WordPressi saitide lihtne turvakontrolli loend

WordPressi saitide lihtne turvakontrolli loend

Kas teadsite, et päevas häkitakse üle 100 000 veebisaidi? See on õige, küberkuritegevus on tõsine oht igale ettevõttele ja ka keegi, kellel on WordPressi sait, pole ohutu. Mul on olnud häkkeritega sisselogimine (ja ma pidin oma WordPressi saidi taastama) ja ilmselt teate, et see oli kole.


Häkkerid otsivad aktiivselt haavatavaid veebisaite, et rikkuda ja varastada andmeid, mida nad saavad rahalise kasu või puhta pahatahtliku kavatsuse huvides avaldada. Enda ja oma väärtusliku saidi kaitsmiseks peaksite tõsiselt kaaluma oma WordPressi turvalisuse tugevdamist.

Arvestades, et häkkerid teie veebisaidile sisenedes kaotavad tulu, aega ja vaeva, oleme koostanud järgmise turvakontrolli loendi, mida saate kasutada oma WordPressi veebisaidi turvamiseks. Kõiki postituses sisalduvaid turvaelemente on suhteliselt lihtne rakendada isegi esmakordistajate jaoks:

Nagu näete, jaotame postituse mitmeks osaks, hõlmates kõike alates turvalise hosti valimisest kuni teie administraatoripiirkonna ja teiste karastamiseni. Peate korrama mõnda turvatoimingut, näiteks oma teemade regulaarset värskendamist. Muud ülesanded on ühekordne asi, kuid mõjutavad siiski oma saidi turvalisust märkimisväärselt. Kontrollige, mida peate parandama, ja tehke seda kohe, sest ka häkkerid ei kuluta aega.

Lihtne WordPressi turvakontrolli leht

1. Värskendage WordPressi

WordPressi tuuma kontrollitakse regulaarselt ja kontrollitakse turvaaukude osas. Turvalisuse puuduste ja vigade avastamise korral vabastavad põhiarendajad tavaliselt hooldusvärskendused. Väiksemad värskendused installitakse teie WordPressi veebisaidile automaatselt.

Kõigi peamiste väljalasete jaoks peate siiski WordPressi käsitsi värskendama. See on suhteliselt lihtne protsess, kuna saate oma WordPressi administraatorisse näpistava teate. Ainult 22% veebisaitidest töötab WordPressi uusima versiooniga, mis on kurb, arvestades seda, kui lihtne on värskendada.

Ärge jääge järelejäänud 78% -le, kuna paljastate oma saiti sisuliselt igasuguste rünnakute eest, kui te oma veebisaiti ei värskenda. Tavaliselt on häkkerid esimene rühm inimesi, kes saavad teada vanade versioonide võimalike turvaaukude kohta, kuna nad usaldavad puudusi edukate rünnakute käivitamisel.

Enne WordPressi värskendamist soovitame lugeda väljalaskemärkmeid, et näha, mis on muutunud, ja võtta oma veebisaidilt varukoopia (lihtsalt turvalisuse tagamiseks). Nii näete nüüd, mida sellel värskendusnupul klõpsamisel oodata – ja kui peaks midagi valesti minema, on teil tõrkeoht.

2. Värskendage teemasid ja pistikprogramme

WordPressi tuuma värskendades ärge unustage värskendada ka oma teemasid ja pistikprogramme. Häkkeritele meeldivad eriti vanad teemad ja teadaolevate turvaaugudega pistikprogrammid.

Nad kasutavad neid turvahaavatavusi ära ja võivad isegi peita tagaukse vanasse teemasse või pistikprogrammi. Kui te ei värskenda, võivad nad häkkida teie veebisaiti alati, kui see neile meeldib.

Kohandatud stiilide kaotamise vältimiseks soovitame vanemateema asemel kasutada WordPressi lapseteemat. Nii ei kaota te teema värskendamisel oma kohandamisi.

Peaksite ka eemaldama kõik passiivsed teemad, pistikprogrammid ja kasutamata WordPressi installid. See mitte ainult ei säästa ribalaiust ja muudab teie veebisaidi kiiremaks, vaid hoiab häkkerid ka lahedal.

Veel üks kiire märkus – ärge kunagi laadige alla nullitud premium-teemasid ja pistikprogramme. Kasutage ainult usaldusväärseid allikaid, nagu WordPress.org, Envato või mõni muu lugupeetud teemapood.

3. Kasutage unikaalseid ja tugevaid paroole

Võite olla üllatunud, kui enamikku veebisaite häkitakse siis, kui pahad teie sisselogimisandmed varastavad. Lisaks on jõhkrate jõudude rünnakud üsna tavalised ja hõlmavad teie sisselogimislehe pommitamist tuhandete kasutajanime ja parooli kombinatsioonidega, kuni midagi annab.

Kui kasutate nõrku kasutajanimesid ja paroole (näiteks kurikuulus „admin” või „12345”), muudate häkkerite tungimise teie veebisaidile uskumatult lihtsaks. Teil on kombeks luua kordumatuid kordumatuid ja tugevaid paroole. Võite kasutada isegi tasuta veebigeneraatorit, näiteks see, mille leiate siit LastPass.

Paljude tugevate paroolide haldamine võib osutuda probleemiks. Abiks toetun sageli muu hulgas paroolide halduritele, näiteks 1Password või LastPass. Ärge kasutage sama parooli mitmel veebisaidil ja hoidke oma sisselogimisandmeid alati turvaliselt. Veenduge, et ka teie WordPressi kasutajad kasutaksid tugevaid paroole.

Kui olete selles, ärge unustage kasutada tugevaid paroole ka oma e-posti, cPaneli, MySQL-i andmebaaside ja FTP-kontode jaoks.

4. Installige WordPressi turbeplugin

Kui loon uut WordPressi veebisaiti, on mul tavaliselt mitu defacto pluginat, mille installin peaaegu automaatselt. Saan rämpspostitõrje pistikprogrammi, kontaktvormi 7, Symple’i lühikoodid ja iThemes Security’i, oma WordPressi turbepistikprogrammi.

Pistikprogramm võimaldab mul tugevdada oma WordPressi kaitsevõimet ilma higi purustamata. Kaasas on nii palju funktsioone, mis muudavad pahade kuttide eemaldamise minu veebisaitidelt imelihtne. Pistikprogrammi seadistamine on väga lihtne; sa peaksid olema valmis ja jooksma ei aja.

Parimad WordPressi turbe pluginad pakuvad teile erinevaid funktsioone, nii et veenduge enne installimist kindlasti, et saaksite kõik funktsioonid, mida vajate kogu oma veebisaidi turvamiseks, ükskõik kui unikaalsed. Standardfunktsioonide hulka kuuluvad pahavara skannimine, IP-blokeerimine, julma jõu tõkestamine, kahefaktoriline autentimine ja palju muud – paljude praegu loetava turvakontrolli nimekirja kastide märkimine!

5. Valige suurepärane WordPressi hostimine

Tavaliselt algavad algajad kevadel esimese odava hostimispaketiga, millega nad kokku puutuvad. Ma ei hoiaks seda teie vastu, kuna te ei tea midagi paremat, kuid kahtlemata odav (või isegi tasuta) jagatud veebimajutus võib teid ohustada turvariskidega. Ma tean seda tõsiasjana, kuna mind on häkitud kahel erineval hostinguettevõttel, kes pakuvad jagatud hostimist.

Jagatud hostimine hõlmab serveri jagamist tuhandete teiste veebisaitidega. See suurendab saidiülese saastumise riski. See tähendab, et häkker pääseb teie saidile juurde ka siis, kui kellegi teise veebisait oli rünnaku algpunkt.

Hallatud WordPressi hostimine seevastu keskendub ainult WordPressi veebisaitidele. Te ei jaga serverit teistega ja turvalisuse tagamiseks saate rohkem turvavalikuid. Nad pakuvad ka spetsiaalset tuge ja rohkemate taastamisvõimaluste korral peaks halvim juhtuma.

Kui peate kasutama jagatud hostimist, siis öelge, et alustate ajaveebiga, mis ei teeni veel raha, veenduge, et saidid on isoleeritud või vangi pandud. Kui teil on ettevõtte või e-kaubanduse veebisait, tasub kasutada parimat WordPressi hostimist, mida saate oma eelarvesse mahutada juba sõnasõnalt – näiteks VPS, pühendatud või hallatud WordPressi hostimine.

6. Kasutage SSL-i (HTTPS)

Tänapäeval pakuvad paljud WordPressi hostimisettevõtted tasuta SSL-sertifikaate sõna otseses mõttes ja mõjuval põhjusel. SSL-sertifikaadid muudavad teie veebisaidi turvalisemaks kui ilma SSL-ita saidid. Google soovitab oma veebisaidil olevate andmete kaitsmiseks kasutada ka SSL-sertifikaate (ja veenduge, et kasutajad teaksid, kas kasutate SSL-i või mitte).

HTTPS on turvalisem kui eelnev HTTP. HTTPS-i kasutav veebisait krüpteerib kõik andmed, mis liiguvad kasutaja brauseri ja teie serverite vahel. Kui häkker suhtluse kinni võtab, leiavad nad ainult krüptitud andmeid, mis on sama kasulikud kui ühe jalaga mees perse löömise võistlusel ��

SSL-sertifikaatide installimine enamikesse veebimajutajatesse on sama lihtne kui A, B, C. Enamik pakuvad ühe klõpsuga installijaid, mis muudavad kogu protsessi lihtsaks. Logige lihtsalt oma cPanelisse sisse ja klõpsake SSL-sertifikaatide installimiseks ja haldamiseks ühele nupule. Kui soovite rohkem praktilist lähenemist, võiksite vaadata Let’s Encrypt.

7. Looge täielik saidi varukoopia

Kui häkkerid mind tagasi lükkasid, pidin ma oma veebisaidid nullist uuesti üles ehitama, mis oleks peavalu, mida ma oleksin vältinud, kui oleksin WordPressi varundamist usaldusväärselt meelde jätnud..

Aga ei, minu veebiga varukoopiad olid rünnaku ajal rikutud ja ei, mul ei olnud sekundaarset varunduslahendust. Klassikaline juhtum, kus paned kõik oma munad ühte korvi, mis õpetas mulle raske õppetunni.

Tänapäeval loon täielikke veebisaidi varukoopiaid, mis sisaldavad minu veebisaidi faile ja andmebaase. Peamiselt kasutan HaldaWP, kuid ma kasutan ka Paljundusaparaadi pistikprogramm varukoopiate salvestamiseks minu arvutisse ja Google Drive’i.

Kutsun teid üles looma regulaarselt täielikke varukoopiaid. Paljud WordPressi varunduslahendused võimaldavad teil kogu protsessi automatiseerida, säästes teie aega ja andes teile meelerahu.

8. Kasutage veebirakenduse tulemüüri (WAF)

Kui soovite oma WordPressi saidile täiendava turvakihi lisada ja öösel paremini magada, lubage veebirakenduse tulemüür (WAF). WAF kaitseb teie veebisaiti, blokeerides pahatahtliku liikluse juba ammu enne teie saidile jõudmist. See on ennetav meede, et peatada pahad poisid oma jälgedes enne nende tekitamist.

Tulemüür filtreerib teie sissetuleva liikluse, välistades häkkerid, lastes samal ajal seaduslikud kasutajad läbi. Paljud WordPressi turvaettevõtted pakuvad muude funktsioonide kõrval ka veebirakenduste tulemüüre. Tööstuse populaarsete valikute hulka kuuluvad Sucuri ja Pilv.

9. Keela faili redigeerimine WordPressi administraatoris

WordPress CMS-is on fantastiline koodiredaktor, mis võimaldab teil redigeerida WordPressi administraatori armatuurlaual olevaid pistikprogramme ja teemafaile. Koodiredaktor on suurepärane vahend teie käsutuses, kuid valedesse kätesse saavad häkkerid seda kasutada oma veebisaidi pahavara rüvetamiseks või lisamiseks..

Saate oma teemat ja pistikprogrammide faile (vajaduse korral) alati redigeerida FTP või cPaneli failihalduri kaudu, mis tähendab, et saate koodiredaktori WordPressis täielikult keelata. Te ei soovi, et teie WordPressi administratiivpiirkonnale juurdepääsu saavad häkkerid saaksid juurdepääsu koodiredaktorile, kuna mõne rea koodiga võivad need tekitada palju kahju.

Mida teha? Sisseehitatud koodiredaktori saate tasuta keelata Sucuri turvalisus sisse panema. Teise võimalusena võite oma koodile lisada järgmise koodi wp-config.php fail:

// Keela faili redigeerimine
define ('DISALLOW_FILE_EDIT', tõsi);

Me liigume edasi.

10. Turvaline sisselogimisleht

Tavaliselt on teie WordPressi sisselogimisvormil kaks välja; kasutajanimi ja parool. Kui julmad jõu ründajad ja robotid muutuvad päevaga targemaks, kuidas peatada häkkerite juurdepääsu oma WordPressi administraatorialale? See on lihtne; lisate CAPTCHA või turvaküsimused, mis raskendavad kellelgi loata juurdepääsu saamist.

Ja te ei pea koodi muutma lisage CAPTCHA või turvalisuse küsimused oma sisselogimislehele. Seal on populaarne WordPressi pistikprogramm, mida nimetatakse WP turvalisuse küsimus seda on lihtne seadistada ja kasutada. Kui soovite kasutada CAPTCHA, saate seda kasutada Lihtsa sisselogimise captcha, WordFence, või üks paljudest muudest tasuta veebisaidil WordPress.org saadaolevatest võimalustest.

Samal ajal saate muutke oma wp-login URL-i millegi ainulaadse juurde. Nii on robotitel ja häkkeritel keeruline proovida teie sisselogimislehe URL-i ära arvata. wp-login on häkkerite seas juba populaarne, seega on täiesti mõistlik muuta URL millekski muuks. Võite kasutada pistikprogrammi, näiteks WPS peidab sisselogimise.

11. Lisage autentimine

Lisaks kaaluge kahe- ja mitmefaktorilise autentimise rakendamist. Kui häkker pääseb juurde teie sisselogimisandmetele, ei saa nad teie WordPressi saidile sisse logida. Saadaval on palju võimalusi, kuid Google Authenticator on populaarne valik.

Peale selle piirake sisselogimislehel sisselogimisi. Kui külastaja proovib sisse logida kontoga, mida ei eksisteeri, või proovib mitu korda sisse logida, on tõenäoliselt tegemist häkkeriga või robotiga, kes üritab jõuga sisse jõuda. Võite kasutada pistikprogrammi, näiteks Sisselogimiskatsete piiramine või Sisselogimise lukustamine et need pealetükkivad elemendid eemale hoida.

12. Logi välja passiivsed kasutajad

Kui teil on mitme kasutaja WordPressi veebisait, ei saa te täielikult kontrollida, kuidas või kuhu kasutajad teie veebisaidile pääsevad. Autor võib otsustada kasutada artiklit lõplikult puudutades tasuta avalikku WiFi-d. Veebidisainer võib lahkuda nende töölaualt ja naasta tunniajase lõunapausilt.

Selliste stsenaariumide korral võib teie kasutaja teadmata teadlikult seada teie veebisaidi turvariskidele. Pahatahtlik inimene võib võtta selle seansi üle, muuta selle üksikasju ja lihtsalt hävitada. Kui volitamata isik teab, mida nad teevad, saavad nad kasutaja konto hõlpsalt üle võtta ja kahju teha.

Mida teha? Mitteaktiivsed kasutajad saate pärast eelnevalt määratletud perioodi automaatselt välja logida. Ja parim osa? Sellel täpsel eesmärgil on pluginad. Üks populaarsemaid võimalusi on Passiivne väljalogimine pistikprogramm, mis sisaldab ooteaja kohandamise võimalusi enne väljalogimist, kohandatud hüpikteadet või ümbersuunamisel välja logimisel ja ajalõpp vastavalt kasutaja rollile.

13. Kontrollige pahavara ja probleeme (regulaarselt)

Sageli unustatud WordPressi veebisaidi regulaarselt skannimine aitab teil turbeprobleeme varakult tuvastada. Häkkeril kulub vaid sekund, kui tungib teie veebisaidile ja teeb kõikvõimalikke vastikuid asju. Just seetõttu peaksite kogu aeg asjade peal olema.

Paljud WordPressi turbe pluginad pahavaraga nakatumiste, teadaolevate turvaaukude, vananenud skriptide, julma jõu rünnakute, olematu varukoopiate jne otsimiseks. Pistikprogrammid saadavad teile teadaolevate probleemide kohta üksikasjalikke aruandeid, et saaksite need parandada või palgata spetsialist.

Veebisaidi skännereid on palju, näiteks Sucuri saidi kontroll, mida saate kasutada oma saidi kiireks kontrollimiseks. Peate vaid sisestama oma URL-i ja tööriistad kontrollivad teie veebisaiti automaatselt. Pärast seda pakuvad nad teile aruande selle kohta, mida peate parandama. Kui aruanne on olemas, parandage viivitamatult kõik turvaaukud.

14. Kasutage VPN-i

Kui juhite veebisaiti, mis sisaldab tundlikku teavet, mis ei tohi kunagi häkkerite kätte sattuda, kaaluge virtuaalse privaatvõrgu (VPN) kasutamist, eriti tasuta avaliku Wi-Fi kasutamisel. VPN kaitseb teid kesktõve rünnakute eest, mis on tavalised avalikes võrkudes, sealhulgas kodus ja tööl.

Virtuaalne privaatvõrk tagab, et isegi kui ründajad pääsevad süsteemi juurde ja varastavad teie andmeid, ei saa nad teiega võetud andmetega midagi ette võtta. Kui teil on Interneti-võrk, mida jagate paljude inimestega, kasutage enne oma WordPressi administraatorialale pääsemist alati VPN-i.

Muud WordPressi turvasuvandid

Kas vajate veel teha? Me sooviksime, et teie veebisait oleks alati turvaline, nii et siin on boonuste turbeelemente, mida oma kontrollnimekirja lisada:

  • Keela PHP-faili täitmine kaustas / wp-content / wp-uploads /
  • Muutke oma WordPressi andmebaasi eesliidet
  • Parooliga kaitsta oma serveri administraatori- ja sisselogimislehti
  • Keela kataloogide indekseerimine
  • Kui see pole vajalik, keelake WP REST API ja XML-RPC
  • Ärge muutke / muutke WordPressi tuuma – kirjutage või kasutage pistikprogrammi, mis pakub selle asemel teile vajalikku funktsiooni
  • Veenduge, et teie veebisait käitaks PHP uusimat versiooni
  • Kasutage arvutis viirusetõrjeprogrammi
  • Google’i otsingukonsooli lubamine
  • Vähendage XSS-i ja SQL-i süstimise haavatavusi (võib-olla vajate nende kahe abistamiseks rohkem asjatundlikku inimest)

Tegelikult on teie saidi kaitsmiseks vajalike sammude arv lõputu. Kuid kui saate kontrollida meie 14 loetletud üksust, on see teie saidi turvalisuse tagamiseks tohutu samm.


WordPressi veebisaidi turvamine on keeruline, kuid mitte võimatu. Õigete tööriistade ja oskuste abil saate oma WordPressi turvalisust kiiresti karastada ja hoida halvad näitlejad eemal.

Nagu kokkuvõte, hoidke oma veebisaiti alati ajakohasena. Lisaks ärge kunagi laadige alla teemasid ega pistikprogramme ebausaldusväärsetelt saitidelt. Ja et halvimal juhul ohutul positsioonil olla, peab alati olema usaldusväärne varulahendus.

Loodetavasti leidsite kõik näpunäited, mida vajate oma WordPressi veebisaidi, seega veebiettevõtte, turvalisuse tagamiseks. Kui teil on küsimust või vajate abi oma WordPressi veebisaidi turvamiseks, palun andke meile sellest kommentaarides teada. Ole turvaline!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map