Einfaldur öryggis gátlisti fyrir WordPress síður

Einfaldur öryggis gátlisti fyrir WordPress síður

Vissir þú að yfir 100.000 vefsíður eru tölvusnápur daglega? Það er rétt, netbrot eru alvarleg ógn fyrir öll fyrirtæki og hver sem er með WordPress síðu er ekki heldur öruggur. Ég hef átt að keyra í tölvusnápur (og þurfti að endurheimta WordPress síðuna mína), og þú veist líklega að það var ljótt.


Tölvusnápur er virkur að leita að viðkvæmum vefsíðum til að brjóta og stela gögnum sem þeir geta gefið út fyrir peningalegan ávinning eða hreinan illgjarn ásetning. Til að vernda þig og þína dýrmætu síðu ættirðu að íhuga alvarlega að herða öryggi þitt á WordPress.

Miðað við að þú tapir tekjum, tíma og fyrirhöfn þegar tölvusnápur brjótast inn á vefsíðuna þína höfum við búið til eftirfarandi öryggis gátlista sem þú getur notað til að tryggja WordPress vefsíðuna þína. Öll öryggisatriðin í færslunni eru tiltölulega auðvelt að útfæra jafnvel fyrir fyrsta skipti:

Eins og þú sérð, munum við brjóta færsluna í marga hluti sem fjalla um allt frá því að velja öruggan her til að herða stjórnendasvæðið þitt og aðra. Þú verður að endurtaka nokkur öryggisverkefni, svo sem að uppfæra þemu reglulega. Önnur verkefni eru einhliða hlutur, en hafa samt veruleg áhrif á að halda vefnum þínum öruggum. Athugaðu hvað þú þarft að laga og gerðu það strax því tölvusnápur eyðir ekki tíma heldur.

Einfaldur öryggislisti fyrir WordPress

1. Uppfærðu WordPress

WordPress kjarninn er reglulega endurskoðaður og kannaður fyrir öryggisleysi. Ef öryggisgallar og galla eru greindir sleppa aðalhönnuðir venjulega viðhaldsuppfærslum. Minniháttar uppfærslur eru settar upp sjálfkrafa á WordPress vefsíðuna þína.

Þú verður samt að uppfæra WordPress handvirkt fyrir allar helstu útgáfur. Það er tiltölulega beinn gangur þar sem þú færð pirrandi skilaboð í WordPress stjórnandanum þínum. Aðeins 22% vefsíðna keyra á nýjustu útgáfunni af WordPress sem er sorglegt miðað við hversu auðvelt það er að uppfæra.

Ekki vera í 78% sem eftir eru þar sem þú ert í raun að fletta ofan af vefsvæðinu þínu fyrir alls konar árásum með því að uppfæra ekki vefsíðuna þína. Venjulega eru tölvusnápur fyrsti hópur fólks til að fræðast um allar varnarleysi í gömlum útgáfum þar sem þeir treysta á galla til að hefja árangursríkar árásir.

Áður en þú uppfærir WordPress mælum við með að þú lesir útgáfubréf til að sjá hvað hefur breyst og taka afrit af vefsíðunni þinni (bara til að vera öruggur). This vegur þú nú hvers að búast við þegar þú smellir á þennan uppfærslu hnappinn, og þú ert með failsafe ætti eitthvað að fara úrskeiðis.

2. Uppfærðu þemu og viðbætur

Þegar þú uppfærir WordPress kjarna skaltu ekki gleyma að uppfæra þemu og viðbætur líka. Tölvusnápur er sérstaklega hrifinn af gömlum þemum og viðbótum með þekktum öryggisgötum.

Þeir nýta þessar öryggisveikleika og geta jafnvel falið afturdyr í gömlu þema eða viðbót. Ef þú uppfærir ekki geta þeir hakkað vefsíðuna þína þegar þeim hentar.

Til að forðast að missa sérsniðna stíl þína mælum við með því að nota WordPress barn þema öfugt við foreldra þemað. Þannig taparðu ekki sérsniðunum þínum þegar þú uppfærir þemað.

Þú ættir einnig að útrýma óvirkum þemum, viðbótum og ónotuðum WordPress uppsetningum. Þú sparar ekki aðeins bandbreidd og gerir vefsíðuna þína hraðari, heldur heldurðu tölvusnápur í skefjum.

Önnur skjót athugasemd, aldrei halaðu niður „ógilt“ úrvalsþemu og viðbætur. Farðu aðeins með traustar heimildir eins og WordPress.org, Envato eða aðra virta þemabúð.

3. Notaðu einstök og sterk lykilorð

Þú verður hissa á að komast að því að flestar vefsíður eru tölvusnápur þegar vondu fólkið stela innskráningarupplýsingunum þínum. Að auki eru sprengjuárásir nokkuð algengar og fela í sér sprengjuárás á innskráningarsíðuna þína með þúsundum notendanafn-lykilorðssamsetningar þar til eitthvað gefur til kynna.

Ef þú notar veikt notendanöfn og lykilorð (eins og hinn frægi „admin“ eða „12345“) ertu að gera það ótrúlega auðvelt fyrir tölvusnápur að brjótast inn á vefsíðuna þína. Vertu vanur að búa til einstök og sterk lykilorð sem þú breytir reglulega. Þú getur jafnvel notað ókeypis rafala á netinu eins og þennan frá LastPass.

Það getur verið vandamál að stjórna mörgum sterkum lykilorðum. Til að hjálpa treysti ég oft á lykilstjórnendur eins og 1Password eða LastPass, meðal annars. Ekki endurnýta sama lykilorð á mörgum vefsíðum og hafðu alltaf aðgangsupplýsingar þínar öruggar. Vertu viss um að WordPress notendur þínir noti sterk lykilorð líka.

Meðan þú ert á því – mundu líka að nota sterk lykilorð fyrir tölvupóstinn þinn, cPanel, MySQL gagnagrunna og FTP reikninga.

4. Settu upp WordPress öryggistengibúnað

Alltaf þegar ég stofna nýja WordPress vefsíðu, þá hef ég venjulega nokkra defacto viðbætur sem ég set upp næstum sjálfkrafa. Ég fæ tappi við ruslpósti, snertingareyðublað 7, Einfaldir smákóða og iThemes Security, fara í WordPress öryggistengið.

Tappinn gerir mér kleift að styrkja WordPress varnir mínar án þess að brjóta svita. Það kemur með svo marga eiginleika sem gera það að verkum að það að halda slæmu strákunum út af vefsíðunum mínum er gola. Það er auðvelt að stilla viðbótina; þú ættir að vera í gangi á skömmum tíma.

Bestu öryggisviðbætur WordPress bjóða þér upp á mismunandi eiginleika, svo vertu viss um að athuga áður en þú setur upp til að ganga úr skugga um að þú fáir alla þá eiginleika sem þú þarft til að tryggja alla vefsíðuna þína, sama hversu einstakt það er. Venjulegir eiginleikar fela í sér skönnun malware, IP-blokka, forvarnir gegn skepnaöflum, staðfestingu tveggja þátta og svo margt fleira – að haka við marga reitina fyrir þennan öryggis gátlista sem þú ert að lesa núna!

5. Veldu frábær WordPress hýsingu

Venjulega koma byrjendur í fyrsta ódýran hýsingarpakka sem þeir rekast á. Ég myndi ekki halda því á móti þér þar sem þú veist ekki betur, en vafasamt (eða jafnvel ókeypis) sameiginleg hýsing getur valdið þér öryggisáhættu. Ég veit þetta alveg þar sem ég hef verið tölvusnápur á tveimur mismunandi hýsingarfyrirtækjum sem bjóða upp á hýsingu á sameiginlegum svæðum.

Sameiginleg hýsing felur í sér að deila netþjóni með þúsundum annarra vefsíðna. Þetta eykur hættuna á mengun milli staða. Það er, að tölvusnápur getur fengið aðgang að vefsvæðinu þínu jafnvel þó að vefsíða einhvers annars væri upphaflegur árásarpunktur.

Stýrður WordPress hýsing einbeitir sér hins vegar eingöngu að WordPress vefsíðum. Þú deilir ekki netþjóni með öðrum og þú færð fleiri öryggisvalkosti til að vera öruggur. Þeir bjóða einnig upp á sérstakan stuðning og fleiri bata möguleikar ættu það versta að gerast.

Ef þú verður að nota sameiginlega hýsingu, segðu að þú sért að byrja með blogg sem þénar ekki peninga ennþá, vertu viss um að vefirnir séu einangraðir eða „fangelsaðir.“ Ef þú ert að reka fyrirtæki eða eCommerce vefsíðu borgar sig að nota bestu WordPress hýsingu sem þú getur passað inn í fjárhagsáætlun þína frá orðinu go – svo sem VPS, hollur eða stjórnað WordPress hýsing.

6. Notaðu SSL (HTTPS)

Nú á dögum bjóða mörg WordPress hýsingarfyrirtæki ókeypis SSL vottorð frá orði og af góðri ástæðu. SSL vottorð gera vefsíðuna þína öruggari en síður án SSL. Google mælir einnig með því að nota SSL vottorð til að vernda gögn á vefsíðunni þinni (og ganga úr skugga um að notendur viti hvort þeir nota SSL eða ekki).

HTTPS er öruggara en forveri HTTP. Vefsíða sem notar HTTPS dulkóðar öll gögn sem færast á milli vafra notandans og netþjónanna. Ef tölvusnápur grípur samskiptin finna þeir aðeins dulkóðuð gögn sem eru eins gagnleg og eins fótaburður í keppni með rass sparka ��

Það er eins auðvelt að setja upp SSL vottorð á flestum vefþjónum og A, B, C. Flestir bjóða upp á einn uppsetningaraðila sem gerir allt ferlið auðvelt. Skráðu þig einfaldlega inn á cPanel og smelltu á einn hnapp til að setja upp og hafa umsjón með SSL vottorðum þínum. Ef þú vilt fá nánari nálgun skaltu íhuga að skoða Let’s Encrypt.

7. Búðu til fullan afrit af vefnum

Þegar tölvusnápur aftraði mér varð ég að endurbyggja vefsíður mínar frá grunni, höfuðverkur sem ég hefði forðast ef ég hefði áreiðanlega munað að taka afrit af WordPress.

En nei, afritin sem voru hjá vefþjóninum mínum skemmdust við árásina og nei, ég var ekki með neina afritunarlausn. Klassískt mál að setja öll eggin þín í eina körfu sem kenndi mér erfiða lexíu.

Nú á dögum bý ég til afrit af vefsíðu sem innihalda vefsíðuskrár og gagnagrunna. Ég nota aðallega StjórnaWP, en ég nota líka Fjölritunarforrit til að geyma afrit á tölvunni minni og á Google Drive.

Ég hvet þig til að búa til fulla afrit reglulega. Margar afritunarlausnir WordPress gera þér kleift að gera sjálfvirkt allt ferlið, spara þér tíma og veita þér hugarró.

8. Notaðu Firewall fyrir vefforrit (WAF)

Til að bæta við auknu öryggislagi á WordPress síðuna þína og sofa betur á nóttunni skaltu virkja netforrit eldvegg (WAF). WAF verndar vefsíðuna þína með því að hindra skaðlega umferð löngu áður en hún kemst á síðuna þína. Það er fyrirbyggjandi aðgerð til að stöðva slæmu gaurana sem eru látnir í sporum þeirra áður en þeir valda tjóni.

Eldveggurinn síar innkomna umferð og útrýmir tölvusnápur meðan þeir láta lögmæta notendur komast í gegnum það. Mörg WordPress öryggisfyrirtæki bjóða upp á eldveggi með netforriti ásamt öðrum aðgerðum. Vinsælir valkostir í greininni eru Sucuri og Skýjakljúfur.

9. Slökkva á ritvinnslu í WordPress Admin

WordPress CMS kemur með frábæran kóða ritstjóra sem gerir þér kleift að breyta tappi og þemu skrám inni í stjórnborði WordPress. Kóðar ritstjórinn er frábært tæki til að hafa yfir að ráða en í röngum höndum geta tölvusnápur notað það til að koma í veg fyrir eða bæta við malware á vefsíðuna þína.

Þú getur alltaf breytt þemu- og viðbótarskrám þínum (ef þörf krefur) í gegnum FTP eða skjalastjóra í cPanel, sem þýðir að þú getur alveg slökkt á kóða ritlinum í WordPress. Þú vilt ekki að tölvuþrjótar sem fá aðgang að WordPress admin svæðinu þínu hafi aðgang að kóða ritlinum, því þeir geta valdið miklu tjóni með nokkrum línum af kóða.

Hvað skal gera? Þú getur gert innbyggða kóða ritilinn óvirkan með ókeypis Sucuri Security stinga inn. Einnig er hægt að bæta eftirfarandi kóða við wp-config.php skjal:

// Bannað breytingu á skrá
skilgreina ('DISALLOW_FILE_EDIT', satt);

Við erum að halda áfram.

10. Öruggaðu innskráningarsíðuna þína

Venjulega hefur innskráningarform á WordPress þínum tvo reiti; notandanafn og lykilorð. Með því að árásarmenn og sprengjuflugvélar verða betri á daginn, hvernig hindrarðu tölvusnápur að fá aðgang að WordPress admin svæðinu þínu? Það er einfalt; þú bætir við CAPTCHA eða öryggisspurningum sem gera það erfiðara fyrir neinn að fá óviðkomandi aðgang.

Og þú þarft ekki að breyta kóða í bæta við CAPTCHA eða ÖRYGGISSPURNINGAR á innskráningarsíðuna þína. Það er til vinsæll WordPress tappi þekktur sem Öryggisspurning WP það er auðvelt að stilla og nota. Ef þú vilt nota CAPTCHA geturðu notað það Einföld Login Captcha, WordFence, eða einn af mörgum öðrum valkostum sem eru ókeypis á WordPress.org.

Á sama tíma geturðu gert það breyttu wp-innskráningarslóðinni við eitthvað einstakt. Þannig munu vélmenni og tölvusnápur eiga erfitt með að giska á slóðina á innskráningarsíðuna þína. wp-login er nú þegar vinsælt meðal tölvusnápur, svo það er fullkomið vit í að breyta slóðinni í eitthvað annað. Þú getur notað viðbætur eins og WPS fela innskráningu.

11. Bættu við sannvottun

Að auki skaltu íhuga að innleiða tveggja þátta og fjölþátta staðfesting. Ef tölvusnápur fær aðgang að innskráningarupplýsingunum þínum geta þeir ekki skráð sig inn á WordPress síðuna þína. Það eru margir möguleikar í boði, en Sannvottari Google er vinsælt val.

Annað en að takmarka innskráningar á innskráningarsíðuna þína. Ef gestur er að reyna að skrá sig inn með reikningi sem er ekki til eða reynir að skrá sig inn oft eru þeir líklegast tölvusnápur eða láni sem reynir að brúða sig inn. Þú getur notað viðbót sem t.d. Takmarkaðu tilraunir til innskráningar eða Lokun innskráningar til að halda þessum uppáþrengjandi þáttum í burtu.

12. Skráðu þig út af óvirkum notendum

Þegar þú ert með margra notenda WordPress vefsíðu geturðu ekki stjórnað því fullkomlega hvernig eða hvar notendur opna vefsíðuna þína. Höfundur gæti ákveðið að nota ókeypis Wi-Fi internet til að klára grein. Vefhönnuður gæti yfirgefið skrifborðið sitt og snúið aftur úr klukkutíma hádegishlé.

Í slíkum tilfellum gæti notandi þinn leitt vefsíðu þína fyrir öryggisáhættu ómeðvitað. Illgjarn einstaklingur gæti tekið við fundi sínum, breytt smáatriðum sínum og einfaldlega valdið illu. Ef óviðkomandi aðili veit hvað þeir eru að gera, geta þeir auðveldlega tekið yfir reikning notandans og gert skemmdir.

Hvað skal gera? Þú getur skráð þig út af óvirkum notendum sjálfkrafa eftir fyrirfram skilgreint tímabil. Og besta hlutinn? Það eru til viðbótar fyrir þennan nákvæmlega tilgang. Einn vinsæll kostur er Óvirk skráning viðbætur sem inniheldur valkosti til að sérsníða aðgerðalausan tíma áður en þú skráir þig út, sérsniðin sprettigluggaboð eða tilvísun við útskráningu og tímamörk í samræmi við hlutverk notenda.

13. Leitaðu að malware og vandamálum (reglulega)

Oft gleymist að skanna WordPress vefsíðuna þína reglulega getur hjálpað þér að bera kennsl á öryggisvandamál snemma. Það tekur tölvusnápur aðeins sekúndu að brjótast inn á vefsíðuna þína og gera alls konar viðbjóðslega hluti. Þetta er einmitt ástæðan fyrir því að þú ættir að vera á toppnum á öllum tímum.

Mörg WordPress öryggisviðbætur til að leita að malware-sýkingum, þekktu öryggis varnarleysi, gamaldags forskrift, skepnaárásum, afritum sem ekki eru til og svo framvegis. Viðbótin sendir þér nákvæmar skýrslur um þekkt vandamál, svo þú getur lagað þau eða ráðið fagmann.

Það eru til margir skannar á vefsíðu, svo sem Vefskoðun Sucuri, sem þú getur notað til að athuga síðuna þína á skömmum tíma. Allt sem þú þarft að gera er að slá inn slóðina þína og tækin munu athuga vefsíðuna þína sjálfkrafa. Eftir það bjóða þeir þér skýrslu um það sem þú þarft að laga. Þegar þú hefur fengið skýrsluna skaltu laga allar öryggis varnarleysi strax.

14. Notaðu VPN

Ef þú rekur vefsíðu sem hefur viðkvæmar upplýsingar sem mega aldrei komast í hendur tölvusnápurar skaltu íhuga að nota raunverulegur einkanet (VPN), frekar þegar þú notar ókeypis Wi-Fi internet. VPN verndar þig gegn árásum milli manna sem eru algengar í almennum netum, þar á meðal heima og á vinnustað.

Raunverulegt einkanet tryggir að jafnvel þó að árásarmennirnir fái aðgang að kerfinu og steli upplýsingum þínum, geti þeir ekki gert neitt með þau gögn sem þeir taka frá þér. Ef þú ert með netkerfi sem þú deilir með mörgum skaltu alltaf nota VPN áður en þú opnar WordPress stjórnunarsvæðið þitt.

Aðrir öryggisvalkostir WordPress

Þarftu meira að gera? Við viljum gjarnan halda vefsíðunni þinni öruggum ávallt, svo hér eru bónusöryggisatriði til að bæta við gátlistann þinn:

  • Slökkva á framkvæmd PHP skráar í / wp-content / wp-uploads /
  • Breyttu forskeyti WordPress gagnagrunnsins
  • Lykilorð vernda stjórnanda og innskráningarsíður á netþjóninum
  • Slökkva á skráaskráningu
  • Slökkva á WP REST API og XML-RPC ef ekki er þörf
  • Ekki breyta / breyta WordPress kjarna – skrifaðu eða notaðu viðbót sem býður upp á þann virkni sem þú þarft í staðinn
  • Gakktu úr skugga um að vefsíðan þín reki nýjustu útgáfuna af PHP
  • Notaðu vírusvarnarforrit á tölvunni þinni
  • Virkja Google Search Console
  • Draga úr XSS og SQL Injection veikleika (þú gætir þurft tæknilegri kunnátta manneskju til að hjálpa með þessa tvo)

Raunverulega, fjöldi skrefa sem þú getur tekið til að vernda síðuna þína er endalaus. En ef þú getur athugað 14 atriðin sem við höfum skráð þá er það stórt skref að tryggja síðuna þína.


Að tryggja WordPress vefsíðuna þína er krefjandi en ekki ómögulegt. Með réttum tækjum og færni geturðu fljótt hert WordPress öryggið þitt og haldið slæmu leikurunum í burtu.

Sem yfirlit, haltu vefsíðu þinni alltaf uppfærð. Ofan á það, sæktu aldrei þemu eða viðbætur frá ósannfærandi vefsvæðum. Og til að vera á öruggri hlið ætti það versta að gerast, hafðu alltaf áreiðanlega öryggisafritunarlausn á sínum stað.

Við vonum að þú hafir fundið öll ráð sem þú þarft til að tryggja WordPress vefsíðuna þína, þess vegna vefverslun. Láttu okkur vita í athugasemdunum ef þú hefur spurningu eða þarft hjálp við að komast að því hvernig á að tryggja WordPress vefsíðuna þína. Vertu öruggur!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map