Zaktualizowano: czerwiec 27, 2023
WordPress, Bezpieczeństwo
Bez komentarza
8 szybkich i łatwych wskazówek WordPress, aby poprawić bezpieczeństwo swojej witryny

8 szybkich i łatwych wskazówek WordPress, aby poprawić bezpieczeństwo swojej witryny

Aktualizacja zabezpieczeń przeprowadzona przez Wordfence wykazała, że ​​w maju 20 r. miało miejsce ponad 2020 milionów ataków na ponad pół miliona witryn WordPress. Sama liczba tych ataków w samym tylko tym miesiącu potwierdza, jak podatna może być Twoja witryna.

Nie oznacza to, że system zarządzania treścią WordPress nie jest bezpiecznym miejscem – tak jest. To, co sprawia, że ​​​​jest to soczysty cel dla atakujących, to nieprzestrzeganie przez większość administratorów niezbędnego WordPressa bezpieczeństwo najlepsze praktyki.

Jak zoptymalizować witrynę WordPress pod kątem bezpieczeństwa

Teraz praktycznie niemożliwe jest stworzenie i utrzymywanie idealnie bezpiecznej witryny. Istnieje jednak kilka rzeczy, które mogą pomóc poprawić ogólny stan bezpieczeństwa i zmniejszyć ryzyko cyberataków:

Wybierz mądrze dostawcę usług hostingowych

Jakiś czas temu funkcje i cena były kluczowymi czynnikami przy wyborze firmy hostingowej. Dla większości ludzi bezpieczeństwo było na ostatnim miejscu, to znaczy, jeśli znajdowało się na liście ich obaw. Ale w czasach, gdy hakowanie stało się tak powszechne, zmieniły się priorytety. Bezpieczny hosting powinien być Twoim przewodnikiem przy wyborze firmy hostingowej, której zaufasz w zakresie swojej witryny.

Istnieje kilka podstawowych funkcji bezpieczeństwa, na które należy zwrócić uwagę przy wyborze najlepsi dostawcy hostingu WordPress w 2021 r. Należą do nich:

  • Niezawodne bezpieczeństwo serwera
  • Skanowanie złośliwego oprogramowania
  • Możliwości bezpiecznego serwera - powinien być zabezpieczony SFTP. Sprawdź też typ certyfikatu SSL.
  • Zapobieganie atakom DDoS (sprawdź, czy działa z firmą CDN, taką jak Cloudflare).
  • Ochrona firewall
  • Możliwość ręcznego restartu

Zabezpiecz plik wp-config[.]php

Plik wp-config[.]php to podstawowy plik z kluczowymi danymi uwierzytelniającymi i informacjami o połączeniu, których WordPress potrzebuje do przechowywania i pobierania danych z bazy danych. Te informacje obejmują hosta lokalnego, nazwę, nazwę użytkownika i hasło.

Plik wp-config[.]php jest jednym z najczęściej atakowanych obszarów złośliwych aktorów, ponieważ zapewnia im łatwy dostęp do bazy danych, w której przechowywana jest krytyczna zawartość witryny. Uniemożliwienie dostępu do tego pliku oznacza, że ​​wzmacniasz swoją witrynę od podstaw.

Ochrona pliku wp-config[.]php wymaga przeniesienia go z domyślnej lokalizacji. Dobrze, że WordPress pozwala ukryć to poza instalacją WordPressa i nadal będzie działać.

Wdróż WordPressa na Kubernetes

WordPress jest z natury prostą platformą dla początkujących i potężnym narzędziem dla programistów. Nic dziwnego, że jest to wybór prawie 30% światowych stron internetowych — od małych indywidualnych blogów po gigantyczne korporacje.

Możesz sprawić, by Twoja witryna WordPress była łatwiejsza w zarządzaniu i bezpieczniejsza, udostępniając ją za pomocą kontenerów Docker zorganizowanych przy użyciu Kubernetes. Uruchamianie WordPress na Kubernetes oferuje kilka korzyści, w tym ciągłą integrację (CI). Jako deweloper, CI skraca czas potrzebny na wydanie nowych aktualizacji o 10-15%.

Co więcej, dokowanie witryny WordPress oznacza, że ​​tylko jeden kontener zostanie naruszony w przypadku wystąpienia luki w zabezpieczeniach.

Przeniesienie istniejącej witryny do kontenerów Docker może zająć trochę pracy. Biorąc jednak pod uwagę, że kontenery to przyszłość hostingu, radzimy nauczyć się Dockera i Bezpieczeństwo Kubernetesa najszybciej jak możesz.

Zainstaluj wtyczkę bezpieczeństwa WordPress

Porady dotyczące tego, czy potrzebujesz wtyczki zabezpieczającej WordPress, są wszędzie. Jeśli nie masz jednej z tych witryn wysokiego ryzyka, które wymagają ochrony ze wszystkich frontów, możesz zabezpieczyć swoją witrynę bez angażowania dedykowanej wtyczki zabezpieczającej WordPress.

Jeśli jednak poważnie traktujesz bezpieczeństwo swojej witryny (a założymy się, że tak), wtyczka bezpieczeństwa WordPress jest czymś, co musisz rozważyć. Najlepsze wtyczki bezpieczeństwa WordPress, takie jak Sucuri i Wordfence, oferują dodatkową linię obrony Twojej witryny, wzmacniając stronę logowania, skanując witrynę pod kątem złośliwego oprogramowania i tworząc zaporę ogniową.

Uczyń te hasła twardymi!

Hasła mają stanowić pierwszą linię obrony przed hakerami i złośliwym oprogramowaniem. Ale to dość zaskakujące, że większość właścicieli witryn WordPress nadal używa prostych i łatwych do odgadnięcia haseł, takich jak 123456, QWERTY i hasło. „Iloveyou” też nie jest mocne.

Tworząc hasło do swojej witryny, upewnij się, że jest długie i złożone. Łączenie liter, cyfr i znaków, takich jak nawiasy, nawiasy kwadratowe i znak procentu, sprawi, że odgadnięcie hasła przez atakujących będzie jeszcze trudniejsze i bardziej czasochłonne.

Co ważne, unikać używania tego samego hasła dla różnych witryn i urządzeń. Konsekwencje złamania hasła mogą być druzgocące.

Włącz uwierzytelnianie dwuskładnikowe WordPress

Hakerzy i złośliwi aktorzy są zawsze na szczycie swojej gry w odgadywanie haseł. Pomimo niekończących się kampanii na temat tego, jak ważne jest używanie trudnych danych logowania, nie jest niespodzianką, że liczba ataków związanych z hasłami wciąż rośnie.

Samo egzekwowanie bardzo silnych haseł do witryn WordPress nie wystarczy. Wdrożenie uwierzytelniania dwuetapowego jest kluczowe, ponieważ tworzy dodatkowy etap weryfikacji, w którym użytkownicy muszą podać tylko znane im informacje. Może to być kod lub SMS wysłany przez telefon lub e-mail, dowód biometryczny, taki jak skan twarzy, lub kod czasowy z innej aplikacji.

Wyłącz edycję plików

Domyślnie użytkownicy administratorzy mogą otwierać Wygląd >> Edytor motywów i użyj tej wtyczki do edycji, aby zmodyfikować dowolne pliki bezpośrednio z panelu WordPress. Może to być naprawdę przydatne, ale niesie ze sobą również potencjalnie wysokie ryzyko.

W przypadku, gdy atakujący włamie się do Twojego pulpitu nawigacyjnego, włączenie tej opcji edycji pliku daje mu pełny dostęp do wszystkich kodów w Twojej witrynie. Jeśli rzadko dokonujesz zmian w swoich plikach, ta wtyczka może nie być potrzebna Tobie lub innym użytkownikom.

Wyłączenie tej wtyczki jest proste i jednoznaczne. Musisz tylko dodać tekst zdefiniuj („DISALLOW_FILE_EDIT”, prawda); na końcu wp-config[.]php plik.

Unikaj pustych motywów jak zarazy

Szukając najlepszych wtyczek WordPress, prawdopodobnie będziesz szukać wtyczki, która oferuje wspaniałe funkcje przy jednoczesnym obniżeniu kosztów. Zerowane motywy WordPress są ulubioną opcją dla większości ludzi. Zerowane motywy odnoszą się do pirackich kopii premium motywów WordPress, często sprzedawanych za ułamek pierwotnej ceny.

Chociaż obietnica korzystania z funkcji premium bez wydawania dużych pieniędzy jest kusząca, nie daj się nabrać. Zerowane motywy i wtyczki są jednymi z głównych powodów, dla których większość witryn WordPress jest obecnie atakowana przez hakerów. Wynika to z faktu, że produkty te często zawierają złośliwe oprogramowanie, które łatwo rozprzestrzenia się w różnych plikach w Twojej witrynie, co utrudnia jego wykrycie i naprawienie.

Te złamane motywy i wtyczki zawierają również złośliwe kody, których hakerzy używają do kradzieży informacji uwierzytelniających, takich jak adres e-mail, nazwa użytkownika i hasła, i udostępniania ich innym podmiotom w ciemnej sieci.

    Polecamy Wiadomości

    0 komentarzy

    Bez komentarza.