Preprost varnostni seznam za WordPress spletna mesta

Preprost varnostni seznam za WordPress spletna mesta

Ali ste vedeli, da se dnevno prekine več kot 100.000 spletnih strani? Tako je, kibernetska kriminaliteta je resna grožnja vsakemu podjetju in tudi kdo z WordPress spletnega mesta ni varen. Sem imel nalet s hekerji (in sem moral obnoviti svoje WordPress spletno mesto), in verjetno veste, da je bilo grdo.


Hekerji aktivno iščejo ranljiva spletna mesta, s katerimi lahko zlomijo in ukradejo podatke, ki jih lahko objavijo zaradi denarne koristi ali čiste zlonamerne namere. Če želite zaščititi sebe in svoje dragoceno spletno mesto, resno razmišljajte o krepitvi varnosti WordPressa.

Glede na to, da boste izgubili prihodek, čas in trud, ko hekerji vdrejo na vaše spletno mesto, smo ustvarili naslednji varnostni seznam, ki ga lahko uporabite za zaščito svojega spletnega mesta WordPress. Vsi varnostni elementi v objavi so razmeroma enostavni za izvedbo tudi za začetnike:

Kot vidite, bomo objavo razdelili na več delov, ki bodo pokrivali vse, od izbire varnega gostitelja do utrjevanja vašega skrbniškega področja in drugih. Ponoviti boste morali nekatere varnostne naloge, kot je redno posodabljanje tem. Druge naloge so enkratna stvar, vendar še vedno pomembno vplivajo na varovanje spletnega mesta. Preverite, kaj morate popraviti, in to storite takoj, saj tudi hekerji ne izgubljajo časa.

Preprost WordPress Varnostni seznam

1. Posodobite WordPress

Jedro WordPressa redno revidiramo in preverjamo, ali so varnostne ranljivosti. Če so odkrite pomanjkljivosti varnosti in napake, razvijalci jedra običajno izdajo posodobitve vzdrževanja. Manjše posodobitve so samodejno nameščene na vašem spletnem mestu WordPress.

Za vse večje izdaje pa boste morali ročno posodobiti WordPress. To je sorazmerno preprost postopek, saj v administratorju WordPress-a dobite grozljivo sporočilo. Le 22% spletnih mest deluje na najnovejši različici WordPress-a, kar je žalostno glede na to, kako enostavno je posodobiti.

Ne bodite v preostalih 78%, saj svoje spletno mesto v bistvu izpostavljate kakršnim koli napadom, tako da ne posodabljate svojega spletnega mesta. Običajno so hekerji prva skupina ljudi, ki spoznajo vse ranljivosti v starih različicah, saj računajo na pomanjkljivosti za začetek uspešnih napadov.

Preden posodobite WordPress, priporočamo, da preberete opombe k izdaji, da vidite, kaj se je spremenilo, in ustvarite varnostno kopijo spletnega mesta (samo zato, da je varno). Tako boste zdaj videli, kaj lahko pričakujete, ko kliknete ta gumb za posodobitev in imate napako, če bi šlo kaj narobe.

2. Posodobite teme in vtičnike

Med posodabljanjem jedra WordPress ne pozabite posodobiti svojih tem in vtičnikov. Hekerji so še posebej radi stare teme in vtičnikov z znanimi varnostnimi luknjami.

Te varnostne ranljivosti izkoriščajo in morda celo skrivajo zakulisje v stari temi ali vtičniku. Če ne posodabljate, lahko vaše spletno mesto vdre, kadar koli jim to ustreza.

Da ne bi izgubili svojih slogov po meri, priporočamo uporabo otroške teme WordPress v nasprotju z nadrejeno temo. Tako ne boste izgubili prilagoditev, ko posodobite temo.

Yo naj bi odpravil tudi neaktivne teme, vtičnike in neuporabljene namestitve WordPress. Ne samo, da boste prihranili pasovno širino in pospešili svoje spletno mesto hitreje, ampak boste tudi hekerje obdržali.

Še eno hitro opozorilo: nikoli ne prenašajte “razveljavljenih” premijskih tem in vtičnikov. Pojdite samo z zaupanja vrednimi viri, kot so WordPress.org, Envato ali drugo ugledno tematsko trgovino.

3. Uporabite edinstvena in močna gesla

Presenečeni boste, ko boste izvedeli, da je večina spletnih mest taksirana, ko slabi fantje ukradejo vaše podatke za prijavo. Poleg tega so napadi z grobo silo pogosti in vključujejo bombardiranje vaše prijavne strani z več tisoč kombinacijami uporabniškega imena in gesla, dokler nekaj ne.

Če uporabljate šibka uporabniška imena in gesla (na primer zloglasni “admin” ali “12345”), hekerji neverjetno enostavno vdrejo na vaše spletno mesto. Pridobite se navadi ustvarjati edinstvena in močna gesla, ki jih redno spreminjate. Uporabite lahko celo brezplačen spletni generator, kot je ta LastPass.

Upravljanje številnih močnih gesel je lahko težava. Za pomoč se med drugim pogosto zanašam na skrbnike gesel, kot sta 1Password ali LastPass. Ne uporabljajte istega gesla na več spletnih mestih in vedno hranite podatke za prijavo. Zagotovite, da tudi uporabniki WordPress-a uporabljajo močna gesla.

Čeprav ste pri tem – ne pozabite uporabljati močnih gesel tudi za e-pošto, cPanel, baze podatkov MySQL in račune FTP.

4. Namestite varnostni vtičnik WordPress

Kadar koli ustvarim novo spletno mesto WordPress, ponavadi imam več vtičnikov defacto, ki jih vgradim skoraj samodejno. Dobim vtičnik za preprečevanje neželene pošte, obrazec za stik 7, kratke kode simbola in varnost iThemes, moj varnostni vtičnik WordPress.

Vtičnik mi omogoča, da okrepim svoje WordPress obrambe, ne da bi pri tem zlomil znoj. Na voljo je tako veliko funkcij, zaradi katerih je zadrževanje slabih fantov z mojih spletnih mest lahkomiselno. Konfiguriranje vtičnika je zelo enostavno; v nobenem trenutku bi morali biti pripravljeni in teči.

Najboljši varnostni vtičniki WordPress vam ponujajo različne funkcije, zato pred namestitvijo preverite, ali dobite vse funkcije, ki jih potrebujete za zaščito celotnega spletnega mesta, ne glede na to, kako edinstvene so. Standardne funkcije vključujejo skeniranje zlonamerne programske opreme, blokiranje IP-ja, preprečevanje grobe sile, dvofaktorsko preverjanje pristnosti in še veliko več – preverjanje številnih polj za ta varnostni kontrolni seznam, ki ga trenutno berete!

5. Izberite Great WordPress gostovanje

Začetniki ponavadi spomladi na prvi poceni paket gostovanja, na katerega naletijo. Ne bi nasprotoval tebi, saj ne poznaš ničesar boljšega, toda vprašljivo poceni (ali celo brezplačno) skupno gostovanje te lahko izpostavi varnostnim tveganjem. To vem v resnici, saj so me prekorili dve različni ponudniki gostovanja, ki ponujajo skupno gostovanje.

Skupno gostovanje vključuje deljenje strežnika z več tisoč drugimi spletnimi mesti. To poveča tveganje za kontaminacijo na kraju samem. Se pravi, heker lahko dobi dostop do vašega spletnega mesta, tudi če je bilo prvotno mesto napada nekdo drug.

Po drugi strani upravljano gostovanje WordPress se osredotoča samo na spletna mesta WordPress. Ne delite strežnika z drugimi in imate več varnostnih možnosti, da ostanete varni. Ponujajo tudi namensko podporo, v najslabšem primeru pa bi lahko prišlo do več možnosti obnovitve.

Če morate uporabljati skupno gostovanje, recite, da začnete z blogom, ki še ne zasluži, poskrbite, da bodo spletna mesta izolirana ali »zaprta«. Če imate spletno mesto za podjetja ali e-trgovino, se vam splača uporabiti najboljše WordPress gostovanje, ki ga lahko vključite v svoj proračun od besedne poti – na primer VPS, namensko ali upravljano WordPress gostovanje.

6. Uporabite SSL (HTTPS)

Dandanes veliko gostujočih podjetij WordPress ponuja brezplačne SSL certifikate od besede go in z dobrim razlogom. SSL certifikati naredijo vaše spletno mesto bolj varno kot spletna mesta brez SSL. Google priporoča tudi uporabo SSL certifikatov za zaščito podatkov na vašem spletnem mestu (in prepričajte se, ali uporabniki vedo, ali uporabljate SSL ali ne).

HTTPS je bolj varen kot predhodni HTTP. Spletno mesto, ki uporablja HTTPS, šifrira vse podatke, ki se premikajo med brskalnikom uporabnika in strežniki. Če heker prestreže komunikacijo, bodo v tekmovanju, ki brca v rit, našli le šifrirane podatke, ki so enako uporabni kot moški z eno nogo. ��

Namestitev SSL certifikatov na večino spletnih gostiteljev je tako enostavna kot A, B, C. Večina ponuja namestitvene programe z enim klikom, kar celoten postopek olajša. Preprosto se prijavite v svoj cPanel in kliknite en sam gumb za namestitev in upravljanje potrdil SSL. Če želite bolj praktičen pristop, razmislite o možnosti Let’s Šifriraj.

7. Ustvarite popolno varnostno kopijo spletnega mesta

Ko so me hekerji odstranili, sem moral obnavljati svoja spletna mesta iz nič, glavobolu, ki bi se mu izognil, če bi se zanesljivo spomnil, da sem varnostno kopiral WordPress.

Toda ne, varnostne kopije, ki so bile pri mojem spletnem gostitelju, so bile med napadom poškodovane, in ne, nisem imel sekundarne varnostne rešitve. Klasičen primer, ko so vsa vaša jajca dali v eno košarico, kar me je naučilo težke lekcije.

Dandanes ustvarjam popolne varnostne kopije spletnih strani, ki vključujejo datoteke mojega spletnega mesta in baze podatkov. V glavnem uporabljam ManageWP, vendar uporabljam tudi Duplicator vtičnik shranjevanje varnostnih kopij v računalniku in v Googlu Drive.

Pozivam vas, da redno ustvarjate popolne varnostne kopije. Številne rešitve za varnostno kopiranje WordPress vam omogočajo avtomatizacijo celotnega postopka, s čimer prihranite čas in poskrbite za mir.

8. Uporabite požarni zid spletne aplikacije (WAF)

Če želite svojemu mestu WordPress dodati dodatno plast varnosti in bolje spati ponoči, omogočite požarni zid spletne aplikacije (WAF). WAF ščiti vaše spletno mesto z blokiranjem zlonamernega prometa, preden pride na vaše spletno mesto. Proaktivni ukrep je, da zaustavijo negativce na svojih tirih, preden povzročijo škodo.

Požarni zid filtrira vaš dohodni promet in s tem odpravlja hekerje, hkrati pa pušča zakonite uporabnike. Številna varnostna podjetja WordPress poleg drugih funkcij ponujajo tudi požarne zidove spletnih aplikacij. Priljubljene možnosti v industriji vključujejo Sucuri in Cloudflare.

9. Onemogočanje urejanja datotek v programu WordPress Admin

WordPress CMS ima fantastičen urejevalnik kod, ki omogoča urejanje vtičnikov in tematskih datotek znotraj upravne nadzorne plošče WordPress. Urejevalnik kod je odlično orodje, ki ga imate na razpolago, vendar pa ga lahko hekerji uporabijo za črtanje ali dodajanje zlonamerne programske opreme na vašem spletnem mestu.

Vedno lahko uredite temo in datoteke vtičnikov (če je to potrebno) prek FTP ali upravitelja datotek v cPanelu, kar pomeni, da lahko v WordPressu v celoti onemogočite urejevalnik kod. Nočete, da bi hekerji, ki dobijo dostop do svojega skrbniškega področja WordPress, imeli dostop do urejevalnika kode, saj lahko z nekaj vrsticami kode povzročijo veliko škode..

Kaj storiti? Vgrajen urejevalnik kod lahko onemogočite s pomočjo brezplačnega Sucuri Varnost vključiti. Naslednjo kodo lahko dodate tudi v svojo wp-config.php mapa:

// Onemogoči urejanje datotek
define ('DISALLOW_FILE_EDIT', res);

Gremo naprej.

10. Zavarujte svojo stran za prijavo

Običajno ima prijavni obrazec na vašem WordPressu dve polji; uporabniško ime in geslo. Kako postanejo napadalci in napadi na silo iz dneva v dan bolj pametni, kako preprečiti hekerjem dostop do vašega upravnega območja WordPress? Je preprosto; dodate CAPTCHA ali varnostna vprašanja, ki vsem otežujejo dostop do nepooblaščenega dostopa.

In kode vam ni treba urejati dodajte CAPTCHA ali varnostna vprašanja na svojo prijavno stran. Obstaja priljubljen vtičnik WordPress, znan kot Varnostno vprašanje WP To je enostavno konfiguriranje in uporaba. Če želite uporabljati CAPTCHA, lahko uporabite Preprosta prijava Captcha, WordFence, ali eno od mnogih drugih možnosti, ki so na voljo brezplačno na WordPress.org.

Hkrati lahko spremenite svoj wp-login URL na nekaj edinstvenega. Tako bodo boti in hekerji težko poskusili uganiti URL na svojo prijavno stran. wp-prijava je že priljubljena med hekerji, zato je smiselno, da URL spremenite v nekaj drugega. Lahko uporabite vtičnik, kot je WPS Skrij prijavo.

11. Dodajte preverjanje pristnosti

Poleg tega razmislite o izvajanju dvofaktorne in večfaktorske overitve. Če heker dobi dostop do vaših podatkov za prijavo, se ne bo mogel prijaviti na vaše WordPress spletno mesto. Na voljo je veliko možnosti, vendar Google Authenticator je priljubljena izbira.

Poleg tega omejite prijavo na svoji strani za prijavo. Če se obiskovalec skuša prijaviti z računom, ki ne obstaja ali se večkrat poskuša prijaviti, je najverjetneje heker ali bot, ki se skuša naglo ubiti. Uporabite lahko vtičnik, kot je Omejite poskusi prijave ali Zaklepanje prijave da prepreči te vsiljive elemente.

12. Odjava neaktivnih uporabnikov

Če imate spletno mesto za več uporabnikov WordPress, ne morete v celoti nadzorovati, kako ali kje uporabniki dostopajo do vašega spletnega mesta. Avtor se lahko odloči, da bo za končne dotike izdelka uporabil brezplačni javni Wi-Fi. Spletni oblikovalec lahko zapusti njihovo mizo in se vrne z enournega odmora za kosilo.

V takšnih scenarijih lahko vaš uporabnik nezavedno izpostavi vaše spletno mesto varnostnim tveganjem. Zlonamerna oseba lahko prevzame njihovo sejo, uredi svoje podrobnosti in preprosto zaplete. Če nepooblaščena stranka ve, kaj počne, lahko zlahka prevzame uporabnikov račun in naredi škodo.

Kaj storiti? Po nekem vnaprej določenem obdobju se neaktivni uporabniki lahko samodejno odjavijo. In najboljši del? Za ta natančen namen obstajajo vtičniki. Ena izmed priljubljenih možnosti je Neaktivna odjava vtičnik, ki vključuje možnosti za prilagajanje časa mirovanja pred odhodom, pojavno sporočilo po meri ali preusmeritev ob odjavi in ​​časovni presledk glede na vlogo uporabnika.

13. Skeniranje zlonamerne programske opreme in težav (redno)

Pogosto pozabljanje lahko redno skeniranje vašega spletnega mesta WordPress pomaga ugotoviti varnostne težave. Hitro traja, da se heker prebije na vaše spletno mesto in počne vse grde stvari. Prav zato bi morali ves čas ostati na vrhu.

Veliko varnostnih vtičnikov WordPress za iskanje okužb z zlonamerno programsko opremo, znane ranljivosti varnosti, zastarele skripte, napade grobe sile, neobstoječe varnostne kopije ipd. Vtičniki vam pošljejo podrobna poročila o znanih težavah, tako da jih lahko odpravite ali najamete strokovnjaka.

Obstaja veliko spletnih skenerjev, kot so Sucuri SiteCheck, ki jo lahko uporabite za trenutek. Vse kar morate storiti je, da vnesete svoj URL, orodja pa bodo samodejno preverila vaše spletno mesto. Po tem vam ponudijo poročilo o tem, kaj morate popraviti. Ko imate poročilo, takoj odpravite vse varnostne ranljivosti.

14. Uporabite VPN

Če imate spletno mesto z občutljivimi informacijami, ki nikoli ne smejo biti v rokah hekerjev, razmislite o uporabi navideznega zasebnega omrežja (VPN), še bolj pri uporabi brezplačnega javnega Wi-Fi-ja. VPN vas ščiti pred napadi človeka v sredini, ki so pogosti v javnih omrežjih, tudi doma in na delu.

Navidezno zasebno omrežje zagotavlja, da tudi če napadalci dobijo dostop do sistema in ukradejo vaše podatke, ne morejo storiti ničesar s podatki, ki jih vzamejo od vas. Če imate internetno omrežje, ki ga delite z mnogimi ljudmi, vedno uporabite VPN, preden dostopate do svojega skrbniškega prostora WordPress.

Druge varnostne možnosti za WordPress

Potrebujete več? Z veseljem bi vašo spletno stran varovali ves čas, zato so tukaj varnostni elementi, ki jih lahko dodate na svoj seznam:

  • Onemogoči izvajanje datoteke PHP v / wp-content / wp-uploads /
  • Spremenite predpono baze podatkov WordPress
  • Geslo zaščitite skrbnika in prijavne strani na strani strežnika
  • Onemogoči indeksiranje imenikov
  • Onemogočite WP REST API in XML-RPC, če niso potrebni
  • Ne urejajte / ne spreminjajte jedra WordPress – napišite ali uporabite vtičnik, ki ponuja funkcijo, ki jo potrebujete
  • Poskrbite, da bo vaše spletno mesto izvajalo najnovejšo različico PHP-ja
  • V računalniku uporabite protivirusni program
  • Omogoči Google Search Console
  • Zmanjšajte ranljivosti XSS in SQL Injection (za pomoč pri teh dveh boste morda potrebovali bolj tehnično usposobljeno osebo)

Dejansko je število ukrepov, ki jih lahko izvedete za zaščito svojega spletnega mesta, neskončno. Če pa lahko preverite 14 elementov, ki smo jih našteli, je to velik korak do varovanja vašega spletnega mesta.


Zavarovanje vašega spletnega mesta WordPress je zahtevno, vendar ne nemogoče. S pravimi orodji in spretnostmi lahko hitro okrepite svojo WordPress varnost in obdržite slabe igralce.

Kot povzetek vedno spremljajte svoje spletno mesto na tekočem. Poleg tega nikoli ne prenašajte tem ali vtičnikov z nezanesljivih mest. Če je najhujše, če želite biti na varni strani, vedno imejte zanesljivo varnostno rešitev.

Upamo, da ste našli vse nasvete, ki jih potrebujete za zavarovanje spletnega mesta WordPress in s tem spletnega poslovanja. Če imate vprašanje ali potrebujete pomoč pri ugotavljanju, kako zavarovati vaše spletno mesto WordPress, nam to sporočite v komentarjih. Ostani varen!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map