Wskazówki dotyczące bezpieczeństwa WordPress dla laika: Zabezpiecz swoje logowanie WordPress i inne praktyki bezpieczeństwa

Artykuł napisany przez:
  • WordPress
  • Zaktualizowano: Jan 20, 2020

Odkąd po raz pierwszy pojawił się w ponad dwóch dekadach, WordPress urósł (i wyrósł) i teraz został bezpiecznie nazwany najbardziej popularnym na świecie systemem zarządzania treścią. Dzisiaj, więcej niż jedną czwartą istniejących stron internetowych są uruchamiane na WordPress.

Jednak od niepamiętnych czasów, im bardziej popularne, tym więcej ludzi chce wykorzystać na nieczyste środki. Wystarczy spojrzeć na Microsoft Windows i ogromna liczba złośliwych programów, wirusów i innych exploitów zaprojektowane tak, aby kierować tylko na ten konkretny system operacyjny.

Wersje 10 WordPress z największą słabością (źródło). Badania w 2017 zidentyfikowały 74 różne wersje WordPressa na stronach internetowych Alexa Top 1 million; 11 tych wersji jest nieprawidłowy - na przykład wersja 6.6.6 (źródło).

Dlaczego Twój blog WordPress jest cennym celem?

Jeśli zastanawiasz się, dlaczego haker chciałby kontrolować Twój blog WordPress, istnieje kilka przyczyn, między innymi:

  • Używanie go do potajemnego wysyłania wiadomości spamowych
  • Kradnij dane, takie jak lista mailingowa lub dane karty kredytowej
  • Dodanie witryny do botnetu, z którego mogą później korzystać

Na szczęście WordPress to platforma, która oferuje mnóstwo możliwości do obrony. Pomogłem skonfigurować i zarządzać kilkoma witrynami i blogami osobiście. Chciałbym podzielić się z Wami kilkoma podstawowymi czynnościami, które możesz zrobić, aby zabezpieczyć swoją witrynę WordPress.

Oto praktyczne wskazówki bezpieczeństwa 10, z których możesz skorzystać.

Pracuj z bezpieczną stroną logowania do WordPress

Zabezpieczenie strony logowania nie może być wykonane za pomocą żadnej konkretnej techniki, ale z pewnością są kroki i darmowe wtyczki bezpieczeństwa możesz podjąć się, aby wszelkie ataki były znacznie mniej prawdopodobne.

Strona logowania do Twojej witryny jest z pewnością jedną z najbardziej narażonych stron w Twojej witrynie, więc zacznijmy od uczynienia strony logowania do witryny WordPress nieco bardziej bezpieczną.

1. Wybierz dobrą nazwę użytkownika administratora

Użyj nietypowych nazw użytkowników. Wcześniej w WordPress musiałeś zacząć od domyślnej nazwy użytkownika admin, ale już tak nie jest. Mimo to większość nowych administratorów stron internetowych używa domyślnej nazwy użytkownika i musi ją zmienić. Możesz użyć Admin Renamer Extended zmienić swoją nazwę użytkownika admin.

Brutalne wymuszanie stron logowania jest jedną z najczęstszych form ataków internetowych, z którymi Twoja witryna prawdopodobnie się spotka. Jeśli masz łatwe do odgadnięcia hasło lub nazwę użytkownika, Twoja witryna prawie na pewno nie będzie tylko celem, ale ostatecznie ofiarą. Z doświadczenia wynika, że ​​większość prób włamań do witryny próbuje się zalogować przy użyciu trzech głównych nazw użytkowników. Pierwsze dwa są zawsze „admin” lub „administrator”, podczas gdy trzeci zwykle opiera się na nazwie domeny.

Na przykład, jeśli twoja strona to crazymonkey33.com, haker może spróbować zalogować się za pomocą "crazymonkey33".

To nie jest dobry pomysł.

2. Upewnij się, że używasz mocnego hasła

Do tej pory pewnie byś pomyślał, że ludzie będą używać silnych, złożonych haseł do ochrony swojego konta, ale wciąż jest wielu, którzy uważają, że "hasło" jest świetne.

Dane powitalne sporządził listę często używane hasła w 2018 r. Hasło według rangi pod względem użytkowania.

  1. 123456
  2. hasło
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. światło słoneczne
  9. qwerty
  10. kocham Cię

Jeśli użyjesz jednego z tych haseł, a Twoja witryna otrzyma jakikolwiek ruch, Twoja strona będzie prawie na pewno wcześniej czy później usunięta.

Silne hasło będzie zawierać mieszankę:

  • Górne i dolne litery z wielkimi literami
  • Bądź alfanumeryczny (AZ i az)
  • Uwzględnij znak specjalny (!, @, #, $, Itp.)
  • Przynajmniej długość 8 znaków

Im bardziej losowe jest Twoje hasło, tym bezpieczniejsze. Wypróbuj ten losowy generator haseł, jeśli nie możesz go wymyślić. https://passwordsgenerator.net/

3. Zaimplementuj reCaptcha

Ścienne boty wyłączone ze swojego blogu WP.

Program reCaptcha został zaprojektowany, aby powstrzymać automatyczne narzędzia od pracy na stronie. Oczywiście, biorąc pod uwagę złożoność dzisiejszych narzędzi hakerskich, można je łatwo ominąć, ale przynajmniej jest to dodatkowa warstwa bezpieczeństwa.

Tam są liczba wtyczek reCaptcha możesz użyć z instalacją, która będzie działać po wyjęciu z pudełka.

4. Użyj uwierzytelniania dwuskładnikowego (2FA)

2FA to metoda uwierzytelniania, która wymaga weryfikacji Twojego loginu. Na przykład po zalogowaniu się przy użyciu nazwy użytkownika i hasła system może wysłać wiadomość SMS na telefon komórkowy lub wysłać wiadomość e-mail z kodem, który należy wprowadzić, aby zweryfikować swoją tożsamość.

Ta metoda uwierzytelniania zapewnia dobrą ochronę i jest dziś używana przez wiele banków i instytucji finansowych. I znowu, ta potrzeba może być łatwo spełniona dzięki Wtyczka 2FA.

Zobacz, jak miniOrange (wtyczka 2FA) współpracuje z loginem WordPress w poniższym filmie.

T

5. Zmień nazwę swojego adresu URL logowania

Większość hakerów próbuje się zalogować za pomocą domyślnej strony logowania wordpress, co zwykle jest podobne

sample.com/wp-admin.

Aby dodać kolejną warstwę ochrony, zmień adres URL strony logowania szybko i bez wysiłku za pomocą narzędzia takiego jak WPS Hide Login.

6. Ogranicz liczbę prób logowania

Jest to niesamowicie prosta technika zatrzymywania ataków typu brute force na swoją stronę logowania bezpośrednio na ich śladach. Atak brute force działa, próbując uzyskać nazwę użytkownika i hasło, próbując wielokrotnie kombinować wiele kombinacji.

Jeśli śledzony jest konkretny adres IP, który atakuje, możesz zablokować powtarzające się próby wymuszenia i zachować bezpieczeństwo witryny. Z tego też powodu globalne ataki DDoS występują z wieloma adresami IP o różnym pochodzeniu ataku, aby zrzucić usługi hostingu i ochronę strony internetowej.

Zaloguj Lockdown i Login Rozwiązanie bezpieczeństwa oba oferują świetne rozwiązania do ochrony stron logowania do Twojej witryny. Śledzą adresy IP i ograniczają liczbę prób logowania w celu ochrony Twojej witryny.

Wzmocnij mur bezpieczeństwa swojej witryny

Omówiliśmy różne taktyki związane z zabezpieczaniem strony logowania do WordPress - te wyżej wymienione kroki to podstawy, które możesz zrobić. Należy również pamiętać, że niektóre hosty wymagają od użytkowników niektórych z tych praktyk bezpieczeństwa. Istnieje wiele innych praktyk bezpieczeństwa, które można wdrożyć w swoich witrynach.

7. Chroń swój katalog wp-admin

Dodaj dodatkową warstwę zabezpieczeń do katalogu głównego.

Katalog wp-admin jest sercem twojej instalacji WordPress. Jako dodatkowe zabezpieczenie, chroń ten katalog hasłem.

Aby to zrobić, musisz zalogować się do panelu sterowania konta hostingowego. Niezależnie od tego, czy korzystasz cPanel or Plesk, opcja, której szukasz, to "Chronić katalogi hasłem".

8. Użyj SSL do szyfrowania danych

Połączenie HTTP vs HTTPS (Źródło: Sucuri)

Poza samą witryną, będziesz chciał również zabezpieczyć połączenie między tobą a serwerem i to jest miejsce, w którym SSL zapewnia szyfrowanie komunikacji. Dzięki szyfrowanemu połączeniu hakerzy nie będą mogli przechwytywać danych (takich jak hasło) podczas komunikacji z serwerem.

Poza tym dobrą praktyką jest wdrażanie protokołu SSL, ponieważ wyszukiwarki coraz częściej penalizują witryny, które uważają za "niezabezpieczone".

Dla indywidualnych blogerów i małych firm bezpłatne, współdzielone SSL - które zwykle można uzyskać od swojego dostawcy hostingu, Szyfrujmylub CloudFlare - jest zwykle więcej niż wystarczająco dobry. Dla firm przetwarzających płatności klientów - najlepiej, że Ty kup dedykowany certyfikat SSL z hosta internetowego lub urzędu certyfikacji (CA).

Dowiedz się więcej o SSL w naszym kompleksowym AZ Przewodnik po SSL.

9. Skorzystaj z sieci dystrybucji treści (CDN)

Chociaż może to nie uratować twojej witryny przed włamaniem, pomaga złagodzić złośliwe ataki na nią. Niektórzy hakerzy starają się usunąć strony internetowe, czyniąc je niedostępnymi dla ogółu społeczeństwa. CDN pomoże złagodzić cios Distributed Denial of Service atak na twoją stronę.

Poza tym pomaga to również przyspieszyć twoją witrynę, buforując niektóre treści. Aby zapoznać się z tą opcją, spójrz na CloudFlare jako przykład. CloudFlare oferuje usługi CDN na wielopoziomowych poziomach cenowych, dzięki czemu można nawet korzystać z podstawowych funkcji za darmo. https://www.cloudflare.com

10. Upewnij się, że całe oprogramowanie jest aktualne

Bez względu na to, jak dobre i kosztowne jest oprogramowanie, zawsze znajdą się w nich nowe słabości, które mogą pozostawić je do wykorzystania. WordPress nie jest wyjątkiem i zespół stale wydaje nowe wersje z poprawkami i aktualizacjami.

Hakerzy prawie zawsze starają się wykorzystać słabość, a znany exploit, który pozostaje nieusunięty, po prostu prosi o kłopoty. Dotyczy to dwa razy więcej wtyczek, które często są tworzone przez znacznie mniejsze firmy z mniejszymi zasobami.

Jeśli korzystasz z wtyczek, upewnij się, że aktualizacje są regularnie publikowane lub rozważ skorzystanie z wtyczek o podobnej funkcjonalności, która jest aktualizowana.

Powiedziawszy to, NIE polecam ci używać automatyczne aktualizacje WordPress i Plugin, zwłaszcza jeśli prowadzisz witrynę na żywo. Niektóre aktualizacje mogą powodować problemy, wewnętrznie lub w konflikcie z innymi wtyczkami i ustawieniami.

Najlepiej stworzyć środowisko testowe, które będzie odzwierciedlać twoją witrynę i przetestować tam aktualizacje. Gdy jesteś pewien, że wszystko działa poprawnie, możesz zastosować aktualizację do witryny na żywo.

Panele kontrolne, takie jak Plesk, dają możliwość utworzenia w tym celu klona strony.

11. Tworzenie kopii zapasowych, tworzenie kopii zapasowych i tworzenie kopii zapasowych!

Bez względu na środki bezpieczeństwa i ostrożność, zdarzają się wypadki. Oszczędź sobie przed miażdżącym sercem i setkami godzin pracy, upewniając się, że masz odpowiednie usługi tworzenia kopii zapasowych.

Zwykle Twój usługodawca hostingowy ma co najmniej podstawowe funkcje tworzenia kopii zapasowych, ale jeśli jesteś paranoikiem, jak ja, zawsze upewnij się, że wykonujesz własne niezależne kopie zapasowe. Tworzenie kopii zapasowych nie jest tak proste, jak tylko skopiowanie niektórych plików, ale także uwzględnienie informacji w bazie danych.

Poszukaj rozwiązania kopii zapasowej, które wypróbowano i sprawdzono. Nawet niewielka inwestycja jest warta zaoszczędzenia na łzach w nagłych wypadkach. Coś jak BackupBuddy może pomóc Ci zapisać wszystko, łącznie z Twoją bazą danych za jednym razem.

12. Twój hosting ma znaczenie!

Chociaż tradycyjnie firmy hostingowe po prostu oferowały nam miejsce na hosting naszych stron internetowych, czasy się zmieniły. Dostawcy usług hostingowych, zdając sobie sprawę z pilnej potrzeby zwiększenia bezpieczeństwa, zintensyfikowali działania, a wiele z nich oferuje usługi o wartości dodanej, które uzupełniają hosting.

Weź na przykład HostGator, jedno z bardziej znanych nazwisk w grze. Oprócz podstawowych funkcji Cloudflare, HostGator (w cenie $ 10 + / mo) jest również wyposażony w ochronę przed spamem, automatyczne usuwanie złośliwego oprogramowania, automatyczne tworzenie kopii zapasowych, ochronę domeny i wiele innych.

Zarządzany dostawca hostingu WordPress, Kinsta, buduj zapory sprzętowe i aktywnie monitoruj serwery pod kątem złośliwego oprogramowania i ataków DDoS za pomocą niestandardowego systemu.

Jeśli jeszcze tego nie doświadczyłeś, gorąco zachęcam do przyjrzenia się funkcjom bezpieczeństwa, które oferuje Twój komputer i porównaniu go z tym, co jest obecnie dostępne.

Aby uzyskać wyczerpującą listę, możesz sprawdzić Kompilacja najlepszych hostów tutaj przez WHSR.

Co teraz?

Zanim zaczniesz szaleć i zaczniesz przeszukiwać Internet w panice, szukając miliona i jednego rozwiązania bezpieczeństwa - weź głęboki oddech. Podobnie jak w przypadku innych rzeczy, ktoś już wcześniej pomógł ci panikować i szukał rozwiązania.

Nawet jeśli wdrożysz tyle rozwiązań bezpieczeństwa, ile możesz znaleźć, jesteś pewnie jesteś bezpieczny?

Oto gdzie coś takiego Bezpieczeństwo Ninja wejdź, dzięki czemu możesz sprawdzić swoją słabość.

Szybkie demo: Jak działa Security Ninja.

Istnieje kilka istotnych powodów, aby używać czegoś w rodzaju Security Ninja, ale powiem, że jest to narzędzie, które polecam na wielu etapach podróży, aby zabezpieczyć twoją stronę.

Najpierw uruchom go w swojej witrynie "tak jak jest" - przed wprowadzeniem jakichkolwiek zmian. Pozwól pluginowi podsłuchać i popchnąć twoją stronę, zanim dasz ci wyniki.

Następnie na podstawie tych wyników pracuj nad zabezpieczeniem swojej witryny. Security Ninja wykonuje więcej niż testy 50, aby zbadać swoją obronę. Nawet po wprowadzeniu zmian uruchom go ponownie (i za każdym razem, gdy pojawiają się zmiany w witrynie lub aktualizacje wtyczek), aby przetestować witrynę.

Jeśli brzmi to dla ciebie za mało, Security Ninja zawiera także wiele dodatkowych modułów (Wersja pro, pojedyncza witryna $ 29), które mogą pomóc w rozwiązaniu problemów, które napotyka.

Niektóre inne kluczowe funkcje w tych modułach obejmują:

  • Skanuj pliki rdzenia WP, aby zidentyfikować problematyczne pliki
  • Przywróć zmodyfikowane pliki jednym kliknięciem
  • Napraw nieprawidłowe aktualizacje automatyczne WP
  • Zakaz 600 milionów złych adresów IP zebranych z milionów zaatakowanych witryn
  • Lista automatycznych aktualizacji, bez potrzeby konserwacji lub pracy ręcznej
  • Chroń formularz logowania przed brutalnymi atakami

Final Thoughts

Chociaż wszystko to może wydawać się nieco przesadzone dla przeciętnego użytkownika WordPressa, zapewniam, że wszystko (i więcej) jest konieczne. Ignorując statystyki hakerskie na całym świecie i na jakiś czas, pozwól, że podzielę się z tobą osobistymi informacjami na temat jednej z najciemniejszych stron, które pomagam zarządzać.

Początkowo zacząłem jako prosta strona biograficzna, którą stworzyłem www.timothyshim.com. Oczywiście było to po prostu coś, co ustawiłem i przez większość czasu zostawiłem w spokoju, po prostu jako punkt odniesienia. W każdym miesiącu, ta strona, która w zasadzie nic nie robi i nie zbiera żadnych danych, twarze nad atakami 30 - połączenie brutalnej siły i złożonych.

Wystarczy, że jeden z nich odniesie sukces i ja będę miał naprawdę zły dzień.

O Timothy Shim

Timothy Shim jest pisarzem, redaktorem i tech geekiem. Rozpoczynając karierę w dziedzinie technologii informatycznych, szybko znalazł drogę do druku i od tego czasu współpracował z międzynarodowymi, regionalnymi i krajowymi tytułami medialnymi, takimi jak ComputerWorld, PC.com, Business Today i The Asian Banker. Jego wiedza specjalistyczna dotyczy technologii zarówno z punktu widzenia konsumenta, jak i przedsiębiorstwa.