Jednoduchý kontrolný zoznam zabezpečenia pre stránky WordPress

Jednoduchý kontrolný zoznam zabezpečenia pre stránky WordPress

Vedeli ste, že denne je hackovaných viac ako 100 000 webových stránok? To je pravda, počítačová kriminalita je vážnou hrozbou pre akúkoľvek spoločnosť a nie je bezpečný ani ktokoľvek s webom WordPress. Zúčastnil som sa hackerov (a musel som obnoviť svoje stránky WordPress) a pravdepodobne viete, že to bolo škaredé.


Hackeri aktívne hľadajú zraniteľné webové stránky, ktoré môžu porušiť a odcudziť údaje, ktoré môžu zverejniť za účelom peňažného zisku alebo čisto škodlivého úmyslu. Ak chcete chrániť seba a svoje cenné stránky, mali by ste vážne uvažovať o zvýšení bezpečnosti WordPress.

Vzhľadom na to, že keď hackeri preniknú na váš web, prídete o príjmy, čas a námahu, vytvorili sme nasledujúci kontrolný zoznam zabezpečenia, ktorý môžete použiť na zabezpečenie svojej webovej stránky WordPress. Všetky bezpečnostné položky v príspevku sa dajú relatívne ľahko implementovať aj pre používateľov, ktorí pracujú prvýkrát:

Ako vidíte, príspevok rozdelíme na niekoľko častí, ktoré pokrývajú všetko od výberu bezpečného hostiteľa až po spevnenie vašej administratívnej oblasti a ďalších. Budete musieť zopakovať niektoré bezpečnostné úlohy, napríklad pravidelnú aktualizáciu tém. Ostatné úlohy sú jednorazovou záležitosťou, stále však majú významný vplyv na udržanie bezpečnosti vašich stránok. Skontrolujte, čo musíte opraviť, a okamžite to urobte, pretože hackeri nestrácajú čas.

Jednoduchý kontrolný zoznam zabezpečenia WordPress

1. Aktualizujte WordPress

Jadro WordPress je pravidelne kontrolované a kontrolované kvôli chybám zabezpečenia. Ak sa zistia bezpečnostné chyby a chyby, vývojári jadra zvyčajne vydávajú aktualizácie údržby. Drobné aktualizácie sa automaticky inštalujú na vaše webové stránky WordPress.

Pre všetky hlavné vydania však budete musieť aktualizovať program WordPress manuálne. Ide o pomerne priamy postup, pretože od správcu programu WordPress dostanete nepríjemnú správu. Iba 22% webových stránok beží na najnovšej verzii programu WordPress, čo je smutné vzhľadom na to, aké ľahké je aktualizovať.

Nezostávajte vo zvyšných 78%, pretože svoju stránku v podstate vystavujete všetkým útokom, pretože neaktualizujete svoj web. Hackeri sú zvyčajne prvou skupinou ľudí, ktorí sa dozvedeli o zraniteľnostiach v starých verziách, pretože počítajú s nedostatkami pri spúšťaní úspešných útokov.

Pred aktualizáciou programu WordPress vám odporúčame prečítať si poznámky k vydaniu, aby ste zistili, čo sa zmenilo, a urobiť si zálohu zo svojich webových stránok (len kvôli bezpečnosti). Týmto spôsobom teraz získate, čo môžete očakávať, keď kliknete na toto tlačidlo aktualizácie, a ak dôjde k zhoršeniu situácie, máte zlyhanie.

2. Aktualizujte témy a doplnky

Pri aktualizácii jadra WordPress nezabudnite aktualizovať aj svoje témy a doplnky. Hackeri majú radi najmä staré témy a doplnky so známymi bezpečnostnými dierami.

Využívajú tieto bezpečnostné chyby a dokonca môžu skryť zadné dvere v starej téme alebo doplnku. Ak ich neaktualizujete, môžu kedykoľvek napadnúť vaše webové stránky, keď sa im to páči.

Aby ste predišli strate vlastných štýlov, odporúčame vám používať podradenú tému WordPress namiesto rodičovskej témy. Pri aktualizácii témy tak nestratíte svoje prispôsobenia.

Tiež by ste mali vylúčiť všetky neaktívne témy, doplnky a nepoužívané inštalácie WordPress. Nielenže ušetríte šírku pásma a zrýchlite svoje webové stránky, ale aj hackerom zabránite.

Ďalšia rýchla poznámka, nikdy si nepreberajte „nulové“ prémiové témy a doplnky. Používajte iba dôveryhodné zdroje, ako je WordPress.org, Envato alebo iný renomovaný obchod s témami.

3. Používajte jedinečné a silné heslá

Budete prekvapení, keď sa dozviete, že väčšina webových stránok je napadnutá, keď zlodeji ukradnú vaše prihlasovacie údaje. Útoky hrubou silou sú navyše dosť bežné a zahŕňajú bombardovanie vašej prihlasovacej stránky tisíckami kombinácií užívateľské meno a heslo, kým niečo nedá.

Ak používate slabé používateľské mená a heslá (napríklad neslávny „správca“ alebo „12345“), hackerom je neuveriteľne ľahké preniknúť na vaše webové stránky. Zvyknite si vytvárať jedinečné a silné heslá, ktoré sa pravidelne menia. Môžete dokonca použiť bezplatný online generátor, ako je tento z LastPass.

Problémom môže byť správa mnohých silných hesiel. Aby som vám pomohol, často sa spolieham na manažérov hesiel, ako sú napríklad 1Password alebo LastPass. Nepoužívajte rovnaké heslo na viacerých webových stránkach a svoje prihlasovacie údaje vždy udržiavajte v bezpečí. Zabezpečte, aby používatelia systému WordPress používali aj silné heslá.

Kým ste na tom – nezabudnite použiť silné heslá pre svoj e-mail, cPanel, databázy MySQL a FTP účty..

4. Nainštalujte doplnok zabezpečenia WordPress

Vždy, keď vytvorím novú webovú stránku WordPress, zvyčajne mám niekoľko doplnkov defacto, ktoré inštalujem takmer automaticky. Mám doplnok proti nevyžiadanej pošte, kontaktný formulár 7, Symple Shortcodes a iThemes Security, môj bezpečnostný doplnok pre prehliadač WordPress.

Doplnok mi umožňuje opevniť obranu WordPress bez prerušenia potu. Dodáva sa s toľkými funkciami, ktoré spôsobujú, že sa zlí ľudia nedostanú z mojich webových stránok do vánku. Konfigurácia doplnku je veľmi jednoduchá; mali by ste byť v prevádzke hneď.

Najlepšie doplnky zabezpečenia WordPress vám ponúkajú rôzne funkcie, takže pred inštaláciou skontrolujte, či máte všetky funkcie, ktoré potrebujete na zabezpečenie celej svojej webovej stránky, bez ohľadu na to, ako jedinečný. Medzi štandardné funkcie patrí skenovanie škodlivého softvéru, blokovanie IP, prevencia hrubou silou, dvojfaktorová autentifikácia a ešte oveľa viac – kontrola mnohých políčok pre tento zoznam zabezpečenia, ktorý práve čítate!

5. Vyberte skvelý hosting WordPress

Zvyčajne začiatočníci na jar pre prvý lacný hosting balík stretávajú. Nedostal by som to proti vám, pretože nepoznáte nič lepšie, ale sporný lacný (alebo dokonca bezplatný) zdieľaný hosting vás môže vystaviť bezpečnostným rizikám. Viem to faktom, pretože ma napadli dve rôzne hostingové spoločnosti ponúkajúce zdieľaný hosting.

Zdieľaný hosting zahŕňa zdieľanie servera s tisíckami ďalších webových stránok. To zvyšuje riziko kontaminácie naprieč miestami. To znamená, že hacker môže získať prístup k vašim stránkam, aj keď pôvodný bod útoku bol web inej osoby.

Na druhej strane sa spravovaný hosting WordPress zameriava iba na webové stránky WordPress. Nezdieľate server s ostatnými a získate viac možností zabezpečenia, aby ste zostali v bezpečí. Poskytujú tiež špecializovanú podporu a ďalšie možnosti obnovy by sa mali vyskytnúť najhoršie.

Ak musíte používať zdieľaný hosting, povedzte, že začíname s blogom, ktorý zatiaľ nerobí peniaze, uistite sa, že sú stránky izolované alebo „uväznené“. Ak prevádzkujete webovú stránku pre podnikanie alebo eCommerce, oplatí sa používať najlepší hosting WordPress, ktorý si môžete prispôsobiť svoj rozpočet hneď od začiatku – napríklad VPS, vyhradený alebo spravovaný hosting WordPress..

6. Použite SSL (HTTPS)

Mnoho hostingových spoločností WordPress dnes ponúka bezplatné certifikáty SSL od začiatku a z dobrého dôvodu. SSL certifikáty zvyšujú bezpečnosť vašich webových stránok ako stránky bez SSL. Spoločnosť Google tiež odporúča používať certifikáty SSL na ochranu údajov na vašom webe (a zabezpečiť, aby používatelia vedeli, či SSL používate alebo nie).

Protokol HTTPS je bezpečnejší ako predchádzajúci protokol HTTP. Web, ktorý používa protokol HTTPS, šifruje všetky údaje, ktoré sa pohybujú medzi prehliadačom používateľa a vašimi servermi. Ak hacker zachytí komunikáciu, nájdu iba šifrované údaje, ktoré sú rovnako užitočné ako jednonohý muž v súťaži o kopanie zadku ��

Inštalácia certifikátov SSL na väčšinu webových hostiteľov je rovnako jednoduchá ako A, B, C. Väčšina ponúka inštalátorov na jedno kliknutie, ktoré celý proces uľahčujú. Jednoducho sa prihláste do svojho cPanelu a kliknutím na jediné tlačidlo nainštalujte a spravujte svoje SSL certifikáty. Ak by ste chceli viac praktického prístupu, zvážte vyskúšanie Poďme šifrovať.

7. Vytvorte zálohu celého webu

Keď ma hackeri zosadili, musel som znova vytvoriť webové stránky od nuly, bolesť hlavy, ktorej by som sa vyvaroval, keby som si spoľahlivo pamätal na zálohovanie WordPress.

Ale nie, zálohy, ktoré boli s mojím webovým hostiteľom, boli počas útoku poškodené, a nie, nemal som riešenie sekundárnej zálohy. Klasický prípad umiestnenia všetkých vajíčok do jedného košíka, ktorý ma naučil tvrdú lekciu.

V súčasnosti vytváram úplné zálohy webových stránok, ktoré zahŕňajú moje súbory a databázy webových stránok. Používam hlavne ManageWP, ale tiež používam Doplnok pre duplikátor ukladať zálohy na počítači a na Disk Google.

Žiadam vás, aby ste pravidelne vytvárali úplné zálohy. Mnoho zálohovacích riešení WordPress vám umožňuje automatizovať celý proces, šetrí váš čas a poskytuje vám pokoj.

8. Použite bránu firewall pre webové aplikácie (WAF)

Ak chcete na svoju stránku WordPress pridať ďalšiu úroveň zabezpečenia a lepšie spať v noci, povoľte bránu firewall pre webové aplikácie (WAF). WAF chráni váš web blokovaním škodlivého prenosu dlho predtým, ako sa dostane na váš web. Je to proaktívne opatrenie na zastavenie zlých mužov v ich stopách skôr, ako spôsobia akékoľvek škody.

Brána firewall filtruje vašu prichádzajúcu komunikáciu, eliminuje hackerov a umožňuje ich legitímnym používateľom. Mnoho spoločností poskytujúcich zabezpečenie WordPress ponúka brány firewall webových aplikácií spolu s ďalšími funkciami. Medzi obľúbené možnosti v tomto odvetví patria Sucuri a CloudFlare.

9. Zakážte úpravy súborov v aplikácii WordPress Admin

Program WordPress CMS je dodávaný s fantastickým editorom kódov, ktorý vám umožňuje upravovať súbory doplnkov a motívov v rámci administračného panela WordPress. Editor kódu je skvelý nástroj, ktorý máte k dispozícii, ale v nesprávnych rukách ho môžu hackeri použiť na znehodnotenie alebo pridanie škodlivého softvéru na svoje webové stránky..

Svoje motívy a súbory doplnkov môžete kedykoľvek upraviť (ak je to potrebné) pomocou FTP alebo správcu súborov v programe cPanel, čo znamená, že v programe WordPress môžete úplne zakázať editor kódu. Nechcete, aby hackeri, ktorí získajú prístup do vašej administratívnej oblasti WordPress, mali prístup do editora kódu, pretože pomocou niekoľkých riadkov kódu môžu spôsobiť veľa škody..

Čo robiť? Zabudovaný editor kódu môžete zakázať pomocou bezplatného programu Bezpečnosť Sucuri zapojiť. Prípadne môžete do svojho kódu pridať nasledujúci kód wp-config.php file:

// Nepovoliť úpravu súboru
define ('DISALLOW_FILE_EDIT', true);

Ideme ďalej.

10. Zabezpečte svoju prihlasovaciu stránku

Prihlasovací formulár na vašom WordPress má zvyčajne dve polia; užívateľské meno a heslo. Ako budú hackeri brutálnej sily a roboti každým dňom inteligentnejší, ako zabránite hackerom v získavaní prístupu k vašej administratívnej oblasti WordPress? Je to jednoduché; pridáte CAPTCHA alebo bezpečnostné otázky, ktoré sťažujú každému získať neoprávnený prístup.

A nemusíte upravovať kód pridať CAPTCHA alebo Bezpečnostné otázky na svoju prihlasovaciu stránku. Existuje populárny doplnok WordPress známy ako Bezpečnostná otázka WP to sa ľahko konfiguruje a používa. Ak chcete používať CAPTCHA, môžete použiť Jednoduché prihlásenie Captcha, WordFence, alebo jednu z mnohých ďalších možností dostupných zadarmo na WordPress.org.

Zároveň môžete zmeňte svoju prihlasovaciu adresu wp na niečo jedinečné. Týmto spôsobom sa roboti a hackeri budú ťažko snažiť uhádnuť webovú adresu na svoju prihlasovaciu stránku. wp-login je medzi hackermi už populárny, takže má zmysel zmeniť adresu URL na niečo iné. Môžete použiť doplnok, napríklad WPS Skryť prihlásenie.

11. Pridať overenie

Zvážte implementáciu dvojfaktorovej a viacfaktorovej autentifikácie. V prípade, že hacker získa prístup k vašim prihlasovacím údajom, nebude sa môcť prihlásiť na vašu stránku WordPress. Existuje veľa možností, ale Google Authenticator je obľúbená voľba.

Okrem toho obmedzte prihlásenie na svojej prihlasovacej stránke. Ak sa návštevník pokúša prihlásiť pomocou účtu, ktorý neexistuje alebo sa opakovane pokúša prihlásiť, je to pravdepodobne hacker alebo robot, ktorý sa pokúša preniknúť násilím. Môžete použiť doplnok, ako je napríklad Obmedziť pokus o prihlásenie alebo Uzamknutie prihlásenia aby tieto rušivé prvky zostali mimo dosahu.

12. Odhlásiť neaktívnych používateľov

Ak máte webovú stránku WordPress pre viacerých používateľov, nemôžete úplne kontrolovať, ako a kde používatelia pristupujú na vaše webové stránky. Autor sa môže rozhodnúť použiť bezplatné verejné Wi-Fi na záverečné úpravy článku. Webdizajnér môže opustiť svoj stôl a vrátiť sa z hodinovej prestávky na obed.

V takých prípadoch môže váš používateľ nevedomky vystaviť vaše webové stránky bezpečnostným rizikám. Zlý človek by mohol prevziať svoju reláciu, upraviť svoje údaje a jednoducho spôsobiť zmätok. Ak neoprávnená strana vie, čo robí, môže ľahko prevziať účet používateľa a spôsobiť škody.

Čo robiť? Neaktívni používatelia sa môžete automaticky odhlásiť po uplynutí vopred stanoveného obdobia. A najlepšie na tom je? Na tento presný účel existujú doplnky. Jednou z populárnych možností je Neaktívne odhlásenie doplnok, ktorý obsahuje možnosti na prispôsobenie času nečinnosti pred odhlásením, vlastné kontextové správy alebo presmerovania po odhlásení a vypršanie časového limitu podľa úlohy používateľa.

13. Vyhľadajte malvér a problémy (pravidelne)

Často zabudnuté, pravidelné skenovanie vašich webových stránok WordPress vám môže pomôcť včas identifikovať problémy s bezpečnosťou. Hackerovi zaberie len sekundu, kým sa dostane na vaše webové stránky a urobí všetky nepríjemné veci. To je presne dôvod, prečo by ste mali zostať vždy na špičke.

Mnoho doplnkov zabezpečenia WordPress na zisťovanie výskytu infekcie malvérom, známych slabých miest zabezpečenia, zastaralých skriptov, útokov hrubou silou, neexistujúcich záloh atď. Doplnky vám posielajú podrobné správy o známych problémoch, takže ich môžete opraviť alebo najať profesionála.

Existuje veľa skenerov webových stránok, napríklad Sucuri SiteCheck, ktoré môžete použiť na kontrolu svojich stránok vo flashi. Jediné, čo musíte urobiť, je zadať webovú adresu a nástroje automaticky skontrolujú vaše webové stránky. Potom vám ponúknu správu o tom, čo je potrebné napraviť. Po vytvorení prehľadu okamžite opravte všetky chyby zabezpečenia.

14. Použite VPN

Ak prevádzkujete webovú stránku, ktorá obsahuje citlivé informácie, ktoré sa hackerom nikdy nesmú dostať, zvážte použitie virtuálnej súkromnej siete (VPN), najmä pri použití bezplatnej verejnej siete Wi-Fi. Sieť VPN vás chráni pred útokmi typu človek-uprostred, ktoré sú bežné vo verejných sieťach, a to aj doma alebo v práci.

Virtuálna súkromná sieť zaisťuje, že aj keď útočníci získajú prístup do systému a ukradnú vaše údaje, nemôžu s údajmi, ktoré od vás získajú, nič urobiť. Ak máte internetovú sieť, ktorú zdieľate s mnohými ľuďmi, pred prístupom do oblasti administrácie WordPress vždy použite sieť VPN..

Ďalšie možnosti zabezpečenia WordPress

Potrebujete viac? Radi by sme, aby váš web bol vždy v bezpečí, takže tu sú bonusové položky zabezpečenia, ktoré môžete pridať do svojho kontrolného zoznamu:

  • Zakázať vykonávanie súborov PHP v / wp-content / wp-uploads /
  • Zmeňte predponu databázy WordPress
  • Heslo chráni administrátorské a prihlasovacie stránky na strane servera
  • Zakázať indexovanie adresárov
  • Ak to nie je potrebné, vypnite rozhranie API WP REST a XML-RPC
  • Nemeňte / nemeňte jadro WordPress – napíšte alebo nepoužívajte doplnok, ktorý ponúka požadované funkcie
  • Zaistite, aby váš web používal najnovšiu verziu PHP
  • Na počítači používajte antivírusový program
  • Povoliť službu Google Search Console
  • Znížte zraniteľné miesta aplikácie XSS a SQL Injection (možno budete potrebovať technicky zdatnejšiu osobu, ktorá im pomôže s týmito dvoma)

Počet krokov, ktoré môžete podniknúť na ochranu svojich stránok, je skutočne nekonečný. Ak však môžete skontrolovať 14 položiek, ktoré sme uviedli, je to obrovský krok k zabezpečeniu vašich stránok.


Zabezpečenie webovej stránky WordPress je náročné, ale nie nemožné. So správnymi nástrojmi a zručnosťami môžete rýchlo zvýšiť bezpečnosť svojho WordPress a zabrániť zlým aktérom.

Ako zhrnutie vždy udržiavajte svoj web aktuálny. Okrem toho nikdy nesťahujte témy alebo doplnky z nedôveryhodných stránok. A aby ste boli na bezpečnej strane, ak by sa to najhoršie stalo, vždy používajte spoľahlivé riešenie zálohovania.

Dúfame, že ste našli všetky tipy, ktoré potrebujete na zabezpečenie svojej webovej stránky WordPress, a teda online obchodu. Ak máte otázku alebo potrebujete pomoc pri zisťovaní, ako zabezpečiť svoju webovú stránku WordPress, dajte nám vedieť v komentároch. Zostať v bezpečí!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me