10 spôsobov, ako zaistiť bezpečnosť vášho webu WordPress

zabezpečenie wordpressu

Hacknutia webových stránok sú čoraz bežnejšie a nemôžete predpokladať, že vaša stránka je imúnna. Našťastie existujú veci, ktoré môžete urobiť, aby ste mali bezpečnejšiu stránku WordPress.

Tieto proaktívne opatrenia sťažia hackerom poškodenie vášho webu a narušenie jeho prevádzky.

Tu je 10 krokov, ktoré treba urobiť:

1. Preskúmajte pred inštaláciou doplnkov

Štúdia z Impervy sa zamerala na stav zraniteľnosti webových aplikácií v roku 2018. Ukázalo sa, že v roku 2018 došlo k 30% nárastu zraniteľností WordPress v porovnaní s rokom 2017 a že ich celkový počet bol 542. Navyše sa zistilo, že 98% týchto bezpečnostných problémov súviselo s pluginmi.

WordPress nemá minimálne bezpečnostné štandardy pre svoje doplnky a umožňuje ich vytvárať a publikovať každému vývojárovi.

S ohľadom na to je jednou z najjednoduchších a najdôležitejších vecí, ktoré môžete urobiť pred inštaláciou doplnku WordPress, prečítať si recenzie o ňom. Inštalujte iba tie od vývojárov, ktorí získali priaznivú spätnú väzbu a ktorí majú na WordPress dlhodobú históriu.

Ak má vývojár alebo spoločnosť k dispozícii iba jeden doplnok WordPress a vydala ho minulý mesiac, môžu to byť varovné signály, pretože sťažujú overenie dôveryhodnosti vývojára.

Používateľské recenzie môžu pomôcť poskytnúť kontext hodnoteniam hviezdičkami, ktoré doplnok dostane. Počet aktívnych inštalácií vám tiež môže poskytnúť cenné rady. Ak má doplnok vysoký počet aktívnych inštalácií, je to indikátor, že ľudia v komunite WordPress si myslia, že je spoľahlivý.

Je tiež dobré skontrolovať zdroje technických správ, aby ste zistili, či existujú nejaké varovania pred inštaláciou doplnku, ktorý sa javí ako dobrá voľba. Mnoho blogov o kybernetickej bezpečnosti publikuje zistenia o rizikových doplnkoch WordPress.

2. Spolupracujte s hostingovou spoločnosťou WordPress, ktorá je známa bezpečnosťou

Rýchle vyhľadávanie Google vám poskytuje desiatky možností pre recenzie hostingu WordPress.

Čítať:  3 najlepšie video pluginy pre WordPress

Ak je bezpečnosť na prvom mieste, uprednostnite obchod so spoločnosťami, ktoré bezpečnosť uvádzajú ako jednu zo svojich výhod. Najlepšie možnosti sa zameriavajú na bezpečnosť na úrovni servera aj aplikácie.

Napríklad môžete nájsť niektorých poskytovateľov hostingu, ktorí majú serverové brány firewall na ochranu pred zneužitím. Iní automaticky aktualizujú vaše doplnky na najnovšiu verziu, aby vám zabránili nevedome používať doplnok, ktorý má bezpečnostnú chybu.

Spolupráca s hostiteľskou spoločnosťou, ktorá oceňuje bezpečnosť, chráni údaje o vašej lokalite a všetky informácie od návštevníkov lokality, ktoré zhromažďujete, ako sú e-mailové adresy pre váš zoznam adries.

To znamená, že svoju hostingovú spoločnosť môžete považovať za subjekt, ktorý pomáha vašej stránke byť dlhodobou investíciou. Ak vás hacknú raz alebo viackrát, ľudia pravdepodobne stratia dôveru a môžu prestať navštevovať vašu stránku.

V súčasnosti tiež neexistuje žiadne ospravedlnenie pre nenainštalovanie certifikátu SSL na vaše stránky, pretože mnoho poskytovateľov hostingu WordPress má k dispozícii bezplatné certifikáty SSL.

Pred výberom hostingovej spoločnosti sa nebojte konkrétne opýtať, čo urobia jej zástupcovia, aby vám pomohli mať zabezpečenú webovú stránku WordPress. Niektoré spoločnosti majú na svojich webových stránkach aj špecifické sekcie, ktoré rozpisujú bezpečnostné opatrenia, ktoré prijímajú.

3. Zmeňte predponu tabuľky databázy WordPress

Útok SQL injection je jedným z najbežnejších spôsobov, ako môže hacker získať prístup k vašej databáze WordPress. Kyberzločinec to robí vložením škodlivého kódu do príkazov SQL a zvyčajne do príkazov spojených s formulármi.

Keď nainštalujete WordPress, databáza má 12 tabuliek, z ktorých všetky majú predponu „wp“. Hackeri vedia o tomto spoločnom prvku a používajú ho na pomoc pri vykonávaní útokov SQL a iných problémov, ktoré by mohli zničiť váš web. V databáze sú uložené všetky prvky vašej webovej stránky vrátane jej tém. Ak nezmeníte predponu databázy, bude oveľa jednoduchšie aj pre začínajúcich hackerov zneužiť vašu stránku.

Našťastie môžete zmeniť predponu používa tabuľka databázy WordPress a sťažuje hackerom prienik. Najjednoduchšie je zmeniť predponu tabuľky databázy WordPress pred inštaláciou WordPress, ale môžete to urobiť aj dodatočne. Nový názov tabuľky môže obsahovať písmená, čísla a podčiarkovníky. Zaobchádzajte s tým ako s heslom a vymyslite niečo, čo je ťažké uhádnuť a ktoré nepozná nikto okrem vás.

4. Povoľte dvojfaktorové overenie (2FA) pre váš účet WordPress

Hackeri sa tiež bežne zameriavajú na stránky WordPress útokmi hrubou silou. Zahŕňajú použitie pokusov a omylov a špecializovaných nástrojov na zistenie vášho hesla v priebehu niekoľkých sekúnd, pričom ho často zahlcujú prevádzkou. Môžete však obmedziť pokrok dosiahnutý útokom hrubou silou nastavenie dvojfaktorovej autentifikácie na svojom účte WordPress.

Čítať:  485 mien kurátorských strojárskych spoločností

2FA funguje tak, že požaduje niečo, čo poznáte (heslo) a niečo, čo máte (kód odoslaný na váš telefón). Potom, aj keď hackeri zistia vaše heslo, nebudú mať druhý potrebný prvok. Známe stránky ako Amazon a Microsoft majú pre používateľov k dispozícii 2FA a výhodou je, že aj WordPress.

Aj keď 2FA vyžaduje ďalší krok, možno zistíte, že stojí za to venovať tomu viac času, pretože je to pomerne rýchla vec, ktorú môžete urobiť, aby ste svoj web WordPress uzamkli proti neoprávneným pokusom o prístup.

WordPress vám tiež umožňuje vygenerovať sadu 10 prístupových kódov na jedno použitie, ktoré sa použijú namiesto typických kódov 2FA. Môžete ho použiť napríklad v prípade straty alebo krádeže telefónu. Najlepšie je vytlačiť si kódy a uschovať ich na bezpečnom mieste, napríklad v uzamknutej schránke. Získanie prístupu pomocou jedného zo záložných kódov je také jednoduché, ako keď ho zadáte do poľa, ktoré vás požiada o kód 2FA.

5. Dávajte si pozor na nevyžiadané e-maily od SEO špecialistov alebo odborníkov na podporu webových stránok

Po spustení vašej webovej stránky je takmer nevyhnutné, že začnete dostávať e-maily od ľudí, ktorí tvrdia, že majú know-how potrebné na to, aby sa vaša webová stránka umiestnila lepšie vo vyhľadávačoch alebo dosiahla iné ciele, ktoré máte. Často sa vás pokúsia osloviť zmienkou o rozumných cenách alebo desaťročiach skúseností.

Nie všetci títo ľudia, ktorí vám posielajú nevyžiadané správy, sú, samozrejme, podvodníci, ktorí sa snažia získať vaše informácie. Niektoré správy, ktoré dostávate, však môžu mať varovné signály charakteristické pre podvody vo všeobecnosti.

Napríklad, podobne ako zmysel pre urgentné lotérie, ktoré podvodníci používajú na získanie bankových informácií ľudí, nelegitímne SEO spoločnosti často posielajú správy, v ktorých tvrdia, že vaša webová stránka je nefunkčná, zraniteľná voči útokom alebo iným naliehavým problémom.

Predtým, ako sa necháte uniesť snahou vyriešiť uvedené problémy, zistite si čo najviac informácií o jednotlivcovi alebo spoločnosti, ktorí vás kontaktujú, z externých zdrojov.

Čítať:  579 obchodných mien vybraných predajných automatov

6. Použite doplnok WordPress Audit Trail

Mnoho ľudí, ktorí majú úspešné stránky WordPress, si uvedomuje, že je príliš časovo a pracovne náročné zvládnuť pridávanie obsahu alebo jeho úpravu bez pomoci. Preto si najímajú tímy ľudí, ktorí im pomáhajú pri vykonávaní týchto povinností, a často poskytujú úplný prístup ku každej osobe.

Doplnok, ktorý vytvára revíznu stopu, môže zvýšiť vaše úsilie o zabezpečenú stránku WordPress, pretože vám poskytuje informácie o všetkom, čo ľudia s prístupom na vašu stránku robia pri práci s ňou.

Môže vám napríklad povedať, kedy sa osoba prihlasuje a akú IP adresu na to používa. Obmedzenie prístupu na vašu prihlasovaciu stránku podľa IP adresy môže byť tiež dobrou prvou obrannou líniou.

Niektoré zásuvné moduly auditu tiež poskytujú upozornenia na neúspešné pokusy o prihlásenie. Je normálne, že ich občas vidíte, ale ak vám doplnok povie, že sa to deje v dávkach po desiatkach alebo stovkách naraz, môže to byť znakom pokusu o útok hrubou silou.

Váš auditovací doplnok môže tiež upozorňovať na nevinnú aktivitu vašich používateľov, ktorá by mohla ohroziť kybernetickú bezpečnosť. Napríklad, možno jeden z vašich blogerov WordPress, ktorý pravidelne prispieva obsahom na stránku, zmení heslo na niečo ľahšie zapamätateľné.

Kedykoľvek audítorský doplnok ukáže niečo podozrivé, najlepším prístupom je zistiť, čo sa deje, bez unáhlených obvinení. Môžete tiež objaviť určité nedostatky v postupoch používaných vaším tímom, ktoré si vyžadujú skupinovú diskusiu vysvetľujúcu, prečo niečo, čo robia, predstavuje riziko kybernetickej bezpečnosti.

7. Nikdy neinštalujte tému WordPress s nulovou hodnotou

Ak máte skromný rozpočet, pravdepodobne bude lákavé vytvoriť web WordPress, ktorý vyzerá fantasticky bez toho, aby si vyžadoval príliš veľa finančných prostriedkov. Niektorí používatelia WordPress navštevujú stránky s zrušenými témami WordPress. Sú to hacknuté alebo cracknuté verzie prémiových tém, ktoré môžete získať zadarmo. Ak narazíte na stránku s nulovanými témami, môžete si najprv myslieť, že ste narazili na zlatú baňu.

Témy s nulovou hodnotou však často obsahujú škodlivý kód, ktorý by mohol poškodiť vašu stránku alebo sledovať poverenia správcu pri zadávaní informácií na prihlásenie váš web WordPress, pretože vám pomáha zostať chránený pred útokmi.

Rada vyhýbať sa zrušeným témam je podobná. Zvyčajne sú k dispozícii zadarmo, čo vás môže prinútiť premýšľať: „V čom je háčik?“ Neexistuje žiadna záruka, že zrušená téma ohrozí vašu stránku, ale existuje dôvod, prečo niekto nezákonne ponúka prémiovú tému bez peňazí, a nemusí to byť len preto, že má dobré srdce. Prémiové, legálne získané témy podporujú vašu investíciu.

Čítať:  Prečo je profesionálny hlasový herec nevyhnutný pre vaše vysvetľujúce videá

8. Zakázať úpravu súborov

WordPress poskytuje spôsob, ako upraviť kód pre vašu tému alebo doplnok. Do editora tém sa dostanete tak, že prejdete na Vzhľad > Editor alebo sa dostanete k editoru doplnkov cez Pluginy > Editor.

Vypnutím oboch týchto funkcií úprav po zverejnení vašej lokality je pre hackerov ťažšie dostať sa do zadnej časti vašej lokality a spôsobiť zmätok. Najprv otvorte súbor wp-config.php. Nachádza sa v koreňovom adresári vášho súboru a obsahuje základné konfiguračné informácie pre vašu lokalitu. Potom do nej vložte nasledujúci príkaz:

define(‘DISALLOW_FILE_EDIT’, true);

9. Často kontrolujte aktualizácie WordPress

WordPress má predvolené nastavenie, ktoré mu umožňuje automaticky sťahovať menšie aktualizácie. Budete však musieť prevziať iniciatívu na stiahnutie väčších aktualizácií a je to niečo, čo by ste mali urobiť, aby ste udržali prísne zabezpečenie WordPress.

Zistite, či máte najnovšiu verziu WordPress – a ak je to potrebné, stiahnite si novšiu – zo svojho informačného panela. Má sekciu Aktualizácie WordPress, ktorá vám povie dátum poslednej kontroly aktualizácie a má tlačidlo Skontrolovať znova. Pomocou tohto tlačidla sa vám zobrazí číslo verzie a či ide o najnovšiu možnosť. Zobrazí sa vám aj možnosť stiahnutia aktualizácie, ak je k dispozícii.

10. Odstráňte svoje číslo verzie WordPress z hlavičky a RSS

Keď hackeri vedia, akú verziu WordPressu máte, môžu ľahšie naplánovať, ako organizovať tie najničivejšie útoky proti vám a ostatným používateľom. Číslo verzie je zvyčajne súčasťou zobrazenia zdroja vašej lokality, ako aj v dolnom rohu informačného panela.

Môžete však nájsť súbor functions.php na svojom informačnom paneli a pridať doň nasledujúcu funkciu:

function remove_wordpress_version() { return ”; } add_filter(‘generátor’, ‘odstrániť_verziu_wordpress’);

Tým sa odstráni číslo verzie z hlavičky a RSS. Prejdite na koniec súboru functions.php, vložte kód a uložte zmenu.

Začnite robiť svoju stránku WordPress bezpečnejšou pred hackermi

Týchto 10 tipov ukazuje, že nemusíte byť guru kybernetickej bezpečnosti, aby ste mali zabezpečenú webovú stránku WordPress. Počas prezerania tohto zoznamu budete podnikať kroky, aby ste udržali kyberzločincov na uzde.

Nové Publikácie:

ODPORÚČANIE