Yksinkertainen tietoturvatarkistuslista WordPress-sivustoille

Yksinkertainen tietoturvatarkistuslista WordPress-sivustoille

Tiesitkö yli 100 000 verkkosivustoa hakkeroitu päivittäin? Se on totta, verkkorikollisuus on vakava uhka kaikille yrityksille, eikä kukaan, jolla on WordPress-sivusto, ole myöskään turvassa. Minulla on ollut hakkereiden sisäänkäynti (ja minun piti palauttaa WordPress-sivustoni), ja luultavasti tiedät, että se oli ruma.


Hakkerit etsivät aktiivisesti haavoittuvia verkkosivustoja rikkoakseen ja varastaakseen tietoja, jotka ne voivat vapauttaa rahallisen voiton tai pelkän vahingollisen tarkoituksen vuoksi. Suojaaksesi itseäsi ja arvokasta sivustoasi, sinun tulee harkita vakavasti WordPress-tietoturvasi kovettamista.

Koska menetät tuloja, aikaa ja vaivaa, kun hakkerit tunkeutuvat verkkosivustoosi, olemme luoneet seuraavan turvatarkistusluettelon, jota voit käyttää WordPress-verkkosivustosi suojaamiseen. Kaikki viestin suojauskohteet ovat suhteellisen helppo toteuttaa jopa ensikertalaisille:

Kuten voit nähdä, me jaomme viestin useisiin osiin, jotka kattavat kaiken turvallisen isännän valitsemisesta aina järjestelmänvalvojan ja muiden käyttäjien kovettumiseen. Joudut toistamaan joitain suojaustehtäviä, kuten päivittämään teemoja säännöllisesti. Muut tehtävät ovat kertaluonteisia, mutta vaikuttavat silti merkittävästi sivustosi turvallisuuteen. Tarkista, mitä sinun täytyy korjata, ja tee se heti, koska hakkerit eivät myöskään tuhlaa aikaa.

Yksinkertainen WordPress-tietoturvatarkistuslista

1. Päivitä WordPress

WordPress-ydintä tarkastetaan säännöllisesti ja tarkistetaan suojausheikkouksien varalta. Jos tietoturvavirheitä ja virheitä havaitaan, ydinkehittäjät julkaisevat yleensä ylläpitopäivityksiä. Pienet päivitykset asennetaan WordPress-verkkosivustoosi automaattisesti.

Sinun on kuitenkin päivitettävä WordPress manuaalisesti kaikkia tärkeimpiä julkaisuja varten. Se on suhteellisen suoraviivainen prosessi, koska saat nagging-viestin WordPress-järjestelmänvalvojaan. Vain 22% verkkosivustoista käyttää uusinta WordPress-versiota, mikä on surullista ottaen huomioon kuinka helppo päivittää.

Älä kuulu jäljelle jääviin 78%: iin, koska altistat sivustosi kaikenlaisiin hyökkäyksiin, koska et päivitä verkkosivustoasi. Hakkerit ovat yleensä ensimmäinen ryhmä ihmisiä, jotka oppivat vanhojen versioiden mahdollisista haavoittuvuuksista, koska he luottavat virheisiin onnistuneiden hyökkäysten käynnistämisessä..

Ennen kuin päivität WordPressiä, suosittelemme lukemaan julkaisutiedot, jotta näet muutokset, ja ota varmuuskopio verkkosivustostasi (vain turvallisuuden vuoksi). Tällä tavalla voit nyt odottaa, kun napsautat kyseistä päivityspainiketta, ja sinulla on turvahäiriö, jos jotain menee pieleen.

2. Päivitä teemat ja laajennukset

Päivittäessäsi WordPress-ydintä, älä unohda päivittää myös teemoja ja laajennuksia. Hakkerit ovat erityisen ihastuneita vanhoihin teemoihin ja laajennuksiin, joissa on tunnettuja tietoturva-aukkoja.

He hyödyntävät näitä tietoturva-aukkoja ja saattavat jopa piilottaa takaoven vanhaan teemaan tai laajennukseen. Jos et päivitä, he voivat hakkeroida verkkosivustosi aina, kun se on heille miellyttävä.

Mukautettujen tyylien menettämisen välttämiseksi suosittelemme WordPress-lapsiteeman käyttämistä vanhemman teeman sijasta. Tällä tavalla et menetä mukautuksiasi päivittäessäsi teemaasi.

Sinun tulisi myös poistaa kaikki passiiviset teemat, laajennukset ja käyttämättömät WordPress-asennukset. Voit säästää kaistanleveyttä ja tehdä verkkosivustostasi nopeampaa, mutta myös hakkereita pidetään loitolla.

Toinen nopea huomautus, älä koskaan lataa ”nulled” premium-teemoja ja -laajennuksia. Mene vain luotettavien lähteiden, kuten WordPress.org, Envato tai muun hyvämaineisen teemakaupan, kanssa.

3. Käytä ainutlaatuisia ja vahvoja salasanoja

Saatat yllättyä kuullessasi, että useimpiin verkkosivustoihin on hakkeroitu, kun pahat pojat varastavat kirjautumistietosi. Lisäksi raa’at voimahyökkäykset ovat melko yleisiä ja niihin sisältyy kirjautumissivusi pommittaminen tuhansilla käyttäjän ja salasanan yhdistelmillä, kunnes jokin antaa.

Jos käytät heikkoja käyttäjänimiä ja salasanoja (kuten pahamaineinen “admin” tai “12345”), hakkerit tekevät siitä uskomattoman helpon pääsyn verkkosivustoosi. Sinulla on tapana luoda ainutlaatuisia ja vahvoja salasanoja, joita vaihdat säännöllisesti. Voit jopa käyttää ilmaista online-generaattoria, kuten tämä LastPass.

Monien vahvojen salasanojen hallinta voi olla ongelma. Apua varten luotan usein muun muassa salasanan hallintaan, kuten 1Password tai LastPass. Älä käytä samaa salasanaa useilla verkkosivustoilla ja pidä kirjautumistietosi aina turvassa. Varmista, että WordPress-käyttäjät käyttävät myös vahvoja salasanoja.

Kun olet siinä – muista käyttää vahvoja salasanoja myös sähköpostiisi, cPaneliin, MySQL-tietokantoihin ja FTP-tiliin.

4. Asenna WordPress-suojauslaajennus

Aina kun luon uuden WordPress-verkkosivuston, minulla on yleensä useita defacto-laajennuksia, jotka asennan melkein automaattisesti. Saan roskapostin vastaisen laajennuksen, Contact Form 7, Symple Shortcodes ja iThemes Security, go-to WordPress -turvalaajennuksen.

Laajennuksen avulla voin vahvistaa WordPress-puolustustani rikkomatta hikeä. Sen mukana on niin monia ominaisuuksia, jotka tekevät pahojen kavereiden pitämisestä poissa verkkosivustoistani. Laajennuksen määrittäminen on erittäin helppoa; sinun pitäisi olla valmis ja käynnissä nopeasti.

Parhaat WordPress-tietoturvalaajennukset tarjoavat sinulle erilaisia ​​ominaisuuksia, joten muista tarkistaa ennen asennusta varmistaaksesi, että saat kaikki tarvitsemasi ominaisuudet koko verkkosivustosi suojaamiseksi riippumatta siitä, kuinka ainutlaatuinen se on. Vakioominaisuuksiin kuuluvat haittaohjelmien tarkistaminen, IP-estäminen, raa’an voiman estäminen, kaksifaktorinen todennus ja paljon muuta – useiden tämän lukeman suojausluettelon ruutujen tarkistaminen!

5. Valitse Suuri WordPress-hosting

Tyypillisesti aloittelijat keväällä löytävät ensimmäisen halvan hosting-paketin. En pidä sitä sinua vastaan, koska et tiedä parempaa, mutta kyseenalaisesti halpa (tai jopa ilmainen) jaettu isännöinti voi altistaa sinut turvallisuusriskeille. Tiedän tämän tosiasiasta, koska minua on hakkeroitu kahteen eri hosting-yritykseen, jotka tarjoavat jaettua hosting-palvelua.

Jaettuun hosting-palveluun kuuluu palvelimen jakaminen tuhansien muiden verkkosivustojen kanssa. Tämä lisää alueiden välisen kontaminaation riskiä. Eli hakkeri voi päästä sivustoosi, vaikka jonkun toisen verkkosivusto olisi alkuperäinen hyökkäyskohta.

Ylläpito WordPress-isännöinnissä puolestaan ​​keskittyy vain WordPress-verkkosivustoihin. Et jaa palvelinta muiden kanssa, ja saat enemmän suojausvaihtoehtoja pysyäksesi turvassa. Ne tarjoavat myös erityistä tukea, ja enemmän palautusvaihtoehtoja pitäisi tapahtua pahimmassa tapauksessa.

Jos joudut käyttämään jaettua hosting-palvelua, sano, että aloitat blogin avulla, joka ei vielä ansaitse rahaa, varmista, että sivustot ovat erillisiä tai “vankilassa”. Jos sinulla on yritys- tai verkkokauppasivusto, kannattaa käyttää parasta WordPress-hosting-palvelua, joka mahtuu budjettisi suoraan sanasta mennessä – kuten VPS, omistettu tai hallinnoitu WordPress-hosting.

6. Käytä SSL (HTTPS)

Nykyään monet WordPress-isännöintiyritykset tarjoavat ilmaisia ​​SSL-varmenteita alusta alkaen ja hyvästä syystä. SSL-varmenteet tekevät verkkosivustosi turvallisemmaksi kuin sivustot, joissa ei ole SSL: tä. Google suosittelee myös SSL-varmenteiden käyttöä verkkosivustosi tietojen suojaamiseksi (ja varmista, että käyttäjät tietävät, käytätkö SSL: ää vai et).

HTTPS on turvallisempi kuin edeltäjänsä HTTP. Sivusto, joka käyttää HTTPS: tä, salaa kaikki tiedot, jotka liikkuvat käyttäjän selaimen ja palvelimiesi välillä. Jos hakkeri katkaisee viestinnän, hän löytää vain salattua tietoa, joka on yhtä hyödyllinen kuin yksijalkainen mies takapotkukilpailussa ��

SSL-varmenteiden asentaminen useimpiin Web-koneisiin on yhtä helppoa kuin A, B, C. Useimmat tarjoavat yhden napsautuksen asennusohjelmat, jotka tekevät koko prosessin helpoksi. Kirjaudu vain sisään cPaneliin ja napsauta yhtä painiketta asentaaksesi ja hallitaksesi SSL-varmenteitasi. Jos haluat enemmän käytännöllistä lähestymistapaa, kannattaa tarkistaa Let’s Encrypt.

7. Luo koko sivuston varmuuskopio

Kun hakkerit syrjäyttivät minut, minun piti rakentaa verkkosivustoni uudelleen tyhjästä, päänsärky, jonka olisin välttänyt, jos olisin muistanut luotettavasti WordPressin varmuuskopion..

Mutta ei, Web-isäntäni kanssa varmuuskopiot olivat vioittuneet hyökkäyksen aikana, ja ei, minulla ei ollut toissijaista varmuuskopioratkaisua. Klassinen tapa laittaa kaikki munasi yhteen koriin, joka opetti minulle kovan oppitunnin.

Nykyään luon täydellisiä verkkosivustojen varmuuskopioita, jotka sisältävät verkkosivustotiedostot ja tietokannat. Käytän lähinnä ManageWP, mutta käytän myös Kopiokoneen laajennus tallentaaksesi varmuuskopioita tietokoneelleni ja Google Driveen.

Kehotan sinua luomaan säännöllisesti varmuuskopioita. Monien WordPress-varmuuskopiointiratkaisujen avulla voit automatisoida koko prosessin, säästää aikaa ja antaa sinulle mielenrauhan.

8. Käytä Web-sovelluspalomuuria (WAF)

Jos haluat lisätä ylimääräisen suojauskerroksen WordPress-sivustoosi ja nukkua paremmin yöllä, ota käyttöön verkkosovelluspalomuuri (WAF). WAF suojaa verkkosivustoasi estämällä haitallista liikennettä kauan ennen kuin se pääsee sivustoosi. Se on ennakoiva toimenpide pahojen kavereiden pysäyttämiseksi kappaleillaan ennen niiden aiheuttamista vahinkoja.

Palomuuri suodattaa saapuvan liikenteen, eliminoi hakkerit ja päästää lailliset käyttäjät läpi. Monet WordPress-tietoturvayritykset tarjoavat verkkosivustojen palomuureja muiden ominaisuuksien rinnalla. Alan suosittuja vaihtoehtoja ovat Sucuri ja CloudFlare.

9. Poista tiedostojen muokkaaminen käytöstä WordPress Adminissa

WordPress CMS sisältää fantastisen koodieditorin, jonka avulla voit muokata plugin- ja tematiedostoja WordPress-järjestelmänvalvojan kojelaudan sisällä. Koodieditori on hieno työkalu käytettävissänne, mutta väärissä käsissä hakkerit voivat käyttää sitä loukkaamaan tai lisäämään haittaohjelmia verkkosivustollesi..

Voit aina muokata teema- ja laajennustiedostoja (tarvittaessa sellaisia) FTP: n tai cPanelin tiedostonhallinnan kautta, mikä tarkoittaa, että voit kokonaan poistaa koodieditorin käytöstä WordPressissä. Et halua, että hakkerit, jotka saavat pääsyn WordPress-järjestelmänvalvojan alueelle, pääsevät koodieditoriin, koska ne voivat aiheuttaa paljon vahinkoa muutamalla koodirivillä.

Mitä tehdä? Voit poistaa sisäänrakennetun koodieditorin käytöstä ilmaisella Sucuri-turvallisuus kytkeä. Vaihtoehtoisesti voit lisätä seuraavan koodin wp-config.php file:

// Estä tiedoston muokkaaminen
define ('DISALLOW_FILE_EDIT', tosi);

Jatkamme eteenpäin.

10. Suojaa kirjautumissivusi

Yleensä WordPressin kirjautumislomakkeessa on kaksi kenttää; Käyttäjänimi ja salasana. Kun raa’at voimahyökkääjät ja robotit ovat entistä älykkäämpiä, miten estät hakkereita pääsemästä WordPress-järjestelmänvalvojan alueelle? Se on yksinkertaista; lisäät CAPTCHA- tai turvakysymyksiä, jotka vaikeuttavat luvattoman pääsyn kenelle tahansa.

Ja sinun ei tarvitse muokata koodia lisää CAPTCHA tai turvallisuuskysymykset kirjautumissivullesi. On olemassa suosittu WordPress-laajennus, joka tunnetaan nimellä WP-turvakysymys Se on helppo määrittää ja käyttää. Jos haluat käyttää CAPTCHAa, voit käyttää sitä Yksinkertainen kirjautuminen Captcha, WordFence, tai yksi monista muista ilmaiseksi käytettävissä olevista vaihtoehdoista WordPress.org-sivustossa.

Samalla voit muuta wp-kirjautumistunnuksen URL-osoitetta jotain ainutlaatuista. Tällä tavalla robottiyrityksillä ja hakkereilla on vaikea yrittää arvata sisäänkirjautumissivusi URL-osoitetta. wp-login on jo suosittu hakkereiden keskuudessa, joten on täysin järkevää muuttaa URL-osoite jotain muuta. Voit käyttää laajennusta, kuten WPS piilota kirjautuminen.

11. Lisää todennus

Lisäksi harkitse kaksifaktorisen ja monikerroksisen todennuksen käyttöönottoa. Jos hakkeri pääsee kirjautumistietoihisi, hän ei voi kirjautua sisään WordPress-sivustoosi. On olemassa monia vaihtoehtoja, mutta Google Authenticator on suosittu valinta.

Muuta kuin rajoita kirjautumissivuja kirjautumissivulle. Jos vierailija yrittää kirjautua sisään tilillä, jota ei ole olemassa, tai yrittää kirjautua sisään monta kertaa, hän on todennäköisesti hakkeri tai botti, joka yrittää raivoillaan pakottaa tietään sisään. Voit käyttää laajennusta, kuten Rajoita kirjautumisyrityksiä tai Sisäänkirjautumisen lukitus pitää nämä häiritsevät elementit poissa.

12. Kirjaudu ulos ei-aktiivisista käyttäjistä

Kun sinulla on monen käyttäjän WordPress-verkkosivusto, et voi täysin hallita miten tai missä käyttäjät käyttävät verkkosivustoasi. Kirjailija saattaa päättää käyttää ilmaista julkista Wi-Fi-verkkoa artikkelin lopulliseen kosketukseen. Verkkosuunnittelija saattaa poistua työpöydältään ja palata tunnin lounastauolta.

Tällaisissa tilanteissa käyttäjä voi altistaa verkkosivustosi tietoturvallisesti tietoturvariskeille. Haittaohjelma voi ottaa haltuunsa istunnon, muokata tietojaan ja yksinkertaisesti tuhota. Jos luvattomat osapuolet tietävät tekevänsä, he voivat helposti ottaa käyttäjän tilin haltuunsa ja vahingoittaa niitä.

Mitä tehdä? Voit kirjautua ulos passiivisista käyttäjistä automaattisesti ennalta määritetyn ajanjakson jälkeen. Ja mikä parasta? Tätä tarkkaa tarkoitusta varten on olemassa laajennuksia. Yksi suosittu vaihtoehto on Passiivinen uloskirjautuminen laajennus, joka sisältää asetukset mukauttaa joutoajan ennen uloskirjautumista, mukautetun ponnahdusviestin tai uudelleenohjauksen uloskirjautumisen yhteydessä ja aikakatkaisun käyttäjän roolin mukaan.

13. Etsi haittaohjelmia ja ongelmia (säännöllisesti)

Usein unohdettu WordPress-verkkosivustosi säännöllinen skannaaminen voi auttaa sinua tunnistamaan tietoturvaongelmat jo varhaisessa vaiheessa. Hakijalta kestää vain sekunnin tunkeutua verkkosivustoosi ja tehdä kaikenlaisia ​​ikäviä asioita. Juuri siksi sinun pitäisi pysyä asioiden päällä aina.

Monet WordPress-tietoturvalaajennukset tarkistaa haittaohjelmainfektiot, tunnetut suojaushaavoittuvuudet, vanhentuneet komentosarjat, raa’at voimahyökkäykset, olemattomat varmuuskopiot ja niin edelleen. Laajennukset lähettävät sinulle yksityiskohtaisia ​​raportteja tunnetuista ongelmista, jotta voit korjata ne tai palkata ammattilaisen.

Sivustojen skannaajia on monia, kuten Sucuri SiteCheck, jonka avulla voit tarkistaa sivustosi hetkessä. Ainoa mitä sinun on tehtävä on kirjoittaa URL-osoite ja työkalut tarkistavat verkkosivustosi automaattisesti. Sen jälkeen he tarjoavat sinulle raportin korjaamastasi. Kun olet saanut raportin, korjaa kaikki suojausheikkoudet heti.

14. Käytä VPN-verkkoa

Jos ylläpidät verkkosivustoa, joka sisältää arkaluontoisia tietoja, joita ei saa koskaan päästä hakkereiden käsiin, harkitse virtuaalisen yksityisen verkon (VPN) käyttöä, etenkin kun käytät ilmaista julkista Wi-Fi-yhteyttä. VPN suojaa sinua keskitason hyökkäyksiltä, ​​jotka ovat yleisiä julkisissa verkoissa, kuten kotona ja työpaikalla.

Virtuaali yksityinen verkko varmistaa, että vaikka hyökkääjät pääsevät järjestelmään ja varastavat tietosi, he eivät voi tehdä mitään sinulta ottamiesi tietojen kanssa. Jos sinulla on Internet-verkko, jota jaat monien ihmisten kanssa, käytä aina VPN: ää ennen kuin pääset WordPress-järjestelmänvalvojan alueelle.

Muut WordPress-suojausasetukset

Tarvitsetko lisää tekemistä? Pidämme mielellämme verkkosivustosi turvallisena jatkuvasti, joten tässä on bonusturvakohteita, jotka voidaan lisätä tarkistusluetteloosi:

  • Poista PHP-tiedostojen suorittaminen käytöstä / wp-content / wp-uploads /
  • Vaihda WordPress-tietokannan etuliite
  • Salasanalla suojaa järjestelmänvalvojan ja kirjautumissivut palvelimen puolella
  • Poista hakemistojen indeksointi käytöstä
  • Poista WP REST API ja XML-RPC käytöstä, jos sitä ei tarvita
  • Älä muokkaa / muuta WordPress-ydintä – kirjoita tai käytä laajennusta, joka tarjoaa sen sijaan tarvitsemasi toiminnot
  • Varmista, että verkkosivustollasi on uusin PHP-versio
  • Käytä tietokoneesi virustorjuntaohjelmaa
  • Ota Google Search Console käyttöön
  • Vähennä XSS- ja SQL-injektiohaavoittuvuuksia (saatat tarvita teknisen asiantuntevamman henkilön auttamaan näitä kahta)

Todellakin, useita toimia, jotka voit suorittaa sivustosi suojelemiseksi, on rajaton. Mutta jos voit tarkistaa luetellamme 14 kohdetta, se on valtava askel sivustosi suojaamisessa.


WordPress-verkkosivustosi suojaaminen on haastavaa, mutta ei mahdotonta. Oikeilla työkaluilla ja taidoilla voit nopeasti kovettaa WordPress-tietoturvasi ja pitää huonot toimijat poissa.

Huomautuksena, pidä verkkosivustosi aina ajan tasalla. Lisäksi älä koskaan lataa teemoja tai laajennuksia epäluotettavilta sivustoilta. Ja ollaksesi turvallisella puolella, jos pahinta tapahtuu, on aina oltava luotettava varmuuskopioratkaisu paikallaan.

Toivomme löytäneesi kaikki tarvittavat vinkit WordPress-verkkosivustosi, siis online-liiketoiminnan, suojaamiseksi. Jos sinulla on kysyttävää tai tarvitset apua WordPress-verkkosivustosi suojaamiseen, kerro siitä meille kommenteissa. Pysy turvassa!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map