Jak zabezpečit blog WordPress, užitečné tipy pro každého uživatele

Je to vždycky zábava a hry, dokud se nemůžete přihlásit ke svému milovanému webu WordPress, protože padouchi převzali to. Veškerá zábava a hry, dokud se někdo nezachytí, neztrácí přístup k administračnímu panelu WordPress a uvolní se peklo.


Vaše nálady mají první zásah. Když zjistíte, že jste byli sesazeni, rychle se utlumí. Je to bolí a frustrující přinejmenším, protože, dobře, někteří chlapi venku si pohrávají s vaším živobytím, zasahují do vaší firmy a plivají do tváře.

A chlapče, vyrazíte do akce, zběsile se snažíte obnovit svůj web WordPress, tedy své podnikání, do své dřívější slávy. Věř mi, nechceš být hacknut, nikdo ne. Ale přesto se to stává všem a každý den.

Vždy však máme na srdci vaše nejlepší zájmy, a proto jsme sestavili několik opatření, která můžete použít k posílení zabezpečení WordPress a snížení šancí hostit nepozvané hosty..

Díky těmto doporučeným postupům zabezpečení WordPress vám chceme zajistit nejbezpečnější weby WordPress. Uděláme vše, co je v našich silách, abychom rozdělili body, ale pokud budete potřebovat pomoc s čímkoli, položte své otázky a / nebo sdílejte svůj názor v komentáři.

To mimochodem zpřísníme váš web WordPress.

Začněte s kvalitním hostingem WordPress

Výběr plánu hostingu

Určitě nemůžete očekávat prvotřídní zabezpečení od webového hostitele, který za měsíc účtuje dolar. Všichni jsme viděli ty hostitelské plány „máme-to-vše-za-penny“. Ty stinné plány společností, které stinnou hosting slibují nebe, za pouhé 2 až 4 dolary za měsíc. Oh, nejsou tak lákavé?

Jedná se hlavně o sdílené hostingové balíčky, které budou mít vaše webové stránky, tedy vaši firmu, žijící na stejném serveru s milionem a jedním dalším webem. Všechny stránky – dobré i špatné. Obvykle jsou méně bezpečné, na rozdíl od říkaného spravovaného WordPress hostingu, který stojí asi 30 $ měsíčně.

Pokud dojde k ohrožení některého z webů, existuje vyšší riziko, že dojde ke kompromitaci. Ve skutečnosti budete ohroženi, i když jste stejně ostražití jako další chlap. Jediným způsobem, jak zmírnit útoky související s webovým hostitelem, je jít s důvěryhodným hostitelem a zabezpečený hostingový plán od samého začátku.

Výběr nejlepšího hostování WordPress pro vaši firmu nemusí být výzvou, vzhledem k tomu, že je třeba hledat jen několik faktorů. Zahrnují náklady, kvalitu podpory, zásady zálohování a správy dat, aktualizace serveru a softwaru na něm a vše ostatní mezi.

Podívejte se na článek propojený v předchozím odstavci a snažte se vybrat laskavého hostitele WordPress založeného mimo jiné na bezpečnostních prvcích. Pokud byste chtěli přeskočit výzkum a jít přímo na hostování vašeho blogu WordPress na zabezpečených serverech, používáme, milujeme a doporučujeme WPEngine. Poskytují prvotřídní hosting WordPress plný bezpečnostních možností, které vám vyrazí mysl. Vše za skvělou cenu. Media Temple a Siteground jsou další skvělé možnosti hostování WordPress.

Bluehost sdílený hosting je skvělou volbou také pro začátečníky testování vod, ale pokud potřebujete zabezpečený hosting pro váš web WordPress, budete muset upgradovat ze sdíleného hosting balíčku na jeden z dalších balíčků.

Proč je váš hostitel tak důležitý? Trikrát jsem byl hacknut (ano, třikrát) na jejich společném balíčku. No, částečně to byla moje chyba, protože jsem zanedbával stránky obětí, což hackerům umožnilo hrát pole podle jejich přání. Od té doby jsem tyto stránky stáhl, protože to byla potenciální rizika pro jiné weby na tomto konkrétním serveru (držte se, když zmíním jednu nebo dvě věci, jak zanedbání vašich stránek může vést k ošklivým útokům s spodinou internetu nebo hackerů.) soustředěný; věnujte pozornost nebo budete platit se svým webem).

Zpět na výběr vysoce kvalitního hostování WordPress, jak se vám daří? Mělo by stačit jednoduché telefonní volání na váš web hostitele volby. Měli byste se snažit zjistit, zda používají nejnovější servery. Zeptejte se na jejich verzi serveru, zabezpečení uvedených serverů a software, který na těchto serverech běží.

Poté proveďte rychlé vyhledávání Google a zkontrolujte (nebo potvrďte) data vydání serverového softwaru. To by vám mělo poskytnout vodítko, zda používají nejnovější software. Pomůže vám také určit, jak často aktualizují své servery. Pokud budou trvat delší dobu bez aktualizací, neměli byste jim věřit ve své online podnikání.

Buďte ostražití a zeptejte se na další související otázky a nikdy nepřestávejte, dokud nebudete spokojeni s tím, že vaše nejbezpečnější peníze hostitele na webu si mohou koupit.

Udělejte Hayovi, když svítí slunce, a buďte připraveni

Záložní počítačový klíč v modré barvě pro archivaci a ukládání

Záložní počítačový klíč v modré barvě pro archivaci a ukládání

I když to nemusí zabránit zločincům v proniknutí do vašeho blogu nebo internetového obchodu WordPress, připravenost může snížit dopad útoku. Mluvím zde o zálohování dat, příteli; pravidelné zálohy, které vás ochrání před ztrátou důležitých dat.

Záloha vám dává klid, takže můžete lépe spát v noci. Záloha je rychlá oprava, kterou chcete, když se věci dostanou na jih. Když váš úžasný web s recepty začne prodávat Viagra na všech stránkách, můžete se spolehnout pouze na zálohu, která se z takového útoku zotaví.

Měli byste se zaměřit na zálohování celé instalace WordPress; základní soubory, databáze a vše ostatní. Odborníci dále doporučují šifrovat vaše zálohy a ukládat jejich kopie na médium jen pro čtení.

Můžete snadno naplánovat denní zálohování nebo využít nástrojů, jako jsou MySQL Workbench, Zálohování databáze WordPress (záloha WP-DB) a BackWPup mimo jiné. Můžete se také dozvědět více:

Doplňky WordPress

Jen druhý den, Ryan Dewhurst objevil (a nahlásil) WPScan zranitelnost slepého SQL injekce ve WordPress SEO od Yoast. Nyní je WordPress SEO od Yoast populární SEO plugin, který má přes milion aktivních instalací. To znamená, že pokud by hacker využil této bezpečnostní díry, měl by na své milosti více než milion webů WordPress. Milion plus webové stránky!

Ach ne, nebuďte vystrašení. Ve stejný den, kdy byla chyba odhalena, byla vydána oprava zabezpečení. Je tu však jen jeden problém. Na rozdíl od WordPress se pluginy automaticky neaktualizují, což znamená, že jste stále zranitelní, pokud jste neaktualizovali na nejnovější verzi SEO WordPress SEO..

Můžete také tvrdit, že jste o tom nevěděli nic, ale hackeři mají všechny podrobnosti, protože informace jsou ve veřejné doméně, kde jsou snadno dostupné všem. Na co sakra čekáš? Stiskněte toto tlačítko aktualizace již. Aktualizujte také všechny své další pluginy.

Stále v tomto podnikání s pluginem WordPress byste si měli koupit nebo stáhnout pluginy WordPress pouze z důvěryhodných zdrojů. Chcete-li být na bezpečné straně, zdroj pluginy z rozsáhlé Úložiště pluginů WordPress nebo od renomovaných dodavatelů, jako je CodeCanyon.

Existují hackeři, kteří se maskují jako legitimní vývojáři pluginů ve snaze obsloužit doplňky, které jsou lemovány škodlivým kódem. Nespadejte na jejich levné triky, získejte pluginy z důvěryhodných webů. Nenechávejte navíc aktivní moduly plug-in – odstraňte všechny nepoužité doplňky, protože jsou oblíbeným vstupním bodem pro hackery. Ano, jsou, i když jsou deaktivovány.

Mimochodem, pokud nemáte rádi WPEngine a Siteground, nespoléhejte na svého hostitele, aby vás udržel v bezpečí, pokud jde o zranitelnosti pluginů – přebírejte odpovědnost a kousejte kulku.

Témata WordPress

Pokud se hackeři nebudou prosazovat zastaralými, ohroženými nebo špatně kódovanými zásuvnými moduly, najdou ve vašich tématech mezery. Ve skutečnosti k většině útoků dochází prostřednictvím témat a zásuvných modulů, takže jo, tady musíte být ostražití.

Za prvé, stejně jako u pluginů WordPress, si nemůžete dovolit pobírat vyzvedávání témat odkudkoli. Když chytíte virus, malware nebo horší, pak budete plakat, když zasáhnete fanoušek.

Pokud pracujete s velmi omezeným rozpočtem nebo právě začínáte, můžete si prohlédnout některá z našich bezplatných, ale profesionálně kódovaných témat WordPress nebo tisíc bezplatná témata na WordPress.org. V současné době používám zdarma elegantní téma z naší vlastní stáje a bylo to úžasné. Vidět? Žádná kázání vody a nasávání vína zde ��

Pokud jde o prémiová témata, skvělé téma vám vrátí 60 $ dolarů na některých z nejlepších tématických tržišť, jako jsou Elegantní témata a Themeforest. Získáte mimo jiné skvělý produkt, podporu pro horní zásuvku a aktualizace zabezpečení. Pokud potřebujete směřovat správným směrem, ráda bych doporučila laskavé téma Total WordPress, které není nic krásného a bezpečného.

Měli byste se snažit, aby vaše témata byla neustále aktualizována, aby se vám nepodařilo vyřešit problémy. Z tohoto důvodu smažte všechna nepoužitá témata ze zřejmých důvodů.

Máte-li nějaké další zelené, které můžete utratit nebo jste sami vývojářem WordPress, můžete se podívat na vytváření vlastních motivů. Toto je jediný spolehlivý, i když drahý prostředek k získání bezpečných témat WordPress.

Samozřejmě musíte (nebo váš vývojář) dodržovat nejlepší standardy webového kódování a v případě potřeby téma aktualizovat. Pokud si najmete webového vývojáře, který vám vytvoří téma, ujistěte se, že jsou jako první seriózní. Pomocí pluginu, jako je například, můžete zkontrolovat, zda vaše téma splňuje nejnovější standardy WordPress Kontrola témat. Posouvat se…

Aktualizujte WordPress

wordpress-updates

Své online podnikání byste měli vždy provozovat na nejnovější verzi WordPress, která není žádným nápadem. Měli byste si myslet, že je zřejmé, že každý bude pravidelně aktualizovat WordPress, vzhledem k tomu, že všichni dostáváme oznámení na palubní desce.

To však není vždy pravda, protože často chytíte online podnikatele, kteří neaktualizují nejnovější verzi týdnů a dokonce měsíců po vydání aktualizace.

Oficiální a nejnovější chuť WordPress můžete vždy získat na adrese WordPress.org. Jste dále varováni před stažením nebo instalací WordPress z jakéhokoli jiného webu, protože byste mohli něco chytit. Něco opravdu špatného, ​​jako je backdoor exploit hack, nebo nějaký kód JavaScript, který nahrává koše a další hacky na váš server. Stahujte pouze WordPress z jiných stránek než z WordPress.org.

Aktualizace instalace aplikace WordPress je snadná práce – stačí jen zmínit a kliknout. Doporučujeme vám však zálohovat web před jakoukoli aktualizací, pokud by se během procesu něco poškodilo. Kromě toho ztratíte všechny změny, které jste provedli v základních souborech, protože proces aktualizace ovlivní všechny soubory a složky WordPress.

Funkce automatické aktualizace byla zavedena v aplikaci WordPress 3.7, aby se postarala o drobné opravy zabezpečení a usnadnila celý proces aktualizace vývojářům i koncovým uživatelům. Nyní se musíte starat pouze o hlavní aktualizace verzí, takže jo, vaše práce by měla být snadná. Stačí zapnout automatickou aktualizaci.

Aktualizujte, aktualizujte, aktualizujte nebo se připravte na lítost, lítost, lítost.

Vyčistěte počítač

Po střední škole před deseti lety jsem krátce pracoval v internetové kavárně. Bylo to docela zajímavé, když jsem potkal tolik lidí a udělal jsem si přestávku ve světě digitálního marketingu.

Ale nebylo to vždycky zábavné díky červům, trojským koním, virům, malwaru a podobně. Vzpomínám si, občas jsem musel zavřít kavárnu na den jen pro formátování počítačů. Nezáleželo na tom, že jsem měl antivirové programy nainstalované a spuštěné na všech počítačích. Ale já odbočuji.

Pokud se některému hackerovi podaří získat klíčový záznamník na vašem počítači jako trojský kůň (což znamená, že klíčový záznamník se skrývá v jiném programu, který maskuje skutečnost, že hacker registruje každý klíčový tah na vašem počítači), nikdy nezabezpečíte svůj web bez ohledu na to, co.

Vaše stránky budou hacknuty znovu a znovu, protože právě dáváte své přihlašovací údaje špatným lidem. A protože mohou vidět všechny vaše stisknutí kláves, budou mít přístup k vašim online účtům – všechny. Mluvte o e-mailu, Facebooku, Twitteru, YouTube atd.

Key loggers aide, tam jsou horší věci na temné straně internetu. Například:

Ve volné přírodě jsou ve skutečnosti viry, které infikují váš místní počítač, a poté hledejte otevřená připojení FTP a pomocí tohoto připojení automaticky nahrajte soubor hack do svého webového hostitele. – Brad Williams, uzamčení WordPress

Počítače Cyber ​​Café nejsou přesně tím, jak chcete získat přístup k vašemu administračnímu panelu WordPress. Možná je to nevyhnutelné, ale vždy zajistěte, aby všechny počítače, které používáte, neměly škodlivý software, viry a spyware. V opačném případě předáte hackerům své přihlašovací údaje a další na stříbrném podnose.

Ujistěte se, že váš operační systém a programy v počítači jsou aktuální. Poté zapněte brány firewall a získejte nejlepší antivirový program. Unavuje mě formátování počítačů po celou dobu, takže jsem se vydal na cestu, abych našel nejlepší antivirový program. A našel jsem to. Od té doby jsem Eset používal a miloval.

Kromě toho se držte dál od nedůvěryhodných webů, ale pokud musíte, protože – zvědavost, deaktivujte všechny skripty, tj. Java, JavaScript, Flash atd. V prohlížeči. Nebo jen nenavštívit ty krvavé efin ‘ weby.

Vytvářejte silnější hesla

reset-wordpress-password

Je to příběh. Tentokrát jsem měl jednu kávu příliš mnoho a vytvořil jsem web WordPress, který jsem „tvořivě“ pokřtil # YouCan’ttHackThis. Kreativně je v uvozovkách, protože jsem jezdil na vlnách kávy vysoko. Možná jsem si před kávou dal drink nebo dva; Jen si nepamatuji. Vytvářím mnoho webových stránek WordPress jen pro zábavu.

Moje uživatelské jméno bylo … počkejte na to … Unhackulture (obviňujeme kávu) a moje heslo bylo, dobře, nepamatuji si. Bylo to však hanba, heslo, a právě z tohoto důvodu to nikdy nevydrželo půdu, když nějaký hrubý internetový člověk (nebo věcný) zasáhl přihlašovací stránku „hrubou silou“..

Dlouhý příběh krátký, moje obrana ustoupila a # YouCan’tHackThis padl jako zdi Jericha. Google mi poslal obávaný e-mail „Hacking Suspect“ s ukázkovou adresou URL a při dalším vyšetřování jsem našel spoustu odpadků.

Hacker měl tu drzost poslat screenshot své plochy na můj milovaný # YouCan’tHackThis, jako by mě posmíval. Měl jsem odvahu, říkám vám, protože v horní části obrazovky obrazovky byly stránky a stránky chmýří, obsah výplně, který neměl žádný směr.

Stáhl jsem celý web a posílil zabezpečení na mých dalších webových stránkách. Nainstaloval jsem iThemes Security a dnes dostávám pouze e-maily „Oznámení o blokování stránek“. Pokud se někdo pokusí vynutit si cestu na některý z mých stránek pomocí hrubé síly, je na sto let uzamčen! Jo, to je 100 let v hackerovi bin. Haha, dostávám se pryč.

oznámení o uzamčení webu

Slabá hesla vás napadnou. Podobně i toto uživatelské jméno administrátora, kterého tak draze držíte, hackerům usnadní. Při instalaci WordPress vytvořte přizpůsobená uživatelská jména a při vytváření hesla používejte indikátor síly. To by mělo stačit, ale pokud byste chtěli jít na míli navíc, měli byste si vyzkoušet 1Password a KeePass nástroje.

Zranitelnost zabezpečení sestavy

Jako uživatel WordPressu jste povinni nahlásit chybu zabezpečení, jakmile ji zjistíte.

Za prvé, je to dobrá karma. Za druhé, to, co se děje, přichází. Za třetí, pokud je chyba zabezpečení v zásuvném modulu nebo motivu, který používáte, získáte aktualizace zabezpečení a velké poděkování. Váš web není v důsledku toho kompromitován a vy si vybudujete dobré pověst a zároveň děláte svět lepším místem.

Jako WordPressers je naší kolektivní odpovědností upozornit na všechny bezpečnostní díry, se kterými se setkáváme. Koneckonců, je to pro naše vlastní dobro.

Utáhněte oprávnění pro soubory / složky

Nyní se dostáváme do hustoty zabezpečení WordPress. Jako absolutní začátečník bych nenáviděl, kdybys vyděsil. Budu to třást a sloužit chlazené přesně tak, jak se vám líbí. Tady jsme.

Pokud každý Tom, Dick a Harry, který získá přístup k vašemu serveru, může upravovat (aka zapisovat) vaše soubory a složky, pak je toho tak málo, abyste zastavili poškození, které bude následovat.

Ale co kdybychom vytvořili určité soubory a složky, které lze zapisovat pouze vy? Hackeři nevědí, co dělat. Mohou se v pořádku zlomit, ale škody, které by způsobily, když vaše soubory nebudou upravitelné / zapisovatelné, jsou minimální. Zablokování oprávnění k souborům je bezpečnostní opatření, které chcete implementovat, tím spíše, pokud se chystáte na sdílený hostingový plán.

Ale jak se vám daří o tomto podnikání s oprávněními k souborům / složkám? Následuje následující schéma:

  • Všechny soubory v kořenové složce lze zapisovat pouze vy
  • / wp-admin / – všechny soubory lze zapisovat pouze vy
  • / wp-include / – všechny soubory lze zapisovat pouze vy
  • / wp-content / themes – všechny soubory byste měli zapisovat vy a webový server
  • / wp-content / plugins – všechny soubory byste měli zapisovat

Jak nastavujete oprávnění pro soubory / složky?

Pro splnění výše uvedeného schématu musíte nastavit oprávnění na 755 pro složky a 644 pro soubory. Jak? To je nejjednodušší část. Můžete použít vašeho FTP klienta (např. Filezilla) nebo se přihlásit přímo do Správce souborů přes cPanel.

Pomocí FTP

Po přihlášení k webovému serveru pomocí FTP vyhledejte adresář / soubor, který chcete nastavit oprávnění, klepněte na něj pravým tlačítkem a vyberte příkaz „File Permissions“ (Povolení souboru). Na vyskakovací obrazovce, která se objeví, vyberte oprávnění podle svého uvážení. Toto vyskakovací okno může vypadat asi takto:

file-rights-popup-filezilla

A zde je úplný seznam oprávnění k souborům od 000 do 777.

file-rights-full-list

Pomocí Správce souborů

wordpress-security-bluehost-cpanel

Přihlaste se ke svému cPanelu a přejděte do Správce souborů. Když se načte, vyberte svůj adresář nebo soubor a v horní části nabídky klikněte na „Změnit oprávnění“. Případně můžete vybrat složku nebo soubor, kliknout na něj pravým tlačítkem a v rozevírací nabídce, která se zobrazí, vyberte příkaz Změnit oprávnění..

Zde je několik pokynů:

oprávnění ke změně souboru wordpress-security-change-file

Možnost klepnutí pravým tlačítkem …

wordpress-security-change-file-rights-right-click

Místní nabídka „Změnit oprávnění“:

wordpress-security-change-file-rights-popup

Chcete se dozvědět více? Přečtěte si další informace o oprávněních k souborům tady. Rychle se pohybujeme…

Ověření ve dvou krocích

Nejlepším způsobem, jak chránit své online aktiva, je, aby se špatní kluci přihlásili neuvěřitelně těžko. Pokud je můžete udržet venku, vyhráli jste polovinu bitvy. Zde přichází dvoufázová (nebo dvoufaktorová) autentizace.

Pokud kombinujete silná hesla a dvoufaktorové ověření, přidáte na svůj web vrstvu ochrany. Vylepšete zabezpečení svého webu WordPress dvakrát.

A protože máme pluginy jako Google Authenticator, WordFence, Authy a Duo, implementace dvoufázového ověřování by měla být nejjednodušším opatřením zabezpečení WordPress, které můžete zavést hned v tuto chvíli.

Použijte SSL

SSL je zkratka pro Secure Sockets Layer, což je standardní způsob navázání zabezpečeného šifrovaného spojení mezi serverem webové stránky a uživatelským prohlížečem.

Někdy se hackeři místo toho, aby se pokoušeli rozbít obranu svých stránek, rozhodli zabít pakety dat odeslaných z prohlížeče na webový server. Když tyto pakety otevřou, snadno získají přístup k vašim přihlašovacím informacím atd.

Co dělat? Musíte použít šifrování SSL, které chrání soukromí a integritu všech dat, která prochází mezi vaším webem a serverem. To je přesně důvod, proč najdete všechny hlavní weby používající HTTPS na rozdíl od HTTP v jejich doménách.

Je snadno implementovatelný a může vám ušetřit spoustu času a frustrace. Stačí se poradit se svým registrátorem domény nebo webovým hostitelem a rádi vám zařídí SSL. SSL certifikáty jsou obvykle také levné, takže si můžete ušetřit babku nebo dva.

Zakázat nepoužívané uživatelské účty

Uživatelské účty na vašich webech WordPress považujte za místa v autobusu. Pokud je prázdné místo, někdo nastoupí. Pokud je sedadlo jinak obsazeno nebo neexistuje, dobře, nikdo nebude sedět na tomto konkrétním sedadle.

Pokud jste na svém webu WordPress povolili registraci uživatelů, proveďte jednotlivé uživatelské účty jednou za čas a eliminujte nepoužívané účty a všechny účty vytvořené spammery. Pokud je necháte v okolí, pouze požadujete, aby byl hacknut – a hacknutý budete.

Případně můžete registraci uživatelů zcela zakázat na stránce Nastavení -> Obecné a zrušte výběr možnosti „Každý se může zaregistrovat“ tam, kde máte Členství. Všechny uživatele můžete zobrazit navigací na Uživatelé -> Všichni uživatelé v nabídce Správce WordPress.

Současně můžete omezit oprávnění pro nové uživatelské účty. Děláte to snadno navigací na Nastavení -> Obecné – Výchozí role nového uživatele a nastavení možnosti „Odběratel“. Mezi další role patří přispěvatel, autor, editor a administrátor. Určitě nechcete, aby noví uživatelé měli oprávnění správce. Nejlepší je přiřadit uživatelům pouze oprávnění, která potřebují k výkonu své práce.


Mohl bych dál chodit a odcházet, ale ohromím tě spoustou informací, což rozhodně nikdy není můj záměr. Byli bychom rádi, kdybyste měli k dispozici vhodné tipy, které můžete začít implementovat hned v tuto chvíli, ale bude to sen o dýmkách, pokud jsem utopil vaši pozornost v přehradě faktoidů a podobně. Tady jsem si vzal luk a nechal závěsy zavřít.

Zpět k vám, prosím, začněte pracovat na oblastech, které jsme právě zmínili, protože čím déle budete čekat, tím snazší to bude pro padouchy. Začněte s jednou oblastí a pokračujte odtamtud. Pokud jste uvízli nebo máte pochybnosti, obraťte se na své komentáře v sekci komentářů níže. Nebo pokud chcete přidat tip, dejte nám vědět – budeme čekat a to je slavnostní příslib. Všechno nejlepší amigos!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map