Zabezpečení WordPress – 24 tipů, jak zabezpečit svůj web před hackery

04.06.2020
WordPress 'Zabezpečení WordPress – 24 tipů, jak zabezpečit svůj web před hackery
0 49 мин.

Zabezpečení WordPress by mělo být první prioritou při správě webových stránek. Navrhujete svůj web, publikujete obsah, prodáváte produkty online, ale pokud neberete zabezpečení WordPress vážně, může se váš web kdykoli hacknout. 


Každý den se 30 000 webových stránek hackne a více než 2 000 webových stránek se dostane na černou listinu společností Google. Nejste výjimkou. Pokud se vládní web může hacknout, tak proč ne váš?

Jednoho rána jste se probudili a uvidíte, že váš web WordPress je nepřístupný a vidíte náhodné zprávy jako,

„Váš web je hacknut xyzem“ – web je hacknut

„Web před námi obsahuje malware“ – blacklisted Google

To je to nejhorší, s čím se na svém webu můžete setkat.

Ale proč WordPress?

WordPress má více než 31% (80 milionů) celkových webových stránek na webu. Podle W3Techs, WordPress má 60% podíl na trhu CMS více než jiné platformy, což je docela solidní důvod pro přilákání hackerů.

Ale nepropadejte panice. Vytvrzování zabezpečení WordPress je velmi snadné a můžete to udělat také.

V tomto článku budu sdílet 24 nejlepších tipů zabezpečení WordPress na ochranu vašeho webu před hackery a malwarem.

“Proč nezmizí bránu do svého paláce, než ji objeví?” – WPMyWeb

Contents

Běžné problémy se zabezpečením WordPress

Než se podrobně věnujeme osvědčeným postupům zabezpečení WordPress, nejprve porozumíme několika běžným problémům se zabezpečením WordPress.

Mnoho uživatelů se domnívá, že WordPress není bezpečnou platformou pro podnikání, což není vůbec pravda. Důvodem je nedostatečná znalost zabezpečení WordPress, špatná správa systému, používání zastaralého softwaru WordPress a pluginů atd..

Mnoho začátečníků WordPress předpokládá, že vytvoření webu je konec a nevyžaduje žádnou údržbu. Takto necháte svůj web zranitelný.

Jakmile hackeři na vašem webu zjistí zranitelnost, mohou jej snadno využít.

Podívejme se na některé běžné problémy zabezpečení WordPress.

1. Útoky hrubou silou: 

Při útoku hrubou silou se používá automatizovaný skript ke generování různých kombinací uživatelských jmen a hesel. Hacker používá přihlašovací stránku WordPress ke spuštění útoku hrubou silou. 

Pokud používáte jednoduché uživatelské jméno a heslo, můžete být další obětí tohoto útoku.

2. Skriptování mezi weby (XSS):

Cross Site Scripting je typ útoku, při kterém útočníci vloží škodlivý kód / skript na důvěryhodný web. Tato metoda hackování je pro uživatele, kteří procházejí web, zcela neviditelná.

Tyto škodlivé skripty se načtou anonymně a ukradnou informace z prohlížeče uživatelů. I když uživatel vloží jakákoli data do jakékoli formy, mohou být data odcizena.

3. Injekce SQL:

WordPress používá databázi MySQL k ukládání informací o blogu.

SQL vstřikování nastane, když hackeři získají přístup k databázi WordPress. Hackováním databáze WordPress mohou hackeři vytvořit nový administrátorský účet s plným přístupem na vaše stránky.

Mohou také vkládat data do vaší databáze MySQL a přidávat odkazy na škodlivé nebo spamové weby.

4. Zadní vrátka:

Pod názvem „Back-door“ můžete pochopit, co to znamená. 

Backdoor je hackerská metoda, která umožňuje hackerům vstoupit na web tím, že obchází běžný proces ověřování a dokonce zůstane nezjištěno od vlastníka webu.

Po hacknutí webové stránky hackeři obvykle zanechají stopu, aby mohli na web znovu přistoupit, a to i když je hack odstraněn.

5. Pharma Hacks:

Hacks WordPress Pharma je druh spamu na webu, který vyplňuje výsledky vyhledávače obsahem nevyžádané lékárny, který je na webu zakázán, jako je Viagra, Nexium, Cialis atd..

Na rozdíl od jiných hacků WordPress jsou výsledky pharma hacků viditelné pouze pro vyhledávače. Zaseknutý hack tedy nelze zjistit pouhým prohlížením webu nebo zdrojového kódu.

Přejděte na Google a napište site: domain.com. Pokud výsledky vyhledávání zobrazují obsah vašeho webu (nikoli obsah lékárny), pak váš web není ovlivněn farmaceutickými hackery.

Cílem tohoto hacku je zneužít vaše nejcennější stránky přepsáním značky názvu škodlivými odkazy. Nemluvě o tom, že pokud tuto záležitost nezkontrolujete brzy, mohou vyhledávače jako Google, Bing zakázat váš web na poskytování škodlivého obsahu.

6. Škodlivá přesměrování:

Škodlivé přesměrování WordPress je druh hacků, kde jsou návštěvníci vašich stránek automaticky přesměrováni na spamové weby, jako jsou hazardní hry, porno, seznamovací weby. K tomuto hacknutí dochází, když je do souboru nebo databáze vašeho webu vložen škodlivý kód.

Pokud váš web přesměrovává návštěvníky na nezákonné nebo škodlivé weby, bude váš web pravděpodobně na černé listině Google.

Proč je zabezpečení WordPress důležité?

Váš web představuje vaši značku, vaše podnikání a co je nejdůležitější první kontakt s vašimi zákazníky.

Pravděpodobně vám trvalo několik let, než jsme se spoustou úsilí postavili své podnikání a rozšířili svůj provoz. Vaše publikum miluje vaše články a důvěřuje vašim produktům, proto s vámi udržují kontakt.

Pokud váš web WordPress není zabezpečený, existuje mnoho způsobů, jak to ovlivní váš web i vaše zákazníky. Hackeři mohou ukrást osobní údaje uživatele, hesla, údaje o kreditní kartě, informace o transakcích a mohou uživatelům distribuovat malware.

Pokud je váš web napaden hackery, zjistíte, že váš provoz drasticky klesá. Google navíc vaše webové stránky zablokuje.

Podle Blog Google, počet napadených webových stránek se v roce 2016 oproti roku 2015 zvyšuje přibližně o 20%.

Ve studii, Securi zprávy že Google blacklisty denně přes 10 000 webových stránek.

Pokud jste vážně o své firmě, musíte věnovat zvýšenou pozornost zabezpečení WordPress.

Zabezpečení WordPress

Nejlepší průvodce zabezpečením WordPress

  1. Získejte dobrý hosting WordPress
  2. Udržujte verzi WordPress aktualizovanou
  3. Nepoužívejte žádné Nulled / Cracked Theme nebo Plugin
  4. Používejte silná hesla
  5. Přidat (2FA) dvoufaktorové ověření
  6. Změňte přihlašovací URL WordPress
  7. Omezit pokus o přihlášení
  8. Pravidelně zálohujte svůj web
  9. Použijte plugin zabezpečení WordPress
  10. Automaticky se odhlásit nečinní uživatelé
  11. Přidání bezpečnostních otázek na přihlašovací stránku WordPress
  12. Změňte výchozí uživatelské jméno „admin“
  13. Přiřaďte uživatele k nejnižší možné roli
  14. Sledujte změny souborů a aktivity uživatelů
  15. Nainstalujte certifikát SSL
  16. Odstraňte nepoužívaná témata a doplňky
  17. Zakázat úpravy souborů na hlavním panelu WordPress
  18. Přihlašovací stránka WordPress chráněná heslem
  19. Zakázat procházení adresářů
  20. Odstraňte číslo verze WordPress
  21. Změnit předponu tabulky databáze WordPress
  22. Používejte pouze důvěryhodná témata a doplňky WordPress
  23. Zakázat hlášení chyb PHP
  24. Přidejte do WordPress zabezpečené záhlaví HTTP

Jste připraveni? Začněme.

1. Získejte dobrý hosting WordPress

Hosting WordPress hraje hlavní roli, pokud jde o zlepšení zabezpečení WordPress.

Platíte za hostingové služby a váš web zůstává pod jejich kontrolou. Proto byste měli být opatrní před výběrem dobrého hostování WordPress pro svůj web.

Sdílený hosting jako A2Hosting, Bluehost atd. Jsou nejlepší hostingové možnosti pro provozování blogu s nízkou návštěvností. Ale ve sdíleném hostování bude vždy existovat šance na kontaminaci na různých místech.

K kontaminaci napříč weby dochází, když je hacker schopen přistupovat k webovému serveru prostřednictvím zranitelné webové stránky a poté využít všechny ostatní weby na stejném webovém serveru..

Doporučujeme použít spravovaného poskytovatele hostingu WordPress. Spravované hostingové společnosti WordPress poskytují vícevrstvé možnosti zabezpečení webových stránek. Jejich hostitelské platformy jsou vysoce zabezpečené a nabízejí denní skenování malwaru a zabraňují jakýmkoli vnějším útokům. Pokud přesto na svém serveru najdou malware, přebírají odpovědnost a okamžitě jej odstraní.

Nabízejí také denní zálohy, bezplatný SSL certifikát, odbornou podporu 24 × 7.

Doporučujeme hostující společnost WordPress spravovanou WPEngine. Nabízejí několik vrstev zabezpečení, které chrání váš web WordPress. S jejich plánem získáte denní zálohy, bezplatné SSL, globální CDN a 24 × 7 odbornou podporu.

Návštěva WPEngine. [Slevový kód přidán v tomto odkazu]

Zpět na začátek

2. Udržujte verzi WordPress aktualizovanou

Aktualizace webu WordPress je dobrou bezpečnostní praxí pro posílení zabezpečení WordPress. Tato aktualizace zahrnuje verzi WordPress, pluginy a motivy.

V nedávné studii, Securi analyzoval že 56% z celkového počtu infikovaných webů WordPress bylo dosud zastaralých. Pokud jste jedním z nich, jste v nebezpečí.

Každý den jsou objevena nová zranitelná místa a neexistuje způsob, jak je zastavit. Zastaralý software a doplňky mohou obsahovat chyby zabezpečení, které hacker může použít k zneužití webu.

S každou aktualizací vývojáři zahrnují nové funkce, oprava bezpečnostních děr, opravy chyb atd. Stejně jako u softwaru WordPress, musíte také aktualizovat témata a pluginy WordPress..

Dobré je, že WordPress automaticky rozšiřuje své aktualizace a upozorňuje své uživatele.

Aktualizace verze WordPress, zásuvných modulů a témat je velmi snadná a můžete tak učinit pomocí administračního panelu WordPress.

Jak aktualizovat WordPress, pluginy a motivy?

Nejprve se přihlaste ke svému panelu WordPress a přejděte na Přístrojová deska> Aktualizace. Zde uvidíte, zda je k dispozici nová aktualizace.

Poznámka: Před aktualizací verze WordPress si vytvořte úplnou zálohu vašich souborů a databáze. V případě, že dojde k chybě, můžete svůj web snadno obnovit na předchozí verzi. Svůj web můžete snadno zálohovat a obnovit pomocí BlogVault pouhým kliknutím.

Na stránce uvidíte „K dispozici je aktualizovaná verze WordPress“. Klikněte na Nyní aktualizovat tlačítko pro aktualizaci verze WordPress, tento proces může trvat několik sekund.

Po dokončení aktualizace přejděte dolů a aktualizujte své doplňky WordPress. Doporučujeme aktualizovat pluginy jeden po druhém. Nejprve vyberte plugin a klikněte na Aktualizujte doplňky.

Podobným způsobem aktualizujte níže uvedená témata.

Aktualizujte WordPress z Dashboard

Proces aktualizace je však pro některé uživatele trochu složitější, zejména pro ty, kteří nejsou technicky zdatní.

Někteří poskytovatelé spravovaných služeb WordPress, jako jsou SiteGround, Kinsta, FlyWheel, poskytují automatická aktualizace Vlastnosti. Takže, pokud jste v zaneprázdněném plánu nebo líný aktualizovat, mohlo by to být užitečné.

Přečtěte si také, Jak ručně aktualizovat verzi WordPress, pluginy a témata

Zpět na začátek

3. Nikdy nepoužívejte žádná Nulled / Cracked Themes and Plugins

Není divu, že prémiové pluginy a témata obsahují více funkcí a vypadají profesionálně. Ale žádný z prémiových produktů není zdarma. Přichází s cenou a po zakoupení jakýchkoli prémiových produktů musí uživatelé pro aktivaci produktu zadat kód Product Key.

Existuje však mnoho škodlivých webových stránek, které poskytují prémiová témata a doplňky zdarma. Tato prasklá témata a doplňky nevyžadují aktivaci sériového klíče a nikdy se neaktualizují.

Mám na mysli toto:

Příklad Nulled WordPress Plugin

Tato nulová témata a doplňky jsou pro váš web velmi nebezpečné. Hackeři do něj speciálně vkládají škodlivé kódy a vytvářejí pro vaše stránky zadní vrátka. Takže mohou snadno přistupovat k vašemu webu a hacknout váš web včetně databáze.

Nikdy tedy nepoužívejte žádné vynucené nebo prasklé motivy a doplňky WordPress.

Důrazně doporučujeme, abyste si stáhli bezplatná témata nebo pluginy pouze z WordPress.org.

Chápeme, že bezplatné téma nebo plugin má velmi omezené funkce. Tato bezplatná témata nebo doplňky jsou však bezpečné a pravidelně se aktualizují.

Přečtěte si také 7 nejlepších prémiových blogů pro WordPress

Zpět na začátek

4. Používejte silná hesla

Heslo je primární klíč pro přístup na váš web WordPress. Pokud je to jednoduché a krátké, hackeři mohou snadno prolomit vaše heslo. Přes 80% hackerských porušení kvůli slabému nebo odcizenému heslu.

V nedávné studii, SplashData odhalena 100 nejhorších hesel roku 2017.

Zde je několik z nich:

  1. 123456
  2. Heslo
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. pusť mě dovnitř
  8. 1234567
  9. Fotbal
  10. Miluji tě
  11. admin
  12. Vítejte
  13. opice (lol)

Pokud je vaše heslo jednoduché jako výše, okamžitě jej změňte. Heslo dobré síly by mělo být alespoň 10 číslic a mělo by obsahovat velká písmena, malá písmena, číslo a speciální znaky.

Můžete použít nástroj pro generování hesel online okamžitě vytvořit tisíce zabezpečených hesel.

Je také nutné uložit heslo do počítače.

Chcete-li to usnadnit, můžete pomocí softwaru správce hesel spravovat všechna vaše hesla, jako je LastPass, Dashlane atd.

Vynucení silného hesla pro uživatele

Ve výchozím WordPress nepřichází s funkcí, která zabraňuje uživatelům v zadávání slabých hesel. Uživatelé většinou nastavili pro svůj účet slabé heslo a stěží jej změnili.

Pokud používáte blog pro více uživatelů WordPress, měli byste uživatele nutit, aby používali silné heslo.

Pro usnadnění tohoto procesu můžete použít plugin. Nainstalujte a aktivujte Vynutit silná hesla plugin a máte hotovo. To zabrání uživatelům a dokonce i správcům zadávat slabé heslo.

Zpět na začátek

5. Přidejte dvoufaktorové ověření (2FA) 

Další jednoduchou metodou pro zvýšení zabezpečení WordPress je přidání dvoufaktorové autentizace (2FA) na přihlašovací stránku WordPress. V zásadě je dvoufaktorové ověření nebo dvoufázové ověření proces zabezpečení, který vyžaduje dvě metody k ověření vaší identity.

Ve výchozím nastavení obvykle přihlašujeme uživatelské jméno a heslo k přihlášení na web. Přidání dvoufaktorové autentizace bude vyžadovat další proces ověřování, jako je aplikace pro chytré telefony, abyste ověřili proces autentizace.

Pokud tedy někdo zná vaše uživatelské jméno a heslo, potřebuje chytrý telefon, aby získal ověřovací kód pro přihlášení k vašemu webu.

Přidáním dvoufaktorové autentizace nejen zajistíte svou přihlašovací stránku WordPress, ale také zabráníte útokům hrubou silou.

Dvojfaktorovou autentizaci můžete snadno povolit pomocí pluginu Google WordPress pro dvoufaktorový ověřovač Google.

Po aktivaci přejděte na Uživatelé> Uživatelský profil a aktivujte plugin.

Nastavení Google Authenticator

Poté si z telefonu stáhněte aplikaci pro ověřování Google a naskenujte čárový kód nebo zadejte Tajný kód (viz obrázek výše) ze svého webu a přidejte svůj web.

Po přidání se odhlaste ze svého webu. Na přihlašovací stránce se zobrazí další pole, ve kterém musíte zadat ověřovací kód z mobilní aplikace Google Authenticator.

Pole Google Authenticator

Podrobné pokyny naleznete v příručce o tom, jak přidat dvoufaktorovou autentizaci Google na přihlašovací stránce WordPress.

Zpět na začátek

6. Změňte adresu URL přihlašovací stránky WordPress

Ve výchozím nastavení může kdokoli přistupovat k vaší přihlašovací stránce jednoduše přidáním „wp-admin“ nebo „wp-login.php“ na konec názvu vaší domény, například: „domain.com/wp-admin“ nebo „domain.com/ wp-login.php ”.

Hádej co! Hackeři mohou pomocí své přihlašovací stránky spustit útok brutální síly. Pokud používáte velmi jednoduché heslo, mohou hackeři snadno crackovat vaše heslo a vstoupit na váš web.

Ale co když nevědí, kam zaútočit? Ano, uhodli jste to správně.

Pokud skryjete nebo přejmenujete adresu URL své přihlašovací stránky, hackeři nebudou moci spustit útok hrubou silou.

V aplikaci WordPress můžete snadno skrýt nebo přejmenovat svou přihlašovací stránku pomocí pluginu. Z galerie pluginů WordPress nainstalujte a aktivujte WPS Skrýt přihlášení zapojit.

Po aktivaci přejděte na Nastavení> Všeobecné a dole najdete Možnost skrýt přihlášení WP.

WPS Skrýt nastavení přihlášení

Jednoduše změňte přihlašovací adresu URL “přihlásit se” na něco jiného, ​​co je těžké uhodnout a kliknout Uložit změny.

Po dokončení si vytvořte záložku nové přihlašovací stránky a máte hotovo.

Zpět na začátek

7. Omezte pokus o přihlášení

Ve výchozím nastavení WordPress neomezuje počet pokusů o přihlášení prostřednictvím přihlašovacího formuláře. To znamená, že kdokoli ví, vaše přihlašovací adresa URL může vyzkoušet přihlašovací funkci tolikrát, kolikrát chtějí. Tímto způsobem hackeři provedou útok hrubou silou, aby rozbili vaše „uživatelské jméno“ a „heslo“ pro přístup na váš web.

Omezením pokusů o přihlášení můžete zpřísnit zabezpečení WordPress a chránit přihlašovací stránku před útoky brutální síly.

Můžete nastavit maximální počet nesprávných pokusů o přihlášení, které může uživatel provést ze stejné adresy IP. Pokud uživatel překročí limity, bude IP adresa uživatele po určitou dobu blokována.

Chcete-li omezit pokusy o přihlášení do WordPress, nainstalujte Přihlášení LockDown zapojit. Po aktivaci přejděte na Nastavení> Přihlášení LockDown pro konfiguraci pluginu.

Nastavení LockDown přihlášení

Podrobné pokyny naleznete v našem průvodci, jak omezit pokusy o přihlášení v programu WordPress

Zpět na začátek

8. Pravidelně zálohujte svůj web

Zálohy jsou jako Time Machine. Pokud ji máte, váš web je v bezpečí.

Zálohy webu však váš web nechrání před hackery, ale pomůže vám obnovit váš web.

Pokud se například na webu během aktualizace něco pokazí nebo je váš web napaden hackerem, jak svůj web opravit znovu? Pravděpodobně ztratíte svůj web.

Pokud však máte zálohy na svém webu, můžete jej snadno obnovit dříve, než dojde k jeho napadení nebo selhání.

Proto vám důrazně doporučujeme použít spolehlivý záložní plugin WordPress. Mnoho hostingových společností však nabízí bezplatné zálohování webových stránek, ale v případě katastrofického selhání mohou zaručit dostupnost vašeho webu. Musíte tedy uložit zálohy na vzdálené místo, jako je Disk Google, Amazon S3, Dropbox atd.

Naštěstí to lze provést pomocí záložního pluginu BlogVault nebo BackUpBuddy WordPress. Oba nabízejí denní zálohy a obnovení jedním kliknutím. Můžete také vytvořit pracovní místo bez dalších nákladů.

Zpět na začátek

9. Použijte doplněk zabezpečení WordPress

Další věc, kterou potřebujete pro kalení Zabezpečení WordPress je bezpečnostní plugin. K dispozici je mnoho bezpečnostních pluginů WordPress, které zamknou váš web před hackery a malwarem.

Doplňky zabezpečení WordPress detekují a odstraní malware, pokud je přítomen na vašem webu. Kromě toho monitorují aktivitu uživatelů v reálném čase, upozorňují vás, pokud se něco změnilo, pokud plugin obsahuje malware, blokuje přenos spamu a mnoho dalších.

Doporučujeme bezpečnostní plugin Securi WordPress. Securi Security nabízí různé typy bezpečnostních funkcí, jako je audit bezpečnostních aktivit, sledování webových stránek, webový firewall,  a mnoho dalších.

Securi

Nejlepší věc na serveru Securi je, že pokud váš web během používání služby Google napadne nebo zakáže blacklist, zaručí, že váš web opraví..

Většina odborníků na zabezpečení WordPress účtuje za opravu napadeného webu více než 300 dolarů, zatímco všechny bezpečnostní služby získáte pouze 199 $ za rok. Je to dobrá investice pro zvýšení zabezpečení WordPress.

Zpět na začátek

10. Automatické odhlášení nečinných uživatelů

Pokud uživatel zůstane nečinný nebo neaktivní na vašem webu příliš dlouho, může to způsobit útok hrubou silou.

Pokud uživatel zůstane příliš dlouho neaktivní, mohou hackeři použít neautorizovaný přístup k vašemu webu pomocí metody souborů cookie nebo únosů relací. To je důvod, proč většina vzdělávacích a finančních webů, jako jsou bankovní a platební brány, používá funkci časového limitu relace uživatele. Když tedy uživatel odejde ze stránky a po určité době neinteraguje, web automaticky odhlásí neaktivní uživatele.

Stejná funkce, kterou můžete přidat na svůj web WordPress pro zlepšení zabezpečení WordPress. Přidání automatického odhlášení nečinných uživatelů na WordPress je velmi jednoduché. Vše, co potřebujete k instalaci pluginu.

Nejprve si stáhněte a nainstalujte Neaktivní odhlášení Doplněk WordPress. Pak ji aktivujte a jděte na Nastavení> Neaktivní odhlášení pro konfiguraci pluginu.

Neaktivní nastavení pluginu odhlášení

Z nastavení můžete změnit časový limit nečinnosti. Po uplynutí této doby budou všichni uživatelé na vašem webu automaticky odhlášeni.

Můžete také změnit zprávu o nečinnosti a podle potřeby upravit další nastavení.

Po dokončení klikněte na Uložit změny pro uložení nastavení.

Podrobné pokyny naleznete v našem průvodci o tom, jak se automaticky odhlásit nečinní uživatelé ve WordPressu

Zpět na začátek

11. Přidejte bezpečnostní otázky na přihlašovací stránku WordPress

Přidáním bezpečnostních otázek na svou přihlašovací stránku WordPress budete nejen chránit svou přihlašovací stránku WordPress, ale také zvyšovat zabezpečení WordPress.

Bezpečnostní otázka přidává další vrstvu zabezpečení pro další ověření vaší identity během přihlášení. To je velmi užitečné, pokud používáte blog s více autory WordPress..

Pokud bylo odcizeno některé z vašich uživatelů nebo heslo, může vám otázka zabezpečení zachránit život.

Vzhledem k tomu, že uživatelské jméno a heslo lze snadno napadnout, je téměř nemožné zvolit správnou bezpečnostní otázku a odpověď. Tímto způsobem můžete uložit svou přihlašovací stránku WordPress před hackery a útoky brutální síly.

Chcete-li přidat bezpečnostní otázku na přihlašovací stránku WordPress, nainstalujte Bezpečnostní otázka WP zapojit.

Nastavení otázek zabezpečení WP

Po aktivaci přejděte na Bezpečnostní otázky WP > Nastavení pluginu pro konfiguraci pluginu.

Ve výchozím nastavení má plugin přidáno mnoho běžných otázek. Ze seznamu však můžete přidat nebo odebrat jakékoli bezpečnostní otázky.

Ve spodní části můžete povolit bezpečnostní otázku na přihlašovací stránce, stránce registrace a zapomenutého hesla. Po nakonfigurování pluginu nezapomeňte kliknout Uložit nastavení.

Poznámka: Během registrace si mohou nastavit bezpečnostní otázku a odpověď pouze noví uživatelé. Registrovaní uživatelé tedy musí ručně nastavit vlastní bezpečnostní otázku a odpověď. Můžete také nastavit bezpečnostní otázku a odpovědět na ně. To lze provést z internetu Uživatelský profil stránka.

Často přidejte bezpečnostní otázky WP

Podrobné pokyny naleznete v naší příručce o tom, jak přidat bezpečnostní otázky na přihlašovací stránku WordPress

Zpět na začátek

12. Změňte výchozí uživatelské jméno „Správce“

Po instalaci WordPress můžete změnit své heslo kolikrát budete chtít. Můžete však své uživatelské jméno změnit, jakmile je nastaveno? Ne, správně?

Ve výchozím WordPress neumožňuje uživatelům měnit uživatelské jméno. Ale proč byste to měli změnit?

Pokud používáte velmi běžné uživatelské jméno jako „admin“, mohou hackeři pomocí vašeho uživatelského jména spustit hrubou sílu připojení.

Ale nepropadejte panice. Existuje několik způsobů, jak snadno změnit svůj WordPress.

Pro zjednodušení procesu však použijeme plugin. Nejprve si stáhněte a nainstalujte měnič uživatelských jmen zapojit. Pak jděte na Uživatelé> Tvůj profil a najděte možnost uživatelského jména. Tam najdete možnost „Změnit uživatelské jméno“.

Změnit uživatelské jméno WordPress

Klikněte na Změnit uživatelské jméno a zadejte své nové uživatelské jméno. Po dokončení klikněte na Aktualizovat profil.

Pokud chcete změnit své uživatelské jméno ručně (bez pluginu), podívejte se na článek 3 různé způsoby, jak změnit uživatelské jméno WordPress.

Zpět na začátek

13. Přiřaďte uživatele k nejnižší možné roli

Pokud provozujete web WordPress s více autory, musíte být před přiřazením role uživateli opatrní.

Majitelé webů WordPress mnohokrát přidělují novým uživatelům vyšší roli uživatelů, tímto způsobem dáváte uživatelům všechna oprávnění a v důsledku toho může každý uživatel provádět libovolný úkol bez ohledu na to, jak chce.

Pokud například nevíte, co může role uživatele editoru provádět, a roli přiřadíte běžnému uživateli, pak může uživatel smazat všechny vaše příspěvky, upravovat odkazy, vytvářet spamové příspěvky, přidávat do svého blogu škodlivé odkazy. příspěvky. Takto může uživatel snadno zničit váš web.

Ve výchozím nastavení obsahuje WordPress 5 různých uživatelských rolí.

  • Správce
  • Editor
  • Autor
  • Přispěvatel
  • Odběratel
  1. Správce: Správci jsou nejsilnější uživatelskou rolí na webu WordPress. Mohou vytvářet, upravovat a mazat uživatelský účet, mohou provádět jakýkoli úkol na administračním panelu WordPress, mít kontrolu nad celou oblastí obsahu a také moderovat komentáře. 
  2. Editor: Uživatelé s rolí Editor mají plnou kontrolu nad celým obsahem. Mohou vytvářet, upravovat a mazat jakékoli příspěvky, včetně příspěvků vytvořených jinými uživateli. Mohou také moderovat komentáře a upravovat odkazy.
  3. Autor: Autoři mohou publikovat, upravovat nebo mazat pouze své vlastní příspěvky. Mohou nahrát mediální soubory, které mohou použít do svých příspěvků. Mohou si prohlížet komentáře, ale nemohou je schvalovat ani mazat.
  4. Přispěvatel: Uživatelé s rolí Přispěvatel mohou psát, upravovat nebo mazat pouze svůj nepublikovaný příspěvek, ale nemohou publikovat svůj vlastní příspěvek.
  5. Odběratel: Odběratelé mohou upravovat pouze informace o svém účtu včetně hesla, ale nemají přístup k nastavení obsahu nebo webu. Mají nejnižší možnosti na webu WordPress.

Po pochopení uživatelských rolí WordPress je můžete snadno spravovat bez rizika.

Doporučujeme také nastavit jako předplatitele novou výchozí roli uživatele. Jdi do nastavení> Obecná nastavení az jejich sady Nová výchozí role uživatele Odběratel a klikněte na Uložit změny.

WordPress Nová výchozí role uživatele

Další informace naleznete v Příručce pro začátečníky k uživatelským rolím a schopnostem WordPress

Zpět na začátek

14. Sledujte změny souborů a činnosti uživatelů

Dalším chytrým způsobem, jak posílit zabezpečení WordPress, je sledování činností uživatelů a změn souborů. 

Pokud provozujete web WordPress pro více uživatelů, měli byste sledovat chování uživatelů, abyste lépe porozuměli, jaké jsou jejich aktivity na webu WordPress..

Kdo ví, zda uživatel dělá nějakou podezřelou práci nebo se pokouší hacknout váš web? Jak to můžete vědět?

Jediným způsobem, jak sledovat aktivity uživatelů a změny souborů, je použití pluginu WordPress uživatelské aktivity. Pomocí pluginu aktivity uživatele ve WordPress můžete:

  • zjistit, kdo je přihlášen a co dělají v reálném čase
  • když se uživatel přihlásí a odhlásí
  • kolikrát se uživatel pokusil přihlásit, ale selhal

Kromě toho, pokud editor provedl nějaké změny v příspěvku nebo stránce bez vašeho svolení, můžete jej snadno najít a vrátit zpět. Dobrá věc na zásuvném modulu pro aktivitu uživatele je, že vám okamžitě pošle e-mailové upozornění, pokud se něco pokazí.

Protokol WP Security Audit Log je nejlepším doplňkem pro monitorování činností uživatelů a změn souborů v reálném čase. Zde je snímek obrazovky, jak plugin funguje.

Prohlížeč záznamů protokolu WordPress

Přečtěte si také 5 nejlepších pluginů pro sledování aktivity uživatelů ve WordPress (alternativní pluginy)

Zpět na začátek

15. Implementujte SSL a HTTPS

Zabezpečení WordPress bez certifikátu SSL nelze vylepšit. Páteří zabezpečení webu je SSL (Secure Socket Layer).

SSL je standardní bezpečnostní technologie, která vytváří šifrovaná spojení mezi serverem a webovým prohlížečem v online komunikaci, jako je online transakce. Všechna citlivá data, jako jsou hesla, údaje o kreditní kartě atd., Tedy procházejí šifrovanými odkazy.

Pokud provozujete internetový obchod nebo blog, na kterém přijímáte platby, je nutný certifikát SSL. Udrží vaše data v bezpečí před hackery. U internetových obchodů nebo webů WooCommerce stojí certifikát SSL přibližně 20 až 170 USD.

V případě, že používáte blog WordPress, nepotřebujete placený certifikát SSL. Pokud používáte cPanel hosting jako SiteGround, WPEngine, můžete si certifikát SSL nainstalovat zdarma jediným kliknutím.

Nejprve se přihlaste ke svému hostitelskému účtu cPanel a přejděte na Bezpečnostní.  (Zde je snímek obrazovky níže z hostování programu SiteGround cPanel.)

SG SSL

Přejít na Správce SSL / TLS a klikněte na Nainstalujte certifikát SSL. Na stránce vyberte svou doménu a klikněte na Automatické vyplňování podle domény. Proces je automatický, takže nemusíte nic upravovat ani upravovat.

Nainstalovat certifikát SSL pro web

Nyní klikněte na Nainstalujte certifikát tlačítko pro dokončení procesu nastavení.

Jakmile to uděláte, přihlaste se ke svému administrátorskému panelu WordPress a upravte adresu URL svého webu. Jít do Nastavení> Všeobecné a před adresu URL webu přidejte nahradit HTTP protokolem HTTPS. Zde je snímek obrazovky níže.

WP HTTPS

Po aktualizaci klikněte na Uložit změny.

Jak přesměrovat HTTP na HTTPS ve WordPress

Pokud máte správně nainstalovaný certifikát SSL, je váš web přístupný pomocí protokolu HTTPS.

Pokud však do adresního řádku prohlížeče zadáte pouze název svého webu (tj. Doména.com), může se na stránce zobrazit zpráva „Připojení není zabezpečeno“. To znamená, že váš web je přístupný pomocí protokolu HTTP.

Chcete-li problém vyřešit, musíte vynutit HTTPS ve WordPress, aby se váš web načítal pouze pomocí HTTPS. Můžete snadno vynutit HTTPS ve WordPressu.

Nejprve se přihlaste do svého hostitele cPanel a přejděte do kořenové složky svého webu a najděte .htaccess soubor. Upravte soubor .htaccess a na konci přidejte následující kód.

PřepsatEngine zapnuto
Vypište% {HTTPS}
RewriteRule ^ (. *) $ Https: //% {HTTP_HOST}% {REQUEST_URI} [L, R = 301]

Uložte soubor a máte hotovo. Nyní je váš web přístupný pouze pomocí protokolu HTTPS.

Pokud poskytovatel webhostingu neposkytuje bezplatný certifikát SSL, můžete certifikát SSL nainstalovat ručně. Zde je návod, jak nainstalovat bezplatný certifikát SSL.

Zpět na začátek

16. Odstraňte nepoužitá témata a doplňky

Když dojde na zvýšení zabezpečení WordPress, neměli bychom ignorovat žádný malý krok, který by váš web mohl ohrozit. 

Majitelé stránek WordPress většinou instalují různá témata a pluginy, aby otestovali, které téma na jejich webu vypadá lépe nebo který plugin má více funkcí. To je v pořádku. Díky zachování těchto nepoužitých témat a pluginů bude váš web zranitelný.

Protože udržování mnoha témat a pluginů WordPress je třeba pravidelně aktualizovat, jako to, které používáte. Pokud je neaktualizujete, stali se zranitelnými a hackeři mohou váš web snadno zneužít prostřednictvím zranitelných témat a pluginů. Kromě toho udržení tolika témat a pluginů zpomalí web WordPress.

Proto byste měli vždy odstranit nepoužitá témata a plugin pro zvýšení výkonu webu a zabezpečení WordPress.

Chcete-li odstranit nepoužitý plugin, přejděte na Pluginy> Nainstalované doplňky. Pak najděte plugin, který již nepotřebujete. Nejprve deaktivujte plugin a klikněte na Odstranit.

Odstranění pluginu WordPress

Chcete-li téma odstranit, přejděte také na Vzhled> Témata a klikněte na Podrobnosti motivu. Poté v dolní části pravé strany klikněte na Odstranit.

Smazat motiv

Zpět na začátek

17. Zakažte úpravy souborů v panelu WordPress

Ve výchozím nastavení umožňuje WordPress uživatelům upravovat soubor témat a pluginů přímo z dashboardu WordPress. Toto je užitečná volba pro uživatele, kteří často potřebují upravit soubor motivu a pluginu.

Editor témat WordPress

Zachování této funkce však může představovat závažný bezpečnostní problém. Pokud hackeři přistupují na váš web, obvykle zanechají stopu vložením škodlivého kódu do souborů na webu. Pokud je povolena funkce pro úpravy souborů WordPress, mohou hackeři snadno vložit škodlivý kód do vašeho motivového nebo zásuvného souboru, který vám nebude znám..

Chcete-li zvýšit zabezpečení aplikace WordPress, je třeba na ovládacím panelu WordPress vypnout funkci úpravy souborů. Zakázání editoru témat a pluginů WordPress ve WordPress je velmi snadný proces.

Nejprve se musíte přihlásit ke svému hostitelskému účtu cPanel a jít do kořenové složky svého webu WordPress. Odtud najděte wp-config.php. Klikněte na upravit a na konec přidejte následující kód.

define (‘DISALLOW_FILE_EDIT’, true);

Nyní soubor uložte a aktualizujte řídicí panel WordPress. Uvidíte, že volba editoru motivu a pluginu je pryč. Pomocí tohoto malého triku můžete snadno vylepšit zabezpečení WordPress.

Přečtěte si podrobného průvodce o tom, jak zakázat editor motivů a pluginů ve WordPressu

Zpět na začátek

18. Heslo Chraňte přihlašovací stránku WordPress

Dalším skvělým způsobem, jak zlepšit zabezpečení WordPress, je chránit přihlašovací stránku WordPress heslem.

Heslem chránícím přihlašovací stránku WordPress (/wp-login.php) nebo admin (https://cdn.wpmyweb.com/wp-admin) můžete hackerům zabránit v přístupu na přihlašovací stránku, protože k přístupu na přihlašovací stránka. Vyžaduje vyskakovací oknoJakmile tuto funkci povolíte, váš web vyzve všechny uživatele, kteří vstupují na přihlašovací stránku, s uživatelským jménem a heslem. Stručně řečeno, všichni uživatelé se musejí přihlásit dvakrát s jiným uživatelským jménem a heslem, než přistoupí k ovládacímu panelu WordPress.

Tímto způsobem můžete posílit zabezpečení WordPress a přidat další vrstvu zabezpečení na svou přihlašovací stránku.

Přečtěte si naši podrobnou příručku o tom, jak chránit přihlašovací stránku WordPress heslem.

Zpět na začátek

19. Zakažte procházení adresářů ve WordPress

Ve výchozím nastavení většina webových serverů, jako jsou Apache, NGINX a LiteSpeed, umožňuje každému uživateli procházet adresáře, které obsahují soubory a složky WordPress. Mohou také vidět, jaké téma a doplňky používáte, a dozvědět se více o struktuře vašich webových stránek.

Indexová stránka webu WordPress

Tyto informace mohou vést k zranitelnosti vašeho webu WordPress a pomoci hackerovi při pokusu o kompromitaci vašeho webu.

Chcete-li zvýšit zabezpečení WordPress, doporučujeme tuto možnost vypnout. Chcete-li zakázat procházení adresářů ve WordPressu, jednoduše přidejte následující řádek do svého .htacces soubor.

Možnosti Všechny – Indexy

Podrobné pokyny naleznete v naší příručce o tom, jak zakázat procházení adresářů ve WordPressu

Zpět na začátek

20. Odstraňte verzi WordPress

Ve výchozím nastavení WordPress automaticky přidá metaznačky do různých umístění, která zobrazují verzi WordPress, kterou používáte.

Zde je věc: pokud hackeři vědí, že používáte zastaralou verzi WordPress, mohou váš web využít ke známým zranitelnostem, které se vyskytují ve starší verzi WordPress..

Je tedy lepší odebrat verzi WordPress, aby se zvýšila bezpečnost WordPress. Existuje několik míst, kde WordPress přidává metaznačky, jako je na hlavním panelu WordPress, v záhlaví, ve stylu a javascriptu a do kanálu RSS.

Odebrání verze WordPress ze záhlaví a RSS

Chcete-li odebrat verzi ze záhlaví a RSS, přidejte na konec svého řádku následující řádek function.php soubor.

function remove_wordpress_version () {
vrátit se ”;
}
add_filter (‘the_generator’, ‘remove_wordpress_version’);

Odebrání čísla verze WordPress ze skriptů a CSS

Chcete-li odebrat verzi WordPress z CSS a skriptů, přidejte na konec svého řádku následující řádek function.php soubor.

// Vyberte číslo verze ze skriptů a stylů
function remove_version_from_style_js ($ src) {
if (strpos ($ src, ‘ver =’. get_bloginfo (‘version’)))
$ src = remove_query_arg (‘ver’, $ src);
return $ src;
}
add_filter (‘style_loader_src’, ‘remove_version_from_style_js’);
add_filter (‘script_loader_src’, ‘remove_version_from_style_js’);

Po dokončení uložte soubor features.php.

A je to. S tímto jednoduchým trikem můžete jistě zlepšit zabezpečení WordPress. Vždy však doporučujeme pravidelně aktualizovat verzi WordPressu, téma a pluginy.

Podrobné pokyny naleznete v naší příručce, jak skrýt nebo odebrat verzi WordPress

Zpět na začátek

21. Změňte předponu tabulky databáze WordPress

Během instalace WordPress se zeptá, zda chcete použít jinou předponu databáze. Tento krok obvykle přeskočíme, takže WordPress automaticky používá (WP_) jako výchozí předpona tabulky databáze. Doporučujeme vám to změnit něco silného a jedinečného.

Použitím výchozí předpony (WP_) je vaše databáze WordPress náchylná k útokům s injekcí SQL. Takovým útokům lze zabránit změnou předpony databáze (WP_) na něco jedinečného.

Po instalaci WordPress můžete snadno změnit výchozí předponu databázové tabulky pomocí pluginů nebo ručně. Pluginy jako BackupBuddy, Brozzme DB Prefix vám umožní změnit předponu tabulky pouhým kliknutím.

Kvůli tutoriálu ukážu, jak to změnit pomocí pluginu Brozzme DB Prefix.

Poznámka: Než s databází něco uděláte, ujistěte se, že máte zálohu svého webu a databáze. V případě, že se něco pokazí, můžete svůj web obnovit.

Nejprve nainstalujte a aktivujte Předpona Brozzme DB zapojit. Na hlavním panelu WordPress přejděte na Nástroje> Předpona DB a zadejte nový jedinečný název předpony databáze.

Předpona Brozzme DB

Po zadání nové předpony klikněte na Změnit předponu DB.

Pro ruční postup si přečtěte, jak změnit předponu databázové tabulky pomocí phpMyAdmin

Zpět na začátek

22. Používejte pouze důvěryhodné doplňky WordPress

WordPress přichází s více než 48 000 pluginy. To neznamená, že všechny pluginy jsou užitečné a bezpečné.

Protože v galerii pluginů WordPress je k dispozici mnoho doplňků, které se příliš dlouho neaktualizují a obvykle se staly zranitelnými. Kromě toho byste nedostali žádnou podporu, pokud by plugin přerušil váš web.

Než použijete jakýkoli bezplatný plugin, musíte zkontrolovat dvě důležité věci,

  • Zkontrolujte, kdy byl plugin naposledy aktualizován: Pokud se plugin neaktualizuje často nebo jej vývojář již neudržuje, měli byste se mu vyhnout.

Zastaralá verze pluginu WordPress

  • Zkontrolujte, zda má plugin maximální kladná hodnocení: Další věc, kterou musíte zkontrolovat, zda má plugin maximální kladné nebo záporné hodnocení. Pokud má plugin maximální záporné hodnocení, neměli byste jej používat.

WordPress Plugin s nízkým hodnocením

Můžete se také podívat na stránku Recenze a podpora pluginu a zjistit, co o zásuvném modulu říkají ostatní uživatelé.

Ale nebojte se. Existuje mnoho podobných pluginů, které najdete v galerii pluginů WordPress.

Pokud byste chtěli použít prémiový plugin, nemusíte se o to starat. Prémiové pluginy se pravidelně aktualizují a od vývojáře pluginů získáte 24x podporu.

Zpět na začátek

23. Zakázat hlášení chyb PHP

Dalším skvělým způsobem, jak posílit zabezpečení WordPress, je zakázání chybové zprávy PHP ve WordPress. Při instalaci zastaralého pluginu nebo motivu se může mnohokrát zobrazit upozornění na chybu PHP.

Varování před chybou WordPress PHPPokud to hackeři získají, protože ukazuje umístění kódu a souboru, může to vést k zranitelnosti vašeho webu. Chcete-li minimalizovat toto riziko, můžete v aplikaci WordPress zakázat hlášení chyb PHP.

Zakázání varování o chybě PHP v programu WordPress je velmi snadné. Nejprve upravte wp-config.php soubor a najděte řádek, který má tento kód:

define (‘WP_DEBUG’, false);

Můžete vidět „true“ místo „false“. Nyní nahraďte řádek následujícím kódem.

ini_set (‘display_errors’, ‘Off’);
ini_set (‘error_reporting’, E_ALL);
define (‘WP_DEBUG’, false);
define (‘WP_DEBUG_DISPLAY’, false);

Uložte soubor a máte hotovo.

Doporučujeme také používat aktuální a dobře hodnocené pluginy, abyste se tomuto problému vyhnuli.

Zpět na začátek

24. Přidejte zabezpečené záhlaví HTTP do WordPress

Dalším skvělým způsobem, jak posílit zabezpečení WordPress, je přidání zabezpečených hlaviček HTTP na váš web WordPress.

Když někdo přistupuje na váš web, prohlížeč odešle požadavek na váš webový server. Poté webový server odpoví na požadavky spolu s hlavičkami HTTP. Tyto hlavičky HTTP předávají informace, jako je kódování obsahu, řízení mezipaměti, typ obsahu, připojení atd.

Přidáním zabezpečených záhlaví HTTP odpovědí můžete zlepšit zabezpečení WordPress a také zabránit zmírnění útoků a zranitelností zabezpečení.

Zde jsou záhlaví HTTP níže:

  • Přísné zabezpečení přenosu HTTP (HSTS): Protokol HTTP Strict Transport Security (HSTS) vynucuje webový prohlížeč, aby při komunikaci s webem používal pouze zabezpečená připojení (HTTPS). Tím se zabrání hackerům SSL protokolů, únosům souborů cookie, odstraňování SSL atd.
  • Možnosti X-rámu: X-Frame-Options je druh záhlaví HTTP, které určuje, zda má prohlížeč povoleno vykreslit web v rámci. Tím se zabrání útokům clickjackingu a zajistí, že váš web nebude vložen do jiných webů, které používají .
  • Ochrana X-XSS: X-XSS-Protection je integrovaná funkce prohlížečů Internet Explorer, Google Chrome, Firefox a Safari, které blokují načítání stránek, pokud byl ze vstupu uživatele vložen škodlivý skript..
  • Možnosti typu X-Content: X-Content-Type-Options je druh záhlaví HTTP odpovědi s hodnotou nosniff, která brání webovým prohlížečům v MIME-sniffing odpověď z deklarovaného typu obsahu.
  • Zásady pro doporučení: Zásada referrer je záhlaví odpovědi HTTP, které zabraňuje úniku referreru mezi doménami.

Chcete-li do WordPress přidat bezpečné záhlaví HTTP, jednoduše přidejte následující řádky kódu .htaccess soubor.

Sada záhlaví Strict-Transport-Security "max-age = 31536000" env = HTTPS
Záhlaví vždy připojí X-Frame-Options SAMEORIGIN
Sada záhlaví X-XSS-Protection "1; mode = block"
Header set X-Content-Type-Options nosniff
Zásady pro doporučení záhlaví: bez odkazování-kdy-downgrade

Kontrola záhlaví zabezpečení

Teď jdi ​​na securityheaders.com zkontrolovat, zda kódy fungují nebo ne. Přidali jsme „Zásady zabezpečení obsahu“, protože by to mohlo poškodit váš web. Stačí však zabezpečit web WordPress.

Zpět na začátek

Závěr

Existuje mnoho způsobů, jak můžete zatvrdit Zabezpečení WordPress například: použití spravovaného hostování WordPress, používání silných hesel pro účty, sledování uživatelských aktivit, použití zabezpečovacího pluginu WordPress, implementace SSL a HTTPS a mnoho dalších.

Harding WordPress security není raketová věda. Svůj web WordPress můžete snadno zabezpečit implementací doporučených postupů zabezpečení WordPress, které jsme sdíleli v tomto článku. Jejich implementací nejen zabezpečíte svůj web WordPress, ale také zabráníte hackerům v přístupu na váš web.

Jakmile to uděláte, nemusíte se starat o své zabezpečení WordPress. Kromě toho můžete být produktivnější a bez stresu.

Teď jsi na řadě. Přečtěte si článek důkladně a implementujte je na svůj web. Budete rádi, že jste to udělali. ��

Zmeškali jste zde nějaké důležité tipy zabezpečení WordPress? neváhejte a dejte nám vědět v sekci komentářů.

WordPress Infographic zabezpečení

WordPress-Security-Infographic-Small-Size

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Понравилась статья?
    Комментарии (0)
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector