Jednoduchý kontrolní seznam zabezpečení pro stránky WordPress

Věděli jste, že denně je hackováno přes 100 000 webových stránek? To je pravda, kybernetická kriminalita je vážnou hrozbou pro jakoukoli společnost a nikdo s webem WordPress není bezpečný. Zúčastnil jsem se hackerů (a musel jsem obnovit můj web WordPress) a pravděpodobně víte, že to bylo ošklivé.

Hackeři aktivně hledají zranitelné weby, které by mohly zlomit a ukrást data, která mohou uvolnit za účelem peněžního zisku nebo čistě škodlivého úmyslu. Chcete-li chránit sebe a své cenné stránky, měli byste vážně uvažovat o zvýšení bezpečnosti WordPress.

Vzhledem k tomu, že ztratíte příjmy, čas a námahu, když hackeři proniknou na váš web, vytvořili jsme následující kontrolní seznam zabezpečení, který můžete použít k zabezpečení svého webu WordPress. Všechny položky zabezpečení v příspěvku lze relativně snadno implementovat i pro první uživatele:

Jak vidíte, rozdělíme příspěvek na několik částí, které pokrývají vše od výběru bezpečného hostitele až po zpevnění vaší administrátorské oblasti a dalších. Budete muset opakovat některé bezpečnostní úkoly, jako je pravidelná aktualizace motivů. Další úkoly jsou jednorázovou záležitostí, ale stále mají významný dopad na zabezpečení vašeho webu. Zkontrolujte, co je třeba opravit, a okamžitě to udělejte, protože hackeři neztrácejí čas.

1. Aktualizujte WordPress

Jádro WordPress je pravidelně auditováno a kontrolováno kvůli chybám zabezpečení. Pokud jsou zjištěny bezpečnostní chyby a chyby, vývojáři jádra obvykle vydávají aktualizace údržby. Drobné aktualizace se na váš web WordPress nainstalují automaticky.

Budete však muset aktualizovat WordPress ručně pro všechna hlavní vydání. Jedná se o relativně přímočarý proces, protože v administrátorovi WordPress se vám objeví nepříjemná zpráva. Pouze 22% webů běží na nejnovější verzi WordPress, což je smutné vzhledem k tomu, jak snadné je aktualizovat.

Nezůstávejte ve zbývajících 78%, protože svůj web v podstatě vystavujete všem útokům tím, že neaktualizujete svůj web. Hackeři jsou obvykle první skupinou lidí, kteří se dozvěděli o všech zranitelnostech ve starých verzích, protože počítají s vadami pro zahájení úspěšných útoků.

Před aktualizací WordPress doporučujeme přečíst si poznámky k vydání, abyste zjistili, co se změnilo, a pořídit si zálohu svého webu (pouze kvůli bezpečnosti). Tímto způsobem nyní získáte, co můžete očekávat, když klepnete na tlačítko aktualizace, a pokud dojde k chybě, může dojít k selhání.

2. Aktualizujte témata a pluginy

Při aktualizaci jádra WordPress nezapomeňte také aktualizovat témata a doplňky. Hackeři si obzvláště oblíbili stará témata a doplňky se známými bezpečnostními otvory.

Využívají tyto chyby zabezpečení a mohou dokonce skrývat zadní vrátka ve starém tématu nebo zásuvném modulu. Pokud neaktualizujete, mohou váš web zaseknout, kdykoli je to potěší.

Chcete-li se vyhnout ztrátě vlastních stylů, doporučujeme použít podřízené téma WordPress na rozdíl od nadřazeného tématu. Při aktualizaci motivu tak nepřijdete o přizpůsobení.

Měli byste také vyloučit všechna neaktivní témata, doplňky a nepoužívané instalace WordPress. Nejen, že ušetříte šířku pásma a zrychlíte své webové stránky, ale také hackery udržíte na uzdě.

Další rychlou poznámku, nikdy si stahujte „nulová“ prémiová témata a doplňky. Jděte pouze s důvěryhodnými zdroji, jako je WordPress.org, Envato nebo jiným renomovaným tématickým obchodem.

3. Používejte jedinečná a silná hesla

Budete překvapeni, když zjistíte, že většina webových stránek je napadena hackery, když zloději ukradnou vaše přihlašovací údaje. Útoky hrubou silou jsou navíc docela běžné a zahrnují bombardování vaší přihlašovací stránky tisíci kombinací uživatelského jména a hesla, dokud něco nedá.

Pokud používáte slabá uživatelská jména a hesla (například neslavný „admin“ nebo „12345“), hackerům je neuvěřitelně snadné proniknout na váš web. Zvykněte si vytvářet jedinečná a silná hesla, která se pravidelně mění. Můžete dokonce použít bezplatný online generátor, jako je tento LastPass.

Problémem může být správa mnoha silných hesel. Abych vám pomohl, často se spoléhám mimo jiné na správce hesel, jako je 1Password nebo LastPass. Nepoužívejte stejné heslo na více webech a své přihlašovací údaje vždy udržujte v bezpečí. Zajistěte, aby uživatelé systému WordPress používali také silná hesla.

I když jste u toho – nezapomeňte použít silná hesla pro svůj e-mail, cPanel, databáze MySQL a FTP účty..

4. Nainstalujte bezpečnostní plugin WordPress

Kdykoli vytvořím nový web WordPress, obvykle mám několik defacto pluginů, které instaluji téměř automaticky. Dostávám anti-spam plugin, kontaktní formulář 7, Symple Shortcodes a iThemes Security, můj bezpečnostní plugin pro WordPress.

Plugin mi umožňuje opevnit své obranné systémy WordPress, aniž by došlo k porušení potu. Dodává se s tolika funkcemi, které způsobují, že se špatní chlapi dostanou z mých webových stránek do větru. Konfigurace pluginu je velmi snadná; měli byste být v provozu okamžitě.

Nejlepší zásuvné moduly zabezpečení WordPress vám nabízejí různé funkce, takže před instalací zkontrolujte, zda máte všechny funkce, které potřebujete pro zabezpečení celého webu, bez ohledu na to, jak jedinečný. Mezi standardní funkce patří skenování malwaru, blokování IP, prevence hrubou silou, dvoufaktorové ověření a mnoho dalšího – kontrola mnoha políček pro tento kontrolní seznam zabezpečení, který právě čtete!

5. Zvolte Skvělý hosting WordPress

Obvykle začátečníci jdou na první levný hostingový balíček, na který narazí. Nedokázal bych to proti vám, protože nevíte nic lepšího, ale pochybný levný (nebo dokonce bezplatný) sdílený hosting vás může vystavit bezpečnostním rizikům. To vím faktem, protože jsem byl hacknut na dvou různých hostingových společnostech nabízejících sdílený hosting.

Sdílený hosting zahrnuje sdílení serveru s tisíci dalších webů. Tím se zvyšuje riziko kontaminace mezi místy. To znamená, že hacker může získat přístup k vašemu webu, i když původní web útoku byl web někoho jiného.

Na druhé straně spravovaný hosting WordPress se zaměřuje pouze na weby WordPress. Sdílejte server s ostatními a získáte více možností zabezpečení, abyste zůstali v bezpečí. Nabízejí také specializovanou podporu a v případě nejhoršího by mělo dojít k dalším možnostem obnovy.

Pokud musíte používat sdílený hosting, řekněme, že začínáte s blogem, který dosud nevydělává peníze, ujistěte se, že jsou stránky izolované nebo „uvězněné“. Pokud provozujete webovou stránku o podnikání nebo eCommerce, vyplatí se používat nejlepší hosting WordPress, který si můžete zapadnout do svého rozpočtu hned od začátku – jako je VPS, dedikovaný nebo spravovaný hosting WordPress.

6. Použijte SSL (HTTPS)

V dnešní době nabízí mnoho hostingových společností WordPress bezplatné certifikáty SSL od začátku a z dobrého důvodu. SSL certifikáty zvyšují bezpečnost vašeho webu než weby bez SSL. Google také doporučuje používat certifikáty SSL k ochraně dat na vašem webu (a zajistit, aby uživatelé věděli, zda používáte SSL, nebo ne).

HTTPS je bezpečnější než jeho předchůdce HTTP. Web, který používá HTTPS, šifruje všechna data, která se pohybují mezi prohlížečem uživatele a vašimi servery. Pokud hacker zachytí komunikaci, najdou pouze šifrovaná data, která jsou stejně užitečná jako jednonohý muž v soutěži o zadek ��

Instalace certifikátů SSL na většinu webových hostitelů je stejně snadná jako A, B, C. Většina nabízí instalátory jedním kliknutím, které celý proces usnadňují. Jednoduše se přihlaste ke svému cPanelu a klikněte na jediné tlačítko pro instalaci a správu vašich SSL certifikátů. Pokud byste chtěli více praktického přístupu, zvažte odhlášení Pojďme se zašifrovat.

7. Vytvořte zálohu celého webu

Když mě hackeři dethronovali, musel jsem znovu vytvořit své webové stránky od nuly, bolesti hlavy, kterým bych se vyhnul, kdybych si spolehlivě vzpomněl na zálohu WordPress.

Ale ne, zálohy, které byly s mým webovým hostitelem, byly během útoku poškozeny, a ne, neměl jsem řešení sekundární zálohy. Klasický případ umístění všech vašich vajec do jednoho košíku, který mě naučil tvrdou lekci.

V současné době vytvářím úplné zálohy webových stránek, které obsahují soubory a databáze webových stránek. Používám hlavně Spravovat WP, ale také používám Doplněk pro duplikátor ukládat zálohy na můj počítač a na Disk Google.

Žádám vás, abyste pravidelně vytvářeli úplné zálohy. Mnoho zálohovacích řešení WordPress vám umožňuje automatizovat celý proces, šetřit čas a poskytnout vám klid.

8. Použijte bránu firewall pro webové aplikace (WAF)

Chcete-li přidat další vrstvu zabezpečení na svůj web WordPress a lépe spát v noci, povolte firewall webové aplikace (WAF). WAF chrání váš web blokováním škodlivého provozu dlouho předtím, než se dostane na váš web. Je proaktivní opatření zastavit padouchy ve svých stopách, než způsobí jakékoli škody.

Brána firewall filtruje váš příchozí provoz, eliminuje hackery a zároveň umožňuje legitimním uživatelům. Mnoho společností poskytujících zabezpečení WordPress nabízí brány firewall webových aplikací spolu s dalšími funkcemi. Mezi oblíbené možnosti v oboru patří Sucuri a Zataženo.

9. Zakažte úpravy souborů v programu WordPress Admin

Systém WordPress CMS je dodáván s fantastickým editorem kódů, který vám umožní upravovat soubory pluginů a motivů v administračním panelu WordPress. Editor kódu je skvělý nástroj, který máte k dispozici, ale ve špatných rukou ho mohou hackeři použít k znehodnocení nebo přidání malwaru na svůj web..

Svůj motiv a soubory plug-inů můžete vždy upravit (v případě potřeby) přes FTP nebo správce souborů v cPanel, což znamená, že můžete v editoru WordPress zcela zakázat editor kódu. Nechcete, aby hackeři, kteří získají přístup do vaší administrátorské oblasti WordPress, měli přístup do editoru kódu, protože s několika řádky kódu mohou způsobit velké škody..

Co dělat? Vestavěný editor kódu můžete zakázat pomocí bezplatného programu Sucuri Security zapojit. Případně můžete do svého kódu přidat následující kód wp-config.php soubor:

// Zakázat úpravy souboru
define ('DISALLOW_FILE_EDIT', true);

Jdeme dál.

10. Zabezpečte svou přihlašovací stránku

Přihlašovací formulář na vašem WordPressu má obvykle dvě pole; uživatelské jméno a heslo. Jak budou útočníci brutálních sil a roboti den ode dne chytřejší, jak zabráníte hackerům v přístupu k vaší administrátorské oblasti WordPress? Je to jednoduché; přidáte CAPTCHA nebo bezpečnostní otázky, které ztěžují každému získat neoprávněný přístup.

A nemusíte upravovat kód přidat CAPTCHA nebo bezpečnostní otázka na přihlašovací stránku. Existuje populární plugin WordPress známý jako Bezpečnostní otázka WP to se snadno konfiguruje a používá. Pokud chcete používat CAPTCHA, můžete použít Jednoduché přihlášení Captcha, WordFence, nebo jednu z mnoha dalších možností dostupných zdarma na WordPress.org.

Zároveň můžete změňte svou přihlašovací adresu wp na něco jedinečného. Tímto způsobem se roboti a hackeři budou těžko snažit uhodnout URL na svou přihlašovací stránku. wp-login je u hackerů již populární, takže má smysl změnit URL na něco jiného. Můžete použít plugin jako WPS Skrýt přihlášení.

11. Přidat ověření

Kromě toho zvažte zavedení dvoufaktorové a vícefaktorové autentizace. V případě, že hacker získá přístup k vašim přihlašovacím údajům, nebude se moci přihlásit na váš web WordPress. Existuje mnoho možností, ale Google Authenticator je oblíbená volba.

Kromě toho omezte přihlášení na své přihlašovací stránce. Pokud se návštěvník pokouší přihlásit pomocí účtu, který neexistuje, nebo se opakovaně pokouší o přihlášení, pravděpodobně se jedná o hackera nebo robota, který se snaží proniknout násilím. Můžete použít plugin, jako je Omezit pokus o přihlášení nebo Uzamčení přihlášení aby tyto rušivé prvky zůstaly daleko.

12. Odhlášení neaktivní uživatelé

Pokud máte web WordPress pro více uživatelů, nemůžete plně řídit, jak a kde uživatelé k vašemu webu přistupují. Autor by se mohl rozhodnout použít veřejné veřejné Wi-Fi k finálnímu doteku článku. Webový designér by mohl opustit stůl a vrátit se z hodinové přestávky na oběd.

V takových scénářích může váš uživatel nevědomky vystavit váš web bezpečnostním rizikům. Škodlivý člověk by mohl převzít jejich zasedání, upravit své údaje a jednoduše vyvolat zmatek. Pokud neautorizovaná strana ví, co dělá, může snadno převzít účet uživatele a způsobit škody.

Co dělat? Neaktivní uživatelé se můžete automaticky odhlásit po uplynutí předdefinovaného období. A nejlepší část? Pro tento přesný účel existují pluginy. Jednou z oblíbených možností je Neaktivní odhlášení plugin, který obsahuje možnosti pro přizpůsobení doby nečinnosti před odhlášením, vlastní vyskakovací zprávu nebo přesměrování po odhlášení a časový limit podle role uživatele.

13. Vyhledejte malware a problémy (pravidelně)

Často zapomenuté, pravidelné prohledávání webových stránek WordPress vám pomůže včas identifikovat bezpečnostní problémy. Hackerovi zabere jen vteřinu vniknout na vaše webové stránky a udělat nejrůznější nepříjemné věci. To je přesně důvod, proč byste měli zůstat neustále na vrcholu věcí.

Mnoho bezpečnostních pluginů WordPress pro vyhledávání infekce malwaru, známých bezpečnostních chyb, zastaralých skriptů, útoků hrubou silou, neexistujících záloh atd. Pluginy vám zasílají podrobné zprávy o známých problémech, takže je můžete opravit nebo najmout profesionála.

Existuje mnoho skenerů webových stránek, například Sucuri SiteCheck, které můžete použít ke kontrole webu rychle. Jediné, co musíte udělat, je zadat adresu URL a nástroje automaticky zkontrolují váš web. Poté vám nabídnou zprávu o tom, co potřebujete opravit. Až budete mít přehled, okamžitě opravte všechny chyby zabezpečení.

14. Použijte VPN

Pokud provozujete web, který obsahuje citlivé informace, které se hackerům nikdy nesmí dostat, zvažte použití virtuální privátní sítě (VPN), zejména při používání bezplatné veřejné Wi-Fi. Síť VPN vás chrání před útoky typu man-in-middle, které jsou běžné ve veřejných sítích, včetně domova a práce.

Virtuální privátní síť zajišťuje, že i když útočníci získají přístup do systému a ukradnou vaše údaje, nemohou s daty, která od vás vezmou, nic udělat. Pokud máte internetovou síť, kterou sdílíte s mnoha lidmi, vždy před přístupem do vaší oblasti správy WordPress použijte VPN..

Další možnosti zabezpečení WordPress

Potřebujete více? Rádi bychom, aby váš web byl vždy v bezpečí, takže zde jsou bonusové položky zabezpečení, které můžete přidat do svého kontrolního seznamu:

• Zakázat provádění souborů PHP v / wp-content / wp-uploads /
• Změňte předponu databáze WordPress
• Heslo chrání vaše administrátorské a přihlašovací stránky na straně serveru
• Zakázat indexování adresářů
• Pokud to není nutné, zakažte rozhraní WP REST API a XML-RPC
• Neupravujte / neměňte jádro WordPress – napište nebo používejte plugin, který místo toho nabízí funkce, které potřebujete
• Zajistěte, aby váš web používal nejnovější verzi PHP
• Použijte v počítači antivirový program
• Povolit Google Search Console
• Snižte zranitelnost aplikací XSS a SQL Injection (možná budete potřebovat technicky zdatnějšího člověka, který jim pomůže s těmito dvěma)

Počet kroků, které můžete podniknout, je opravdu nekonečný. Pokud však můžete odbavit 14 uvedených položek, jedná se o obrovský krok k zabezpečení vašeho webu.

Zabezpečení webu WordPress je náročné, ale ne nemožné. Se správnými nástroji a dovednostmi můžete rychle posílit zabezpečení WordPress a zabránit špatným aktérům.

Jako shrnutí vždy udržujte svůj web aktuální. Kromě toho nikdy stahujte témata nebo doplňky z nedůvěryhodných webů. A být v bezpečí, pokud by se to nejhorší stalo, vždy používejte spolehlivé řešení zálohování.

Doufáme, že jste našli všechny tipy, které potřebujete pro zabezpečení svého webu WordPress, tedy online podnikání. Máte-li dotaz nebo potřebujete pomoc s přijetím na to, jak zabezpečit svůj web WordPress, dejte nám prosím vědět v komentářích. Zůstat v bezpečí!