Jak zabezpieczyć witrynę WordPress

Czy wiesz, że zabezpieczenie witryny WordPress jest teraz ważniejsze niż kiedykolwiek ze względu na rosnącą częstotliwość i złożoność cyberataków? To trudna rzeczywistość, na ignorowanie której żadna firma internetowa nie może sobie pozwolić.

Według raportów Colorlib w 2023 r. codziennie hakowanych było ponad 13 000 witryn WordPress.

To oszałamiająca liczba, która oznacza, że ​​musisz zachować szczególną czujność, jeśli chodzi o zabezpieczenie swojej obecności w Internecie.

Ale nie ma powodu do paniki.

W tym poście omówimy kroki, które możesz podjąć, aby zapewnić bezpieczeństwo swojej witryny internetowej i chronić ją przed zagrożeniami cybernetycznymi, abyś mógł bez zmartwień skupić się na rozwoju swojej firmy.

Jeśli więc jesteś gotowy, aby przenieść bezpieczeństwo swojej witryny na wyższy poziom, przejdźmy do rzeczy!

1 Dlaczego warto zabezpieczyć witrynę WordPress?

Twoja witryna internetowa służy jako dom online, a WordPress jest platformą, która za nią stoi. Jednak podobnie jak fizyczny dom, Twoja witryna WordPress potrzebuje mocnych ścian, aby przeciwstawić się potencjalnym zagrożeniom.

Oto dlaczego zabezpieczenie Twojej witryny jest tak ważne:

Zabezpieczanie Twojej witryny internetowej i prywatności odwiedzających

Według danych średnio 69% zhakowanych witryn WordPress pada ofiarą przestarzałego oprogramowania i słabych haseł. To jakby zostawić otwarte drzwi wejściowe z wycieraczką powitalną dla cyberzłodziei.

Straty przedsiębiorstw wynikające z cyberprzestępczości sięgają bilionów rocznie, a WordPress jest częstym celem.

Dlatego ochrona wrażliwych danych, takich jak hasła, e-maile i dane finansowe, ma kluczowe znaczenie. Bezpieczna witryna internetowa zwiększa zaufanie i zaangażowanie użytkowników, a użytkownicy chętniej do niej wracają, co zwiększa lojalność odwiedzających i liczbę konwersji.

Zapobieganie naruszeniom danych i wstrzykiwaniu złośliwego oprogramowania

Naruszenia danych mogą spowodować utratę reputacji, problemy prawne i utratę zaufania klientów, a ich odzyskanie kosztuje firmy w USA średnio 9,44 mln dolarów.

Ponadto wstrzyknięcia złośliwego oprogramowania do zhakowanych witryn WordPress mogą przekierowywać odwiedzających do złośliwych witryn, szkodząc Twojemu rankingowi SEO i wygodzie użytkownika. Musisz więc zabezpieczyć swoją witrynę, aby zapobiec takim sytuacjom.

Zwiększ wydajność SEO swojej witryny

Google priorytetowo traktuje bezpieczeństwo, a bezpieczne witryny często cieszą się lepszymi rankingami SEO. Zabezpieczenie witryny WordPress może poprawić rankingi w wyszukiwarkach, przyciągając więcej ruchu organicznego.

Co więcej, złośliwe skrypty i wtyczki mogą spowalniać Twoją witrynę, wydłużając czas ładowania strony i frustrując użytkowników. Bezpieczna witryna internetowa działa sprawnie, zapewniając zadowolenie i zaangażowanie odwiedzających.

Zgodność z przepisami dotyczącymi ochrony danych

Przepisy dotyczące prywatności danych wymagają rygorystycznych środków bezpieczeństwa witryn internetowych w celu ochrony danych użytkowników. RODO i CCPA to tylko niektóre z przepisów, których muszą przestrzegać firmy.

Dlatego zabezpieczenie witryny WordPress jest niezbędne, aby uniknąć wysokich kar i komplikacji prawnych.

Pamiętaj, że bezpieczeństwo witryny internetowej nie jest jednorazową inwestycją, ale procesem ciągłym.

Podejmując proaktywne działania, możesz przekształcić swoją witrynę WordPress z podatnego celu w bezpieczną fortecę, chroniąc Twoje dane, reputację i sukces w Internecie.

2 metody zabezpieczenia witryny WordPress

Omówmy teraz różne metody zabezpieczenia witryny WordPress.

2.1 Podstawowe niezbędne środki bezpieczeństwa

Omówmy teraz ważne praktyki bezpieczeństwa, aby chronić Twoją witrynę WordPress przed potencjalnymi zagrożeniami.

Aktualizuj wszystko

Ochrona witryny WordPress jest prosta — dbaj o jej aktualność. Obejmuje to WordPress i jego podstawowe pliki, takie jak motywy i wtyczki.

Regularne aktualizacje są kluczowe, ponieważ często zawierają łatki bezpieczeństwa dla luk wykrytych w poprzednich wersjach.

Oprócz bezpieczeństwa aktualizacje wprowadzają także nowe funkcje i ulepszenia Twojej witryny.

Aby przejrzeć i zaktualizować witrynę WordPress oraz jej podstawowe pliki, zaloguj się do panelu i przejdź do Panel kontrolny → Aktualizacje .

Jeśli aktualizacja jest dostępna, kliknij przycisk Aktualizuj do wersji . W przypadku motywów i wtyczek przejdź do sekcji Motywy lub wtyczki , wybierz te wymagające aktualizacji i kliknij przycisk aktualizacji obok każdego z nich.

Aby zwiększyć bezpieczeństwo, rozważ włączenie automatycznych aktualizacji WordPress, wtyczek i motywów. Dzięki temu Twoja witryna pozostanie bezpieczna, nawet jeśli nie będziesz jej aktywnie monitorować.

Przed włączeniem automatycznych aktualizacji pamiętaj o regularnym tworzeniu kopii zapasowych swojej witryny. Dzięki temu środkowi można łatwo przywrócić witrynę, jeśli coś pójdzie nie tak w trakcie lub po aktualizacji.

Używaj silnych i unikalnych haseł

Możesz także zabezpieczyć swoją witrynę WordPress, używając silnych i unikalnych haseł. Słabe i łatwe do odgadnięcia hasła ułatwiają hakerom uzyskanie nieautoryzowanego dostępu do Twojej witryny.

Aby utworzyć silne i bezpieczne hasła, postępuj zgodnie z poniższymi wskazówkami:

• Wybierz minimum 12 znaków lub więcej.
• Mieszaj wielkie i małe litery, cyfry i znaki specjalne.
• Unikaj używania kolejnych numerów, powtarzających się znaków lub popularnych haseł, takich jak „hasło123”.
• Użyj innego hasła dla każdego konta online, w tym dla witryny WordPress.
• Rozważ skorzystanie z niezawodnego narzędzia do zarządzania hasłami w celu generowania i bezpiecznego przechowywania haseł.
• Jeśli to możliwe, unikaj haseł zawierających Twoją nazwę użytkownika lub nazwę witryny.

Pamiętaj, że instalując nową witrynę WordPress, zawsze zastąp domyślne hasło próbne silniejszym.

Jeśli jednak Twoja witryna WordPress jest już skonfigurowana, zmień hasło, przechodząc do opcji Użytkownicy → Profil , przewijając w dół i klikając przycisk Ustaw nowe hasło , aby uzyskać silne, losowe hasło.

Regularnie zmieniaj także hasło, za każdym razem używając silnych haseł.

Zainstaluj certyfikat SSL

Podczas zabezpieczania witryny WordPress ważna jest instalacja certyfikatu SSL. Certyfikat ten zapewnia, że ​​dane wymieniane pomiędzy Twoją witryną a odwiedzającymi są szyfrowane, zapewniając ochronę przed nieuprawnionym dostępem.

Uzyskania certyfikatu SSL można dokonać, kupując go od renomowanych dostawców lub uzyskując bezpłatny certyfikat za pośrednictwem dostawcy usług hostingowych.

Jeśli jednak zainstalowałeś już certyfikat SSL dla swojej witryny WordPress, ale nie pojawia się on w adresie URL Twojej witryny, istnieje sposób, aby go włączyć.

Po prostu przejdź do Ustawienia → Ogólne w panelu WordPress i zmodyfikuj „Adres WordPress (URL)” i „Adres witryny (URL)”, dodając na początku „https://” zamiast „http://”.

Jeżeli jednak w swojej witrynie napotkasz problemy związane z protokołem SSL, możesz je rozwiązać za pomocą wtyczek, takich jak „Really Simple SSL” lub „SSL Insecure Content Fixer”.

Wybierz Bezpieczny hosting

Aby zwiększyć bezpieczeństwo, wybierz renomowanego dostawcę usług hostingowych, znanego ze swoich środków bezpieczeństwa i niezawodności. Poszukaj funkcji takich jak zapory ogniowe, skanowanie złośliwego oprogramowania i ochrona przed atakami DDoS.

Upewnij się, że oferują regularne kopie zapasowe, obsługują bezpieczne protokoły, takie jak SFTP lub SSH, oraz aktualizują swoją infrastrukturę i oprogramowanie. Bezpieczny dostawca hostingu stanowi solidną podstawę bezpieczeństwa Twojej witryny WordPress.

Aby to wdrożyć, sprawdź dostawców usług hostingowych, przeczytaj recenzje i wybierz tego, który cieszy się dobrą reputacją w zakresie bezpieczeństwa.

Sprawdź ich funkcje, wsparcie i opcje tworzenia kopii zapasowych. Jeśli priorytetowo potraktujesz bezpieczne środowisko hostingowe, pomoże to chronić Twoją witrynę internetową i dane.

2.2 Zabezpiecz swoją witrynę WordPress

Omówmy teraz niektóre z najskuteczniejszych sposobów zabezpieczenia witryny WordPress, w tym sposoby zapobiegania nieautoryzowanemu dostępowi, ochrony danych i zmniejszania ryzyka cyberataków.

Używaj bezpiecznych motywów i wtyczek

Wybierając motywy i wtyczki do swojej witryny WordPress, ważne jest, aby wybierać je z renomowanych źródeł, takich jak oficjalne repozytorium WordPress lub MyThemeShop.

Źródła te przeprowadzają dokładne kontrole bezpieczeństwa i stale dostarczają aktualizacje, aby zapewnić bezpieczeństwo swoich produktów.

Jednakże ważne jest, aby unikać używania motywów lub wtyczek z nieznanych lub niewiarygodnych źródeł, zwłaszcza motywów i wtyczek o wartości zerowej. Mogą one zawierać luki w zabezpieczeniach lub złośliwy kod, który może zagrozić bezpieczeństwu Twojej witryny.

Przed zainstalowaniem motywu lub wtyczki poświęć trochę czasu na przejrzenie ocen, przeczytaj opinie użytkowników i oceń częstotliwość aktualizacji, aby upewnić się, że jest on godny zaufania i aktywnie utrzymywany.

Dzięki temu Twoja witryna internetowa pozostanie bezpieczna i aktualna dzięki najnowszym środkom bezpieczeństwa.

Regularnie twórz kopie zapasowe swojej witryny WordPress

Regularne tworzenie kopii zapasowych danych witryny jest niezbędne do ochrony jej przed zdarzeniami związanymi z bezpieczeństwem, utratą danych i problemami z witryną. Dzięki najnowszym kopiom zapasowym możesz szybko przywrócić witrynę w przypadku cyberataków i zminimalizować przestoje.

Ogólnie zaleca się codzienne tworzenie kopii zapasowych, szczególnie w przypadku witryn zawierających dużą ilość treści i duży ruch.

Ponadto ważne jest okresowe testowanie kopii zapasowych, aby zapewnić ich niezawodność. Jednym ze sposobów uproszczenia procesu tworzenia kopii zapasowych jest użycie wtyczek oferujących takie funkcje, jak zaplanowane kopie zapasowe i opcje zdalnego przechowywania.

Możesz zapoznać się z naszym szczegółowym postem na temat tworzenia kopii zapasowej witryny WordPress.

Ogranicz próby logowania

Innym sposobem zabezpieczenia Twojej witryny jest ograniczenie prób logowania w Twojej witrynie, co ogranicza liczbę nieudanych prób logowania z jednego adresu IP.

Utrudnia to hakerom uzyskanie nieautoryzowanego dostępu poprzez odgadnięcie danych logowania.

Ograniczając próby logowania, możesz dodać warstwę ochrony przed atakami typu brute-force na swoją witrynę WordPress.

Oto jak możesz ograniczyć próby logowania się do witryny:

• Zainstaluj i aktywuj wtyczkę, taką jak Limit ponownego logowania, z katalogu wtyczek WordPress. Aby uzyskać więcej informacji, zapoznaj się z naszym przewodnikiem krok po kroku dotyczącym instalacji wtyczki WordPress.
• Po aktywacji przejdź do strony ustawień. Następnie przewiń do sekcji „Ustawienia aplikacji”.
• W opcji Blokada skonfiguruj maksymalną liczbę prób logowania dozwoloną przed zablokowaniem adresu IP.

• Ustaw czas trwania okresu blokady dla zablokowanych adresów IP.
• Opcjonalnie włącz powiadomienia e-mail, aby otrzymywać powiadomienia o blokadach lub podejrzanych próbach logowania. Możesz zobaczyć tę opcję w Ustawieniach ogólnych.

Po prawidłowej konfiguracji liczba prób logowania do witryny będzie ograniczona, a dostęp do strony logowania dla każdego adresu IP przekraczającego określoną liczbę nieudanych prób logowania zostanie tymczasowo zablokowany.

Włącz 2FA (uwierzytelnianie dwuskładnikowe)

Włączenie uwierzytelniania dwuskładnikowego (2FA) dodaje dodatkową warstwę zabezpieczeń do witryny WordPress, wymagając od użytkowników podania dwóch form weryfikacji podczas logowania.

Podobnie jak w przypadku Google, Facebooka i Twittera, możesz wzmocnić swoją witrynę WordPress za pomocą tej funkcji, znacznie zmniejszając ryzyko nieautoryzowanego dostępu, nawet jeśli Twoje hasło zostanie naruszone.

Oto jak:

• Zainstaluj i aktywuj wtyczkę „Wordfence Login Security”. Po aktywacji przejdź do menu „Bezpieczeństwo logowania”.
• Znajdź kod QR i klucz w zakładce „Uwierzytelnianie dwuskładnikowe”. Będziesz więc musiał go zeskanować, aby aktywować moduł uwierzytelniający w swojej witrynie.

• Następnie pobierz i zainstaluj aplikację Google Authenticator na swoim telefonie; użyjesz go do zeskanowania kodu QR w celu aktywacji na Twojej stronie internetowej.
• Otwórz aplikację i wybierz opcję „Zeskanuj kod QR”, aby zeskanować kod, lub wprowadź klucz instalacyjny ręcznie.
• Gdy aplikacja zweryfikuje kod, udostępnia unikalny kod. Skopiuj ten kod do wyznaczonego pola w sekcji kodów odzyskiwania.
• Kliknij przycisk AKTYWUJ , aby zakończyć konfigurację.

Nie zapomnij pobrać pięciu kodów odzyskiwania za pomocą przycisku POBIERZ . Kody te są niezbędne w przypadku utraty telefonu i zapewniają ciągły dostęp do Twojej witryny.

Korzystaj z solidnych rozwiązań antyspamowych

Spam może być uciążliwy i powodować zagrożenia bezpieczeństwa, negatywnie wpływać na wygodę użytkownika i negatywnie wpływać na wydajność witryny.

Aby skutecznie zapobiegać spamowi na Twojej stronie, możesz skorzystać z wtyczki WordPress „Akismet Anti-spam”.

Akismet to potężna wtyczka do filtrowania spamu opracowana przez Automattic, firmę stojącą za WordPressem. Zwykle jest dostarczany z preinstalowanym WordPressem, wystarczy go aktywować i uzyskać klucz API.

Aby uzyskać klucz API, musisz zarejestrować się na stronie Akismet, a następnie wprowadzić go w polu Klucz API na stronie wtyczki w panelu WordPress.

Po pomyślnym podłączeniu klucza API wtyczka Akismet będzie wykorzystywać zaawansowane algorytmy do automatycznego analizowania komentarzy i formularzy w Twojej witrynie, skutecznie odfiltrowując spam.

Alternatywnie możesz wybrać wtyczkę „Antispam Bee”, która służy podobnemu celowi.

Zmień domyślną nazwę użytkownika administratora

Podczas instalacji witryny WordPress domyślna nazwa użytkownika jest zwykle ustawiana jako „admin”. Zdarzają się jednak przypadki, w których użytkownicy omyłkowo pozostawiają tę nazwę użytkownika bez zmian.

Hakerzy często atakują powszechnie znaną nazwę użytkownika „admin”, co ułatwia im szkodliwe działania. Aby zwiększyć bezpieczeństwo witryny, należy zmienić nazwę użytkownika administratora, co utrudni atakującym odgadnięcie i uzyskanie nieautoryzowanego dostępu.

Niestety WordPress nie oferuje bezpośredniej opcji modyfikacji nazw użytkowników po zakończeniu instalacji.

Aby to ominąć, należy zainstalować i włączyć wtyczkę „Zmień nazwę użytkownika”. Po aktywacji przejdź do Użytkownicy → Wszyscy użytkownicy , wybierz użytkownika o nazwie „admin” i kliknij „Edytuj”.

Na stronie Profil znajdź opcję „Nazwa użytkownika” i kliknij Zmień . Następnie wybierz nową nazwę użytkownika dla konta administratora, najlepiej unikalną i niezwiązaną z nazwą Twojej witryny.

Na koniec przewiń w dół strony i kliknij przycisk Aktualizuj profil , aby zapisać zmiany. WordPress automatycznie zaktualizuje nazwę użytkownika administratora.

Zmiana nazwy użytkownika administratora nie będzie miała wpływu na zawartość ani ustawienia Twojej witryny. Jedyna zmiana dotyczy nazwy użytkownika umożliwiającej dostęp do panelu administracyjnego.

Zmień domyślny adres URL „wp-login”.

Każdy wie, że domyślny adres URL logowania do witryny opartej na WordPressie zazwyczaj kończy się na „wp-login”.

Będziesz jednak musiał zmienić ten wzorzec adresu URL, aby utrudnić innym dostęp do adresu URL logowania, nie mówiąc już o próbie użycia danych logowania.

Aby zmienić domyślny adres URL „wp-login”, wykonaj następujące kroki:

• Zainstaluj i aktywuj wtyczkę „WPS Hide Login” z katalogu wtyczek WordPress.
• Po aktywacji przejdź do Ustawienia → WPS Ukryj logowanie, co przeniesie Cię na sam dół ogólnych ustawień witryny WordPress.
• Następnie dodaj niestandardowy adres URL logowania, który jest unikalny i trudny do odgadnięcia.

• Następnie zapisz zmiany, a wtyczka automatycznie zaktualizuje adres URL logowania.

Po ustawieniu niestandardowego adresu URL logowania będziesz musiał uzyskać dostęp do nowego adresu URL, aby zalogować się do panelu administracyjnego WordPress. Domyślny adres URL „wp-login” nie będzie już dostępny.

Zaleca się wybranie niestandardowego adresu URL logowania, aby był łatwy do zapamiętania, ale trudny do odgadnięcia przez innych.

Regularnie skanuj swoją witrynę

Aby zapewnić bezpieczeństwo witryny WordPress, należy regularnie skanować w poszukiwaniu potencjalnych zagrożeń bezpieczeństwa, złośliwego oprogramowania lub podejrzanych działań. Ten proaktywny środek pomaga zachować integralność Twojej witryny.

Zainstaluj i aktywuj wtyczkę zabezpieczającą, taką jak Sucuri Security, z katalogu wtyczek WordPress, aby wykonywać regularne skanowanie.

Po aktywacji przejdź do Sucuri Security → Dashboard , gdzie możesz rozpocząć skanowanie. Wtyczka domyślnie wykonuje codzienne skanowanie, ale możesz dostosować częstotliwość w ustawieniach.

Po każdym skanowaniu przejrzyj wyniki dostarczone przez wtyczkę i na ich podstawie podejmij niezbędne działania. To rutynowe monitorowanie zapewnia ciągłe bezpieczeństwo Twojej witryny WordPress.

Niektóre wyniki skanowania mogą obejmować usunięcie złośliwego oprogramowania, aktualizację wtyczek lub motywów lub usunięcie wykrytych luk.

Zawsze sprawdzaj działania witryny i użytkowników

Monitorowanie witryny i działań użytkowników ma kluczowe znaczenie dla zapewnienia bezpieczeństwa Twojej witryny WordPress.

Śledząc działania podejmowane na Twojej stronie, możesz szybko wykryć wszelkie podejrzane lub nieautoryzowane działania i podjąć niezbędne działania, aby skutecznie im zaradzić.

Aby monitorować aktywność na stronie, możesz skorzystać z funkcji Dzienniki audytu wtyczki Sucuri. Uzyskaj dostęp do panelu kontrolnego Sucuri i przewiń w dół, aż znajdziesz kartę Dzienniki audytu .

W tych dziennikach znajdziesz szczegółowe informacje, takie jak próby logowania, modyfikacje plików, instalacje wtyczek i inne.

Możesz także przejść do sekcji Ostatnie logowanie , aby sprawdzić i śledzić działania związane z logowaniem do witryny, w tym udane i nieudane próby.

Jeśli wykryjesz jakiekolwiek podejrzane działania, podejmij natychmiastowe działania w celu zbadania i ograniczenia potencjalnych zagrożeń bezpieczeństwa.

Inną opcją jest użycie samodzielnej wtyczki o nazwie „Prosta historia” do monitorowania dzienników aktywności w witrynie. To narzędzie zapewnia cenny wgląd w działania użytkowników i pomaga utrzymać bezpieczne środowisko WordPress.

Skonfiguruj system alertów bezpieczeństwa

Skonfigurowanie systemu alertów bezpieczeństwa gwarantuje, że będziesz otrzymywać na czas powiadomienia o potencjalnych problemach z bezpieczeństwem lub zmianach w witrynie WordPress.

Dzięki natychmiastowemu otrzymywaniu alertów możesz natychmiast zaradzić wszelkim zagrożeniom i lukom w zabezpieczeniach.

Możesz użyć funkcji Alerty we wtyczce Sucuri, aby otrzymywać powiadomienia o aktywności w witrynie. Przejdź do sekcji Ustawienia i wybierz kartę Alerty .

Na karcie Alerty dodaj adres e-mail, na który chcesz otrzymywać alerty, ustaw częstotliwość i określ typ alertu bezpieczeństwa.

Sprawdź, czy podane dane kontaktowe do powiadomień o alertach są dokładne i aktualne. Ta funkcja jest również powszechnie dostępna w innych wtyczkach bezpieczeństwa.

2.3 Zaawansowane środki bezpieczeństwa

Przyjrzyjmy się teraz zaawansowanym środkom bezpieczeństwa, które możesz podjąć, aby zwiększyć bezpieczeństwo swojej witryny WordPress.

Skonfiguruj blokowanie geograficzne, aby blokować adresy IP

Wdrożenie blokowania GEO w witrynie WordPress umożliwia ograniczenie dostępu z określonych krajów lub regionów poprzez blokowanie adresów IP powiązanych z tymi lokalizacjami.

Może to pomóc zwiększyć bezpieczeństwo Twojej witryny, uniemożliwiając dostęp potencjalnym złośliwym podmiotom lub regionom wysokiego ryzyka.

Możesz blokować adresy IP za pomocą panelu WordPress, cPanelu, wtyczki WordPress, .htaccess i pliku config.php.

Blokowanie GEO może skutecznie blokować dostęp z określonych regionów, ale może nie być niezawodne.

Niektóre adresy IP mogą być przypisywane dynamicznie lub łatwo sfałszowane, dlatego zalecamy stosowanie blokowania GEO w połączeniu z innymi środkami bezpieczeństwa.

Włącz ochronę zapory aplikacji internetowych

Zapora aplikacji sieci Web (WAF) działa jak bariera ochronna między witryną a potencjalnymi zagrożeniami, odfiltrowując złośliwy ruch i blokując znane wzorce ataków.

Opcję ochrony WAF możesz włączyć bezpłatnie korzystając z wtyczki Wordfence Security. Musisz więc zainstalować i aktywować wtyczkę na swojej stronie WordPress.

Po aktywacji przejdź do Wordfence → Zapora sieciowa i włącz zaporę Wordfence. Następnie zarządzaj ustawieniami zapory zgodnie ze swoimi preferencjami, np. włączając reguły WAF i zaawansowane opcje zapory.

Następnie zapisz ustawienia, a wtyczka Wordfence zacznie zapewniać ochronę WAF dla Twojej witryny.

Włączając Wordfence WAF, Twoja witryna będzie chroniona przed typowymi zagrożeniami bezpieczeństwa, takimi jak wstrzykiwanie SQL, ataki typu cross-site scripting (XSS) i próby logowania metodą brute-force.

WAF stale monitoruje i filtruje ruch przychodzący, aby blokować złośliwe żądania, zanim dotrą one do Twojej witryny.

Wyłącz Trackbacki i Pingbacki

Trackbacki i pingbacki to metody, których WordPress używa do powiadamiania innych witryn, gdy Twoja witryna zawiera linki do ich treści. Mogą jednak zostać wykorzystane przez spamerów do szkodliwych celów.

Aby wyłączyć trackbacki i pingbacki, wykonaj następujące kroki:

• Zaloguj się do panelu administracyjnego WordPress.
• Przejdź do sekcji „Ustawienia” i kliknij „Dyskusja”.
• W sekcji „Domyślne ustawienia postów” odznacz pole obok „Zezwalaj na powiadomienia o linkach z innych blogów (pingbacki i trackbacki) w nowych postach”.

• Przewiń w dół i kliknij przycisk Zapisz zmiany .

Wyłączenie trackbacków i pingbacków uniemożliwia Twojej witrynie WordPress wysyłanie i odbieranie tych powiadomień.

Pomaga to zmniejszyć niepotrzebne obciążenie serwera i potencjalne ryzyko bezpieczeństwa związane ze spamem lub złośliwymi żądaniami śledzenia/pingbacku.

Skonfiguruj dokładne uprawnienia do plików

Uprawnienia do plików określają poziom dostępu i kontroli różnych użytkowników lub procesów nad plikami i katalogami Twojej witryny.

Jeśli uprawnienia do plików są odpowiednio skonfigurowane, możesz ograniczyć nieautoryzowany dostęp i zapobiec potencjalnym naruszeniom bezpieczeństwa.

Aby skonfigurować dokładne uprawnienia do plików w witrynie WordPress, postępuj zgodnie z poniższymi ogólnymi wskazówkami:

• Użyj klienta FTP lub panelu sterowania hostingu, aby uzyskać dostęp do plików swojej witryny.
• Zidentyfikuj główne katalogi i pliki wymagające dostosowania uprawnień, takie jak katalog wp-content, plik wp-config.php i plik .htaccess.
• Ustaw uprawnienia „katalogu” na 755, co pozwala właścicielowi na odczytywanie, zapisywanie i wykonywanie plików, jednocześnie ograniczając innym dostęp tylko do odczytu i wykonywania.

• Ustaw uprawnienia „pliku” na 644, co pozwala właścicielowi na odczytywanie i zapisywanie plików, jednocześnie ograniczając innych do trybu tylko do odczytu.
• W przypadku bardziej wrażliwych plików, takich jak plik wp-config.php, ustaw uprawnienia na 600, co zapewnia właścicielowi jedynie dostęp do odczytu i zapisu.

To jest tylko ustawienie ogólne, więc skontaktuj się z pomocą techniczną swojego dostawcy usług hostingowych, aby uzyskać szczegółowe wskazówki, ponieważ zalecane uprawnienia do plików mogą się różnić w różnych środowiskach hostingowych.

Wyłącz raportowanie błędów

Wyłączenie raportowania błędów to ważna praktyka bezpieczeństwa, która pomaga chronić witrynę WordPress, zapobiegając potencjalnemu ujawnieniu poufnych informacji osobom atakującym.

Dzienniki błędów mogą przypadkowo ujawnić szczegóły dotyczące konfiguracji Twojej witryny lub kodu źródłowego, co może zostać wykorzystane przez złośliwe osoby.

Aby wyłączyć raportowanie błędów, wykonaj następujące kroki:

• Uzyskaj dostęp do katalogu głównego swojej witryny za pośrednictwem klienta FTP lub cPanelu.
• W katalogu głównym lub public_html znajdź plik wp-config.php.
• Dla bezpieczeństwa pobierz kopię zapasową pliku wp-config.php.
• Kliknij prawym przyciskiem myszy plik wp-config.php i wybierz „Edytuj”, aby go otworzyć.
• Znajdź wiersz define('WP_DEBUG', true);
• Zamień „true” na „false”, co spowoduje define('WP_DEBUG,' false); jak pokazano niżej.

• Upewnij się, że zapisałeś zmiany po modyfikacji pliku wp-config.php.

Wyłączenie raportowania dziennika błędów zapobiega wyświetlaniu użytkownikom potencjalnych komunikatów o błędach lub ostrzeżeń, w tym poufnych informacji, które mogą być przydatne dla osób atakujących.

Jednak wyłączenie raportowania błędów nie oznacza, że ​​należy całkowicie ignorować błędy. Nadal powinieneś monitorować swoją witrynę pod kątem wszelkich problemów i szybko je rozwiązywać.

Zabezpiecz swój plik wp-config.php

Plik wp-config.php jest krytycznym elementem instalacji WordPressa, ponieważ zawiera poufne informacje, takie jak dane uwierzytelniające bazy danych i klucze bezpieczeństwa.

Podjęcie kroków w celu zabezpieczenia tego pliku jest niezbędne, aby chronić witrynę WordPress przed potencjalnymi naruszeniami bezpieczeństwa.

Oto kilka zalecanych środków zabezpieczających plik wp-config.php:

1. Rozważ przeniesienie pliku wp-config.php do katalogu poza głównym folderem WWW. Uniemożliwia to bezpośredni dostęp do pliku z Internetu, co utrudnia atakującym wykorzystanie jakichkolwiek luk.
2. Upewnij się, że uprawnienia do plików wp-config.php są poprawnie skonfigurowane, korzystając z zalecanych uprawnień omówionych wcześniej.
3. Konfigurując witrynę WordPress, używaj silnych, unikalnych i złożonych poświadczeń bazy danych. Obejmuje to używanie silnej nazwy użytkownika i hasła bazy danych.
4. Dodaj większą ochronę do pliku wp-config.php, dodając następujące reguły do ​​pliku .htaccess swojej witryny.

 <files wp-config.php> order allow,deny deny from all </files>

Reguły te mogą odmówić dostępu do pliku dla wszystkich adresów IP.

Wyłącz wykonywanie plików PHP w niektórych katalogach WordPress

Możesz także zwiększyć bezpieczeństwo swojej witryny WordPress, wyłączając wykonywanie plików PHP w określonych katalogach. Pomaga to zapobiec wykonywaniu lub uruchamianiu plików PHP znajdujących się w tych katalogach w Twojej witrynie.

Aby wyłączyć wykonywanie pliku PHP, zmodyfikuj plik .htaccess w katalogach docelowych, często tam, gdzie znajduje się treść wygenerowana przez użytkowników, np. w katalogu wp-content/uploads .

Możesz to zrobić otwierając plik .htaccess w edytorze tekstu i dodając następujące linie:

 <Files *.php> deny from all </Files>

Następnie zapisz ten plik jako .htaccess i prześlij go do folderów /wp-content/uploads/ na swojej stronie internetowej za pomocą klienta FTP lub Menedżera plików.

Linie te instruują serwer, aby odmówił dostępu do dowolnego pliku z rozszerzeniem .php w określonym katalogu.

Alternatywnie możesz to zrobić jednym kliknięciem, korzystając z funkcji Hartowanie we wspomnianej powyżej wtyczce Sucuri.

2.4 Dodatkowe środki bezpieczeństwa

Omówmy dodatkowe środki bezpieczeństwa, które możesz podjąć, aby jeszcze bardziej zabezpieczyć witrynę WordPress.

Automatycznie wyloguj bezczynnych użytkowników w WordPress

Gdy użytkownicy pozostają zalogowani, ale nieaktywni przez pewien czas, stwarza to ryzyko nieuprawnionego dostępu lub manipulacji kontem.

Aby złagodzić tę lukę w zabezpieczeniach, konieczne będzie wylogowanie bezczynnych użytkowników.

Aby to zrobić, musisz zainstalować i aktywować wtyczkę Inactive Logout. Po aktywacji przejdź do Ustawienia → Nieaktywne wylogowanie, aby skonfigurować ustawienia wtyczki.

Automatyczne wylogowywanie nieaktywnych użytkowników zmniejsza ryzyko przejęcia ich sesji lub wprowadzenia nieautoryzowanych zmian na kontach.

Jest to szczególnie ważne w przypadku witryn, które przetwarzają poufne informacje lub posiadają konta użytkowników z uprawnieniami administracyjnymi.

Ukryj wersję WordPress

Publiczne wyświetlanie wersji WordPress może ułatwić atakującym wybranie luk w zabezpieczeniach związanych z tą konkretną wersją WordPress.

Aby ukryć wersję WordPress, zmodyfikuj plikfunctions.php motywu lub użyj wtyczki zabezpieczającej.

Dostępnych jest kilka różnych metod, ale zalecamy zapoznanie się z naszym przewodnikiem dotyczącym ukrywania wersji WordPress, aby uzyskać szczegółowe instrukcje.

Ukryj nazwę motywu witryny WordPress

Kiedy atakujący mogą łatwo zidentyfikować motyw WordPress, którego używasz w swojej witrynie, łatwiej jest im wykorzystać znane luki w zabezpieczeniach powiązane z tym motywem.

Ukrywając nazwę motywu, utrudniasz atakującym zebranie informacji o konfiguracji Twojej witryny i potencjalne wykorzystanie wszelkich słabych punktów. Dodaje to dodatkową warstwę bezpieczeństwa do Twojej witryny WordPress.

Aby ukryć nazwę motywu swojej witryny, postępuj zgodnie z naszym przewodnikiem krok po kroku, jak ukryć nazwę motywu WordPress.

Wyłącz edycję plików w panelu WordPress

WordPress ma wbudowany edytor kodu, który umożliwia edycję plików motywów i wtyczek z obszaru administracyjnego WordPress.

Jeśli haker uzyska nieautoryzowany dostęp do pulpitu nawigacyjnego WordPress, może podjąć próbę modyfikacji niektórych plików poprzez wstrzyknięcie złośliwego kodu.

Dlatego zalecamy wyłączenie tej funkcji, ponieważ może ona stanowić zagrożenie dla bezpieczeństwa. Aby to zrobić, musisz dodać następujący kod do pliku wp-config.php swojej witryny.

 // Disallow file edit define( 'DISALLOW_FILE_EDIT', true );

Po wdrożeniu tej zmiany użytkownicy z uprawnieniami administratora nie będą już mogli uzyskać dostępu do edytora motywów i wtyczek w panelu administracyjnym WordPress.

Jednak nawet po wyłączeniu edycji plików nadal możesz wprowadzać zmiany w plikach motywu i wtyczek, uzyskując do nich dostęp za pośrednictwem FTP lub Menedżera plików.

Zmień domyślny prefiks tabeli bazy danych

Domyślnie WordPress używa przedrostka „wp_” w swoich tabelach bazy danych, co może ułatwić atakującym identyfikację Twojej witryny i obranie za nią celu.

Aby zwiększyć bezpieczeństwo, rozważ zmianę prefiksu tabeli, co utrudni potencjalne exploity.

Dostosowanie prefiksu obejmuje modyfikację pliku wp-config.php i phpMyAdmin. Ten ręczny proces niesie ze sobą ryzyko uszkodzenia witryny, jeśli nie jest poprawnie skonfigurowany.

Dlatego zalecamy użycie metody wtyczki.

Zainstaluj i aktywuj wtyczkę Brozzme DB Prefix & Tools Addons. Po aktywacji przejdź do Narzędzia → PREFIKS DB.

Zmień prefiks tabeli bazy danych we wtyczce na unikalną i mniej przewidywalną kombinację liter, cyfr i znaku podkreślenia. Unikaj znaków specjalnych i spacji.

Przed wprowadzeniem zmian wykonaj kopię zapasową bazy danych witryny. Upewnij się, że wp-config.php można zapisywać na serwerze i sprawdź, czy włączone są prawa MySQL ALTER, aby uniknąć potencjalnych problemów.

To ostrożne podejście zapewnia płynniejsze przejście przy minimalnym ryzyku dla funkcjonalności Twojej witryny.

Po dokonaniu niezbędnych korekt zapisz zmiany klikając przycisk Zmień prefiks DB .

Wyłącz XML-RPC w WordPress

XML-RPC to funkcja WordPress, która ułatwia łączność między Twoją witryną a aplikacjami internetowymi lub mobilnymi. Zostało włączone automatycznie, począwszy od WordPress 3.5.

Może jednak służyć również jako potencjalne narzędzie wzmacniania ataków brute-force lub DDoS na Twoją witrynę internetową.

Po włączeniu XML-RPC haker może użyć jednej funkcji do wykonania wielu prób logowania przy użyciu tysięcy haseł, w przeciwieństwie do sytuacji bez tej funkcji, gdzie dla każdego hasła wymagane byłyby osobne próby. Stanowi to poważne zagrożenie dla bezpieczeństwa.

Aby uniknąć tego ryzyka, zaleca się wyłączenie XML-RPC, jeśli nie używasz go aktywnie, poprzez dodanie kodu do pliku .htaccess swojej witryny.

Uzyskaj dostęp do plików swojej witryny za pomocą klienta FTP lub panelu sterowania hostingu, zlokalizuj plik .htaccess w katalogu głównym i dodaj następujący kod:

 # Disable XML-RPC <Files xmlrpc.php> Order Deny,Allow Deny from all </Files>

Jeśli jednak nie chcesz korzystać z tej metody, możesz użyć wtyczki zabezpieczającej WordPress, takiej jak Simple Disable XML-RPC.

Zainstaluj i aktywuj wtyczkę, po aktywacji przejdź do opcji Proste wyłączenie XML-RPC , zaznacz opcję Wyłącz XML-RPC i zapisz zmiany.

Jeśli używasz wspomnianej wcześniej zapory sieciowej aplikacji internetowej, zapora sieciowa może się tym zająć.

Wyłącz Hotlinkowanie

Wyłączenie funkcji hotlinkowania to środek bezpieczeństwa, który pomaga chronić przepustowość Twojej witryny i uniemożliwia innym osobom bezpośrednie łączenie się z obrazami i innymi plikami multimedialnymi w Twojej witrynie.

Hotlinkowanie oznacza używanie obrazów lub adresów URL multimediów znajdujących się w Twojej witrynie na innych stronach internetowych, przy użyciu zasobów Twojego serwera bez Twojej zgody.

Aby łatwo wyłączyć hotlinkowanie, zainstaluj i aktywuj wtyczkę WordPress All-In-One Security (AIOS).

Po aktywacji przejdź do WP Security → Filesystem Security i wybierz zakładkę File Protection . Przewiń w dół i włącz sekcję Zapobiegaj łączeniu obrazów , jak pokazano poniżej.

Pamiętaj o zapisaniu ustawień.

Wyłącz indeksowanie i przeglądanie katalogów

Wyłączenie indeksowania katalogów i przeglądania jest ważnym środkiem bezpieczeństwa, który zapobiega nieautoryzowanemu dostępowi do zawartości katalogów Twojej witryny.

Domyślnie niektóre serwery internetowe pozwalają na indeksowanie katalogów, co oznacza, że ​​jeśli w katalogu nie ma pliku indeksu (takiego jak indeks.html lub indeks.php), serwer wyświetli listę plików i folderów w tym katalogu.

Może to ujawnić poufne informacje i ułatwić atakującym identyfikację luk w zabezpieczeniach.

Aby zapobiec nieautoryzowanemu dostępowi do plików, kopiowaniu obrazów i ujawnianiu struktury katalogów, zdecydowanie zaleca się wyłączenie indeksowania i przeglądania katalogów.

Uzyskaj dostęp do plików swojej witryny poprzez klienta FTP lub panel sterowania hostingu. W katalogu głównym instalacji WordPress zlokalizuj plik .htaccess.

Otwórz plik .htaccess w edytorze tekstu i dołącz następujący kod na końcu:

 # Disable Directory Indexing and Browsing Options -Indexes

Zapisz zmiany w pliku .htaccess i prześlij je z powrotem na serwer, w razie potrzeby zastępując istniejący plik.

Użyj nagłówków bezpieczeństwa

Nagłówki bezpieczeństwa instruują przeglądarkę w zakresie obsługi niektórych aspektów Twojej witryny, zapewniając dodatkową ochronę przed typowymi lukami w zakresie bezpieczeństwa.

Oto kilka typowych nagłówków bezpieczeństwa i ich korzyści:

• Nagłówek do ochrony X-XSS blokuje złośliwe zastrzyki skryptowe, aby zapobiec atakom skryptów krzyżowych (XSS).
• Nagłówek typu X-Content-Option zapobiega zabezpieczeniom zabezpieczenia spowodowanego wąchaniem typu MIME.
• Nagłówek surowca-transportu (HSTS) zapewnia bezpieczne połączenia poprzez egzekwowanie HTTPS.
• Nagłówek treści-bezpieczeństwa (CSP) umożliwia ustalenie zasad bezpieczeństwa w celu ochrony przed różnymi atakami.

Aby wdrożyć te nagłówki bezpieczeństwa w witrynie WordPress, musisz zainstalować i aktywować wtyczkę generatora nagłówków bezpieczeństwa.

Po instalacji przejdź do sekcji nagłówków bezpieczeństwa . Tam możesz poświęcić czas i skonfigurować wtyczkę do swoich preferencji.

Podczas wdrażania nagłówków bezpieczeństwa konieczne jest dokładne przetestowanie witryny, aby upewnić się, że nie są one sprzeczne z żadnymi istniejącymi funkcjami, ponieważ mają tendencję do łamania stron internetowych.

Możesz także korzystać z narzędzi online, takich jak SecurityHeaders.com, aby sprawdzić skuteczność i poprawić wdrożenie nagłówków bezpieczeństwa.

Jeśli używasz wtyczek bezpieczeństwa, takich jak „All-in-One Security (AIOS)” lub „WordFence”, możesz łatwo skonfigurować nagłówki bezpieczeństwa witryny za pomocą ich opcji, eliminując potrzebę wcześniejszej wtyczki.

3 Wniosek

Zabezpieczenie witryny WordPress ma kluczowe znaczenie dla ochrony jej przed potencjalnymi zagrożeniami i lukami.

Zatem instalacja solidnej wtyczki bezpieczeństwa, takiego jak „All-in-One Security (AIOS)” może być pomocne, ponieważ oferuje szeroki zakres funkcji obejmujących większość środków bezpieczeństwa omówionych w tym poście.

Jednak samo zainstalowanie wtyczki bezpieczeństwa nie wystarczy. Musisz poświęcić czas na przejrzenie wszystkich dostępnych opcji i dostosowanie ustawień wtyczki do Twoich potrzeb.

Ale jeśli masz unikalne wymagania bezpieczeństwa, które nie są objęte wtyczką, rozważ zainstalowanie dodatkowych wtyczek lub wykorzystanie niestandardowych kodów w celu zaspokojenia tych potrzeb.

Zawsze jest dobrą praktyką, aby wykonać kopię zapasową witryny przed wprowadzeniem zmian kodu lub aktywacją nowych wtyczek w celu ograniczenia ryzyka.

Ponadto regularne aktualizowanie wtyczek WordPress, przeglądanie powiadomień lub wyników oraz bycie na bieżąco z najnowszymi wiadomościami bezpieczeństwa i najlepszymi praktykami może znacznie zmniejszyć ryzyko naruszenia bezpieczeństwa.

Czy ten post pomógł ci zabezpieczyć witrynę WordPress? Jeśli tak, możesz podzielić się swoimi przemyśleniami, tweetując @Rankmathseo.