Paprastas „WordPress“ svetainių saugos kontrolinis sąrašas

Paprastas „WordPress“ svetainių saugos kontrolinis sąrašas

Ar žinojai, kad kasdien yra įsilaužta į daugiau nei 100 000 svetainių? Teisingai, elektroniniai nusikaltimai kelia rimtą grėsmę bet kuriai įmonei, ir niekas, turintis „WordPress“ svetainę, nėra saugus. Aš jau buvau prisijungęs prie įsilaužėlių (ir turėjau atkurti savo „WordPress“ svetainę), ir jūs tikriausiai žinote, kad tai buvo negražu.


Piratai aktyviai ieško pažeidžiamų svetainių, kad galėtų sulaužyti ir pavogti duomenis, kuriuos jie gali paviešinti siekdami gauti piniginės naudos ar grynai kenksmingų ketinimų. Norėdami apsaugoti save ir savo brangią svetainę, turėtumėte rimtai apsvarstyti galimybę sustiprinti savo „WordPress“ apsaugą.

Atsižvelgiant į tai, kad prarasite pajamas, laiką ir jėgas, kai įsilaužėliai pateks į jūsų svetainę, mes sukūrėme šį saugos kontrolinį sąrašą, kurį galite naudoti norėdami apsaugoti savo „WordPress“ svetainę. Visus įrašo saugos elementus gana lengva įgyvendinti net ir pirmą kartą dirbantiems asmenims:

Kaip matote, mes suskaidysime įrašą į kelias dalis, apimančias viską, pradedant nuo saugaus kompiuterio pasirinkimo ir baigiant jūsų ir kitų sričių grūdinimu. Turėsite pakartoti kai kurias saugos užduotis, pavyzdžiui, reguliariai atnaujinti savo temas. Kitos užduotys yra vienkartinis dalykas, tačiau vis tiek daro didelę įtaką jūsų svetainės saugumui. Patikrinkite, ką turite ištaisyti, ir padarykite tai iškart, nes įsilaužėliai taip pat nešvaisto laiko.

Paprastas „WordPress“ saugos kontrolinis sąrašas

1. Atnaujinkite „WordPress“

„WordPress“ branduolys yra reguliariai tikrinamas ir tikrinamas, ar nėra saugumo spragų. Jei aptinkama saugos trūkumų ir klaidų, pagrindiniai kūrėjai paprastai išleidžia priežiūros atnaujinimus. Nedideli atnaujinimai automatiškai įdiegiami jūsų „WordPress“ svetainėje.

Tačiau visoms pagrindinėms versijoms turėsite rankiniu būdu atnaujinti „WordPress“. Tai gana paprastas procesas, nes „WordPress“ administratoriuje gaunate piktą pranešimą. Tik 22% svetainių veikia naujausia „WordPress“ versija, o tai liūdina atsižvelgiant į tai, kaip lengva ją atnaujinti.

Nebūkit likusiais 78%, nes atnaujindami savo svetainę iš esmės patiriate įvairius išpuolius. Paprastai įsilaužėliai yra pirmoji grupė žmonių, sužinojusių apie bet kokias senų versijų spragas, nes jie tikisi trūkumų, kad galėtų pradėti sėkmingus išpuolius..

Prieš atnaujindami „WordPress“, rekomenduojame perskaityti išleidimo pastabas, kad pamatytumėte, kas pasikeitė, ir pasidaryti atsarginę savo svetainės atsarginę kopiją (kad tik būtumėte saugūs). Tokiu būdu jūs dabar galite tikėtis, kai spustelėsite tą atnaujinimo mygtuką, ir jūs turite saugų saugumą, jei kas nors nepavyks.

2. Atnaujinkite temas ir papildinius

Atnaujindami „WordPress“ branduolį, nepamirškite atnaujinti ir savo temų bei papildinių. Piratai ypač mėgsta senas temas ir papildinius su žinomomis saugumo spragomis.

Jie išnaudoja šias saugumo spragas ir netgi gali paslėpti užpakalines duris senoje temoje ar papildinyje. Jei neatnaujinsite, jie gali nulaužti jūsų svetainę, kai tik tai jiems patinka.

Norėdami neprarasti pasirinktinių stilių, rekomenduojame naudoti „WordPress“ vaiko temą, o ne pagrindinę temą. Tokiu būdu neprarasite tinkinimų atnaujindami temą.

Taip pat turėtumėte pašalinti bet kokias neaktyvias temas, papildinius ir nenaudojamus „WordPress“ diegimus. Jūs ne tik sutaupysite pralaidumą ir pagreitinsite savo svetainę, bet ir neleisite įsilaužėliams.

Dar viena greita pastaba – niekada neatsisiųskite „nulled“ aukščiausios kokybės temų ir papildinių. Eikite tik su patikimais šaltiniais, tokiais kaip „WordPress.org“, „Envato“ ar kitomis gerbiamų temų parduotuvėmis.

3. Naudokite unikalius ir stiprius slaptažodžius

Nustebsite sužinoję, kad dauguma svetainių įsilaužė, kai blogi vaikinai pavogė jūsų prisijungimo informaciją. Be to, žiaurios jėgos išpuoliai yra gana dažni reiškiniai ir apima jūsų prisijungimo puslapio bombardavimą tūkstančiais vartotojo vardo ir slaptažodžio derinių, kol kažkas duos.

Jei naudojate silpnus vartotojo vardus ir slaptažodžius (pvz., Liūdnai pagarsėjusį „admin“ arba „12345“), įsilaužėliams įsiveržti į jūsų svetainę tampa neįtikėtinai lengva. Įpraskite kurti unikalius ir stiprius slaptažodžius, kuriuos reguliariai keičiate. Jūs netgi galite naudoti nemokamą internetinį generatorių, tokį kaip šis iš „LastPass“.

Tvarkyti daugelį stiprių slaptažodžių gali būti problema. Norėdami padėti, dažnai pasikliauju slaptažodžių tvarkytojais, tokiais kaip „1Password“ ar „LastPass“. Nenaudokite to paties slaptažodžio keliose svetainėse ir visada saugokite prisijungimo duomenis. Įsitikinkite, kad ir jūsų „WordPress“ vartotojai naudoja stiprius slaptažodžius.

Kol esate, nepamirškite naudoti tvirtų slaptažodžių el. Pašto, „cPanel“, „MySQL“ duomenų bazėms ir FTP paskyroms..

4. Įdiekite „WordPress“ saugos papildinį

Kai kuriu naują „WordPress“ svetainę, paprastai turiu kelis defacto papildinius, kuriuos diegiu beveik automatiškai. Gaunu „anti-spam“ papildinį, „Contact Form 7“, „Symple Shortcodes“ ir „iThemes Security“, savo „WordPress“ saugos papildinį..

Įskiepis leidžia sustiprinti „WordPress“ gynybą nesulaikant prakaito. Atsiranda tiek daug funkcijų, kurios blogus vyrukus iš mano svetainių verčia vėžiu. Konfigūruoti papildinį yra labai lengva; turėtum būti pasiruošęs ir bėgti ne iš karto.

Geriausi „WordPress“ saugos papildiniai siūlo jums skirtingas funkcijas, todėl prieš diegdami būtinai patikrinkite, ar įsigyjate visas funkcijas, kurių reikia norint apsaugoti visą savo svetainę, kad ir kokia unikali ji būtų. Į standartines funkcijas įeina kenkėjiškų programų nuskaitymas, IP blokavimas, brutalios jėgos prevencija, dviejų veiksnių autentifikavimas ir dar daug daugiau – pažymėkite daugelį šiuo metu skaitomo saugos kontrolinio sąrašo langelių.!

5. Pasirinkite puikų „WordPress Hostingas“

Paprastai pradedantiesiems pavasaris pasirodo pirmasis pigus hostingo paketas. Aš to nepalaikysiu prieš jus, nes jūs dar nieko nežinote, tačiau abejotinai pigi (ar net nemokama) bendro naudojimo priegloba gali sukelti jums pavojų saugumui. Aš tai žinau iš tikrųjų, nes buvau nulaužtas ant dviejų skirtingų hostingo kompanijų, siūlančių bendrą hostingą.

Bendrai naudojama priegloba apima serverio pasidalinimą su tūkstančiais kitų svetainių. Tai padidina užteršimo keliose vietose riziką. T. y., Įsilaužėlis gali pasiekti jūsų svetainę, net jei kažkieno svetainė buvo pradinė atakos vieta.

Kita vertus, valdomoje „WordPress“ talpykloje daugiausia dėmesio skiriama tik „WordPress“ svetainėms. Jūs nebendrinate serverio su kitais ir gaukite daugiau saugumo galimybių, kad būtumėte saugūs. Jie taip pat siūlo specialų palaikymą, o blogiausiu atveju turėtų būti atkurta daugiau galimybių.

Jei turite naudoti bendrą prieglobą, tarkime, kad pradedate tinklaraščiu, kuris dar neuždirba pinigų, įsitikinkite, kad svetainės yra izoliuotos arba „įkalintos“. Jei naudojate verslo ar el. Prekybos svetainę, verta naudoti geriausią „WordPress“ prieglobą, kurią galite pritaikyti biudžete nuo pat žodžio – pvz., VPS, skirtą ar valdomą „WordPress“ prieglobą..

6. Naudokite SSL (HTTPS)

Šiais laikais daugelis „WordPress“ prieglobos kompanijų siūlo nemokamus SSL sertifikatus nuo pat žodžio ir dėl rimtos priežasties. SSL sertifikatai daro jūsų svetainę saugesnę nei svetainės be SSL. „Google“ taip pat rekomenduoja naudoti SSL sertifikatus, kad apsaugotumėte duomenis savo svetainėje (ir įsitikinkite, kad vartotojai žino, ar naudojate SSL, ar ne).

HTTPS yra saugesnis nei ankstesnis HTTP. Svetainė, kurioje naudojamas HTTPS, užkoduoja visus duomenis, kurie juda tarp vartotojo naršyklės ir jūsų serverių. Jei įsilaužėlis perima komunikaciją, jie ras tik tokius užšifruotus duomenis, kurie yra tokie pat naudingi, kaip ir viena koja koją užmušančių vyrų varžybose ��

Įdiegti SSL sertifikatus daugelyje žiniatinklio prieglobų yra taip paprasta, kaip ir A, B, C. Dauguma siūlo įdiegti vienu spustelėjimu diegėjus, kurie palengvina visą procesą. Tiesiog prisijunkite prie „cPanel“ ir spustelėkite vieną mygtuką, norėdami įdiegti ir valdyti savo SSL sertifikatus. Jei norėtumėte daugiau praktinio požiūrio, apsvarstykite galimybę šifruoti programą „Let’s Encrypt“.

7. Sukurkite visą svetainės atsarginę kopiją

Kai įsilaužėliai mane nugalėjo, aš turėjau atstatyti savo svetaines nuo nulio – galvos skausmo, kurio būčiau išvengęs, jei būčiau patikimai atsiminęs, kad turėčiau atsarginę „WordPress“ atsarginę kopiją..

Bet ne, atsarginės atsarginės kopijos, kurios buvo su mano žiniatinklio priegloba, buvo sugadintos atakos metu, ir ne, aš neturėjau antrinio atsarginio sprendimo. Klasikinis visų kiaušinių sudėjimo į vieną krepšį atvejis, kuris man išmokė sunkią pamoką.

Šiais laikais aš kuriu visas svetainių atsargines kopijas, kuriose yra mano svetainės failai ir duomenų bazės. Daugiausia naudoju „ManageWP“, bet aš taip pat naudoju Kopijavimo priemonės papildinys saugoti atsargines kopijas mano kompiuteryje ir „Google“ diske.

Aš raginu jus reguliariai kurti išsamias atsargines kopijas. Daugybė „WordPress“ atsarginių kopijų sprendimų leidžia automatizuoti visą procesą, taupydami laiką ir suteikdami ramybę.

8. Naudokite žiniatinklio programos ugniasienę (WAF)

Norėdami pridėti papildomą saugos lygį savo „WordPress“ svetainėje ir geriau miegoti naktį, įjunkite žiniatinklio programos ugniasienę (WAF). WAF apsaugo jūsų svetainę blokuodamas kenksmingą srautą dar ilgai, kol jis patenka į jūsų svetainę. Tai yra prevencinė priemonė sustabdyti blogų vaikinų mirtį savo vėžėse, kol jie nepadarys jokios žalos.

Ugniasienė filtruoja gaunamą srautą, pašalindama įsilaužėlius ir leisdama teisėtiems vartotojams. Daugelis „WordPress“ saugos kompanijų kartu su kitomis funkcijomis siūlo interneto programų ugniasienes. Populiariausi pramonės variantai yra Sucuri ir Debesuota.

9. Išjunkite failų redagavimą „WordPress Admin“

„WordPress CMS“ yra su fantastišku kodų redaktoriumi, leidžiančiu redaguoti įskiepių ir temų failus „WordPress“ administratoriaus prietaisų skydelyje. Kodo redaktorius yra puikus įrankis, kurį turite savo žinioje, tačiau netinkamose rankose įsilaužėliai gali jį naudoti norėdami įžeisti ar pridėti kenkėjiškų programų jūsų svetainėje..

Visada galite redaguoti savo temą ir papildinių failus (jei reikia, kad yra) naudodami FTP arba failų tvarkyklę „cPanel“, tai reiškia, kad galite visiškai išjungti kodų rengyklę „WordPress“. Jūs nenorite, kad įsilaužėliai, turintys prieigą prie jūsų „WordPress“ administratoriaus srities, turėtų prieigą prie kodų rengyklės, nes keliomis kodo eilutėmis jie gali padaryti daug žalos..

Ką daryti? Galite išjungti įmontuotą kodų rengyklę naudodami nemokamą Sucuri saugumas Prijunkite. Arba galite pridėti šį kodą prie savo wp-config.php failas:

// Neleisti failo taisyti
apibrėžti ('DISALLOW_FILE_EDIT', tiesa);

Mes judame toliau.

10. Apsaugokite savo prisijungimo puslapį

Paprastai prisijungimo formą „WordPress“ turi du laukai; vartotojo vardas ir slaptažodis. Kai žiaurios jėgos užpuolikai ir robotai kasdien tampa vis intelektualesni, kaip sustabdyti įsilaužėlių galimybes patekti į „WordPress“ administratoriaus sritį? Tai paprasta; pridedate „CAPTCHA“ arba saugos klausimų, dėl kurių bet kam sunkiau gauti nesankcionuotą prieigą.

Ir jums nereikia redaguoti kodo į pridėti CAPTCHA arba Apsaugos klausimai į jūsų prisijungimo puslapį. Yra populiarus „WordPress“ papildinys, žinomas kaip WP saugumo klausimas tai nesunku sukonfigūruoti ir naudoti. Jei norite naudoti CAPTCHA, galite naudoti Paprastas prisijungimo „captcha“, „WordFence“, arba vieną iš daugelio kitų variantų, kuriuos galite nemokamai rasti WordPress.org.

Tuo pačiu galite pakeiskite wp prisijungimo URL prie kažko nepakartojamo. Tokiu būdu robotams ir įsilaužėliams bus sunku bandyti atspėti jūsų prisijungimo puslapio URL. wp-login jau yra populiarus tarp įsilaužėlių, todėl yra visiškai prasminga pakeisti URL į ką nors kitą. Galite naudoti papildinį, pvz., WPS Slėpti prisijungimą.

11. Pridėti autentifikavimą

Be to, apsvarstykite galimybę įdiegti dviejų ir kelių veiksnių autentifikavimą. Jei įsilaužėlis gaus prieigą prie jūsų prisijungimo informacijos, jis negalės prisijungti prie jūsų „WordPress“ svetainės. Galimų variantų yra daug, tačiau „Google“ autentifikavimo priemonė yra populiarus pasirinkimas.

Išskyrus tai, kad apriboti prisijungimus savo prisijungimo puslapyje. Jei lankytojas bando prisijungti naudodamas neegzistuojančią sąskaitą arba bando prisijungti daug kartų, greičiausiai tai yra įsilaužėlis ar robotas, kuris bando įbrukti savo jėgą. Galite naudoti papildinį, pvz. Ribokite prisijungimo bandymus arba Prisijungimo užraktas kad šie įkyrūs elementai neliktų.

12. Atsijunkite neaktyvius vartotojus

Kai turite kelių vartotojų „WordPress“ svetainę, negalite visiškai valdyti, kaip ar kur vartotojai pasiekia jūsų svetainę. Autorius gali nuspręsti naudoti nemokamą viešąjį „Wi-Fi“, kad galutinai prisiliestų prie straipsnio. Žiniatinklio dizaineris gali palikti savo stalą ir grįžti po vienos valandos pietų pertraukos.

Tokiais atvejais jūsų vartotojas gali nesąmoningai kelti jūsų svetainės saugumo riziką. Kenkėjiškas asmuo gali perimti jų sesiją, redaguoti jų informaciją ir tiesiog sugadinti. Jei neleistina šalis žino, ką jie daro, ji gali lengvai perimti vartotojo sąskaitą ir padaryti žalos.

Ką daryti? Po iš anksto nustatyto laikotarpio galite automatiškai atsijungti nuo neaktyvių vartotojų. O geriausia dalis? Tam tikslui yra įskiepiai. Vienas populiariausių variantų yra Neaktyvus atsijungimas papildinys, kuriame yra parinktys, kaip pritaikyti neveikimo laiką prieš išsiunčiant, pasirinktinis iššokantis pranešimas arba peradresavimas atsijungiant ir laikas pagal vartotojo vaidmenį.

13. Ieškokite kenkėjiškų programų ir problemų (reguliariai)

Dažnai pamirštama, kad reguliariai tikrinate „WordPress“ svetainę, galite anksti nustatyti saugos problemas. Įsilaužus į jūsų svetainę ir atliekant įvairius bjaurius veiksmus, užtenka vos sekundės. Būtent dėl ​​to visada turėtumėte būti ant viršaus.

Daugybė „WordPress“ saugos papildinių, siekiant nuskaityti kenkėjiškų programų infekcijas, žinomus saugumo pažeidžiamumus, pasenusius scenarijus, brutalios jėgos išpuolius, neegzistuojančias atsargines kopijas ir pan. Papildiniai siunčia jums išsamias žinomų problemų ataskaitas, kad galėtumėte jas išspręsti arba pasamdyti profesionalus.

Yra daugybė svetainių skaitytuvų, tokių kaip „Sucuri SiteCheck“, kuriuos galite naudoti norėdami greitai patikrinti savo svetainę. Jums tereikia įvesti savo URL ir įrankiai automatiškai patikrins jūsų svetainę. Po to jie siūlo jums ataskaitą, ką turite išspręsti. Gavę ataskaitą, nedelsdami ištaisykite visas saugos spragas.

14. Naudokite VPN

Jei naudojatės svetaine, kurioje yra neskelbtinos informacijos, kuri niekada neturi patekti į įsilaužėlių rankas, apsvarstykite galimybę naudoti virtualų privatų tinklą (VPN), tuo labiau naudodamiesi nemokamu viešuoju „Wi-Fi“. VPN apsaugo jus nuo išpuolių tarp žmonių, kurie dažni viešuose tinkluose, įskaitant namuose ir darbe.

Virtualus privatus tinklas užtikrina, kad net jei užpuolikai gauna prieigą prie sistemos ir vagia jūsų duomenis, jie negali nieko padaryti su jūsų paimtais duomenimis. Jei turite interneto tinklą, kuriuo dalijatės su daugeliu žmonių, prieš naudodamiesi „WordPress“ administratoriaus sritimi visada naudokite VPN.

Kitos „WordPress“ saugos parinktys

Reikia dar ką veikti? Mes norėtume, kad jūsų svetainė visada būtų saugi, todėl čia yra papildomų saugumo elementų, kuriuos galite įtraukti į savo kontrolinį sąrašą:

  • Išjungti PHP failų vykdymą aplanke / wp-content / wp-uploads /
  • Pakeiskite savo „WordPress“ duomenų bazės priešdėlį
  • Apsaugokite slaptažodžiu savo administratoriaus ir prisijungimo puslapius serverio pusėje
  • Išjungti katalogų indeksavimą
  • Išjunkite WP REST API ir XML-RPC, jei to nereikia
  • Neredaguokite ir nekeiskite „WordPress“ branduolio – parašykite arba naudokite papildinį, kuris siūlo jums reikalingą funkciją
  • Įsitikinkite, kad jūsų svetainėje veikia naujausia PHP versija
  • Savo kompiuteryje naudokite antivirusinę programą
  • Įgalinti „Google“ paieškos konsolę
  • Sumažinkite XSS ir SQL įpurškimų pažeidžiamumą (jums gali reikėti labiau įgudusio žmogaus, kuris padėtų šiuose dviejuose)

Tiesą sakant, daugybė žingsnių, kuriuos galite atlikti savo svetainei apsaugoti, yra begalė. Bet jei galite patikrinti 14 mūsų išvardytų elementų, tai yra didžiulis žingsnis norint apsaugoti jūsų svetainę.


Apsaugoti savo „WordPress“ svetainę yra sudėtinga, bet ne neįmanoma. Turėdami tinkamus įrankius ir įgūdžius, galite greitai sustiprinti savo „WordPress“ saugumą ir atitolinti blogus veikėjus.

Primename, kad visada atnaujinkite savo svetainę. Be to, niekada neatsisiųskite temų ar papildinių iš nepatikimų svetainių. Jei norite būti saugūs, blogiausiu atveju visada turėkite patikimą atsarginį sprendimą.

Tikimės, kad radote visus patarimus, kurių reikia norint apsaugoti savo „WordPress“ svetainę, taigi ir internetinį verslą. Jei turite klausimų ar jums reikia pagalbos išsiaiškinti, kaip apsaugoti „WordPress“ svetainę, praneškite mums komentaruose. Lik saugus!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me