Jednostavan sigurnosni popis za WordPress web stranice

Jednostavan sigurnosni popis za WordPress web stranice

Jeste li znali da se dnevno hakira preko 100 000 web lokacija? Točno, cyber-kriminal predstavlja ozbiljnu prijetnju za svaku tvrtku, a bilo tko sa WordPress web mjesta nije ni siguran. Imao sam nalet na hakere (i morao sam oporaviti svoju WordPress stranicu), a vjerojatno znate da je to bilo ružno.


Hakeri aktivno traže ranjive web stranice za probijanje i krađu podataka koje mogu objaviti radi novčane dobiti ili čiste zlonamjerne namjere. Da biste zaštitili sebe i svoje dragocjeno mjesto, trebali biste ozbiljno razmisliti o jačanju svoje WordPress sigurnosti.

S obzirom na to da ćete izgubiti prihod, vrijeme i trud kada hakeri provale na vašu web stranicu, napravili smo sljedeći sigurnosni popis koji možete koristiti za osiguranje svoje web lokacije WordPress. Sve sigurnosne stavke u postu relativno su jednostavne za implementaciju, čak i za početnike:

Kao što vidite, mi ćemo razbiti post u više dijelova koji pokrivaju sve, od odabira sigurnog domaćina do očvršćivanja vašeg administrativnog područja i ostalih. Trebat ćete ponoviti neke sigurnosne zadatke, poput redovitog ažuriranja tema. Ostali su zadaci jednokratna stvar, ali još uvijek imaju značajan utjecaj na održavanje vaše web lokacije. Provjerite što trebate popraviti i učinite to odmah jer hakeri također ne gube vrijeme.

Jednostavan sigurnosni popis za WordPress

1. Ažurirajte WordPress

WordPress jezgra redovito se revidira i provjerava radi sigurnosnih ranjivosti. Ako se otkriju nedostaci u sigurnosti i pogreške, programeri jezgra obično objavljuju ažuriranja za održavanje. Manja ažuriranja automatski se instaliraju na vašu WordPress web stranicu.

Međutim, morat ćete ručno ažurirati WordPress za sva veća izdanja. To je relativno brz proces naprijed otkad primite jezivu poruku u svom WordPress administratoru. Samo 22% web stranica pokreće najnoviju verziju WordPressa, što je žalosno s obzirom na to koliko je lako ažurirati.

Ne budite među preostalih 78% jer ste u suštini izložili svoju web lokaciju svim vrstama napada ne ažuriranjem web mjesta. Obično su hakeri prva grupa ljudi koja je saznala o svim ranjivostima u starim verzijama, jer računaju na nedostatke za pokretanje uspješnih napada.

Prije ažuriranja WordPressa, preporučujemo da pročitate bilješke o izdanju da biste vidjeli što se promijenilo i napravili sigurnosnu kopiju vaše web stranice (samo da biste bili sigurni). Tako ćete sada što očekivati ​​kada kliknete gumb za ažuriranje, a imate nesigurnu sigurnost ako nešto pođe po zlu.

2. Ažurirajte teme i dodatke

Dok ažurirate jezgru WordPressa, ne zaboravite ažurirati i svoje teme i dodatke. Hakeri posebno vole stare teme i dodatke s poznatim sigurnosnim rupama.

Oni iskorištavaju ove sigurnosne ranjivosti i mogu čak sakriti pozadinu u staroj temi ili dodatku. Ako ne ažurirate, oni mogu hakirati vaše web mjesto kad god im to poželi.

Da biste izbjegli gubitak svojih prilagođenih stilova, preporučujemo korištenje nadređene teme WordPress-a za razliku od roditeljske teme. Na taj način nećete izgubiti prilagodbe prilikom ažuriranja teme.

Yo bi također trebao ukloniti neaktivne teme, dodatke i neiskorištene WordPress instalacije. Ne samo da ćete uštedjeti propusnost i ubrzati svoju web stranicu, već ćete i hakere držati u blizini.

Još jedna kratka napomena, nikad ne preuzimajte „poništene“ premium teme i dodatke. Idite samo s pouzdanim izvorima poput WordPress.org, Envato ili druge ugledne prodavaonice tema.

3. Koristite jedinstvene i jake lozinke

Iznenadit ćete se kada saznate da je većina web lokacija hakirana kada negativci ukradu vaše podatke za prijavu. Uz to su napadi grube snage prilično česti i uključuju bombardiranje vaše stranice za prijavu s tisućama kombinacija korisničkog imena i zaporke dok nešto ne dobije.

Ako koristite slaba korisnička imena i lozinke (poput zloglasnog “administratora” ili “12345”), hakeri vam čine nevjerojatno jednostavnim probojom na vaše web mjesto. Uvijte u naviku stvaranja jedinstvenih i jakih lozinki koje redovno mijenjate. Možete čak koristiti i besplatni mrežni generator, poput ovog iz LastPass.

Upravljanje mnogim jakim lozinkama može predstavljati problem. Za pomoć se između ostalog oslanjam na upravitelje lozinki kao što su 1Password ili LastPass. Nemojte ponovo koristiti istu lozinku na više web mjesta i uvijek čuvajte podatke za prijavu na sigurno. Osigurajte da i vaši WordPress korisnici koriste jake lozinke.

Dok ste kod njega – ne zaboravite koristiti i snažne lozinke za svoju e-poštu, cPanel, MySQL baze podataka i FTP račune..

4. Instalirajte WordPress sigurnosni dodatak

Kad god kreiram novu web stranicu WordPressa, obično imam nekoliko defacto dodataka koje instaliram gotovo automatski. Dobijam dodatak protiv neželjene pošte, obrazac za kontakt 7, kratke kodove simbola i sigurnost iThemes, moj sigurnosni dodatak za WordPress.

Dodatak mi omogućuje da ojačam svoje WordPress obrambene uređaje bez probijanja znoja. Dolazi s toliko mnogo značajki da čine uklanjanje loših momaka s mojih web stranica. Konfiguriranje dodatka super je jednostavno; trebali biste biti spremni i trčati u bilo kojem trenutku.

Najbolji WordPress sigurnosni dodaci nude vam različite značajke, stoga prije instalacije provjerite dobivate li sve potrebne funkcije za osiguranje cijele svoje web stranice, bez obzira koliko jedinstvene. Standardne značajke uključuju skeniranje zlonamjernog softvera, blokiranje IP-a, sprečavanje brutalne sile, dvofaktorska provjera autentičnosti i još mnogo toga – provjeravanje mnogih okvira za ovaj sigurnosni popis koji trenutno čitate.!

5. Odaberite Veliki WordPress hosting

Početnici proljeću za prvi jeftini hosting paket na koji naiđu. Ne bih to držao protiv vas jer ne znate ništa bolje, ali upitno jeftin (ili čak besplatan) zajednički hosting može vas izložiti sigurnosnim rizicima. Znam to zbog činjenice da su me provalile dvije različite hosting tvrtke koje nude zajednički hosting.

Dijeljeni hosting uključuje dijeljenje poslužitelja s tisućama drugih web stranica. To povećava rizik od onečišćenja na drugim mjestima. Odnosno, haker može dobiti pristup vašoj web stranici čak i ako je tuđa web lokacija bila izvorna točka napada.

S druge strane, upravljani WordPress hosting usredotočen je samo na WordPress web stranice. Ne dijelite poslužitelj s drugima i dobit ćete više sigurnosnih opcija da biste ostali sigurni. Oni također nude namjensku podršku, a u slučaju najgorega moglo bi se pronaći više opcija za oporavak.

Ako morate koristiti zajednički hosting, recite da započinjete s blogom koji još ne donosi novac, pobrinite se da web lokacije budu izolirane ili „zatvorene“. Ako imate web mjesto za poslovanje ili e-trgovinu, isplati se koristiti najbolji WordPress hosting koji možete ugraditi u proračun od riječi – poput VPS-a, namjenskog ili upravljanog WordPress hostinga.

6. Koristite SSL (HTTPS)

Danas mnoge WordPress hosting tvrtke nude besplatne SSL certifikate od riječi go i to s dobrim razlogom. SSL certifikati čine vašu web stranicu sigurnijom od web lokacija bez SSL-a. Google također preporučuje korištenje SSL certifikata za zaštitu podataka na vašoj web lokaciji (i osigurajte da korisnici znaju da li koristite SSL ili ne).

HTTPS je sigurniji od prethodnog HTTP-a. Web-lokacija koja koristi HTTPS kriptira sve podatke koji se kreću između korisnikovog preglednika i vaših poslužitelja. Ako haker presreće komunikaciju, pronaći će samo šifrirane podatke koji su jednako korisni kao i čovjek s jednom nogom u konkurenciji udaraca štakama ��

Instalacija SSL certifikata na većini mrežnih hostova je jednostavna kao A, B, C. Većina nudi programere za instalaciju jednim klikom što cijeli proces čini lakšim. Jednostavno se prijavite na svoj cPanel i kliknite jedan gumb za instaliranje i upravljanje vašim SSL certifikatima. Ako želite praktičniji pristup, razmislite o provjeri Let’s Encrypt.

7. Stvorite cijelu sigurnosnu kopiju web mjesta

Kada su me hakeri odbacili, morao sam obnoviti svoje web stranice ispočetka, glavobolje koju bih izbjegao da sam se pouzdano sjetio sigurnosne kopije WordPressa.

Ali ne, sigurnosne kopije koje su bile s mojim web domaćinom oštećene su tijekom napada, i ne, nisam imao sekundarno sigurnosno rješenje. Klasičan slučaj stavljanja svih vaših jaja u jednu košaru koji me naučio teškoj lekciji.

Danas stvaram cjelovite sigurnosne kopije web stranica koje uključuju datoteke i baze podataka mojih web stranica. Ja uglavnom koristim ManageWP, ali ja također koristim Dodatak za umnožavanje pohraniti sigurnosne kopije na računalo i u Google pogon.

Pozivam vas da redovito stvarate sigurnosne kopije. Mnoga rješenja za izradu sigurnosnih kopija WordPressa omogućuju vam automatizaciju cijelog postupka, štedeći vam vrijeme i pružajući vam duševni mir.

8. Koristite vatrozid web aplikacije (WAF)

Da biste dodali dodatni sloj sigurnosti na svoju WordPress stranicu i spavali bolje noću, omogućite vatrozid web aplikacije (WAF). WAF štiti vašu web lokaciju blokirajući zlonamjerni promet mnogo prije nego što dođe na vašu web lokaciju. Proaktivna je mjera zaustaviti negativce na tragu prije nego što nanesu štetu.

Vatrozid filtrira vaš dolazni promet, eliminirajući hakere, a pritom pušta legitimne korisnike. Mnoge WordPress tvrtke za sigurnost nude zaštitne zidove web aplikacija zajedno s drugim značajkama. Popularne opcije u industriji uključuju Sucuri i CloudFlare.

9. Onemogućite uređivanje datoteka u programu WordPress Admin

WordPress CMS dolazi s fantastičnim uređivačem koda koji vam omogućuje uređivanje dodataka i datoteka tema unutar vaše nadzorne ploče WordPress administratora. Uređivač koda je odličan alat koji vam je na raspolaganju, ali u pogrešnim rukama, hakeri ga mogu koristiti za uklanjanje teksta ili dodavanje zlonamjernog softvera na vašoj web lokaciji.

Uvijek možete urediti svoju temu i datoteke dodataka (ako je to potrebno) putem FTP-a ili upravitelja datoteka u cPanelu, što znači da možete potpuno onemogućiti uređivač koda u WordPressu. Ne želite da hakeri koji dobiju pristup vašem administracijskom području WordPressa imaju pristup uređivaču koda jer mogu stvoriti veliku štetu s nekoliko redaka koda.

Što učiniti? Ugrađeni uređivač koda možete onemogućiti besplatnim Sigurnost Sucuri uključiti. Alternativno, možete dodati sljedeći kôd u svoj wp-config.php datoteka:

// Onemogući uređivanje datoteke
define ('DISALLOW_FILE_EDIT', istina);

Krećemo dalje.

10. Osigurajte svoju stranicu za prijavu

Obično obrazac za prijavu na vašem WordPressu ima dva polja; korisničko ime i lozinku. Kako su napadači grubih sila i botovi iz dana u dan sve pametniji, kako zaustaviti hakere u pristupu vašem administratoru za WordPress? Jednostavno je; dodate CAPTCHA ili sigurnosna pitanja koja svima otežavaju neovlašteni pristup.

I ne morate uređivati ​​kod dodajte CAPTCHA ili sigurnosna pitanja na svoju stranicu za prijavu. Postoji popularni WordPress dodatak poznat kao Sigurnosno pitanje WP-a lako je konfigurirati i koristiti. Ako želite koristiti CAPTCHA, možete je koristiti Jednostavno prijavljivanje, WordFence, ili jednu od mnogih drugih opcija koje su na WordPress.org besplatno dostupne.

U isto vrijeme možete promijenite svoj wp-login URL na nešto jedinstveno. Na taj način, roboti i hakeri će im teško pokušati pogoditi URL vaše stranice za prijavu. wp-prijava je već popularna među hakerima, tako da ima smisla promijeniti URL u nešto drugo. Možete koristiti dodatak poput WPS Sakrij prijavu.

11. Dodajte provjeru autentičnosti

Uz to, razmislite o implementaciji dvofaktorne i multifaktorske provjere identiteta. U slučaju da haker dobije pristup vašim podacima za prijavu, neće se moći prijaviti na WordPress web mjesto. Na raspolaganju je mnogo opcija, ali Google Autentifikator popularan je izbor.

Osim toga, ograničite prijavu na svojoj stranici za prijavu. Ako se posjetitelj pokušava prijaviti s računom koji ne postoji ili se pokušava prijaviti više puta, najvjerojatnije je haker ili bot koji pokušava na silu ući. Možete koristiti dodatak poput Ograničite pokušaje prijave ili Zaključavanje prijave kako bi te nametljive elemente držao podalje.

12. Odjava neaktivni korisnici

Kada imate web stranicu za više korisnika WordPress, ne možete u potpunosti kontrolirati kako ili gdje korisnici pristupaju vašoj web lokaciji. Autor se može odlučiti za korištenje besplatnog javnog Wi-Fi-ja za završno dotikanje članka. Web dizajner može napustiti njihov stol i vratiti se s jednosatne pauze za ručak.

U takvim bi slučajevima vaš korisnik nesvjesno mogao izložiti vašu web lokaciju sigurnosnim rizicima. Zlonamjerna osoba može preuzeti njihovu sesiju, urediti svoje detalje i jednostavno uništiti pustoš. Ako neovlaštena stranka zna što radi, može lako preuzeti korisnički račun i napraviti štetu.

Što učiniti? Možete unaprijed odjaviti neaktivne korisnike nakon unaprijed određenog razdoblja. I najbolji dio? Postoje dodaci za točnu svrhu. Jedna popularna opcija je Neaktivan odlazak dodatak koji uključuje opcije za prilagođavanje praznog vremena prije odjave, prilagođenu skočnu poruku ili preusmjeravanje nakon odjave i istek vremena u skladu s ulogom korisnika.

13. Skeniranje zlonamjernog softvera i problema (redovno)

Često zaboravljeno skeniranje vaše web stranice WordPress može vam pomoći u ranijem prepoznavanju sigurnosnih problema. Potrebna vam je samo sekunda da haker provali na vaše web mjesto i napravi sve gadne stvari. Upravo to je razlog zašto u svakom trenutku trebate ostati na vrhu.

Mnogo WordPress sigurnosnih dodataka za skeniranje na zlonamjerne programe, poznate sigurnosne ranjivosti, zastarjele skripte, napade grube sile, nepostojeće sigurnosne kopije i tako dalje. Dodaci vam šalju detaljna izvješća o poznatim problemima pa ih možete riješiti ili zaposliti stručnjaka.

Postoji mnogo skenera za web stranice, kao što su Sucuri SiteCheck, pomoću kojeg možete trenutačno provjeriti svoju web lokaciju. Sve što trebate učiniti je unijeti URL, a alati će automatski provjeriti vašu web stranicu. Nakon toga nude vam izvještaj o tome što trebate popraviti. Nakon što dobijete izvještaj, odmah popravite sve sigurnosne ranjivosti.

14. Koristite VPN

Ako imate web mjesto s osjetljivim informacijama koje nikad ne smiju doći u ruke hakera, razmislite o upotrebi virtualne privatne mreže (VPN), štoviše kada koristite besplatni javni Wi-Fi. VPN vas štiti od napada čovjeka koji se nalaze u javnim mrežama, uključujući kod kuće i na poslu.

Virtualna privatna mreža osigurava da čak i ako napadači dobiju pristup sustavu i ukradu vaše podatke, ne mogu ništa učiniti s podacima koje uzmu od vas. Ako imate internetsku mrežu koju dijelite s mnogim ljudima, uvijek koristite VPN prije nego što pristupite svom administrativnom području WordPressa.

Ostale mogućnosti sigurnosti WordPress-a

Trebate više učiniti? Rado bismo čuvali vašu web lokaciju u svakom trenutku, pa evo i bonus sigurnosnih stavki koje možete dodati na svoj popis:

  • Onemogući izvršavanje PHP datoteka u / wp-content / wp-uploads /
  • Promijenite svoj prefiks baze podataka WordPress
  • Lozinkom zaštitite svoje administratore i stranice za prijavu na strani poslužitelja
  • Onemogući indeksiranje direktorija
  • Onemogućite WP REST API i XML-RPC ako nisu potrebni
  • Nemojte uređivati ​​/ mijenjati jezgru WordPressa – napišite ili koristite dodatak koji umjesto toga nudi funkcionalnost
  • Osigurajte da vaša web lokacija koristi najnoviju verziju PHP-a
  • Upotrijebite antivirusni program na računalu
  • Omogući Google Search Console
  • Smanjite ranjivosti XSS i SQL ubrizgavanja (možda će vam trebati osoba s više znanja o tehničkoj tehnici koja bi im mogla pomoći s ove dvije)

Zaista, broj koraka koje možete poduzeti da zaštitite svoju web stranicu je beskrajan. Ali ako možete provjeriti 14 stavki koje smo nabrojali, to je veliki korak da osigurate svoju web lokaciju.


Osiguravanje vaše WordPress web stranice je izazovno, ali ne i nemoguće. Pomoću pravih alata i vještina brzo možete pojačati svoju WordPress sigurnost i loše glumce držati podalje.

Kao rezime, uvijek ažurirajte svoje web mjesto. Povrh svega, nikad ne preuzimajte teme ili dodatke s nepouzdanih web mjesta. A da biste bili sigurni ako se najgore dogodi, uvijek imate pouzdano rješenje sigurnosnih kopija.

Nadamo se da ste pronašli sve savjete koji su vam potrebni da osigurate svoju web stranicu WordPress, a time i internetsko poslovanje. Ako imate pitanje ili vam je potrebna pomoć u pronalaženju kako osigurati svoju web stranicu WordPress, javite nam u komentarima. Ostati siguran!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map