10 potężnych kluczy do zabezpieczenia witryny WordPress w 2023 r

Zbyt często właściciele witryn WordPress odkrywają, że ich witryny zostały naruszone. Biorąc pod uwagę jego popularność jako CMS, WordPress jest najczęściej atakowaną platformą przez hakerów, w wyniku czego zyskuje złą sławę jako niepewna.

Ale tak nie jest.

Otwarty charakter WordPressa oznacza, że ​​każdy może go używać, a zdecydowana większość osób, które go używają, nie jest dobrze zorientowana w podstawowych praktykach bezpieczeństwa cybernetycznego. To właśnie tworzy złudzenie, że WordPress jest w jakiś sposób mniej bezpieczny niż inne opcje tworzenia stron internetowych.

Osoby, które stosują rozsądne praktyki bezpieczeństwa, rzadko mają problemy z hakowaniem witryn. Co sprawia, że ​​witryna WordPress jest bezpieczna?

 

Zabezpiecz swoją witrynę WordPress

Oto 10 rzeczy, o których należy pamiętać, jeśli chodzi o zabezpieczenie witryny WordPress.

 

Użyj bezpiecznego hosta

Jeśli nie masz nic więcej z tego postu, przynajmniej zwróć uwagę na ten. Twoja witryna WordPress jest tak bezpieczna, jak serwer, na którym działa.

Większość witryn WordPress opiera się na hostingu współdzielonym, co oznacza, że ​​Twoja witryna znajduje się na tym samym serwerze, co witryny innych klientów. Wybierz firmę hostingową, która odpowiednio blokuje uprawnienia konta na swoich serwerach.

Zobacz to: Porównanie najlepszych usług hostingowych WordPress

Nierzadko zdarza się, że jedna zainfekowana witryna infekuje inne na tym samym serwerze. Jeśli wybierzesz hosta, w którym uprawnienia są odpowiednio rozdzielone dla każdego konta, ryzyko zanieczyszczenia między witrynami zostanie zminimalizowane.

Wbrew obiegowej opinii, VPS hosting jest również podatny na rozprzestrzenianie się złośliwego oprogramowania. Ataki VMescape, w których złośliwe oprogramowanie wykorzystuje luki w platformach wirtualizacyjnych, mogą pozwolić złośliwemu oprogramowaniu uciec z jednego VPS i przenieść się na inny VPS, który działa na tym samym fizycznym sprzęcie.

Bezpieczni gospodarze będą mieć również inne środki zaradcze. Obejmują one wykorzystanie mod-security w konfiguracji serwera WWW, pakiety chroniące przed złośliwym oprogramowaniem, takie jak Imunify360, oraz ochronę przed atakami DDoS, aby zapobiec przytłoczeniu witryn przez boty.

 

Aktualizuj swój rdzeń, motywy i wtyczki

Większość witryn WordPress pada ofiarą hakerów, ponieważ kończy się na nich nieaktualny kod. To nie opinia, to udokumentowany fakt.

Badacze bezpieczeństwa przeprowadzający analizy kryminalistyczne tysięcy zhakowanych witryn WordPress bez wątpienia ustalili, że za ponad 80% z nich odpowiedzialne są nieaktualne wtyczki i motywy.

Wyobraź sobie, że po prostu dbając o aktualność motywów i wtyczek, możesz wyeliminować 80% szans na przejęcie witryny. To jest klucz do zabezpieczenia WordPressa, który warto wziąć pod uwagę.

 

Włącz uwierzytelnianie 2-czynnikowe

Podczas gdy przestarzałe motywy i wtyczki są odpowiedzialne za znaczną większość zhakowanych witryn WordPress, ataki siłowe na nazwy użytkownika i hasła są najczęstszymi metodami uzyskiwania nieautoryzowanego dostępu do stron internetowych.

Chociaż wskaźnik sukcesu jest zwykle niski, nadal około 8% zaatakowanych witryn zostało włamanych po prostu przez odgadnięcie hasła użytkownika.

Jednym ze sposobów ochrony witryny jest włączenie uwierzytelniania dwuskładnikowego (2FA). Oprócz nazwy użytkownika i hasła, 2FA wymaga również podania jednorazowego kodu dostępu z urządzenia mobilnego lub wiadomości e-mail.

Jeśli haker ma Twoją nazwę użytkownika i hasło do Twojej witryny, ale nie ma Twojego telefonu ani dostępu do poczty e-mail, nie będzie mógł się zalogować.

Istnieje kilka wtyczek, które dodają uwierzytelnianie dwuskładnikowe do Twojej witryny, a wiele kompleksowych wtyczek bezpieczeństwa, o których będziemy mówić w następnej sekcji, również dodaje je jako część wielu funkcji, które zawierają.

 

Zainstaluj wtyczkę bezpieczeństwa

Są ludzie, którzy twierdzą, że całe bezpieczeństwo powinno być zapewnione przez twojego hosta, ale w świecie cyberbezpieczeństwa uważamy, że bezpieczeństwo odbywa się warstwami. Posiadanie wtyczki bezpieczeństwa w WordPressie strona internetowa to tylko jedna z tych warstw.

Jeśli chodzi o wtyczki bezpieczeństwa, istnieje wiele do wyboru. Oto niektóre z najpopularniejszych wtyczek bezpieczeństwa. Powinieneś je przetestować i zobaczyć, który najlepiej odpowiada Twoim potrzebom.

 

Wordfence

Chociaż ten post nie będzie dotyczył tego, która wtyczka bezpieczeństwa jest najlepsza, najpopularniejsza jest Wordfence – i są ku temu ważne powody.

Po pierwsze, Wordfence jest firmą zajmującą się bezpieczeństwem, ponieważ bezpieczeństwo to wszystko, co robią. Nie są twórcami wtyczek WordPress, którzy po prostu mają w swoim portfolio wtyczkę zabezpieczającą, żyją i oddychają bezpieczeństwem.

Wtyczka Wordfence jest dostarczana z darmową zaporą aplikacji internetowej, która sprawdza każde żądanie pod kątem listy znanych exploitów i blokuje je, jeśli znajdzie dopasowanie. Mają też skaner złośliwego oprogramowania, który wyszukuje charakterystyczne oznaki złośliwej aktywności i plików. Kolejną świetną funkcją jest możliwość sprawdzenia przez skaner wszystkich plików motywu i wtyczek z plikami w repozytorium WordPress.org, aby upewnić się, że pasują.

Wordfence domyślnie rejestruje wszystkie działania związane z bezpieczeństwem, dzięki czemu możesz je przejrzeć i upewnić się, że Twoja witryna jest bezpieczna.

Kolejną fajną funkcją Wordfence jest moduł uwierzytelniania dwuskładnikowego, dzięki czemu możesz usunąć rekomendację nr 2 w tym poście. W tej samej linii ochrony mają również ochronę przed brutalną siłą, aby zablokować adresy IP, które próbują wielokrotnie logować się, skutecznie zatrzymując boty na ich torach.

 

Sucuri

Sucuri to kolejna świetna wtyczka bezpieczeństwa, która może pomóc chronić Twoją witrynę WordPress. Ma wiele takich samych wspaniałych funkcji, jakie oferuje Wordfence, z jednym godnym uwagi wyjątkiem: nie ma darmowej zapory ogniowej – jest dostępna tylko w płatnym abonamencie premium.

Ważną informacją na temat Sucuri jest to, że wtyczka została niedawno zakupiona przez GoDaddy, więc ich zdolność do prawidłowego jej obsługi nie została jeszcze udowodniona. W kręgach webhostingowych GoDaddy nie jest postrzegany przychylnie, więc tylko czas pokaże, czy ta reputacja obejmie Sucuri lub czy będą w stanie sprostać wyzwaniu.

Sucuri ma również dziennik audytu, dzięki czemu możesz przeglądać działania związane z bezpieczeństwem w Twojej witrynie, takie jak nieudane logowanie.

 

Wszystko w jednym WP Security & Firewall

Wszystko w jednym WP Security & Firewall jest jedyną wtyczką, która nawet zbliża się popularnością do Wordfence. Oferuje wiele takich samych korzyści, w tym bezpłatną zaporę ogniową opartą na regułach .htaccess, ochronę przed brutalną siłą i skaner bezpieczeństwa.

Jedną z rzeczy, których nie zawiera, jest moduł uwierzytelniania dwuskładnikowego, więc musisz dodać samodzielną wtyczkę dla tej funkcji.

Można argumentować, że All in One WP Security & Firewall faktycznie zapewnia najbardziej niezawodną zaporę ogniową ze wszystkich wtyczek bezpieczeństwa. Ponieważ zapora jest oparta na .htaccess, jest przetwarzana przed uruchomieniem jakichkolwiek skryptów, co czyni ją bardzo niezawodną.

All in One WP Security & Firewall zawiera również fajną funkcję, która pomaga chronić przed automatycznym spamem w komentarzach. Alternatywnie możesz zastąpić domyślny system komentowania WordPress DeepKomentarze dla dodatkowych funkcji i ochrony.

 

Użyj Cloudflare'a

Cloudflare zyskał popularność wśród użytkowników WordPressa dzięki doskonałej (i bezpłatnej) usłudze CDN, która pomaga przyspieszyć Twoją witrynę. Ale Cloudflare oferuje również wiele bezpłatnych narzędzi, które pomagają zabezpieczyć witrynę przed atakami.

Po pierwsze, kiedy kierujesz swoje serwery nazw do Cloudflare, zyskujesz jedną z najszybszych i najbezpieczniejszych dostępnych usług DNS oraz bezpłatne certyfikaty SSL.

Serwery Cloudflare sprawdzają cały ruch, zanim dotrze on do Twojego serwera pod kątem ataków DDoS, a ich zapora ogniowa jest wysoce konfigurowalna nawet w wersji darmowej (z ograniczoną liczbą reguł), które pozwalają filtrować ruch na podstawie kraju, ASN, a nawet Adres URL lub ciąg zapytania.

Na przykład, jeśli kiedykolwiek logujesz się do swojej witryny tylko z jednego adresu IP lub niewielkiej liczby stałych adresów IP, możesz zbudować regułę w Cloudflare, która blokuje wszystkim innym adresom IP nawet dostęp do wp-admin lub wp-login.php . To zablokowałoby wszystkie boty próbujące przeprowadzić ataki siłowe, o których mówiliśmy w sekcji 3. Możesz także ogranicz dostęp do wp-admin za pomocą pliku .htaccess zamiast Cloudflare'a. Możesz zaimplementować oba, jeśli chcesz mieć wiele warstw ochrony (wysoce zalecane).

 

Nie używaj zerowanych motywów ani wtyczek

Czy chcesz ten motyw premium, ale nie chcesz za niego płacić? Cóż, jeśli otrzymasz go z jednej z tych szkicowych witryn, które oferują zerowane motywy i wtyczki, możesz go zdobyć za darmo. Ale jest jeszcze cena…

Gdy używasz zerowanego motywu lub wtyczki, tracisz gwarancję, że produkt jest taki sam, jak ten oferowany przez oficjalnego sprzedawcę. Oznacza to utratę integralności kodu.

Zerowane motywy i wtyczki są znaczącym źródłem złośliwego oprogramowania, ponieważ czasami ten, kto wyzerował wtyczkę, dodał do niej własne złośliwe oprogramowanie, aby przejąć Twoją witrynę lub wykonać inne złośliwe działania, takie jak kradzież zasobów do wydobywania kryptowalut.

Anulowane motywy i wtyczki to złośliwe oprogramowanie, które dobrowolnie instalujesz na swojej stronie internetowej, nawet nie zdając sobie z tego sprawy. Tylko po to, żeby zaoszczędzić parę groszy? To nie jest tego warte. Jeśli potrzebujesz funkcji premium, zapłać za nią renomowanemu programiście.

 

Wyłącz edycję plików

Pulpit administratora WordPress ma bardzo wygodny wbudowany edytor, który pozwala modyfikować zawartość motywu i plików wtyczek. Niestety, ten edytor ułatwia również hakerom modyfikację kodu Twojej witryny, jeśli zdarzy im się włamać na Twoje konto.

Prawda jest taka, że ​​jesteś prawie nigdy zamierza korzystać z tej funkcji. Jeśli kiedykolwiek edytujesz podstawowy plik, prawdopodobnie będziesz to robić bezpośrednio za pomocą menedżera plików hosta lub klienta FTP.

Możesz wyłączyć możliwość edycji plików z pulpitu administratora, dodając tę ​​jedną linię do pliku wp-config.php:

zdefiniuj („DISALLOW_FILE_EDIT”, prawda);

Po dodaniu tej linii menu edycji nie będą już dostępne dla plików wtyczek i motywów w panelu administracyjnym WordPress.

 

Przenieś i zmień nazwę pliku wp-config.php

Podczas gdy mówimy o pliku wp-config.php, wiele osób już wie, że możesz przenieść plik wp-config.php o jeden katalog w górę z instalacji WordPressa, a Twoja witryna będzie działać dobrze. Ale pójdźmy o krok dalej.

Czy wiesz, że możesz zmienić nazwę pliku wp-config.php na dowolną i przenieść go całkowicie z instalacji WordPressa do folderu niepublicznego? Wymaga to trochę więcej pracy, ale warto.

Chociaż sam plik zwykle zwraca pustą stronę, gdy jest wywoływany w przeglądarce internetowej, w rzadkich przypadkach, gdy moduł obsługi PHP zawiedzie, cała zawartość pliku może być widoczna jako zwykły tekst bezpośrednio w przeglądarce internetowej.

Plik wp-config.php zawiera poufne informacje o Twojej witrynie, w tym nazwę użytkownika i hasło do bazy danych. Te informacje w niepowołanych rękach mogą mieć katastrofalne skutki. Zmiana nazwy pliku na coś losowego pomaga ukryć go przed botami i hakerami.

By przeniesienie wp-config.php do folderu niepublicznego, eliminujesz możliwość uzyskania przez kogoś informacji przez przeglądarkę podczas awarii modułu obsługi PHP.

 

Audyt aktywności w Twojej witrynie

Jeśli nie śledzisz tego, co dzieje się w Twojej witrynie, możesz przegapić kluczowe informacje, które mogą ostrzec Cię o próbie złośliwego działania, a nawet wykryć złośliwą aktywność, jeśli Twoja witryna została już przejęta.

Oprócz korzyści związanych z bezpieczeństwem, jeśli masz witrynę z wieloma użytkownikami, dobra wtyczka do audytu może również pomóc w śledzeniu legalnych działań. Jako agencja jest to świetne narzędzie, aby wiedzieć, czy Twój klient mógł coś schrzanić, nawet jeśli twierdzi, że tego nie zrobił!

Istnieje kilka dobrych wtyczek do audytu aktywności na stronie. Niektóre z wyżej wymienionych wtyczek bezpieczeństwa mają pewien poziom możliwości rejestrowania inspekcji, ale te poniżej przenoszą ją na wyższy poziom, kontrolując całą aktywność użytkownika, a nie tylko zdarzenia związane z bezpieczeństwem. Oto najlepsze 3.

 

Prosta historia — dziennik aktywności użytkownika, narzędzie audytu

Prosta historia jest najpopularniejszą wtyczką do audytu i jest świetną opcją do rozpoczęcia testowania. Rejestruje wszystkie oczekiwane rzeczy, takie jak aktualizacje treści, instalacje i aktywacje wtyczek oraz prawie każdy inny rodzaj aktywności użytkownika.

Wtyczka ma 5 gwiazdek, a zespół programistów jest dość aktywny na forach pomocy technicznej i regularnie odpowiada na pytania dotyczące pomocy technicznej w rozsądnych ramach czasowych.

 

Dziennik aktywności WP

Połączenia Dziennik aktywności WP plugin to kolejna świetna opcja do wykorzystania w Twojej witrynie. Ma kilka bardziej konfigurowalnych opcji niż poprzednia wtyczka, takich jak możliwość włączania i wyłączania audytu niektórych zdarzeń oraz konfigurowalny okres przechowywania w celu rejestrowania. Ma również mnóstwo dodatków rozszerzających monitorowanie na specjalne wtyczki, takie jak WooCommerce i WPForms.

Wtyczka ma ocenę 4.5 gwiazdek, a główny programista osobiście odpowiada na prawie każde pytanie na forum pomocy technicznej.

Jeśli prowadzisz agencję, dziennik aktywności WP dobrze integruje się z popularnym narzędziem do zarządzania MainWP, dzięki czemu możesz przeglądać dzienniki kontroli wszystkich witryn klientów w jednym interfejsie. Wśród agencji WP Activity Log jest numerem 1 do rejestrowania audytów.

 

Dziennik aktywności

Kolejna popularna opcja z oceną 4.5 gwiazdki. Dziennik aktywności przechwytuje wszystko, czego można się spodziewać i ma dużą liczbę aktywnych instalacji.

Niestety programista często nie odpowiada na prośby o wsparcie na forach, a większość pytań dotyczących pomocy technicznej pozostaje bez odpowiedzi w nieskończoność.

 

Skorzystaj z zasady najmniejszych przywilejów

W świecie cyberbezpieczeństwa zasada najmniejszych uprawnień to koncepcja, zgodnie z którą użytkownik ma tylko uprawnienia potrzebne do wykonywania swojej pracy.

W świecie WordPressa nierzadko zdarza się, że firma z 10 użytkownikami ma uprawnienia administratora. Ten poziom dostępu może mieć uzasadnione powody, ale rzadko potrzeba więcej niż 1 lub 2 kont z tak wysokim poziomem uprawnień.

Jedną z rzeczy, których nie możesz kontrolować, jest to, co robią Twoi użytkownicy, gdy nie wykonują aktywnie pracy w Twojej witrynie WordPress. To znaczy, jeśli im się to nie uda chronić własne dane przed hakerami, istnieje duża szansa, że ​​niechlujstwo przeniesie się na Twoją witrynę.

Ograniczając ich dostęp, będziesz w stanie złagodzić wszelkie szkody, które użytkownik może wyrządzić nieumyślnie, takie jak kliknięcie złośliwego łącza, gdy nadal jest zalogowany w Twojej witrynie. Nawet jeśli jesteś administratorem witryny, powinieneś używać oddzielnego konta edytora z ograniczonymi uprawnieniami, gdy nie wykonujesz zadań administracyjnych wysokiego poziomu.

Czy robienie tego jest uciążliwe? Jasne. Jest to jednak o wiele mniej uciążliwe niż czyszczenie zainfekowanej witryny.

 

Bonus: Rób częste kopie zapasowe

W najgorszym przypadku, gdy Twoja witryna została naruszona, czasami jedyną opcją jest przywrócenie jej z czystej kopii zapasowej; taki, który został zabrany przed infekcją. Większość przyzwoitych firm hostingowych będzie tworzyć kopie zapasowe Twojej witryny raz dziennie, ale zwykle przechowują te kopie zapasowe tylko przez kilka tygodni.

Jest to problematyczne, jeśli masz infekcję, która przez jakiś czas pozostawała niezauważona. Wiele infekcji skutecznie ukrywa się przed zalogowanymi administratorami, aby jak najdłużej uniknąć wykrycia.

Ponieważ teraz wiesz, że bezpieczeństwo jest najlepsze w warstwach, możesz zastosować tę samą koncepcję do swoich kopii zapasowych, biorąc własne kopie zapasowe oprócz swojego hosta internetowego.

Dostępnych jest kilka świetnych darmowych wtyczek do tworzenia kopii zapasowych, w tym UpdraftPlus, BackWPup, Migracja WP All-in-One. Każdy z nich ma swoje mocne i słabe strony, ale wszystkie są bardzo niezawodne i umożliwiają bardziej regularne tworzenie kopii zapasowych witryny. W niektórych przypadkach możesz nawet automatycznie tworzyć kopie zapasowe w zdalnym magazynie w chmurze, takim jak Dropbox lub OneDrive.

 

Final Thoughts

Bezpieczeństwo WordPress jest ważną częścią posiadania strony internetowej. Może to być również proces czasochłonny i wymagający dużych zasobów, jeśli zostanie wykonany nieprawidłowo lub zaniedbany. Implementując klucze opisane w tym poście, możesz zautomatyzować większość swoich potrzeb w zakresie bezpieczeństwa, dzięki czemu możesz skupić się na tym, co ważne: na swojej firmie.