Praktyczny przewodnik po zabezpieczeniach WordPress

Wraz ze wzrostem liczby naruszeń bezpieczeństwa sieci, niezwykle ważne jest podjęcie kroków zapobiegawczych, aby zabezpieczyć witrynę przed intruzami. Jeśli więc masz witrynę WordPress, czytaj dalej. Udostępnimy Ci kilka wskazówek i narzędzi, których możesz użyć, aby Twoja witryna WordPress była bezpieczna.


„To nie może się przydarzyć mojej stronie!” Jest to ogólna myśl, którą większość z nas ma, gdy słyszymy, że haker naruszył bezpieczeństwo witryny.

Być może osoba z zaatakowaną witryną uważa, że ​​musiała zrobić coś strasznie złego, aby ujawnić istotne informacje. Może ta osoba popełniła straszny błąd, uznając bezpieczeństwo swojej witryny za coś oczywistego.

Możesz czuć się bezpiecznie, korzystając z bardzo popularnej platformy CMS i blogów, takich jak WordPress dla swojej witryny. Warto jednak zauważyć, że ogromna popularność WordPress na świecie jest jednym z głównych powodów, dla których hakerzy atakują witryny oparte na tej platformie.

WordPress jest bardzo przyjazną dla użytkownika platformą, co czyni go jeszcze bardziej podatnym na ataki hakerów i spamerów. Od samego początku powinieneś nadać bezpieczeństwu najwyższy priorytet dla swojej witryny, podobnie jak hosting i projektowanie stron internetowych.

Oto dogłębne studium różnych środków, które należy podjąć, aby zwiększyć bezpieczeństwo swojej witryny WordPress. Przyjrzymy się także najważniejszym wskazówkom dotyczącym ochrony witryny WordPress, najpopularniejszym wtyczkom bezpieczeństwa WordPress i narzędziom testowym.

Musisz zdać sobie sprawę, że żadna witryna internetowa nie może być w 100% bezpieczna, a nawet udostępnione tutaj informacje nie zapewnią jej całkowitej bezpieczeństwa. Ostatecznym celem jest pomoc w podjęciu wszelkich niezbędnych środków ostrożności, aby zabezpieczyć witrynę WordPress przed większością ataków.

Podstawy bezpieczeństwa w sieci

Możesz myśleć, że jest mało prawdopodobne, że Twoja witryna zostanie zaatakowana w przyszłości, ponieważ nigdy wcześniej nie napotykała żadnych problemów związanych z bezpieczeństwem w odniesieniu do złośliwego oprogramowania, złośliwego kodu, a nawet komentarzy spamowych.

Jedną z najbardziej podstawowych rzeczy o bezpieczeństwie w sieci jest to, że musisz pozostać aktywny i niereaktywny. Oznacza to, że powinieneś od samego początku podjąć pewne środki ostrożności, zamiast uważać, że ktoś nie może zhakować Twojej witryny, i starać się zwiększyć jej bezpieczeństwo.

Ponadto, zanim przejdziesz do kroków związanych z zabezpieczeniami WordPress, musisz zdać sobie sprawę ze znaczenia tego zabezpieczenia.

Wiele osób odwiedza twoją stronę. Niektóre z nich mogą subskrybować biuletyny witryny, a inne mogą zarejestrować się jako członkowie forów witryny. Dane udostępniane przez użytkowników są również narażone na ataki, jeśli Twoja witryna zostanie zhakowana. Twoim obowiązkiem jest zapewnienie bezpieczeństwa danych witryny, co z kolei ochroni dane użytkowników.

Jeśli Twoja witryna WordPress przyciąga niewielki ruch, możesz argumentować, że haker nie ma powodu atakować Twojej witryny, skoro tysiące innych popularnych witryn jest dostępnych online. Jeśli tak jest, prawdopodobnie nadszedł czas, abyś zrozumiał powody, dla których haker może próbować złamać Twoją witrynę.

Hakerzy nie martwią się, czy Twoja witryna przyciąga tylko kilku użytkowników, ponieważ po uzyskaniu dostępu do Twojej witryny mogą użyć Twojego serwera do wysyłania spamu. Robią to, aby pomóc im w promowaniu swoich usług, produktów lub witryn.
Wraz ze wzrostem liczby tego typu spamowania z zaatakowanego serwera, szanse na pojawienie się na czarnej liście adresów IP znacznie się zwiększają. Alternatywnie, hakerzy mogą preferować używanie twojego serwera do własnych działań na stronie, ponieważ ich adresy IP są już na czarnej liście.

Oprócz uświadomienia sobie przyczyn hakowania musisz także zrozumieć, w jaki sposób haker lub spamer może zaatakować twoją stronę. Pomoże to w dalszym planowaniu działań Twojej witryny w taki sposób, że Twoja witryna będzie mniejsza wrażliwy na zagrożenia bezpieczeństwa.

Mogą atakować za pomocą dowolnej wtyczki lub motywu WordPress. W rzeczywistości zdarzają się przypadki, gdy problemy z wtyczką zabezpieczającą umożliwiły hakerom zaatakowanie strony internetowej, która korzystała z wtyczki. Ponadto hakerzy mogą wykorzystać każdą lukę w zabezpieczeniach na platformie hostingowej i użyć dowolnego parametru adresu URL, aby uzyskać dostęp do bazy danych.

W ten sposób mogą modyfikować dane, zmieniać hasło, a nawet usuwać dane. Zaskakujące jest to, że wiele ataków ma miejsce nawet ze względu na słabe hasło dostępu do panelu administracyjnego WordPress lub nawet dostępu do panelu kontrolnego hostingu.

Po zapoznaniu się z podstawową potrzebą zabezpieczenia witryny WordPress możesz teraz przeczytać dalej, aby dowiedzieć się, w jaki sposób możesz zwiększyć bezpieczeństwo swojej witryny.

9 wskazówek bezpieczeństwa, aby chronić swoją witrynę WordPress przed hakerami

Aktualizuj swoją witrynę WordPress

Jeśli nadal opóźniasz aktualizację witryny WordPress, ponieważ obawiasz się, że stracisz dane z powodu niepoprawnej aktualizacji, natychmiast zacznij tworzyć kopie zapasowe. Po utworzeniu kopii zapasowej witryny możesz z łatwością zaktualizować wersję WordPress do najnowszej. Musisz to zrobić, ponieważ WP naprawia błędy bezpieczeństwa poprzedniej wersji przy każdej nowej wersji, która staje się dostępna.

Ponadto informacje WordPress informują społeczeństwo o tych poprawkach, dzięki czemu Twoja przestarzała witryna jest jeszcze bardziej narażona na ataki. Dlatego przyzwyczajaj się do regularnego korzystania z opcji „Aktualizacja dostępna” po zalogowaniu się do pulpitu administracyjnego WordPress.

Zaktualizuj używane motywy i wtyczki oraz usuń nieużywane

Musisz zachować swoje Wtyczki WordPress i motywy zaktualizowane z tych samych powodów, dla których musisz zaktualizować ogólną wersję WordPress. Haker może łatwo manipulować przestarzałą wtyczką lub motywem (przez dziury w zabezpieczeniach), aby uzyskać dostęp do administratora witryny.

Nie martw się więc o kompatybilność wtyczki z bieżącym motywem, ale upewnij się, że zawsze używasz najnowszych wersji obu.

Podobnie, upewnij się, że sekcja wtyczek w panelu administracyjnym WordPress zawiera tylko te wtyczki, których używasz. Usuń te, których nie używasz, ponieważ jest mniej prawdopodobne, że zaktualizujesz takie wtyczki, a to ponownie zwiększa ich podatność na ataki bezpieczeństwa.

Pamiętaj, że ważne jest, aby „usunąć” nieużywane wtyczki, a nie tylko „je dezaktywować”.

Unikaj pobierania motywów lub wtyczek z nieznanych źródeł

Możesz mieć ochotę pobrać za darmo kilka wtyczek lub motywów premium, nawet jeśli pochodzą one z nieznanych źródeł.

Chociaż możesz być podekscytowany uzyskaniem zaawansowanych funkcji bez ponoszenia kosztów, możesz zapomnieć o zwróceniu uwagi na zagrożenie bezpieczeństwa, jakie mogą powodować te funkcje. Wtyczka z nieznanego źródła może wprowadzać złośliwe oprogramowanie lub wstawiać złośliwy kod do Twojej witryny. Zamiast podejmować tak duże ryzyko, zawsze zaleca się pobieranie motywów i wtyczek ze znanych źródeł.

Możesz użyć Plugin-Check lub Theme-Check, aby sprawdzić kod swoich wtyczek i motywów. Źle napisany kod może ułatwić hakerom uzyskanie dostępu do Twojej witryny.

Jeśli nie masz całkowitej pewności co do źródła i nie wiesz, jak sprawdzić jakość kodu, możesz po prostu wybrać bezpłatne projekty WordPress z platformy WordPress.org.

Posiadaj silną nazwę użytkownika i hasło administratora WordPress

Aby utworzyć witrynę za pomocą platformy WordPress, masz dostęp do panelu kontrolnego zaplecza. Domyślnie WP generuje nazwę użytkownika (admin) i silne hasło, aby zalogować się do tego pulpitu administratora podczas instalacji WordPress. Ale po instalacji musisz zmienić nazwę użytkownika administratora WordPress na coś unikalnego dla Ciebie.

Oprócz tego musisz pamiętać, aby zmienić hasło na coś nieznanego przez osoby w pobliżu lub osoby odwiedzające Twoją witrynę. Na przykład jeśli Twoja witryna zawiera datę urodzenia lub imię małżonka, upewnij się, że Twoje hasło również nie zawiera. Utrudnia to odgadnięcie hasła przez hakera. Powinieneś również zachować bezpieczne hasło do konta panelu sterowania.

Ponadto możesz spróbować dodać CAPTCHA do strony logowania WordPress, aby jeszcze bardziej zwiększyć bezpieczeństwo swojej witryny. Zapewni to, że bot lub skrypt nie będzie mógł uzyskać dostępu do Twojej witryny w wyniku ataku siłowego.

Dodaj dwuetapowe uwierzytelnianie WordPress Security

Ile haseł będę utrzymywać i regularnie aktualizować? Możesz mieć pytanie dotyczące utrzymywania silnych haseł dla różnych punktów wejścia do panelu WordPress lub panelu sterowania.

Możesz cieszyć się bezpłatnym hasłem logowaniem do panelu WordPress przy użyciu czegoś takiego jak Wtyczka uwierzytelniania dwuskładnikowego. Dzięki tej wtyczce możesz używać telefonu komórkowego do uwierzytelniania bezpiecznego logowania do pulpitu administracyjnego WordPress wraz z kodem PIN lub odciskiem palca. Tak więc nawet w przypadku zgubienia telefonu dane konta Clef pozostają bezpieczne.

Lub możesz użyć Google Authenticator w celu zapewnienia dwuetapowego uwierzytelnienia. Dzięki temu musisz użyć hasła, a także wprowadzić unikatowo wygenerowany kod logowania, który jest wysyłany jako SMS na Twój telefon.

Poszukaj bezpiecznej firmy hostingowej

Posiadanie najnowszej wersji witryny WordPress nie będzie miało znaczenia, czy haker może złamać starą wersję PHP platformy obsługującej Twoją witrynę. Musisz więc korzystać z usług hostingowych wyjątkowo niezawodnego dostawcy usług hostingowych.

Twój host powinien mieć możliwość rozszerzenia obsługi najnowszych wersji MySQL i wersji PHP. Powinien również mieć skuteczny system wykrywania włamań do wykrywania wszelkich ataków na czas i powinien oferować witrynie zaporę sieciową dla zwiększenia bezpieczeństwa.

Ogranicz liczbę prób logowania

Hakerzy wykorzystują ataki typu brute force, aby złamać hasło używane do logowania się do panelu WordPress. Ciągle próbują losowych prób logowania, dopóki się nie uda.

Nawet jeśli twoje hasło jest silne, pomaga zidentyfikować tak nieuzasadnioną liczbę prób logowania i ograniczyć adresy IP, które podejmują te próby. Następnie możesz zablokować takie adresy IP na czas określony. Możesz to zrobić, korzystając z takich wtyczek Blokada logowania lub Rozwiązanie bezpieczeństwa logowania.

Zaplanuj częste kopie zapasowe swojej witryny

Jest to ważny krok, ponieważ pomaga nawet wtedy, gdy ktoś włamie się na Twoją stronę lub przejdzie na nią. Gdy ktoś włamie się na Twoją witrynę, możesz łatwo wrócić do poprzedniej wersji witryny, która nie została naruszona. Możesz także użyć dowolnego automatycznego rozwiązania do tworzenia kopii zapasowych, takiego jak VaultPress lub BackUpBuddy.

Dbaj o dobrą ochronę przestrzeni administracyjnej WordPress

Tylko wybrana liczba osób musi mieć dostęp do pulpitu administratora. Tam, gdzie to możliwe, staraj się ograniczyć uprawnienia do tych, którzy mają dostęp do twojego pulpitu. Pomoże to zmniejszyć zagrożenie atakami z nieznanych źródeł.
Musisz także upewnić się, że inni mają ograniczony dostęp do folderu WordPress / wp-admin / lub pliku wp-login.php. Możesz zezwolić na dostęp do własnego adresu IP, dodając następujący fragment kodu w pliku .htaccess:

odmowa zamówienia, zezwolenie
Odmowa od wszystkich
Pozwól z zz.zz.zz.zz

W powyższym kodzie wystarczy po prostu zastąpić „zz.zz.zz.zz” własnym zestawem adresów IP dla różnych lokalizacji lub urządzeń.

Jeśli nie masz do czynienia ze statycznymi adresami IP, ta metoda może nie działać. W takich przypadkach możesz użyć wtyczek omówionych powyżej w celu ograniczenia prób logowania.

Wtyczki bezpieczeństwa WordPress do wykrywania złośliwego kodu w Twojej witrynie

Jeśli haker zaatakuje Twoją witrynę, pomoże to ograniczyć szkody lub podejmie odpowiednie działania, jeśli natychmiast się o tym dowiesz. Spójrzmy więc na niektóre z najlepszych wtyczek bezpieczeństwa WordPress, które mogą wykrywać złośliwy kod wstawiony do Twojej witryny.

Ochrona witryny WP AntiVirus

Ta popularna wtyczka, oferowana przez SiteGuarding.com, pomaga wykrywać i usuwać złośliwe wirusy lub kody znalezione w witrynie WordPress. Skanuje elementy, takie jak pliki wtyczek, pliki motywów i wszystkie przesłane pliki, aby szybko wykryć zagrożenia bezpieczeństwa, w tym backdoory, adware, spyware, rootkity, robaki, konie trojańskie i narzędzia oszustwa.

Jeśli nadal pobierasz motywy i wtyczki ze stron torrentowych (zamiast kupować oryginalne kopie od programistów), musisz mieć ten typ wtyczki dla większego bezpieczeństwa.

Wordfence Security

Ta wtyczka oferuje bezpłatne zabezpieczenia klasy korporacyjnej, chroniąc witrynę przed złośliwym oprogramowaniem, a także przed potencjalnymi włamaniami. Sprawdza, czy Twoja witryna jest już zainfekowana, i wykonuje głębokie skanowanie kodu źródłowego witryny po stronie serwera.
Porównuje kod z oficjalnym repozytorium WordPress dla wtyczek, rdzeni i motywów. Nie tylko zabezpiecza Twoją witrynę przed większością zagrożeń, ale także sprawia, że ​​jest ona 50 razy szybsza niż wcześniej.

Wordfence umożliwia także blokowanie w czasie rzeczywistym znanych napastników. Oznacza to, że jeśli haker zaatakuje tę wtyczkę w innej witrynie, zostanie on również automatycznie zablokowany z Twojej witryny.

Może blokować całą sieć złośliwych adresów IP, gdy istnieje zagrożenie, że złośliwe kody zostaną wstawione do Twojej witryny. Ponadto pomaga blokować zagrożenia w postaci skrobaków, przeszukiwaczy i botów wykrytych podczas skanowania bezpieczeństwa. Skanuje również w poszukiwaniu trojanów, podejrzanego kodu, backdoorów, adresów URL phishingu, złośliwego oprogramowania, podatności na HeartBleed i tak dalej.

Jeśli jesteś użytkownikiem premium, możesz także blokować kraje i często planować skanowanie dla określonych okresów.

Exploit Scanner

Exploit Scanner zawsze szuka czegoś podejrzanego w plikach i bazie danych witryny WordPress, w tym w postach i tabelach komentarzy.

Skanuje również używane wtyczki w poszukiwaniu mylących lub nietypowych nazw plików. Jeśli znajdzie złośliwy kod lub plik, ta wtyczka zapewnia administratorowi witryny szczegółowy raport i pozostawia mu usunięcie usuniętego złośliwego kodu.

Sucuri Security

Jest to kompleksowy zestaw narzędzi bezpieczeństwa do wykrywania złośliwego oprogramowania, wzmacniania bezpieczeństwa i monitorowania integralności bezpieczeństwa. To doskonałe wsparcie dla istniejących funkcji bezpieczeństwa Twojej witryny.

Niektóre kluczowe funkcje tej wtyczki obejmują monitorowanie integralności plików, monitorowanie czarnej listy, audyt działań związanych z bezpieczeństwem, zdalne skanowanie pod kątem złośliwego oprogramowania, wzmacnianie bezpieczeństwa oraz działania zabezpieczające podejmowane po włamaniach, powiadomienia bezpieczeństwa i zapora sieciowa.

Jak przeskanować witrynę WordPress w poszukiwaniu ukrytego złośliwego oprogramowania?

Ponieważ WordPress jest platformą typu open source, łatwo jest podatny na infekcje złośliwym oprogramowaniem lub zastrzyki dokonywane przez hakerów. Oto niektóre z typowych sposobów, w jakie hakerzy mogą wstrzykiwać złośliwe oprogramowanie do Twojej witryny:

  • Hacki farmaceutyczne (zastrzyki spamu w bazie danych lub plikach)
  • Wyłudzanie informacji (pozyskiwanie poufnych informacji, takich jak adresy e-mail, hasła i nazwy użytkowników)
  • Złośliwe przekierowania (przekierowujące odwiedzających witrynę na inną stronę witryny, na której znajduje się pobrany zainfekowany plik lub złośliwy kod)
  • Zastrzyki plików i baz danych (dodawanie złośliwego kodu do bazy danych lub plików witryny)
  • Backdoors (uzyskiwanie dostępu do obszaru administracyjnego lub konta FTP)
  • Wszyscy hakerzy chcą mieć pewność, że właściciel witryny nie dowie się, że włamali się do jego witryny. Dzięki temu hakerzy mogą infekować odwiedzających witrynę przez ciągłe spamowanie przez dłuższy czas.

Twoim celem jest ciągłe wyszukiwanie ukrytego złośliwego oprogramowania w witrynie, o której nie wiesz, i pozbycie się zainfekowanych plików lub folderów.

Możesz to zrobić za pomocą popularnych wtyczek WordPress skanujących złośliwe oprogramowanie, takich jak te wymienione poniżej:

Użyj Sucuri SiteCheck Scanner skanować w poszukiwaniu potencjalnego złośliwego oprogramowania. Po prostu wejdź na stronę tutaj i wprowadź adres URL swojej witryny. Ten darmowy skaner wykona kompleksowe skanowanie witryny pod kątem złośliwego oprogramowania, błędów witryny, statusu czarnej listy i nieaktualnego oprogramowania.

Jedyną wadą jest to, że musisz wykonać to skanowanie ręcznie w bezpłatnej wersji. Możesz uaktualnić do planów premium i otrzymywać powiadomienia przez Twitter, e-mail lub RSS, gdy tylko wykryje złośliwe oprogramowanie.

Usuń swoją witrynę z czarnych list, jeśli haker od dłuższego czasu używa twojego serwera do spamowania. Usługi premium pomagają również usunąć złośliwe oprogramowanie. Możesz nawet wypróbować wcześniej omawianą wtyczkę bezpieczeństwa Sucuri w celu zwiększenia ochrony przed złośliwym oprogramowaniem.

Użyj Skaner antywirusowy wyszukiwać złośliwe oprogramowanie, wirusy, backdoory i podobne znane zagrożenia, a także automatycznie je usuwać. Kluczową funkcją tej wtyczki jest łatanie strony wp-login.php, aby zatrzymać ataki typu brute-force.

Ponadto możesz użyć dowolnej z wtyczek bezpieczeństwa WordPress omówionych powyżej do identyfikacji złośliwego kodu.

Narzędzia do testowania bezpieczeństwa witryny

Aby zabezpieczyć swoją witrynę przed atakami, musisz stale sprawdzać poziom bezpieczeństwa swojej witryny przy użyciu określonych narzędzi testowych, takich jak:

Wapiti wykrywa luki w zabezpieczeniach (ujawnianie plików, wstrzykiwanie bazy danych, wstrzykiwanie skryptów między witrynami, słabe konfiguracje .htaccess i inne) w witrynie. To narzędzie wykorzystuje metodę skanowania czarnej skrzynki.

Oznacza to, że nie bada kodu źródłowego aplikacji, ale sprawdza strony internetowe pod kątem formularzy i skryptów, w których może wstrzykiwać dane. Wstrzykuje ładunki w celu zidentyfikowania wrażliwych skryptów. Zapewnia raporty w różnych formatach, takich jak HTML, XML, Tekst i JSON.

Google Nogotofail testuje ruch sieciowy witryny w celu wykrycia i naprawienia słabych połączeń TLS lub SSL oraz wrażliwego ruchu czystego tekstu na różnych urządzeniach. Możesz również skonfigurować go jako serwer VPN lub serwer proxy, a nawet router.

Możesz wypróbować skaner i tester open source o nazwie Vega. Ta platforma oparta na GUI jest w Javie i współpracuje z platformami OS X, Windows i Linux. Składa się z przechwytującego proxy do przeprowadzenia inspekcji taktycznej i automatycznego skanera do wykonywania szybkich testów.

Tego narzędzia można używać do identyfikowania skryptów krzyżowych (XSS), wstrzykiwania SQL i podobnych luk w zabezpieczeniach.
Mamy nadzieję, że te wskazówki i informacje na temat bezpieczeństwa WordPress pomogą Ci w znacznym stopniu zwiększyć bezpieczeństwo Twojej witryny.

Czy wypróbowałeś już jakieś wtyczki lub metody, które znacznie zwiększają bezpieczeństwo Twojej witryny WordPress? Podziel się swoim doświadczeniem i rozpowszechniaj świadomość na temat znaczenia bezpieczeństwa witryny w sieci.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map