Прост списък за сигурност за WordPress сайтове

Прост списък за сигурност за WordPress сайтове

Знаете ли, че над 100 000 уебсайта се хакват всеки ден? Точно така, киберпрестъпността е сериозна заплаха за всяка компания и всеки със WordPress сайт също не е безопасен. Имал съм стачка с хакери (и трябваше да възстановя моя сайт WordPress) и вероятно знаете, че е грозно.


Хакерите активно търсят уязвимите уебсайтове, които разбиват и открадват данни, които могат да пуснат за парична печалба или чисто злонамерено намерение. За да защитите себе си и ценния си сайт, трябва сериозно да обмислите да засилите сигурността на WordPress.

Имайки предвид, че ще загубите приходи, време и усилия, когато хакери проникнат във вашия уебсайт, ние създадохме следния контролен списък за сигурност, който можете да използвате, за да защитите вашия уебсайт WordPress. Всички елементи за сигурност в публикацията са сравнително лесни за изпълнение дори за първокласни:

Както виждате, ние ще разбием публикацията на множество части, обхващащи всичко – от избора на сигурен хост до закаляване на администраторската ви зона и други. Ще трябва да повторите някои задачи за сигурност, като редовно актуализиране на вашите теми. Другите задачи са еднократно нещо, но все пак оказват значително влияние върху запазването на сайта ви в безопасност. Проверете какво трябва да поправите и го направете веднага, защото и хакерите не губят време.

Прост списък за сигурност на WordPress

1. Актуализирайте WordPress

Ядрото на WordPress редовно се одитира и проверява за уязвимости в сигурността. Ако се открият пропуски в сигурността и бъгове, основните разработчици обикновено издават актуализации за поддръжка. Незначителните актуализации се инсталират на вашия уебсайт WordPress автоматично.

Ще трябва обаче да актуализирате WordPress ръчно за всички основни версии. Това е сравнително прав процес, тъй като получавате заяждащо съобщение в своя администратор на WordPress. Само 22% от уебсайтовете работят на най-новата версия на WordPress, което е тъжно като се има предвид колко лесно е да се актуализира.

Не бъдете в останалите 78%, тъй като по същество излагате сайта си на всякакъв вид атаки, като не актуализирате уебсайта си. Обикновено хакерите са първата група хора, които научават за всякакви уязвимости в старите версии, тъй като разчитат на недостатъците за започване на успешни атаки.

Преди да актуализирате WordPress, препоръчваме да прочетете бележките за изданието, за да видите какво се е променило и да направите резервно копие на уебсайта си (само за да сте в безопасност). По този начин вие сега какво да очаквате, когато щракнете върху този бутон за актуализация, и имате грешка в случай на повреда, ако нещо се обърка.

2. Актуализирайте теми и приставки

Докато актуализирате ядрото на WordPress, не забравяйте също да актуализирате вашите теми и приставки. Хакерите са особено любители на стари теми и плъгини с известни дупки в сигурността.

Те използват тези уязвимости на сигурността и дори могат да скрият задната врата в стара тема или плъгин. Ако не актуализирате, те могат да хакнат вашия уебсайт винаги, когато им е угодно.

За да избегнете загубата на собствените си стилове, препоръчваме да използвате детска тема на WordPress, за разлика от родителската тема. По този начин няма да загубите персонализациите си, когато актуализирате темата си.

Йо също трябва да елиминира всички неактивни теми, плъгини и неизползвани инсталации на WordPress. Не само ще спестите честотна лента и ще направите уебсайта си по-бърз, но и ще запазите хакерите.

Още една бърза забележка, никога не изтегляйте „нулирани“ премиум теми и плъгини. Отидете само с надеждни източници като WordPress.org, Envato или друг уважаван магазин за теми.

3. Използвайте уникални и силни пароли

Ще се изненадате да научите, че повечето уебсайтове са хакнати, когато лошите хора откраднат данните ви за вход. Освен това, грубите атаки са доста чести и включват бомбардиране на вашата страница за вход с хиляди комбинации от потребителско име и парола, докато нещо не даде.

Ако използвате слаби потребителски имена и пароли (като скандално известния „администратор“ или „12345“), правите невероятно лесно хакерите да проникнат във вашия уебсайт. Вземете навика да създавате уникални и силни пароли, които редовно променяте. Можете дори да използвате безплатен онлайн генератор, като този от LastPass.

Управлението на много силни пароли може да бъде проблем. За да помогна, често разчитам на мениджъри на пароли като 1Password или LastPass, наред с други. Не използвайте отново една и съща парола на множество уебсайтове и винаги пазете данните си за вход. Уверете се, че вашите WordPress потребители също използват силни пароли.

Докато сте в това – не забравяйте да използвате силни пароли за своя имейл, cPanel, MySQL бази данни и FTP акаунти.

4. Инсталирайте WordPress Plugin за сигурност

Всеки път, когато създавам нов уебсайт на WordPress, обикновено имам няколко defacto плъгини, които инсталирам почти автоматично. Получавам плъгин против спам, Формуляр за контакт 7, Кодове за кратки символи и iThemes Security, моята приставка за сигурност на WordPress.

Плъгинът ми позволява да затвърдя защитните си програми за WordPress, без да счупя пот. Той идва с толкова много функции, които правят запазването на лошите от моите уебсайтове лесно. Конфигурирането на приставката е супер дупер лесно; би трябвало да сте готови за нула време.

Най-добрите приставки за сигурност на WordPress ви предлагат различни функции, така че не забравяйте да проверите преди да инсталирате, за да проверите дали получавате всички функции, необходими за осигуряване на целия ви уебсайт, без значение колко уникални. Стандартните функции включват сканиране на злонамерен софтуер, блокиране на IP, предотвратяване на груба сила, двуфакторна автентификация и много други неща – проверка на много от полетата за този списък за сигурност, който четете в момента!

5. Изберете страхотен хостинг на WordPress

Обикновено начинаещите пролетта за първия евтин хостинг пакет, на който попадат. Не бих го държал срещу вас, тъй като не знаете по-добре, но съмнително евтиният (или дори безплатен) споделен хостинг може да ви изложи на рискове за сигурността. Знам това от факт, тъй като бях хакнат в две различни хостинг компании, предлагащи споделен хостинг.

Споделеният хостинг включва споделяне на сървър с хиляди други уебсайтове. Това увеличава риска от замърсяване на място. Тоест хакер може да получи достъп до вашия сайт, дори ако уебсайт на някой друг е бил оригиналната точка на атака.

Управляваният хостинг на WordPress, от друга страна, се фокусира само върху уебсайтове на WordPress. Не споделяте сървър с други и получавате повече опции за сигурност, за да сте в безопасност. Те също предлагат специализирана поддръжка и ако има най-лошото, ще има повече възможности за възстановяване.

Ако трябва да използвате споделен хостинг, кажете, че започвате с блог, който все още не прави пари, уверете се, че сайтовете са изолирани или „затворени“. Ако използвате бизнес или уебсайт за електронна търговия, то плаща да използвате най-добрия хостинг на WordPress, който можете да впишете в бюджета си от думата go – като VPS, посветен или управляван хостинг на WordPress.

6. Използвайте SSL (HTTPS)

В наши дни много хостинг компании WordPress предлагат безплатни SSL сертификати от думата go и с добра причина. SSL сертификатите правят уебсайта Ви по-сигурен от сайтовете без SSL. Google също препоръчва използването на SSL сертификати за защита на данните на вашия уебсайт (и уверете се, че потребителите знаят дали използвате SSL или не).

HTTPS е по-сигурен от предходния HTTP. Уебсайт, който използва HTTPS, криптира всички данни, които се движат между браузъра на потребителя и вашите сървъри. Ако хакер пресече комуникацията, те ще намерят само криптирани данни, които са толкова полезни, колкото и човек с една крака в състезание за ритане на задници ��

Инсталирането на SSL сертификати на повечето уеб хостове е толкова лесно, колкото A, B, C. Повечето предлагат инсталатори с едно щракване, които правят целия процес лесен. Просто влезте в своя cPanel и щракнете върху един бутон, за да инсталирате и управлявате вашите SSL сертификати. Ако искате по-практичен подход, помислете за проверка на Let’s Encrypt.

7. Създайте пълен архив на сайта

Когато хакерите ме детронираха, трябваше да възстановя сайтовете си от нулата, главоболие, което бих избегнал, ако надеждно си бях запомнил да архивирам WordPress.

Но не, архивите, които бяха с моя уеб хост, бяха повредени по време на атаката и не, нямах вторично решение за архивиране. Класически случай на слагане на всичките ви яйца в една кошница, което ме научи на тежък урок.

В днешно време създавам пълни архивни копия на уебсайтове, които включват файловете на моя уебсайт и бази данни. Използвам основно ManageWP, но аз също използвам Дублиращ плъгин да съхранявам резервни копия на моя компютър и в Google Drive.

Призовавам ви да създавате редовно архивиране. Много решения за архивиране на WordPress ви позволяват да автоматизирате целия процес, спестявайки ви време и ви дава спокойствие.

8. Използвайте защитна стена на уеб приложение (WAF)

За да добавите допълнителен слой сигурност към вашия WordPress сайт и да спите по-добре през нощта, активирайте защитната стена на уеб приложение (WAF). WAF защитава вашия уебсайт, като блокира злонамерен трафик много преди да стигне до вашия сайт. Проактивна мярка е да спрете лошите мъртви в следите си, преди да причинят някакви щети.

Защитната стена филтрира входящия ви трафик, елиминирайки хакерите, докато пропуска законни потребители. Много компании за защита на WordPress предлагат защитни стени за уеб приложения, наред с други функции. Популярните опции в индустрията включват Sucuri и Cloudflare.

9. Деактивиране на редактирането на файлове в WordPress Admin

WordPress CMS се предлага с фантастичен редактор на кодове, който ви позволява да редактирате плъгини и теми с файлове във вашия табло за управление на WordPress администратор. Редакторът на кодове е чудесен инструмент, който имате на ваше разположение, но в неправилни ръце хакерите могат да го използват за премахване или добавяне на зловреден софтуер на вашия уеб сайт.

Винаги можете да редактирате вашата тема и файлове с плъгини (ако е необходимо това е) чрез FTP или файлов мениджър в cPanel, което означава, че можете напълно да деактивирате редактора на кода в WordPress. Не искате хакерите, които получават достъп до вашата административна област WordPress, да имат достъп до редактора на кода, защото могат да причинят много щети с няколко реда код.

Какво да правя? Можете да деактивирате вградения редактор на кодове с помощта на безплатния Sucuri Security плъгин. Като алтернатива можете да добавите следния код към вашия WP-config.php файл:

// Да се ​​забрани редактирането на файлове
define ('DISALLOW_FILE_EDIT', вярно);

Продължаваме напред.

10. Защитете страницата си за вход

Обикновено формата за вход във вашия WordPress има две полета; потребителско име и парола. Когато нападателите на груби сили и ботовете стават по-умни с всеки изминал ден, как да спрете хакерите да получат достъп до административната си област на WordPress? Просто е; добавяте CAPTCHA или въпроси за сигурност, които затрудняват никой да получи неоторизиран достъп.

И не е нужно да редактирате код на добавете CAPTCHA или Въпроси за сигурност към вашата страница за вход. Има популярен плъгин за WordPress, известен като Въпрос за сигурност на WP това е лесно за конфигуриране и използване. Ако искате да използвате CAPTCHA, можете да използвате Simple Captcha за вход, WordFence, или една от многото други опции, достъпни безплатно в WordPress.org.

В същото време можете променете вашия wp-login URL до нещо уникално. По този начин, ботове и хакери ще се затруднят да опитат да отгатнат URL адреса на вашата страница за вход. wp-входът вече е популярен сред хакерите, така че има идеален смисъл да промените URL адреса на нещо друго. Можете да използвате плъгин като WPS Скриване на вход.

11. Добавете удостоверяване

Освен това, помислете за прилагане на двуфакторна и многофакторна автентификация. В случай, че хакер получи достъп до вашите данни за вход, те няма да могат да влязат на вашия WordPress сайт. Налични са много опции, но Google Удостоверител е популярен избор.

Освен това, ограничете влизанията на страницата си за вход. Ако посетител се опитва да влезе с акаунт, който не съществува или се опитва да влезе многократно, той най-вероятно е хакер или бот, който се опитва да навлезе грубо на път. Можете да използвате плъгин като Ограничете опитите за влизане или Заключване на вход за да пази тези натрапчиви елементи далеч.

12. Излизане от неактивни потребители

Когато имате уебсайт за много потребители на WordPress, не можете да контролирате напълно как или къде потребителите имат достъп до вашия уебсайт. Един автор може да реши да използва безплатен обществен Wi-Fi, за да направи последни щрихи върху дадена статия. Уеб дизайнер може да напусне бюрото си и да се върне от едночасова почивка за обяд.

При такива сценарии вашият потребител може несъзнателно да излага вашия уеб сайт на рискове за сигурността. Злобен човек може да поеме тяхната сесия, да редактира подробностите си и просто да предизвика хаос. Ако неоторизираната страна знае какво прави, може лесно да поеме акаунта на потребителя и да нанесе щети.

Какво да правя? Можете да излезете неактивни потребители автоматично след предварително определен период. И най-добрата част? Има плъгини за точно тази цел. Една популярна опция е Неактивно излизане плъгин, който включва опции за персонализиране на времето на празен ход преди излизане, персонализирано изскачащо съобщение или пренасочване при излизане и изчакване в зависимост от ролята на потребителя.

13. Сканиране за злонамерен софтуер и проблеми (редовно)

Често забравянето, сканирането на вашия уебсайт WordPress редовно може да ви помогне да идентифицирате проблеми със сигурността в началото. Нужна е само секунда, за да може хакер да влезе във вашия уебсайт и да направи всякакви гадни неща. Точно това е причината да стоиш винаги над всичко.

Много приставки за сигурност на WordPress за сканиране на злонамерени програми, известни уязвими места в сигурността, остарели скриптове, груби атаки, несъществуващи резервни копия и т.н. Плъгините ви изпращат подробни отчети за известни проблеми, така че можете да ги поправите или да наемете професионалист.

Има много скенери за уебсайтове, като например Sucuri SiteCheck, които можете да използвате, за да проверите вашия сайт на светкавица. Всичко, което трябва да направите, е да въведете URL адреса си и инструментите ще проверят вашия уебсайт автоматично. След това те ви предлагат отчет за това, което трябва да коригирате. След като разполагате с отчета, незабавно коригирайте всички уязвими места за сигурност.

14. Използвайте VPN

Ако имате уебсайт, който носи чувствителна информация, която никога не трябва да попадне в ръцете на хакери, помислете дали да използвате виртуална частна мрежа (VPN), още повече, когато използвате безплатен обществен Wi-Fi. VPN ви защитава от атаки от човек в средата, които са често срещани в обществените мрежи, включително у дома и на работа.

Виртуална частна мрежа гарантира, че дори ако нападателите получат достъп до системата и откраднат вашите данни, те не могат да направят нищо с данните, които вземат от вас. Ако имате интернет мрежа, която споделяте с много хора, винаги използвайте VPN, преди да получите достъп до администраторската си област на WordPress.

Други опции за защита на WordPress

Имате нужда от още за правене? Ще се радваме да запазим уебсайта си сигурен по всяко време, така че ето бонус елементи за сигурност, които да добавим към вашия списък за проверка:

  • Деактивирайте изпълнението на PHP файлове в / wp-content / wp-uploads /
  • Променете вашия префикс за база данни WordPress
  • Защита с парола на вашия администратор и входни страници от страна на сървъра
  • Деактивиране на индексирането на директория
  • Деактивирайте WP REST API и XML-RPC, ако не са необходими
  • Не редактирайте / променяйте ядрото на WordPress – напишете или използвайте приставка, която предлага функционалността, която ви е необходима
  • Уверете се, че вашият уебсайт използва последната версия на PHP
  • Използвайте антивирусна програма на вашия компютър
  • Активирайте конзолата за търсене на Google
  • Намалете уязвимостите на XSS и SQL инжектиране (може да се нуждаете от по-разумен човек, който да ви помогне с тези две)

Наистина броят на стъпките, които можете да предприемете, за да защитите сайта си, е безкраен. Но ако можете да проверите 14-те елемента, които сме изброили, това е огромна стъпка към осигуряването на вашия сайт.


Осигуряването на вашия уебсайт WordPress е предизвикателство, но не и невъзможно. С подходящите инструменти и умения можете бързо да втвърдите сигурността си в WordPress и да държите настрана лошите актьори.

Като резюме, винаги поддържайте уебсайта си актуален. На всичкото отгоре никога не изтегляйте теми или плъгини от недостоверни сайтове. И за да бъдете на сигурна страна, ако се случи най-лошото, винаги разполагате с надеждно резервно решение.

Надяваме се, че сте намерили всички съвети, от които се нуждаете, за да защитите вашия уебсайт WordPress, следователно и онлайн бизнес. Ако имате въпрос или се нуждаете от помощ, за да разберете как да защитите вашия уебсайт WordPress, моля, уведомете ни в коментарите. Пази се!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map