14 sposobów na zabezpieczenie witryny WordPress – krok po kroku

Opublikowany: 2022-01-05

Bezpieczeństwo WordPressa powinno być najwyższym priorytetem dla właścicieli witryn. Czemu? Ponieważ co minutę na witryny WordPress dochodzi do 90 000 ataków.

Jeśli to nie wystarczy, Google co tydzień umieszcza na czarnej liście około 20 000 witryn pod kątem złośliwego oprogramowania i 50 000 witryn pod kątem phishingu. A kiedy strona internetowa znajduje się na czarnej liście – a użytkownicy są zmuszeni zgodzić się na ryzyko – powoduje to utratę około 95% ruchu.

Chociaż najnowsza wersja WordPressa jest zawsze najbezpieczniejszą dostępną wersją, możesz zrobić więcej, aby Twoja witryna była nieprzenikniona dla hakerów i botów.

Oto kilka sprawdzonych wskazówek, które pomogą zabezpieczyć witrynę.

  1. Użyj dobrego hosta internetowego
  2. Używaj tylko wysokiej jakości motywów i wtyczek
  3. Aktualizuj rdzeń, motywy i wtyczki WordPress
  4. Nie używaj „Administrator” jako nazwy użytkownika
  5. Użyj silnego hasła
  6. Użyj uwierzytelniania dwuskładnikowego
  7. Ogranicz próby logowania
  8. Zainstaluj certyfikat SSL
  9. Zmień prefiks bazy danych
  10. Ochrona plików wp-config.php i .htaccess
  11. Dodaj klucze bezpieczeństwa
  12. Wyłącz edycję plików
  13. Zapobiegaj wykonywaniu plików PHP
  14. Wyłącz selektywnie XML-RPC

1. Użyj dobrego hosta internetowego

Dobry host internetowy to Twoja pierwsza linia obrony przed atakami na Twoją witrynę. Więc nie wybieraj automatycznie taniego hostingu współdzielonego. Zamiast tego odrób swoją pracę domową.

Wybierz renomowanego hosta, który obsługuje najnowsze wersje podstawowych technologii internetowych, takich jak PHP i MySQL. Upewnij się, że Twój host obsługuje PHP 7 – jest to oficjalna zalecana wersja PHP dla WordPressa.

Rozważ wybór zarządzanego hosta WordPress. Usługi te są skonfigurowane specjalnie dla WordPress i dbają o wszystkie ważne aspekty techniczne hostingu, w tym bezpieczeństwo, kopie zapasowe, czas pracy bez przestojów i wydajność.

2. Używaj tylko wysokiej jakości motywów i wtyczek

Według WPScan, 52% luk w witrynach internetowych jest powodowanych przez wtyczki, a 11% powodowane są przez motywy. Łącznie, to ponad 60% bezpieczeństwa WordPress

Najprostszym sposobem na zapewnienie, że wtyczki i motywy będą odporne na ataki, jest pobranie ich tylko z renomowanych źródeł. Obejmuje to WordPress.org i dostawców premium. Pobieranie od podejrzanych programistów, którzy ukrywają złośliwy kod w swoich motywach i wtyczkach, może zagrozić Twojej witrynie.

Jeśli nie masz pewności, czy witryna, z której chcesz pobrać, jest bezpieczna, poszukaj referencji i recenzji, aby upewnić się, że żądany produkt ma jakość dźwięku.

Upewnij się również, że wszelkie używane wtyczki i motywy są również dobrze obsługiwane i regularnie aktualizowane. Jeśli wtyczka lub motyw nie były aktualizowane od dłuższego czasu, prawdopodobnie zawiera niezałatane luki w zabezpieczeniach lub nawet zły kod, który może narazić Cię na ataki hakerów.

Wreszcie, przechowuj tylko wtyczki i motywy, których naprawdę potrzebujesz i których używasz. Im więcej masz, tym większe ryzyko włamania. Dlatego regularnie przeglądaj listę wtyczek i motywów oraz dezaktywuj i usuwaj te, których nie potrzebujesz.

3. Aktualizuj rdzeń, motywy i wtyczki WordPress

WordPress to oprogramowanie typu open source opracowane i utrzymywane przez światową społeczność wolontariuszy. Z każdą nową wersją łatane są wszelkie luki w zabezpieczeniach.

Domyślnie WordPress automatycznie instaluje drobne aktualizacje (np. WordPress 4.9.4). Ale w przypadku głównych wydań (tj. WordPress 4.9), obowiązek ręcznej aktualizacji do najnowszej wersji spoczywa na Tobie.

Upewnij się, że w Twojej witrynie zawsze działa najnowsza wersja WordPressa.

Te podstawowe aktualizacje mają kluczowe znaczenie dla bezpieczeństwa i wydajności Twojej witryny. Dlatego pamiętaj, aby wykonać kopię zapasową witryny i zastosować wszelkie podstawowe aktualizacje, gdy staną się dostępne.

Podobnie ważne jest, aby regularnie aktualizować wszelkie wtyczki i motywy, aby zawsze korzystać z najbardziej aktualnych i bezpiecznych wersji oprogramowania.

4. Nie używaj „Administrator” jako nazwy użytkownika

Nie używaj „admin” jako nazwy użytkownika swojej witryny. Wcześniejsze wersje WordPressa używały „admin” jako domyślnej nazwy użytkownika, co ułatwiało hakerom odgadnięcie o jeden element układanki mniej podczas ataku brute force.

Jednak ostatnie wydania WordPressa zmieniły to, dając użytkownikom możliwość wprowadzenia własnej nazwy użytkownika podczas instalacji. Jednak niektórzy ludzie nadal decydują się na używanie „admin” zamiast wymyślać oryginalną nazwę użytkownika. Po prostu nie rób tego.

Chcesz utrudnić złośliwym napastnikom penetrację Twojej witryny, aby ataki trwały dłużej, a Ty lub Twój dostawca usług hostingowych moglibyście zidentyfikować wszelkie ataki, zanim się powiodą, i je powstrzymać.

5. Użyj silnego hasła

Zawsze twórz silne i unikalne hasła do konta administratora WordPress, bazy danych, konta hostingowego, adresu e-mail i dowolnych kont FTP. Podobnie jak nazwy użytkownika, hasła to kolejny element układanki, który hakerzy mogą odgadnąć, a im silniejsze hasło, tym trudniej będzie hakerom pomyślnie zalogować się do Twojej witryny.

Podczas instalacji WordPress spróbuje wymusić na Tobie silne hasło i poprosi o zaznaczenie pola, jeśli wpiszesz słabe hasło. Chociaż możesz chcieć wymyślić własne hasło, narzędzia takie jak Bezpieczny generator haseł mogą stworzyć dla Ciebie silne hasło.

Generator bezpiecznych haseł umożliwia tworzenie unikalnych i losowych haseł.

6. Użyj uwierzytelniania dwuskładnikowego

Nawet przy silnej nazwie użytkownika i haśle ataki typu brute force nadal stanowią problem dla wielu stron internetowych. Tutaj może pomóc uwierzytelnianie dwuskładnikowe.

Uwierzytelnianie dwuskładnikowe dodaje kolejny krok w procesie logowania, zmuszając użytkowników do wprowadzenia kodu wysłanego na ich telefon komórkowy oprócz wpisywania zwykłych danych logowania. Może to udaremnić automatyczne ataki i zapewnić, że Twoja witryna nie padnie ofiarą hakerów.

Wtyczki takie jak iThemes Security mogą implementować uwierzytelnianie dwuskładnikowe. Istnieją również bezpłatne wtyczki, takie jak uwierzytelnianie dwuskładnikowe, które mogą dodać tę dodatkową warstwę bezpieczeństwa do Twojej witryny.

Bezpłatna wtyczka Two Factor Authentication pozwala łatwo dodać kolejną warstwę ochrony podczas logowania do Twojej witryny.

7. Ogranicz próby logowania

Domyślnie możesz próbować zalogować się na swoje konto WordPress tyle razy, ile chcesz. Chociaż może to być wygodne dla Ciebie, jeśli zapominasz i nie zawsze uzyskujesz właściwe hasło za pierwszym lub nawet trzecim podejściem, jest to również wygodne dla hakerów przeprowadzających ataki typu brute force – daje im nieograniczoną liczbę prób złamania kombinację nazwy użytkownika i hasła.

Można to łatwo naprawić, ograniczając liczbę nieudanych prób logowania, które użytkownik może wykonać w Twojej witrynie. Darmowe wtyczki, takie jak próby logowania WP Limit, pozwalają ograniczyć próby logowania i tymczasowo blokować adresy IP.

8. Zainstaluj certyfikat SSL

Zainstalowanie certyfikatu SSL na swojej stronie jest koniecznością, zwłaszcza jeśli masz sklep eCommerce. Nie tylko dlatego, że utrudni to hakerom przechwytywanie poufnych informacji między przeglądarkami użytkowników a Twoim serwerem, ale dlatego, że Google nalega teraz, aby wszystkie witryny miały takie informacje.

Od lipca 2018 r. wraz z wydaniem Chrome 68 strony internetowe ładowane bez protokołu HTTPS będą oznaczane jako „niezabezpieczone”. Oznacza to, że użytkownicy próbujący uzyskać dostęp do witryn, które nie mają certyfikatu SSL, otrzymają ostrzeżenie, że witryna jest niewiarygodna.

To ogłoszenie to wielka sprawa, ponieważ według Cloudflare ponad połowa odwiedzających witrynę zobaczy te ostrzeżenia.

Let's Encrypt to bezpłatny urząd certyfikacji zapewniający właścicielom witryn certyfikaty SSL.

Uzyskanie certyfikatu SSL staje się coraz łatwiejsze. Let's Encrypt oferuje bezpłatne certyfikaty open source, podczas gdy firmy hostingowe zazwyczaj udostępniają je za darmo (a czasami nawet za darmo).

9. Zmień prefiks bazy danych

Domyślnie WordPress używa wp_ jako prefiksu dla wszystkich tabel w bazie danych Twojej witryny. Oznacza to, że jeśli używasz domyślnej — co jest powszechną wiedzą WordPressa — hakerzy mogą łatwo odgadnąć, jaka jest nazwa Twojej tabeli, co naraża ją na wstrzyknięcia SQL.

Prosty sposób, aby to naprawić, aby zmienić prefiks na coś losowego, na przykład 5jiqtu69dg_ za pomocą generatora losowych ciągów. Aby zaktualizować prefiks tabeli, otwórz plik wp-config.php w katalogu głównym katalogu plików witryny i znajdź ten wiersz:

 $table_prefix = 'wp_';

Korzystając z mojego przykładu, zamieniłbyś linię w następujący sposób:

 $przedrostek_tabeli = '5jiqtu69dg_';

Następnie musisz zaktualizować prefiks używany w Twojej bazie danych. Podczas gdy wtyczki bezpieczeństwa, takie jak iThemes Security, mogą pomóc Ci to zrobić szybko i łatwo, możesz dowiedzieć się, jak to zrobić ręcznie za pośrednictwem phpMyAdmin tutaj.

10. Ochrona plików wp-config.php i .htaccess

Plik wp-config.php Twojej witryny, który zwykle znajduje się w folderze głównym Twojej witryny, zawiera krytyczne informacje dotyczące instalacji WordPressa, w tym nazwę, hosta, nazwę użytkownika i hasło do bazy danych. Tymczasem .htaccess to ukryty plik, który ustawia konfigurację serwera na poziomie katalogu, umożliwia ładne permalinki i umożliwia przekierowania.

Zapobieganie dostępowi do tych krytycznych plików jest łatwe. Po prostu dodaj następujące elementy do pliku .htaccess, aby chronić wp-config.php:

 <Pliki wp-config.php>
zamów zezwól, odrzuć
Odmowa od wszystkich
</Pliki>

Alternatywnie możesz po prostu przenieść plik wp-config.php do katalogu wyżej, ponieważ WordPress automatycznie go tam wyszuka.

Aby zatrzymać niepożądany dostęp do .htaccess, wystarczy zmienić nazwę pliku w kodzie:

 <Pliki .htaccess>
zamów zezwól, odrzuć
Odmowa od wszystkich
</Pliki>

11. Dodaj klucze bezpieczeństwa

Klucze bezpieczeństwa i sole WordPress szyfrują informacje przechowywane w plikach cookie przeglądarki, chroniąc hasła i inne poufne informacje. W sumie dostępne są cztery klucze bezpieczeństwa: AUTH_KEY , SECURE_AUTH_KEY , LOGGED_IN_KEY i NONCE_KEY .

Te klucze uwierzytelniające są w zasadzie zbiorem losowych zmiennych i utrudniają złamanie haseł. Nieszyfrowane hasło, takie jak „wordpress”, nie wymaga wiele wysiłku od atakującego. Ale długie i losowe hasło, takie jak „L2(Bpw 6#:S.}tjSKYnrR~.Dys5c>+>2l2YMMSVWno4`!%wz^GOBf};uj*>-tkye” jest znacznie trudniejsze do złamania.

Dodawanie kluczy bezpieczeństwa i soli jest procesem ręcznym i łatwym do wykonania. Oto jak to zrobić:

  1. Zdobądź nowy zestaw kluczy bezpieczeństwa i soli. Tutaj możesz je losowo wygenerować.
  2. Następnie zaktualizuj plik wp-config.php. Otwórz plik i przewiń w dół, aż znajdziesz sekcję poniżej i zastąp stare wartości nowymi kluczami i solami:
 /**#@+
 * Unikalne klucze i sole uwierzytelniania.
 *
 * Zmień je na różne unikalne frazy!
 * Możesz je wygenerować za pomocą {@link https://api.wordpress.org/secret-key/1.1/salt/ usługi kluczy tajnych WordPress.org}
 * Możesz je zmienić w dowolnym momencie, aby unieważnić wszystkie istniejące pliki cookie. Zmusi to wszystkich użytkowników do ponownego zalogowania się.
 *
 * @od 2.6.0
 */
define('AUTH_KEY', 'dodaj tutaj unikalne zmienne');
define('SECURE_AUTH_KEY', 'dodaj tutaj unikalne zmienne');
define('LOGGED_IN_KEY', 'dodaj tutaj unikalne zmienne');
define('NONCE_KEY', 'dodaj tutaj unikalne zmienne');
define('AUTH_SALT', 'dodaj tutaj unikalne zmienne');
define('SECURE_AUTH_SALT', 'dodaj tutaj unikalne zmienne');
define('LOGGED_IN_SALT', 'dodaj tutaj unikalne zmienne');
define('NONCE_SALT', 'dodaj tutaj unikalne zmienne');

/**#@-*/
  1. Zapisz plik wp-config.php. Zostaniesz automatycznie wylogowany ze swojej witryny WordPress i konieczne będzie ponowne zalogowanie.

12. Wyłącz edycję plików

WordPress zawiera wewnętrzny edytor kodu dla plików wtyczek i motywów. Chociaż jest to przydatne dla administratorów, którzy chcą wprowadzać szybkie zmiany w plikach, oznacza to również, że hakerzy i użytkownicy wysokiego poziomu mogą również wprowadzać zmiany w plikach. Możesz znaleźć tę funkcję, przechodząc do Wygląd> Edytor w panelu administratora WordPress.

Możesz wyłączyć edycję plików w pliku wp-config.php. Po prostu otwórz plik i dodaj ten wiersz kodu:

 define('DISALLOW_FILE_EDIT', prawda);

Nadal będziesz mógł edytować swoje wtyczki i motywy za pośrednictwem FTP lub cPanel, ale nie w panelu administracyjnym WordPress.

13. Zapobiegaj wykonywaniu plików PHP

Popularnym folderem, w którym hakerzy mogą przesyłać złośliwe oprogramowanie do WordPressa, jest wp-content/uploads, ale także wp-includes/ . Aby zapobiec wykonywaniu plików w tych folderach, utwórz nowy plik tekstowy w edytorze tekstu i wklej ten kod:

 <Pliki *.php>
Odmowa od wszystkich
</Pliki>

Następnie zapisz ten plik jako .htaccess i prześlij go do folderów /wp-content/uploads i wp-includes/ przez FTP lub cPanel.

14. Wyłącz selektywnie XML-RPC

XML-RPC lub XML Remote Procedure Call to interfejs API, który pomaga łączyć aplikacje internetowe i mobilne z witryną WordPress. Był domyślnie włączony w WordPress 3.5, ale od tego czasu stwierdzono, że znacznie wzmacnia ataki brute force.

Na przykład, jeśli haker chciałby wypróbować 500 różnych haseł w Twojej witrynie, zwykle musiałby wykonać 500 oddzielnych prób logowania. Jednak dzięki XML-RPC haker może użyć funkcji system.multicall , aby wypróbować dużą liczbę kombinacji nazw użytkowników i haseł w jednym żądaniu HTTP.

Chociaż łatwo byłoby po prostu całkowicie wyłączyć tę funkcję dla swojej witryny, oznaczałoby to utratę funkcjonalności wtyczek takich jak Jetpack. Zamiast tego najlepiej wybrać sposób implementacji i wyłączania XML-RPC za pomocą specjalnie zaprojektowanych wtyczek.

Bonus: Jak sprawdzić luki

Istnieje kilka różnych sposobów sprawdzenia witryny pod kątem luk w zabezpieczeniach: za pomocą skanera witryny online lub wtyczki.

Dzięki tym bezpłatnym narzędziom online wystarczy, że wpiszesz adres URL witryny, a zaczną one skanować witrynę pod kątem znanych luk w zabezpieczeniach:

Skanowanie bezpieczeństwa WordPress – to narzędzie pasywnie sprawdza podstawowe problemy z bezpieczeństwem. Aby przeprowadzić zaawansowane testy, musisz przejść na plan premium.

Sucuri SiteCheck – Sprawdź swoją witrynę pod kątem znanego złośliwego oprogramowania, statusu na czarnej liście, błędów witryny i nieaktualnego oprogramowania. Dzięki uaktualnieniu premium to narzędzie będzie usuwać złośliwe oprogramowanie, chronić przed atakami DDoS/brute force, usuwać czarną listę i monitorować bezpieczeństwo.

WPScan – ten skaner podatności WordPress na czarną skrzynkę hostowany na GitHub umożliwia skanowanie witryny w poszukiwaniu znanych luk w zabezpieczeniach za pomocą rdzenia, wtyczek i motywów. Aby uruchomić tę aplikację, musisz użyć Terminala. Jest bezpłatny do użytku osobistego i sponsorowany przez Sucuri.

Bonus: Najlepsze wtyczki bezpieczeństwa WordPress

Zainstalowanie wtyczki zabezpieczającej w witrynie WordPress dodaje kolejną linię obrony przed możliwymi atakami. Oferują one szeroki zakres funkcji, które pomagają zabezpieczyć Twoją witrynę – w tym skanowanie witryny – i mogą powiadamiać Cię, gdy Twoja witryna została naruszona.

Oto 3 najlepsze wtyczki:

Wordfence

Wtyczka bezpieczeństwa Wordfence.

WordFence to niezwykle popularna darmowa wtyczka bezpieczeństwa z ponad 2 milionami aktywnych instalacji i dostępną opcją premium. Zawiera „kanał ochrony przed zagrożeniami”, który pobiera najnowsze reguły zapory, sygnatury złośliwego oprogramowania i złośliwe adresy IP, utrzymując witrynę witryny.

Zapora sieciowa aplikacji internetowej identyfikuje i blokuje złośliwy ruch, podczas gdy czarna lista adresów IP działająca w czasie rzeczywistym blokuje wszystkie żądania ze złośliwych adresów IP, chroniąc witrynę przy jednoczesnym zmniejszeniu obciążenia.

Ta wtyczka chroni przed atakami typu brute force, ograniczając próby logowania, wymuszając silne hasła i inne środki bezpieczeństwa logowania. Jeśli wykryje jakąkolwiek infekcję w Twojej witrynie, powiadomi Cię o tym e-mailem. Możesz także monitorować ruch w Twojej witrynie w czasie rzeczywistym, aby sprawdzić, czy nie jest atakowana.

Sucuri

Wtyczka bezpieczeństwa Sucuri.

W przypadku bezpłatnej wtyczki bezpieczeństwa, wtyczka bezpieczeństwa Sucuri zapewnia kompleksowy zestaw funkcji, w tym audyt działań związanych z bezpieczeństwem, dzięki czemu możesz mieć oko na wszelkie zmiany wprowadzone w witrynie, monitorowanie integralności plików, zdalne skanowanie złośliwego oprogramowania, monitorowanie czarnej listy i środki wzmacniające bezpieczeństwo.

Sekcja wtyczki „działania bezpieczeństwa po włamaniu” zawiera trzy kluczowe czynności, które należy wykonać po złamaniu zabezpieczeń. Możesz także włączyć powiadomienia dotyczące bezpieczeństwa, dzięki czemu w przypadku wykrycia infekcji w Twojej witrynie lub jej złamania zostaniesz natychmiast powiadomiony.

Po uaktualnieniu do wersji premium uzyskasz dostęp do zapory sieciowej dla dodatkowej ochrony.

Bezpieczeństwo iThemes

Wtyczka bezpieczeństwa iThemes.

Podczas gdy bezpłatna wersja iThemes Security pomaga blokować WordPress, naprawiać typowe dziury i wzmacniać poświadczenia użytkownika, wersja pro zawiera prawie wszystkie środki bezpieczeństwa, których możesz potrzebować.

Dostępne jest uwierzytelnianie dwuskładnikowe, harmonogram skanowania złośliwego oprogramowania i rejestrowanie działań użytkownika, dzięki czemu można śledzić, kiedy użytkownicy edytują treść, logują się lub wylogowują. Możesz zaktualizować klucze bezpieczeństwa i sole, ustawić wygaśnięcie hasła i dodać Google reCAPTCHA do swojej witryny.

Inne funkcje obejmują porównywanie plików online, integrację WP-CLI i tymczasową eskalację uprawnień, dzięki czemu możesz przyznać tymczasowy dostęp administratora lub redaktora do swojej witryny.

Wniosek

Nie ma właściwego sposobu ochrony witryny WordPress przed zagrożeniami bezpieczeństwa. Najlepsze, co możesz zrobić, to aktualizować rdzeń, motywy i wtyczki WordPress oraz wdrażać szereg różnych rozwiązań, które łatają luki, chronią krytyczne pliki i zmuszają użytkowników do wzmocnienia swoich danych uwierzytelniających.

Planowanie regularnych kopii zapasowych jest również koniecznością. Nigdy nie wiesz, kiedy Twoja witryna może paść ofiarą ataku, dlatego ważne jest, abyś był gotowy i miał plan szybkiego przywrócenia witryny w sytuacji awaryjnej.

Inwestowanie w solidną wtyczkę bezpieczeństwa, która pozwala skanować witrynę pod kątem luk w zabezpieczeniach, monitorować działania i ostrzegać, gdy coś jest nie tak, pomoże również wzmocnić witrynę i zapewnić jej dobrą ochronę przed zagrożeniami.