The Ultimate WordPress Security Guide – Step by Step (2020)

Bezpieczeństwo WordPress jest niezwykle ważnym tematem dla każdego właściciela witryny. Google umieszcza na czarnej liście około 10 000 stron internetowych każdego dnia pod kątem złośliwego oprogramowania i około 50 000 witryn wyłudzających informacje co tydzień.


Jeśli poważnie podchodzisz do swojej witryny, musisz zwrócić uwagę na najlepsze praktyki bezpieczeństwa WordPress. W tym przewodniku udostępnimy wszystkie najważniejsze wskazówki dotyczące bezpieczeństwa WordPress, aby pomóc Ci chronić swoją witrynę przed hakerami i złośliwym oprogramowaniem.

Kompletny przewodnik bezpieczeństwa WordPress

Chociaż podstawowe oprogramowanie WordPress jest bardzo bezpieczne i regularnie kontrolowane przez setki programistów, wiele można zrobić, aby zabezpieczyć witrynę.

W WPBeginner uważamy, że bezpieczeństwo to nie tylko eliminacja ryzyka. Chodzi również o redukcję ryzyka. Jako właściciel witryny możesz wiele zrobić, aby poprawić bezpieczeństwo WordPressa (nawet jeśli nie masz wprawy).

Mamy szereg działań, które możesz podjąć, aby chronić swoją witrynę przed lukami w zabezpieczeniach.

Aby to ułatwić, stworzyliśmy spis treści, który pomoże ci łatwo poruszać się po naszym najlepszym przewodniku bezpieczeństwa WordPress.

Podstawy bezpieczeństwa WordPress

    Zabezpieczenia WordPress w łatwych krokach (bez kodowania)

      WordPress Security dla majsterkowiczów

        Gotowy? Zacznijmy.

        Dlaczego bezpieczeństwo witryny jest ważne?

        Zaatakowana witryna WordPress może spowodować poważne szkody w przychodach i reputacji firmy. Hakerzy mogą kraść informacje o użytkownikach, hasła, instalować złośliwe oprogramowanie, a nawet rozpowszechniać złośliwe oprogramowanie wśród użytkowników.

        Najgorsze może być to, że płacisz ransomware hakerom, aby odzyskać dostęp do swojej witryny.

        Dlaczego bezpieczeństwo WordPress jest ważne

        W marcu 2016 r. Google poinformowało, że ponad 50 milionów użytkowników witryny zostało ostrzeżonych o tym, że odwiedzana witryna może zawierać złośliwe oprogramowanie lub kradzież informacji.

        Ponadto Google co tydzień umieszcza na czarnej liście około 20 000 stron internetowych pod kątem złośliwego oprogramowania i około 50 000 witryn wyłudzających informacje.

        Jeśli twoja strona internetowa jest biznesem, musisz zwrócić szczególną uwagę na bezpieczeństwo WordPress.

        Podobnie jak w przypadku odpowiedzialności właścicieli firm za ochronę ich fizycznego budynku sklepu, jako właściciel firmy internetowej masz obowiązek chronić witrynę swojej firmy.

        []

        Aktualizowanie WordPress

        Aktualizowanie WordPress

        WordPress to oprogramowanie typu open source, które jest regularnie konserwowane i aktualizowane. Domyślnie WordPress automatycznie instaluje niewielkie aktualizacje. W przypadku głównych wersji należy ręcznie zainicjować aktualizację.

        WordPress zawiera również tysiące wtyczek i motywów, które możesz zainstalować na swojej stronie. Te wtyczki i motywy są utrzymywane przez zewnętrznych programistów, którzy również regularnie wydają aktualizacje.

        Te aktualizacje WordPress są kluczowe dla bezpieczeństwa i stabilności Twojej witryny WordPress. Musisz upewnić się, że Twój rdzeń, wtyczki i motyw WordPress są aktualne.

        []

        Silne hasła i uprawnienia użytkownika

        Zarządzaj silnymi hasłami

        Najczęstsze próby włamania do WordPress wykorzystują skradzione hasła. Możesz to utrudnić, używając silniejszych haseł, które są unikalne dla Twojej witryny. Nie tylko dla obszaru administracyjnego WordPress, ale także dla kont FTP, bazy danych, konta hostingowego WordPress i niestandardowych adresów e-mail, które używają nazwy domeny witryny.

        Wielu początkujących nie lubi używać silnych haseł, ponieważ trudno je zapamiętać. Dobrą rzeczą jest to, że nie musisz już pamiętać haseł. Możesz użyć menedżera haseł. Zobacz nasz przewodnik na temat zarządzania hasłami WordPress.

        Innym sposobem zmniejszenia ryzyka jest nieprzyznanie nikomu dostępu do konta administratora WordPress, chyba że jest to absolutnie konieczne. Jeśli masz duży zespół lub autorów gości, upewnij się, że rozumiesz role i możliwości użytkowników w WordPress przed dodaniem nowych kont użytkowników i autorów do swojej witryny WordPress.

        []

        Rola hostingu WordPress

        Twoja usługa hostingowa WordPress odgrywa najważniejszą rolę w bezpieczeństwie Twojej witryny WordPress. Dobry dostawca hostingu dzielonego, taki jak Bluehost lub Siteground, podejmuje dodatkowe środki w celu ochrony swoich serwerów przed typowymi zagrożeniami.

        Oto, jak dobra firma hostingowa działa w tle, aby chronić twoje strony internetowe i dane.

        • Stale monitorują swoją sieć pod kątem podejrzanych działań.
        • Wszystkie dobre firmy hostingowe dysponują narzędziami zapobiegającymi atakom DDOS na dużą skalę
        • Aktualizują oprogramowanie i sprzęt serwerowy, aby uniemożliwić hakerom wykorzystanie znanej luki w zabezpieczeniach w starej wersji.
        • Są gotowi do wdrożenia planów odzyskiwania po awarii i wypadków, które pozwalają im chronić twoje dane w przypadku poważnej awarii.

        Na wspólnym planie hostingowym zasoby serwera są udostępniane wielu innym klientom. Otwiera to ryzyko zanieczyszczenia między witrynami, w których haker może użyć sąsiedniej witryny do zaatakowania witryny.

        Korzystanie z zarządzanej usługi hostingowej WordPress zapewnia bezpieczniejszą platformę dla Twojej witryny. Zarządzane firmy hostingowe WordPress oferują automatyczne kopie zapasowe, automatyczne aktualizacje WordPress i bardziej zaawansowane konfiguracje zabezpieczeń w celu ochrony witryny

        Polecamy WPEngine jako naszego preferowanego zarządzanego dostawcę hostingu WordPress. Są również najpopularniejsze w branży. (Zobacz nasz specjalny kupon WPEngine).

        []

        Zabezpieczenia WordPress w łatwych krokach (bez kodowania)

        Wiemy, że poprawa bezpieczeństwa WordPress może być przerażającą myślą dla początkujących. Zwłaszcza jeśli nie jesteś specjalistą. Zgadnij co – nie jesteś sam.

        Pomogliśmy tysiącom użytkowników WordPress w zwiększeniu bezpieczeństwa WordPress.

        Pokażemy Ci, jak możesz poprawić bezpieczeństwo WordPress za pomocą zaledwie kilku kliknięć (kodowanie nie jest wymagane).

        Jeśli możesz wskazywać i klikać, możesz to zrobić!

        Zainstaluj rozwiązanie do tworzenia kopii zapasowych WordPress

        Zainstaluj rozwiązanie do tworzenia kopii zapasowych WordPress

        Kopie zapasowe to Twoja pierwsza obrona przed atakiem WordPress. Pamiętaj, że nic nie jest w 100% bezpieczne. Jeśli strony rządowe mogą zostać zhakowane, to i twoje.

        Kopie zapasowe pozwalają szybko przywrócić witrynę WordPress na wypadek, gdyby stało się coś złego.

        Istnieje wiele darmowych i płatnych wtyczek do tworzenia kopii zapasowych WordPress, z których możesz korzystać. Najważniejszą rzeczą, którą musisz wiedzieć, jeśli chodzi o kopie zapasowe, jest to, że musisz regularnie zapisywać kopie zapasowe całej witryny w zdalnej lokalizacji (nie na koncie hostingowym).

        Zalecamy przechowywanie go w usłudze chmurowej, takiej jak Amazon, Dropbox lub chmurach prywatnych, takich jak Stash.

        W zależności od częstotliwości aktualizacji witryny idealnym rozwiązaniem może być tworzenie kopii zapasowych raz dziennie lub tworzenie kopii zapasowych w czasie rzeczywistym.

        Na szczęście można to łatwo zrobić za pomocą wtyczek takich jak VaultPress lub UpdraftPlus. Są niezawodne i co najważniejsze łatwe w użyciu (nie wymaga kodowania).

        []

        Najlepsza wtyczka bezpieczeństwa WordPress

        Po utworzeniu kopii zapasowych kolejną rzeczą, którą musimy zrobić, to skonfigurować system kontroli i monitorowania, który śledzi wszystko, co dzieje się na Twojej stronie.

        Obejmuje to monitorowanie integralności plików, nieudane próby logowania, skanowanie w poszukiwaniu złośliwego oprogramowania itp.

        Na szczęście to wszystko można załatwić dzięki najlepszej bezpłatnej wtyczce bezpieczeństwa WordPress, Sucuri Scanner.

        Musisz zainstalować i aktywować bezpłatną wtyczkę Sucuri Security. Aby uzyskać więcej informacji, zapoznaj się z naszym przewodnikiem krok po kroku, w jaki sposób zainstalować wtyczkę WordPress.

        Po aktywacji musisz przejść do menu Sucuri w swoim administratorze WordPress. Pierwszą rzeczą, o którą zostaniesz poproszony, jest wygenerowanie darmowego klucza API. Umożliwia to rejestrowanie audytu, sprawdzanie integralności, alerty e-mail i inne ważne funkcje.

        Wygeneruj klucz API Sucuri

        Następną rzeczą, którą musisz zrobić, to kliknąć kartę „Hartowanie” w menu ustawień. Przejrzyj wszystkie opcje i kliknij przycisk „Zastosuj utwardzanie”.

        Zaostrzenie bezpieczeństwa Sucuri

        Te opcje pomagają zablokować kluczowe obszary, które hakerzy często wykorzystują w swoich atakach. Jedyną opcją hartowania, która jest płatnym uaktualnieniem, jest Zapora aplikacji sieci Web, którą wyjaśnimy w następnym kroku, więc pomiń ją na razie.

        W dalszej części tego artykułu omówiliśmy wiele z tych opcji „Hartowanie” dla tych, którzy chcą to zrobić bez użycia wtyczki lub tych, które wymagają dodatkowych kroków, takich jak „Zmiana prefiksu bazy danych” lub „Zmiana nazwy administratora”.

        Po części hartowania domyślne ustawienia wtyczek są wystarczające dla większości witryn i nie wymagają żadnych zmian. Jedyne, co zalecamy dostosować, to „Alerty e-mailowe”.

        Domyślne ustawienia alertów mogą zagracać skrzynkę odbiorczą wiadomościami e-mail. Zalecamy otrzymywanie alertów dotyczących kluczowych działań, takich jak zmiany we wtyczkach, rejestracja nowego użytkownika itp. Możesz skonfigurować alerty, przechodząc do Ustawienia Sucuri »Alerty.

        Skonfiguruj powiadomienia e-mail dotyczące bezpieczeństwa

        Ta wtyczka bezpieczeństwa WordPress jest bardzo wydajna, więc przeglądaj wszystkie karty i ustawienia, aby zobaczyć wszystko, co robi, takie jak skanowanie w poszukiwaniu złośliwego oprogramowania, dzienniki audytu, śledzenie nieudanego logowania itp..

        Włącz zaporę sieciową (WAF)

        Najprostszym sposobem ochrony witryny i zapewnienia bezpieczeństwa WordPress jest użycie zapory sieciowej (WAF).

        Zapora sieciowa blokuje cały złośliwy ruch, zanim dotrze on nawet do Twojej witryny.

        Zapora sieciowa na poziomie DNS – Zapory te kierują ruch w witrynie przez serwery proxy w chmurze. To pozwala im wysyłać tylko autentyczny ruch do twojego serwera internetowego.

        Zapora na poziomie aplikacji – Te wtyczki zapory ogniowej sprawdzają ruch po dotarciu do serwera, ale przed załadowaniem większości skryptów WordPress. Ta metoda nie jest tak skuteczna jak zapora na poziomie DNS w zmniejszaniu obciążenia serwera.

        Aby dowiedzieć się więcej, zobacz naszą listę najlepszych wtyczek zapory WordPress.

        Sucuri WAF

        My używać i polecać Sucuri jako najlepsza zapora sieciowa dla WordPress. Możesz przeczytać o tym, jak Sucuri pomogło nam zablokować 450 000 ataków WordPress w ciągu miesiąca.

        Ataki zablokowane przez Sucuri

        Najlepsze w zaporze Sucuri jest to, że ma ona również funkcję usuwania złośliwego oprogramowania i gwarancji usuwania czarnej listy. Zasadniczo, jeśli miałbyś zostać zhakowany pod ich obserwacją, gwarantują, że naprawią twoją stronę (bez względu na to, ile masz stron).

        Jest to dość silna gwarancja, ponieważ naprawa zaatakowanych stron internetowych jest droga. Eksperci ds. Bezpieczeństwa zwykle pobierają 250 USD za godzinę. Podczas gdy możesz uzyskać cały stos bezpieczeństwa Sucuri za 199 USD rocznie.

        Popraw swoje bezpieczeństwo WordPress dzięki Sucuri Firewall »

        Sucuri nie jest jedynym dostawcą zapory ogniowej na poziomie DNS. Innym popularnym konkurentem jest Cloudflare. Zobacz nasze porównanie Sucuri vs Cloudflare (Plusy i minusy).

        []

        Przenieś swoją witrynę WordPress na SSL / HTTPS

        SSL (Secure Sockets Layer) to protokół, który szyfruje przesyłanie danych między Twoją witryną a przeglądarką użytkowników. To szyfrowanie utrudnia komuś węszenie i kradzież informacji.

        Jak działa SSL

        Po włączeniu protokołu SSL Twoja witryna będzie używać HTTPS zamiast HTTP, a także zobaczysz znak kłódki obok adresu witryny w przeglądarce.

        Certyfikaty SSL były zwykle wydawane przez urzędy certyfikacji, a ich ceny zaczynają się od 80 do setek dolarów rocznie. Ze względu na dodatkowe koszty większość właścicieli witryn zdecydowała się nadal używać niezabezpieczonego protokołu.

        Aby to naprawić, organizacja non-profit o nazwie Let’s Encrypt zdecydowała się zaoferować bezpłatne certyfikaty SSL właścicielom witryn. Ich projekt jest obsługiwany przez Google Chrome, Facebook, Mozilla i wiele innych firm.

        Teraz korzystanie z protokołu SSL we wszystkich witrynach WordPress jest łatwiejsze niż kiedykolwiek. Wiele firm hostingowych oferuje obecnie bezpłatny certyfikat SSL dla Twojej witryny WordPress.

        Jeśli Twoja firma hostingowa tego nie oferuje, możesz je kupić w Domain.com. Mają najlepszą i najbardziej niezawodną ofertę SSL na rynku. Obejmuje gwarancję bezpieczeństwa na 10 000 USD i pieczęć TrustLogo.

        WordPress Security dla majsterkowiczów

        Jeśli robisz wszystko, o czym wspominaliśmy do tej pory, jesteś w całkiem niezłej formie.

        Ale jak zawsze, możesz zrobić więcej, aby wzmocnić bezpieczeństwo WordPress.

        Niektóre z tych kroków mogą wymagać znajomości kodowania.

        Zmień domyślną nazwę użytkownika „admin”

        W dawnych czasach domyślną nazwą użytkownika administratora WordPress był „admin”. Ponieważ nazwy użytkowników stanowią połowę poświadczeń logowania, hakerzy ułatwili im przeprowadzanie ataków siłowych.

        Na szczęście WordPress od tego czasu to zmienił i teraz wymaga wybrania niestandardowej nazwy użytkownika w momencie instalacji WordPress.

        Jednak niektóre instalatory WordPress 1-kliknięciem nadal ustawiają domyślną nazwę użytkownika admin na „admin”. Jeśli zauważysz, że tak jest, prawdopodobnie dobrym pomysłem jest zmiana hostingu.

        Ponieważ WordPress domyślnie nie pozwala na zmianę nazw użytkowników, istnieją trzy metody zmiany nazwy użytkownika.

        1. Utwórz nową nazwę użytkownika administratora i usuń starą.
        2. Użyj wtyczki Changer nazwy użytkownika
        3. Zaktualizuj nazwę użytkownika z phpMyAdmin

        Omówiliśmy wszystkie trzy z nich w naszym szczegółowym przewodniku na temat prawidłowej zmiany nazwy użytkownika WordPress (krok po kroku).

        Uwaga: Mówimy o nazwie użytkownika o nazwie „admin”, a nie roli administratora.

        []

        Wyłącz edycję plików

        WordPress jest wyposażony we wbudowany edytor kodu, który pozwala edytować pliki motywów i wtyczek bezpośrednio w obszarze administracyjnym WordPress. W niewłaściwych rękach ta funkcja może stanowić zagrożenie bezpieczeństwa, dlatego zalecamy jej wyłączenie.

        Wyłącz edycję plików w WordPress

        Możesz to łatwo zrobić, dodając następujący kod w pliku wp-config.php.

        // Nie zezwalaj na edycję pliku
        zdefiniować („DISALLOW_FILE_EDIT”, prawda);

        Alternatywnie możesz to zrobić za pomocą jednego kliknięcia, używając funkcji Hartowanie w darmowej wtyczce Sucuri, o której wspomnieliśmy powyżej.

        []

        Wyłącz wykonywanie plików PHP w niektórych katalogach WordPress

        Innym sposobem na zwiększenie bezpieczeństwa WordPressa jest wyłączenie wykonywania plików PHP w katalogach, w których nie są one potrzebne, takich jak / wp-content / uploads /.

        Możesz to zrobić, otwierając edytor tekstu, taki jak Notatnik, i wklej ten kod:

        Odmowa od wszystkich

        Następnie musisz zapisać ten plik jako .htaccess i prześlij go do / wp-content / uploads / folderów na swojej stronie za pomocą klienta FTP.

        Aby uzyskać bardziej szczegółowe wyjaśnienia, zobacz nasz przewodnik na temat wyłączania wykonywania PHP w niektórych katalogach WordPress

        Alternatywnie możesz to zrobić za pomocą jednego kliknięcia, używając funkcji Hartowanie w darmowej wtyczce Sucuri, o której wspomnieliśmy powyżej.

        []

        Ogranicz próby logowania

        Domyślnie WordPress pozwala użytkownikom próbować zalogować się tyle razy, ile chcą. Naraża to witrynę WordPress na ataki siłowe. Hakerzy próbują złamać hasło, próbując zalogować się przy użyciu różnych kombinacji.

        Można to łatwo naprawić, ograniczając liczbę nieudanych prób logowania. Jeśli używasz wspomnianej wcześniej zapory sieciowej, jest to automatycznie rozwiązywane.

        Jeśli jednak nie masz konfiguracji zapory, wykonaj poniższe czynności.

        Najpierw musisz zainstalować i aktywować wtyczkę Login LockDown. Aby uzyskać więcej informacji, zapoznaj się z naszym przewodnikiem krok po kroku, w jaki sposób zainstalować wtyczkę WordPress.

        Po aktywacji odwiedź Ustawienia »Login LockDown strona, aby skonfigurować wtyczkę.

        Opcje blokady logowania

        Aby uzyskać szczegółowe instrukcje, zapoznaj się z naszym przewodnikiem, w jaki sposób i dlaczego należy ograniczyć próby logowania w WordPress.

        []

        Dodaj uwierzytelnianie dwuskładnikowe

        Technika uwierzytelniania dwuskładnikowego wymaga od użytkowników zalogowania się przy użyciu metody uwierzytelniania dwuetapowego. Pierwszy to nazwa użytkownika i hasło, a drugi krok wymaga uwierzytelnienia przy użyciu oddzielnego urządzenia lub aplikacji.

        Większość najpopularniejszych witryn internetowych, takich jak Google, Facebook, Twitter, umożliwia włączenie go dla kont. Możesz również dodać tę samą funkcjonalność do swojej witryny WordPress.

        Najpierw musisz zainstalować i aktywować wtyczkę Uwierzytelnianie dwuskładnikowe. Po aktywacji musisz kliknąć link „Two Factor Auth” na pasku bocznym administratora WordPress.

        Ustawienia dwóch czynników uwierzytelniających

        Następnie musisz zainstalować i otworzyć aplikację uwierzytelniającą w telefonie. Istnieje kilka z nich, takich jak Google Authenticator, Authy i LastPass Authenticator.

        Zalecamy korzystanie z LastPass Authenticator lub Authy, ponieważ oba umożliwiają tworzenie kopii zapasowych kont w chmurze. Jest to bardzo przydatne w przypadku zgubienia, zresetowania telefonu lub zakupu nowego telefonu. Wszystkie loginy do konta zostaną łatwo przywrócone.

        W tym samouczku będziemy używać narzędzia LastPass Authenticator. Jednak instrukcje są podobne dla wszystkich aplikacji uwierzytelniających. Otwórz aplikację uwierzytelniającą, a następnie kliknij przycisk Dodaj.

        Dodaj stronę internetową

        Zostaniesz zapytany, czy chcesz zeskanować witrynę ręcznie, czy zeskanować kod kreskowy. Wybierz opcję skanowania kodu kreskowego, a następnie skieruj aparat telefonu na kod QR pokazany na stronie ustawień wtyczki.

        To wszystko, Twoja aplikacja uwierzytelniająca ją teraz zapisze. Następnym razem, gdy zalogujesz się na swojej stronie, zostaniesz poproszony o podanie dwuskładnikowego kodu uwierzytelniającego po wprowadzeniu hasła.

        Wpisz swój dwuskładnikowy kod autoryzacji

        Po prostu otwórz aplikację uwierzytelniającą w telefonie i wprowadź widoczny na niej kod.

        []

        Zmień prefiks bazy danych WordPress

        Domyślnie WordPress używa wp_ jako prefiksu dla wszystkich tabel w bazie danych WordPress. Jeśli Twoja witryna WordPress używa domyślnego prefiksu bazy danych, hakerzy łatwiej odgadną nazwę Twojej tabeli. Dlatego zalecamy jego zmianę.

        Możesz zmienić prefiks bazy danych, wykonując nasz samouczek krok po kroku, jak zmienić prefiks bazy danych WordPress w celu zwiększenia bezpieczeństwa.

        Uwaga: Może to uszkodzić witrynę, jeśli nie zostanie wykonana poprawnie. Kontynuuj tylko, jeśli czujesz się dobrze ze swoimi umiejętnościami kodowania.

        []

        Ochrona hasłem WordPress Administrator i strona logowania

        Ochrona hasłem obszaru administracyjnego WordPress

        Zwykle hakerzy mogą żądać folderu wp-admin i strony logowania bez żadnych ograniczeń. To pozwala im wypróbować swoje sztuczki hakerskie lub przeprowadzić ataki DDoS.

        Możesz dodać dodatkową ochronę hasłem na poziomie serwera, co skutecznie blokuje te żądania.

        Postępuj zgodnie z naszymi instrukcjami krok po kroku, jak zabezpieczyć hasłem katalog administratora WordPress (wp-admin).

        []

        Wyłącz indeksowanie i przeglądanie katalogów

        Wyłącz przeglądanie katalogów

        Przeglądanie katalogów może być wykorzystywane przez hakerów, aby dowiedzieć się, czy masz jakieś pliki ze znanymi lukami, aby mogli skorzystać z tych plików, aby uzyskać dostęp.

        Przeglądanie katalogów może być również wykorzystywane przez inne osoby do przeglądania twoich plików, kopiowania obrazów, wyszukiwania struktury katalogów i innych informacji. Dlatego wysoce zalecane jest wyłączenie indeksowania katalogów i przeglądania.

        Musisz połączyć się z witryną za pomocą FTP lub menedżera plików cPanel. Następnie zlokalizuj plik .htaccess w katalogu głównym swojej witryny. Jeśli go tam nie widzisz, zapoznaj się z naszym przewodnikiem, dlaczego nie widzisz pliku .htaccess w WordPress.

        Następnie musisz dodać następujący wiersz na końcu pliku .htaccess:

        Opcje -Indeksy

        Nie zapomnij zapisać i przesłać pliku .htaccess z powrotem do swojej witryny. Więcej informacji na ten temat można znaleźć w naszym artykule na temat wyłączania przeglądania katalogów w WordPress.

        []

        Wyłącz XML-RPC w WordPress

        XML-RPC jest domyślnie włączony w WordPress 3.5, ponieważ pomaga połączyć witrynę WordPress z aplikacjami internetowymi i mobilnymi.

        Ze względu na swoją potężną naturę XML-RPC może znacznie wzmocnić ataki siłowe.

        Na przykład tradycyjnie, jeśli haker chciał wypróbować 500 różnych haseł w witrynie, musiałby wykonać 500 osobnych prób logowania, które zostaną przechwycone i zablokowane przez wtyczkę blokady logowania.

        Ale dzięki XML-RPC haker może korzystać z system.multicall funkcja wypróbowania tysięcy haseł z powiedzmy 20 lub 50 żądaniami.

        Dlatego jeśli nie używasz XML-RPC, zalecamy wyłączenie go.

        Istnieją 3 sposoby wyłączania XML-RPC w WordPress, a omówiliśmy je wszystkie w naszym samouczku krok po kroku, jak wyłączyć XML-RPC w WordPress.

        Wskazówka: najlepsza jest metoda .htaccess, ponieważ wymaga najmniej zasobów.

        Jeśli używasz wspomnianej wcześniej zapory sieciowej, zaporę tę można załatwić.

        []

        Automatycznie wyloguj bezczynnych użytkowników w WordPress

        Zalogowani użytkownicy mogą czasem odejść od ekranu, co stanowi zagrożenie dla bezpieczeństwa. Ktoś może przejąć sesję, zmienić hasło lub wprowadzić zmiany na swoim koncie.

        Dlatego wiele witryn bankowych i finansowych automatycznie wylogowuje nieaktywnego użytkownika. Możesz zaimplementować podobną funkcjonalność również na swojej stronie WordPress.

        Będziesz musiał zainstalować i aktywować wtyczkę Nieaktywne wylogowanie. Po aktywacji odwiedź Ustawienia »Nieaktywne wylogowanie strona, aby skonfigurować ustawienia wtyczek.

        Wyloguj bezczynnych użytkowników

        Wystarczy ustawić czas trwania i dodać komunikat wylogowania. Nie zapomnij kliknąć przycisku Zapisz zmiany, aby zapisać ustawienia.

        []

        Dodaj pytania bezpieczeństwa do ekranu logowania WordPress

        Dodaj pytanie bezpieczeństwa na ekranie logowania

        Dodanie pytania zabezpieczającego do ekranu logowania WordPress jeszcze bardziej utrudnia uzyskanie nieautoryzowanego dostępu.

        Możesz dodać pytania bezpieczeństwa, instalując wtyczkę WP Security Questions. Po aktywacji musisz przejść do strony Ustawienia »Pytania bezpieczeństwa, aby skonfigurować ustawienia wtyczki.

        Aby uzyskać bardziej szczegółowe instrukcje, zobacz nasz samouczek na temat dodawania pytań bezpieczeństwa do ekranu logowania WordPress.

        []

        Skanowanie WordPress w poszukiwaniu złośliwego oprogramowania i luk w zabezpieczeniach

        Skanowanie złośliwego oprogramowania

        Jeśli masz zainstalowaną wtyczkę zabezpieczającą WordPress, wtyczki te rutynowo sprawdzają, czy nie zawiera złośliwego oprogramowania i oznak naruszenia bezpieczeństwa.

        Jeśli jednak zobaczysz nagły spadek ruchu na stronie lub w rankingach wyszukiwania, możesz ręcznie uruchomić skanowanie. Możesz użyć wtyczki zabezpieczającej WordPress lub jednego z tych złośliwych programów i skanerów bezpieczeństwa.

        Uruchomienie tych skanów online jest dość proste, wystarczy wpisać adresy URL witryny, a ich roboty przeszukują Twoją witrynę w poszukiwaniu znanego złośliwego oprogramowania i złośliwego kodu.

        Pamiętaj, że większość skanerów bezpieczeństwa WordPress może po prostu przeskanować twoją stronę. Nie mogą usunąć złośliwego oprogramowania ani wyczyścić zaatakowanej witryny WordPress.

        To prowadzi nas do następnej sekcji, usuwania złośliwego oprogramowania i zhakowanych witryn WordPress.

        []

        Naprawianie zhakowanej witryny WordPress

        Wielu użytkowników WordPress nie zdaje sobie sprawy ze znaczenia kopii zapasowych i bezpieczeństwa witryny, dopóki jej witryna nie zostanie zhakowana.

        Czyszczenie strony WordPress może być bardzo trudne i czasochłonne. Naszą pierwszą radą byłoby, aby profesjonalista się tym zajął.

        Hakerzy instalują backdoory na zaatakowanych stronach, a jeśli te backdoory nie zostaną poprawnie naprawione, Twoja witryna prawdopodobnie zostanie ponownie zhakowana.

        Umożliwienie profesjonalnej firmie ochroniarskiej, takiej jak Sucuri, naprawienia Twojej witryny zapewni, że korzystanie z niej będzie bezpieczne. Będzie również chronić cię przed wszelkimi przyszłymi atakami.

        Dla poszukiwaczy przygód i majsterkowiczów opracowaliśmy przewodnik krok po kroku dotyczący naprawy zhakowanej witryny WordPress.

        []

        To wszystko, mamy nadzieję, że ten artykuł pomógł Ci poznać najlepsze praktyki bezpieczeństwa WordPress, a także odkryć najlepsze wtyczki bezpieczeństwa WordPress dla Twojej witryny.

        Jeffrey Wilson Administrator
        Sorry! The Author has not filled his profile.
        follow me
          Like this post? Please share to your friends:
          Adblock
          detector
          map