Przewodnik dla początkujących, jak chronić swoją witrynę WordPress
Opublikowany: 2017-05-16WordPress to jeden z najpopularniejszych systemów zarządzania treścią.
W rzeczywistości z tej platformy wydawniczej korzysta obecnie ponad 27,5% z 10 milionów najpopularniejszych witryn. Inne platformy, takie jak Joomla i Drupal, po prostu bledną w porównaniu. To, co sprawia, że WordPress jest tak szeroko obsługiwany, to łatwość obsługi, która umożliwia zbudowanie w pełni funkcjonalnej witryny w krótkim czasie.
Ale fakt, że WordPress jest tak rozpowszechniony, czyni go również celem hakerów.
Wszelkie luki w zabezpieczeniach mogą narazić Twoją witrynę na złośliwe ataki, a nawet narazić na szwank dane użytkownika. Ten rodzaj ataku może być całkowicie niszczycielski dla każdej firmy.
Zhakowana witryna nie tylko zmniejsza zaufanie odwiedzających, ale może również spowodować umieszczenie Twoich stron na czarnej liście w Google. W rzeczywistości jednym z kroków, które Google już podejmuje w kierunku bezpieczniejszej sieci, jest wyświetlanie ostrzeżenia dla użytkowników Chrome, jeśli próbują odwiedzić potencjalnie niebezpieczną lub zwodniczą witrynę (np. phishing lub złośliwe oprogramowanie).
Każda osoba odwiedzająca Twoją witrynę (jeśli została zaatakowana) może spotkać się z następującymi problemami:
Nie sposób wystarczająco podkreślić, jak ważne jest bezpieczeństwo witryny.
Wystarczy jeden atak, aby całkowicie zatrzymać sprzedaż i potencjalnie umieścić witrynę na czarnej liście w Google. Usunięcie witryny jest z pewnością możliwe, ale musisz poprosić o ręczną weryfikację, która może potrwać kilka dni lub nawet tygodni, w zależności od problemu. O wiele lepszym rozwiązaniem jest wtedy podjęcie kroków w celu ochrony Twojej witryny.
W tym miejscu szczegółowo przyjrzymy się, jak możesz chronić i chronić swoją witrynę WordPress.
Aktualizuj WordPress
Aktualizacje dla WordPressa są krytyczne.
Analiza ponad 11 000 zainfekowanych witryn wykazała, że 75% z nich było na WordPressie. Bardziej zaskakujący jest jednak fakt, że ponad 50% tych stron było nieaktualnych. Aktualizacja do najnowszej wersji zapewnia nie tylko dostęp do nowszych funkcji, ale także łata znane luki w zabezpieczeniach, które mogą wykorzystać osoby atakujące.
W rzeczywistości te luki w zabezpieczeniach stają się znane, gdy dostępne są nowe aktualizacje. Oto przykład dziennika bezpieczeństwa dla zaktualizowanej wersji WordPressa:
Ta informacja jest publicznie dostępna w miarę pojawiania się nowych aktualizacji. Jeśli jednak nie dokonasz natychmiastowej aktualizacji, Twoja witryna będzie narażona na ataki. Zawsze aktualizuj do najnowszej wersji, aby zabezpieczyć witrynę przed nowo odkrytymi lukami w zabezpieczeniach. Jeśli są dostępne jakieś aktualizacje, zobaczysz powiadomienie u góry pulpitu nawigacyjnego:
Nowsze wersje WordPressa umożliwiają łatwą aktualizację jednym kliknięciem. Pamiętaj, że Twoja witryna zostanie przez krótki czas przełączona w tryb konserwacji, aż do zakończenia aktualizacji. Aktualizacja zajmuje tylko kilka minut, ale po jej zakończeniu nie musisz robić nic więcej.
Nie masz ochoty za każdym razem ręcznie aktualizować swojej witryny?
Powiadomienia mogą być dość denerwujące. Jednak aktualizacja WordPressa to jeden z najłatwiejszych sposobów na zabezpieczenie witryny. Jeśli nie chcesz się martwić, czy Twoja witryna ma najnowszą wersję, możesz skonfigurować automatyczne aktualizacje za pomocą kilku prostych poprawek.
Otwórz plik wp-config.php i dodaj do niego następujący wiersz:
[kod]
define('WP_AUTO_UPDATE_CORE', prawda);
[/kod]
Możesz także włączyć automatyczne aktualizacje wtyczek, dodając następujący wiersz do tego samego pliku:
[kod]
add_filter( 'auto_update_plugin', '__return_true' );
[/kod]
I dodaj tę linię, aby włączyć aktualizacje motywów:
[kod]
add_filter( 'auto_update_theme', '__return_true' );
[/kod]
Dodanie tych wierszy zapewni aktualność witryny bez konieczności wykonywania innych czynności. Jeśli jesteś kimś, kto po prostu nie może zawracać sobie głowy aktualizacjami lub powiadomieniami, na pewno zechcesz skonfigurować automatyczne aktualizacje, aby Twoja witryna była zawsze aktualna.
Chroń obszar administracyjny
Bez względu na to, jak coś jest bezpieczne, każdy może łatwo uzyskać do niego dostęp, jeśli ma odpowiednie narzędzia lub właściciele są niedbali. W przypadku WordPressa obszar administracyjny jest głównym celem hakerów.
Wykonaj następujące kroki, aby zabezpieczyć tę stronę:
Użyj silnego hasła
Jeśli używasz słabego hasła (np. „12345”, „hasło” itp.), narażasz swoją witrynę na większe ryzyko, ponieważ atakujący mogą używać automatycznych skryptów do włamywania się do środka. Oznacza to wielokrotne próbowanie hasła, aż w końcu zadziała. . Jednak użycie silnego hasła, które zawiera kombinację cyfr i symboli, sprawia, że nawet najbardziej wyrafinowane programy są prawie niemożliwe do złamania.
Użyj narzędzia, takiego jak Generator silnych haseł , aby utworzyć silne i bezpieczne hasło dla swojej witryny WordPress:
Brutalne wymuszenie takiego hasła zajęłoby programowi komputerowemu lata, a nawet dekady, aby je złamać. Minusem jest jednak to, że silne hasło jest trudne do zapamiętania. Ale kompromis jest zdecydowanie tego wart, jeśli oznacza uniemożliwienie atakującym uzyskanie dostępu do Twojej witryny. Na szczęście istnieje wiele menedżerów haseł, których możesz użyć do przechowywania hasła.
Zmień swoją nazwę użytkownika
Podczas pierwszej instalacji WordPressa zostaniesz poproszony o podanie nazwy użytkownika.
Atakujący nie będą mogli uzyskać dostępu do pulpitu nawigacyjnego, jeśli nie będą mieli zarówno Twojej nazwy użytkownika, jak i hasła. Możesz łatwo zablokować próby siłowe, używając po prostu bardziej unikalnej nazwy użytkownika. Nie używaj więc „admin” przy wyborze nazwy użytkownika.
Ogranicz próby logowania
Jak wspomniano wcześniej, osoby atakujące mogą używać programów do brutalnego wdzierania się do Twojej witryny. Dostępne są jednak wtyczki, takie jak Login LockDown, które pozwalają ograniczyć próby logowania z określonego adresu IP. Jeśli więcej niż kilka prób zakończy się niepowodzeniem, użytkownik zostanie zablokowany.
Zmień nazwę swojej strony logowania
Wreszcie innym sposobem ochrony obszaru administracyjnego jest całkowite przeniesienie strony logowania. Pulpit nawigacyjny jest zwykle dostępny pod adresem www.yoursite.com/wp-admin . Jednym z rażących problemów jest to, że hakerzy wiedzą, że po prostu dodanie „ /wp-admin ” do witryny WordPress da im dostęp do strony administratora.
Chroń WP-Admin rozwiązuje ten problem, umożliwiając webmasterom dostosowanie adresu URL panelu administracyjnego:
Ochrona obszaru administracyjnego poprzez wykonanie tych kroków może znacznie ograniczyć i zablokować automatyczne ataki na Twoją witrynę.
Włącz uwierzytelnianie dwuskładnikowe
Uwierzytelnianie dwuskładnikowe dodaje dodatkową warstwę bezpieczeństwa, utrudniając atakującym uzyskanie dostępu do Twojego konta. Logowanie wymaga nie tylko nazwy użytkownika i hasła, ale także dodatkowego kodu autoryzacyjnego, który zazwyczaj wysyłany jest SMS-em na urządzenie mobilne.
Nawet jeśli atakujący w jakiś sposób odgadnie Twoją nazwę użytkownika i hasło, nie będzie mógł zalogować się na Twoje konto bez kodu autoryzacyjnego. Pobierz i zainstaluj wtyczkę Google Authenticator, aby łatwo skonfigurować uwierzytelnianie dwuskładnikowe w swojej witrynie:
Oprócz możliwości korzystania z aplikacji Google Authenticator do weryfikacji, wtyczka oferuje również dodatkowe opcje uwierzytelniania dwuskładnikowego, takie jak weryfikacja poczty e-mail i połączenia telefonicznego. Uwierzytelnianie dwuskładnikowe można również zastosować, jeśli witryna ma wielu użytkowników.
Użyj .htaccess, aby ograniczyć dostęp do kluczowych plików
Możesz dodatkowo wzmocnić zabezpieczenia swojej witryny WordPress za pomocą pliku .htaccess. Ten plik jest najczęściej używany w WordPress do optymalizacji stron internetowych, takich jak przepisywanie adresów URL, aby były bardziej przyjazne dla użytkownika i wyszukiwarek. Ale może być również używany do poprawy bezpieczeństwa Twojej witryny.
Plik .htaccess zwykle znajduje się w folderze głównym i można uzyskać do niego dostęp za pośrednictwem klienta FTP lub cPanel. Dostępnych jest również kilka wtyczek, w tym SEO by Yoast, które umożliwiają bezpośredni dostęp z pulpitu nawigacyjnego.
Oto kilka sposobów ochrony witryny za pomocą pliku .htaccess:
Ukryj wp-config.php
Plik wp-config.php jest standardem przy każdej instalacji, ale zawiera również poufne informacje, takie jak klucze bezpieczeństwa i szczegóły połączenia z bazą danych do Twojej witryny. Są to szczegóły, których na pewno nie chcesz w niepowołanych rękach. Najlepszym rozwiązaniem jest wtedy całkowite ukrycie tego pliku i uniemożliwienie dostępu.
Ukryj plik wp-config.php, dodając następujący kod do pliku .htaccess:
[kod]
<pliki wp-config.php>
zamów zezwól, odrzuć
Odmowa od wszystkich
</file>
[/kod]
Blokuj przeglądanie katalogów
Ze względu na to, jak WordPress implementuje swoją strukturę plików, odwiedzający mogą uzyskać dostęp do folderów i plików Twojej witryny po prostu przechodząc do yoursite.com/wp-content/uploads. Dlatego warto uniemożliwić przeglądanie katalogów, ponieważ osoby atakujące mogą wykorzystać te informacje do niecnych celów.
Dodaj następujący wiersz do pliku .htaccess:
[kod]
Opcje Wszystkie -Indeksy
[/kod]
Ochrona plików PHP jest niezwykle ważna, ponieważ hakerzy mogą używać tych plików do wstrzykiwania złośliwego kodu w celu zainfekowania witryny. Dodaj następujący kod do pliku .htaccess, aby uniemożliwić dostęp do wtyczki i plików PHP motywu:
[kod]
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/katalog/do/wykluczenia/
RewriteRule wp-content/plugins/(.*\.php)$ – [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/katalog/do/wykluczenia/
RewriteRule wp-content/themes/(.*\.php)$ – [R=404,L]
[/kod]
Samo dodanie tych zmian do pliku .htaccess poprawi bezpieczeństwo Twojej witryny WordPress i jeszcze bardziej utrudni hakerom uzyskanie dostępu do Twojej witryny. Niezależnie od tego nie ma czegoś takiego jak witryna, która jest całkowicie bezpieczna, ponieważ stale odkrywane i wykorzystywane są nowe luki w zabezpieczeniach.
Dlatego musisz mieć plan tworzenia kopii zapasowych na wypadek, gdyby sprawy przybrały gorszy obrót.
Regularnie twórz kopie zapasowe swojej witryny Utrzymuj regularne kopie zapasowe
Bez względu na to, ile środków bezpieczeństwa podejmiesz, Twoja witryna może być nadal podatna na ataki.
Mimo że WordPress istnieje już od ponad dekady, zespół programistów stale identyfikuje i naprawia problemy z bezpieczeństwem. Nie wspominając o tym, że wszelkie nowe motywy lub wtyczki, które instalujesz, mogą również zawierać exploity, które nie zostały jeszcze naprawione.
Dlatego dobrym pomysłem jest regularne tworzenie kopii zapasowych witryny. W ten sposób możesz szybko przywrócić swoją witrynę i zminimalizować wszelkie straty, jeśli witryna zostanie usunięta po ataku.
Upewnij się, że kopia zapasowa Twojej witryny jest regularnie tworzona, a także zapisywana w chmurze. Jeśli Twój komputer zostanie naruszony, będziesz mógł uzyskać dostęp do tej kopii zapasowej i przywrócić ją z innego urządzenia. Zalecamy korzystanie z automatycznego rozwiązania, takiego jak BackupBuddy.
Większość rozwiązań do tworzenia kopii zapasowych wymaga płatnej subskrypcji. Ale jeśli polegasz na swojej stronie internetowej dla swojej firmy, płacenie jest tego warte dla spokoju ducha. W przypadku wyłączenia witryny w wyniku ataku możesz współpracować z dostawcą usług hostingowych i łatwo przywrócić witrynę do poprzedniej wersji z kopią zapasową.
Wniosek
Chociaż sam WordPress jest stosunkowo bezpieczny, dodanie motywów, wtyczek i niestandardowego kodu zwiększa prawdopodobieństwo luki w zabezpieczeniach, którą hakerzy mogą (i robią) wykorzystać. Jeśli nie podejmiesz teraz pewnych środków bezpieczeństwa, Twoja witryna może być potencjalnym celem.
Należy zauważyć, że żaden system nie jest całkowicie bezpieczny. Istnieją jednak środki ostrożności, które można podjąć, które znacznie zmniejszą prawdopodobieństwo, że zostanie narażony na złośliwy atak.
Wykonaj czynności opisane tutaj, aby wzmocnić bezpieczeństwo witryny WordPress.