Praktický sprievodca zabezpečením WordPress

S narastajúcimi porušeniami zabezpečenia webu je najdôležitejšie podniknúť preventívne kroky, aby bol váš web chránený pred votrelcami. Ak máte webovú stránku WordPress, čítajte ďalej. Poskytneme vám niekoľko tipov a nástrojov, pomocou ktorých môžete svoju webovú stránku WordPress bezpečne a bezpečne používať.


„Na moju stránku sa to nemôže stať!“ Toto je všeobecná myšlienka, ktorú väčšina z nás má, keď počujeme, že hacker porušil bezpečnosť stránok.

Osoba s napadnutou webovou stránkou možno verí, že musel urobiť niečo strašne nesprávne, aby prezradil dôležité informácie. Možno osoba urobila hroznú chybu, keď považovala bezpečnosť svojich webových stránok za samozrejmosť.

Môžete sa cítiť bezpečne pomocou veľmi populárneho redakčného systému a blogovacej platformy ako WordPress pre svoje stránky. Všimnite si však, že obrovská globálna popularita WordPress je jedným z hlavných dôvodov, prečo hackeri zacieľujú na stránky založené na tejto platforme..

WordPress je vysoko užívateľsky prívetivá platforma, a preto je ešte zraniteľnejšia voči útokom hackerov a spamerov. Od samého začiatku by ste mali nastaviť bezpečnosť ako najvyššiu prioritu svojho webu spolu s webhostingom a web designom.

Tu je podrobná štúdia o rôznych opatreniach, ktoré je potrebné prijať na zvýšenie bezpečnosti vašich stránok WordPress. Taktiež sa pozrieme na najlepšie tipy na ochranu webu WordPress, najdôležitejšie doplnky zabezpečenia WordPress a testovacie nástroje..

Musíte si uvedomiť, že žiadny web nemôže byť nikdy stopercentne bezpečný a ani tu zdieľané informácie nezmenia váš web úplne na bezpečie. Konečným cieľom je pomôcť vám pri prijímaní všetkých potrebných opatrení na zaistenie bezpečnosti vašich webových stránok WordPress pred väčšinou útokov.

Základy webovej bezpečnosti

Môžete si myslieť, že je veľmi nepravdepodobné, že sa váš web v budúcnosti hackne, pretože sa v minulosti nikdy nestretol so žiadnymi bezpečnostnými problémami týkajúcimi sa škodlivého softvéru, škodlivého kódu ani komentárov spamu.

Jednou z najzákladnejších vecí týkajúcich sa zabezpečenia webu je však to, že musíte zostať aktívnymi a nie reaktívnymi. To znamená, že by ste mali podniknúť určité preventívne kroky už od začiatku, namiesto toho, aby ste verili, že niekto nemôže hacknúť vaše stránky, a snažiť sa o zvýšenie bezpečnosti.

Predtým, ako prejdete na kroky týkajúce sa zabezpečenia WordPress, si musíte uvedomiť dôležitosť zabezpečenia tohto zabezpečenia.

Váš web navštevuje veľa ľudí. Niektorí z nich sa môžu prihlásiť na odber bulletinov svojich stránok a iní sa môžu zaregistrovať ako členovia fór svojich stránok. Údaje zdieľané vašimi návštevníkmi sú tiež citlivé na útoky, ak dôjde k napadnutiu vašich stránok. Je preto vašou zodpovednosťou, aby ste zaistili bezpečnosť údajov svojich webových stránok, čo následne ochráni údaje vašich návštevníkov.

Ak váš web WordPress priťahuje malú návštevnosť, môžete tvrdiť, že neexistuje dôvod, aby hacker napadol vaše stránky, keď sú online tisíce ďalších populárnejších webových stránok. Ak je to tak, potom je pravdepodobne čas, aby ste pochopili dôvody, prečo sa hacker môže pokúsiť narušiť vaše webové stránky.

Hackeri sa nemusia báť, či vaše stránky priťahujú iba niekoľko návštevníkov, pretože akonáhle získajú prístup na vaše stránky, môžu pomocou vášho servera odosielať nevyžiadané e-maily. Robia to preto, aby im pomohli predávať svoje služby, produkty alebo stránky.
S nárastom tohto typu aktivity proti spamu zo strany hacknutého servera sa šanca, že sa vaša adresa IP dostane na čiernu listinu, značne vzrastie. Hackeri môžu tiež radšej použiť váš server na svoje vlastné webové stránky, pretože ich adresy IP sú už na čiernej listine.

Okrem uvedomenia si príčin hackingu musíte pochopiť aj rôzne spôsoby, akými hacker alebo spammer môže napadnúť vaše webové stránky. Pomôže vám to pri plánovaní aktivít na vašom webe tak, aby sa vaše stránky zmenšovali zraniteľné voči bezpečnostným hrozbám.

Môžu útočiť prostredníctvom ľubovoľného doplnku alebo témy WordPress. V skutočnosti existujú prípady, keď problémy s bezpečnostným doplnkom umožnili hackerom zaútočiť na webovú stránku, ktorá používa doplnok. Hackeri tiež môžu využiť akúkoľvek zraniteľnosť zabezpečenia na hostiteľskej platforme a na prístup k databáze môžu použiť ľubovoľný parameter URL.

Týmto spôsobom môžu upravovať vaše údaje, meniť vaše heslo alebo dokonca mazať údaje. Je prekvapujúce, že k mnohým útokom dochádza dokonca aj kvôli slabému heslu na prístup do administračného panela WordPress alebo dokonca na prístup k ovládaciemu panelu hostiteľa..

Po základnom porozumení potreby zabezpečenia vášho webu WordPress si teraz môžete prečítať ďalšie informácie o spôsoboch, ako zvýšiť bezpečnosť svojich webových stránok..

9 bezpečnostných tipov na ochranu vašich stránok WordPress pred hackermi

Aktualizujte svoje stránky WordPress

Ak budete naďalej zdržiavať aktualizáciu svojich stránok WordPress, pretože sa obávate, že stratíte údaje v dôsledku nesprávnej aktualizácie, musíte okamžite začať zálohovať. Po vytvorení zálohy stránky môžete jednoducho pokračovať a aktualizovať svoju verziu WordPress na najnovšiu. Musíte to urobiť, pretože program WP opravuje chyby zabezpečenia predchádzajúcej verzie s každou novou dostupnou verziou.

Informácie WordPress tiež informujú verejnosť o týchto opravách, vďaka ktorým je vaša zastaraná stránka ešte zraniteľnejšia. Keď sa teda prihlásite do svojho administračného panela WordPress, zvyknite si pravidelne používať možnosť Aktualizovať.

Aktualizujte témy a doplnky, ktoré používate, a odstráňte nepoužité

Musíte si udržať Doplnky WordPress a témy aktualizované z rovnakých dôvodov, aké potrebujete na aktualizáciu celkovej verzie WordPress. Hacker môže ľahko manipulovať so zastaraným doplnkom alebo motívom (prostredníctvom bezpečnostných otvorov), aby získal prístup k správcovi vašich webových stránok.

Takže sa nemusíte báť kompatibility doplnku s vašou aktuálnou témou, ale mali by ste sa uistiť, že vždy používate najnovšie verzie oboch.

Podobne sa uistite, že sekcia doplnkov na hlavnom paneli správcu WordPress obsahuje iba tie doplnky, ktoré používate. Odstráňte tie, ktoré nepoužívate, pretože je menej pravdepodobné, že tieto doplnky aktualizujete, a to opäť zvyšuje ich zraniteľnosť voči útokom na zabezpečenie..

Upozorňujeme, že je dôležité „odstrániť“ nepoužité doplnky a nielen ich „deaktivovať“.

Vyhnite sa sťahovaniu tém alebo doplnkov z neznámych zdrojov

Možno budete v pokušení stiahnuť si niekoľko prémiových doplnkov alebo tém zadarmo, aj keď sú z neznámych zdrojov.

Aj keď sa môžete cítiť nadšení z bezplatných rozšírených funkcií, môžete zabudnúť venovať pozornosť bezpečnostnej hrozbe, ktorú tieto funkcie môžu priniesť. Doplnok z neznámeho zdroja môže na váš web zaviesť škodlivý softvér alebo vložiť škodlivý kód. Namiesto toho, aby ste podstupovali také veľké riziko, vždy sa odporúča sťahovať témy a doplnky iba zo známych zdrojov.

Na kontrolu kódu vašich doplnkov a motívov môžete použiť funkciu Plugin-Check alebo Theme-Check. Zle napísaný kód môže hackerom uľahčiť prístup na vaše webové stránky.

Ak si nie ste úplne istí zdrojom a neviete, ako skontrolovať kvalitu kódu, môžete sa jednoducho rozhodnúť pre bezplatné návrhy WordPress z platformy WordPress.org..

Majte silné používateľské meno a heslo správcu WordPress Admin

Ak chcete vytvoriť svoj web pomocou platformy WordPress, získate prístup k back-end dashboardu. V predvolenom nastavení generuje WP užívateľské meno (admin) a silné heslo, pomocou ktorého sa môžete prihlásiť do tohto administračného panela počas inštalácie WordPress. Po inštalácii však musíte zmeniť svoje používateľské meno správcu WordPress na niečo, čo je pre vás jedinečné.

Okrem toho musíte pamätať na to, že si musíte zmeniť heslo na niečo, čo ľudia okolo vás alebo od návštevníkov vašich webových stránok nepoznajú. Ak napríklad váš web odhalí dátum narodenia alebo meno vášho manžela / manželky, uistite sa, že vaše heslo neobsahuje. To sťažuje každému hackerovi uhádnuť vaše heslo. Mali by ste si tiež ponechať bezpečné heslo pre účet ovládacieho panela.

Môžete sa tiež pokúsiť pridať CAPTCHA na svoju prihlasovaciu stránku WordPress, aby ste ešte viac zvýšili bezpečnosť svojich stránok. Tým sa zabezpečí, že robot alebo skript nemôžu získať prístup na vaše webové stránky útokom hrubou silou.

Pridajte dvojstupňové overenie zabezpečenia WordPress

Koľko hesiel si budem udržiavať a pravidelne aktualizovať? Môžete mať túto otázku týkajúcu sa udržiavania silných hesiel pre rôzne vstupné body do panela WordPress alebo ovládacieho panela.

Môžete sa tešiť na heslo bez prihlásenia na panel WordPress pomocou niečoho ako Clef dvojfaktorový overovací doplnok. Pomocou tohto doplnku môžete pomocou mobilného telefónu overiť svoje zabezpečené prihlásenie na informačný panel správcu WordPress spolu s kódom PIN alebo odtlačkom prsta. Takže aj keď dôjde k strate telefónu, informácie o vašom účte Clef zostanú v bezpečí.

Alebo môžete použiť Google Authenticator na zabezpečenie dvojstupňovej autentifikácie. Preto musíte použiť svoje heslo a zadať jedinečne vygenerovaný prihlasovací kód, ktorý sa do vášho telefónu dostane ako správa SMS.

Vyhľadajte zabezpečenú hostingovú spoločnosť

S najnovšou verziou stránok WordPress nezáleží na tom, či hacker dokáže prelomiť starú verziu PHP platformy, ktorá je hostiteľom vašich stránok. Preto musíte použiť hostiteľské služby mimoriadne spoľahlivého poskytovateľa webhostingu.

Váš hostiteľ by mal mať možnosť rozšíriť podporu pre najnovšie verzie MySQL a verzie PHP. Mal by mať aj efektívny systém detekcie narušenia, ktorý dokáže včas identifikovať akékoľvek útoky, a mal by na vašom webe ponúkať bránu firewall pre webové aplikácie na zvýšenie bezpečnosti.

Obmedzte počet pokusov o prihlásenie

Hackeri používajú útoky hrubou silou na rozlúsknutie hesla, pomocou ktorého sa prihlasujete do svojho panela WordPress. Neustále skúšajú náhodné pokusy o prihlásenie, kým sa im to nepodarí.

Aj keď je vaše heslo silné, pomáha identifikovať také neprimerané množstvo pokusov o prihlásenie a obmedziť adresy IP, ktoré tieto pokusy robia. Potom môžete takéto adresy IP zakázať na dobu určitú. Môžete to urobiť pomocou doplnkov ako Uzamknutie prihlásenia alebo Riešenie zabezpečenia prihlásenia.

Naplánujte časté zálohovanie vašich webových stránok

Toto je dôležitý krok, pretože vám to dokonca pomôže, keď niekto napadne alebo ohrozí vaše stránky. Keď niekto prelomí váš web, môžete sa ľahko vrátiť k predchádzajúcej verzii vášho webu, ktorá nebola ohrozená. Na zálohovanie môžete použiť ktorékoľvek z automatizovaných riešení, napríklad VaultPress alebo BackUpBuddy.

Udržujte svoj správny priestor WordPress dobre chránený

Na správcovský informačný panel musí mať prístup iba vybraný počet ľudí. Ak je to možné, skúste tiež obmedziť povolenie na tých, ktorí majú prístup na váš informačný panel. Pomôže vám to znížiť hrozbu útokov z neznámych zdrojov.
Musíte sa tiež uistiť, že ostatní majú obmedzený alebo žiadny prístup k priečinku WordPress / wp-admin / alebo k súboru wp-login.php. Prístup k svojej vlastnej adrese IP môžete povoliť pridaním nasledujúceho kódu do súboru .htaccess:

zakázať, dovoliť
Odmietnuť zo všetkých
Povoliť od zz.zz.zz.zz

Vo vyššie uvedenom kóde stačí nahradiť „zz.zz.zz.zz“ vlastnou sadou IP adries pre rôzne miesta alebo zariadenia..

Ak sa nezaoberáte statickými adresami IP, potom táto metóda nemusí fungovať. V takýchto prípadoch môžete na obmedzenie pokusov o prihlásenie použiť vyššie uvedené doplnky.

Doplnky zabezpečenia WordPress na zisťovanie škodlivého kódu na vašom webe

Ak hacker napadne vaše stránky, pomôže vám to obmedziť škodu alebo podniknúť včasné kroky, ak sa o nich okamžite dozviete. Pozrime sa na niektoré z najlepších doplnkov zabezpečenia WordPress, ktoré dokážu zistiť škodlivý kód vložený na váš web.

Ochrana servera WP AntiVirus

Tento populárny doplnok, ktorý ponúka SiteGuarding.com, pomáha pri zisťovaní a odstraňovaní škodlivých vírusov alebo kódu, ktorý sa nachádza na vašom webe WordPress. Prezerá položky, ako sú súbory doplnkov, tematické súbory a všetky odovzdané súbory, aby rýchlo odhalila bezpečnostné hrozby vrátane zadných vrát, adwaru, spywaru, rootkitov, červov, trójskych koní a nástrojov na podvody..

Ak stále sťahujete témy a doplnky z webových stránok s torrentom (namiesto nákupu originálnych kópií od vývojárov), musíte mať tento typ doplnku pre lepšiu bezpečnosť.

Zabezpečenie Wordfence

Tento doplnok ponúka bezplatné zabezpečenie podnikovej triedy tým, že chráni vaše stránky pred škodlivým softvérom a potenciálnymi hackermi. Skontroluje, či na vašom webe už existuje infekcia, a vykoná hĺbkovú kontrolu zdrojového kódu stránky.
Porovnáva kód s oficiálnym archívom WordPress, pokiaľ ide o doplnky, jadrá a témy. Zabezpečuje nielen vaše webové stránky proti väčšine hrozieb, ale tiež robí vaše webové stránky 50-krát rýchlejšie ako predtým.

Wordfence tiež umožňuje blokovanie známych útočníkov v reálnom čase. To znamená, že ak hacker zaútočí na tento doplnok na inom webe, automaticky sa zablokuje aj z vášho webu.

Môže blokovať celú sieť škodlivých adries IP, ak hrozí, že sa na vaše stránky vložia škodlivé kódy. Ďalej pomáha blokovať hrozby vo forme škrabiek, prehľadávačov a robotov identifikovaných počas bezpečnostných kontrol. Vyhľadáva tiež trójske kone, podozrivý kód, zadné vrátka, phishingové adresy URL, malware, zraniteľnosť HeartBleed atď..

Ak ste prémiovým používateľom, môžete blokovať aj krajiny a často môžete naplánovať kontroly na konkrétne obdobia.

Využite skener

Exploit Scanner vždy hľadá niečo podozrivé v súboroch a databáze vášho webu WordPress, vrátane príspevkov a tabuliek komentárov.

Kontroluje tiež doplnky, ktoré používate, či neobsahuje zavádzajúce alebo nezvyčajné názvy súborov. Ak nájde škodlivý kód alebo súbor, tento doplnok poskytuje správcovi lokality podrobnú správu a odstránenie škodlivého kódu je na ňom..

Bezpečnosť Sucuri

Toto je komplexná sada bezpečnostných nástrojov, ktorá sa používa na detekciu škodlivého softvéru, bezpečnostné kalenie a monitorovanie integrity zabezpečenia. Je to vynikajúca podpora bezpečnostných prvkov existujúceho webu.

Medzi kľúčové funkcie tohto doplnku patrí monitorovanie integrity súborov, kontrola čiernej listiny, auditovanie bezpečnostných aktivít, vzdialené skenovanie škodlivého softvéru, bezpečnostné zatvrdenie a bezpečnostné akcie vykonané po hackeroch, bezpečnostné upozornenia a firewall webových stránok..

Ako skenovať svoje stránky WordPress na skrytý malware?

Pretože WordPress je platforma s otvoreným zdrojovým kódom, je ľahko náchylná na infekcie malwaru alebo na injekcie hackerov. Medzi bežné spôsoby, akými hackeri môžu na vaše stránky aplikovať škodlivý softvér, patria napríklad:

  • Pharma Hacks (injekcie spamu do databázy alebo súborov)
  • Phishing (získavanie citlivých informácií, ako sú e-mailové adresy, heslá a používateľské mená)
  • Škodlivé presmerovania (presmerovanie návštevníkov vašich stránok na inú stránku s infikovaným súborom alebo škodlivým kódom)
  • Vstrekovanie súborov a databáz (pridávanie škodlivého kódu do databázy alebo súborov na vašom webe)
  • Backdoor (získanie prístupu do vašej administratívnej oblasti alebo FTP účtu)
  • Všetci hackeri chcú zaistiť, aby sa vlastník stránok nenaučil, že hackol jeho stránku. To umožňuje hackerom infikovať návštevníkov stránok prostredníctvom nepretržitého spamovania po dlhšiu dobu.

Vaším cieľom je preto neustále hľadať skrytý malware na svojich stránkach, o ktorom nepoznáte, a zbaviť sa infikovaných súborov alebo priečinkov..

Môžete to urobiť pomocou populárnych doplnkov na skenovanie škodlivého softvéru WordPress, ako sú napríklad uvedené nižšie:

Použi Skener Sucuri SiteCheck na vyhľadávanie potenciálneho škodlivého softvéru. Jednoducho choďte na stránku tu a zadajte adresu URL svojich webových stránok. Tento bezplatný skener vykoná komplexnú kontrolu vášho webu na prítomnosť škodlivého softvéru, chýb webových stránok, stavu čiernej listiny a zastaralého softvéru..

Jedinou nevýhodou je, že túto kontrolu musíte vykonať ručne s bezplatnou verziou. Vždy, keď zistíte škodlivý softvér, môžete upgradovať na prémiové plány a dostávať upozornenia prostredníctvom Twitteru, e-mailu alebo RSS.

Ak hacker už dlhší čas používa váš server na spam, zbavte svoje webové stránky zo všetkých čiernych listín. Prémiové služby tiež pomáhajú odstraňovať škodlivý softvér. Na vylepšenú ochranu pred škodlivým softvérom môžete dokonca vyskúšať skôr diskutovaný bezpečnostný doplnok Sucuri.

Použi Anti-Malware Scanner vyhľadávať malvér, vírusy, zadné vrátka a podobné známe hrozby a automaticky ich odstraňovať. Kľúčovou prémiovou funkciou tohto doplnku je oprava vašej stránky wp-login.php, aby sa zabránilo útokom hrubou silou.

Okrem toho môžete na identifikáciu škodlivého kódu použiť ktorýkoľvek z vyššie uvedených bezpečnostných doplnkov WordPress.

Nástroje na testovanie zabezpečenia webových stránok

Ak chcete chrániť svoju webovú stránku pred útokmi, musíte neustále testovať úroveň zabezpečenia svojich webových stránok pomocou určitých testovacích nástrojov, ako napríklad:

wapiti zraniteľné miesta (odhalenie súborov, vstrekovanie databázy, vstrekovanie skriptovania na viacerých stránkach, slabé konfigurácie .htaccess a ďalšie) na vašom webe. Tento nástroj používa prístup skenovania čiernej skrinky.

To znamená, že neskúma zdrojový kód aplikácie, ale skontroluje na webových stránkach formuláre a skripty, do ktorých môže vložiť údaje. Vloží užitočné zaťaženie na identifikáciu zraniteľných skriptov. Poskytuje správy v rôznych formátoch, ako napríklad HTML, XML, Text a JSON.

Google Nogotofail testuje sieťovú prevádzku stránok s cieľom zistiť a opraviť slabé pripojenia TLS alebo SSL a citlivý prenos čistého textu na rôznych zariadeniach. Môžete ho tiež nastaviť ako server VPN alebo server proxy alebo dokonca ako smerovač.

Môžete skúsiť open source skener a tester s názvom vega. Táto platforma založená na GUI je v jazyku Java a pracuje s platformami OS X, Windows a Linux. Pozostáva z zachytávacieho servera proxy na vykonanie taktickej kontroly a automatizovaného skenera na vykonávanie rýchlych testov.

Tento nástroj sa dá použiť na identifikáciu skriptovania medzi servermi (XSS), injekcie SQL a podobných zraniteľností.
Dúfame, že vám tieto tipy a informácie o zabezpečení WordPress pomôžu vo veľkej miere zvýšiť bezpečnosť vašich stránok.

Už ste vyskúšali niektoré doplnky alebo metódy, ktoré výrazne zvyšujú bezpečnosť vášho webu WordPress? Prosím, podeľte sa o svoje skúsenosti a neustále šírte povedomie o dôležitosti zabezpečenia webových stránok vo vašej sieti.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map