Instrukcje dotyczące zwiększenia bezpieczeństwa witryny WordPress w celu ochrony przed złośliwym oprogramowaniem i hakerami. Zabezpiecz swoją stronę skutecznie.
Bezpieczeństwo strony jest ważne dla każdego jej właściciela.WordPress to najczęściej używany system CMS na świecie. Dlatego jest częstym celem hakerów.
Bezpieczeństwo strony WordPress
Dobrze zabezpieczona strona jest również ważna dla biznesu. Jeśli hakerzy kradną informacje i hasła oraz instalują złośliwe oprogramowanie, mogą dotrzeć nawet do klientów za pośrednictwem witryny.
Przejdźmy przez kroki, które należy wykonać, aby zapewnić bezpieczeństwo swojej stronie internetowej.
Wybór bezpiecznego motywu
Motyw jest istotną częścią całej strony internetowej. Zapewnia wiele funkcji i dlatego domyślnie zawiera dużo kodu. Istotne jest, aby wybrać sprawdzone i wysokiej jakości. Niektóre z nich płacą nawet za audyt bezpieczeństwa, uzyskując certyfikat bezpieczeństwa.
? Wskazówka: Zalecam obstawianie sprawdzonych motywów wielofunkcyjnych Divi i Avada. Mam też wspaniałe doświadczenie z motywami StudioPress.
Wybór bezpiecznego hostingu
Wybór wysokiej jakości hostingu jest ważny dla zabezpieczenia stron WordPress. Hosting powinien mieć certifykat SSL i gwarantować dostępność na poziomie 99,9%. Ponadto upewnij się, że wybrana administracja hostingu jest szyfrowana przy użyciu protokołu HTTPS.
Dlatego korzystaj z hostingu odpowiedniego dla witryn WordPress. Taki hosting oferuje kopię zapasową Twojej witryny, automatyczne aktualizacje WordPress i wspiera bezpieczeństwo Twojej witryny. Istotną zaletą jest wysokiej jakości wsparcie techniczne.
? Wskazówka: w przypadku szybkiej witryny WooCommerce kluczem jest wybór odpowiedniego hostingu. Polecam poleganie na sprawdzonej jakości: home.pl.
Skonfiguruj kopię zapasową danych
Wszystkie dane muszą zostać zarchiwizowane. Nie korzystaj tylko z hostingu. Kopia zapasowa musi być wykonana w jeszcze jednym miejscu. Możesz do tego użyć Dropbox lub Amazon. Skonfiguruj system, aby tworzył kopię zapasową całej bazy danych, wszystkich wtyczek i używanego motywu. Po wykonaniu kopii zapasowej sprawdź funkcjonalność kopii zapasowej. Upewnij się, że nie pominiesz tego kroku.
Upewnij się, że można użyć kopii zapasowej. Kopie zapasowe należy wykonywać co najmniej raz dziennie lub w regularnych odstępach czasu. Kopię zapasową można również ustawić w specjalnej wtyczce do tworzenia kopii zapasowych lub wtyczce bezpieczeństwa.
? Wskazówka: osobiście używam wtyczki UpdraftPlus do tworzenia kopii zapasowych.
Zainstaluj wtyczkę bezpieczeństwa
Bezpieczeństwo strony WordPress wymaga także instalacji wtyczki bezpieczeństwa. Popularna wtyczka Sucuri skutecznie chroni Twoją witrynę przed złośliwym oprogramowaniem. Po zainstalowaniu przejdź przez wszystkie niezbędne ustawienia.
? Wskazówka: Podobne wtyczki zawierają swobodnie dostępne zabezpieczenia Wordfence Security lub Premium iThemes Security. Zaletą tego ostatniego jest automatyczne tworzenie kopii zapasowej strony internetowej, którą tworzy wtyczka, jeśli witryna jest zainfekowana.
Regularnie aktualizuj witrynę
Regularne aktualizowanie motywu i wszystkich wtyczek jest ważną częścią zabezpieczeń WordPress. Programiści WordPress stale pracują nad ulepszaniem motywów i wtyczek. Ich aktualizacje mogą obejmować usunięcie niektórych błędów bezpieczeństwa.
Wykonaj ten krok ręcznie. W panelu administracyjnym przejdź do sekcji Kokpit (ang. Dashboard), następnie do sekcji Aktualizacje. Sprawdź, które wtyczki należy zaktualizować i zaktualizuj je.
Nie używaj przestarzałych wtyczek
Wybierając odpowiednie wtyczki na swojej stronie, używaj tylko tych, które zostały niedawno zaktualizowane. Upewnij się, że nie używasz tych, które nie były aktualizowane przez ponad dwa lata. Zaryzykowałbyś nie tylko bezpieczeństwo strony, ale także zgodność wtyczki z motywem.
Używaj silnych haseł
Ważnym punktem zabezpieczenia witryny WordPress jest użycie silnych haseł. Powinieneś również używać haseł dla własnego dostępu do strony, jak również do innych użytkowników. Najczęstszym atakiem hakerów jest kradzież hasła. Dlatego od ciebie zależy, czy uczynisz ten krok tak trudnym, jak to tylko możliwe. Używaj silnych haseł także do hostingu, adresu e-mail i kont FTP.
Nie używaj tych samych haseł we wszystkich lokalizacjach. Wybierz kombinację wielkich i małych liter, cyfr i znaków. Najlepszym wyborem jest hasło, które nie jest łatwe do zapamiętania.
Użyj menedżera haseł, aby je zapamiętać. Menedżer haseł (Password Manager) pomaga tworzyć silne hasła i zapisuje je wszystkie. Dostęp do tych haseł można uzyskać za pomocą jednego hasła.
Aby zwiększyć bezpieczeństwo witryny WordPress, ważne jest również, aby udostępnić jej administrację innej osobie tylko w razie potrzeby. Ważne jest również, aby każdy, kto otrzyma taki dostęp, rozumiał kompetencje, jakie posiada w tworzeniu i utrzymywaniu strony internetowej.
Szyfrowanie SFTP
W przypadku zabezpieczeń witryny WordPress ważne jest, aby podczas edycji strony przesyłać dane do witryny FTP w sposób zaszyfrowany. Użyj szyfrowania SFTP.
Zabezpiecz swój certyfikat SSL
Certyfikat SSL (Secure Socket Layer) zapewnia bezpieczną, szyfrowaną komunikację z serwerami. Ta komunikacja dotyczy również Twojego hasła. Bez certyfikatu SSL Twoje hasło zostanie wysłane bez szyfrowania.
Usuń nadmiar zawartości na serwerze
Treść znajdująca się w przestrzeni witryny (FTP) stanowi ryzyko. Na przykład tworzenie kopii zapasowych całej witryny w katalogu wp-content / backup, w którym przechowywane są ustawienia strony i zawartość bazy danych, może stanowić takie ryzyko. Nadmiarowe i ryzykowne pliki należy usunąć z przestrzeni serwisu.
Zmień prefiks
Podczas instalacji motywu WordPress, WordPress zapyta Cię, jakiego prefiksu chcesz użyć. WordPress używa domyślnego prefiksu. Jeśli wybierzesz domyślny prefiks wp_, ułatwisz hakerom pracę. Dlatego polecam zmienić to na cokolwiek innego.
Włącz aplikację Firewall (WAF)
Aby zwiększyć bezpieczeństwo witryny WordPress, użyj zapory ogniowej (WAF), która blokuje złośliwe oprogramowanie, zanim dotrze do Twojej witryny. W tym celu polecam używanie Sucuri. Gwarantuje ochronę przed złośliwym oprogramowaniem.
Nie używaj nazwy użytkownika „admin”
W przypadku zabezpieczeń witryny WordPress musisz zmienić wstępnie wybraną nazwę użytkownika. Utwórz nowe konto administratora i usuń domyślne. Zrób to zaraz po zainstalowaniu motywu WordPress.
Wybierz nazwę użytkownika, której nie można zgadnąć. Jeśli masz już zainstalowany WordPress i używasz nazwy „admin”, możesz go zmienić. Utwórz nowego użytkownika i usuń oryginalnego użytkownika. Rozwiązaniem może być również użycie wtyczki do zmiany nazwy użytkownika.
Wyłącz edycję motywów i wtyczek
WordPress zawiera wbudowaną funkcję edycji kodu, która pozwala edytować motywy i wtyczki w menu administracyjnym. Zaleca się wyłączenie go, aby zapobiec wpadnięciu tej opcji w niepowołane ręce. Aby to zrobić, dodaj następujący kod do pliku wp-config.php:
// Disallow file edit define( 'DISALLOW_FILE_EDIT', true );
Sprawdź pliki przesłane do witryny
Prześlij tylko pliki, które nie zawierają wirusów do Twojej witryny. Regularnie sprawdzaj komputer za pomocą programu antywirusowego.
Bezpieczne logowanie do panelu administracyjnego
WordPress pozwala na nieograniczoną liczbę prób zalogowania się do panelu administracyjnego. Można ustawić maksymalną dopuszczalną stopę błędu, aby zapewnić logowanie. Na przykład trzy nieprawidłowe próby.
Ponadto można również ustawić okres czasu na nieprawidłowe logowanie – trzy logowania w ciągu trzech minut. Jeśli ktoś zaloguje się niepoprawnie cztery razy, możesz zablokować jego adres IP na kilka minut. Zrób to, instalując wtyczkę Login LockDown. Po aktywacji przejdź do Ustawienia»Login LockDown.
Użyj weryfikacji dwuetapowej
Jednym z niezawodnych sposobów zabezpieczenia witryn WordPress jest również weryfikacja dwuetapowa. Umożliwi to ochronę dostępu do witryny za pomocą hasła i telefonu.
Ukryj stronę logowania
Zabezpieczenie witryny WordPress zwiększy także ukrywanie strony logowania. WordPress używa www.nazov-domain.sk/wp-admin lub www.nazov-domain.sk/wp-login.php, aby zalogować się do administracji. Możesz zmienić jego nazwę, używając WPS Hide Login.
Uważaj na komentarze SPAM
Komentarz SPAM często zawiera linki do stron internetowych, na których znajduje się złośliwe oprogramowanie. Jeśli nie chcesz wyłączać wszystkich komentarzy, musisz je przejrzeć. Najpopularniejszym narzędziem do sprawdzania komentarzy jest wtyczka Akismet, która ocenia komentarze i filtruje je. Akismet jest instalowany na każdym motywie WordPress. Znajdź Akismet w menu motywu i zaznacz pole „aktywuj”.
Uwaga: Wtyczka akismet jest darmowa tylko dla niekomercyjnych stron internetowych.
Nie loguj się do niezabezpieczonej sieci Wi-Fi
W przypadku zabezpieczeń witryn WordPress ważne jest również, aby nie logować się przy użyciu niezabezpieczonej sieci. Haker w tej samej sieci może wykryć Twój login lub plik cookie w celu trwałej rejestracji.
Przenoszenie wp-config.php
Aby zwiększyć bezpieczeństwo strony WordPress, polecam przeniesienie pliku wp-config.php do powyższego katalogu. Wykonaj ten krok tylko wtedy, gdy nie koliduje to z funkcjonalnością Twojej witryny i jeśli masz tylko jedną domenę w hostingu. W tym pliku masz zapisane dane, takie jak nazwa bazy danych, hasło i tak dalej. Przesuwając go, ukryjesz go przed hakerami.
Ustawianie praw
Kolejnym krokiem do zwiększenia bezpieczeństwa witryny WordPress jest ustawienie praw dostępu do folderów i plików. Powinieneś użyć tych ustawień praw dla strony:
Wszystkie katalogi – 755 lub 750
Wszystkie pliki – 644 lub 640
wp-config.php — 600
Wyłącz raportowanie błędów PHP
Komunikat o błędzie może również wyświetlać ścieżkę do plików. Ale możesz to wyłączyć. Aby złożyć plik wp-config.php, dodaj:
@ini_set('display_errors','Off');
@ini_set('error_reporting',0);
Wyłącz Pingback XML-RPC
Funkcja XML-RPC Pingback umożliwia połączenie strony z trackbackami i pingbackami. Jednak jest to również opcja dla hakerów. Zabezpieczenie Pingback XML-RPC zapewnia na przykład wtyczka iThemes Security.
Usuwanie numeru wersji WordPress
W kodzie źródłowym WordPress znajduje się metatag z używaną wersją WordPressa. Informacje te mogą zostać wykorzystane przez hakerów. Możesz łatwo ukryć go za pomocą wtyczk Meta Generator and Version Info Remover lub dodając kod do pliku functions.php znalezionego w twoim motywie:
remove_action('wp_head', 'wp_generator');
Ustaw automatyczne wylogowanie dla długo nieaktywnych użytkowników
Niektórzy użytkownicy opuszczają ekran na długi czas, mimo że nadal są zalogowani. Aby zwiększyć bezpieczeństwo witryny WordPress, możesz ustawić automatyczne wylogowanie. Być może zauważyłeś, że banki również używają podobnych ustawień. Dzieje się tak, ponieważ w przypadku braku zalogowanego użytkownika hakerzy mogą wprowadzać zmiany w swoich hasłach lub kontach.
Możesz to zrobić za pomocą wtyczki Inactive Logout, aby automatycznie wyłączyć nieaktywnych użytkowników.
Podsumowanie wskazówek bezpieczeństwa WordPress
Moim zdaniem najważniejszy jest wybór hostingu wysokiej jakości. Hosting powinien mieć certyfikat SSL. Zalecam postawienie na zweryfikowaną jakość: home.pl.
Następnie upewnij się, że używasz silnych haseł i zainstaluj / skonfiguruj jedną ze zweryfikowanych wtyczek bezpieczeństwa – Sucuri, Wordfence Security lub iThemes Security.
Czy ten artykuł był dla Ciebie pomocny? Wesprzyj mnie jego udostępnianiem. 👍
