Egyszerű biztonsági ellenőrzőlista a WordPress webhelyekhez

Egyszerű biztonsági ellenőrzőlista a WordPress webhelyekhez

Tudta, hogy több mint 100 000 webhelyet hackelnek minden nap? Így van, a számítógépes bűnözés komoly fenyegetést jelent minden vállalkozás számára, és a WordPress webhelyet tartó személyek sem biztonságosak. Volt egy hackerek bejáratása (és vissza kellett állítanom a WordPress webhelyem), és valószínűleg tudod, hogy csúnya.


A hackerek aktívan keresnek kiszolgáltatott webhelyeket az adatok megsemmisítésére és ellopására, amelyeket pénzbeli haszon vagy tiszta rosszindulatú szándék miatt bocsáthatnak el. Saját és értékes webhelyének védelme érdekében komolyan fontolnia kell a WordPress biztonságának megszilárdítását.

Tekintettel arra, hogy veszít bevételt, időt és erőfeszítéseket, amikor a hackerek behatolnak webhelyére, a következő biztonsági ellenőrző listát készítettük, amelyet felhasználhat a WordPress webhelyének biztonságához. Az összes biztonsági elem a postában viszonylag könnyű megvalósítani, még az elsőszülők számára is:

Mint láthatja, az oszlop több részre bontható, mindent lefedve, a biztonságos host megválasztásától kezdve az adminisztrátorok és a többiek keményítéséig. Meg kell ismételnie néhány biztonsági feladatot, például a témák rendszeres frissítését. A többi feladat egyszeri dolog, ám ennek ellenére jelentős hatása van a webhely biztonságának megőrzésére. Ellenőrizze, mit kell javítania, és azonnal megteszi, mert a hackerek sem pazarolják az idejét.

Egyszerű WordPress biztonsági ellenőrzőlista

1. Frissítse a WordPress programot

A WordPress magot rendszeresen ellenőrzik és ellenőrzik a biztonsági réseket. Ha biztonsági hiányosságokat és hibákat észlel, a fő fejlesztők általában kiadják a karbantartási frissítéseket. A kisebb frissítések automatikusan települnek a WordPress webhelyére.

Az összes főbb kiadáshoz azonban a WordPress-t manuálisan kell frissítenie. Ez egy viszonylag egyenes folyamat, mivel kapsz üzenetet kap a WordPress rendszergazdájában. A webhelyeknek csak 22% -a futtatja a WordPress legújabb verzióját, ami szomorú, tekintettel a frissítés egyszerűségére.

Ne maradjon a fennmaradó 78% -ban, mivel lényegében mindenféle támadást tesz ki webhelyének, mivel nem frissíti a webhelyet. Általában a hackerek az első olyan emberek csoportja, akik megismerik a régi verziók sebezhetőségét, mivel számítanak a hibákra, hogy sikeres támadásokat indítsanak..

A WordPress frissítése előtt javasoljuk, hogy olvassa el a kiadási megjegyzéseket, hogy megnézze, mi változott, és készítsen biztonsági másolatot webhelyéről (csak a biztonság érdekében). Így most számíthat arra, mire számíthat arra a frissítési gombra kattintva, és ha biztonságod van, akkor bármi rosszra fordulhat.

2. Frissítse a témákat és beépülő modulokat

A WordPress mag frissítése közben ne felejtse el frissíteni a témákat és a bővítményeket is. A hackerek különösen szeretik a régi témákat és az ismert biztonsági lyukakkal rendelkező bővítményeket.

Kihasználják ezeket a biztonsági réseket, és elrejthetnek egy régi témát vagy egy beépülő modult is. Ha nem frissíti, akkor feltörheti az Ön webhelyét, amikor csak tetszik.

Az egyéni stílusok elvesztésének elkerülése érdekében azt javasoljuk, hogy a WordPress gyermek témáját használja a szülő téma helyett. Ily módon a téma frissítésekor nem veszítik el testreszabási lehetőségei.

Távolítson el minden inaktív témát, beépülő modult és a nem használt WordPress telepítést is. Nem csak a sávszélességet takarítja meg, és gyorsabbá teszi a webhelyét, de a hackereket is zökkenőmentesen tartja.

Egy másik gyors megjegyzés: soha ne töltsön le „nulled” prémium témákat és plug-ineket. Kizárólag megbízható forrásokkal, például WordPress.org, Envato vagy más jó hírű témabolttal járhat.

3. Használjon egyedi és erős jelszavakat

Meglepő lesz, amikor megtudja, hogy a legtöbb webhelyet feltörik, amikor a rossz fiúk ellopják a bejelentkezési adatait. Ezenkívül a brutális erőszakos támadások nagyon gyakoriak, és magukban foglalják a bejelentkezési oldal több ezer felhasználónév-jelszó kombinációval történő bombázását, amíg valami.

Ha gyenge felhasználóneveket és jelszavakat használ (például a hírhedt „admin” vagy „12345”), akkor hihetetlenül egyszerűen megkönnyíti a hackerek bejutását az Ön webhelyére. Hagyja, hogy egyedi és erős jelszavakat hozzon létre, amelyeket rendszeresen megváltoztat. Akár egy ingyenes online generátort is használhat, mint például a LastPass.

Problémát jelenthet számos erős jelszó kezelése. A segítséget gyakran olyan jelszókezelőkre támaszkodom, mint például az 1Password vagy a LastPass. Ne használja újra ugyanazt a jelszót több webhelyen, és mindig tartsa biztonságban a bejelentkezési adatait. Győződjön meg arról, hogy a WordPress felhasználói is erős jelszavakat használnak.

Amíg itt van – ne felejtsen el erős jelszavakat használni az e-mail, a cPanel, a MySQL adatbázisok és az FTP fiókokhoz is..

4. Telepítse a WordPress biztonsági bővítményt

Amikor új WordPress webhelyet hozok létre, általában több defacto plugin van, amelyeket szinte automatikusan telepítek. Kapok egy spam-ellenes beépülő modult, a 7. űrlapot, a Symple Shortcodeket és az iThemes Security-t, a WordPress biztonsági beépülő modulját..

A beépülő modul lehetővé teszi a WordPress védekezésem megerősítését anélkül, hogy izzadtságot okozna. Olyan sok olyan funkcióval rendelkezik, amelyek megkönnyítik a rosszfiúk weboldalamon kívül tartását. A plugin konfigurálása rendkívül egyszerű; hamarosan fel kell állnia és futnia kell.

A legjobb WordPress biztonsági bővítmények különböző funkciókat kínálnak Önnek, ezért telepítés előtt ellenőrizze, hogy megszerezte-e az összes olyan szolgáltatást, amelyre szüksége van a teljes webhely biztonságához, függetlenül attól, hogy egyedi. A szokásos funkciók között szerepel a rosszindulatú programok ellenőrzése, az IP-blokkolás, a brutális erő megakadályozása, a két tényezővel történő hitelesítés és még sok minden más – a jelenleg olvasott biztonsági ellenőrző lista számos négyzetének ellenőrzése!

5. Válassza a Nagy WordPress tárhely lehetőséget

A kezdők általában az első olcsó tárhelycsomaggal találkoznak, amelyre találkoznak. Nem bánnám veled szemben, mivel nem tudsz jobbat, de kétségtelenül olcsó (vagy akár ingyenes) megosztott tárhely a biztonsági kockázatoknak teheti ki magát. Ezt tényleg tudom, mióta két különbözõ webhelyen támadtak meg, akik megosztott tárhelyet kínálnak.

A megosztott tárhely magában foglalja a szerver megosztását több ezer más webhellyel. Ez növeli a telephelyen keresztüli szennyezés kockázatát. Vagyis a hackerek akkor is hozzáférhetnek webhelyéhez, ha valaki más webhelye volt az eredeti támadáspont.

A kezelt WordPress tárhely viszont csak a WordPress webhelyekre összpontosít. Nem oszt meg szervert másokkal, és további biztonsági lehetőségeket kap a biztonság megőrzése érdekében. Különleges támogatást is kínálnak, és több helyreállítási lehetőség is történhet a legrosszabb esetben.

Ha megosztott tárhelyet kell használnia, mondja el, hogy olyan bloggal kezd el, amely még nem keres pénzt, ellenőrizze, hogy a webhelyek elszigeteltek vagy „börtönbe kerültek”. Ha üzleti vagy e-kereskedelmi webhelyet működtet, akkor kifizetődő a legjobb WordPress-tárhely használata, amely a költségvetésbe beleilleszthető a szavaktól kezdve – például a VPS, dedikált vagy felügyelt WordPress-tárhely..

6. Használjon SSL-t (HTTPS)

Manapság sok WordPress tárhelyszolgáltató ingyenes SSL-tanúsítványokat kínál a szó szoros értelmében és jó okból. Az SSL tanúsítványok biztonságosabbá teszik webhelyét, mint az SSL nélküli webhelyek. A Google azt is javasolja, hogy SSL-tanúsítványokat használjon webhelyének adatainak védelme érdekében (és ellenőrizze, hogy a felhasználók tudják-e, hogy SSL-t használ-e vagy sem).

A HTTPS biztonságosabb, mint az előző HTTP. A HTTPS-t használó webhely titkosítja az összes adatot, amely a felhasználó böngészője és a szerverei között mozog. Ha egy hacker elfogja a kommunikációt, akkor csak olyan titkosított adatokat találnak, amelyek ugyanolyan hasznosak, mint az egylábú férfiak egy seggfej-versenyen competition

Az SSL-tanúsítványok telepítése a legtöbb webtárhelyen olyan egyszerű, mint az A, B, C. A legtöbb egy kattintással rendelkező telepítőket kínál, amelyek megkönnyítik az egész folyamatot. Egyszerűen jelentkezzen be a cPanelbe, és kattintson egyetlen gombra az SSL-tanúsítványok telepítéséhez és kezeléséhez. Ha inkább gyakorlati megközelítést szeretne, érdemes megnézni a Letöltés titkosítását.

7. Készítsen teljes webhelyről biztonsági másolatot

Amikor a hackerek kihúztak, újból fel kellett újítanom weboldalaimat, ami olyan fejfájás, amelyet elkerültem volna, ha megbízhatóan emlékeztem volna rá, hogy biztonsági másolatot készítsem a WordPressről..

De nem, a biztonsági mentések, amelyek a webgazdammal voltak, megsérültek a támadás során, és nem, nem volt másodlagos biztonsági másolatom. Klasszikus eset, amikor az összes tojását egy kosárba helyezi, ami kemény leckét tanított nekem.

Manapság teljes webhelyről készít biztonsági másolatot, amely tartalmazza a webhelyem fájljait és adatbázisait. Főként használom ManageWP, de én is használom a Másoló beépülő modul a biztonsági másolatok tárolására a számítógépemen és a Google Drive-ban.

Arra biztatom, hogy rendszeresen hozzon létre teljes biztonsági másolatot. Számos WordPress biztonsági mentési megoldás lehetővé teszi a teljes folyamat automatizálását, időmegtakarítást és nyugalmat biztosítva.

8. Használjon webes alkalmazás tűzfalat (WAF)

További biztonsági réteg hozzáadása a WordPress-webhelyhez, és az éjszaka jobb alvása érdekében engedélyezze a webalkalmazás tűzfalat (WAF). A WAF védi webhelyét azáltal, hogy blokkolja a rosszindulatú forgalmat jóval azelőtt, hogy elérne a webhelyére. Proaktív intézkedés annak megakadályozása érdekében, hogy a rossz fiúk halottak legyenek a pályájukban, mielőtt bármilyen kárt okoznának.

A tűzfal kiszűri a bejövő forgalmat, kiküszöböli a hackereket, miközben engedi a törvényes felhasználókat. Számos WordPress biztonsági cég egyéb szolgáltatások mellett webes alkalmazás tűzfalakat is kínál. Az iparban népszerű lehetőségek a Sucuri és a CloudFlare.

9. Kapcsolja ki a fájlszerkesztést a WordPress Admin alkalmazásban

A WordPress CMS fantasztikus kódszerkesztővel rendelkezik, amely lehetővé teszi a plugin és a témafájlok szerkesztését a WordPress admin irányítópultján. A kódszerkesztő remek eszköz, amellyel rendelkezésére áll, de rossz kezekben a hackerek felhasználhatják arra, hogy rágalmazzanak vagy rosszindulatú programokat hozzanak fel webhelyére.

A témát és a plugin-fájlokat (szükség esetén) bármikor szerkesztheti az FTP-n vagy a cPanel fájlkezelőn keresztül, ami azt jelenti, hogy teljes egészében letilthatja a kódszerkesztőt a WordPress-ben. Nem akarja, hogy a WordPress adminisztrátori területére hozzáférő hackerek hozzáférjenek a kódszerkesztőhöz, mert néhány sornyi kódgal sok kárt okozhatnak.

Mit kell tenni? Az ingyenes használatával letilthatja a beépített kódszerkesztőt Sucuri biztonság csatlakoztat. Alternatív megoldásként hozzáadhatja a következő kódot a saját kódjához wp-config.php file:

// A fájl szerkesztésének tiltása
define ('DISALLOW_FILE_EDIT', igaz);

Haladunk tovább.

10. Biztonságos a bejelentkezési oldal

A WordPress bejelentkezési űrlapja általában két mezővel rendelkezik; Felhasználónév és jelszó. A brutális erőszakos támadók és a botok napközben okosabbá válásával megakadályozzák a hackereket abban, hogy hozzáférjenek a WordPress adminisztrációs területéhez? Ez egyszerű; felvesz CAPTCHA-t vagy biztonsági kérdéseket, amelyek megnehezítik bárki számára az illetéktelen hozzáférést.

És nem kell szerkesztenie a kódot a következőre add hozzá a CAPTCHA-t vagy biztonsági kérdések a bejelentkezési oldalra. Van egy népszerű WordPress plugin, amelyet néven ismert WP biztonsági kérdés ezt könnyű konfigurálni és használni. Ha szeretné használni a CAPTCHA-t, akkor használhatja Egyszerű Bejelentkezés Captcha, WordFence, vagy a sok közül a WordPress.org webhelyen ingyenesen elérhető lehetőségek közül egyet.

Ugyanakkor megteheti változtassa meg a wp-login URL-jét valami egyedi dologra. Ilyen módon a robotok és a hackerek számára nehéz lesz megpróbálni kitalálni a bejelentkezési oldal URL-jét. A wp-login már népszerű a hackerek körében, ezért teljesen értelmes az URL-t valami másra cserélni. Használhat egy plugint, például WPS Bejelentkezés elrejtése.

11. Adja hozzá a hitelesítést

Ezen felül fontolja meg a két- és többtényezős hitelesítés megvalósítását. Ha egy hacker hozzáférést kap a bejelentkezési adataihoz, akkor nem tudnak bejelentkezni a WordPress-webhelyre. Számos lehetőség áll rendelkezésre, de Google Authenticator népszerű választás.

Ezen kívül korlátozza a bejelentkezést a bejelentkezési oldalon. Ha egy látogató olyan fiókkal próbál bejelentkezni, amely nem létezik, vagy sokszor megpróbál bejelentkezni, akkor valószínűleg hackerek vagy botok próbálják bejuttatni az útjukat. Használhat egy plugint, például A bejelentkezési kísérletek korlátozása vagy Bejelentkezés bezárása hogy távol tartsák ezeket a behatoló elemeket.

12. Kijelentkezés inaktív felhasználókról

Ha többszörös felhasználói WordPress-webhelyed van, akkor nem tudja teljes mértékben ellenőrizni, hogyan és hol férnek hozzá a felhasználók az Ön webhelyéhez. A szerző dönthet úgy, hogy ingyenes nyilvános Wi-Fi-t használ egy cikk végső megismeréséhez. Lehet, hogy egy webdesigner elhagyja az íróasztalát és visszatér egy órás ebédszünet után.

Ilyen esetekben a felhasználó öntudatlanul ki lehet téve a webhelyet a biztonsági kockázatoknak. Lehet, hogy egy rosszindulatú személy átveszi a munkamenetét, szerkesztheti adatait, és pusztán pusztítást okozhat. Ha a jogosulatlan fél tudja, mit csinál, akkor könnyen átveheti a felhasználói fiókot, és kárt okozhat.

Mit kell tenni? Az inaktív felhasználókat egy előre meghatározott időszak után automatikusan kijelentkezhet. És a legjobb rész? Ehhez a célhoz plug-inek vannak. Az egyik népszerű lehetőség a Inaktív kijelentkezés plugin, amely tartalmazza a kijelentkezés előtti tétlen idő testreszabását, az egyéni felugró üzenetet vagy a kijelentkezés utáni átirányítást, valamint az időtúllépést a felhasználói szerepkör szerint.

13. Malware és problémák keresése (rendszeresen)

A WordPress webhelyének rendszeres letapogatása gyakran elfelejtve segíthet a biztonsági problémák korai felismerésében. Csak egy másodpercbe telik, mire a hackerek behatolnak webhelyére, és mindenféle csúnya dolgot csinálnak. Pontosan ezért kellene mindig a dolgok tetején maradnia.

Számos WordPress biztonsági bővítmény malware fertőzések, ismert biztonsági rések, elavult szkriptek, brute force támadások, nem létező biztonsági másolatok és így tovább kereséséhez. A beépülő modulok részletes jelentéseket küldnek az ismert problémákról, így kijavíthatják őket, vagy szakembert felvehetnek.

Számos webolvasó létezik, például Sucuri SiteCheck, amelyet felhasználhat webhelyének egy pillanatnyi ellenőrzésére. Csak annyit kell tennie, hogy beírja az URL-jét, és az eszközök automatikusan ellenőrzik webhelyét. Ezt követően jelentést nyújtanak Önnek arról, hogy mit kell javítania. A jelentés megszerzése után azonnal javítsa ki az összes biztonsági rést.

14. Használjon VPN-t

Ha olyan webhelyet működtet, amely olyan érzékeny információkat hordoz, amelyek soha nem kerülhetnek hackerek kezébe, fontolja meg a virtuális magánhálózat (VPN) használatát, még inkább, ha ingyenes nyilvános Wi-Fi-t használ. A VPN megvédi Önt a középtámadásoktól, amelyek általánosak a nyilvános hálózatokban, ideértve az otthoni és a munkahelyi hálózatokat is.

A virtuális magánhálózat biztosítja, hogy még ha a támadók is hozzáférjenek a rendszerhez, és ellopják az Ön adatait, akkor semmit sem tudnak tenni az Öntől vett adatokkal. Ha olyan internetes hálózattal rendelkezik, amelyet sok emberrel megoszt, mindig használjon VPN-t, mielőtt belépne a WordPress adminisztrációs területébe.

Egyéb WordPress biztonsági lehetőségek

Még több tennivaló? Szeretnénk, ha webhelye mindenkor biztonságban van, ezért itt vannak bónuszbiztonsági elemek, amelyeket fel kell venni az ellenőrző listájába:

  • Letiltja a PHP fájl végrehajtását a / wp-content / wp-feltöltések /
  • Módosítsa a WordPress adatbázis előtagját
  • Jelszóval védi az adminisztrátori és a bejelentkezési oldalakat a szerveroldalon
  • Letiltja a könyvtár indexelését
  • Tilos letiltani a WP REST API-t és az XML-RPC-t
  • Ne szerkessze / változtassa meg a WordPress magot – írjon vagy használjon olyan plugint, amely helyett a szükséges funkciókat kínálja
  • Győződjön meg arról, hogy webhelye futtatja a PHP legújabb verzióját
  • Használjon víruskereső programot a számítógépén
  • Engedélyezze a Google Search Console-t
  • Csökkentse az XSS és az SQL befecskendezés biztonsági réseit (szükség lehet egy tech-hozzáértő személlyel a kettő segítségére)

Valójában a webhelyének védelme érdekében elvégzendő lépések száma végtelen. De ha megnézheti a felsorolt ​​14 elemet, akkor óriási lépés a webhelyének biztonsága.


A WordPress webhelyének biztonsága kihívást jelent, de nem lehetetlen. A megfelelő eszközökkel és készségekkel gyorsan megszilárdíthatja WordPress biztonságát, és távol tarthatja a rossz szereplőket.

Összefoglalásként mindig tartsa naprakészen a webhelyét. Ráadásul soha ne töltsön le témákat vagy beépülő modulokat megbízhatatlan webhelyekről. És a biztonságos helyzetben tartáshoz, ha a legrosszabb is történik, mindig legyen megbízható biztonsági mentési megoldás.

Reméljük, hogy megtalálta az összes tippet, amelyre szüksége van a WordPress webhely, így az online üzleti vállalkozás biztonságához. Ha kérdése van, vagy segítségre van szüksége a WordPress webhely biztonságának meghatározására vonatkozóan, kérjük, ossza meg velünk a megjegyzésekben. Maradj biztonságban!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map