Tips Keselamatan WordPress untuk Layman: Selamat Masuk WordPress Anda & Amalan Keselamatan Lain

Artikel yang ditulis oleh:
  • WordPress
  • Dikemaskini: Jul 15, 2020

Sejak ia mula diperkenalkan lebih dari dua dekad yang lalu, WordPress telah berkembang (dan berkembang) kini dengan selamat dinamakan sebagai sistem pengurusan kandungan yang paling popular di dunia. Hari ini, lebih daripada satu perempat dari laman web yang wujud dijalankan di WordPress.

Namun sejak zaman dahulu lagi, sesuatu yang lebih popular adalah, semakin ramai orang ingin memanfaatkannya untuk cara jahat. Lihat saja Microsoft Windows dan yang jumlah besar malware, virus dan eksploitasi yang lain direka untuk menyasar hanya satu sistem operasi tertentu ini.

Versi WordPress 10 dengan Kebanyakan Kerentanan (sumber). Penyelidikan di 2017 mengenalpasti 74 versi WordPress yang berbeza dalam laman web Alexa Top 1 juta; 11 versi ini tidak sah - contohnya versi 6.6.6 (sumber).

Kenapa blog WordPress anda adalah sasaran yang berharga?

Sekiranya anda tertanya-tanya mengapa di bumi seseorang penggodam akan mengawal blog WordPress anda, terdapat beberapa sebab termasuk;

  • Menggunakannya untuk secara rahsia menghantar e-mel spam
  • Mencuri data anda seperti senarai mel atau maklumat kad kredit
  • Menambah laman web anda ke botnet yang boleh digunakan kemudian

Nasib baik, WordPress adalah platform yang menawarkan banyak kesempatan untuk mempertahankan diri. Setelah membantu persediaan dan mentadbir beberapa laman web dan blog saya sendiri, saya ingin berkongsi dengan anda beberapa perkara yang lebih asas yang boleh anda lakukan untuk membantu mendapatkan laman WordPress anda.

Berikut adalah tip-tip keselamatan yang boleh dijangkiti 10 yang boleh anda gunakan.

Selamat Halaman Masuk WordPress Anda

Melindungi laman log masuk anda tidak dapat dicapai oleh mana-mana satu teknik tertentu, tetapi ada langkah-langkah tertentu dan plugin keselamatan percuma anda boleh mengambil apa-apa serangan yang jauh lebih cenderung untuk berjaya.

Halaman masuk laman web anda sememangnya merupakan salah satu halaman yang lebih rentan di laman web anda, jadi mari mulai membuat laman log masuk WordPress anda sedikit lebih selamat.

1. Pilih nama pengguna pentadbir yang baik

Gunakan nama pengguna yang luar biasa. Sebelum ini dengan WordPress, anda perlu bermula dengan nama pengguna admin lalai, tetapi itu tidak lagi. Namun, kebanyakan pentadbir web yang baru menggunakan nama pengguna lalai dan perlu menukar nama pengguna mereka. Anda boleh gunakan Admin Renamer Extended untuk menukar nama pengguna admin anda.

Laman web memalsukan memalukan adalah salah satu bentuk serangan web biasa yang mungkin dihadapi oleh laman web anda. Jika anda mempunyai kata laluan atau nama pengguna yang mudah untuk meneka, laman web anda pasti tidak akan menjadi sasaran tetapi akhirnya menjadi mangsa. Dari pengalaman, kebanyakan cubaan hack tapak cuba masuk dengan tiga pilihan utama nama pengguna. Yang pertama adalah 'pentadbir' atau 'pentadbir', sementara yang ketiga biasanya didasarkan pada nama domain anda.

Contohnya, jika laman web anda adalah crazymonkey33.com, penggodam mungkin cuba log masuk dengan 'crazymonkey33'.

Bukan idea yang baik.

2. Pastikan anda menggunakan kata laluan yang kuat

Sekarang anda mungkin berfikir bahawa orang akan tahu menggunakan kata laluan yang kuat dan kompleks untuk melindungi akaun mereka, tetapi masih banyak yang berfikir 'kata laluan' yang hebat.

Data Splash menyusun senarai kata laluan yang sering digunakan pada 2018. Kata laluan mengikut pangkat dari segi penggunaan.

  1. 123456
  2. kata laluan
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. cahaya matahari
  9. qwerty
  10. saya sayang awak

Sekiranya anda menggunakan salah satu kata laluan dan laman web anda menerima apa-apa lalu lintas, laman web anda hampir pasti akan diturunkan lambat laun.

Kata laluan yang kuat akan termasuk campuran:

  • Aksara huruf besar atas dan bawah
  • Jadilah abjad angka (AZ dan az)
  • Sertakan watak istimewa (!, @, #, $, Dan lain-lain)
  • Sekurang-kurangnya 8 aksara panjang

Semakin banyak kata laluan anda secara rawak, semakin selamatnya. Cuba penjana kata laluan rawak ini jika anda menghadapi masalah dengan satu. https://passwordsgenerator.net/

3. Melaksanakan reCaptcha

Bots dinding dari blog WP anda.

reCaptcha direka untuk menghentikan alat-alat automatik daripada bekerja di laman web. Sudah tentu, memandangkan kerumitan alat penggodaman hari ini, ini boleh agak mudah dilewati, tetapi sekurang-kurangnya ada lapisan tambahan keselamatan.

Disana ada sebilangan plugin reCaptcha anda boleh gunakan dengan pemasangan anda yang akan berfungsi dengan baik daripada kotak.

4. Gunakan Pengesahan Dua Faktor (2FA)

2FA adalah kaedah pengesahan yang memerlukan pengesahan pada log masuk anda. Contohnya, sebaik sahaja anda log masuk dengan nama pengguna dan kata laluan anda, sistem mungkin menghantar SMS ke telefon bimbit anda atau menghantar e-mel kepada anda dengan kod yang anda perlu masukkan untuk mengesahkan identiti anda.

Kaedah pengesahan ini menawarkan perlindungan yang baik dan digunakan oleh banyak bank dan institusi kewangan hari ini. Sekali lagi, keperluan ini dengan mudah dapat dipenuhi dengan a Plugin 2FA.

Lihat bagaimana miniOrange (plugin 2FA) berfungsi dengan log masuk WordPress dalam video berikut.

T

5. Namakan namanya URL masuk anda

Kebanyakan penggodam akan cuba masuk melalui halaman log masuk lalai wordpress, yang biasanya seperti

contoh.com/wp-admin.

Untuk menambah lapisan perlindungan lain, tukar URL halaman log masuk dengan cepat dan mudah dengan alat seperti itu WPS Sembunyikan Log masuk.

6. Hadkan bilangan cubaan log masuk

Ini adalah satu teknik yang sangat mudah untuk menghentikan serangan kekerasan pada halaman log masuk anda di trek mereka. Serangan kekerasan berfungsi dengan cuba mendapatkan nama pengguna dan kata laluan anda dengan mencuba pelbagai kombinasi berulang-ulang.

Sekiranya IP tertentu yang melakukan serangan itu dijejaki, maka anda boleh menghalang percubaan brute yang berulang kali dan memastikan laman web anda selamat. Inilah sebabnya mengapa serangan DDOS global berlaku dengan pelbagai alamat IP dengan asal-usul serangan yang berlainan, untuk membuang perkhidmatan hosting dan keselamatan laman web di luar sana.

Log Masuk perisian penghalang artikel Penyelesaian Login Keselamatan kedua-duanya menawarkan penyelesaian hebat untuk melindungi laman log masuk laman web anda. Mereka menjejaki alamat IP dan mengehadkan bilangan percubaan masuk untuk melindungi laman web anda.

Dinding Keselamatan Tapak Harden

Kami telah membincangkan pelbagai taktik dalam mendapatkan halaman log masuk WordPress anda - langkah-langkah yang disebutkan di atas adalah asas-asas yang boleh anda lakukan. Anda juga perlu sedar bahawa sesetengah web host memberi mandat beberapa amalan keselamatan pada pengguna mereka. Terdapat beberapa amalan keselamatan lain yang boleh anda lakukan di tapak web anda.

7. Lindungi direktori wp-admin anda

Tambah lapisan keselamatan tambahan ke direktori hos anda.

Direktori wp-admin adalah pusat pemasangan WordPress anda. Sebagai perlindungan tambahan, kata laluan melindungi direktori ini.

Untuk berbuat demikian, anda perlu log masuk ke panel kawalan akaun hosting anda. Sama ada anda menggunakannya cPanel or Plesk, pilihan yang anda cari adalah 'Direktori perlindungan kata laluan'.

Sebagai alternatif, anda boleh melindungi kata laluan direktori dengan tweaking fail .htaccess dan .htpasswds anda. Panduan langkah demi langkah panduan dan penjana kod boleh didapati secara percuma di Drive Dinamik.

Perhatikan bahawa melindungi kata laluan folder wp-admin anda akan memecah AJAX awam untuk WordPress - anda perlu membenarkan kebenaran untuk admin ajax melalui .htaccess untuk mengelakkan sebarang kesilapan laman web.

8. Gunakan SSL untuk menyulitkan data

Sambungan HTTP vs HTTPS (Sumber: Sucuri)

Selain laman web itu sendiri, anda juga ingin melindungi sambungan antara anda dan pelayan dan ini adalah tempat SSL masuk untuk menyulitkan komunikasi anda. Dengan mempunyai sambungan yang disulitkan, penggodam tidak akan dapat memintas data (seperti kata laluan anda) semasa anda berkomunikasi dengan pelayan anda.

Selain itu, ia juga merupakan amalan yang baik untuk melaksanakan SSL sekarang kerana enjin carian semakin menghukum laman web yang dianggap 'tidak selamat'.

Bagi blogger dan perniagaan kecil individu, SSL percuma - yang biasanya anda dapat dari penyedia hosting anda, Ayo Sulitkan, Atau CloudFlare - biasanya lebih baik daripada cukup. Untuk perniagaan yang memproses pembayaran pelanggan - itu adalah yang terbaik untuk anda membeli sijil SSL yang berdedikasi dari hos web anda atau pihak berkuasa sijil (CA).

Ketahui lebih lanjut mengenai SSL secara komprehensif kami Panduan AZ ke SSL.

9. Menggunakan Rangkaian Pengedaran Kandungan (CDN)

Walaupun ini mungkin tidak menyelamatkan tapak anda daripada digodam, ia membantu mengurangkan risiko serangan ganas terhadapnya. Sesetengah penggodam bertujuan untuk menurunkan laman web, menjadikannya mudah diakses oleh orang ramai. CDN akan membantu meredakan a Perkhidmatan Penafian yang Diagihkan menyerang laman web anda.

Selain itu, ini juga membantu mempercepat laman web anda dengan menyimpan sedikit kandungan. Untuk meneroka pilihan ini, lihat Cloudflare sebagai contoh. CloudFlare menawarkan perkhidmatan CDN pada tahap harga bertingkat, jadi anda bahkan boleh menggunakan ciri asas secara percuma.

Ketahui lebih lanjut mengenai bagaimana Cloudflare berfungsi dan kelebihan menggunakan perkhidmatan tersebut.

10. Pastikan SEMUA perisian anda terkini

Tidak kira bagaimana perisian yang baik atau mahal, akan ada kelemahan baru yang terdapat di dalamnya yang mungkin membiarkan mereka terbuka untuk mengeksploitasi. WordPress tidak terkecuali dan pasukan sentiasa melepaskan versi baru dengan pembetulan dan kemas kini.

Para penggodam hampir selalu berusaha memanfaatkan kelemahan dan eksploitasi yang diketahui yang dibiarkan tanpa henti hanya meminta masalah. Ini berjalan dua kali ganda untuk pemalam yang sering dibuat oleh syarikat yang lebih kecil dengan sumber yang kurang.

Jika anda menggunakan pemalam, pastikan kemas kini dilancarkan dengan kerap, atau pertimbangkan untuk mencari plugin popular dengan fungsi yang sama yang sentiasa dikemas kini.

Setelah mengatakan ini, saya TIDAK mengesyorkan anda menggunakannya kemas kini WordPress dan Plugin automatik, terutamanya jika anda menjalankan tapak langsung. Sesetengah kemas kini boleh menyebabkan masalah, sama ada secara dalaman atau melalui konflik dengan pemalam dan tetapan lain.

Sebaiknya, buat persekitaran ujian yang mencerminkan tapak langsung anda dan menguji kemas kini di sana. Sebaik sahaja anda pasti semuanya berfungsi dengan baik maka anda boleh memohon kemas kini ke tapak langsung.

Panel kawalan seperti Plesk memberi anda pilihan untuk membuat klon tapak untuk tujuan ini.

11. Sandaran, sandaran dan sandaran!

Tidak peduli apa langkah keselamatan atau bagaimana anda berhati-hati, kemalangan berlaku. Simpan diri anda dari hancur menghancurkan dan seratus jam kerja dengan hanya memastikan anda mempunyai perkhidmatan sandaran yang mencukupi.

Biasanya tuan rumah web anda akan datang dengan beberapa ciri sandaran asas sekurang-kurangnya, tetapi jika anda paranoid seperti saya, pastikan anda menjalankan sandaran sendiri. Menyandarkan tidak semudah menyalin beberapa fail, tetapi juga mengambil kira maklumat dalam pangkalan data anda.

Cari penyelesaian sandaran yang telah dibuktikan dan terbukti. Malah, pelaburan kecil adalah berbaloi untuk menjimatkan air mata sekiranya berlaku kecemasan. Sesuatu seperti BackupBuddy boleh membantu anda menyelamatkan segala-galanya termasuk pangkalan data anda pada satu masa.

12. Tontonan tuan rumah anda!

Walaupun secara tradisinya, syarikat web hosting hanya menawarkan ruang bagi kami untuk menjadi tuan rumah laman web kami, masa telah berubah. Penyedia hosting web, yang mengakui keperluan mendesak untuk peningkatan keselamatan, telah meningkat, dengan banyak menawarkan perkhidmatan tambah nilai untuk melengkapi hosting web mereka.

Ambil contohnya HostGator, salah satu nama yang lebih mantap dalam permainan. Selain daripada ciri-ciri Cloudflare asas, HostGator (dengan harga $ 10 + / mo) juga dilengkapi dengan Perlindungan Percuma Spam, Pengeluaran Malware Secara Automatik, Cadangan Automatik, Privasi Domain dan banyak lagi.

Penyedia hosting yang diselenggarakan WordPress, Kinsta, membina firewall perkakasan dan secara aktif memantau pelayan mereka untuk serangan malware dan DDoS dengan sistem yang dibina khas itu.

Jika ini adalah sesuatu yang belum pernah berlaku kepada anda, saya sangat menggalakkan anda untuk melihat ciri keselamatan yang disediakan oleh tuan rumah anda dan membandingkannya dengan apa yang ada sekarang.

Untuk senarai komprehensif, anda boleh menyemak Penyusunan WHSR web host terbaik di sini.

Bagaimana sekarang?

Sebelum anda berjalan liar dan mula menjelajahi Internet dalam panik mencari satu juta dan satu penyelesaian keselamatan - tarik nafas dalam. Seperti hal-hal lain, seseorang akan membantu anda panik dan mencari penyelesaian.

Walaupun anda melaksanakan banyak penyelesaian keselamatan seperti yang anda dapati, adakah anda pasti awak selamat?

Di sinilah sesuatu Keselamatan Ninja masuk, yang membantu anda meneliti tapak anda untuk kelemahan.

Demo cepat: Bagaimana Keselamatan Ninja berfungsi.

Terdapat beberapa alasan yang menarik untuk menggunakan sesuatu seperti Ninja Keselamatan tetapi saya katakan bahawa ia adalah alat yang saya sarankan menggunakan pada pelbagai peringkat dalam perjalanan anda untuk memastikan tapak anda.

Mula-mula, jalankan di laman web anda 'seperti' - sebelum membuat sebarang perubahan. Biarkan plugin mencucuk dan prod tapak anda sebelum memberi anda hasil.

Kemudian berdasarkan hasil tersebut, bekerjasama menjamin laman anda. Keselamatan Ninja melakukan lebih daripada ujian 50 untuk menyiasat pertahanan anda. Walaupun selepas anda membuat perubahan, lari sekali lagi (dan setiap kali terdapat perubahan laman web atau kemas kini plugin) hanya untuk menguji tapak anda.

Jika ini kelihatan seperti terlalu banyak kerja untuk anda, Security Ninja juga dilengkapi dengan pelbagai modul tambahan (versi pro, tapak tunggal $ 29) yang boleh membantu anda menyelesaikan masalah yang ditemui.

Beberapa ciri utama lain dalam modul ini termasuk:

  • Imbas fail teras WP untuk mengenal pasti fail bermasalah
  • Pulihkan fail yang dimodifikasi dengan satu klik
  • Betulkan kemas kini auto WP yang rosak
  • Ban 600 juta IP buruk yang dikutip dari berjuta-juta laman yang diserang
  • Senarai kemas kini auto, tidak memerlukan sebarang penyelenggaraan atau kerja manual
  • Melindungi borang login daripada serangan kekerasan

Pemikiran Akhir

Walaupun semua ini kelihatan sedikit berlebihan kepada pengguna WordPress purata, saya memberi jaminan bahawa semua itu (dan lebih banyak) diperlukan. Mengabaikan perangkaan peretasan di seluruh dunia dan mana-mana untuk seketika, berikan saya berkongsi dengan anda beberapa maklumat peribadi di salah satu laman web paling tidak jelas yang saya uruskan.

Asalnya bermula sebagai laman biografi yang mudah, saya cipta www.timothyshim.com. Jelas sekali, ia adalah sesuatu yang saya persediaan dan sebahagian besarnya meninggalkan sahaja, semata-mata sebagai titik rujukan. Pada setiap tempoh sebulan, laman web ini yang mana pada dasarnya tidak melakukan apa-apa dan tidak mengumpul data, menghadapi serangan 30 - gabungan kekuatan kasar dan yang rumit.

Apa yang perlu ialah salah seorang daripada mereka berjaya dan saya akan mempunyai benar-benar hari yang buruk.

Mengenai Timothy Shim

Timothy Shim adalah seorang penulis, editor, dan pakar teknologi. Memulakan kerjayanya di bidang Teknologi Maklumat, dia dengan cepat mencetak cetaknya dan sejak itu bekerja dengan tajuk media Antarabangsa, serantau dan domestik termasuk ComputerWorld, PC.com, Business Today, dan The Asian Banker. Kepakarannya terletak di bidang teknologi dari sudut pandang pengguna dan perusahaan.