Bezpieczeństwo WordPress – 24 wskazówki, jak zabezpieczyć swoją witrynę przed hakerami

Bezpieczeństwo WordPressa powinno być priorytetem podczas zarządzania stroną internetową. Projektujesz swoją witrynę, publikujesz treści, sprzedajesz produkty online, ale jeśli nie traktujesz poważnie zabezpieczeń WordPress, Twoja witryna może zostać zhakowana w dowolnym momencie.

Każdego dnia 30 000 stron zostaje zhakowanych, a ponad 2000 stron zostaje umieszczonych na czarnej liście przez Google. Nie jesteś wyjątkiem. Jeśli witryna rządowa może zostać zhakowana, to dlaczego nie Twoja?

Pewnego ranka obudziłeś się i zobaczyłeś, że Twoja witryna WordPress jest niedostępna i widzisz losowe wiadomości, takie jak:

„ Twoja witryna została zhakowana przez xyz ” – witryna została zhakowana

„ Witryna przed nami zawiera złośliwe oprogramowanie ” – umieszczona na czarnej liście przez Google

To najgorsza rzecz, jaką możesz napotkać w swojej witrynie.

Ale dlaczego WordPress?

WordPress obsługuje ponad 31% (80 milionów) wszystkich stron internetowych w sieci. Według W3Techs WordPress ma 60% udziału w rynku CMS więcej niż inne platformy, co jest dość solidnym powodem przyciągania hakerów.

Ale nie panikuj. Wzmocnienie zabezpieczeń WordPressa jest bardzo łatwe i możesz to zrobić.

W tym artykule podzielę się najlepszymi wskazówkami dotyczącymi bezpieczeństwa WordPress 24, aby chronić Twoją witrynę przed hakerami i złośliwym oprogramowaniem.

„Dlaczego nie sprawisz, że brama do twojego pałacu zniknie, zanim ją odkryją?” – WPMyWeb

Typowe problemy z bezpieczeństwem WordPress

Zanim zagłębimy się w najlepsze praktyki bezpieczeństwa WordPress, najpierw zrozumiemy kilka typowych problemów z bezpieczeństwem WordPressa.

Wielu użytkowników uważa, że ​​WordPress nie jest bezpieczną platformą dla biznesu, co wcale nie jest prawdą. Wynika to z braku znajomości zabezpieczeń WordPressa, złej administracji systemem, korzystania z przestarzałego oprogramowania WordPress i wtyczek itp.

Wielu początkujących WordPressa zakłada, że ​​stworzenie strony internetowej to koniec i nie wymaga żadnej konserwacji. W ten sposób pozostawiasz swoją witrynę podatną na ataki.

Gdy hakerzy znajdą lukę w Twojej witrynie, mogą z łatwością ją wykorzystać.

Sprawdźmy kilka typowych problemów z bezpieczeństwem WordPressa.

1. Brutalne ataki siłowe:

W ataku brute force zautomatyzowany skrypt służy do generowania różnych kombinacji nazw użytkowników i haseł. Haker używa strony logowania WordPressa do przeprowadzenia ataku brute force.

Jeśli używasz prostej nazwy użytkownika i hasła, możesz być następną ofiarą tego ataku.

2. Cross Site Scripting (XSS):

Cross Site Scripting to rodzaj ataku, w którym osoby atakujące wstrzykują złośliwy kod/skrypt do zaufanej witryny internetowej. Ta metoda hakerska jest całkowicie niewidoczna dla użytkowników przeglądających witrynę.

Te złośliwe skrypty ładują się anonimowo i kradną informacje z przeglądarki użytkownika. Nawet jeśli użytkownik wprowadzi jakiekolwiek dane do dowolnego formularza, dane mogą zostać skradzione.

3. Wstrzyknięcia SQL:

WordPress używa bazy danych MySQL do przechowywania informacji z bloga.

Wstrzyknięcie SQL ma miejsce, gdy hakerzy uzyskują dostęp do bazy danych WordPress. Włamując się do bazy danych WordPress, hakerzy mogą utworzyć nowe konto administratora z pełnym dostępem do Twojej witryny.

Mogą również wstawiać dane do Twojej bazy danych MySQL i dodawać linki do złośliwych lub spamujących stron internetowych.

4. Tylne drzwi:

Pod nazwą „tylne drzwi” możesz zrozumieć, co to znaczy.

Backdoor to metoda hakerska, która pozwala hakerom wejść na stronę internetową, omijając normalny proces uwierzytelniania, a nawet pozostając niewykrytym przez właściciela strony.

Po zhakowaniu witryny hakerzy zwykle pozostawiają swój ślad, dzięki czemu mogą ponownie uzyskać dostęp do witryny, nawet jeśli haker zostanie usunięty.

5. Hacki farmaceutyczne:

Hacki WordPress Pharma to rodzaj spamu na stronie, który wypełnia wyniki wyszukiwania spamerską zawartością apteki, która jest zabroniona w sieci, np. Viagra, Nexium, Cialis itp.

W przeciwieństwie do innych hacków WordPress, wyniki hackowania farmacji są widoczne tylko dla wyszukiwarek. Nie możesz więc wykryć włamania, po prostu wyświetlając swoją witrynę lub kod źródłowy.

Przejdź do Google i wpisz site:domena.com. Jeśli wyniki wyszukiwania pokazują zawartość Twojej witryny (nie zawartość apteki), oznacza to, że Twoja witryna nie jest zagrożona hakerami farmaceutycznymi.

Celem tego hacka jest wykorzystanie najcenniejszych stron przez zastąpienie tagu tytułu szkodliwymi linkami. Nie wspominając o tym, że jeśli nie sprawdzisz sprawy wcześnie, wyszukiwarki takie jak Google, Bing mogą umieścić Twoją witrynę na czarnej liście za dostarczanie złośliwych treści.

6. Złośliwe przekierowania:

Złośliwe przekierowanie WordPress to rodzaj hacka, w którym odwiedzający Twoją witrynę są automatycznie przekierowywani do witryn spamerskich, takich jak hazard, porno, serwisy randkowe. Ten atak ma miejsce, gdy złośliwy kod zostanie wstrzyknięty do pliku lub bazy danych Twojej witryny.

Jeśli Twoja witryna przekierowuje użytkowników do nielegalnych lub złośliwych witryn, prawdopodobnie zostanie umieszczona na czarnej liście przez Google.

Dlaczego bezpieczeństwo WordPressa jest ważne?

Twoja strona internetowa reprezentuje Twoją markę, Twój biznes, a co najważniejsze pierwszy kontakt z Twoimi klientami.

Prawdopodobnie wiele lat zajęło Ci wiele wysiłków, aby utrzymać swoją firmę i zwiększyć ruch. Twoi odbiorcy kochają Twoje artykuły i ufają Twoim produktom, dlatego utrzymują z Tobą kontakt.

Jeśli Twoja witryna WordPress nie jest bezpieczna, może to wpłynąć na Twoją witrynę i klientów na wiele sposobów. Hakerzy mogą ukraść dane osobowe użytkowników, hasła, dane kart kredytowych, informacje o transakcjach i mogą rozpowszechniać wśród użytkowników złośliwe oprogramowanie.

Jeśli Twoja witryna zostanie zhakowana, zauważysz, że ruch drastycznie spada. Co więcej, Google umieści Twoją witrynę na czarnej liście.

Według bloga Google, liczba zhakowanych stron internetowych wzrosła o około 20% w 2016 roku w porównaniu do 2015 roku.

W badaniu Securi informuje, że Google codziennie umieszcza na czarnej liście ponad 10 000 stron internetowych.

Jeśli poważnie podchodzisz do swojej firmy, musisz zwrócić szczególną uwagę na bezpieczeństwo WordPressa.

Najlepszy przewodnik po zabezpieczeniach WordPress

1. Zdobądź dobry hosting WordPress
2. Aktualizuj wersję WordPress
3. Nie używaj żadnego motywu Nulled/Cracked ani wtyczki
4. Używaj silnych haseł
5. Dodaj (2FA) uwierzytelnianie dwuetapowe
6. Zmień adres URL logowania do WordPressa
7. Ogranicz próby logowania
8. Regularnie twórz kopie zapasowe swojej witryny
9. Użyj wtyczki zabezpieczającej WordPress
10. Automatycznie wyloguj bezczynnych użytkowników
11. Dodaj pytania bezpieczeństwa do strony logowania WordPress
12. Zmień domyślną nazwę użytkownika „admin”
13. Przypisz użytkowników do najniższej możliwej roli
14. Monitoruj zmiany plików i działania użytkowników
15. Zainstaluj certyfikat SSL
16. Usuń nieużywane motywy i wtyczki
17. Wyłącz edycję plików w panelu WordPress
18. Ochrona hasłem strony logowania WordPress
19. Wyłącz przeglądanie katalogów
20. Usuń numer wersji WordPressa
21. Zmień prefiks tabeli bazy danych WordPress
22. Używaj tylko zaufanych motywów i wtyczek WordPress
23. Wyłącz raportowanie błędów PHP
24. Dodaj bezpieczne nagłówki HTTP do WordPress

Gotowy? Zaczynajmy.

1. Zdobądź dobry hosting WordPress

Hosting WordPress odgrywa ważną rolę, jeśli chodzi o poprawę bezpieczeństwa WordPress.

Płacisz za usługę hostingową, a Twoja strona internetowa pozostaje pod ich kontrolą. Dlatego powinieneś być ostrożny przed wyborem dobrego hostingu WordPress dla swojej witryny.

Hosting współdzielony, taki jak A2Hosting, Bluehost itp., To najlepsza opcja hostingu do prowadzenia bloga o małym natężeniu ruchu. Ale w hostingu współdzielonym zawsze będzie szansa na skażenie między witrynami.

Zanieczyszczenie między witrynami ma miejsce, gdy haker może uzyskać dostęp do serwera internetowego za pośrednictwem wrażliwej witryny, a następnie wykorzystać wszystkie inne witryny na tym samym serwerze internetowym.

Zalecamy korzystanie z zarządzanego dostawcy hostingu WordPress. Zarządzane firmy hostingowe WordPress zapewniają wielowarstwowe opcje bezpieczeństwa dla stron internetowych. Ich platformy hostingowe są wysoce zabezpieczone i oferują codzienne skanowanie w poszukiwaniu złośliwego oprogramowania i zapobiegają wszelkim atakom zewnętrznym. Jeśli tak czy inaczej, znajdą na swoim serwerze złośliwe oprogramowanie, biorą na siebie odpowiedzialność i natychmiast je usuwają.

Oferują również codzienne kopie zapasowe, bezpłatny certyfikat SSL, całodobowe wsparcie ekspertów.

Polecamy firmę hostingową WordPress zarządzaną przez WPEngine. Oferują wiele warstw bezpieczeństwa, aby chronić Twoją witrynę WordPress. Dzięki ich planowi otrzymasz codzienne kopie zapasowe, bezpłatny SSL, globalny CDN i całodobowe wsparcie ekspertów.

Odwiedź WPEngine . [Kod rabatowy dodany w tym linku]

Powrót do góry

2. Aktualizuj wersję WordPress

Utrzymywanie aktualności witryny WordPress jest dobrą praktyką bezpieczeństwa, która zwiększa bezpieczeństwo WordPressa. Ta aktualizacja obejmuje wersję WordPress, wtyczki i motywy.

W niedawnym badaniu firma Securi przeanalizowała, że ​​56% wszystkich zainfekowanych witryn WordPress jest nadal nieaktualnych. Jeśli jesteś jednym z nich, jesteś w niebezpieczeństwie.

Każdego dnia odkrywane są nowe luki w zabezpieczeniach i nie ma możliwości ich powstrzymania. Nieaktualne oprogramowanie i wtyczki mogą zawierać luki, które haker może wykorzystać do wykorzystania witryny.

Z każdą aktualizacją programiści wprowadzają nowe funkcje, łatają luki w zabezpieczeniach, naprawiają błędy itp. Podobnie jak oprogramowanie WordPress, musisz również zaktualizować motywy i wtyczki WordPress.

Dobrą rzeczą jest to, że WordPress automatycznie wprowadza aktualizacje i powiadamia swoich użytkowników.

Aktualizacja wersji WordPress, wtyczek i motywów jest bardzo łatwa i możesz to zrobić za pomocą pulpitu administracyjnego WordPress.

Jak zaktualizować WordPress, wtyczki i motywy?

Najpierw zaloguj się do pulpitu WordPress i przejdź do Pulpit> Aktualizacje . Tam możesz sprawdzić, czy jest dostępna nowa aktualizacja.

Uwaga: przed aktualizacją wersji WordPressa wykonaj pełną kopię zapasową plików i bazy danych. W przypadku wystąpienia błędu możesz łatwo przywrócić swoją witrynę do poprzedniej wersji. Za pomocą BlogVault możesz łatwo utworzyć kopię zapasową i przywrócić swoją witrynę za pomocą jednego kliknięcia.

Na stronie możesz zobaczyć „Dostępna jest zaktualizowana wersja WordPressa” . Kliknij przycisk Aktualizuj teraz , aby zaktualizować swoją wersję WordPress, ten proces może potrwać kilka sekund.

Po zakończeniu aktualizacji przewiń w dół, aby zaktualizować wtyczki WordPress. Zalecamy aktualizowanie wtyczek pojedynczo. Najpierw wybierz wtyczkę i kliknij Aktualizuj wtyczki .

W podobny sposób zaktualizuj swoje motywy poniżej.

Jednak proces aktualizacji jest nieco trudny dla niektórych użytkowników, zwłaszcza tych, którzy nie są zaznajomieni z technologią.

Niektórzy zarządzani dostawcy hostingu WordPress, tacy jak SiteGround, Kinsta, FlyWheel, zapewniają funkcję automatycznej aktualizacji . Tak więc, jeśli masz napięty harmonogram lub leniwy z aktualizacją, może to być przydatne.

Przeczytaj także Jak ręcznie zaktualizować wersję WordPress, wtyczki i motywy

Powrót do góry

3. Nigdy nie używaj żadnych pustych/pękniętych motywów i wtyczek

Nic dziwnego, że wtyczki i motywy premium zawierają więcej funkcji i wyglądają profesjonalnie. Ale żaden z produktów premium nie jest bezpłatny. Pochodzi z ceną, a po zakupie dowolnego produktu premium użytkownicy muszą wprowadzić klucz produktu, aby aktywować produkt.

Istnieje jednak wiele złośliwych witryn internetowych, które udostępniają motywy i wtyczki premium za darmo. Te złamane motywy i wtyczki nie wymagają klucza seryjnego do aktywacji i nigdy nie są aktualizowane.

Oto, co mam na myśli:

Te puste motywy i wtyczki są bardzo niebezpieczne dla Twojej witryny. Hakerzy specjalnie wstrzykują do niego złośliwe kody i tworzą backdoora do Twojej witryny. Dzięki temu mogą łatwo uzyskać dostęp do Twojej witryny i włamać się do Twojej witryny, w tym do bazy danych.

Dlatego nigdy nie używaj żadnych zerowanych lub pękniętych motywów i wtyczek WordPress.

Zdecydowanie zalecamy pobieranie darmowych motywów lub wtyczek tylko z WordPress.org.

Rozumiemy, że darmowy motyw lub wtyczka mają bardzo ograniczone funkcje. Ale te bezpłatne motywy lub wtyczki są bezpieczne w użyciu i są regularnie aktualizowane.

Przeczytaj także, 7 najlepszych motywów blogów premium dla WordPress

Powrót do góry

4. Używaj silnych haseł

Hasło jest podstawowym kluczem dostępu do witryny WordPress. Jeśli jest prosty i krótki, hakerzy mogą łatwo złamać Twoje hasło. Ponad 80% naruszeń związanych z hakerami ma miejsce z powodu słabego hasła lub skradzionego hasła.

W ostatnim badaniu SplashData ujawnił 100 najgorszych haseł z 2017 roku.

Oto kilka z nich:

1. 123456
2. hasło
3. 12345678
4. qwerty
5. 12345
6. 123456789
7. wpuść mnie
8. 1234567
9. piłka nożna
10. kocham Cię
11. Admin
12. Witam
13. małpa (lol)

Jeśli Twoje hasło jest proste jak powyżej, natychmiast je zmień. Dobre hasło o sile powinno mieć co najmniej 10 cyfr i zawierać wielkie i małe litery, cyfry i znaki specjalne.

Możesz użyć narzędzia do generowania haseł online, aby natychmiast utworzyć tysiące zabezpieczonych haseł.

Konieczne jest również zapisanie hasła na swoim komputerze.

Aby to ułatwić, możesz użyć oprogramowania do zarządzania hasłami do zarządzania wszystkimi hasłami, takimi jak LastPass, Dashlane itp.

Wymuszaj silne hasło dla użytkowników

Domyślnie WordPress nie ma funkcji, która uniemożliwia użytkownikom wprowadzanie słabych haseł. W większości przypadków użytkownicy ustawiają słabe hasło do swojego konta i prawie go nie zmieniają.

Jeśli prowadzisz blog WordPress dla wielu użytkowników, powinieneś zmusić użytkowników do używania silnego hasła.

Aby ułatwić ten proces, możesz użyć wtyczki. Zainstaluj i aktywuj wtyczkę Force Strong Passwords i gotowe. Uniemożliwi to użytkownikom, a nawet administratorom wprowadzenie słabego hasła.

Powrót do góry

5. Dodaj uwierzytelnianie dwuskładnikowe (2FA)

Inną prostą metodą wzmocnienia bezpieczeństwa WordPressa jest dodanie uwierzytelniania dwuskładnikowego (2FA) do strony logowania WordPress. Zasadniczo uwierzytelnianie dwuskładnikowe lub weryfikacja dwuetapowa to proces bezpieczeństwa, który wymaga dwóch metod weryfikacji tożsamości.

Domyślnie, aby zalogować się do serwisu, zwykle wpisujemy nazwę użytkownika i hasło. Dodanie uwierzytelniania dwuskładnikowego będzie wymagało dodatkowego procesu weryfikacji, takiego jak aplikacja na smartfona, aby zatwierdzić proces uwierzytelniania.

Jeśli więc ktoś zna Twoją nazwę użytkownika i hasło, potrzebuje Twojego smartfona, aby uzyskać kod weryfikacyjny do zalogowania się do Twojej witryny.

Dodając uwierzytelnianie dwuskładnikowe, nie tylko zabezpieczasz swoją stronę logowania WordPress, ale także zapobiegasz atakom brute-force.

Możesz łatwo włączyć uwierzytelnianie dwuskładnikowe za pomocą wtyczki Google do uwierzytelniania dwuskładnikowego WordPress.

Po aktywacji przejdź do Użytkownicy> Profil użytkownika i aktywuj wtyczkę.

Następnie pobierz aplikację Google Authenticator z telefonu i zeskanuj kod kreskowy lub wprowadź tajny kod (patrz zrzut ekranu powyżej) ze swojej witryny, aby dodać swoją witrynę.

Po dodaniu wyloguj się ze swojej witryny. Na stronie logowania zobaczysz dodatkowe pole, w którym musisz wprowadzić kod weryfikacyjny z aplikacji mobilnej Google Authenticator.

Aby uzyskać szczegółowe instrukcje, zobacz przewodnik dotyczący dodawania uwierzytelniania dwuskładnikowego Google na stronie logowania WordPress.

Powrót do góry

6. Zmień adres URL strony logowania WordPress

Domyślnie każdy może uzyskać dostęp do Twojej strony logowania, po prostu dodając „wp-admin” lub „wp-login.php” na końcu nazwy domeny, na przykład: „domena.com/wp-admin” lub „domena.com/ wp-login.php” .

Zgadnij co! Hakerzy mogą przeprowadzać ataki typu brute-force za pomocą Twojej strony logowania. Jeśli używasz bardzo prostego hasła, hakerzy mogą łatwo złamać hasło i wejść na Twoją stronę.

Ale co, jeśli nie wiedzą, gdzie zaatakować? Tak, dobrze zgadłeś.

Jeśli ukryjesz lub zmienisz nazwę adresu URL strony logowania, hakerzy nie będą mogli przeprowadzić ataku brute force.

W WordPressie możesz łatwo ukryć lub zmienić nazwę swojej strony logowania za pomocą wtyczki. Z galerii wtyczek WordPress zainstaluj i aktywuj wtyczkę WPS Hide Login.

Po aktywacji przejdź do Ustawienia> Ogólne , a na dole znajdziesz opcję WP Hide Login .

Po prostu zmień adres URL logowania „logowanie” na inny, trudny do odgadnięcia, i kliknij Zapisz zmiany .

Po zakończeniu dodaj zakładkę do nowej strony logowania i gotowe.

Powrót do góry

7. Ogranicz próby logowania

Domyślnie WordPress nie ogranicza liczby prób logowania za pomocą formularza logowania. Oznacza to, że każdy, kto zna Twój adres URL logowania, może próbować funkcji logowania tyle razy, ile chce. W ten sposób hakerzy przeprowadzają atak brute force, aby złamać Twoją „nazwę użytkownika” i „hasło”, aby uzyskać dostęp do Twojej witryny.

Ograniczając próby logowania, możesz wzmocnić zabezpieczenia WordPress i chronić swoją stronę logowania przed atakami typu brute force.

Możesz ustawić maksymalną liczbę błędnych prób logowania, które użytkownik może wykonać z tego samego adresu IP. Jeśli użytkownik przekroczy limity, adres IP użytkownika zostanie zablokowany na określony czas.

Aby ograniczyć próby logowania w WordPressie, zainstaluj wtyczkę Login LockDown. Po aktywacji przejdź do Ustawienia> Blokada logowania, aby skonfigurować wtyczkę.

Szczegółowe instrukcje znajdziesz w naszym poradniku, jak ograniczyć próby logowania w WordPressie

Powrót do góry

8. Regularnie twórz kopie zapasowe swojej witryny

Kopie zapasowe są jak wehikuł czasu. Jeśli go masz, Twoja witryna jest bezpieczna.

Kopie zapasowe witryn nie chronią jednak witryny przed hakerami, ale pomagają odzyskać witrynę.

Na przykład, jeśli coś pójdzie nie tak z witryną podczas aktualizacji lub witryna zostanie zhakowana, jak ponownie ją naprawisz? Prawdopodobnie stracisz swoją witrynę.

Ale jeśli masz kopie zapasowe swojej witryny, możesz łatwo przywrócić ją przed zhakowaniem lub awarią.

Dlatego zdecydowanie zalecamy korzystanie z niezawodnej wtyczki do tworzenia kopii zapasowych WordPress. Jednak wiele firm hostingowych oferuje bezpłatną kopię zapasową witryny, ale mogą zagwarantować dostępność witryny w przypadku katastrofalnej awarii. Musisz więc zapisywać kopie zapasowe w zdalnej lokalizacji, takiej jak Dysk Google, Amazon S3, Dropbox itp.

Na szczęście można to zrobić za pomocą wtyczki BlogVault lub BackUpBuddy WordPress Backup. Obie oferują codzienne kopie zapasowe i przywracanie jednym kliknięciem. Możesz również utworzyć witrynę testową bez dodatkowych kosztów.

Powrót do góry

9. Użyj wtyczki bezpieczeństwa WordPress

Następną rzeczą, której potrzebujesz do wzmocnienia bezpieczeństwa WordPress, jest wtyczka bezpieczeństwa. Dostępnych jest wiele wtyczek bezpieczeństwa WordPress, które zablokują Twoją witrynę przed hakerami i złośliwym oprogramowaniem.

Wtyczki zabezpieczające WordPress wykryją i wyeliminują złośliwe oprogramowanie, jeśli jest obecne w Twojej witrynie. Poza tym monitorują aktywność użytkowników w czasie rzeczywistym, powiadamiają, jeśli coś się zmieniło, jeśli wtyczka zawiera złośliwe oprogramowanie, blokują ruch spamowy i wiele innych.

Polecamy wtyczkę bezpieczeństwa Securi WordPress. Securi Security oferuje inny rodzaj funkcji bezpieczeństwa, takich jak audyt aktywności bezpieczeństwa, monitorowanie witryn internetowych, zapora sieciowa i wiele innych.

Najlepszą rzeczą w Securi jest to, że jeśli Twoja witryna zostanie zhakowana lub umieszczona na czarnej liście przez Google podczas korzystania z ich usług, gwarantują, że naprawią Twoją witrynę.

Większość ekspertów ds. bezpieczeństwa WordPressa pobiera ponad 300 USD za naprawienie zhakowanej witryny, podczas gdy wszystkie usługi bezpieczeństwa otrzymasz za jedyne 199 USD rocznie. To dobra inwestycja na wzmocnienie bezpieczeństwa WordPressa.

Powrót do góry

10. Automatycznie wyloguj bezczynnych użytkowników

Jeśli użytkownik zbyt długo pozostaje bezczynny lub nieaktywny w Twojej witrynie, może to spowodować atak typu brute force.

Gdy użytkownik zbyt długo pozostaje nieaktywny, hakerzy mogą wykorzystać pliki cookie lub metodę przejmowania sesji, aby uzyskać nieautoryzowany dostęp do Twojej witryny. Dlatego większość stron internetowych związanych z edukacją i finansami, takich jak strony banków i bramek płatności, korzysta z funkcji limitu czasu sesji użytkownika. Tak więc, gdy użytkownik opuszcza stronę i nie wchodzi w interakcję po pewnym czasie, witryna automatycznie wylogowuje nieaktywnego użytkownika.

Ta sama funkcja, którą możesz dodać do swojej witryny WordPress, aby poprawić bezpieczeństwo WordPress. Dodanie automatycznego wylogowywania bezczynnych użytkowników w WordPressie jest niezwykle proste. Wszystko, czego potrzebujesz, aby zainstalować wtyczkę.

Najpierw pobierz i zainstaluj wtyczkę Inactive Logout WordPress. Następnie aktywuj go i przejdź do Ustawienia> Wyloguj nieaktywne , aby skonfigurować wtyczkę.

W ustawieniach możesz zmienić limit czasu bezczynności. Po tym czasie wszyscy użytkownicy Twojej witryny zostaną automatycznie wylogowani.

Możesz także zmienić komunikat o przekroczeniu czasu bezczynności i w razie potrzeby zmodyfikować inne ustawienia.

Po zakończeniu kliknij Zapisz zmiany , aby zapisać ustawienia.

Aby uzyskać szczegółowe instrukcje, zapoznaj się z naszym przewodnikiem, jak automatycznie wylogować bezczynnych użytkowników w WordPress

Powrót do góry

11. Dodaj pytania bezpieczeństwa do strony logowania WordPress

Dodając pytania bezpieczeństwa do swojej strony logowania WordPress, nie tylko chronisz swoją stronę logowania WordPress, ale także wzmacniasz bezpieczeństwo WordPress.

Pytanie bezpieczeństwa dodaje dodatkową warstwę bezpieczeństwa, aby dodatkowo uwierzytelnić Twoją tożsamość podczas logowania. Jest to bardzo przydatne, jeśli prowadzisz bloga WordPress z wieloma autorami.

Jeśli któreś z Twoich haseł lub haseł zostało skradzione, pytanie zabezpieczające może uratować życie.

Ponieważ nazwę użytkownika i hasło można łatwo zhakować, ale wybranie właściwego pytania bezpieczeństwa i odpowiedzi jest prawie niemożliwe. W ten sposób możesz uratować swoją stronę logowania WordPress przed hakerami i atakami typu brute force.

Aby dodać pytanie bezpieczeństwa na stronie logowania WordPress, zainstaluj wtyczkę WP Security Question.

Po aktywacji przejdź do WP Security Questions> Plugin Settings , aby skonfigurować wtyczkę.

Domyślnie wtyczka zawiera wiele często zadawanych pytań. Możesz jednak dodać lub usunąć z listy dowolne pytania zabezpieczające.

Na dole możesz włączyć pytanie bezpieczeństwa na stronie logowania, rejestracji i stronie zapomnianego hasła. Po skonfigurowaniu wtyczki nie zapomnij kliknąć Zapisz ustawienia .

Uwaga: Tylko nowi użytkownicy mogą ustawić swoje pytanie zabezpieczające i odpowiedź podczas rejestracji. Dlatego zarejestrowani użytkownicy muszą ręcznie ustawić własne pytanie zabezpieczające i odpowiedź. Możesz także ustawić dla nich pytanie zabezpieczające i odpowiedź. Można to zrobić na stronie Profil użytkownika .

Aby uzyskać szczegółowe instrukcje, zapoznaj się z naszym przewodnikiem dotyczącym dodawania pytań bezpieczeństwa do strony logowania WordPress

Powrót do góry

12. Zmień domyślną nazwę użytkownika „Administrator”

Po zainstalowaniu WordPressa możesz zmieniać hasło tyle razy, ile chcesz. Ale czy możesz zmienić swoją nazwę użytkownika po jej ustawieniu? Bez prawa?

Domyślnie WordPress nie pozwala użytkownikom na zmianę nazwy użytkownika. Ale dlaczego miałbyś to zmienić?

Jeśli używasz bardzo popularnej nazwy użytkownika, takiej jak „admin”, hakerzy mogą uruchomić brute force attach za pomocą Twojej nazwy użytkownika.

Ale nie panikuj. Istnieje kilka sposobów łatwej zmiany WordPressa.

Aby jednak ułatwić ten proces, użyjemy wtyczki. Najpierw pobierz i zainstaluj wtyczkę zmieniacza nazwy użytkownika. Następnie przejdź do Użytkownicy> Twój profil i znajdź opcję nazwy użytkownika. Znajdziesz tam opcję „ Zmień nazwę użytkownika ”.

Kliknij przycisk Zmień nazwę użytkownika i wprowadź nową nazwę użytkownika. Po zakończeniu kliknij Aktualizuj profil .

Jeśli chcesz zmienić nazwę użytkownika ręcznie (bez wtyczki), zapoznaj się z artykułem 3 różne sposoby zmiany nazwy użytkownika WordPress.

Powrót do góry

13. Przypisz użytkowników do najniższej możliwej roli

Jeśli prowadzisz witrynę WordPress z wieloma autorami, musisz zachować ostrożność przed przypisaniem roli użytkownikowi.

Wiele razy właściciele witryn WordPress przypisują wyższą rolę użytkownika nowym użytkownikom, w ten sposób dajesz użytkownikom wszystkie uprawnienia, w wyniku czego każdy użytkownik może wykonać dowolne zadanie, co tylko zechce.

Na przykład, jeśli nie wiesz, jaką rolę może wykonywać użytkownik Redaktor i przypiszesz tę rolę zwykłemu użytkownikowi, wówczas użytkownik może usuwać wszystkie Twoje posty, edytować linki, tworzyć spamerskie posty, dodawać złośliwe linki do Twojego bloga posty. W ten sposób użytkownik może łatwo zrujnować Twoją witrynę.

Domyślnie WordPress ma 5 różnych ról użytkownika.

• Administrator
• Redaktor
• Autor
• Współpracownik
• Abonent

1. Administrator: Administratorzy to najpotężniejsza rola użytkownika w witrynie WordPress. Mogą tworzyć, edytować i usuwać konta użytkownika, wykonywać dowolne zadania w panelu administracyjnym WordPress, mieć kontrolę nad całym obszarem treści, a także moderować komentarze.
2. Redaktor: Użytkownicy z rolą Redaktora mają pełną kontrolę nad całą zawartością. Mogą tworzyć, edytować i usuwać dowolne posty, w tym posty utworzone przez innych użytkowników. Mogą również moderować komentarze i modyfikować linki.
3. Autor: Autorzy mogą jedynie publikować, edytować lub usuwać własne posty. Mogą przesyłać pliki multimedialne do wykorzystania w swoich postach. Mogą przeglądać komentarze, ale nie mogą ich zatwierdzać ani usuwać.
4. Współtwórca: Użytkownicy z rolą Współtwórca mogą tylko pisać, edytować lub usuwać własne nieopublikowane posty, ale nie mogą publikować własnego posta.
5. Subskrybent: Subskrybenci mogą edytować tylko informacje o swoim koncie, w tym hasło, ale nie mają dostępu do zawartości ani ustawień witryny. Mają najniższe możliwości w witrynie WordPress.

Rozumiejąc role użytkowników WordPress, możesz łatwo nimi zarządzać bez żadnego ryzyka.

Zalecamy również ustawienie nowej domyślnej roli użytkownika jako subskrybenta. Przejdź do Ustawienia> Ustawienia ogólne i ustaw nową domyślną rolę użytkownika – subskrybent i kliknij Zapisz zmiany .

Aby uzyskać więcej informacji, przeczytaj Przewodnik dla początkujących po rolach i możliwościach użytkownika WordPress

Powrót do góry

14. Monitoruj zmiany plików i działania użytkownika

Innym sprytnym sposobem na wzmocnienie bezpieczeństwa WordPressa jest monitorowanie działań użytkowników i zmian w plikach.

Jeśli prowadzisz witrynę WordPress dla wielu użytkowników, powinieneś śledzić zachowanie użytkowników, aby lepiej zrozumieć, jakie są ich działania w witrynie WordPress.

Kto wie, czy użytkownik wykonuje podejrzaną pracę lub próbuje włamać się do Twojej witryny? Skąd możesz to wiedzieć?

Jedynym sposobem śledzenia aktywności użytkowników i zmian w plikach jest użycie wtyczki WordPress dotyczącej aktywności użytkowników. Korzystając z wtyczki aktywności użytkownika w WordPress, możesz:

• zobacz kto jest zalogowany i co robi w czasie rzeczywistym
• kiedy użytkownik loguje się i wylogowuje
• ile razy użytkownik próbował się zalogować, ale się nie udało

Poza tym, jeśli redaktor dokonał jakichkolwiek zmian w poście lub na stronie bez Twojej zgody, możesz łatwo to znaleźć i przywrócić. Zaletą wtyczki aktywności użytkownika jest to, że natychmiast wysyła powiadomienie e-mail, jeśli coś pójdzie nie tak.

Dziennik audytu bezpieczeństwa WP to najlepsza wtyczka do monitorowania działań użytkowników i zmian plików w czasie rzeczywistym. Oto zrzut ekranu poniżej, jak działa wtyczka.

Przeczytaj także, 5 najlepszych wtyczek do monitorowania aktywności użytkowników w WordPress (alternatywne wtyczki)

Powrót do góry

15. Zaimplementuj SSL i HTTPS

Zabezpieczeń WordPressa nie da się poprawić bez certyfikatu SSL. SSL (Secure Socket Layer) jest podstawą bezpieczeństwa witryny.

SSL to standardowa technologia bezpieczeństwa, która tworzy zaszyfrowane łącza między serwerem a przeglądarką internetową w komunikacji online, takiej jak transakcja online. Tak więc wszystkie wrażliwe dane, takie jak hasła, dane karty kredytowej itp., przechodzą przez zaszyfrowane łącza.

Jeśli prowadzisz biznes online lub blog, na którym akceptujesz płatności, certyfikat SSL jest koniecznością. Zabezpieczy dane Twojego klienta przed hakerami. W przypadku sklepów internetowych lub witryn WooCommerce certyfikat SSL kosztuje około 20-170 USD.

Jeśli prowadzisz bloga WordPress, nie potrzebujesz płatnego certyfikatu SSL. Jeśli korzystasz z hostingu cPanel, takiego jak SiteGround, WPEngine, możesz zainstalować certyfikat SSL za darmo za pomocą jednego kliknięcia.

Najpierw zaloguj się na swoje konto hostingowe cPanel i przejdź do Security . (Oto zrzut ekranu poniżej z cPanel hostingu SiteGround.)

Przejdź do Menedżera SSL/TLS i kliknij Zainstaluj certyfikat SSL . Na stronie wybierz swoją domenę i kliknij Autouzupełnianie według domeny . Proces jest automatyczny, więc nie musisz niczego edytować ani modyfikować.

Teraz kliknij przycisk Zainstaluj certyfikat , aby zakończyć proces instalacji.

Po zakończeniu zaloguj się do pulpitu administracyjnego WordPress, aby zmodyfikować adres URL witryny. Przejdź do Ustawienia> Ogólne i dodaj zamień HTTP na HTTPS przed adresem URL witryny. Oto zrzut ekranu poniżej.

Po zaktualizowaniu kliknij Zapisz zmiany .

Jak przekierować HTTP do HTTPS w WordPress

Jeśli poprawnie zainstalowałeś certyfikat SSL, Twoja witryna jest dostępna za pomocą protokołu HTTPS.

Ale jeśli ktoś wpisze tylko nazwę Twojej witryny (np. domena.com) w pasku adresu przeglądarki, wówczas witryna może wyświetlić komunikat „ Połączenie nie jest bezpieczne ”. Oznacza to, że Twoja witryna jest dostępna przez HTTP.

Aby rozwiązać ten problem, musisz wymusić HTTPS w WordPressie, aby Twoja witryna ładowała się tylko za pomocą HTTPS. Możesz łatwo wymusić HTTPS w WordPressie.

Najpierw zaloguj się do swojego hostingu cPanel i przejdź do folderu głównego swojej witryny i znajdź plik .htaccess . Edytuj plik .htaccess i na koniec dodaj następujący kod.

RewriteEngine włączony
RewriteCond %{HTTPS} wyłączone
Przepisz regułę ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Zapisz plik i gotowe. Teraz Twoja witryna jest dostępna tylko przez HTTPS.

Jeśli Twój dostawca usług hostingowych nie zapewnia bezpłatnego certyfikatu SSL, możesz zainstalować certyfikat SSL ręcznie. Oto poradnik jak zainstalować darmowy certyfikat SSL.

Powrót do góry

16. Usuń nieużywane motywy i wtyczki

Jeśli chodzi o wzmocnienie zabezpieczeń WordPressa, nie powinniśmy ignorować żadnego małego kroku, który może narazić Twoją witrynę na zagrożenie.

Przez większość czasu właściciele witryn WordPress instalują różne motywy i wtyczki, aby przetestować, który motyw wygląda lepiej w ich witrynie lub która wtyczka ma więcej funkcji. W porządku. Ale utrzymywanie tych nieużywanych motywów i wtyczek sprawia, że ​​Twoja witryna jest podatna na ataki.

Ponieważ utrzymanie wielu motywów i wtyczek WordPress wymaga regularnych aktualizacji, takich jak ten, którego używasz. Jeśli ich nie zaktualizujesz, stają się one podatne na ataki, a hakerzy mogą łatwo wykorzystać Twoją witrynę za pomocą podatnych motywów i wtyczek. Poza tym utrzymanie tak wielu motywów i wtyczek spowalnia działanie strony WordPress.

Dlatego zawsze należy usuwać nieużywane motywy i wtyczki, aby poprawić wydajność witryny i bezpieczeństwo WordPress.

Aby usunąć nieużywaną wtyczkę, przejdź do Wtyczki> Zainstalowane wtyczki . Następnie znajdź wtyczkę, której już nie potrzebujesz. Najpierw dezaktywuj wtyczkę i kliknij Usuń .

Podobnie, aby usunąć motyw, przejdź do Wygląd> Motywy i kliknij Szczegóły motywu . Następnie u dołu po prawej stronie kliknij Usuń .

Powrót do góry

17. Wyłącz edycję plików w panelu WordPress

Domyślnie WordPress pozwala użytkownikom edytować plik motywu i wtyczki bezpośrednio z pulpitu WordPress. Jest to przydatna opcja dla użytkowników, którzy często muszą edytować plik motywu i wtyczki.

Jednak pozostawienie tej funkcji włączonej może stanowić poważny problem z bezpieczeństwem. Jeśli hakerzy uzyskują dostęp do Twojej witryny, zwykle pozostawiają swój ślad, wstrzykując złośliwy kod do plików witryny. Jeśli funkcja edycji plików WordPress jest włączona, hakerzy mogą łatwo wstrzyknąć złośliwy kod do Twojego motywu lub pliku wtyczki, który będzie Ci nieznany.

Aby poprawić bezpieczeństwo WordPress, musisz wyłączyć funkcję edycji plików z pulpitu WordPress. Wyłączenie edytora motywów i wtyczek WordPress w WordPressie jest bardzo łatwym procesem.

Najpierw musisz zalogować się na swoje konto cPanel hostingu i przejść do folderu głównego witryny WordPress. Stamtąd znajdź wp-config.php. Kliknij edytuj i dodaj następujący kod na końcu.

zdefiniuj ( 'DISALLOW_FILE_EDIT', prawda );

Teraz zapisz plik i odśwież pulpit WordPress. Zobaczysz, że opcja edytora motywów i wtyczek zniknęła. Dzięki tej małej sztuczce możesz łatwo poprawić bezpieczeństwo WordPressa.

Przeczytaj szczegółowy przewodnik, jak wyłączyć edytor motywów i wtyczek w WordPressie

Powrót do góry

18. Ochrona hasłem Strona logowania WordPress

Innym świetnym sposobem na poprawę bezpieczeństwa WordPressa jest ochrona hasłem strony logowania WordPress.

Chroniąc hasłem stronę logowania WordPress (/wp-login.php) lub admin (/wp-admin), możesz uniemożliwić hakerom dostęp do strony logowania, ponieważ dostęp do strony logowania wymaga hasła. Po włączeniu tej funkcji Twoja witryna poprosi wszystkich użytkowników uzyskujących dostęp do strony logowania o nazwę użytkownika i okno z hasłem. Krótko mówiąc, wszyscy użytkownicy muszą zalogować się dwukrotnie, używając innej nazwy użytkownika i hasła, zanim uzyskają dostęp do pulpitu administracyjnego WordPress.

W ten sposób możesz wzmocnić swoje bezpieczeństwo WordPress i dodać dodatkową warstwę bezpieczeństwa do swojej strony logowania.

Przeczytaj nasz szczegółowy przewodnik na temat ochrony hasłem strony logowania WordPress.

Powrót do góry

19. Wyłącz przeglądanie katalogów w WordPress

Domyślnie większość serwerów internetowych, takich jak Apache, NGINX i LiteSpeed, umożliwia każdemu użytkownikowi przeglądanie katalogów zawierających pliki i foldery WordPress. Mogą również zobaczyć, jakiego motywu i wtyczek używasz i dowiedzieć się więcej o strukturze Twojej witryny.

Te informacje mogą narazić Twoją witrynę WordPress na podatność na ataki i pomóc hakerowi podczas próby złamania zabezpieczeń Twojej witryny.

Aby zwiększyć bezpieczeństwo WordPressa, zalecamy wyłączenie tej opcji. Aby wyłączyć przeglądanie katalogów w WordPressie, po prostu dodaj następujący wiersz do pliku .htacces .

Opcje Wszystkie -Indeksy

Aby uzyskać szczegółowe instrukcje, przeczytaj nasz przewodnik dotyczący wyłączania przeglądania katalogów w WordPress

Powrót do góry

20. Usuń swoją wersję WordPress

Domyślnie WordPress automatycznie dodaje metatagi w różnych lokalizacjach, które wyświetlają używaną wersję WordPressa.

Oto rzecz: jeśli hakerzy wiedzą, że korzystasz z przestarzałej wersji WordPressa, mogą wykorzystać Twoją witrynę poprzez znane luki, które są obecne w starszej wersji WordPressa.

Lepiej więc usunąć swoją wersję WordPressa, aby poprawić bezpieczeństwo WordPressa. Istnieje kilka miejsc, w których WordPress dodaje metatagi, takie jak na pulpicie nawigacyjnym WordPress, w nagłówku, w stylu i javascript oraz w kanale RSS.

Usuwanie wersji WordPressa z nagłówka i RSS

Aby usunąć wersję z nagłówka i RSS, dodaj następujący wiersz na końcu pliku functions.php .

function remove_wordpress_version() {
zwrócić '';
}
add_filter('generator', 'remove_wordpress_version');

Usuwanie numeru wersji WordPressa ze skryptów i CSS

Aby usunąć wersję WordPressa z CSS i skryptów, dodaj następujący wiersz na końcu pliku functions.php .

// Wybierz numer wersji ze skryptów i stylów
function remove_version_from_style_js( $src ) {
if ( strpos( $src, 'ver=' . get_bloginfo( 'wersja' ) ) )
$src = usuń_zapytanie_arg( 'wer', $src );
return $źródło;
}
add_filter( 'style_loader_src', 'remove_version_from_style_js');
add_filter( 'script_loader_src', 'remove_version_from_style_js');

Po zakończeniu zapisz plik functions.php .

Otóż ​​to. Dzięki tej prostej sztuczce z pewnością możesz poprawić swoje bezpieczeństwo WordPress. Jednak zawsze zalecamy regularne aktualizowanie wersji WordPressa, a także motywu i wtyczek.

Aby uzyskać szczegółowe instrukcje, przeczytaj nasz przewodnik, jak ukryć lub usunąć wersję WordPress

Powrót do góry

21. Zmień prefiks tabeli bazy danych WordPress

Podczas instalacji WordPressa pyta, czy chcesz użyć innego prefiksu bazy danych. Zwykle pomijamy ten krok, więc WordPress automatycznie używa (WP_) jako domyślnego prefiksu tabeli bazy danych. Polecamy zmienić to na coś mocnego i niepowtarzalnego.

Użycie domyślnego prefiksu (WP_) sprawia, że ​​baza danych WordPress jest podatna na ataki typu SQL injection. Takim atakom można zapobiec, zmieniając prefiks bazy danych (WP_) na coś unikalnego.

Po zainstalowaniu WordPressa możesz łatwo zmienić domyślny prefiks tabeli bazy danych za pomocą wtyczek lub ręcznie. Wtyczki takie jak BackupBuddy, Brozzme DB Prefix umożliwiają zmianę prefiksu tabeli za pomocą jednego kliknięcia.

Na potrzeby samouczka pokazuję, jak to zmienić za pomocą wtyczki Brozzme DB Prefix.

Uwaga: zanim zrobisz cokolwiek z bazą danych, upewnij się, że wykonałeś kopię zapasową witryny i bazy danych. Jeśli coś pójdzie nie tak, możesz przywrócić swoją witrynę.

Najpierw zainstaluj i aktywuj wtyczkę Brozzme DB Prefix. Z pulpitu WordPress przejdź do Narzędzia> Prefiks DB i wprowadź nową unikalną nazwę dla prefiksu bazy danych.

Po wprowadzeniu nowego prefiksu kliknij Zmień prefiks DB .

Aby zapoznać się z procesem ręcznym, przeczytaj, jak zmienić prefiks tabeli bazy danych za pomocą phpMyAdmin

Powrót do góry

22. Używaj tylko zaufanych wtyczek WordPress

WordPress zawiera ponad 48 000 wtyczek. Nie oznacza to, że wszystkie wtyczki są przydatne i bezpieczne w użyciu.

Ponieważ w galerii wtyczek WordPress dostępnych jest wiele wtyczek, które nie są aktualizowane od dłuższego czasu i zwykle stają się podatne na ataki. Poza tym nie otrzymasz żadnego wsparcia, jeśli wtyczka zepsuje twoją witrynę.

Zanim użyjesz jakiejkolwiek darmowej wtyczki, musisz sprawdzić dwie ważne rzeczy,

• Sprawdź, kiedy wtyczka była ostatnio aktualizowana: Jeśli wtyczka nie jest często aktualizowana lub nie jest już utrzymywana przez programistę wtyczki, powinieneś jej unikać.

• Sprawdź, czy wtyczka ma maksymalne pozytywne oceny: Następną rzeczą, którą musisz sprawdzić, czy wtyczka ma maksymalne pozytywne lub negatywne oceny. Jeśli wtyczka ma maksymalnie negatywne oceny, nie powinieneś jej używać.

Możesz również sprawdzić stronę z opiniami i wsparciem wtyczki, aby zobaczyć, co inni użytkownicy mówią o wtyczce.

Ale nie martw się. Dostępnych jest wiele podobnych wtyczek, które można znaleźć w galerii wtyczek WordPress.

Jeśli chcesz korzystać z wtyczki premium, nie musisz się tym martwić. Wtyczki premium są regularnie aktualizowane, a otrzymasz 24-krotne wsparcie od twórcy wtyczek.

Powrót do góry

23. Wyłącz raportowanie błędów PHP

Innym świetnym sposobem na wzmocnienie bezpieczeństwa WordPressa jest wyłączenie raportowania błędów PHP w WordPressie. Wiele razy, gdy zainstalujesz przestarzałą wtyczkę lub motyw, możesz zobaczyć ostrzeżenie o błędzie PHP.

Może jednak narazić witrynę na ryzyko, jeśli hakerzy ją zdobędą, ponieważ pokazuje kod i lokalizację pliku. Aby zminimalizować ryzyko, możesz wyłączyć raportowanie błędów PHP w WordPressie.

Wyłączenie ostrzeżenia o błędach PHP w WordPressie jest bardzo łatwe. Najpierw edytuj plik wp-config.php i znajdź ten wiersz, który zawiera ten kod:

define('WP_DEBUG', fałsz);

Możesz zobaczyć „prawda” zamiast „fałsz”. Teraz zastąp wiersz następującym kodem.

ini_set('display_errors','Off');
ini_set('raportowanie_błędów', E_ALL );
define('WP_DEBUG', fałsz);
define('WP_DEBUG_DISPLAY', fałsz);

Zapisz plik i gotowe.

Zalecamy również korzystanie z aktualnych i dobrze ocenianych wtyczek, aby uniknąć tego rodzaju problemów.

Powrót do góry

24. Dodaj bezpieczne nagłówki HTTP do WordPress

Innym świetnym sposobem na wzmocnienie zabezpieczeń WordPressa jest dodanie bezpiecznych nagłówków HTTP do witryny WordPress.

Gdy ktoś uzyskuje dostęp do Twojej witryny, przeglądarka wysyła żądanie do Twojego serwera internetowego. Następnie serwer WWW odpowiada żądaniami wraz z nagłówkami HTTP. Te nagłówki HTTP przekazują informacje, takie jak kodowanie zawartości, kontrola pamięci podręcznej, typ zawartości, połączenie itp.

Dodając bezpieczne nagłówki odpowiedzi HTTP, możesz poprawić bezpieczeństwo WordPressa, a także zapobiegać atakom i lukom w zabezpieczeniach.

Oto nagłówki HTTP poniżej:

• HTTP Strict Transport Security (HSTS) : HTTP Strict Transport Security (HSTS) wymusza na przeglądarce internetowej używanie tylko bezpiecznych połączeń (HTTPS) podczas komunikacji z witryną internetową. Zapobiega to włamaniom do protokołu SSL, przejmowaniu plików cookie, usuwaniu SSL itp.
• X-Frame-Options : X-Frame-Options to rodzaj nagłówka HTTP, który określa, czy przeglądarka może renderować witrynę w ramce. Zapobiega to atakom typu clickjacking i zapewnia, że ​​Twoja witryna nie jest osadzona w innych witrynach przy użyciu <ramki>.
• X-XSS-Protection : X-XSS-Protection to wbudowana funkcja przeglądarki Internet Explorer, Google Chrome, Firefox i Safari, która blokuje ładowanie stron, jeśli złośliwy skrypt został wstawiony z danych wprowadzonych przez użytkownika.
• X-Content-Type-Options : X-Content-Type-Options jest rodzajem nagłówka odpowiedzi HTTP z wartością nosniff, która uniemożliwia przeglądarkom sieciowym wykrywanie MIME odpowiedzi z zadeklarowanego typu zawartości.
• Referrer-Policy: Zasady odsyłające to nagłówek odpowiedzi HTTP, który zapobiega wyciekowi międzydomenowego odsyłacza.

Aby dodać bezpieczne nagłówki HTTP w WordPressie, po prostu dodaj następujące wiersze kodu do pliku .htaccess .

Zestaw nagłówków Strict-Transport-Security "max-age=31536000" env=HTTPS
Nagłówek zawsze dołącza X-Frame-Options SAMEORIGIN
Zestaw nagłówków X-XSS-Protection "1; mode=block"
Zestaw nagłówków X-Content-Type-Options nosniff
Header Referrer-Polityka: nie-referrer-gdy-downgrade

Teraz przejdź do securityheaders.com, aby sprawdzić, czy kody działają, czy nie. Nie dodaliśmy „Polityki bezpieczeństwa treści”, ponieważ może to uszkodzić Twoją witrynę. Wystarczy jednak, aby Twoja witryna WordPress była bezpieczna.

Powrót do góry

Wniosek

Istnieje wiele sposobów na wzmocnienie bezpieczeństwa WordPress, takich jak: korzystanie z zarządzanego hostingu WordPress, używanie silnych haseł do kont, monitorowanie aktywności użytkowników, używanie wtyczki zabezpieczającej WordPress, implementacja SSL i HTTPS i wiele innych.

Harding bezpieczeństwa WordPressa nie jest nauką o rakietach. Możesz łatwo zabezpieczyć swoją witrynę WordPress, wdrażając najlepsze praktyki bezpieczeństwa WordPress, które udostępniliśmy w tym artykule. Wdrażając je, nie tylko zabezpieczysz swoją witrynę WordPress, ale także uniemożliwisz hakerom dostęp do Twojej witryny.

Po zakończeniu nie musisz się martwić o bezpieczeństwo WordPressa. Co więcej, możesz być bardziej produktywny i wolny od napięć.

TERAZ Twoja kolej . Przeczytaj dokładnie artykuł i zaimplementuj je na swojej stronie. Będziesz szczęśliwy, że to zrobiłeś.

Czy przegapiliśmy jakieś ważne wskazówki dotyczące bezpieczeństwa WordPressa, o których warto tutaj wspomnieć? daj nam znać w sekcji komentarzy.

Infografika bezpieczeństwa WordPress