Jak zabezpieczyć stronę na WordPress?
Bezpieczeństwo WordPress to temat o ogromnym znaczeniu dla każdego właściciela witryny. Google na swojej czarnej liście posiada mnóstwo stron internetowych dodając kolejne każdego dnia pod kątem złośliwego oprogramowania i phishingu.
Jeśli poważnie myślisz o swojej stronie internetowej, musisz zwrócić uwagę na najlepsze praktyki bezpieczeństwa WordPress. W tym materiale przedstawiamy wszystkie najważniejsze wskazówki dotyczące bezpieczeństwa platformy WordPress, które pomogą Ci chronić Twoją witrynę przed hakerami i złośliwym oprogramowaniem.
Chociaż podstawowe oprogramowanie WordPress jest mimo wszystko bardzo bezpieczne i regularnie kontrolowane przez setki programistów, istnieje wiele metod, aby zapewnić większe bezpieczeństwo własnej witryny.
Pamiętaj, że bezpieczeństwo nie polega tylko na eliminacji już zaistniałego problemu. Chodzi również o zmniejszenie ryzyka. Jako właściciel strony internetowej możesz zrobić wiele, aby poprawić swoje bezpieczeństwo systemu WordPress, nawet jeśli nie jesteś specjalistą od programowania.
Umów konsultację! |
Spis treści
Dlaczego wtyczki bezpieczeństwa oraz bezpieczeństwo witryny WordPress jest ważne?
Zhakowana witryna WordPress może spowodować poważne szkody dla dochodów i reputacji firmy. Hakerzy mogą ukraść informacje o użytkownikach, hasła, zainstalować złośliwe oprogramowanie, a nawet rozpowszechniać złośliwe oprogramowanie wśród innych.
Google cyklicznie informuje, jak wielu użytkowników stron zostało ostrzeżonych o odwiedzanej przez nich witrynie internetowej, która może zawierać złośliwe oprogramowanie lub połączenie nie jest prywatne.
Jeśli Twoja strona internetowa jest stroną firmową, musisz zwrócić szczególną uwagę na bezpieczeństwo WordPress.
Podobnie jak to, że właściciele firm są odpowiedzialni za ochronę ich fizycznego budynku sklepu, tak właściciel firmy działającej online jest odpowiedzialny za ochronę swojej strony internetowej.
Zabezpieczenie strony WordPress poprzez aktualizowanie strony WordPress
WordPress to oprogramowanie open source, które jest regularnie aktualizowane. Domyślnie WordPress automatycznie instaluje drobne aktualizacje. W przypadku wersji głównych należy ręcznie zainicjować aktualizację.
WordPress zawiera również tysiące wtyczek i motywów, które można zainstalować na swojej stronie internetowej. Te wtyczki i motywy są utrzymywane przez zewnętrznych programistów, którzy regularnie publikują aktualizacje.
Przeczytaj również: Wtyczka WordPress - dlaczego jest taka ważna i jakie są praktyczne wtyczki WordPress?
Aktualizacje WordPress są kluczowe dla bezpieczeństwa i stabilności witryny WordPress. Musisz upewnić się, że rdzeń WordPress, wtyczki i motyw są aktualne, a tym samym zabezpieczone dzięki temu, że Twoje aktualizacji wtyczek są wykonywane na bieżąco.
Używaj silnych haseł, czyli silne hasła i uprawnienia użytkownika
Najczęstsze próby hakowania WordPress to używanie skradzionych haseł. Możesz to utrudnić, używając silniejszych haseł, które są unikalne dla Twojej witryny. Nie tylko jest to istotny temat dla obszaru administracyjnego WordPress, ale także dla kont FTP, bazy danych, konta hostingowego WordPress i adresów e-mail, które używają nazwy domeny witryny.
Wciąż nadal wiele osób nie lubi używać silnych haseł, ponieważ są trudne do zapamiętania. Dobrą rzeczą jest to, że nie trzeba już pamiętać wszystkich haseł. Możesz użyć menedżera haseł takich jak KeePass.
Innym sposobem na zmniejszenie ryzyka jest nie dawać nikomu dostępu do konta administratora WordPress, chyba że absolutnie musisz to zrobić. Jeśli masz duży zespół lub kilku autorów, upewnij się, że rozumiesz role i możliwości użytkowników w WordPress przed dodaniem nowych kont na swoją stronę internetową WordPress.
Bezpieczeństwo strony WordPress i rola WordPress Hosting
Twoja usługa hostingu WordPress odgrywa najważniejszą rolę w bezpieczeństwie Twojej witryny WordPress. Dobry dostawca hostingu współdzielonego, podejmuje dodatkowe środki w celu ochrony swoich serwerów przed powszechnymi zagrożeniami.
Oto jak dobra firma hostingowa działa, aby chronić swoje strony internetowe i dane:
- ciągle monitorują swoją sieć pod kątem podejrzanych działań
- wszystkie dobre firmy hostingowe posiadają narzędzia zapobiegające atakom DDDOS na dużą skalę
- utrzymują w dobrej kondycji swoje oprogramowanie serwera i sprzęt, aby zapobiec wykorzystaniu przez hakerów luki w zabezpieczeniach starej wersji
- mają możliwość wdrożenia planów odtwarzania danych po awarii i wypadków, co pozwala im chronić je w przypadku poważnych problemów
Korzystanie z usługi hostingowej WordPress zapewnia bardziej bezpieczną platformę dla Twojej strony internetowej, a więc odpowiednie zabezpieczenie strony. Niektóre firmy hostingowe oferują automatyczne kopie zapasowe, automatyczne aktualizacje WordPress i bardziej zaawansowane konfiguracje zabezpieczeń w celu ochrony witryny www.
Bezpieczeństwo WordPress w prostych krokach
Wiemy, że poprawa bezpieczeństwa WordPress może być przerażającą myślą dla początkujących. Zwłaszcza jeśli nie jesteś webmasterem.
W tym materiale opowiemy Ci, jak możesz poprawić swoje bezpieczeństwo WordPress za pomocą zaledwie kilku kliknięć bez konieczności kodowania.
Bezpieczny WordPress i rozwiązanie do tworzenia kopii zapasowych WordPress
Kopie zapasowe to Twoja pierwsza obrona przed każdym atakiem WordPress. Pamiętaj, że nic nie jest w 100% bezpieczne. Jeśli strony rządowe mogą zostać zhakowane, to tak samo może być z Twoją witryną.
Kopie zapasowe pozwalają na szybkie przywrócenie witryny WordPress w przypadku, gdy coś złego mogło się wydarzyć.
Istnieje wiele darmowych i płatnych wtyczek do tworzenia kopii zapasowych WordPress, których możesz użyć. Najważniejszą rzeczą, którą musisz wiedzieć, jeśli chodzi o kopie zapasowe, jest to, że musisz regularnie zapisywać kopie zapasowe w lokalizacji zdalnej (nie na koncie hostingowym).
Zalecamy przechowywanie kopii w kilku źródłach. Może to być usługa chmury lub fizyczne dyski przenośne, gdzie znajdzie się Twoja kopia bezpieczeństwa.
W zależności od częstotliwości aktualizowania witryny, idealnym ustawieniem może być wykonywanie kopii zapasowych stron raz dziennie lub w czasie rzeczywistym.
Na szczęście można to łatwo zrobić za pomocą wtyczek takich jak UpdraftPlus. Są one zarówno niezawodne, jak i co najważniejsze łatwe w użyciu.
Wyposaż swoją witrynę WordPress w certyfikat SSL / HTTPS
SSL (Secure Sockets Layer) to protokół, który szyfruje transfer danych między witryną, a przeglądarką użytkownika. To szyfrowanie utrudnia osobom postronnym kradzież informacji i pozwala zabezpieczyć witrynę WordPress oraz inne.
Po włączeniu protokołu SSL Twoja witryna będzie używać protokołu HTTPS zamiast protokołu HTTP, a obok adresu strony internetowej WordPress w przeglądarce zostanie również wyświetlony symbol kłódki.
Teraz łatwiej niż kiedykolwiek można rozpocząć korzystanie z SSL dla wszystkich stron WordPress. Wiele firm hostingowych oferuje teraz bezpłatny certyfikat SSL dla witryny WordPress.
Wśród zalet SSL/HTTPS z pewnością warto wyróżnić:
- bezpieczeństwo danych - SSL zapewnia szyfrowanie danych między klientem a serwerem, co oznacza, że dane, takie jak hasła, dane osobowe czy dane karty kredytowej, są chronione przed nieautoryzowanym dostępem
- wiarygodność - certyfikat SSL zabezpiecza witrynę, zapewniając użytkownikom pewność, że witryna jest autentyczna i należy do właściwego właściciela
- pozytywny wpływ na pozycjonowanie - Google preferuje strony zabezpieczone protokołem SSL, co oznacza, że strony z certyfikatem SSL mogą zyskać wyższą pozycję w wynikach wyszukiwania
- zgodność z przepisami - SSL jest wymagany przez przepisy w niektórych branżach, takich jak bankowość i handel elektroniczny, aby spełnić wymogi bezpieczeństwa danych
- ochrona przed atakami - SSL może chronić przed atakami typu man-in-the-middle, w których hakerzy przechwytują komunikację między klientem a serwerem w celu kradzieży poufnych informacji
Wszystkie te korzyści sprawiają, że SSL jest niezbędny dla większości witryn internetowych, które wymagają bezpiecznej komunikacji między klientem, a serwerem.
Zabezpieczenie WordPress poprzez zmianę domyślnej nazwy użytkownika
W dawnych czasach domyślną nazwą administratora WordPress był „admin”. Ponieważ nazwy użytkowników składają się na połowę danych logowania, ułatwiło to hakerom wykonywanie ataków.
Na szczęście WordPress od tego czasu zmienił to i teraz wymaga, aby wybrać niestandardową nazwę użytkownika w momencie instalacji WordPress.
Jednak niektóre instalatory WordPress, nadal pozwalają ustawić domyślną nazwę użytkownika admin na "admin". Jeśli zauważysz, że tak jest, to prawdopodobnie dobrym pomysłem jest, aby zmienić hosting.
Ponieważ WordPress domyślnie nie pozwala na zmianę nazw użytkowników, istnieją trzy metody, których można użyć, aby zmienić nazwę użytkownika.
- Utwórz nową nazwę użytkownika administratora i usuń starą
- Użyj wtyczki Easy Username Updater
- Zaktualizuj nazwę użytkownika z phpMyAdmin
Zadbaj o bezpieczeństwo strony i wyłącz edycję plików wtyczek
WordPress jest wyposażony we wbudowany edytor kodu, który pozwala edytować pliki motywu i wtyczki bezpośrednio z obszaru administratora WordPress. W niewłaściwych rękach ta funkcja może stanowić zagrożenie bezpieczeństwa, dlatego zalecamy jej wyłączenie.
Przeczytaj również: 9 wskazówek na poprawę wskaźników WordPress SEO
Ogranicz próby logowania i zadbaj o bezpieczną stronę
Domyślnie WordPress pozwala użytkownikom na logowanie się tyle razy, ile chcą. Pozostawia to Twoją witrynę WordPress podatną na ataki. Hakerzy próbują złamać hasła, próbując zalogować się poprzez stronę logowania różnymi kombinacjami.
Można to łatwo naprawić, ograniczając nieudane próby logowania, które użytkownik może wykonać.
W tym celu możesz skorzystać z wtyczki Login LockDown. Po aktywacji, odwiedź sekcję Ustawienia, aby skonfigurować wtyczkę według własnego uznania.
Dodaj uwierzytelnianie dwuskładnikowe na swoją stronę
Technika uwierzytelniania dwuskładnikowego wymaga, aby użytkownicy logowali się przy użyciu dwuetapowej metody uwierzytelniania. Pierwszy z nich to nazwa użytkownika i hasło, a drugi krok wymaga uwierzytelnienia za pomocą osobnego urządzenia lub aplikacji.
Większość znanych witryn internetowych, takich jak Google, Facebook, czy Twitter, pozwala włączyć to na swoich kontach. Możesz również dodać tę samą funkcjonalność do swojej witryny WordPress.
Po pierwsze, musisz zainstalować i aktywować wtyczkę, przykładowo Two Factor Authentication. Po aktywacji, musisz kliknąć na link Two Factor Auth w pasku bocznym WordPress admin.
Następnie musisz zainstalować i otworzyć aplikację uwierzytelniającą w telefonie. Istnieje kilka z nich dostępnych, takich jak Google Authenticator, Authy i LastPass Authenticator.
Przy następnym logowaniu się na swojej stronie internetowej, po wprowadzeniu hasła zostaniesz poproszony o podanie dwuskładnikowego kodu uwierzytelniającego.
Wyłącz indeksowanie i przeglądanie katalogów
Przeglądanie katalogów może być używane przez hakerów, aby dowiedzieć się, czy masz jakieś pliki z lukami, dzięki czemu mogą wykorzystać te pliki, aby uzyskać dostęp do panelu.
Przeglądanie katalogów może być również używane przez inne osoby do przeglądania plików, kopiowania obrazów, wyszukiwania struktury katalogów i innych cennych informacji. Dlatego zaleca się wyłączenie indeksowania i przeglądania katalogów.
Wyłącz XML-RPC w WordPress
XML-RPC został domyślnie włączony w WordPress 3.5, ponieważ pomaga połączyć witrynę WordPress z aplikacjami internetowymi i mobilnymi.
Ze względu na swój potężny potencjał XML-RPC może znacznie wzmocnić ataki hakerskie.
Na przykład tradycyjnie, jeśli haker chciał wypróbować 500 różnych haseł na Twojej stronie, musiałby wykonać 500 oddzielnych prób logowania, które zostaną wyłapane i zablokowane przez wtyczkę do blokowania logowania.
Ale z XML-RPC, haker może użyć funkcji system.multicall, aby wypróbować tysiące haseł z powiedzmy 20 lub 50 żądań.
Dlatego jeśli nie używasz XML-RPC, zalecamy wyłączenie.
Automatycznie wylogowuj bezczynnych użytkowników w WordPress
Zalogowani użytkownicy mogą czasami odchodzić od ekranu, co stwarza zagrożenie bezpieczeństwa. Ktoś może przejąć sesję, zmienić hasła lub wprowadzić zmiany na koncie.
Dlatego wiele witryn bankowych i finansowych automatycznie wylogowuje nieaktywnego użytkownika w ramach działania strony internetowej. Podobną funkcjonalność możesz zaimplementować również w swojej witrynie WordPress.
Musisz zainstalować i aktywować wtyczkę Inactive Logout. Po aktywacji odwiedź stronę Ustawienia - Nieaktywne wylogowanie, aby skonfigurować ustawienia wtyczki.
Wystarczy ustawić czas trwania i dodać komunikat o wylogowaniu. Nie zapomnij kliknąć na przycisk Zapisz zmiany, aby zapisać ustawienia.
Dodaj pytania bezpieczeństwa do ekranu logowania WordPress
Dodanie pytania zabezpieczającego do ekranu logowania WordPress jest utrudnieniem dla kogoś, kto uzyska nieautoryzowany dostęp. Możesz dodać pytania bezpieczeństwa we wspomnianej już wtyczce Two Factor Authentication.
Skanowanie WordPress w poszukiwaniu złośliwego oprogramowania i luk w zabezpieczeniach
Jeśli masz zainstalowaną wtyczki bezpieczeństwa WordPress, wtyczki te będą rutynowo sprawdzać serwis pod kątem złośliwego oprogramowania i oznak naruszeń bezpieczeństwa.
Jeśli jednak zauważysz nagły spadek ruchu na stronie lub spadek rankingów wyszukiwania, możesz ręcznie uruchomić skanowanie. Na potrzeby tego możesz użyć wtyczki Wordfence Security.
Podsumowanie
To wszystko, mamy nadzieję, że ten materiał pomógł Ci poznać najlepsze praktyki bezpieczeństwa WordPress, a także odkryć najlepsze wtyczki bezpieczeństwa WordPress dla Twojej witryny, dzięki czemu od teraz będziesz miał w pełni bezpieczny WordPress.
Pamiętaj, że bezpieczeństwo stron internetowych jest teraz ważne bardziej niż kiedykolwiek i aby poprawić swoje rankingi SEO dobrze jest dbać o bezpieczeństwo własnej witryny, a jeżeli chcesz rozpocząć budowanie widoczności strony lub sklepu jednocześnie zwiększyć bezpieczeństwo witryny skontaktuj się z nami.
Divloy to ekspercka firma z wieloletnim doświadczeniem w digital marketingu dla rozwoju biznesów w internecie. Realizujemy działania w obszarze SEO, kampanii PPC, audytów, szkoleń i doradztwa. Cechuje nas współpraca z klientami oczekującymi wysokiej skuteczności. Kierujemy się zasadą, iż kluczowe elementy marketingu internetowego to wdrażanie najnowszych rozwiązań i narzędzi, a do osiągnięcia oczekiwanych rezultatów niezbędne jest wyciąganie wniosków z przeprowadzanych analiz.