10 Wskazówki dotyczące bezpieczeństwa WordPress dla laika

Artykuł napisany przez:
  • WordPress
  • Zaktualizowano: Jun 06, 2018

Odkąd po raz pierwszy pojawił się w ponad dwóch dekadach, WordPress urósł (i wyrósł) i teraz został bezpiecznie nazwany najbardziej popularnym na świecie systemem zarządzania treścią. Dzisiaj, więcej niż jedną czwartą istniejących stron internetowych są uruchamiane na WordPress.

Jednak od niepamiętnych czasów, im bardziej popularne, tym więcej ludzi chce wykorzystać na nieczyste środki. Wystarczy spojrzeć na Microsoft Windows i ogromna liczba złośliwych programów, wirusów i innych exploitów zaprojektowane tak, aby kierować tylko na ten konkretny system operacyjny.

Wersje 10 WordPress z największą słabością (źródło). Badania w 2017 zidentyfikowały 74 różne wersje WordPressa na stronach internetowych Alexa Top 1 million; 11 tych wersji jest nieprawidłowy - na przykład wersja 6.6.6 (źródło).

Dlaczego Twój blog WordPress jest cennym celem?

Jeśli zastanawiasz się, dlaczego haker chciałby kontrolować Twój blog WordPress, istnieje kilka przyczyn, między innymi:

  • Używanie go do potajemnego wysyłania wiadomości spamowych
  • Kradnij dane, takie jak lista mailingowa lub dane karty kredytowej
  • Dodanie witryny do botnetu, z którego mogą później korzystać

Na szczęście WordPress to platforma, która oferuje mnóstwo możliwości do obrony. Pomogłem skonfigurować i zarządzać kilkoma witrynami i blogami osobiście. Chciałbym podzielić się z Wami kilkoma podstawowymi czynnościami, które możesz zrobić, aby zabezpieczyć swoją witrynę WordPress.

Oto praktyczne wskazówki bezpieczeństwa 10, z których możesz skorzystać.

Tip #1. Wybierz dobrą nazwę użytkownika administratora

Z doświadczenia większość prób włamań do witryn próbuje zalogować się przy użyciu trzech głównych opcji nazwy użytkownika. Pierwsze dwie są zawsze "admin" lub "administrator", podczas gdy trzecia jest zwykle oparta na nazwie twojej domeny.

Na przykład, jeśli twoja strona to crazymonkey33.com, haker może spróbować zalogować się za pomocą "crazymonkey33".

To nie jest dobry pomysł.

Wskazówka #2. Upewnij się, że używasz mocnego hasła

Do tej pory pewnie byś pomyślał, że ludzie będą używać silnych, złożonych haseł do ochrony swojego konta, ale wciąż jest wielu, którzy uważają, że "hasło" jest świetne.

Silne hasło będzie zawierać mieszankę:

  • Górne i dolne litery z wielkimi literami
  • Bądź alfanumeryczny (AZ i az)
  • Uwzględnij znak specjalny (!, @, #, $, Itp.)
  • Przynajmniej długość 8 znaków

Im bardziej losowe jest Twoje hasło, tym bezpieczniejsze. Wypróbuj ten losowy generator haseł, jeśli nie możesz go wymyślić. https://passwordsgenerator.net/

Tip #3. Zaimplementuj reCaptcha

Ścienne boty wyłączone ze swojego blogu WP.

Program reCaptcha został zaprojektowany, aby powstrzymać automatyczne narzędzia od pracy na stronie. Oczywiście, biorąc pod uwagę złożoność dzisiejszych narzędzi hakerskich, można je łatwo ominąć, ale przynajmniej jest to dodatkowa warstwa bezpieczeństwa.

Tam są liczba wtyczek reCaptcha możesz użyć z instalacją, która będzie działać po wyjęciu z pudełka.

Tip #4. Użyj uwierzytelniania dwuskładnikowego (2FA)

2FA to metoda uwierzytelniania, która wymaga weryfikacji Twojego loginu. Na przykład po zalogowaniu się przy użyciu nazwy użytkownika i hasła system może wysłać wiadomość SMS na telefon komórkowy lub wysłać wiadomość e-mail z kodem, który należy wprowadzić, aby zweryfikować swoją tożsamość.

Ta metoda uwierzytelniania zapewnia dobrą ochronę i jest dziś używana przez wiele banków i instytucji finansowych. I znowu, ta potrzeba może być łatwo spełniona dzięki Wtyczka 2FA.

Zobacz, jak miniOrange (wtyczka 2FA) współpracuje z loginem WordPress w poniższym filmie.

T

Tip #5. Zmień nazwę swojego adresu URL logowania

Większość hakerów będzie próbować zalogować się za pomocą domyślnej strony logowania wordpress, która zwykle jest podobna do sample.com/wp-admin.

Aby dodać kolejną warstwę ochrony, zmień adres URL strony logowania szybko i bez wysiłku za pomocą narzędzia takiego jak WPS Hide Login.

Wskazówka #6. Chroń swój katalog wp-admin

Dodaj dodatkową warstwę zabezpieczeń do katalogu głównego.

Katalog wp-admin jest sercem twojej instalacji WordPress. Jako dodatkowe zabezpieczenie, chroń ten katalog hasłem.

Aby to zrobić, musisz zalogować się do panelu sterowania konta hostingowego. Niezależnie od tego, czy korzystasz cPanel or Plesk, opcja, której szukasz, to "Chronić katalogi hasłem".

Wskazówka #7. Użyj SSL do szyfrowania danych

Połączenie HTTP vs HTTPS (Źródło: Sucuri)

Poza samą witryną, będziesz chciał również zabezpieczyć połączenie między tobą a serwerem i to jest miejsce, w którym SSL zapewnia szyfrowanie komunikacji. Dzięki szyfrowanemu połączeniu hakerzy nie będą mogli przechwytywać danych (takich jak hasło) podczas komunikacji z serwerem.

Poza tym dobrą praktyką jest wdrażanie protokołu SSL, ponieważ wyszukiwarki coraz częściej penalizują witryny, które uważają za "niezabezpieczone".

Dowiedz się więcej o SSL w naszym kompleksowym AZ Przewodnik po SSL.

Tip #8. Upewnij się, że WSZYSTKIE twoje oprogramowanie jest aktualne

Bez względu na to, jak dobre i kosztowne jest oprogramowanie, zawsze znajdą się w nich nowe słabości, które mogą pozostawić je do wykorzystania. WordPress nie jest wyjątkiem i zespół stale wydaje nowe wersje z poprawkami i aktualizacjami.

Hakerzy prawie zawsze starają się wykorzystać słabość, a znany exploit, który pozostaje nieusunięty, po prostu prosi o kłopoty. Dotyczy to dwa razy więcej wtyczek, które często są tworzone przez znacznie mniejsze firmy z mniejszymi zasobami.

Jeśli korzystasz z wtyczek, upewnij się, że aktualizacje są regularnie publikowane lub rozważ skorzystanie z wtyczek o podobnej funkcjonalności, która jest aktualizowana.

Powiedziawszy to, NIE polecam ci używać automatyczne aktualizacje WordPress i Plugin, zwłaszcza jeśli prowadzisz witrynę na żywo. Niektóre aktualizacje mogą powodować problemy, wewnętrznie lub w konflikcie z innymi wtyczkami i ustawieniami.

Najlepiej stworzyć środowisko testowe, które będzie odzwierciedlać twoją witrynę i przetestować tam aktualizacje. Gdy jesteś pewien, że wszystko działa poprawnie, możesz zastosować aktualizację do witryny na żywo.

Panele kontrolne, takie jak Plesk, dają możliwość utworzenia w tym celu klona strony.

Tip #9. Wykorzystaj sieć dystrybucji treści (CDN)

Chociaż może to nie uratować twojej witryny przed zhakowaniem, pomaga złagodzić złośliwe ataki na nią. Niektórzy hakerzy dążą do zniszczenia stron internetowych, przez co stają się niedostępne dla publiczności. CDN pomoże w amortyzowaniu ataku typu Distributed Denial of Service na twoją stronę.

Poza tym pomaga to również przyspieszyć twoją witrynę, buforując niektóre treści. Aby zapoznać się z tą opcją, spójrz na CloudFlare jako przykład. CloudFlare oferuje usługi CDN na wielopoziomowych poziomach cenowych, dzięki czemu można nawet korzystać z podstawowych funkcji za darmo. https://www.cloudflare.com

Tip #10. Tworzenie kopii zapasowych, tworzenie kopii zapasowych i tworzenie kopii zapasowych!

Bez względu na środki bezpieczeństwa i ostrożność, zdarzają się wypadki. Oszczędź sobie przed miażdżącym sercem i setkami godzin pracy, upewniając się, że masz odpowiednie usługi tworzenia kopii zapasowych.

Zwykle Twój usługodawca hostingowy ma co najmniej podstawowe funkcje tworzenia kopii zapasowych, ale jeśli jesteś paranoikiem, jak ja, zawsze upewnij się, że wykonujesz własne niezależne kopie zapasowe. Tworzenie kopii zapasowych nie jest tak proste, jak tylko skopiowanie niektórych plików, ale także uwzględnienie informacji w bazie danych.

Poszukaj rozwiązania kopii zapasowej, które wypróbowano i sprawdzono. Nawet niewielka inwestycja jest warta zaoszczędzenia na łzach w nagłych wypadkach. Coś jak BackupBuddy może pomóc Ci zapisać wszystko, łącznie z Twoją bazą danych za jednym razem.

Wskazówka bonusowa: Twój webhost się liczy!

Chociaż tradycyjnie firmy hostingowe po prostu oferowały nam miejsce na hosting naszych stron internetowych, czasy się zmieniły. Dostawcy usług hostingowych, zdając sobie sprawę z pilnej potrzeby zwiększenia bezpieczeństwa, zintensyfikowali działania, a wiele z nich oferuje usługi o wartości dodanej, które uzupełniają hosting.

Weź na przykład HostGator, jedno z bardziej znanych nazwisk w grze. Oprócz podstawowych funkcji Cloudflare, HostGator (w cenie $ 10 + / mo) jest również wyposażony w ochronę przed spamem, automatyczne usuwanie złośliwego oprogramowania, automatyczne tworzenie kopii zapasowych, ochronę domeny i wiele innych.

Zarządzany dostawca hostingu WordPress, Kinsta, buduj zapory sprzętowe i aktywnie monitoruj serwery pod kątem złośliwego oprogramowania i ataków DDoS za pomocą niestandardowego systemu.

Jeśli jeszcze tego nie doświadczyłeś, gorąco zachęcam do przyjrzenia się funkcjom bezpieczeństwa, które oferuje Twój komputer i porównaniu go z tym, co jest obecnie dostępne.

Aby uzyskać wyczerpującą listę, możesz sprawdzić Kompilacja hostów internetowych WHSR tutaj.

Co teraz?

Zanim zaczniesz szaleć i zaczniesz przeszukiwać Internet w panice, szukając miliona i jednego rozwiązania bezpieczeństwa - weź głęboki oddech. Podobnie jak w przypadku innych rzeczy, ktoś już wcześniej pomógł ci panikować i szukał rozwiązania.

Nawet jeśli wdrożysz tyle rozwiązań bezpieczeństwa, ile możesz znaleźć, jesteś pewnie jesteś bezpieczny?

Oto gdzie coś takiego Bezpieczeństwo Ninja wejdź, dzięki czemu możesz sprawdzić swoją słabość.

Szybkie demo: Jak działa Security Ninja.

Istnieje kilka istotnych powodów, aby używać czegoś w rodzaju Security Ninja, ale powiem, że jest to narzędzie, które polecam na wielu etapach podróży, aby zabezpieczyć twoją stronę.

Najpierw uruchom go w swojej witrynie "tak jak jest" - przed wprowadzeniem jakichkolwiek zmian. Pozwól pluginowi podsłuchać i popchnąć twoją stronę, zanim dasz ci wyniki.

Następnie na podstawie tych wyników pracuj nad zabezpieczeniem swojej witryny. Security Ninja wykonuje więcej niż testy 50, aby zbadać swoją obronę. Nawet po wprowadzeniu zmian uruchom go ponownie (i za każdym razem, gdy pojawiają się zmiany w witrynie lub aktualizacje wtyczek), aby przetestować witrynę.

Jeśli brzmi to dla ciebie za mało, Security Ninja zawiera także wiele dodatkowych modułów (Wersja pro, pojedyncza witryna $ 29), które mogą pomóc w rozwiązaniu problemów, które napotyka.

Niektóre inne kluczowe funkcje w tych modułach obejmują:

  • Skanuj pliki rdzenia WP, aby zidentyfikować problematyczne pliki
  • Przywróć zmodyfikowane pliki jednym kliknięciem
  • Napraw nieprawidłowe aktualizacje automatyczne WP
  • Zakaz 600 milionów złych adresów IP zebranych z milionów zaatakowanych witryn
  • Lista automatycznych aktualizacji, bez potrzeby konserwacji lub pracy ręcznej
  • Chroń formularz logowania przed brutalnymi atakami

Final Thoughts

Chociaż wszystko to może wydawać się nieco przesadzone dla przeciętnego użytkownika WordPressa, zapewniam, że wszystko (i więcej) jest konieczne. Ignorując statystyki hakerskie na całym świecie i na jakiś czas, pozwól, że podzielę się z tobą osobistymi informacjami na temat jednej z najciemniejszych stron, które pomagam zarządzać.

Początkowo zacząłem jako prosta strona biograficzna, którą stworzyłem www.timothyshim.com. Oczywiście było to po prostu coś, co ustawiłem i przez większość czasu zostawiłem w spokoju, po prostu jako punkt odniesienia. W każdym miesiącu, ta strona, która w zasadzie nic nie robi i nie zbiera żadnych danych, twarze nad atakami 30 - połączenie brutalnej siły i złożonych.

Wystarczy, że jeden z nich odniesie sukces i ja będę miał naprawdę zły dzień.

O Timothy Shim

Timothy Shim jest pisarzem, redaktorem i tech geekiem. Rozpoczynając karierę w dziedzinie technologii informatycznych, szybko znalazł drogę do druku i od tego czasu współpracował z międzynarodowymi, regionalnymi i krajowymi tytułami medialnymi, takimi jak ComputerWorld, PC.com, Business Today i The Asian Banker. Jego wiedza specjalistyczna dotyczy technologii zarówno z punktu widzenia konsumenta, jak i przedsiębiorstwa.