Komplexný kontrolný zoznam zabezpečenia WordPress (ako chrániť svoj web)

WordPress je jedným z najpopulárnejších systémov na správu obsahu s otvoreným zdrojom (CMS) na vytváranie elektronického obchodu, blogu, portfólia a iných druhov webových stránok. Bohužiaľ, hackeri využívajú skutočnosť, že kód WordPress je open source.

Preto je dôležité, aby ste si chránili svoje webové stránky. V tomto článku vám ukážeme, ako zabezpečiť web WordPress, aby ste ho ochránili pred hackermi, robotmi, spamom, škodlivým softvérom a ďalšími.

Dôležitosť zabezpečenia WordPress

Správne zabezpečenie stránky WordPress chráni váš web pred rôznymi kybernetickými útokmi. Vy aj osobné informácie vašich klientov budú chránené zabezpečenou webovou stránkou. Nezabúdajte ani na to, že ochranu svojej webovej stránky si chránite svoju povesť.

Ponúka WordPress vstavané zabezpečenie?

V predvolenom nastavení WordPress presmeruje všetky nezabezpečené HTTP požiadavky (301 presmerovaní) na zabezpečenú HTTPS verziu vášho webu. Svoju webovú stránku WordPress môžete ďalej chrániť inštaláciou bezpečnostných doplnkov.

Použite bezpečnostný doplnok WordPress

Doplnky WordPress sú skvelým spôsobom, ako rýchlo a efektívne pridať ďalšie užitočné funkcie na váš web. Jedným z najdôležitejších doplnkov, ktoré môžete nainštalovať na svoj web, je bezpečnostný doplnok. Len niekoľkými kliknutiami pridáte na svoj web ďalšiu vrstvu zabezpečenia.

Niektoré z najpopulárnejších doplnkov, ktoré poskytujú bezpečnosť pre stránky WordPress, sú:

  1. Jetpack: Tento doplnok sa jednoducho inštaluje a ponúka komplexné zabezpečenie webových stránok WordPress. Medzi jeho funkcie patrí vytváranie záloh v reálnom čase, ochrana proti spamu, ochrana hrubou silou a skenovanie škodlivého softvéru.
  2. Solid Security Pro: Inštaláciou tohto doplnku môžete na svoj web pridať ďalšiu vrstvu ochrany v priebehu niekoľkých sekúnd. Šablóny stránok so spoľahlivým zabezpečením vám umožňujú okamžite nastaviť správne nastavenia zabezpečenia pre váš web elektronického obchodu. Môžete sledovať podozrivé aktivity, vyhľadávať zraniteľné doplnky a témy, aby ste mohli aplikovať aktualizácie, blokovať roboty, znižovať spam a oveľa viac.
  3. Zabezpečenie Wordfence: Tento doplnok obsahuje firewall WordPress, bezpečnostný skener a zabezpečenie prihlásenia. Je tiež užívateľsky prívetivý.

Získajte bezpečný hosting WordPress od spoločnosti Hostinger

Všetky plány zahŕňajú bezplatné certifikáty SSL, denné zálohy a Solid Security Pro

Ako chrániť svoju stránku WordPress (kontrolný zoznam)

Teraz sa pozrime na kroky, ktoré môžete podniknúť na zabezpečenie svojej webovej stránky WordPress.

Čítať:  Prevezmite kontrolu nad svojimi skúsenosťami s písaním na WordPress pomocou týchto aplikácií

1. Udržujte témy a doplnky aktualizované

Udržiavanie aktualizovaných tém a doplnkov WordPress by malo byť vždy číslo jedna vo vašom kontrolnom zozname zabezpečenia WordPress. Tým aktívne chránite svoju webovú stránku. Okrem problémov s kompatibilitou môžu mať staršie verzie tém a doplnkov WordPress nebezpečné bezpečnostné chyby, ktoré ohrozujú váš web.

2. Uistite sa, že používate najnovšiu verziu WordPress

Podľa W3Techs, asi 43 % webov má ako CMS WordPress. To je dôvod, prečo hackeri vždy hľadajú bezpečnostné chyby WordPress. Odhaduje sa, že najmenej 13 000 Webové stránky WordPress sú denne napadnuté.

Najnovšia verzia WordPress by teda mala byť vo vašom kontrolnom zozname zabezpečenia WordPress. Zakaždým, keď sa zistí bezpečnostná chyba, tím WordPress začne pracovať na aktualizácii na opravu problému. Udržiavaním vášho WordPress aktualizovaného zabezpečíte, že váš web bude stabilný a bezpečný pred hackermi.

3. Používajte bezpečný spravovaný hosting WordPress

Skôr ako začnete premýšľať o tom, ako by mala vyzerať vaša webová stránka WordPress, mali by ste si vybrať dobrého poskytovateľa hostingu. Výber bezpečného hostiteľa WordPress je možno najdôležitejším krokom vo vašom kontrolnom zozname zabezpečenia WordPress.

Hľadajte poskytovateľa hostingu, ktorý ponúka dobré služby zákazníkom, berie bezpečnostné opatrenia vážne a má najlepšie funkcie za vašu cenu. Skvelou možnosťou je spravovaný hosting WordPress s Hostinger.

V čom je Hostinger lepší ako ostatní poskytovatelia hostingu?

Po prvé, vaše stránky sa načítavajú extrémne rýchlo. Získate tiež integrované CDN, detekciu malvéru, monitorovanie stránok a vstavaný firewall, ktorý ochráni váš web pred známymi hackerskými útokmi, ako sú distribuované odmietnutie služby (DDoS) a hrubá sila.

4. Nastavte bránu firewall

Pravdepodobnosť napadnutia vášho webu WordPress sa drasticky zníži, ak máte bránu firewall.

Bežné brány firewall zahŕňajú:

  • Firewall Apache: Obsahuje modul mod_security, ktorý je široko používaný ako firewall.
  • DNS (Domain Name System) Firewall: Chráni vašu sieť pred škodlivými doménami a bráni používateľom v prístupe na škodlivé webové stránky.
  • WAF (Web Application Firewall): Riadi prichádzajúci prenos HTTP a monitoruje a blokuje potenciálne škodlivé pokusy o pripojenie.
  • Firewall NAT (Network Address Translation).: Na server má prístup iba zariadenie, ktoré je v zabezpečenej súkromnej sieti.
  • Firewall na filtrovanie paketov: Prichádzajúce požiadavky sú monitorované na základe portov, protokolov a IP adries.

5. Získajte certifikát SSL

Certifikát SSL (Secure Sockets Layer) chráni integritu vašich webových stránok a zaisťuje bezpečné online transakcie s vašimi zákazníkmi. Po zverejnení svojej webovej stránky by mala byť inštalácia certifikátu SSL ďalším krokom vo vašom kontrolnom zozname zabezpečenia WordPress.

Ďalej aktivujte presmerovanie HTTPS, aby návštevníci vždy pristupovali na váš web pomocou zabezpečeného pripojenia. Protokol HTTPS šifruje dáta prenášané medzi vaším hostiteľským serverom a návštevníkmi. Inými slovami, zabezpečuje všetky vymieňané údaje.

6. Pridajte dodatočné zabezpečenie na prihlasovaciu stránku

Postupujte podľa nasledujúcich krokov na ochranu svojej webovej stránky WordPress prostredníctvom prihlasovacej stránky.

1. Použite silné heslo

Početné narušenia webových stránok boli úspešné kvôli ukradnutým heslám. Aby ste tomu zabránili, nastavte silné heslo, ktoré obsahuje minimálne 16 znakov. Uistite sa, že heslo obsahuje veľké a malé písmená, čísla, špeciálne znaky a oddeľovače.

Čítať:  Šablóna e-mailu influencera: Ako raketovo zvýšiť vaše otvorené sadzby

Nepoužívajte rovnaké heslo pre dashboard wp-admin, databázy, účet protokolu prenosu súborov (FTP) a účet hosťovania. Hackeri používajú roboty na kontrolu, či sa heslo ukradnuté z jedného online účtu používa aj s inými účtami.

Môžete ľahko vytvoriť rôzne silné heslá pomocou niektorého z mnohých online generátorov hesiel alebo pomocou Správca používateľov WP.

Tiež je najlepšie, ak ste jediný, kto pristupuje a udržiava svoju webovú stránku WordPress. Ak musíte poskytnúť prístup iným používateľom, obmedzte ich prístup deaktiváciou správcovských povolení na úpravu súborov. Ak tak urobíte, váš web zostane bezpečný a obsah môžu pravidelne aktualizovať rôzni používatelia.

2. Obmedzte pokusy o prihlásenie

Jedným z najlepších spôsobov, ako chrániť svoj web WordPress pred útokmi hrubou silou, je obmedziť pokusy o prihlásenie. Predvolené nastavenia WordPress umožňujú neobmedzené pokusy o prihlásenie. Hackeri to využívajú vo svoj prospech nasadením robotov na hádanie hesiel.

V závislosti od serverov a zdrojov útočníkov dokážu skontrolovať od niekoľkých tisíc až po miliardu hesiel za sekundu.

Tomu sa dá jednoducho vyhnúť obmedzením pokusov o prihlásenie. Môžete napríklad dočasne zablokovať používateľa, ktorý mal tri neúspešné pokusy o prihlásenie.

Obmedzenie pokusov o prihlásenie je jednoduché. Všetko, čo musíte urobiť, je nainštalovať Obmedzenie pokusov o prihlásenie znovu načítané WordPress plugin. Bezplatná verzia pluginu bude stačiť.

Po nainštalovaní pluginu stačí otvoriť nastavenia a nastaviť, po koľkých neúspešných pokusoch chcete používateľov blokovať.

3. Automaticky odhláste neaktívnych používateľov

Hackeri môžu použiť metódu únosu súborov cookie, aby narušili vaše webové stránky. Preto je nevyhnutné nastaviť automatické odhlásenie pre všetkých nečinných používateľov.

Najjednoduchší spôsob, ako implementovať nastavenie na automatické odhlásenie neaktívnych používateľov, je nainštalovať Neaktívne odhlásenie zapojiť. Po nainštalovaní doplnku prejdite na stránku s nastaveniami doplnku a nastavte, po koľkých sekundách chcete neaktívneho používateľa odhlásiť.

7. Pravidelne zálohujte svoje stránky

Jedným z najlepších spôsobov, ako chrániť svoj web WordPress, je časté zálohovanie webu a dôležitých databáz. Nechcete sa ocitnúť v situácii, keď je váš web napadnutý hackermi alebo sa dostane do konfliktu témy doplnkov a nemáte bezpečne uloženú zálohu na jej obnovenie.

Svoj web WordPress môžete jednoducho zálohovať pomocou niektorých bezplatných alebo prémiových doplnkov na zálohovanie WordPress. Väčšina bezplatných doplnkov na zálohovanie WordPress vám poskytne základnú možnosť zálohovania jedným kliknutím.

Väčšina prémiových záložných doplnkov WordPress zahŕňa:

  • Automatické, plánované, šifrované zálohy.
  • Zálohy v reálnom čase, ktoré zálohujú váš web po každej úprave.
  • Zálohy databázy.
  • Extra zálohovacie úložisko.
  • Klonovanie a migrácia webových stránok jedným kliknutím.
  • Integrácia služieb tretích strán pre vaše zálohovacie úložisko.
  • Ďalšie funkcie zabezpečenia, ako je detekcia škodlivého softvéru.

Niektoré z najlepších doplnkov na zálohovanie WordPress sú UpdraftPlus, BlogVault, Duplikátora Zálohovanie jetpacku.

Hostinger má vynikajúcu politiku zálohovania. Všetky plány webhostingu Hostinger zahŕňajú bezplatné denne automaticky vytvárané zálohy, ktoré sa uchovávajú na vzdialenom zálohovacom serveri. Vaše zálohy budú úplne bezpečné, pretože k nim majú prístup iba interné systémy Hostinger a tím podpory.

8. Zmeňte predvolené používateľské meno správcu

Počas inštalácie WordPress budete vyzvaní, aby ste zadali svoje používateľské meno. Túto časť nikdy nepreskočte – uistite sa, že ste si vybrali vlastné používateľské meno. Ak je vaše používateľské meno „admin“, okamžite ho zmeňte. Používanie predvoleného používateľského mena vás robí zraniteľnejšími voči útokom hrubou silou.

Čítať:  Ukončenie podpory e-mailov Horde: Čo potrebujete vedieť

9. Použite dvojfaktorové overenie (2FA)

Bez ohľadu na to, aké silné je vaše heslo a ako často ho meníte, existuje mnoho spôsobov, ako ho prelomiť. Používanie hesla ako jedinej metódy overenia nie je dostatočne bezpečné.

Na webovej stránke WordPress je k dispozícii množstvo doplnkov na overenie v dvoch krokoch. Doplnky dvojfaktorovej autentifikácie sa jednoducho inštalujú a používajú.

Niektoré z najpopulárnejších sú:

10. Vypnite úpravu súborov

Z ovládacieho panela wp-admin môžete upravovať súbory, témy a doplnky. Ak niekto so zlým úmyslom získa prístup k vašim súborom, váš web bude ohrozený. Mali by ste teda vypnúť úpravu súborov.

To sa dá urobiť v priebehu niekoľkých sekúnd s trochou kódu. Vložte toto do svojho súboru wp-config.php:

// Zakázať úpravu súboru define( ‘DISALLOW_FILE_EDIT’, true ); define( ‘DISALLOW_FILE_MODS’, true );

Ak sa nechcete pohrávať s kódom, niektoré bezpečnostné doplnky WordPress vám umožňujú zakázať úpravu súborov jediným kliknutím. Príklady zahŕňajú MalCare a Zabezpečenie typu všetko v jednom (AIOS).

11. Zakázať spúšťanie súboru PHP

Hackeri môžu na váš web nahrať škodlivé súbory a kompromitovať ho. Ale je jednoduché zakázať spúšťanie súborov PHP (Hypertext Preprocessor), aby sa zastavilo spúšťanie škodlivých PHP skriptov.

Všetko, čo musíte urobiť, je vytvoriť textový súbor .htaccess na vašom počítači a vložiť doň nasledujúci kód:

Objednať Povoliť,Odmietnuť Odmietnuť zo všetkých

Potom nahrajte textový súbor .htaccess do svojich adresárov /wp-content/uploads a /wp-includes pomocou FTP klienta alebo cez aplikáciu FileManager na hlavnom paneli cPanel. Ak tak urobíte, zabránite spusteniu súborov PHP v týchto adresároch.

12. Zabezpečte svoju databázu

Databáza WordPress je centrom webovej stránky WordPress. Ukladá takmer všetko, čo sa nachádza na webovej stránke WordPress, od príspevkov a stránok až po používateľov a ďalšie vlastné možnosti webových stránok. Takže databázy WordPress sú jedným z najväčších cieľov hackerov.

Ak chcete zabezpečiť svoju databázu WordPress, postupujte podľa týchto krokov:

  1. Ak ste ho počas inštalácie preskočili, zmeňte predvolené používateľské meno správcu.
  2. Obmedzte používateľské práva.
  3. Zmeňte predvolené ID správcu.
  4. Zmeňte predvolenú predponu databázy.
  5. Pred vykonaním akýchkoľvek zmien v databáze vždy vytvorte zálohy.
  6. Ak odstránite rozšírenie webu, odstráňte vlastné tabuľky.

13. Vypnite prehliadanie adresárov

Ak chcete zakázať nahliadnutie do štruktúry vašich adresárov a súborových štruktúr iným používateľom, ktorí by mohli potenciálne hľadať potenciálne bezpečnostné chyby, mali by ste zakázať prehliadanie adresárov.

Všetko, čo musíte urobiť, je pridať ďalší riadok kódu do súboru .htaccess, ktorý nájdete v koreňovom adresári vašej inštalácie WordPress:

Možnosti Všetky – Indexy

Vypnutím prehliadania adresárov ste výrazne znížili možnosť napadnutia vášho webu WordPress.

14. Chráňte svoj súbor .htaccess

Súbor .htaccess vám umožňuje ovládať povolenia súborov. To znamená, že môžete nastaviť špeciálne prístupové povolenia pre všetky súbory a typy súborov. Ak chcete chrániť svoj súbor .htaccess, prejdite do koreňového adresára a vložte nasledujúci kód.

Všimnite si, že musíte aktivovať možnosť „zobraziť skryté súbory“ v správcovi súborov cPanel, aby ste ju mohli vidieť:

Čítať:  Sú webové stránky WordPress dostatočne bezpečné? Mali by ste sa obávať?

príkaz povoliť, odmietnuť odmietnuť všetkým vyhovieť všetkým

Kód, ktorý ste vložili, zablokuje prístup k súborom začínajúcim na .hta každému, kto nemá oprávnenia správcu, a zabezpečí váš súbor .htaccess.

15. Odstráňte neaktívne témy a doplnky

Staré a nepoužívané pluginy sú plné zraniteľností a dajú sa ľahko zneužiť. Ak chcete zabrániť hackerom vo využívaní vášho webu týmto spôsobom, odstráňte všetky motívy a doplnky, ktoré nepoužívate. Tiež sa uistite, že často aktualizujete tie, ktoré používate.

16. Zmeňte predvolený prihlasovací odkaz WordPress

Predvolená prihlasovacia adresa WordPress je domainname.com/wp-admin. Ak necháte odkaz na prihlásenie v predvolenom nastavení, pre hackerov je jednoduchšie nasadiť útok hrubou silou.

Ak už máte obmedzený počet pokusov o prihlásenie, predvolený odkaz na prihlásenie by nemal predstavovať veľký problém. Ale ďalšia vrstva preventívnych opatrení je vždy dobrý nápad.

17. Vypnite protokol XML-RPC

Protokol vzdialeného volania procedúr v jazyku Extensible Markup Language (XML-RPC) bol prvýkrát vytvorený, aby umožnil komunikáciu medzi WordPress a inými systémami. Ak ste napríklad na svojom mobilnom zariadení používali aplikáciu WordPress, používali ste protokol XML-RPC.

V súčasnosti je protokol XML-RPC zastaraný a REST API umožňuje WordPress komunikovať s inými systémami.

Najväčšou nevýhodou používania protokolu XML-RPC na vašom webe WordPress je, že predstavuje bezpečnostnú chybu. Obmedzením pokusov o prihlásenie do vášho WordPressu ste neobmedzili pokusy o prihlásenie XML-RPC.

Aj keď existujú doplnky WordPress na deaktiváciu protokolu XMLRPC, protokol je možné jednoducho deaktivovať pomocou súboru .htaccess. Otvorte svoj súbor .htaccess.

Hneď pod vložte tento kód:

# Spustiť blokovanie XMLRPC Objednávka Zamietnuť, Povoliť odmietnuť od všetkých povoliť od 127.0.0.1 errordocument 401 predvolený errordocument 403 predvolený errordocument 404 predvolený errordocument 411 predvolený # Dokončiť blokovanie XMLRPC

Ak potrebujete povoliť prístup XML-RPC pre konkrétnu IP adresu, môžete jednoducho pridať IP adresu nižšie. Napríklad:

# Spustiť blokovanie XMLRPC Objednávka Zamietnuť, Povoliť zamietnuť od všetkých povoliť od 127.0.0.1 povoliť od 192.168.1.1 errordocument 401 predvolený errordocument 403 predvolený errordocument 404 predvolený errordocument 411 predvolené # Dokončiť

18. Skryte svoje číslo verzie WordPress

Ak hackeri vidia číslo vašej verzie WordPress, vedia vopred, aké bezpečnostné problémy má váš web. Z tohto dôvodu väčšina prémiových bezpečnostných doplnkov obsahuje možnosť skryť číslo verzie WordPress.

Napriek tomu môžete ľahko skryť svoje číslo verzie WordPress pridaním ďalšieho riadku kódu do súboru functions.php, ktorý nájdete v adresári témy:

remove_action(‘wp_head’, ‘wp_generator’);

Chráňte svoj web WordPress pred zraniteľnosťami

Teraz, keď ste si prešli náš kontrolný zoznam zabezpečenia WordPress, viete, ako zabezpečiť web WordPress. Uistite sa, že máte všetko aktualizované, meňte všetky heslá tak často, ako je to možné, a pravidelne skenujte svoje miestne zariadenia na prítomnosť škodlivého softvéru.

Hľadáte bezpečného poskytovateľa hostingu pre váš web WordPress? Potom si pozrite spravovaný hosting WordPress od spoločnosti Hostinger.

Uľahčíme a cenovo dostupné nastavenie vašej webovej stránky a náš tím zákazníckej podpory je vždy k dispozícii. Pozrite si naše hostingové balíčky a kontaktujte nás, aby ste mohli začať ešte dnes.

Nové Publikácie:

ODPORÚČANIE