Jak zabezpieczyć swój blog WordPress

Zabezpieczenie bloga WordPress jest niezbędną rzeczą, którą musisz zrobić po skonfigurowaniu go na serwerze. Nie powinno być żadnego powodu, aby zostawiać WordPress szeroko otwarty dla hakerów, którzy mogliby wkraść się i ukraść Twoje informacje lub zniszczyć Twoje dane. Poświęć kilka godzin na zabezpieczenie WordPressa, a zaoszczędzisz niezliczone godziny na walce z ciągłymi atakami. W tym przewodniku przedstawiono wiele sposobów zabezpieczenia WordPressa, aby Twoje dane i informacje były bezpieczne.

Pomocne: możesz uzyskać bezpłatny certyfikat SSL dla swojej witryny WordPress, aby chronić osoby odwiedzające Twoją witrynę.

1. Użyj wtyczki zabezpieczającej typu „wszystko w jednym”.

Aby wszystko było proste, zacznij od wtyczki zabezpieczającej WordPress, która obsługuje wiele zadań w jednym miejscu. Jedną z najlepszych opcji jest All-In-One Security (AIOS) . Dzięki imponującej ocenie 5 gwiazdek w ponad milionie instalacji warto dodać go do swojej witryny. Ponadto wiele funkcji jest całkowicie bezpłatnych.

Wtyczka wykonuje następujące czynności:

• Zatrzymuje ataki brutalną siłą
• Umożliwia uwierzytelnianie dwuskładnikowe
• Ukrywa stronę logowania przed botami
• Wymusza wylogowanie użytkowników, którzy lubią być cały czas zalogowani
• Pomaga poprawić siłę hasła
• Ulepsza sole WordPress (część procesu szyfrowania haseł) poprzez dodanie 64 nowych znaków, które zmieniają się co tydzień
• Dodaje ochronę firewall
• Obejmuje ochronę przed złośliwym oprogramowaniem (tylko premium)
• Redukuje komentarze spamowe

To tylko niewielka część tego, co zawiera. Konfiguracja wszystkiego może zająć trochę czasu, ale zarządzanie jedną wtyczką jest lepsze niż wieloma.

2. Powstrzymaj ataki brutalnej siły

Hakerzy mogą z łatwością złamać Twoje hasło logowania i dane uwierzytelniające, stosując ataki typu brute-force. Aby temu zapobiec, zainstaluj wtyczkę Login Lockdown . Ta wtyczka rejestruje adres IP i znacznik czasu każdej nieudanej próby logowania do WordPress. Po wykryciu określonej liczby nieudanych prób funkcja logowania zostanie wyłączona dla wszystkich żądań z tego zakresu.

Dodaje także dwie inne przydatne funkcje: uwierzytelnianie dwuskładnikowe i CAPTCHA. Zmniejszają one również drastycznie ataki typu brute-force.

3. Użyj silnego hasła

Upewnij się, że używasz silnego hasła, które będzie trudne do odgadnięcia przez innych. Do utworzenia hasła użyj kombinacji cyfr, znaków specjalnych oraz wielkich i małych liter. Możesz także użyć narzędzia do sprawdzania haseł w WordPress 2.5 i nowszych wersjach, aby sprawdzić siłę swojego hasła.

Inną opcją jest użycie menedżera haseł do wygenerowania całkowicie losowego i bezpiecznego hasła. Nawet jeśli nie przechowujesz swoich haseł, są to nadal świetne narzędzia do generowania unikalnych haseł do Twojej witryny.

4. Chroń swój folder administratora WP

Folder „wp-admin” zawiera wszystkie najważniejsze informacje o Twojej witrynie i jest ostatnim miejscem, do którego chcesz udostępnić innym osobom. Najprostszym sposobem zabezpieczenia jest dodanie dodatkowego hasła. Nawet jeśli haker dostanie się do Twojej witryny przy użyciu danych uwierzytelniających użytkownika, nadal będzie musiał poznać dane uwierzytelniające Twojego wp-adminfolderu. W tym momencie możesz już wiedzieć o naruszeniu i być w stanie zmienić hasło zaatakowanego użytkownika oraz hasło wp-admin w celu zwiększenia bezpieczeństwa.

Można to zrobić na wiele sposobów. Pierwszy zależy od Twojego dostawcy usług hostingowych. Wiele oferuje cPanel. Kroki mogą się nieznacznie różnić w zależności od hosta.

• Zaloguj się do sekcji cPanel na swojej stronie. Twój usługodawca hostingowy otrzyma instrukcje, jak to zrobić.
• Przewiń w dół do „Bezpieczeństwo” i wybierz „Katalogi ochrony hasłem”.

• Wybierz „Prywatność katalogu”.

• Wybierz katalog, który chcesz zabezpieczyć hasłem i postępuj zgodnie z instrukcjami. Zwykle dostępny jest samouczek, który szczegółowo opisuje, jak najlepiej chronić katalogi przy użyciu tej metody.

Druga metoda jest ręczna i zwykle nie jest zalecana, ponieważ jeśli nie zrobisz tego poprawnie, możesz stracić dostęp do swojej witryny.

• Utwórz plik tekstowy za pomocą ulubionego edytora tekstu i nadaj mu nazwę „.htaccess”
• Dodaj poniższe elementy do pliku, ale zmień ścieżkę AuthUserFile na miejsce, do którego prześlesz plik haseł (w następnym kroku) i zmień „yourusername” na swoją nazwę użytkownika.

AuthName "Admins Only"AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername

• Utwórz kolejny plik tekstowy o nazwie „.htpasswd”
• Użyj generatora htpasswd, aby wygenerować zawartość pliku. Hosting Canada , web2generators i AskApache mają łatwe w użyciu generatory. Po wypełnieniu generatora skopiuj otrzymany tekst do pliku. htpasswd, który utworzyłeś.
• Skopiuj oba pliki do folderu wp-admin i gotowe.

5. Usuń informacje o wersji WordPress

Wiele motywów WordPress zawiera informacje o wersji WordPress w metatagu. Hakerzy mogą szybko zdobyć te informacje i zaplanować konkretne ataki ukierunkowane na lukę w zabezpieczeniach tej wersji.

Aby usunąć informacje o wersji WordPress:

• Zaloguj się do swojego panelu WordPress.
• Przejdź do „Projekt -> Edytor motywów”.
• Poszukaj pliku „Nagłówek” po prawej stronie.
• Poszukaj następującej linii kodu:

<meta name="generator"content="WordPress versionnumber"/>

• Usuń tę linię i naciśnij „Aktualizuj plik”.

Możesz także użyć wtyczki zabezpieczającej WordPress, takiej jak Sucuri Security , aby ukryć te informacje.

6. Ukryj folder wtyczek

Jeśli wejdziesz na adres URL swojej witryny: https://yourwebsite.com/wp-content/plugins i zobaczysz całą listę wtyczek, których użyłeś, oznacza to, że Twoja witryna WordPress nie jest zbyt bezpieczna. Możesz łatwo ukryć tę stronę, przesyłając pusty plik „index.html” do katalogu wtyczek.

• Otwórz edytor tekstu. Zapisz pusty dokument jako „index.html”.
• Prześlij plik „index.html” do folderu „/wp-content/plugins” za pomocą programu FTP.

Pomocne: użyj tych wtyczek statystycznych WordPress do pomiaru swojej witryny.

7. Zmień swoją nazwę logowania

Domyślna nazwa użytkownika to „admin”. Prostym sposobem na zabezpieczenie WordPressa jest zmiana tego. W przeciwnym razie hakerzy znają już połowę Twoich danych logowania.

• Zaloguj się do panelu WordPress i wybierz „Użytkownicy”.
• Wybierz „Nowy użytkownik”.

• Ustaw rolę na „Administrator” i wyślij zaproszenie na żądane konto e-mail. Po zaakceptowaniu zaproszenia możesz się zalogować, utworzyć hasło i zostać nowym kontem administratora.

• Po skonfigurowaniu nowego użytkownika wróć do „Użytkownicy”.
• Znajdź konto „admin” i usuń je.
• Wybierz opcję „Przypisz wszystkie posty i linki do” i wybierz swoją nazwę użytkownika.
• Naciśnij „Potwierdź usunięcie”.

8. Zaktualizuj do najnowszych wersji

WordPress wraz z motywami i wtyczkami otrzymuje regularne aktualizacje. Dodaje to nowe funkcje, usuwa błędy i naprawia luki w zabezpieczeniach. Ostatnia część jest najważniejsza. Jeśli hakerzy zorientują się, że masz starszą wersję z lukami w zabezpieczeniach, natychmiast wykorzystają lukę.

Zaplanuj dzień w każdym miesiącu na wykonanie aktualizacji. Chociaż możesz nie mieć nowych aktualizacji dla wszystkiego, wykonuj aktualizacje tego, co jest dostępne. Obejmuje to podstawową instalację WordPress. To prosty sposób na zabezpieczenie WordPressa, ale bardzo skuteczny.

Przed wykonaniem jakichkolwiek znaczących aktualizacji, na wszelki wypadek wykonaj pełną kopię zapasową swojej witryny.

9. Wykonuj regularne skany bezpieczeństwa

Każda instalacja WordPressa wymaga wtyczki zabezpieczającej. Świetne opcje to All-In-One Security (AIOS) i Sucuri Security, o których już wspominaliśmy. Możesz także spróbować wykonać następujące czynności:

• Bezpieczeństwo Wordfence’a
• Bezpieczeństwo iThemes
• Ochrona Jetpacka
• SecuPress za darmo

10. Utwórz kopię zapasową swojej witryny WordPress

Niezależnie od tego, jak bezpieczna jest Twoja witryna, nadal chcesz przygotować się na najgorsze. Zainstaluj wtyczkę do tworzenia kopii zapasowych WordPress i zaplanuj codzienne tworzenie kopii zapasowej bazy danych.

Masz wiele do wyboru, ale niektóre z najlepszych opcji obejmują:

• Kopia zapasowa Jetpack VaultPress
• Aktualizacja Plus
• Kopia zapasowa
• BlogVault
• Migracja WP typu „wszystko w jednym”.

11. Zdefiniuj uprawnienia użytkownika

Jeśli Twój blog ma więcej niż jednego autora, możesz zainstalować wtyczkę User Role Editor , aby zdefiniować możliwości dla każdej grupy użytkowników. Dzięki temu Ty, właściciel bloga, będziesz mógł kontrolować, co użytkownicy mogą, a czego nie mogą robić na blogu.

12. Przejdź na SSL

Jeśli nie masz certyfikatu SSL, teraz jest czas, aby go zdobyć. Secure Sockets Layer (SSL) to protokół szyfrujący dane przesyłane między użytkownikami a witrynami internetowymi. Wiele hostów internetowych oferuje bezpłatne lub tanie certyfikaty SSL, które są niezwykle łatwe w instalacji. Są one szczególnie ważne, jeśli użytkownicy logują się do Twojej witryny lub dokonują zakupów. Ponadto Google preferuje witryny z certyfikatami SSL.

• Wygodny sklep SSL
• Globalny znak
• Certyfikat Digi
• Sklep SSL

13. Wyłącz edycję plików

Możesz edytować wtyczkę i kod motywu bezpośrednio w obszarze administracyjnym swojej witryny. Wyobraź sobie, że ktoś inny zaczął majstrować przy kodzie bez Twojej zgody. Aby uniknąć przykrych niespodzianek, wyłącz edycję plików.

Chociaż możesz używać wtyczki takiej jak Sucuri, możesz także dodać kilka linii kodu do pliku „wp-config.php”.

• Znajdź plik „wp-config.php” w folderze głównym swojej witryny. Możesz użyć dowolnego klienta FTP, z którego chcesz uzyskać dostęp do swoich plików.
• Pobierz plik i otwórz go w swoim ulubionym edytorze tekstu, takim jak Notatnik.
• Dodaj następujące elementy do kodu:

// Disable file editdefine('DISALLOW_FILE_EDIT', true);

• Zastąp istniejący plik „wp-config.php” nową wersją, aby uniemożliwić edycję pliku.

Również pomocne: jeśli dodajesz dużo multimediów do swojej witryny, rozważ te wskazówki dotyczące optymalizacji obrazu WordPress .

14. Użyj uwierzytelniania dwuskładnikowego

Nawet jeśli hakerzy uzyskają dostęp do danych logowania użytkownika, uwierzytelnianie dwuskładnikowe (2FA) oznacza, że ​​haker nadal potrzebuje dostępu do innego hasła. W takim przypadku kod zwykle wysyłany jest na telefon użytkownika. Możesz skorzystać z wtyczek zabezpieczających, takich jak te wspomniane wcześniej w tym poście, lub dedykowanej wtyczki 2FA, takiej jak miniOrange Google Authenticator lub WP 2FA .

Źródło obrazu: Unsplash . Zrzuty ekranu autorstwa Crystal Crowder.