługi hostingu współdzielonego Kualo są również automatycznie chronieni przed atakami typu brute force na logowanie — przy czym próby brute force są ograniczane i blokowane.
Oznacza to, że nawet jeśli hakerzy znają Twoje dokładne dane logowania, nadal nie będą mogli się zalogować bez dodatkowego uwierzytelnienia.
Możesz zainstalować wtyczkę, taką jak WP 2FA i zmusić innych użytkowników Twojej witryny do korzystania z niej (zwłaszcza jeśli mają uprawnienia administratora lub redaktora). Pamiętaj, aby zawsze pobierać kody zapasowe i przechowywać je w bezpiecznej lokalizacji na wypadek utraty dostępu do telefonu.
Tak czy inaczej, jeśli zostawisz to w ten sposób, znacznie ułatwisz hakerom zidentyfikowanie wejścia do twojego zaplecza i rozpoczęcie brutalnego ataku.
Zmień adres URL (slug) na swoją stronę logowania za pomocą wtyczki, takiej jak ThemeMyLogin lub poszukaj wtyczki bezpieczeństwa, która będzie zawierała wiele wymienionych przez nas funkcji (2FA, ograniczenie prób logowania itp.).
Istnieje również doskonały artykuł autorstwa WPBeginner na temat ręcznej zmiany adresu URL logowania, ale jeśli nie czujesz się komfortowo w zarządzaniu kodem, najlepiej tam nie wchodzić.
Z drugiej strony, każda instalowana wtyczka to kolejny fragment kodu, którym należy się zająć (tj. zaktualizować). Mnogość wtyczek zwiększa również ryzyko niezgodności — dzieje się tak, gdy dwie lub więcej wtyczek nie może ze sobą współpracować — dlatego należy unikać instalowania wtyczek, bez których można się obejść.
Niektóre z najlepszych wtyczek bezpieczeństwa będą łączyć kilka funkcji, jak wspomniano powyżej, zmniejszając w ten sposób liczbę wtyczek, które będziesz musiał zainstalować, aby wykonać wszystkie rzeczy, o których mówimy. Oto kilka świetnych przykładów:
Jeśli w Twojej witrynie pracuje wielu użytkowników z uprawnieniami administratora, jest to doskonały sposób na rejestrowanie tego, co się dzieje.
Z punktu widzenia bezpieczeństwa może pokazywać różne informacje, które mogą być bardzo przydatne - od nieudanych prób logowania po zmiany w plikach i ustawieniach witryny WordPress. Jeśli jesteś kimś, kto lubi samodzielnie konserwować witrynę, ta funkcja jest koniecznością.
Świetną (i bezpłatną) opcją jest dziennik aktywności WP, wtyczka, która istnieje od lat i jest również znana zarówno ze szczegółowego dziennika, jak i prostoty interfejsu.
Kiedyś SSL był wymagany dla stron internetowych, które musiały być bezpieczne dla określonych transakcji, takich jak płatności. W dzisiejszych czasach nie ma jednak znaczenia, czy przetwarzasz płatności na swojej stronie, czy nie. SSL jest obowiązkowy dla każdej strony internetowej, która przetwarza poufne informacje, takie jak hasła, nazwy, adresy itp.
Poza sceną mechanika tego jest następująca: bez SSL w Twojej witrynie, wszystkie dane przesyłane między przeglądarką użytkownika a serwerem sieciowym są dostarczane w postaci zwykłego tekstu, który hakerzy mogą przeczytać.
Po zainstalowaniu protokołu SSL poufne informacje są szyfrowane przed przesłaniem między dwiema stronami — przeglądarką internetową użytkownika i serwerem, co chroni je przed osobami trzecimi o złośliwych zamiarach.
Google już jakiś czas temu dostrzegło wagę certyfikatu SSL i zaczęło wyświetlać na najwyższych pozycjach witryny, które mogą oferować szyfrowany transfer informacji.
Ponadto w 2018 r. Google ostrzegł wszystkich właścicieli witryn, że każda witryna, która nie ma aktywnego SSL, będzie wyświetlana jako „Niezabezpieczona” w adresie URL. To sprawia, że certyfikat SSL jest absolutną koniecznością; dobrą wiadomością jest to, że dość łatwo go uzyskać, a co więcej, w niektórych firmach hostingowych (w tym Kualo!) SSL jest dołączony bezpłatnie.
Wiele razy, podczas instalowania nowego motywu/wtyczki lub aktywnej pracy w witrynie, coś może się zepsuć, więc posiadanie kopii zapasowej jest bez wątpienia koniecznością.
Podczas gdy większość niezawodnych dostawców hostingu ma ustawione dla Ciebie codzienne kopie zapasowe, nie jest złym pomysłem, aby nauczyć się robić je ręcznie lub użyć wtyczki do tworzenia kopii zapasowych, takiej jak UpdraftPlus lub BackupBuddy. Oba mają możliwość przesyłania kopii zapasowych witryny do usług w chmurze, takich jak Amazon, lub eksportowania ich lokalnie.
Możesz także skorzystać z funkcji Softaculous Backup, która jest łatwo dostępna w twoim cPanel. Dobrą wiadomością jest to, że oferuje maksymalną prostotę i jest dostępna bez dodatkowych opłat. Zła wiadomość jest taka, że w przeciwieństwie do swoich odpowiedników, będzie ładował kopie zapasowe na twoje konto hostingowe, więc będzie zajmował miejsce na dysku i jest również przechowywany w tym samym miejscu, co sama strona internetowa. Jeśli coś miało się stać z Twoim kontem (powiedzmy, że przypadkowo skasujesz pliki lub ręczna ingerencja hakera), Twoja kopia zapasowa również może zostać naruszona.
Pamiętaj, aby zawsze tworzyć kopię zapasową, jeśli planujesz pracować na swoim WordPressie i nie masz pewności co do efektu końcowego!
Jeśli prowadzisz witrynę eCommerce o dużym natężeniu ruchu, godzinowe kopie zapasowe mogą być dla Ciebie najlepszym wyborem. Jak wspomniano wcześniej, serwisy generujące dużo zamówień mogą ponieść znaczne straty w przypadku konieczności przywrócenia kopii zapasowej wykonanej kilka godzin wcześniej.
Możesz to zrobić, dodając fragment kodu do pliku wp-config.php:
Możesz to zrobić, otwierając edytor tekstu, taki jak Notatnik, i wklej ten kod:
<Pliki *.php>
Odmowa od wszystkich
</Pliki>
Zapisz ten plik jako .htaccess i prześlij go do folderów /wp-content/uploads/ w swojej witrynie za pomocą klienta FTP lub za pomocą Menedżera plików w cPanel.
Na przykład, jeśli haker chciałby wypróbować 1000 różnych haseł na twoich stronach internetowych, musiałby wykonać 1000 oddzielnych prób logowania, które zostaną przechwycone przez wtyczkę bezpieczeństwa lub zaporę sieciową. Jeśli jednak włączysz XML-RPC, haker może użyć funkcji system.multicall i wypróbować 1000 różnych haseł z 30-60 żądaniami.
Dlatego zdecydowanie zalecamy jego wyłączenie, a możesz to zrobić, po prostu dodając kod w pliku .htaccess:
W linii 5 powinieneś wstawić swój własny adres IP, jeśli jest to jedyny, z którego chcesz zachować XML-RPC (w przeciwnym razie po prostu go usuń).
Uwaga: jeśli jesteś jednym z naszych użytkowników, nie musisz wykonywać tego kroku, ponieważ Twój XMLRPC będzie chroniony przez funkcję Brute Force Protection LiteSpeed.
Świetnym sposobem radzenia sobie z tym jest uniemożliwienie obraźliwym botom uzyskania dostępu do Twojego WordPressa. Wstaw następujący kod do pliku .htaccess.
Daj każdemu z użytkowników swojej witryny możliwie najmniejszy dostęp. Jeśli masz na przykład autora treści, nie jest konieczne udostępnianie mu konta administratora - użytkownik edytora poradzi sobie z tym. Nie udostępniaj swojego konta, chyba że jest to absolutnie konieczne, a jeśli to zrobisz - zmień hasło, gdy tylko osoba, której je przekazałeś, przestanie go potrzebować.
Nie udostępniaj również swoich danych hostingowych, chyba że jest to absolutnie konieczne.
Nie używaj pustych (nielegalnie pobranych) motywów WordPress i wtyczek
W pewnym momencie może pojawić się pokusa, aby zaoszczędzić trochę pieniędzy i pobrać nielicencjonowaną wtyczkę lub motyw. W takim przypadku zapłacisz w inny sposób - najprawdopodobniej pozycjonując backdoora do Twojego WordPressa. Hakerzy często ukrywają spamerskie linki lub złośliwy kod w nielicencjonowanych elementach i oferują je do bezpłatnego pobrania.
Unikaj ich za wszelką cenę, a jeśli zlecasz stronę internetową lub funkcjonalność, upewnij się, że potwierdzisz u programisty, że wszystko jest odpowiednio licencjonowane.
Czy uważasz, że któraś z oferowanych porad jest trudna do przestrzegania? Czy przegapiliśmy coś ważnego? Napisz do nas w komentarzach, chętnie poznamy Twoje przemyślenia!
Lub jeśli jesteś gotowy, aby przejść na super bezpieczny hosting WordPress w Kualo, sprawdź nasze plany tutaj.
Dlaczego możesz zapytać?
Zbadajmy razem to pytanie.
Dlaczego ochrona WordPressa jest ważna?
Podobnie jak inne rzeczy w życiu związane z bezpieczeństwem, bezpieczeństwo witryny jest złem koniecznym. Zwykle, gdy zlecisz deweloperowi lub agencji stworzenie dla Ciebie strony internetowej, pojawi się temat bezpieczeństwa. Eksperci wiedzą z pierwszej ręki, jak często dochodzi do ataków na strony internetowe – zwłaszcza strony WordPress ze względu na popularność platformy. Zazwyczaj doradzają, jak chronić witrynę na różne sposoby i mogą zalecić kilka dobrze znanych praktyk bezpieczeństwa.Wiele osób lekceważy te informacje, ponieważ nigdy nie mieli do czynienia ze zhakowaną witryną , więc po prostu nie mogą sobie wyobrazić kłopotów, czasu i wysiłku, jakie może spowodować jej rozwiązanie.
Po pierwsze, jeśli prowadzisz biznes online lub przynajmniej zarządzasz częścią swojej firmy za pośrednictwem strony internetowej, atak hakerski nieuchronnie zatrzyma Twój proces pracy. Jeśli posiadasz sklep internetowy, nie będziesz w stanie sprzedawać; jeśli zarezerwujesz spotkania za pośrednictwem swojej strony internetowej, nie będziesz mógł tego zrobić.
W przypadku dużych sklepów internetowych jest to szczególnie złe – nie tylko przez jakiś czas nie będziesz w stanie sprzedawać, ale możesz również stracić zamówienia. Kopie zapasowe witryn są zwykle tworzone raz dziennie, a jeśli zhakujesz się kilka godzin po ich wykonaniu, wszystkie zamówienia złożone w międzyczasie zostaną utracone.
Jeśli Twoja witryna działa, możliwe, że nadal doszło do włamania – na przykład linki mogą zostać wstrzyknięte do kodu i prowadzić do innych witryn.
Jeśli zarabiasz na swojej witrynie za pomocą reklam, możesz zastąpić swoje reklamy cudzymi reklamami (a tym samym wyświetlać reklamy, z których nie uzyskasz żadnych przychodów).
Istnieje wiele przypadków, w których Twoja witryna może zostać naruszona, a uświadomienie sobie tego zajmie Ci kilka dni, jeśli nie tygodni. W scenariuszu z wstrzyknięciem linków spamowych może to wpłynąć na SEO (ponieważ Google zdecydowanie nie lubi linków spamerskich). W rezultacie Twoje rankingi Google mogą ucierpieć, a naprawa tego rodzaju szkód może zająć dużo czasu.
Jest też kwestia zaufania klientów; ludzie są naprawdę zaniepokojeni, gdy słyszą, że witryna, z której korzystają, została zhakowana.
Stosowanie certyfikatów SSL zapobiegło najpoważniejszym konsekwencjom, takim jak wyciek numerów kart kredytowych, ale niektóre dane nadal można uzyskać. Użytkownicy mogą powiązać atak hakerski na Twoją witrynę ze słabymi zabezpieczeniami i zdecydować o całkowitym zaprzestaniu korzystania z Twoich usług.
Ogólnie rzecz biorąc, jeśli Twoja witryna zostanie zhakowana, możesz ją naprawić, ale ochrona WordPressa w pierwszej kolejności jest o wiele bezbolesna.
Czy możesz naprawić zhakowanego WordPressa?
Jeśli nie znasz tego procesu, naprawienie zhakowanej witryny WordPress może być dość trudne. Usuwanie zainfekowanego kodu wymaga specyficznej wiedzy. W przeciwieństwie do wielu innych problemów technicznych, Google trudno byłoby szybko naprawić ze względu na różny charakter ataków hakerskich.Jeśli atak miał już miejsce, możesz użyć wtyczki do przeskanowania swojej witryny, ale większość dostępnych wtyczek po prostu wskaże, które pliki zostały ostatnio zmodyfikowane, i nadal będziesz musiał wszystko wyczyścić ręcznie.
Innym sposobem na rozwiązanie tego problemu jest przywrócenie kopii zapasowej witryny. Nie jest to jednak naprawa gwarantowana w 100%, zwłaszcza jeśli nie masz pewności, kiedy Twój WordPress został zhakowany (a zatem, która kopia zapasowa jest na pewno czysta).
Możesz również skontaktować się z wyspecjalizowaną agencją, która oferuje usuwanie złośliwego oprogramowania i pomoc techniczną; będą działać stosunkowo szybko i wyczyszczą Twój WordPress za Ciebie, ale oczywiście ma to swoją cenę.
Musisz pamiętać, że nawet jeśli uda ci się naprawić uszkodzenia, ta sytuacja może (i prawdopodobnie się powtórzy) powtórzyć, jeśli nie ustawisz odpowiedniej ochrony.
Najlepszym sposobem na to, aby działać zapobiegawczo i zabezpieczyć swoją witrynę, jest szczegółowe i kompleksowe podejście do ochrony.
Ale co to oznacza?
Jak więc chronić swoją witrynę WordPress ? Jakie praktyczne kroki możesz podjąć? Cieszymy się, że zapytałeś! Czytaj dalej.
Praktyczne kroki, aby chronić swoją witrynę WordPress
1. Wybierz dobrego dostawcę usług hostingowych
Zanim skupisz się na jakichkolwiek innych krokach bezpieczeństwa, wybór solidnych podstaw dla Twojej witryny ma kluczowe znaczenie. Współpraca z dobrym dostawcą usług hostingowych, który może zaoferować wiele warstw zabezpieczeń, to najprostszy sposób ochrony witryny przed przyszłymi cyberatakami. Wybór dostawcy usług hostingowych rzadko jest czymś, co ludzie skrupulatnie planują, zwłaszcza jeśli od lat nie prowadzą działalności online.Zazwyczaj wybiera się hosting poprzez rekomendację od znajomego, przez agencję budującą stronę internetową lub poprzez badania online.
Niedoświadczeni użytkownicy często szukają najtańszych cen. Podobnie jak w przypadku większości rzeczy w życiu, niezawodny, wysokiej jakości hosting będzie kosztował więcej, a także zaoferuje więcej. Dobrzy dostawcy hostingu oferują wiele funkcji bezpieczeństwa, które mogą oznaczać różnicę między tym, czy masz do czynienia ze zhakowaną witryną, czy nie.
Z drugiej strony tani dostawcy hostingu będą ciąć rogi, kiedy tylko będą mogli, aby pokryć różnicę, i niestety bezpieczeństwo to obszar, który bardzo cierpi.
Pozwól, że przedstawimy Ci przykład niektórych funkcji, które udostępniamy naszym klientom. Oprócz klasycznych opcji, takich jak ochrona przed atakami DDoS, certyfikaty SSL i zapory aplikacji internetowych, mamy kilka, które podniosą poziom bezpieczeństwa Twojej witryny.
Jednym z nich jest Patchman, aplikacja, która może być niezwykle przydatna dla użytkowników, którzy nie aktualizują automatycznie swojego WordPressa. Patchman skanuje twoją instalację i naprawia wszelkie znane luki w głównych plikach WordPressa i wielu popularnych wtyczkach. Zamiast automatycznie aktualizować oprogramowanie w celu naprawienia luki, która może powodować problemy z zależnościami, które mogą łamać witrynę, Patchman stosuje poprawkę bezpieczeństwa do aktualnie zainstalowanej wersji.
Możesz mieć całkowitą pewność, że zastosowane poprawki zostaną wykonane bezpiecznie i bez uszkodzenia Twojej witryny.
Jeśli wybierasz hosting współdzielony, wybór wydajnego i bezpiecznego hostingu jest koniecznością. Wiele firm oferuje również hosting WordPress, który jest specjalnie skonfigurowany dla WordPressa, a Twoja witryna zazwyczaj działa na nim znacznie lepiej.
Jeśli masz witrynę o dużym wolumenie i zdecydujesz się na aktualizację swojego konta hostingowego, wybierz w pełni zarządzany serwer dedykowany, który zagwarantuje wyższy poziom bezpieczeństwa, w przeciwieństwie do tańszego (niezarządzanego) odpowiednika.
Podsumowując, wykonaj dokładne badania dotyczące hostingu i nie pozwól, aby cena kierowała Cię przy wyborze.
2. Aktualizuj swój WordPress
To prawdopodobnie pierwsza rada, jaką usłyszysz od swojego web developera – aktualizuj wszystko! Wielu właścicieli WordPressa z reguły lekceważy to, świadomie lub nie, i staje się celem złośliwych ataków.Powodem tego są luki wykryte przez hakerów. Jeśli chcesz przeczytać więcej na ten temat, polecamy ten artykuł, ale podsumowując, luki w zabezpieczeniach to „dziury” w kodzie aplikacji, z której korzystasz. Hakerzy znajdują i wykorzystują luki w zabezpieczeniach, a programiści starają się je szybko naprawić.
Podobnie jak inne aplikacje CMS, WordPress przechodzi cykle aktualizacji, w których dodawane są nowe funkcje, a programiści pracują nad naprawą wszelkich znanych luk w zabezpieczeniach. Każdego roku pojawiają się zazwyczaj 1-3 główne aktualizacje i wiele pomniejszych, z których wszystkie mają kluczowe znaczenie dla bezpieczeństwa, ponieważ prawie zawsze zawierają łatki bezpieczeństwa.
Ale poczekaj - jeśli masz coś takiego jak Patchman, dlaczego nadal musisz aktualizować?
Patchman obejmuje podstawowe pliki WordPress i niektóre z najpopularniejszych wtyczek, ale wiele wtyczek nie jest łatanych za pośrednictwem aplikacji. Oznacza to, że wszystkie te wtyczki, jeśli pozostaną nieaktualne, z łatwością staną się punktem wejścia dla hakerów do robienia tego, co chcą w Twojej witrynie.
Aktualizowanie WordPressa jest dość łatwe.
Przede wszystkim wszystkie wersje po 5.6 (wydane w grudniu 2020 r.) mają włączone automatyczne aktualizacje, co oznacza, że nie musisz nic robić. Jeśli z jakiegoś powodu tak nie jest (powiedzmy, że programista je wyłączył), istnieje kilka sposobów włączenia automatycznych aktualizacji.
Jednym z nich jest Softaculous, aplikacja często używana przez użytkowników cPanel do instalowania WordPressa na swoich serwerach. Menedżer WordPress firmy Softaculous umożliwia konfigurowanie automatycznych aktualizacji; możesz wybrać automatyczne uaktualnianie tylko drobnych aktualizacji lub również głównych.
Możesz dodatkowo zdecydować się na automatyczną aktualizację wtyczek i motywów. Co najlepsze, przed każdą automatyczną aktualizacją zostanie wykonana kopia zapasowa, na wypadek gdyby zaistniała potrzeba cofnięcia.
Inną opcją, jeśli jesteś biegły w modyfikowaniu kodu, jest użycie natywnej konfiguracji automatycznych aktualizacji WordPressa - dowiedz się więcej na ten temat bezpośrednio w KB WordPressa.
3. Wybierz silną nazwę użytkownika i hasło
Najczęstsze próby włamań do WordPressa obejmują wykorzystanie skradzionych danych logowania. Mówimy o tak zwanym ataku Brute Force – skutecznym i prostym rodzaju cyberataków, w których hakerzy pozwalają komputerowi wypróbowywać różne kombinacje nazw użytkowników i haseł, dopóki nie znajdą właściwych.Wiele osób używa nazwy użytkownika „admin”, ponieważ pojawia się ona domyślnie podczas korzystania z aplikacji, takiej jak Softaculous, do instalacji WordPressa.
Nie używaj domyślnej nazwy użytkownika , co ułatwia hakerom — wybierz inną nazwę użytkownika, np. adres e-mail. Jeśli otrzymałeś już utworzonego użytkownika o tej nazwie użytkownika, utwórz nowego administratora i usuń istniejącego.
To samo dotyczy twojego hasła; im jest silniejszy, tym lepiej. Wybierz długie hasło zawierające cyfry i znaki specjalne lub, jeszcze lepiej, wygeneruj losowe hasło.
Jeśli obawiasz się, że zapomnisz hasła, spróbuj wymyślić system, który pomoże Ci je zapamiętać. Niektórzy lubią używać statycznej kombinacji znaków + nazwa strony jako wyróżnikiem (Jack1990Apple!), inni wybierają hasła asocjacyjne.
Oczywiście możesz po prostu zapisać swoje dane logowania i nie martwić się, czy je zapamiętasz. Nie używaj jednak przeglądarki do przechowywania danych logowania! Jest to dość niebezpieczna (i powszechnie używana) opcja.
Jeśli chcesz przechowywać swoje dane logowania, aby nie trzeba było ich wpisywać za każdym razem, użyj menedżera haseł, takiego jak Lastpass - mają darmowy plan, a Twoje dane logowania będą tak bezpieczne, jak to tylko możliwe. Z menedżerem haseł musisz zapamiętać tylko 1 hasło (główne), a także przechowywać dane karty kredytowej.
4. Ogranicz próby logowania
Innym sposobem zapobiegania atakom typu brute force (znowu będą próbowali włamać się, odgadując Twoje dane) jest po prostu ograniczenie liczby prób logowania. Na szczęście jest to dość łatwe do zrobienia; po prostu zainstaluj wtyczkę, taką jak Loginizer lub, jeśli używasz wtyczki zabezpieczającej, sprawdź, czy nie oferuje takiej funkcji.Klienci korzystający z usługi hostingu współdzielonego Kualo są również automatycznie chronieni przed atakami typu brute force na logowanie — przy czym próby brute force są ograniczane i blokowane.
5. Użyj 2FA (uwierzytelnianie dwuskładnikowe)
W ciągu ostatnich kilku lat uwierzytelnianie dwuetapowe stało się w pewnym sensie złotym standardem. W rzeczywistości wiele renomowanych stron internetowych zmusi swoich użytkowników do wdrożenia 2FA na swoim koncie jako jednego z najbardziej niezawodnych sposobów jego ochrony. Działa to tak, że będzie wymagać dodatkowego uwierzytelnienia (zwykle przez telefon) za każdym razem, gdy logujesz się z urządzenia, które nie jest rozpoznawane.Oznacza to, że nawet jeśli hakerzy znają Twoje dokładne dane logowania, nadal nie będą mogli się zalogować bez dodatkowego uwierzytelnienia.
Możesz zainstalować wtyczkę, taką jak WP 2FA i zmusić innych użytkowników Twojej witryny do korzystania z niej (zwłaszcza jeśli mają uprawnienia administratora lub redaktora). Pamiętaj, aby zawsze pobierać kody zapasowe i przechowywać je w bezpiecznej lokalizacji na wypadek utraty dostępu do telefonu.
6. Zmień adres URL swojej strony logowania
Podobnie jak nazwa użytkownika „admin”, kolejnym znanym szczegółem WordPressa, jeśli chodzi o dostęp do logowania, jest strona logowania. Wartość domyślna to „www.yourwebsite.com/wp-login.php” lub „www.yourwebsite.com/wp-admin”Tak czy inaczej, jeśli zostawisz to w ten sposób, znacznie ułatwisz hakerom zidentyfikowanie wejścia do twojego zaplecza i rozpoczęcie brutalnego ataku.
Zmień adres URL (slug) na swoją stronę logowania za pomocą wtyczki, takiej jak ThemeMyLogin lub poszukaj wtyczki bezpieczeństwa, która będzie zawierała wiele wymienionych przez nas funkcji (2FA, ograniczenie prób logowania itp.).
Istnieje również doskonały artykuł autorstwa WPBeginner na temat ręcznej zmiany adresu URL logowania, ale jeśli nie czujesz się komfortowo w zarządzaniu kodem, najlepiej tam nie wchodzić.
7. Zainstaluj wtyczkę bezpieczeństwa
W chwili pisania tego artykułu dostępnych jest ponad 50 milionów wtyczek, zarówno darmowych, jak i płatnych. Szkoda byłoby nie skorzystać z dużej bazy wtyczek, które mogą chronić Twoją instalację przed złośliwymi atakami.Z drugiej strony, każda instalowana wtyczka to kolejny fragment kodu, którym należy się zająć (tj. zaktualizować). Mnogość wtyczek zwiększa również ryzyko niezgodności — dzieje się tak, gdy dwie lub więcej wtyczek nie może ze sobą współpracować — dlatego należy unikać instalowania wtyczek, bez których można się obejść.
Niektóre z najlepszych wtyczek bezpieczeństwa będą łączyć kilka funkcji, jak wspomniano powyżej, zmniejszając w ten sposób liczbę wtyczek, które będziesz musiał zainstalować, aby wykonać wszystkie rzeczy, o których mówimy. Oto kilka świetnych przykładów:
- Bezpieczeństwo Wordfence - kolejna popularna opcja pełna funkcji. Świetna dla użytkowników z wieloma stronami internetowymi za pośrednictwem centrum Wordfence, wtyczka sprawdza WordPress pod kątem kilku zagrożeń bezpieczeństwa, takich jak złośliwy kod, wstrzykiwane spam, a nawet złe adresy URL
- WP Cerber Security - świetna wtyczka z potężnym zestawem opcji, z których wiele jest zalecanych w tym artykule. W rzeczywistości jest to prawdopodobnie jedna z wtyczek z najbardziej obszerną listą funkcji bezpieczeństwa.
- Wszystko w jednym WP Security - ta wtyczka jest bardzo popularna wśród mniej doświadczonych użytkowników, nie ma też wersji płatnej, więc żadnych ograniczeń. Będzie wymagał więcej ręcznej konfiguracji, ale jego prostota zapewnia stosunkowo płaską krzywą uczenia się.
8. Zainstaluj wtyczkę dziennika aktywności
To fajna rada, która może się przydać przy wielu okazjach. Wtyczka dziennika aktywności będzie rejestrować i wyświetlać dzienniki wszelkich działań wykonywanych przez różnych użytkowników w Twojej witrynie. Pomyśl o tym jak o kamerze CCTV, obserwując wszystko, co dzieje się na Twojej stronie (oczywiście w formacie tekstowym!)Jeśli w Twojej witrynie pracuje wielu użytkowników z uprawnieniami administratora, jest to doskonały sposób na rejestrowanie tego, co się dzieje.
Z punktu widzenia bezpieczeństwa może pokazywać różne informacje, które mogą być bardzo przydatne - od nieudanych prób logowania po zmiany w plikach i ustawieniach witryny WordPress. Jeśli jesteś kimś, kto lubi samodzielnie konserwować witrynę, ta funkcja jest koniecznością.
Świetną (i bezpłatną) opcją jest dziennik aktywności WP, wtyczka, która istnieje od lat i jest również znana zarówno ze szczegółowego dziennika, jak i prostoty interfejsu.
9. Zainstaluj certyfikat SSL
Powinno to być oczywiste, ale dołączmy to zalecenie, aby być po bezpiecznej stronie.Kiedyś SSL był wymagany dla stron internetowych, które musiały być bezpieczne dla określonych transakcji, takich jak płatności. W dzisiejszych czasach nie ma jednak znaczenia, czy przetwarzasz płatności na swojej stronie, czy nie. SSL jest obowiązkowy dla każdej strony internetowej, która przetwarza poufne informacje, takie jak hasła, nazwy, adresy itp.
Poza sceną mechanika tego jest następująca: bez SSL w Twojej witrynie, wszystkie dane przesyłane między przeglądarką użytkownika a serwerem sieciowym są dostarczane w postaci zwykłego tekstu, który hakerzy mogą przeczytać.
Po zainstalowaniu protokołu SSL poufne informacje są szyfrowane przed przesłaniem między dwiema stronami — przeglądarką internetową użytkownika i serwerem, co chroni je przed osobami trzecimi o złośliwych zamiarach.
Google już jakiś czas temu dostrzegło wagę certyfikatu SSL i zaczęło wyświetlać na najwyższych pozycjach witryny, które mogą oferować szyfrowany transfer informacji.
Ponadto w 2018 r. Google ostrzegł wszystkich właścicieli witryn, że każda witryna, która nie ma aktywnego SSL, będzie wyświetlana jako „Niezabezpieczona” w adresie URL. To sprawia, że certyfikat SSL jest absolutną koniecznością; dobrą wiadomością jest to, że dość łatwo go uzyskać, a co więcej, w niektórych firmach hostingowych (w tym Kualo!) SSL jest dołączony bezpłatnie.
10. Kopie zapasowe konfiguracji
Chociaż kopie zapasowe mogą nie działać w 100%, jeśli i kiedy musisz rozwiązać problem z WordPressem, są one Twoją pierwszą linią obrony. Kopia zapasowa witryny może się przydać nie tylko w przypadku ataku hakerskiego, ale także w przypadku problemów technicznych.Wiele razy, podczas instalowania nowego motywu/wtyczki lub aktywnej pracy w witrynie, coś może się zepsuć, więc posiadanie kopii zapasowej jest bez wątpienia koniecznością.
Podczas gdy większość niezawodnych dostawców hostingu ma ustawione dla Ciebie codzienne kopie zapasowe, nie jest złym pomysłem, aby nauczyć się robić je ręcznie lub użyć wtyczki do tworzenia kopii zapasowych, takiej jak UpdraftPlus lub BackupBuddy. Oba mają możliwość przesyłania kopii zapasowych witryny do usług w chmurze, takich jak Amazon, lub eksportowania ich lokalnie.
Możesz także skorzystać z funkcji Softaculous Backup, która jest łatwo dostępna w twoim cPanel. Dobrą wiadomością jest to, że oferuje maksymalną prostotę i jest dostępna bez dodatkowych opłat. Zła wiadomość jest taka, że w przeciwieństwie do swoich odpowiedników, będzie ładował kopie zapasowe na twoje konto hostingowe, więc będzie zajmował miejsce na dysku i jest również przechowywany w tym samym miejscu, co sama strona internetowa. Jeśli coś miało się stać z Twoim kontem (powiedzmy, że przypadkowo skasujesz pliki lub ręczna ingerencja hakera), Twoja kopia zapasowa również może zostać naruszona.
Pamiętaj, aby zawsze tworzyć kopię zapasową, jeśli planujesz pracować na swoim WordPressie i nie masz pewności co do efektu końcowego!
Jeśli prowadzisz witrynę eCommerce o dużym natężeniu ruchu, godzinowe kopie zapasowe mogą być dla Ciebie najlepszym wyborem. Jak wspomniano wcześniej, serwisy generujące dużo zamówień mogą ponieść znaczne straty w przypadku konieczności przywrócenia kopii zapasowej wykonanej kilka godzin wcześniej.
Więcej praktycznych kroków, aby chronić swoją witrynę WordPress [Zaawansowane]
Wskazówki, które znajdziesz w tej sekcji, wymagają nieco bardziej zaawansowanej wiedzy w zarządzaniu WordPressem i pewności w pisaniu bezpośrednio w jego kodzie. Jeśli nie czujesz się komfortowo, wykonując te czynności, skonsultuj się z programistą WordPress, który może pomóc w ich wykonaniu.11. Wyłącz edycję plików
WordPress ma wbudowany edytor kodu, który umożliwia edycję plików motywów i wtyczek z poziomu panelu administracyjnego. Jeśli niewłaściwa osoba uzyska dostęp do Twojego panelu administracyjnego, może to stanowić ogromne zagrożenie bezpieczeństwa. Dlatego zalecamy wyłączenie tej funkcji.Możesz to zrobić, dodając fragment kodu do pliku wp-config.php:
1 // Disallow file edit
2 define( 'DISALLOW_FILE_EDIT', true );12. Wyłącz wykonywanie plików PHP dla określonych katalogów WordPress
Dodaj kolejną warstwę ochrony, wyłączając wykonywanie plików PHP w katalogach, w których nie jest to konieczne. Powodem, dla którego chcesz to zrobić, jest to, że hakerzy często używają tej funkcji do przesyłania plików dostępu do backdoora lub złośliwego oprogramowania do Twojej witryny WordPress. Jest to niebezpieczny krok, jeśli nie wiesz, co robisz, ponieważ Twoja witryna może przestać działać, więc stąpaj ostrożnie! Katalog, którego szukasz to /wp-content/uploads/Możesz to zrobić, otwierając edytor tekstu, taki jak Notatnik, i wklej ten kod:
<Pliki *.php>
Odmowa od wszystkich
</Pliki>
Zapisz ten plik jako .htaccess i prześlij go do folderów /wp-content/uploads/ w swojej witrynie za pomocą klienta FTP lub za pomocą Menedżera plików w cPanel.
13. Wyłącz XML-RPC
Kiedyś XML-RPC był używany do łączenia witryny WordPressa z aplikacjami internetowymi i mobilnymi, ale odkąd WordPress wypuścił własne API REST, XML-RPC stał się zobowiązaniem, a nie przydatną funkcją.Na przykład, jeśli haker chciałby wypróbować 1000 różnych haseł na twoich stronach internetowych, musiałby wykonać 1000 oddzielnych prób logowania, które zostaną przechwycone przez wtyczkę bezpieczeństwa lub zaporę sieciową. Jeśli jednak włączysz XML-RPC, haker może użyć funkcji system.multicall i wypróbować 1000 różnych haseł z 30-60 żądaniami.
Dlatego zdecydowanie zalecamy jego wyłączenie, a możesz to zrobić, po prostu dodając kod w pliku .htaccess:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>W linii 5 powinieneś wstawić swój własny adres IP, jeśli jest to jedyny, z którego chcesz zachować XML-RPC (w przeciwnym razie po prostu go usuń).
Uwaga: jeśli jesteś jednym z naszych użytkowników, nie musisz wykonywać tego kroku, ponieważ Twój XMLRPC będzie chroniony przez funkcję Brute Force Protection LiteSpeed.
14. Ogranicz dostęp botów
Chociaż Twoja witryna będzie zawsze indeksowana przez niektóre boty, złe boty mogą powodować irytujące zakłócenia. Mogą spowolnić przepływ pracy i/lub zakłócić działanie witryny WordPress, powodując w ten sposób utratę użytkowników.Świetnym sposobem radzenia sobie z tym jest uniemożliwienie obraźliwym botom uzyskania dostępu do Twojego WordPressa. Wstaw następujący kod do pliku .htaccess.
SetEnvIfNoCase User-Agent ^$ keep_out
SetEnvIfNoCase User-Agent (pycurl|casper|cmsworldmap|diavol|dotbot) keep_out
SetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out
SetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|planetwork) keep_out
Order Allow,Deny
Allow from all
Deny from env=keep_outNietechniczne wskazówki dotyczące bezpieczeństwa WordPressa
Użyj zasady najmniejszych uprawnień (POLP)Daj każdemu z użytkowników swojej witryny możliwie najmniejszy dostęp. Jeśli masz na przykład autora treści, nie jest konieczne udostępnianie mu konta administratora - użytkownik edytora poradzi sobie z tym. Nie udostępniaj swojego konta, chyba że jest to absolutnie konieczne, a jeśli to zrobisz - zmień hasło, gdy tylko osoba, której je przekazałeś, przestanie go potrzebować.
Nie udostępniaj również swoich danych hostingowych, chyba że jest to absolutnie konieczne.
Nie używaj pustych (nielegalnie pobranych) motywów WordPress i wtyczek
W pewnym momencie może pojawić się pokusa, aby zaoszczędzić trochę pieniędzy i pobrać nielicencjonowaną wtyczkę lub motyw. W takim przypadku zapłacisz w inny sposób - najprawdopodobniej pozycjonując backdoora do Twojego WordPressa. Hakerzy często ukrywają spamerskie linki lub złośliwy kod w nielicencjonowanych elementach i oferują je do bezpłatnego pobrania.
Unikaj ich za wszelką cenę, a jeśli zlecasz stronę internetową lub funkcjonalność, upewnij się, że potwierdzisz u programisty, że wszystko jest odpowiednio licencjonowane.
Końcowe przemyślenia
Zastanów się, ile czasu (i środków) poświęcisz na zabezpieczenie swojego WordPressa jako kolejną kluczową inwestycję biznesową. Naprawienie zhakowanej witryny będzie kosztować znacznie więcej — w najbardziej niefortunnym przypadku może nawet kosztować firmę. Postępowanie zgodnie z tym przewodnikiem nie zagwarantuje 100% ochrony przed złośliwymi atakami, ale znacznie zmniejszy szanse, że tak się stanie.Czy uważasz, że któraś z oferowanych porad jest trudna do przestrzegania? Czy przegapiliśmy coś ważnego? Napisz do nas w komentarzach, chętnie poznamy Twoje przemyślenia!
Lub jeśli jesteś gotowy, aby przejść na super bezpieczny hosting WordPress w Kualo, sprawdź nasze plany tutaj.