Bezpieczeństwo WordPress: Jak zabezpieczyć stronę internetową
Bezpieczeństwo WordPressa ma na uwadze wielu właścicieli witryn. WordPress ma skrypt open source, więc oczywiście wszyscy obawiają się, że jest podatny na wszelkiego rodzaju ataki. Jednak WordPress nie jest z natury podatny na ataki i istnieje wiele kroków, które możesz podjąć, aby zabezpieczyć WordPress.
Ostatecznie właściciel witryny jest często bardziej odpowiedzialny za włamania niż platforma. Okazuje się, że masz dużo do powiedzenia na temat tego, jak zabezpieczyć swoją witrynę WordPress. Oto kilka wskazówek i wskazówek, które pomogą Ci dowiedzieć się, jak zabezpieczyć swoją witrynę w WordPress.
Utwórz blokadę witryny i zablokuj użytkowników
Stworzenie funkcji blokowania dla powtarzających się nieudanych prób logowania pomoże zapobiec podejmowaniu przez potencjalnych hakerów ciągłych prób brutalnej siły, które ostatecznie się udają. Każda próba włamania, która wielokrotnie używa powtarzających się długich haseł, blokuje witrynę i zostaniesz powiadomiony o nieautoryzowanej aktywności. To od razu zablokuje wielu hakerów.
Jednym ze sposobów na zwiększenie bezpieczeństwa WordPressa przed tego rodzaju próbami włamania jest wtyczka iThemes Security. Od dłuższego czasu jest świetnie, bez oznak spowolnienia. Oferuje opcję określenia, ile nieudanych prób logowania ma użytkownik, zanim wtyczka zablokuje jego adres IP i wyświetli ostrzeżenie.
Użyj metod uwierzytelniania dwuskładnikowego
Uwierzytelnianie dwuskładnikowe (SFA) to jedna z wielu najlepszych praktyk bezpieczeństwa WordPress. Prosi użytkownika o podanie danych logowania dla dwóch składników spatera. Jako właściciel witryny możesz zdecydować, jakie są te dwa składniki. Może to być zwykłe hasło, po którym następuje tajny kod, tajne pytanie, zestaw znaków, CAPTCHA i tak dalej.
Wielu właścicieli witryn preferuje metodę 2FA zabezpieczania swojej witryny. Google Authenticator to dobra wtyczka do włączania 2FA w Twojej witrynie. Jest, podobnie jak wiele wtyczek od Google, niezawodny i często aktualizowany.
Użyj adresu e-mail jako nazwy użytkownika logowania
Domyślnie większość witryn prosi o podanie nazwy użytkownika do zalogowania. Aby zwiększyć bezpieczeństwo WordPress, użyj identyfikatora e-mail zamiast nazwy użytkownika. To bezpieczniejsze podejście. Nazwy użytkowników są łatwe do przewidzenia przez hakerów. E-maile nie są tak łatwe do przewidzenia. Ponadto konta użytkowników WordPress muszą być tworzone przy użyciu unikalnego adresu e-mail, co czyni je bardziej ważnym identyfikatorem.
Dobrą wtyczką do zwiększania bezpieczeństwa WordPress w ten sposób jest WP Email Login. Działa zaraz po instalacji. Po prostu aktywuj i ruszaj. Konfiguracja nie jest konieczna. Jeśli chcesz to przetestować, po prostu wyloguj się ze swojej witryny, a następnie zaloguj się ponownie, używając adresu e-mail, za pomocą którego utworzyłeś konto.
Zmień nazwę swojego adresu URL logowania
Zmiana adresu URL logowania jest bardzo łatwa. Domyślny login WordPress jest łatwo dostępny za pośrednictwem wp-login.php lub wp-admin dodanego do głównego adresu URL witryny. Gdy hakerzy znają bezpośredni adres URL strony logowania, często próbują włamać się do Twojej witryny. Następnie spróbują zalogować się za pomocą swojej bazy danych Guess Work Database (GWDb), bazy danych odgadniętych nazw użytkowników i haseł, która zawiera miliony kombinacji znaków. Hakerzy łatwo to zrobić. To prymitywne, proste, ale zbyt często skuteczne.
Jeśli wykonałeś wszystkie opisane powyżej kroki, oznacza to, że już ograniczyłeś liczbę prób logowania użytkownika i zamieniłeś nazwy użytkowników na potrzeby identyfikacji adresu e-mail. Zmieniając adres URL oprócz tych dwóch zabezpieczeń WordPress, pozbędziesz się 99% bezpośrednich ataków typu brute force. Spowoduje to, że z daleka odejdzie najczęstszy rodzaj hakera WordPress.
Wszystko, co musisz zrobić, aby uniemożliwić nieautoryzowanym podmiotom dostęp do strony logowania, to użyć wtyczki iThemes Security, aby to zrobić:
- Zmień wp-login.php na coś unikalnego; np. mój_nowy_login
- Zmień /wp-admin/ na coś unikalnego; np. mój_nowy_admin
- Zmień /wp-login.php?action=register na coś unikalnego
Użyj dobrej jakości hosta
Twój host jest bardzo podobny do ulicy Twojej witryny w Internecie. Podobnie jak adresy ulic w prawdziwym życiu, jakość ulicy może wpływać na rodzaj ruchu, który widzi.
Dobry host wpłynie na to, jak niezawodna jest Twoja witryna, jak działa, jak duży może być, a nawet jak wysoko zajmuje pozycję w wyszukiwarkach. Naprawdę świetni gospodarze oferują właścicielom witryn wiele przydatnych funkcji, w tym dobre wsparcie i usługi dostosowane do wybranej przez właściciela platformy.
Szukaj hostów, które regularnie, niemal stale aktualizują swoje usługi, oprogramowanie i narzędzia. Powinna też reagować na najnowsze zagrożenia i szybko eliminować ewentualne naruszenia bezpieczeństwa. Host internetowy powinien oferować ukierunkowane funkcje bezpieczeństwa, takie jak certyfikaty SSL/TLS i ochrona przed atakami DDoS. Powinieneś uzyskać dostęp do zapory aplikacji internetowej (WAF), aby pomóc monitorować i blokować poważne zagrożenia dla witryny WordPress.
Dobry host internetowy prawdopodobnie zapewni również sposób na wykonanie kopii zapasowej witryny. W niektórych przypadkach zrobią nawet kopię zapasową. Umożliwi to powrót do poprzedniej stabilnej wersji, jeśli witryna zostanie kiedykolwiek zhakowana. Powinny oferować niezawodne wsparcie 24/7, dzięki czemu zawsze będziesz mógł skontaktować się z ekspertem, aby pomóc w kwestiach bezpieczeństwa.
Przełącz swoją witrynę na HTTPS
Za pomocą certyfikatu SSL/TLS możesz przełączyć swoją witrynę WordPress na HyperText Transfer Protocol Secure (HTTPS), który jest bezpieczniejszą wersją protokołu HTTP. To świetny sposób na zwiększenie bezpieczeństwa WordPressa.
HTTP to protokół, który przesyła dane między witryną internetową a przeglądarką próbującą uzyskać do niej dostęp. Za każdym razem, gdy odwiedzający zegar na Twojej stronie, wszystkie stałe, media i kod są wysyłane za pośrednictwem tego protokołu do lokalizacji odwiedzającego. Jest to konieczne, ale stwarza również problemy z bezpieczeństwem.
Dzięki HTTPS ten problem został rozwiązany. Robi to samo, co HTTP, ale szyfruje również dane witryny podczas podróży z jednego miejsca do drugiego. Zaczęło się od czegoś, co służyło do ochrony poufnych informacji o klientach, takich jak dane karty kredytowej, ale staje się coraz bardziej powszechne w przypadku wszystkich rodzajów witryn.
Po przejściu na HTTPS klienci zyskają pewność, że będą obsługiwać Twoją witrynę. Zaleca się posiadanie certyfikatu SSL od uwierzytelnionych marek, takich jak Comodo, Thawte, GlobalSign itp. Jeśli masz witrynę z jedną domeną, zalecamy posiadanie certyfikatu Comodo PositiveSSL od Comodo lub dowolnego innego SSL z jedną domeną od omawianych marek. Zabezpieczy transakcje online między serwerem a przeglądarką.
Końcowe przemyślenia na temat bezpieczeństwa WordPress
Te wskazówki dotyczące bezpieczeństwa WordPress pomogą Ci upewnić się, że cała praca, którą włożyłeś w swoją witrynę, nie zostanie utracona podczas włamania. Zachęci ludzi do odwiedzin i zobaczenia, co masz do zaoferowania.
Jeśli podobał Ci się ten artykuł na temat bezpieczeństwa WordPress, powinieneś zapoznać się z tym artykułem o wtyczce SSL WordPress.
Pisaliśmy również o kilku powiązanych tematach, takich jak wtyczki skanera złośliwego oprogramowania i sole WordPress.