W rzeczywistości z tej platformy wydawniczej korzysta obecnie ponad 27,5% z 10 milionów najpopularniejszych witryn. Inne platformy, takie jak Joomla i Drupal, po prostu bledną w porównaniu. To, co sprawia, że WordPress jest tak szeroko wspierany, to jego łatwość obsługi, umożliwiająca zbudowanie w pełni funkcjonalnej witryny w krótkim czasie.

Ale fakt, że WordPress jest tak rozpowszechniony, czyni go również celem hakerów.

Wszelkie luki w zabezpieczeniach mogą narazić Twoją witrynę na złośliwe ataki, a nawet narazić na szwank dane użytkowników. Ten rodzaj ataku może być absolutnie katastrofalny dla każdej firmy.

Zaatakowana witryna nie tylko zmniejsza zaufanie użytkowników, ale może również spowodować umieszczenie Twoich stron na czarnej liście w Google. W rzeczywistości jednym z kroków, które Google już podejmuje w kierunku bezpieczniejszej sieci, jest wyświetlanie ostrzeżenia użytkownikom Chrome, jeśli próbują odwiedzić potencjalnie niebezpieczną lub zwodniczą witrynę (np. wyłudzającą informacje lub złośliwe oprogramowanie).

Każda osoba odwiedzająca Twoją witrynę (jeśli została zaatakowana) może spotkać się z następującymi komunikatami:

Znaczenie bezpieczeństwa strony internetowej jest nie do przecenienia.

Wystarczy jeden atak, aby całkowicie zatrzymać sprzedaż i potencjalnie umieścić Twoją witrynę na czarnej liście w Google. Usunięcie witryny jest z pewnością możliwe, ale trzeba będzie poprosić o ręczną weryfikację, której rozwiązanie może zająć kilka dni lub nawet tygodni, w zależności od problemu. Znacznie lepszym rozwiązaniem jest podjęcie działań w celu ochrony witryny.

Tutaj szczegółowo przyjrzymy się, w jaki sposób możesz chronić i zapewniać bezpieczeństwo swojej witryny WordPress.

Aktualizuj WordPress

Aktualizacje WordPressa są krytyczne.

Ocena ponad 11 000 zainfekowanych witryn wykazała, że 75% z nich korzystało z WordPressa. Bardziej zaskakujący jest jednak fakt, że ponad 50% tych witryn było nieaktualnych. Aktualizacja do najnowszej wersji nie tylko zapewnia dostęp do nowszych funkcji, ale także usuwa znane luki w zabezpieczeniach, które atakujący mogą wykorzystać.

W rzeczywistości te luki w zabezpieczeniach stają się znane, gdy dostępne są nowe aktualizacje. Oto przykład dziennika bezpieczeństwa dla zaktualizowanej wersji WordPress:

Informacje te są publicznie dostępne w miarę wydawania nowych aktualizacji. Ale jeśli nie zaktualizujesz natychmiast, narazisz swoją witrynę na ataki. Zawsze aktualizuj do najnowszej wersji, aby zabezpieczyć swoją witrynę przed nowo odkrytymi lukami w zabezpieczeniach. Jeśli dostępne są jakieś aktualizacje, u góry pulpitu nawigacyjnego zobaczysz powiadomienie:

Nowsze wersje WordPressa umożliwiają łatwą aktualizację jednym kliknięciem. Pamiętaj, że Twoja witryna zostanie przełączona w tryb konserwacji na krótki okres, aż do zakończenia aktualizacji. Aktualizacja zajmuje tylko kilka minut, ale po jej zakończeniu nie musisz robić nic więcej.

Nie masz ochoty za każdym razem ręcznie aktualizować witryny?

Powiadomienia mogą być dość irytujące. Ale aktualizacja WordPressa to jeden z najprostszych sposobów na zapewnienie bezpieczeństwa witryny. Jeśli nie chcesz się martwić, czy Twoja witryna ma najnowszą wersję, możesz skonfigurować automatyczne aktualizacje za pomocą kilku prostych poprawek.

Otwórz plik wp-config.php i dodaj do niego następujący wiersz:

define('WP_AUTO_UPDATE_CORE', true);

Możesz także włączyć automatyczne aktualizacje wtyczek, dodając następujący wiersz do tego samego pliku:

add_filter( 'auto_update_plugin', '__return_true' );

I dodaj tę linię, aby włączyć aktualizacje motywów:

add_filter( 'auto_update_theme', '__return_true' );

Dodanie tych wierszy zapewni aktualność witryny bez konieczności wykonywania innych czynności. Jeśli jesteś osobą, której po prostu nie przeszkadzają aktualizacje lub powiadomienia, na pewno będziesz chciał skonfigurować automatyczne aktualizacje, aby Twoja witryna była zawsze aktualna.

Chroń obszar administratora

Bez względu na to, jak bezpieczne jest coś, każdy może łatwo uzyskać dostęp, jeśli ma odpowiednie narzędzia lub właściciele są niedbali. W przypadku WordPress obszar administracyjny jest głównym celem hakerów.

Wykonaj następujące kroki, aby zapewnić bezpieczeństwo tej stronie:

Użyj silnego hasła

Jeśli używasz słabego hasła (np. „12345", „hasło” itp.), narażasz swoją witrynę na większe ryzyko, ponieważ osoby atakujące mogą użyć zautomatyzowanych skryptów, aby włamać się do środka. Oznacza to wielokrotne próby podania hasła, aż w końcu zadziała Ale użycie silnego hasła zawierającego kombinację cyfr i symboli prawie uniemożliwia złamanie nawet najbardziej wyrafinowanych programów.

Użyj narzędzia takiego jak generator silnych haseł, aby utworzyć silne i bezpieczne hasło do swojej witryny WordPress:

Brutalne wymuszenie takiego hasła zajęłoby programowi komputerowemu lata, a nawet dekady. Minusem jest jednak to, że silne hasło jest trudne do zapamiętania. Ale kompromis jest zdecydowanie tego wart, jeśli oznacza uniemożliwienie atakującym uzyskania dostępu do Twojej witryny. Na szczęście dostępnych jest wiele menedżerów haseł, których można użyć do przechowywania hasła.

Zmień swoją nazwę użytkownika

Podczas pierwszej instalacji WordPress zostaniesz poproszony o podanie nazwy użytkownika.

Osoby atakujące nie będą mogły uzyskać dostępu do pulpitu nawigacyjnego, jeśli nie będą znały zarówno nazwy użytkownika, jak i hasła. Możesz łatwo zablokować próby brutalnej siły, po prostu używając bardziej unikalnej nazwy użytkownika. Dlatego nie używaj „admin” podczas wybierania nazwy użytkownika.

Ogranicz próby logowania

Jak wspomniano wcześniej, osoby atakujące mogą używać programów do brutalnego włamania się do Twojej witryny. Dostępne są jednak wtyczki, takie jak Login LockDown, które pozwalają ograniczyć próby logowania z określonego adresu IP. Jeśli więcej niż kilka prób zakończy się niepowodzeniem, użytkownik zostanie zablokowany.

Zmień nazwę swojej strony logowania

Wreszcie, innym sposobem ochrony obszaru administracyjnego jest całkowite przeniesienie strony logowania. Pulpit nawigacyjny jest zazwyczaj dostępny z poziomu www.yoursite.com/wp-admin. Jednym z rażących problemów jest jednak to, że hakerzy wiedzą, że samo dodanie „ /wp-admin” do witryny WordPress da im dostęp do strony administratora.

Protect WP-Admin rozwiązuje ten problem, umożliwiając webmasterom dostosowanie adresu URL panelu administracyjnego:

Ochrona obszaru administracyjnego poprzez wykonanie tych kroków może znacznie ograniczyć i zablokować automatyczne ataki na Twoją witrynę.

Włącz uwierzytelnianie dwuskładnikowe

Uwierzytelnianie dwuskładnikowe zapewnia dodatkową warstwę bezpieczeństwa, jeszcze bardziej utrudniając atakującym uzyskanie dostępu do Twojego konta. Logowanie wymaga nie tylko nazwy użytkownika i hasła, ale także dodatkowego kodu autoryzacyjnego, który zazwyczaj wysyłany jest SMS-em na urządzenie mobilne.

Nawet jeśli atakujący w jakiś sposób odgadnie Twoją nazwę użytkownika i hasło, nie będzie mógł zalogować się na Twoje konto bez kodu autoryzacyjnego. Pobierz i zainstaluj wtyczkę Google Authenticator, aby łatwo skonfigurować uwierzytelnianie dwuskładnikowe w swojej witrynie:

Oprócz możliwości korzystania z aplikacji Google Authenticator do weryfikacji, wtyczka oferuje również dodatkowe opcje uwierzytelniania dwuskładnikowego, takie jak weryfikacja poczty e-mail i połączenia telefonicznego. Uwierzytelniania dwuskładnikowego można również użyć, jeśli Twoja witryna ma wielu użytkowników.

Użyj .htaccess, aby ograniczyć dostęp do ważnych plików

Możesz dodatkowo wzmocnić bezpieczeństwo swojej witryny WordPress za pomocą pliku .htaccess. Ten plik jest najczęściej używany w WordPress do optymalizacji stron internetowych, takich jak przepisywanie adresów URL, aby były bardziej przyjazne dla użytkownika i wyszukiwarek. Ale można go również wykorzystać do poprawy bezpieczeństwa witryny.

Plik .htaccess zwykle znajduje się w folderze głównym i można uzyskać do niego dostęp za pośrednictwem klienta FTP lub cPanel. Dostępnych jest również kilka wtyczek, w tym SEO firmy Yoast, która umożliwia bezpośredni dostęp z pulpitu nawigacyjnego.

Oto kilka sposobów ochrony witryny za pomocą pliku .htaccess:

Ukryj wp-config.php

Plik wp-config.php jest standardowym elementem każdej instalacji, ale zawiera również poufne informacje, takie jak klucze bezpieczeństwa i szczegóły połączenia bazy danych z Twoją witryną. Są to szczegóły, których z pewnością nie chcesz w niepowołanych rękach. Najlepszym rozwiązaniem jest całkowite ukrycie tego pliku i uczynienie go niedostępnym.

Ukryj plik wp-config.php, dodając następujący kod do pliku .htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>

Zapobiegaj przeglądaniu katalogów

Ze względu na to, jak WordPress implementuje swoją strukturę plików, odwiedzający mogą uzyskać dostęp do folderów i plików Twojej witryny, po prostu przechodząc do yoursite.com/wp-content/uploads. Dlatego warto uniemożliwić przeglądanie katalogów, ponieważ osoby atakujące mogą wykorzystać te informacje do niecnych celów.

Dodaj następujący wiersz do pliku .htaccess:

Options All -Indexes

Pliki PHP są niezwykle ważne do ochrony, ponieważ hakerzy mogą ich używać do wstrzykiwania złośliwego kodu w celu zainfekowania witryny. Dodaj następujący kod do pliku .htaccess, aby uniemożliwić dostęp do wtyczki i plików PHP motywu:

RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*.php)$ - [R=404,L]

Samo dodanie tych zmian do pliku .htaccess poprawi bezpieczeństwo Twojej witryny WordPress i jeszcze bardziej utrudni atakującym uzyskanie dostępu do Twojej witryny. Niezależnie od tego, nie ma czegoś takiego jak całkowicie bezpieczna witryna, ponieważ stale odkrywane i wykorzystywane są nowe luki w zabezpieczeniach.

Dlatego musisz mieć plan awaryjny na wypadek, gdyby sprawy przybrały zły obrót.

Regularnie twórz kopie zapasowe swojej witryny Regularnie twórz kopie zapasowe

Bez względu na to, ile środków bezpieczeństwa zastosujesz, Twoja witryna nadal może być narażona na ataki.

Mimo że WordPress istnieje już od ponad dekady, zespół programistów stale identyfikuje i rozwiązuje problemy związane z bezpieczeństwem. Nie wspominając o tym, że wszelkie nowe motywy lub wtyczki, które instalujesz, mogą również zawierać exploity, które nie zostały jeszcze naprawione.

Dlatego warto regularnie tworzyć kopie zapasowe witryny. W ten sposób możesz szybko przywrócić witrynę i zminimalizować wszelkie straty, jeśli witryna zostanie usunięta w wyniku ataku.

Będziesz chciał się upewnić, że kopia zapasowa Twojej witryny jest tworzona regularnie, a także zapisywana w chmurze. Jeśli Twój komputer zostanie przejęty, będziesz mieć dostęp do tej kopii zapasowej i przywracania z innego urządzenia. Zalecamy korzystanie ze zautomatyzowanego rozwiązania, takiego jak BackupBuddy.

Większość rozwiązań do tworzenia kopii zapasowych wymaga płatnej subskrypcji. Ale jeśli polegasz na swojej witrynie internetowej dla swojej firmy, warto zapłacić za spokój ducha. W przypadku, gdy Twoja witryna zostanie usunięta z powodu ataku, możesz współpracować z dostawcą usług hostingowych i łatwo przywrócić witrynę do poprzedniej wersji za pomocą kopii zapasowej.

Wniosek

Podczas gdy sam WordPress jest stosunkowo bezpieczny, dodawanie motywów, wtyczek i niestandardowego kodu zwiększa prawdopodobieństwo wystąpienia luki w zabezpieczeniach, którą hakerzy mogą (i robią) wykorzystać. Jeśli nie podejmiesz teraz pewnych środków bezpieczeństwa, Twoja witryna może stać się potencjalnym celem.

Należy pamiętać, że żaden system nie jest całkowicie bezpieczny. Istnieją jednak środki ostrożności, które znacznie zmniejszą ryzyko złośliwego ataku.

Postępuj zgodnie z instrukcjami opisanymi tutaj, aby zwiększyć bezpieczeństwo swojej witryny WordPress.

AffiAi