WordPress Security – 24 Wskazówki, jak zabezpieczyć witrynę przed hakerami

Bezpieczeństwo WordPress powinno być priorytetem podczas zarządzania witryną. Projektujesz swoją witrynę, publikujesz treści, sprzedajesz produkty online, ale jeśli nie traktujesz poważnie bezpieczeństwa WordPress, twoja witryna może zostać zaatakowana w dowolnym momencie. 


Każdego dnia zhakowanych jest 30 000 witryn, a ponad 2000 witryn znajduje się na czarnej liście Google. Nie jesteś wyjątkiem. Jeśli witryna rządowa może zostać zhakowana, to dlaczego nie twoja?

Pewnego ranka obudziłeś się i zobaczyłeś, że Twoja witryna WordPress jest niedostępna i zobaczysz losowe wiadomości, takie jak,

„Twoja strona została zaatakowana przez xyz” – strona została zaatakowana przez hakerów

„Witryna przed nami zawiera złośliwe oprogramowanie” – umieszczona na czarnej liście Google

To najgorsza rzecz, z jaką możesz spotkać się ze swoją witryną.

Ale dlaczego WordPress?

WordPress obsługuje ponad 31% (80 milionów) wszystkich stron internetowych. Według W3Techs, WordPress ma 60% udziału w rynku CMS więcej niż inne platformy, co jest dość solidnym powodem do przyciągania hakerów.

Ale nie panikuj. Wzmocnienie bezpieczeństwa WordPress jest bardzo łatwe i możesz to zrobić.

W tym artykule podzielę się 24 najlepszymi wskazówkami bezpieczeństwa WordPress, aby chronić twoją stronę przed hakerami i złośliwym oprogramowaniem.

„Dlaczego nie sprawić, by brama do twojego pałacu zniknęła, zanim ją odkryją?” – WPMyWeb

Contents

Typowe problemy z bezpieczeństwem WordPress

Zanim zagłębimy się w najlepsze praktyki bezpieczeństwa WordPress, najpierw zrozumiemy kilka typowych problemów związanych z bezpieczeństwem WordPress.

Wielu użytkowników uważa, że ​​WordPress nie jest bezpieczną platformą dla firmy, co wcale nie jest prawdą. Wynika to z braku wiedzy na temat bezpieczeństwa WordPress, złego administrowania systemem, korzystania z przestarzałego oprogramowania WordPress i wtyczek itp..

Wielu początkujących użytkowników WordPressa zakłada, że ​​utworzenie strony internetowej to koniec i nie wymaga żadnej konserwacji. W ten sposób pozostawiasz swoją witrynę wrażliwą.

Gdy hakerzy odkryją lukę w Twojej witrynie, mogą z łatwością ją wykorzystać.

Sprawdźmy niektóre typowe problemy z zabezpieczeniami WordPress.

1. Brute Force Attacks: 

W ataku brute force za pomocą automatycznego skryptu generowane są różne kombinacje nazw użytkowników i haseł. Hacker używa strony logowania WordPress do przeprowadzenia ataku brute force. 

Jeśli używasz prostej nazwy użytkownika i hasła, możesz być kolejną ofiarą tego ataku.

2. Skrypty między witrynami (XSS):

Cross Site Scripting to rodzaj ataku, w którym osoby atakujące wstrzykują złośliwy kod / skrypt na zaufaną stronę internetową. Ta metoda hakowania jest całkowicie niewidoczna dla użytkowników surfujących po stronie.

Te złośliwe skrypty ładują się anonimowo i wykradają informacje z przeglądarki użytkownika. Nawet jeśli użytkownik wprowadzi jakiekolwiek dane w dowolnej formie, dane mogą zostać skradzione.

3. Zastrzyki SQL:

WordPress używa bazy danych MySQL do przechowywania informacji na blogu.

Wstrzykiwanie SQL ma miejsce, gdy hakerzy uzyskają dostęp do bazy danych WordPress. Hakując bazę danych WordPress, hakerzy mogą utworzyć nowe konto administratora z pełnym dostępem do Twojej witryny.

Mogą również wstawiać dane do bazy danych MySQL i dodawać linki do złośliwych lub spamujących stron internetowych.

4. Backdoors:

Pod nazwą „Back-door” możesz zrozumieć, co to znaczy. 

Backdoor to metoda hakowania, która pozwala hakerom wejść na stronę internetową, omijając normalny proces uwierzytelniania, a nawet pozostać niezauważonym przez właściciela strony.

Po zhakowaniu strony hakerzy zwykle zostawiają ślad, aby mogli ponownie uzyskać dostęp do witryny, nawet gdy hack został usunięty.

5. Hacki farmaceutyczne:

Włamania do WordPress Pharma to rodzaj spamu w witrynie, który wypełnia wyniki wyszukiwarek spamowymi treściami aptek, które są zakazane w Internecie, takie jak Viagra, Nexium, Cialis itp..

W przeciwieństwie do innych hacków WordPress, wyniki hacków farmaceutycznych są widoczne tylko dla wyszukiwarek. Więc nie możesz wykryć włamania, po prostu przeglądając swoją stronę internetową lub kod źródłowy.

Przejdź do Google i wpisz witryna: domena.com. Jeśli wyniki wyszukiwania pokazują zawartość Twojej witryny (a nie apteki), hack farmaceutyczny nie ma na nią wpływu.

Celem tego włamania jest wykorzystanie twoich najcenniejszych stron przez zastąpienie tagu tytułu szkodliwymi linkami. Nie wspominając, że jeśli nie skontrolujesz sprawy wcześniej, wyszukiwarki takie jak Google, Bing może umieścić twoją stronę na czarnej liście za dostarczanie złośliwych treści.

6. Złośliwe przekierowania:

Złośliwe przekierowanie WordPress to rodzaj włamania, w ramach którego osoby odwiedzające witrynę są automatycznie przekierowywane na spamujące strony, takie jak hazard, pornografia, serwisy randkowe. Ten hack ma miejsce, gdy złośliwy kod jest wstrzykiwany do pliku lub bazy danych Twojej witryny.

Jeśli Twoja witryna przekierowuje odwiedzających na nielegalne lub złośliwe strony, prawdopodobnie zostanie umieszczona na czarnej liście Google.

Dlaczego bezpieczeństwo WordPress jest ważne?

Twoja witryna reprezentuje Twoją markę, Twoją firmę, a co najważniejsze pierwszy kontakt z klientami.

Prawdopodobnie zajęło ci kilka lat, starając się utrzymać swoją działalność i zwiększyć ruch. Twoi odbiorcy uwielbiają Twoje artykuły i ufają Twoim produktom, dlatego utrzymują z Tobą kontakt.

Jeśli Twoja witryna WordPress nie jest bezpieczna, może to mieć wpływ na Twoją witrynę i klientów. Hakerzy mogą kraść dane osobowe, hasła, dane kart kredytowych, informacje o transakcjach i rozpowszechniać złośliwe oprogramowanie wśród użytkowników.

Jeśli Twoja witryna zostanie zaatakowana przez hakerów, zauważysz, że ruch gwałtownie spada. Ponadto Google umieści twoją witrynę na czarnej liście.

Według Blog Google, liczba zaatakowanych witryn rośnie o około 20% w 2016 r. w porównaniu do 2015 r.

W badaniu, Securi raporty że Google umieszcza na czarnej liście ponad 10 000 witryn każdego dnia.

Jeśli poważnie podchodzisz do swojej firmy, musisz zwrócić szczególną uwagę na bezpieczeństwo WordPress.

Zabezpieczenia WordPress

Najlepszy przewodnik bezpieczeństwa WordPress

  1. Zdobądź dobry hosting WordPress
  2. Aktualizuj wersję WordPress
  3. Nie używaj żadnego Nulled / Cracked Theme ani wtyczki
  4. Używaj silnych haseł
  5. Dodaj (2FA) Uwierzytelnianie dwuskładnikowe
  6. Zmień adres URL logowania do WordPress
  7. Ogranicz próby logowania
  8. Regularnie twórz kopie zapasowe swojej witryny
  9. Użyj wtyczki zabezpieczającej WordPress
  10. Automatycznie wyloguj bezczynnych użytkowników
  11. Dodaj pytania bezpieczeństwa do strony logowania WordPress
  12. Zmień domyślną nazwę użytkownika „admin”
  13. Przypisz użytkowników do najniższej możliwej roli
  14. Monitoruj zmiany plików i działania użytkownika
  15. Zainstaluj certyfikat SSL
  16. Usuń nieużywane motywy i wtyczki
  17. Wyłącz edycję plików w desce rozdzielczej WordPress
  18. Ochrona hasłem Strona logowania WordPress
  19. Wyłącz przeglądanie katalogów
  20. Usuń numer wersji WordPress
  21. Zmień prefiks tabeli bazy danych WordPress
  22. Używaj tylko zaufanych motywów i wtyczek WordPress
  23. Wyłącz raportowanie błędów PHP
  24. Dodaj bezpieczne nagłówki HTTP do WordPress

Gotowy? Zaczynajmy.

1. Zdobądź dobry hosting WordPress

Hosting WordPress odgrywa ważną rolę, jeśli chodzi o poprawę bezpieczeństwa WordPress.

Płacisz za usługę hostingową, a Twoja strona internetowa pozostaje pod ich kontrolą. Dlatego powinieneś być ostrożny przed wyborem dobrego hostingu WordPress dla swojej witryny.

Hosting dzielony, taki jak A2Hosting, Bluehost itp., To najlepsza opcja hostingu w celu prowadzenia bloga o niskim ruchu. Ale we współdzielonym hostingu zawsze będzie szansa na zanieczyszczenie między witrynami.

Zanieczyszczenie między witrynami ma miejsce, gdy haker może uzyskać dostęp do serwera WWW za pośrednictwem wrażliwej witryny, a następnie wykorzystać wszystkie inne witryny na tym samym serwerze.

Zalecamy korzystanie z zarządzanego dostawcy hostingu WordPress. Zarządzane firmy hostingowe WordPress zapewniają wielowarstwowe opcje bezpieczeństwa dla stron internetowych. Ich platformy hostingowe są wysoce bezpieczne i oferują codzienne skanowanie w poszukiwaniu złośliwego oprogramowania i zapobiegają wszelkim atakom zewnętrznym. Jeśli mimo to znajdą złośliwe oprogramowanie na swoim serwerze, biorą na siebie odpowiedzialność i natychmiast je usuwają.

Oferują także codzienne kopie zapasowe, bezpłatny certyfikat SSL, wsparcie ekspertów 24 × 7.

Polecamy firmę hostingową WordPress zarządzaną przez WPEngine. Oferują wiele warstw zabezpieczeń w celu ochrony Twojej witryny WordPress. Dzięki ich planowi będziesz otrzymywać codzienne kopie zapasowe, bezpłatny SSL, globalny CDN i wsparcie ekspertów 24 × 7.

Odwiedzić WPEngine. [Kod rabatowy dodany w tym linku]

Powrót do góry

2. Aktualizuj wersję WordPress

Aktualizowanie witryny WordPress jest dobrą praktyką bezpieczeństwa w celu wzmocnienia bezpieczeństwa WordPress. Ta aktualizacja zawiera wersję WordPress, wtyczki i motywy.

W ostatnim badaniu, Securi przeanalizował że 56% wszystkich stron zainfekowanych WordPress było wciąż nieaktualnych. Jeśli jesteś jednym z nich, jesteś w niebezpieczeństwie.

Każdego dnia odkrywane są nowe luki w zabezpieczeniach i nie ma sposobu, aby je zatrzymać. Nieaktualne oprogramowanie i wtyczki mogą zawierać luki, których haker może użyć do wykorzystania strony.

Z każdą aktualizacją programiści dodają nowe funkcje, usuwają dziury w zabezpieczeniach, naprawiają błędy itp. Podobnie jak oprogramowanie WordPress, musisz także aktualizować motywy i wtyczki WordPress.

Dobrą rzeczą jest to, że WordPress automatycznie wdraża swoje aktualizacje i powiadamia użytkowników.

Aktualizacja wersji WordPress, wtyczek i motywów jest bardzo łatwa i możesz to zrobić za pomocą pulpitu administracyjnego WordPress.

Jak zaktualizować WordPress, wtyczki i motywy?

Najpierw zaloguj się do pulpitu WordPress i przejdź do Deska rozdzielcza> Aktualizacje. Tam możesz sprawdzić, czy dostępna jest nowa aktualizacja.

Uwaga: Przed aktualizacją wersji WordPress wykonaj pełną kopię zapasową plików i bazy danych. W przypadku wystąpienia błędu możesz łatwo przywrócić witrynę do poprzedniej wersji. Możesz łatwo wykonać kopię zapasową i przywrócić witrynę za pomocą BlogVault za pomocą jednego kliknięcia.

Na stronie widać „Zaktualizowana wersja WordPress jest dostępna”. Kliknij Aktualizuj teraz aby zaktualizować wersję WordPress, proces ten może potrwać kilka sekund.

Po zakończeniu aktualizacji przewiń w dół, aby zaktualizować wtyczki WordPress. Zalecamy aktualizowanie wtyczek jeden po drugim. Najpierw wybierz wtyczkę i kliknij Zaktualizuj wtyczki.

W podobny sposób zaktualizuj swoje motywy poniżej.

Zaktualizuj WordPress z pulpitu nawigacyjnego

Jednak proces aktualizacji jest nieco trudny dla niektórych użytkowników, szczególnie tych, którzy nie znają się na technologii.

Niektórzy zarządzający dostawcy hostingu WordPress, tacy jak SiteGround, Kinsta, FlyWheel, zapewniają automatyczna aktualizacja funkcja. Tak więc, jeśli masz napięty harmonogram lub leniwy do aktualizacji, może to być przydatne.

Przeczytaj także, Jak ręcznie zaktualizować wersję WordPress, wtyczki i motywy

Powrót do góry

3. Nigdy nie używaj żadnych null / crackowanych motywów i wtyczek

Nic dziwnego, że wtyczki i motywy premium zawierają więcej funkcji i wyglądają profesjonalnie. Ale żaden z produktów premium nie jest bezpłatny. Pochodzi z ceną, a po zakupie produktów premium użytkownicy muszą wprowadzić klucz produktu, aby aktywować produkt.

Istnieje jednak wiele złośliwych stron internetowych, które zapewniają bezpłatne motywy i wtyczki premium. Te pęknięte motywy i wtyczki nie wymagają klucza seryjnego do aktywacji i nigdy nie są aktualizowane.

Oto co mam na myśli:

Przykład zerowanej wtyczki WordPress

Te zerowane motywy i wtyczki są bardzo niebezpieczne dla Twojej witryny. Hakerzy specjalnie wstrzykują do niego złośliwe kody i robią backdoor do Twojej witryny. Dzięki temu mogą łatwo uzyskać dostęp do Twojej witryny i zhakować Twoją witrynę, w tym bazę danych.

Dlatego nigdy nie używaj żadnych pustych lub pękniętych motywów i wtyczek WordPress.

Zdecydowanie zalecamy, aby pobierać tylko bezpłatne motywy lub wtyczki tylko z WordPress.org.

Rozumiemy, że darmowy motyw lub wtyczka ma bardzo ograniczone funkcje. Ale te bezpłatne motywy lub wtyczki są bezpieczne w użyciu i są regularnie aktualizowane.

Przeczytaj także 7 najlepszych motywów blogowych premium dla WordPress

Powrót do góry

4. Użyj silnych haseł

Hasło jest kluczem podstawowym, aby uzyskać dostęp do witryny WordPress. Jeśli jest to proste i krótkie, hakerzy mogą łatwo złamać twoje hasło. Nad 80% doszło do naruszeń związanych z hakowaniem z powodu słabego hasła lub skradzionego hasła.

W ostatnim badaniu, SplashData ujawniona 100 najgorszych haseł 2017 roku.

Oto kilka z nich:

  1. 123456
  2. hasło
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. wpuść mnie
  8. 1234567
  9. piłka nożna
  10. kocham Cię
  11. Admin
  12. Witamy
  13. małpa (lol)

Jeśli twoje hasło jest proste jak wyżej, natychmiast je zmień. Dobre hasło powinno składać się z co najmniej 10 cyfr i zawierać wielkie litery, małe litery, cyfry i znaki specjalne.

Możesz użyć narzędzie do generowania haseł online aby natychmiast utworzyć tysiące zabezpieczonych haseł.

Konieczne jest również zapisanie hasła na komputerze.

Aby to ułatwić, możesz użyć oprogramowania do zarządzania hasłami do zarządzania wszystkimi hasłami, takimi jak LastPass, Dashlane itp.

Wymuszaj silne hasło dla użytkowników

Domyślnie WordPress nie ma funkcji, która uniemożliwia użytkownikom wprowadzanie słabych haseł. Przez większość czasu użytkownicy ustawiają słabe hasło do swojego konta i prawie go nie zmieniają.

Jeśli prowadzisz bloga WordPress dla wielu użytkowników, powinieneś zmusić użytkowników do używania silnego hasła.

Aby ułatwić ten proces, możesz użyć wtyczki. Zainstaluj i aktywuj Wymuś silne hasła wtyczka i gotowe. Zapobiegnie to wprowadzeniu słabego hasła przez użytkowników, a nawet administratora.

Powrót do góry

5. Dodaj uwierzytelnianie dwuskładnikowe (2FA) 

Inną prostą metodą wzmocnienia bezpieczeństwa WordPress jest dodanie uwierzytelniania dwuskładnikowego (2FA) do strony logowania WordPress. Zasadniczo uwierzytelnianie dwuskładnikowe lub weryfikacja dwuetapowa to proces bezpieczeństwa, który wymaga dwóch metod weryfikacji tożsamości.

Domyślnie zwykle wpisujemy nazwę użytkownika i hasło, aby zalogować się na stronie internetowej. Dodanie uwierzytelniania dwuskładnikowego będzie wymagało dodatkowego procesu weryfikacji, takiego jak aplikacja na smartfona, w celu zatwierdzenia procesu uwierzytelnienia.

Jeśli więc ktoś zna twoją nazwę użytkownika i hasło, potrzebuje smartfona, aby uzyskać kod weryfikacyjny do zalogowania się na Twojej stronie.

Dodając uwierzytelnianie dwuskładnikowe, nie tylko zabezpieczasz swoją stronę logowania WordPress, ale także zapobiegasz atakom typu brute-force.

Możesz łatwo włączyć uwierzytelnianie dwuskładnikowe za pomocą wtyczki WordPress do uwierzytelniania dwuskładnikowego Google.

Po aktywacji przejdź do Użytkownicy> Profil użytkownika i aktywuj wtyczkę.

Ustawienia Google Authenticator

Następnie pobierz aplikację uwierzytelniającą Google z telefonu i zeskanuj kod kreskowy lub wpisz Sekretny kod (patrz zrzut ekranu powyżej) z witryny, aby dodać witrynę.

Po dodaniu wyloguj się ze swojej witryny. Na stronie logowania zobaczysz dodatkowe pole, w którym musisz wpisać kod weryfikacyjny z aplikacji mobilnej Google Authenticator.

Pole Google Authenticator

Szczegółowe instrukcje można znaleźć w przewodniku, jak dodać uwierzytelnianie dwuskładnikowe Google na stronie logowania WordPress.

Powrót do góry

6. Zmień adres URL strony logowania do WordPress

Domyślnie każdy może uzyskać dostęp do strony logowania, po prostu dodając „wp-admin” lub „wp-login.php” na końcu nazwy domeny, na przykład: „domain.com/wp-admin” lub „domain.com/ wp-login.php ”.

Zgadnij co! Hakerzy mogą przeprowadzić atak brutalny przy użyciu strony logowania. Jeśli używasz bardzo prostego hasła, hakerzy mogą łatwo złamać hasło i wejść na twoją stronę.

Ale co, jeśli nie wiedzą, gdzie zaatakować? Tak, dobrze zgadłeś.

Jeśli ukryjesz lub zmienisz nazwę adresu URL strony logowania, hakerzy nie będą mogli przeprowadzić ataku siłowego.

W WordPress można łatwo ukryć lub zmienić nazwę strony logowania za pomocą wtyczki. Z galerii wtyczek WordPress zainstaluj i aktywuj WPS Ukryj login podłącz.

Po aktywacji przejdź do Ustawienia> Generał a na dole możesz znaleźć WP Ukryj opcję logowania.

WPS Ukryj ustawienia logowania

Po prostu zmień adres URL logowania “Zaloguj sie” do czegoś innego, co trudno zgadnąć i kliknąć Zapisz zmiany.

Po zakończeniu dodaj do zakładek nową stronę logowania i gotowe.

Powrót do góry

7. Ogranicz próby logowania

Domyślnie WordPress nie ogranicza liczby prób logowania za pomocą formularza logowania. Oznacza to, że każdy wie, że Twój adres URL logowania może wypróbować funkcję logowania tyle razy, ile chce. W ten sposób hakerzy przeprowadzają brutalny atak, aby złamać „nazwę użytkownika” i „hasło” w celu uzyskania dostępu do witryny.

Ograniczając próby logowania, możesz wzmocnić zabezpieczenia WordPress i chronić swoją stronę logowania przed atakami siłowymi.

Możesz ustawić maksymalną liczbę niepoprawnych prób logowania, które użytkownik może wykonać z tego samego adresu IP. Jeśli użytkownik przekroczy limity, adres IP użytkownika zostanie zablokowany na określony czas.

Aby ograniczyć próby logowania w WordPress, zainstaluj Zaloguj się LockDown podłącz. Po aktywacji przejdź do Ustawienia> Zaloguj się LockDown skonfigurować wtyczkę.

Zaloguj się Ustawienia blokady

Aby uzyskać szczegółowe instrukcje, zobacz nasz przewodnik na temat ograniczania prób logowania w WordPress

Powrót do góry

8. Regularnie twórz kopie zapasowe swojej witryny

Kopie zapasowe są jak Time Machine. Jeśli go masz, Twoja witryna jest bezpieczna.

Jednak kopie zapasowe witryny nie chronią witryny przed hakerami, ale pomagają ją odzyskać.

Na przykład, jeśli coś pójdzie nie tak z witryną podczas aktualizacji lub zostanie zaatakowana przez hakera, jak to zrobisz ponownie? Prawdopodobnie stracisz swoją witrynę.

Ale jeśli masz kopie zapasowe swojej witryny, możesz łatwo przywrócić ją przed momentem włamania lub awarii.

Dlatego zalecamy korzystanie z niezawodnej wtyczki kopii zapasowej WordPress. Jednak wiele firm hostingowych oferuje bezpłatne tworzenie kopii zapasowych witryn, ale mogą zagwarantować dostępność witryny w przypadku katastrofalnej awarii. Musisz więc zapisać kopie zapasowe w zdalnej lokalizacji, takiej jak Dysk Google, Amazon S3, Dropbox itp.

Na szczęście można to zrobić za pomocą BlogVault lub BackUpBuddy WordPress Backup Plugin. Obie oferują codzienne kopie zapasowe i przywracanie jednym kliknięciem. Możesz także utworzyć witrynę pośrednią bez dodatkowych kosztów.

Powrót do góry

9. Użyj wtyczki bezpieczeństwa WordPress

Następna rzecz, której potrzebujesz do utwardzenia swojego Bezpieczeństwo WordPress jest wtyczką bezpieczeństwa. Dostępnych jest wiele wtyczek zabezpieczających WordPress, które blokują Twoją witrynę przed hakerami i złośliwym oprogramowaniem.

Wtyczki bezpieczeństwa WordPress wykryją i wyeliminują złośliwe oprogramowanie, jeśli jest obecne w Twojej witrynie. Poza tym monitorują aktywność użytkowników w czasie rzeczywistym, powiadamiają cię, jeśli coś się zmieniło, jeśli wtyczka zawiera złośliwe oprogramowanie, blokuje ruch spamowy i wiele innych.

Zalecamy wtyczkę Securi WordPress Security. Securi Security oferuje różnego rodzaju funkcje bezpieczeństwa, takie jak audyt działalności bezpieczeństwa, monitorowanie strony internetowej, zapora sieciowa,  i wiele więcej.

Securi

Najlepszą rzeczą w Securi jest to, że jeśli Twoja witryna zostanie zhakowana lub umieszczona na czarnej liście przez Google podczas korzystania z jej usługi, gwarantują, że naprawią Twoją witrynę.

Większość ekspertów ds. Bezpieczeństwa WordPress pobiera opłatę w wysokości ponad 300 USD za naprawienie zaatakowanej witryny, a wszystkie usługi bezpieczeństwa będą dostępne tylko 199 USD na rok. To dobra inwestycja, aby wzmocnić bezpieczeństwo WordPressa.

Powrót do góry

10. Automatycznie wyloguj bezczynnych użytkowników

Jeśli użytkownik pozostaje zbyt długo bezczynny lub nieaktywny w witrynie, może to spowodować atak siłowy.

Gdy użytkownik pozostaje zbyt długo nieaktywny, hakerzy mogą użyć pliku cookie lub metody przejęcia sesji, aby uzyskać nieautoryzowany dostęp do Twojej witryny. Dlatego większość witryn edukacyjnych i finansowych, takich jak strony banków i bram płatniczych, korzysta z funkcji limitu czasu sesji użytkownika. Tak więc, gdy użytkownik opuści stronę i nie będzie wchodzić w interakcje po pewnym czasie, witryna automatycznie wylogowuje nieaktywnego użytkownika.

Ta sama funkcja, którą możesz dodać do swojej witryny WordPress w celu poprawy bezpieczeństwa WordPress. Dodawanie automatycznego wylogowania bezczynnych użytkowników na WordPressie jest niezwykle proste. Wszystko, czego potrzebujesz, aby zainstalować wtyczkę.

Najpierw pobierz i zainstaluj Nieaktywne wylogowanie Wtyczka WordPress. Następnie aktywuj i przejdź do Ustawienia> Nieaktywne wylogowanie skonfigurować wtyczkę.

Nieaktywne ustawienia wtyczki wylogowania

W ustawieniach możesz zmienić limit czasu bezczynności. Po upływie tego czasu wszyscy użytkownicy w Twojej witrynie zostaną automatycznie wylogowani.

Możesz także zmienić komunikat o przekroczeniu limitu czasu bezczynności i w razie potrzeby zmodyfikować inne ustawienia.

Po zakończeniu kliknij Zapisz zmiany aby zapisać ustawienia.

Aby uzyskać szczegółowe instrukcje, zobacz nasz przewodnik na temat automatycznego wylogowywania bezczynnych użytkowników w WordPress

Powrót do góry

11. Dodaj pytania bezpieczeństwa do strony logowania WordPress

Dodając pytania bezpieczeństwa do strony logowania WordPress, nie tylko zabezpieczysz swoją stronę logowania WordPress, ale także wzmocnisz bezpieczeństwo WordPress.

Pytanie bezpieczeństwa dodaje dodatkową warstwę bezpieczeństwa w celu dalszego uwierzytelnienia Twojej tożsamości podczas logowania. Jest to bardzo przydatne, jeśli prowadzisz bloga WordPress z wieloma autorami.

W przypadku kradzieży hasła lub hasła użytkownika pytanie ochronne może uratować życie.

Ponieważ nazwę użytkownika i hasło można łatwo zhakować, ale wybranie odpowiedniego pytania zabezpieczającego i odpowiedzi jest prawie niemożliwe. W ten sposób możesz zapisać swoją stronę logowania WordPress przed hakerami i atakami siłowymi.

Aby dodać pytanie bezpieczeństwa na stronie logowania do WordPress, zainstaluj Pytanie bezpieczeństwa WP podłącz.

Ustawienia pytań bezpieczeństwa WP

Po aktywacji przejdź do Pytania bezpieczeństwa WP > Ustawienia wtyczek skonfigurować wtyczkę.

Domyślnie do wtyczki dodano wiele typowych pytań. Możesz jednak dodawać lub usuwać pytania bezpieczeństwa z listy.

Na dole możesz włączyć pytanie bezpieczeństwa na stronie logowania, rejestracji i stronie zapomnianego hasła. Po skonfigurowaniu wtyczki nie zapomnij kliknąć Zapisz ustawienia.

Uwaga: Tylko nowi użytkownicy mogą ustawić swoje pytanie bezpieczeństwa i odpowiedź podczas rejestracji. Dlatego zarejestrowani użytkownicy muszą ręcznie ustawić własne pytanie bezpieczeństwa i odpowiedź. Możesz również ustawić pytanie bezpieczeństwa i odpowiedzieć na nie. Można to zrobić z Profil użytkownika strona.

Wiele pytań bezpieczeństwa WP

Aby uzyskać szczegółowe instrukcje, zobacz nasz przewodnik na temat dodawania pytań bezpieczeństwa do strony logowania WordPress

Powrót do góry

12. Zmień domyślną nazwę użytkownika „Admin”

Po zainstalowaniu WordPressa możesz zmienić hasło tyle razy, ile chcesz. Ale czy możesz zmienić swoją nazwę użytkownika po jej ustawieniu? Bez prawa?

Domyślnie WordPress nie pozwala użytkownikom zmieniać nazwy użytkownika. Ale dlaczego warto to zmienić?

Jeśli używasz bardzo popularnej nazwy użytkownika, takiej jak „admin”, hakerzy mogą uruchomić brute force attach za pomocą twojej nazwy użytkownika.

Ale nie panikuj. Istnieje kilka sposobów łatwej zmiany WordPressa.

Aby ułatwić ten proces, użyjemy wtyczki. Najpierw pobierz i zainstaluj zmieniacz nazwy użytkownika podłącz. Następnie przejdź do Użytkownicy> Twój profil i znajdź opcję nazwy użytkownika. Tam znajdziesz opcję „Zmień nazwę użytkownika”.

Zmień nazwę użytkownika WordPress

Kliknij Zmień nazwę użytkownika i wprowadź nową nazwę użytkownika. Po zakończeniu kliknij Zaktualizować profil.

Jeśli chcesz zmienić nazwę użytkownika ręcznie (bez wtyczki), zapoznaj się z artykułem 3 różne sposoby zmiany nazwy użytkownika WordPress.

Powrót do góry

13. Przypisywanie użytkowników do najniższej możliwej roli

Jeśli prowadzisz witrynę WordPress z wieloma autorami, musisz zachować ostrożność przed przypisaniem roli użytkownikowi.

Wiele razy właściciele witryn WordPress przypisują wyższą rolę użytkownikom nowym użytkownikom, w ten sposób dajesz użytkownikom wszystkie uprawnienia, w wyniku czego każdy użytkownik może wykonać dowolne zadanie, co tylko zechce.

Na przykład, jeśli nie wiesz, co może wykonać rola edytora, i przypisujesz ją zwykłemu użytkownikowi, użytkownik może usunąć wszystkie swoje posty, edytować linki, tworzyć spamerskie posty, dodawać złośliwe linki do swojego bloga posty. W ten sposób użytkownik może z łatwością zniszczyć Twoją witrynę.

Domyślnie WordPress ma 5 różnych ról użytkowników.

  • Administrator
  • Redaktor
  • Autor
  • Współpracownik
  • Abonent
  1. Administrator: Administratorzy są najpotężniejszą rolą użytkownika w witrynie WordPress. Mogą tworzyć, edytować i usuwać konto użytkownika, mogą wykonywać dowolne zadania w panelu administracyjnym WordPress, kontrolować całą zawartość i moderować komentarze. 
  2. Redaktor: Użytkownicy z rolą Edytor mają pełną kontrolę nad treścią. Mogą tworzyć, edytować i usuwać dowolne posty, w tym posty utworzone przez innych użytkowników. Mogą również moderować komentarze i modyfikować linki.
  3. Autor: Autorzy mogą publikować, edytować lub usuwać tylko własne posty. Mogą przesyłać pliki multimedialne do wykorzystania w swoich postach. Mogą wyświetlać komentarze, ale nie mogą zatwierdzać ani usuwać żadnych komentarzy.
  4. Współpracownik: Użytkownicy z rolą Współtwórca mogą tylko pisać, edytować lub usuwać własne niepublikowane posty, ale nie mogą publikować własnych postów.
  5. Abonent: Subskrybenci mogą edytować tylko informacje o koncie, w tym hasło, ale nie mają dostępu do treści ani ustawień witryny. Mają najniższe możliwości w witrynie WordPress.

Rozumiejąc role użytkowników WordPress, możesz łatwo nimi zarządzać bez żadnego ryzyka.

Zalecamy również ustawienie domyślnej roli nowego użytkownika jako subskrybenta. Przejdź do ustawień> Ustawienia ogólne i od ich zestawu Domyślna rola nowego użytkownika Abonent i kliknij Zapisz zmiany.

WordPress Nowa domyślna rola użytkownika

Aby uzyskać więcej informacji, przeczytaj Poradnik dla początkujących na temat ról i możliwości użytkowników WordPress

Powrót do góry

14. Monitoruj zmiany plików i działania użytkownika

Innym sprytnym sposobem na wzmocnienie bezpieczeństwa WordPressa jest monitorowanie działań użytkowników i zmian plików. 

Jeśli prowadzisz witrynę WordPress dla wielu użytkowników, powinieneś śledzić zachowanie użytkowników, aby lepiej zrozumieć ich działania w witrynie WordPress.

Kto wie, czy użytkownik wykonuje podejrzaną pracę lub próbuje włamać się do Twojej witryny? Skąd możesz to wiedzieć?

Jedynym sposobem na śledzenie aktywności użytkownika i zmian plików jest użycie wtyczki WordPress aktywności użytkownika. Korzystając z wtyczki aktywności użytkownika w WordPress, możesz:

  • zobacz, kto jest zalogowany i co robią w czasie rzeczywistym
  • gdy użytkownik loguje się i wylogowuje
  • ile razy użytkownik próbował się zalogować, ale nie udało się

Poza tym, jeśli redaktor wprowadził jakiekolwiek zmiany we wpisie lub stronie bez Twojej zgody, możesz łatwo je znaleźć i przywrócić. Zaletą wtyczki aktywności użytkownika jest to, że natychmiast wysyła powiadomienie e-mail, jeśli coś pójdzie nie tak.

WP Security Audit Log to najlepsza wtyczka do monitorowania działań użytkowników i zmian plików w czasie rzeczywistym. Oto zrzut ekranu poniżej opisujący działanie wtyczki.

WordPress Audit Log Viewer

Przeczytaj także 5 najlepszych wtyczek do monitorowania aktywności użytkownika w WordPress (alternatywne wtyczki)

Powrót do góry

15. Wdróż SSL i HTTPS

Bezpieczeństwo WordPress nie można poprawić bez certyfikatu SSL. SSL (Secure Socket Layer) jest podstawą bezpieczeństwa witryny.

SSL to standardowa technologia zabezpieczeń, która tworzy zaszyfrowane łącza między serwerem a przeglądarką internetową w komunikacji online, takiej jak transakcja online. Wszystkie poufne dane, takie jak hasła, dane karty kredytowej itp., Przechodzą przez zaszyfrowane łącza.

Jeśli prowadzisz firmę internetową lub blog, na którym akceptujesz płatności, certyfikat SSL jest koniecznością. Pozwoli to chronić dane klienta przed hakerami. W przypadku sklepów internetowych lub witryn WooCommerce koszt certyfikatu SSL wynosi około 20-170 USD.

Jeśli prowadzisz blog WordPress, nie potrzebujesz płatnego certyfikatu SSL. Jeśli korzystasz z hostingu cPanel, takiego jak SiteGround, WPEngine, możesz bezpłatnie zainstalować certyfikat SSL za pomocą jednego kliknięcia.

Najpierw zaloguj się na swoje konto cPanel i przejdź do Bezpieczeństwo.  (Oto zrzut ekranu poniżej z SiteGround hosting cPanel.)

SG SSL

Idź do Menedżer SSL / TLS i kliknij Zainstaluj certyfikat SSL. Na stronie wybierz domenę i kliknij Autouzupełnianie według domeny. Proces jest automatyczny, więc nie musisz niczego edytować ani modyfikować.

Site Ground Zainstaluj certyfikat SSL

Teraz kliknij Zainstaluj certyfikat przycisk, aby zakończyć proces instalacji.

Po zakończeniu zaloguj się do pulpitu administratora WordPress, aby zmodyfikować adres URL witryny. Iść do Ustawienia> Generał i dodaj zamień HTTP na HTTPS przed URL-em witryny. Oto zrzut ekranu poniżej.

WP HTTPS

Po aktualizacji kliknij Zapisz zmiany.

Jak przekierować HTTP na HTTPS w WordPress

Jeśli poprawnie zainstalowałeś certyfikat SSL, Twoja witryna jest dostępna dzięki HTTPS.

Ale jeśli ktoś wpisze tylko nazwę Twojej witryny (np. Domena.com) na pasku adresu przeglądarki, witryna może wyświetlić komunikat „Połączenie nie jest bezpieczne”. Oznacza to, że twoja strona jest dostępna przez HTTP.

Aby rozwiązać ten problem, musisz wymusić HTTPS w WordPress, aby Twoja strona ładowała się tylko z HTTPS. Możesz łatwo wymusić HTTPS w WordPress.

Najpierw zaloguj się do swojego hostingu cPanel i przejdź do folderu głównego swojej witryny i znajdź .htaccess plik. Edytuj plik .htaccess, a na końcu dodaj następujący kod.

RewriteEngine On
RewriteCond% {HTTPS} jest wyłączone
RewriteRule ^ (. *) $ Https: //% {HTTP_HOST}% {REQUEST_URI} [L, R = 301]

Zapisz plik i gotowe. Teraz twoja strona jest dostępna tylko dzięki HTTPS.

Jeśli Twój dostawca hostingu nie zapewnia bezpłatnego certyfikatu SSL, możesz ręcznie zainstalować certyfikat SSL. Oto przewodnik, w jaki sposób zainstalować bezpłatny certyfikat SSL.

Powrót do góry

16. Usuń nieużywane motywy i wtyczki

Jeśli chodzi o wzmocnienie bezpieczeństwa WordPress, nie powinniśmy ignorować żadnego drobnego kroku, który może narazić Twoją witrynę na niebezpieczeństwo. 

Przez większość czasu właściciele witryn WordPress instalują różne motywy i wtyczki, aby sprawdzić, który motyw wygląda lepiej na ich stronie lub która wtyczka ma większą funkcjonalność. W porządku. Ale utrzymanie tych nieużywanych motywów i wtyczek powoduje, że Twoja witryna jest podatna na ataki.

Ponieważ utrzymanie wielu motywów i wtyczek WordPress wymaga regularnej aktualizacji, takiej jak ta, której używasz. Jeśli ich nie zaktualizujesz, stały się one podatne na ataki, a hakerzy mogą z łatwością wykorzystać Twoją witrynę za pomocą wrażliwych motywów i wtyczek. Poza tym utrzymywanie tak wielu motywów i wtyczek powoduje spowolnienie strony WordPress.

Dlatego zawsze należy usuwać nieużywane motywy i wtyczki w celu poprawy wydajności strony i bezpieczeństwa WordPress.

Aby usunąć nieużywaną wtyczkę, przejdź do Wtyczki> Zainstalowane wtyczki. Następnie znajdź wtyczkę, której już nie potrzebujesz. Najpierw dezaktywuj wtyczkę i kliknij Usunąć.

Usunięcie wtyczki WordPress

Podobnie, aby usunąć motyw, przejdź do Wygląd> Tematy i kliknij Szczegóły motywu. Następnie u dołu po prawej stronie kliknij Usunąć.

Usuń motyw

Powrót do góry

17. Wyłącz edytowanie plików w WordPress Dashboard

Domyślnie WordPress pozwala użytkownikom edytować plik motywu i wtyczki bezpośrednio z pulpitu nawigacyjnego WordPress. Jest to przydatna opcja dla użytkowników, którzy często muszą edytować motyw i plik wtyczki.

Edytor motywów WordPress

Jednak włączenie tej funkcji może być poważnym problemem bezpieczeństwa. Jeśli hakerzy uzyskują dostęp do Twojej witryny, zwykle pozostawiają ślad po wstrzyknięciu złośliwego kodu do plików witryny. Jeśli funkcja edycji plików WordPress jest włączona, hakerzy mogą łatwo wstrzykiwać złośliwy kod do motywu lub pliku wtyczki, który będzie dla Ciebie nieznany.

Aby poprawić bezpieczeństwo WordPress, musisz wyłączyć funkcję edycji plików na pulpicie WordPress. Wyłączenie edytora motywów i wtyczek WordPress w WordPress jest bardzo łatwym procesem.

Najpierw musisz zalogować się do swojego konta cPanel i przejść do folderu głównego swojej witryny WordPress. Stamtąd znajdź wp-config.php. Kliknij edytuj i dodaj następujący kod na końcu.

zdefiniować („DISALLOW_FILE_EDIT”, prawda);

Teraz zapisz plik i odśwież pulpit WordPress. Zobaczysz, że zniknęła opcja edytora motywów i wtyczek. Dzięki tej małej sztuczce możesz łatwo poprawić bezpieczeństwo WordPress.

Przeczytaj szczegółowy przewodnik na temat wyłączania edytora motywów i wtyczek w WordPress

Powrót do góry

18. Ochrona hasłem Strona logowania WordPress

Innym świetnym sposobem na poprawę bezpieczeństwa WordPress jest ochrona hasłem strony logowania WordPress.

Poprzez hasło chroniące twoją stronę logowania WordPress (/wp-login.php) lub administratora (https://cdn.wpmyweb.com/wp-admin), możesz uniemożliwić hakerom dostęp do twojej strony logowania, ponieważ wymaga to hasła, aby uzyskać dostęp do Strona logowania. Wymagane wyskakujące okienkoPo włączeniu tej funkcji witryna będzie monitować wszystkich użytkowników uzyskujących dostęp do strony logowania przy użyciu nazwy użytkownika i okna hasła. Krótko mówiąc, wszyscy użytkownicy muszą zalogować się dwukrotnie przy użyciu innej nazwy użytkownika i hasła, aby uzyskać dostęp do pulpitu administracyjnego WordPress.

W ten sposób możesz wzmocnić swoje bezpieczeństwo WordPress i dodać dodatkową warstwę bezpieczeństwa do swojej strony logowania.

Przeczytaj nasz szczegółowy przewodnik na temat ochrony hasłem strony logowania WordPress.

Powrót do góry

19. Wyłącz przeglądanie katalogów w WordPress

Domyślnie większość serwerów internetowych, takich jak Apache, NGINX i LiteSpeed, pozwala każdemu użytkownikowi przeglądać katalogi zawierające pliki i foldery WordPress. Mogą również zobaczyć, którego motywu i wtyczek używasz, i dowiedzieć się więcej o strukturze Twojej witryny.

Strona indeksu witryny WordPress

Te informacje mogą spowodować, że Twoja witryna WordPress będzie podatna na ataki i pomóc hakerowi, gdy spróbujesz zaatakować Twoją witrynę.

W celu zwiększenia bezpieczeństwa WordPress zalecamy wyłączenie tej opcji. Aby wyłączyć przeglądanie katalogów w WordPress, wystarczy dodać następujący wiersz do swojego .htacces plik.

Opcje Wszystkie -Indeksy

Aby uzyskać szczegółowe instrukcje, przeczytaj nasz przewodnik na temat wyłączania przeglądania katalogów w WordPress

Powrót do góry

20. Usuń wersję WordPress

Domyślnie WordPress automatycznie dodaje metatagi w różnych lokalizacjach wyświetlających używaną wersję WordPress.

Oto rzecz: jeśli hakerzy wiedzą, że używasz przestarzałej wersji WordPress, mogą wykorzystać Twoją witrynę poprzez znane luki występujące w starszej wersji WordPress.

Lepiej więc usunąć wersję WordPress, aby poprawić bezpieczeństwo WordPress. Istnieje kilka miejsc, w których WordPress dodaje metatagi, takie jak na pulpicie nawigacyjnym WordPress, w nagłówku, w stylu i javascript oraz w kanale RSS.

Usuwanie wersji WordPress z nagłówka i RSS

Aby usunąć wersję z nagłówka i kanału RSS, dodaj następujący wiersz na końcu swojego functions.php plik.

funkcja remove_wordpress_version () {
powrót ”;
}
add_filter (‘the_generator’, ‘remove_wordpress_version’);

Usuwanie numeru wersji WordPress ze skryptów i CSS

Aby usunąć wersję WordPress ze CSS i skryptów, dodaj następujący wiersz na końcu swojego functions.php plik.

// Wybierz numer wersji ze skryptów i stylów
funkcja remove_version_from_style_js ($ src) {
if (strpos ($ src, ‘ver =’. get_bloginfo (‘version’)))
$ src = remove_query_arg (‘ver’, $ src);
zwróć $ src;
}
add_filter (‘style_loader_src’, ‘remove_version_from_style_js’);
add_filter (‘script_loader_src’, ‘remove_version_from_style_js’);

Po zakończeniu zapisz plik functions.php.

Otóż ​​to. Dzięki tej prostej sztuczce z pewnością możesz poprawić swoje bezpieczeństwo WordPress. Zawsze jednak zalecamy regularne aktualizowanie wersji WordPress, a także motywu i wtyczek.

Aby uzyskać szczegółowe instrukcje, przeczytaj nasz przewodnik na temat ukrywania lub usuwania wersji WordPress

Powrót do góry

21. Zmień prefiks tabeli bazy danych WordPress

Podczas instalacji WordPress pyta, czy chcesz użyć innego prefiksu bazy danych. Zwykle pomijamy ten krok, więc WordPress automatycznie go używa (WP_) jako domyślny prefiks tabeli bazy danych. Zalecamy zmianę na coś mocnego i niepowtarzalnego.

Użycie domyślnego prefiksu (WP_) sprawia, że ​​baza danych WordPress jest podatna na ataki SQL injection. Takim atakom można zapobiec, zmieniając prefiks bazy danych (WP_) na coś unikalnego.

Po zainstalowaniu WordPressa możesz łatwo zmienić domyślny prefiks tabeli bazy danych za pomocą wtyczek lub ręcznie. Wtyczki takie jak BackupBuddy, Brozzme DB Prefix pozwala zmienić prefiks tabeli jednym kliknięciem.

Na potrzeby tego samouczka pokazuję, jak to zmienić za pomocą wtyczki Brozzme DB Prefix.

Uwaga: Zanim cokolwiek zrobisz z bazą danych, upewnij się, że wykonałeś kopię zapasową swojej witryny i bazy danych. Jeśli coś pójdzie nie tak, możesz przywrócić witrynę.

Najpierw zainstaluj i aktywuj Prefiks Brozzme DB podłącz. Z pulpitu nawigacyjnego WordPress przejdź do Przybory> Prefiks DB i wprowadź nową unikalną nazwę dla prefiksu bazy danych.

Prefiks Brozzme DB

Po wprowadzeniu nowego prefiksu kliknij Zmień prefiks DB.

W przypadku procesu ręcznego przeczytaj, jak zmienić prefiks tabeli bazy danych za pomocą phpMyAdmin

Powrót do góry

22. Używaj tylko zaufanych wtyczek WordPress

WordPress zawiera ponad 48 000 wtyczek. Nie oznacza to, że wszystkie wtyczki są przydatne i bezpieczne w użyciu.

Ponieważ w galerii wtyczek WordPress dostępnych jest wiele wtyczek, które nie są aktualizowane od dłuższego czasu i zwykle stają się podatne na atak. Poza tym nie uzyskasz żadnej pomocy, jeśli wtyczka zepsuje Twoją witrynę.

Przed użyciem dowolnej bezpłatnej wtyczki należy sprawdzić dwie ważne rzeczy,

  • Sprawdź, kiedy wtyczka była ostatnio aktualizowana: Jeśli wtyczka nie jest często aktualizowana lub nie jest już utrzymywana przez programistę wtyczek, należy unikać wtyczki.

Nieaktualna wersja wtyczki WordPress

  • Sprawdź, czy wtyczka ma maksymalne pozytywne oceny: Następną rzeczą jest sprawdzenie, czy wtyczka ma maksymalne pozytywne lub negatywne oceny. Jeśli wtyczka ma maksymalne negatywne oceny, nie należy jej używać.

WordPress Low Rated Plugin

Możesz także sprawdzić stronę Recenzje i Pomoc wtyczki, aby zobaczyć, co inni użytkownicy mówią o wtyczce.

Ale nie martw się. Istnieje wiele podobnych wtyczek dostępnych w galerii wtyczek WordPress.

Jeśli chcesz użyć wtyczki premium, nie musisz się tym martwić. Wtyczki premium są regularnie aktualizowane, a Ty otrzymasz 24-krotną pomoc od dewelopera wtyczek.

Powrót do góry

23. Wyłącz raportowanie błędów PHP

Innym świetnym sposobem na zwiększenie bezpieczeństwa WordPress jest wyłączenie raportu błędów PHP w WordPress. Wiele razy, gdy instalujesz przestarzałą wtyczkę lub motyw, możesz zobaczyć ostrzeżenie o błędzie PHP.

WordPress PHP Error WarningMoże jednak narazić Twoją witrynę na niebezpieczeństwo, jeśli hakerzy ją uzyskają, ponieważ pokazuje kod i lokalizację pliku. Aby zminimalizować ryzyko, możesz wyłączyć raportowanie błędów PHP w WordPress.

Wyłączenie ostrzeżenia o błędzie PHP w WordPress jest bardzo łatwe. Najpierw edytuj wp-config.php plik i znajdź wiersz zawierający ten kod:

Zdefiniuj („WP_DEBUG”, false);

Możesz zobaczyć „prawda” zamiast „fałszu”. Teraz zastąp wiersz następującym kodem.

ini_set („display_errors”, „Off”);
ini_set („raportowanie błędów”, E_ALL);
zdefiniuj („WP_DEBUG”, false);
zdefiniuj („WP_DEBUG_DISPLAY”, fałsz);

Zapisz plik i gotowe.

Zalecamy również korzystanie z aktualnych i dobrze ocenianych wtyczek, aby uniknąć tego rodzaju problemów.

Powrót do góry

24. Dodaj Bezpieczne nagłówki HTTP do WordPress

Innym doskonałym sposobem na wzmocnienie bezpieczeństwa WordPress jest dodanie bezpiecznych nagłówków HTTP do strony WordPress.

Gdy ktoś uzyskuje dostęp do Twojej witryny, przeglądarka wysyła żądanie do Twojego serwera internetowego. Następnie serwer WWW odpowiada na żądania wraz z nagłówkami HTTP. Te nagłówki HTTP przekazują informacje, takie jak kodowanie zawartości, kontrola pamięci podręcznej, typ zawartości, połączenie itp.

Dodając bezpieczne nagłówki odpowiedzi HTTP, możesz poprawić bezpieczeństwo WordPressa, a także zapobiec atakom i lukom w zabezpieczeniach.

Oto nagłówki HTTP poniżej:

  • HTTP Strict Transport Security (HSTS): HTTP Strict Transport Security (HSTS) zmusza przeglądarkę internetową do korzystania z bezpiecznych połączeń (HTTPS) tylko podczas komunikacji ze stroną internetową. Zapobiega to hakowaniu protokołu SSL, przechwytywaniu plików cookie, usuwaniu SSL itp.
  • Opcje ramki X: X-Frame-Options to rodzaj nagłówka HTTP, który określa, czy przeglądarka może renderować stronę internetową w ramce. Zapobiega to atakom typu „kliknięcie” i zapewnia, że ​​Twoja witryna nie jest osadzona w innych witrynach korzystających .
  • Ochrona X-XSS: Ochrona X-XSS jest wbudowaną funkcją przeglądarki Internet Explorer, Google Chrome, Firefox i Safari, która blokuje ładowanie stron, jeśli złośliwy skrypt został wstawiony przez użytkownika.
  • Opcje X-Content-Type: X-Content-Type-Options to rodzaj nagłówka odpowiedzi HTTP o wartości nosniff, który uniemożliwia przeglądarkom MIME wąchanie odpowiedzi od zadeklarowanego typu zawartości.
  • Polityka polecającego: Polityka stron odsyłających to nagłówek odpowiedzi HTTP, który zapobiega wyciekom stron odsyłających z różnych domen.

Aby dodać bezpieczne nagłówki HTTP w WordPress, wystarczy dodać następujące wiersze kodu do swojego .htaccess plik.

Zestaw nagłówka Strict-Transport-Security "maksymalny wiek = 31536000" env = HTTPS
Nagłówek zawsze dołącza opcje X-Frame SAMEORIGIN
Zestaw nagłówków Ochrona X-XSS "1; tryb = blok"
Zestaw nagłówka X-Content-Type-Type-nosniff
Header Referrer-Policy: no-referrer-when-downgrade

Sprawdź nagłówki bezpieczeństwa

Teraz idź do securityheaders.com aby sprawdzić, czy kody działają, czy nie. Nie dodaliśmy „Polityki bezpieczeństwa treści”, ponieważ może to uszkodzić Twoją witrynę. Wystarczy jednak, aby Twoja witryna WordPress była bezpieczna.

Powrót do góry

Wniosek

Istnieje wiele sposobów na zahartowanie Bezpieczeństwo WordPress takich jak: korzystanie z zarządzanego hostingu WordPress, stosowanie silnych haseł do kont, monitorowanie działań użytkowników, korzystanie z wtyczki bezpieczeństwa WordPress, implementacja SSL i HTTPS i wiele innych.

Trudne zabezpieczenia WordPress nie są rakietą. Możesz łatwo zabezpieczyć swoją witrynę WordPress, wdrażając najlepsze praktyki bezpieczeństwa WordPress, które udostępniliśmy w tym artykule. Wdrażając je, nie tylko zabezpieczysz swoją witrynę WordPress, ale także uniemożliwisz hakerom dostęp do Twojej witryny.

Po zakończeniu nie musisz martwić się o bezpieczeństwo WordPress. Co więcej, możesz być bardziej produktywny i wolny od wysiłku.

Teraz twoja kolej. Przeczytaj dokładnie artykuł i zaimplementuj je na swojej stronie. Będziesz szczęśliwy, że to zrobiłeś. ��

Czy przegapiliśmy jakieś ważne wskazówki dotyczące bezpieczeństwa WordPress, o których tu wspomnieć? daj nam znać w sekcji komentarzy.

Plansza bezpieczeństwa WordPress

WordPress-Security-Infographic-Small-Size

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map