Nie możemy wystarczająco podkreślić znaczenia solidnego zabezpieczenia terenu. Kiedy spieszysz się, aby dotrzymać terminu, odpowiednie zabezpieczenie witryny WordPress może nie być twoim największym priorytetem, dlatego przygotowaliśmy listę kontrolną, aby upewnić się, że nie przegapisz żadnego z podstawowych elementów.
W morzu ponad 2 miliardów stron internetowych jest zrozumiałe, dlaczego wiele osób nie uważa, że ich witryna jest zagrożona włamaniem.
A jeśli nigdy nie byłeś ofiarą ataku, możesz nie martwić się o taką możliwość tak bardzo,jak powinieneś.
Jednak lepiej mieć odpowiednią ochronę i jej nie potrzebować, niż iść bez niej i żałować.
Zebraliśmy listę kontrolną 16 kroków, które możesz podjąć podczas zabezpieczania witryny – co, miejmy nadzieję, sprawi, że zorganizowanie bezpieczeństwa będzie proste:
- Wybierz bezpiecznego dostawcę usług hostingowych
- Zamaskuj adres URL logowania
- Użyj Menedżera haseł
- Włącz Uwierzytelnianie Dwuskładnikowe
- Użyj Logowania Timeouts
- Konfigurowanie zapory aplikacji webowej (WAF)
- Użyj wtyczki zabezpieczającej
- Automatyzuj Zadania Za Pomocą Wtyczek
- Zapobieganie Atakom DDoS
- Regularnie sprawdzaj, czy nie ma nieuczciwych kont
- Zabezpiecz swój plik wp-config
- Dodaj certyfikat SSL
- Zapobieganie Hotlinkingowi
- Zapobiegaj Spamowi Komentarzy
- Odwiedzaj Swoją Stronę Regularnie
- Rozważ statyczną stronę
Wybierz bezpiecznego dostawcę usług hostingowych
Możesz zrobić co drugi krok w tym artykule i pójść dalej, aby utwardzić swoją witrynę, jednak jeśli używasz taniego, współdzielonego hostingu, to tak, jakby mieć wzmocnione, ultra mocne, tytanowe drzwi wejściowe-i zostawić klucz pod wycieraczką.
Nawet nie biorąc pod uwagę bezpieczeństwa, hosting współdzielony ma wystarczająco dużo wad, aby przekonać większość ludzi do unikania – ale to cały temat sam w sobie. Sprawdź nasz artykuł na temat wyboru najlepszego rodzaju hostingu dla swoich potrzeb, aby szczegółowo przyjrzeć się wszystkim zaletom i wadom hostingu współdzielonego.
Prawdopodobnie największym minusem jest brak bezpieczeństwa. Luka w zabezpieczeniach na cudzej stronie może spowodować, że serwer zostanie naruszony, a Twoja strona zostanie zaatakowana-bez twojej winy.
Chociaż Firmy hostingowe starają się podjąć wszelkie środki ostrożności, aby zapobiec rozprzestrzenianiu się złośliwych ataków, takich jak ten, nie zawsze jest to możliwe w przypadku hostingu współdzielonego, ponieważ Witryny są hostowane na tym samym serwerze.
Jeśli nie chcesz się martwić o to, co dzieje się na serwerze Twojej witryny, zamiast tego wybierz VPS lub hosting dedykowany.
Hosting WPMU dev zapewnia dedykowaną pamięć, procesor i pamięć SSD, która jest niezależna od innych witryn-w tym innych, które hostujesz u nas!
Najlepsze porady:
- Wybierz dostawcę usług hostingowych, który słynie z solidnych zabezpieczeń.
- Nie oszczędzaj na cenie-wydawanie nieco więcej na dobry hosting jest lepsze niż tanie i hakowanie.
- Skorzystaj z funkcji, które oferuje twój host, takich jak automatyczne kopie zapasowe, WAF lub możliwość blokowania podejrzanych adresów IP.
Zabezpiecz Swoją Stronę Logowania
Rzadko jest próba włamania personal. Możesz prowadzić tylko małą stronę internetową dla klubu żeglarskiego w lokalnej wiosce, ale to nie znaczy, że będzie ona bezpieczna przed hakerami.
Złośliwe boty węszą po Internecie szukając luk w witrynach i nie dyskryminują. Jeśli odkryją, że istnieje trasa obok strony logowania WordPress,będą infekować Twoje pliki, zanim będziesz mógł powiedzieć ” malware!”.
Istnieje kilka kroków, które możesz podjąć, aby zapewnić, że strona logowania jest Bezpieczna przed tego rodzaju atakami.
Zamaskuj adres URL logowania
Pierwszym z nich jest użycie wtyczki, takiej jak Defender, aby ukryć adres URL logowania.
To znacznie utrudnia botom przeprowadzanie ataków brute force-jeśli nie mogą znaleźć twojej strony logowania, nie ma dla nich miejsca, aby spróbować złamać Twoje hasło.
Jest bardzo łatwy do aktywacji w Defender. Wystarczy wybrać nowy slug dla adresu URL logowania.
Możesz również przekierować osoby, które próbują uzyskać dostęp do starego linku wp-admin na wybraną stronę.
Użyj Menedżera haseł
Istnieją dwie główne zasady dotyczące haseł:
- Upewnij się, że Twoje hasła mają dobrą długość i zawierają wiele różnych znaków.
- Nie używaj tego samego hasła dla więcej niż jednego konta.
Przestrzeganie obu tych zasad może prawie uniemożliwić zapamiętanie wszystkich haseł, dlatego możesz skorzystać z menedżera haseł.
LastPass i 1Password to dwa najlepsze menedżery haseł na rynku i pomogą Ci tworzyć i przechowywać złożone hasła dla wszystkich kont.
Wszystko, co musisz zapamiętać, to silne i bezpieczne hasło główne-reszta zostanie załatwiona za Ciebie.
Włącz Uwierzytelnianie Dwuskładnikowe
Twoje hasło może wydawać się długie i złożone, jednak jeśli ciąg znaków 15 jest wszystkim, co stoi między Twoimi danymi a przebiegłym hakerem, niestety nie zawsze będzie to wystarczające.
Uwierzytelnianie dwuskładnikowe polega na połączeniu telefonu lub innego urządzenia z administratorem WordPress, dzięki czemu nie można się zalogować bez wprowadzenia unikalnego kodu.
Defender używa do tego celu Google Authenticator, Microsoft Authenticator i Authy.
Wystarczy ustawić go dla każdego konta użytkownika i za każdym razem, gdy ktoś przejdzie obok ekranu nazwy użytkownika i hasła, zostanie poproszony o otwarcie uwierzytelniacza i wprowadzenie kodu.
To sprawia, że hakerzy prawie nie mogą dostać się do twojej witryny bez dostępu do Twojej nazwy użytkownika, hasła i urządzenia mobilnego.
Aby spojrzeć na to z perspektywy, strona, której używam wyłącznie do testowania wtyczek i motywów, dostaje średnio 40 prób logowania dziennie przez boty. Są to boty, których jedynym zadaniem jest wypróbowanie losowych kombinacji haseł z nadzieją na dostanie się do twojej witryny.
Wystarczy jedna z tych prób, aby odnieść sukces i możesz stracić dostęp do Twoja strona całkowicie.
Widzę te próby w dziennikach audytów Defendera.
Mimo że moja strona jest bardzo niejasna i nie jest przeznaczona do publicznego wyświetlania, nadal jest na radarze złośliwych botów.
I nawet jeśli moje hasło jest bezpieczne, byłbym o wiele bardziej zmartwiony, gdybym nie miał włączonego uwierzytelniania dwuskładnikowego.
Najlepsze porady:
- Korzystanie z unikalnych haseł dla każdego konta może również pomóc zidentyfikować źródło ataku, jeśli Twoje hasło zostanie kiedykolwiek naruszone.
- Skonfiguruj zapasowy adres e-mail na wypadek utraty urządzenia mobilnego i braku dostępu do witryny.
- Jeśli zapomnisz zamaskowanego adresu URL logowania, możesz go pobrać z bazy danych.
- Dla dodatkowego bezpieczeństwa możesz usunąć link resetowania hasła ze strony logowania za pomocą wtyczki takiej jak Branda.
Ochrona Logowania
Defender ma dodatkowe narzędzia na pasku, jeśli chodzi o blokowanie intruzów z twojej witryny.
Możesz skonfigurować ochronę logowania, aby upewnić się, że hakerzy nie mogą brutalnie zmusić się do wejścia na twoje konto poprzez spamowanie kombinacji haseł.
Wybierz maksymalną liczbę prób logowania, na które chcesz zezwolić w określonym przedziale czasowym i wyświetl niestandardową wiadomość każdemu, kto nie przekroczy limitu.
Adresy IP mogą być zbanowane bezpośrednio z dzienników Defendera. Jeśli widzisz ten sam adres IP, który wielokrotnie próbuje uzyskać dostęp do witryny, po prostu kliknij “Zablokuj adres IP”.
Po prostu upewnij się (a nasz zespół wsparcia podziękuje mi za powiedzenie tego), że to nie jest twoje własne IP, które banujesz, ponieważ całkowicie zablokujesz się ze swojej strony!
Defender oferuje również kilka dodatkowych sposobów zarządzania podejrzanymi adresami IP,które omówimy w tym artykule.
Najlepsze porady:
- Dodaj własny adres IP do listy dozwolonych, aby przypadkowo nie trafić z blokadą.
- Jeśli zauważysz dużą liczbę prób logowania z określonego kraju, możesz całkowicie zablokować adresy IP z tego kraju za pomocą programu Defender.
- Nie podawaj użytkownikom wspólnych nazw, takich jak administrator lub Administrator. Boty często używają ich podczas próby złamania danych logowania, więc jeśli używasz wspólnej nazwy konta,są już w połowie drogi!
Konfigurowanie zapory aplikacji webowej (WAF)
Zapora aplikacji internetowych (WAF) to specjalny rodzaj zapory, który ustawia zdefiniowane reguły w celu ochrony aplikacji internetowej przed atakami.
Wszystkie przychodzące żądania i odpowiedzi serwera www są badane przez WAF. Monitoruje, filtruje i blokuje niechciany ruch, chroniąc Twoją witrynę przed hakerami i innym złym ruchem.
WAF jest po prostu pośrednikiem pomiędzy aplikacją webową a klientem.
Zwykle WAF jest ponownie używanyataki st, dla których tradycyjne rozwiązania nie dają ochrony, takie jak cross-site scripting i SQL injection, jednak mogą być również używane do ochrony przed nielegalnym dostępem do zasobów-na przykład przechwytywanie sesji.
Brzmi dobrze?
Sprawdź nasz pełny przegląd tego, jak działa WAF, a także dowiedz się, jak skorzystać z naszego niesamowitego WAF (który jest zawarty we wszystkich naszych planach hostingowych bez dodatkowych kosztów).
Użyj wtyczki zabezpieczającej
Jeśli chcesz mieć realną szansę na zapobieganie udanym atakom na Twoją witrynę, najlepszym rozwiązaniem jest dobra wszechstronna wtyczka bezpieczeństwa.
Defender ma mnóstwo funkcji, które współpracują ze sobą, aby Twoja witryna była trudna do złamania.
Mógłbym napisać pełny artykuł o wszystkich sposobach, w jakie Defender może pomóc ci zabezpieczyć twoją witrynę, jednak-już to zrobiliśmy.
Aby dać ci posmak, niektóre z jego funkcji obejmują:
- Uwierzytelnianie dwuskładnikowe
- Maskowanie logowania
- Blokada logowania
- 404 wykrywanie
- WordPress Security Firewall
- Możliwość wyłączenia trackbacków i pingbacków
- Zalecenia dotyczące aktualizacji rdzenia i serwera
- Możliwość wyłączenia edytora plików
- Możliwość ukrycia raportowania błędów
- Aktualizuj klucze bezpieczeństwa
- Zapobieganie ujawnianiu informacji
- Zapobieganie wykonywaniu PHP
Większość funkcji Defendera jest w rzeczywistości darmowa, więc udaj się do WordPress.org, naciśnij download I zacznij odstraszać te ataki.
Automatyzuj Zadania Za Pomocą Wtyczek
Fakt: komputery nie zapominają rzeczy.
Niezależnie od tego, czy tworzysz kopię zapasową witryny, czy aktualizujesz wtyczki, nic nie jest tak niezawodne, jak zautomatyzowany proces.
Dlatego powinieneś zostawić te zadania ekspertom-kilka niesamowitych wtyczek WordPress!
Aktualizacja z Automate
Hakerzy uwielbiają znajdować luki w wtyczkach i motywach oraz wykorzystywać je jako sposób na infiltrację Twojej witryny.
Gdy programista zostanie poinformowany o potencjalnym exploicie w swoim produkcie, stworzy łatkę, która naprawi lukę.
Jeśli zaniedbasz aktualizacji wtyczek i motywów po wydaniu nowych łatek, możesz pozostawić otwarte dziury dla hakerów.
Dlatego ważne jest, aby upewnić się, że aktualizacje są stosowane natychmiast po ich wydaniu, i to jest miejsce, w którym pojawia się Automate.
Po uruchomieniu wielu witryn WordPress ręczna aktualizacja wszystkich wtyczek i motywów może być czasochłonna, co oznacza, że czasami to zadanie można umieścić na backburnerze.
Automatyzacja automatycznie wykrywa, gdy witryna jest uruchomiona nieaktualne wtyczki, motywy lub Nieaktualna wersja WordPress i automatycznie aktualizuje witrynę, aby uruchomić najnowsze wersje.
Co więcej, może nawet wykonać kopię zapasową witryny przed zainstalowaniem aktualizacji, na wypadek, gdyby wystąpił problem ze zgodnością, który powoduje problemy.
Zapoznaj się z naszymi Dokumentami, aby dowiedzieć się, jak skonfigurować Automate.
Backup z migawką
Plan, oczywiście, jest, aby uniknąć włamania.
Jeśli jednak zdarzy się najgorsze, posiadanie kopii zapasowej witryny może uratować sytuację.
Nie ma lepszego sposobu, aby to zrobić (moim skromnym zdaniem!) niż z niezawodną wtyczką do tworzenia kopii zapasowych, taką jak Snapshot.
Po prostu wybierz, jak często i o której godzinie mają odbywać się kopie zapasowe i wszystko gotowe.
ules możesz wybrać.”width=” 600″height =” 421 ” />nigdy więcej nie martw się o brak kopii zapasowej!
W tym artykule dowiesz się, jak skonfigurować kopie zapasowe i zarządzać nimi za pomocą migawki.
Najlepsze porady:
- Oprócz regularnej aktualizacji wtyczek i motywów, upewnij się, że wypatrujesz nowych wersji PHP i SQL, które powinny zostać zaktualizowane tak szybko, jak to możliwe po wydaniu.
- Zawsze dobrze jest wykonywać ręczne kopie zapasowe i zapisywać je lokalnie-nigdy nie możesz być zbyt bezpieczny, jeśli chodzi o bezpieczeństwo witryny!
Zapobieganie Atakom DDoS
Atak DDoS (Distributed Denial of Service) polega na tym, że strona internetowa jest zalana ruchem w celu zakłócenia jej usługi.
Odbywa się przez sieć komputerów (czasami Komputery nieświadomych członków społeczeństwa, którzy zostali zainfekowani złośliwym oprogramowaniem). Atakujący używa tych urządzeń do utworzenia “botnetu”, który może poinstruować do ataku na konkretny cel.
Celem tych ataków jest często trzymanie właścicieli witryn do okupu, a w przeszłości zdarzały się przypadki ataków DDoS o dużym rozgłosie. Niektóre są przeprowadzane po prostu dla zabawy i chaosu, ale niezależnie od przyczyny ataku, bycie ofiarą nigdy nie jest idealne.
Na szczęście istnieje kilka kroków, które możesz podjąć, aby zapobiec temu w Twojej witrynie.
Należą do nich:
- Wyłączanie XML-RPC
- Korzystanie z zapory sieciowej
- Wyłączanie trackbacków i pingbacków
- Wyłączanie Rest API
- Korzystanie z CDN.
Wszystkie te kroki są szczegółowo opisane w naszym przewodniku zapobiegania atakom DDoS.
Regularnie sprawdzaj, czy nie ma nieuczciwych kont
Kiedy często pracujesz w WordPress i jesteś przyzwyczajony do przesuwania się między tymi samymi ekranami, pewne rzeczy łatwo prześlizgują się przez sieć.
Dlatego musisz znaleźć czas, aby ręcznie sprawdzić, czy nikt inny nie ma dostępu do twojej witryny.
Coś, co powinieneś regularnie sprawdzać, to nieuczciwe konta.
Dotyczy to nie tylko dodatkowych użytkowników WordPress, ale także kont FTP i SSH.
Jeśli hostujesz z WPMU DEV, te informacje są dostępne w centrum.
Zabezpiecz swój plik WP-Config
Twój wp-config posiada klucze do całej witryny WordPress i jest ostatnią rzeczą, którą chcesz, aby hakerzy dostali się w swoje ręce.
Jednym ze sposobów, aby upewnić się, że jest poza zasięgiem, jest przeniesienie go z folderu głównego www.
Zapoznaj się z własnymi poradami WordPress na ten temat, aby zdecydować, czy jest to właściwa trasa dla ciebie.
Jeśli nie chcesz go całkowicie przenieść, możesz zablokować dostęp do niego, dodając następujący kod do swojego .plik htaccess.
Najlepsze Porady:
- Zrób krok dalej, blokując dostęp do twojego .htaccess też!
Dodaj certyfikat SSL
Certyfikat SSL sprawdza, czy witryna, na którą dotarłeś, jest zamierzonym miejscem docelowym, sprawdzając poświadczenia certyfikatu.
Pomaga to zapobiegać fałszowaniu domen i innym podobnym atakom.
Połączenie z certyfikatem SSL jest bardziej godne zaufania, bezpieczne i daje znacznie lepsze wrażenie na kliencie.
To dlatego, że certyfikat SSL zamienia Połączenie HTTP do połączenia HTTPS-dodane ‘S’ dosłownie oznacza bezpieczne.
Certyfikat SSL można uzyskać za pośrednictwem zaufanego dostawcy, takiego jak Let ‘ s Encrypt.
Najlepsze porady:
Zapobieganie Hotlinkingowi
Jeśli ktoś łączy się z Twoimi zdjęciami, używa linku do twojego oryginalnego obrazu w Twojej witrynie, co oznacza, że odwiedzający czerpią korzyści z obrazu, ale twój serwer odbiera kartę.
Nie tylko jest to uważane za nieetyczne, ale może to spowodować duże obciążenie serwera, powodując problemy dla Twojej witryny, a także może skutkować dodatkowymi kosztami.
Istnieje wiele sposobów zabezpieczenia obrazów, jednym z najprostszych jest dodanie fragmentu kodu do swojego .plik htaccess.
Ten kod zapewni, że tylko niektóre strony internetowe mogą wyświetlać Twoje obrazy. Możesz określić poszczególne witryny.
RewriteEngine on RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http(S)?://(www.)?example.com [NC] RewriteCond %{HTTP_REFERER} !^http(S)?://(www.)?google.com [NC] RewriteCond %{HTTP_REFERER} !^http(S)?://(www.)?youtube.com [NC] RewriteRule .(jpg|jpeg|png / gif)$ – [F]
Jest to kod potrzebny dla witryn działających na serwerach Apache.
lokalizacja ~ .(gif|png|jpeg|jpg|svg)$ { valid_referers none blocked ~.google. ~.bing. ~.yahoo. yourdomain.com *.yourdomain.com; if ($invalid_referer) { return 403;} }
Użyj tego kodu, jeśli Twoja witryna działa na serwerze NGINX.
Najlepsze Porady:
- Możesz również chronić swoje obrazy za pomocą wtyczki lub CDN z ochroną hotlink.
- Dodaj informację o prawach autorskich do stopki motywu, aby zniechęcić ludzi do prób kradzieży Twoich zdjęć.
Stop spamowi
Komentarze spamowe na Twoim blogu są nie tylko frustrujące – mogą również stanowić zagrożenie bezpieczeństwa.
Wiele komentarzy zawierających spam zawiera złośliwe linki w nadziei na oszukanie odwiedzających do przesłania swoich danych osobowych.
Tak więc, chociaż możesz nie być zamierzonym celem tego rodzaju ataków, masz obowiązek wobec odwiedzających Twoją witrynę zapewnić im bezpieczeństwo.
Jeśli trafisz tonę spamu, masz dwie opcje: całkowicie wyłącz komentarze lub Zainstaluj wtyczkę antyspamową.
Jeśli wybierzesz tę ostatnią opcję, Akismet może być właśnie tym, czego potrzebujesz.
Każdy komentarz pozostawiony w Twojej witrynie, a także przesłane formularze są przesyłane przez globalną bazę spamu, aby zapobiec przedostawaniu się złośliwych treści na Twoją witrynę.
Jest bezpłatny-i działa!
Co więcej, reCaptcha działa na rzecz Defendera i chroni natywne funkcje WordPress, takie jak strona logowania i komentarze na blogu.
Odwiedzaj Swoją Stronę Regularnie
Czasami najprostsze rozwiązanie może zdziałać cuda.
Jeśli Twoja witryna została zhakowana, A treści zostały wtrącone, szybki rzut oka na witrynę powinien ci to powiedzieć w kilka sekund.
Odwiedzanie witryny i postrzeganie jej z punktu widzenia klienta jest dobre nie tylko z punktu widzenia bezpieczeństwa, ale także z punktu widzenia dostępności i estetyki.
Więc kup sobie kawę, usiądź i przeglądaj swoją stronę tak, jakbyś był stałym gościem.
Najlepsze Porady:
- Donnie zapomnij wyświetlić swojej witryny, gdy jesteś zalogowany, wylogowany i również w incognito!
Rozważ statyczną stronę
Jeśli prowadzisz witrynę, która wymaga niewielkiego wkładu użytkownika, tj. służy głównie do udostępniania informacji, a nie do sklepu eCommerce lub ruchliwego bloga, konwersja na statyczną witrynę może być korzystna.
Aby to zrobić, musisz utworzyć kopie plików i połączyć je w schludny .ZIP, które mogą być przechowywane na serwerze.
Oznacza to, że Twoja rzeczywista instalacja WordPress może być bezpiecznie ukryta i niedostępna dla botów i hakerów.
Nie jest to właściwa trasa dla wielu witryn, ale możesz sprawdzić usługi takie jak Strattic lub po prostu Static, jeśli chcesz je dalej badać.
Lepiej Być Bezpiecznym Niż Żałować
Wiemy, że wdrażanie tak wielu różnych kroków może wydawać się żmudną pracą, ale na szczęście, po zaznaczeniu większości z nich z listy, będą one dbać o siebie.
Wtyczki działają cicho w tle i wykonują ciężką pracę za ciebie, więc po skonfigurowaniu wszystkich zabezpieczeń dla nowej witryny nie powinno to wymagać ciągłego ręcznego wprowadzania.
Kiedy masz inne aspekty strony, o które musisz się martwić, bezpieczeństwo może zostać zepchnięte na dalszy plan, jednak …
Poświęć teraz czas na wdrożenie odpowiednich procedur bezpieczeństwa dla swojej witryny i mam nadzieję, że nigdy nie będziesz musiał radzić sobie z frustracją związaną z hakowaniem witryny i życzeniem, abyś wcześniej podjął środki ostrożności.
