Jak przeprowadzić audyt bezpieczeństwa WordPress

Zabezpieczenie witryny WordPress nie jest sprawą jednorazową. Bez względu na to, jak bardzo ufasz swojej wtyczce bezpieczeństwa lub jak dokładny byłeś z hartowaniem witryny, bezpieczna witryna dzisiaj nie stanowi bezpiecznej witryny jutro. Aby utrzymać hakerów na dystans, musisz regularnie przeprowadzać audyty bezpieczeństwa WordPress i wypełniać luki bezpieczeństwa, które znajdziesz.

Taktyki hakowania witryn są zawsze postępujące, a wraz z nimi są środki zapobiegawcze, aby zapewnić bezpieczeństwo witryny. Pomyśl o tym jak o cyklu. Im bezpieczniejsza jest strona internetowa, tym bardziej kreatywni muszą być hakerzy, aby się do niej dostać, co oznacza, że Twoja witryna musi być jeszcze bezpieczniejsza i tak dalej.

Staraj się przeprowadzać audyt bezpieczeństwa WordPress co najmniej co trzy miesiące. Każdy miesiąc jest lepszy, a każdy tydzień (lub nawet codziennie, w zależności od tego, jak wrażliwa jest Twoja strona) jest najlepszy. I oczywiście, jeśli uważasz, że coś jest nie tak z Twoją witryną, natychmiast przeprowadź audyt bezpieczeństwa. Każda z poniższych sytuacji powinna wywiesić czerwoną flagę:

  • Twoja strona jest powolna i powolna nagle.
  • Jest duży spadek ruchu na stronie bez wyraźnego powodu.
  • Są nowe konta, próby logowania lub żądania “Zapomniałem hasła”.
  • Nowe linki, których nie dodałeś, znajdują się na twojej stronie.

Poniższe kroki są niezbędne, aby utrzymać witrynę w najlepszej formie, pod względem bezpieczeństwa. Mając pod ręką listę kontrolną, usprawnisz audyty, a nie przytłaczasz.

Przegląd audytu bezpieczeństwa WordPress

W takim czy innym momencie prawie każda witryna WordPress napotyka jakiś problem z bezpieczeństwem. Częstym jest wtyczka lub motyw, który staje się nękany luką, pozwalając hakerom bezpośrednio na Twoją witrynę. Gdy Twoja witryna zostanie zhakowana, może się zdarzyć wiele rzeczy:

  • Skradzione dane osobowe klientów
  • Nielegalne reklamy i treści wyświetlane
  • Ruch przekierowany gdzie indziej
  • Dane WordPress zaszyfrowane, usunięte lub sprzedane

To o wiele więcej niż ból głowy lub powalone miejsce przez kilka godzin. Hakerzy mogą przechowywać Twoje dane dla okupu. Informacje z twojej witryny mogą być sprzedawane w Dark Web. Google może umieścić Twoją witrynę na czarnej liście, aby wyświetlić spam na stronach internetowych. Klienci mogą Cię pozwać, jeśli ich dane karty kredytowej zostaną skradzione. Inne strony internetowe mogą zostać zainfekowane, gdy hakerzy uzyskają dostęp do Twoich.

Audyty bezpieczeństwa WordPress identyfikują te luki, dzięki czemu można je natychmiast naprawić – przed haker się tu znalazł. Upewnisz się, że kroki bezpieczeństwa, które obecnie podejmujesz, nadal działają, a także dowiesz się, gdzie potrzebujesz większej ochrony.

Oceń używaną wtyczkę zabezpieczeń

Wtyczka bezpieczeństwa WordPress jest jednym z najważniejszych narzędzi do ochrony witryny. Upewnij się, że wtyczka bezpieczeństwa nadal działa w następujący sposób:

  • Dziennik aktywności: śledzi użytkowników twojej witryny, w tym kto i kiedy się zalogował, nieudane próby logowania i zmiany w witrynie.
  • Zapora: zablokuje to boty, hakerów i adresy IP, które próbują dostać się do twojej witryny.
  • Próby logowania: wtyczki bezpieczeństwa jakości wymuszają silne hasła, wymagają uwierzytelniania dwuskładnikowego i ograniczają próby logowania.
  • Ochrona przed logowaniem: blokuje ataki brute-force, czyli gdy hakerzy próbują różnych kombinacji nazwy użytkownika i hasła, aby Zaloguj się.
  • Skanowanie i czyszczenie złośliwego oprogramowania: powinno to działać codziennie, głęboko skanując bazę danych, pliki i foldery witryny w poszukiwaniu złośliwego oprogramowania i czyszcząc wszystko, co znajdzie.
  • Powiadomienia w czasie rzeczywistym: wtyczka powinna natychmiast powiadomić cię, jeśli w Twojej witrynie dzieje się coś podejrzanego.

Nie masz jeszcze wtyczki zabezpieczającej? Rozważ, aby był to Twój wstępny krok w audycie bezpieczeństwa WordPress. Zebraliśmy najlepsze wtyczki bezpieczeństwa WordPress 6 do wyboru.

Przetestuj Swoje Rozwiązanie Do Tworzenia Kopii Zapasowych

Jeśli coś pójdzie nie tak w Twojej witrynie, co jest niemożliwe lub zbyt skomplikowane do naprawienia, posiadanie kopii zapasowej WordPress oznacza, że możesz przywrócić witrynę do poprzedniego stanu przed wystąpieniem problemu. Jeśli jednak kopia zapasowa zawiedzie, nie masz nic do przywrócenia, co oznacza, że możesz utknąć w zainfekowanej lub nieprawidłowo działającej witrynie. Idealnie będzie używać rozwiązania do tworzenia kopii zapasowych (niezależnie od tego, czy jest to rozwiązanie dostarczane przez hosta, czy używaną wtyczkę), które umożliwia testowanie kopii zapasowych, takich jak BlogVault. Możesz również przeczytać nasz artykuł z 6 najlepszych wtyczek do tworzenia kopii zapasowych WordPress.

Przejdź do konfiguracji administratora WordPress i FTP

Dzięki WordPress możesz mieć wiele osób logujących się do pracy nad różnymi projektami, ale to nie znaczy, że każda osoba z loginem powinna mieć pełny dostęp do twojej witryny. A jeśli chodzi o klienta FTP, umożliwienie dostępu wielu osobom oznacza, że mogą wprowadzić zmiany w witrynie … cóż, wszystko.

Po dodaniu nowego Użytkownika w WordPress przypisujesz mu rolę(i możesz edytować jego profil, aby zmienić jego rolę):

wordpress security audit

Różne role mają różne możliwości. Na przykład Administrator może uzyskać dostęp do wszystkich narzędzi administracyjnych witryny (takich jak zmiana motywu lub instalacja wtyczki), ale współtwórca może tylko pisać i zarządzać własnymi postami. Oto kompleksowy podział różnych ról i ich możliwości.

Aby przeprowadzić audyt bezpieczeństwa WordPress, wykonaj następujące czynności:

  • Zobacz, którzy użytkownicy WordPress mają dostęp na poziomie administratora.
  • Zdecyduj, czy wszyscy użytkownicy potrzebują tego poziomu dostępu (i czy inni, którzy mają ograniczony dostęp, powinni być administratorami).
  • Obniż uprawnienia i Ogranicz dostęp, aktualizując role użytkowników dla tych osób.
  • Jeśli nie rozpoznajesz użytkowników na pulpicie nawigacyjnym, usuń ich – mogą to być konta utworzone przez hakera.
  • Czy nazwy użytkowników są po prostu “admin”? Jest to zbyt popularna nazwa użytkownika, której hakerzy często próbują użyć, aby uzyskać dostęp do twojej witryny. Utwórz nowe konto użytkownika dla danej osoby i usuń stare konto.
  • Usuń konta FTP dla użytkowników, którzy nie potrzebują tak wysokiego poziomu dostępu.

Na koniec, jeśli Twoja witryna umożliwia członkom, chcesz się upewnić, że muszą oni utworzyć konto podczas rejestracji, a ich domyślna rola nie zezwala na dostęp administratora. Przejdź do Ustawienia > Ogólne. Odznacz pole obok Każdy Może Się Zarejestrować. Następnie wybierz odpowiednią opcję w obszarze Nowa Domyślna Rola Użytkownika.

Upewnij się, że WordPress jest aktualny

Możesz uruchomić to automatycznie, ale nadal opłaca się dwukrotnie sprawdzić, czy WordPress został zaktualizowany do najnowszej wersji. Aktualizacje nie tylko usuwają luki w zabezpieczeniach – poprawiają również wydajność i dodają funkcje. Przejdź do Dashboard > Aktualizacje sprawdzić, czy ktoś jest gotowy.

wordpress security audit

Wyczyść swoje wtyczki i motywy

Wtyczki mogą rozszerzyć możliwości twojej witryny, ale są również podatne na ataki, zwłaszcza jeśli nie są zbyt długo aktualizowane. Niezawodni Programiści pozostaną na bieżąco z lukami w zabezpieczeniach swoich wtyczek i wydadzą aktualizacje z łatkami. Podczas aktualizacji zabezpieczeń WordPress przejdź do listy wtyczek i wykonaj następujące czynności:

  • Dezaktywuj i odinstaluj wszelkie wtyczki, których już nie używasz lub których nie rozpoznajesz.
  • Zaktualizuj wszystkie pozostałe wtyczki, które mają gotowe aktualizacje.
  • Jeśli używasz wtyczki, która nie otrzymuje aktualizacji od programisty, rozważ użycie innej, która ma tę samą funkcjonalność – wtyczka, która jest przestarzała, jest zbyt podatna na problemy z bezpieczeństwem.

Nawet jeśli przeprowadzasz audyt bezpieczeństwa WordPress raz na miesiąc, dobrze jest regularnie sprawdzać wtyczki, aby je aktualizować w razie potrzeby. Usuń również wszelkie motywy, których obecnie nie używasz lub których nie spodziewasz się potrzebować. Podobnie jak w przypadku wtyczek, motywy stwarzają ryzyko luk w zabezpieczeniach, więc najlepiej zachować swoją witrynę w jak największym stopniu wolną od bałaganu.

Uważaj Na Siebie!

Nie przestajesz pracować nad innymi częściami swojej firmy-wymyślanie nowych produktów lub usług, marketing ich, sprzedaż itp. Bezpieczeństwo Twojej witryny nie powinno być inne. Mały problem może szybko doprowadzić do hakowania zagrażającego biznesowi, jeśli nie złapiesz go na czas, ale nie wiedząc, gdzie znajdują się obszary problemowe, nie będziesz wiedział, które poprawki należy wdrożyć.

Dbanie o bezpieczeństwo witryny jest procesem ciągłym, a lista kontrolna audytu bezpieczeństwa WordPress oszczędza ci kłopotu z próbą zapamiętania, co robić co miesiąc. Co więcej, im więcej możesz zautomatyzować za pomocą wtyczki bezpieczeństwa, tym lepiej. Twoja lista kontrolna audytu bezpieczeństwa WordPress może być znacznie mniejsza, jeśli większość tego, co musisz zrobić, to dwukrotnie sprawdzić, czy wtyczka nadal działa poprawnie. Mamy dogłębne przeglądy recenzji dwóch wiodących wtyczek bezpieczeństwa, Sucuri i Wordfence.