Защита на WordPress – 24 съвета за осигуряване на уебсайта ви от хакери

04.06.2020
WordPress 'Защита на WordPress – 24 съвета за осигуряване на уебсайта ви от хакери
0 35 мин.

Защитата на WordPress трябва да бъде първият приоритет при управление на уебсайт. Вие проектирате своя уебсайт, публикувате съдържание, продавате продукти онлайн, но ако не вземете сериозно сигурността на WordPress, сайтът ви може да бъде хакнат по всяко време. 


Всеки ден 30 000 уебсайта се хакват, а над 2 000 уебсайта стават в черен списък от Google. Не сте изключение. Ако правителственият уебсайт може да бъде хакнат, тогава защо не и вашият?

Една сутрин се събудихте и видите, че вашият WordPress сайт е недостъпен и виждате случайни съобщения като,

„Вашият уебсайт е хакнат от xyz“ – сайтът е хакнат

„Сайтът напред съдържа злонамерен софтуер“ – в черен списък от Google

Това е най-лошото нещо, което някога можете да се сблъскате с вашия уебсайт.

Но защо WordPress?

WordPress разполага с над 31% (80 милиона) от общия брой уебсайтове в мрежата. Според W3Techs, WordPress има 60% от пазарния дял на CMS повече от другите платформи, което е доста солидна причина за привличане на хакери.

Но не изпадайте в паника. Втвърдяването на защитата на WordPress е много лесно и можете да го направите и вие.

В тази статия ще споделя 24 най-добри съвета за сигурност на WordPress, за да защитите уебсайта си от хакери и зловреден софтуер.

“Защо не накарате портата към вашия дворец да изчезне, преди да го открият?” – WPMyWeb

Contents

Чести проблеми със сигурността на WordPress

Преди да се задълбочим в най-добрите практики за сигурност в WordPress, нека първо разберем няколко често срещани проблеми със сигурността на WordPress.

Много потребители смятат, че WordPress не е безопасна платформа за използване за бизнес, което изобщо не е вярно. Това се дължи на липсата на познания за сигурността на WordPress, лошото администриране на системата, използването на остарял софтуер и плъгини за WordPress и т.н..

Много начинаещи WordPress приемат, че създаването на уебсайт е краят и не изисква поддръжка на сигурността. Ето защо оставяте сайта си уязвим.

След като хакерите намерят уязвими на вашия сайт, те лесно могат да го експлоатират.

Нека да разгледаме някои от често срещаните проблеми със сигурността на WordPress.

1. Брутални атаки: 

В грубата атака се използва автоматизиран скрипт за генериране на различни комбинации от потребителски имена и пароли. Хакер използва страницата за вход на WordPress, за да извърши груба атака. 

Ако използвате обикновено потребителско име и парола, тогава бихте могли да бъдете следващата жертва на тази атака.

2. Кроссайт скриптове (XSS):

Cross Site Scripting е вид атака, при която нападателите инжектират злонамерен код / ​​скрипт върху надежден уебсайт. Този метод за хакване е напълно невидим за потребителите, които сърфират в уебсайта.

Тези злонамерени скриптове зареждат анонимно и крадат информация от браузъра на потребителите. Дори ако потребителят въвежда някакви данни под каквато и да е форма, данните могат да бъдат откраднати.

3. SQL инжекции:

WordPress използва база данни MySQL за съхраняване на информация в блога.

SQL инжектирането се случва, когато хакерите получат достъп до базата данни на WordPress. Чрез хакване на базата данни на WordPress, хакерите могат да създадат нов администраторски акаунт с пълен достъп до вашия сайт.

Те могат също така да вмъкват данни във вашата база данни MySQL и да добавят връзки към злонамерени или спам уебсайтове.

4. Отзад:

По името “Back-door” можете да разберете какво означава. 

Backdoor е хакерски метод, който позволява на хакерите да влизат в уебсайт, заобикаляйки нормалния процес на удостоверяване и дори да останат неоткрити от собственика на уебсайта.

След като хакнат уебсайт, хакерите обикновено оставят своя отпечатък, така че да могат да влязат отново в уебсайта, дори хакът да бъде премахнат.

5. Pharma Hacks:

WordPress Pharma хакове е вид спам в уебсайтове, който запълва резултатите от търсачките със съдържание от спам аптеки, които са забранени в мрежата като Виагра, Нексиум, Сиалис и т.н..

За разлика от други WordPress хакове, резултатите от фармацевтите са видими само за търсачките. Така че не можете да забележите хак, като просто видите вашия уебсайт или изходния код.

Отидете в Google и напишете сайт: domain.com. Ако резултатите от търсенето показват съдържание на уебсайта Ви (а не в аптеката), тогава вашият сайт не се влияе от хакерството на аптеките.

Целта на този хак е да използвате най-ценните си страници, като отменяте заглавия маркер с вредни връзки. Да не говорим, че ако не проверите въпроса рано, търсачките като Google, Bing могат да поставят в черен списък вашия уебсайт за предоставяне на злонамерено съдържание.

6. Зловредни пренасочвания:

Зловредното пренасочване на WordPress е вид хак, при който посетителите на вашия сайт автоматично се пренасочват към спам сайтове като хазарт, порно, сайтове за запознанства. Този хак се случва, когато злонамерен код се инжектира във файла или базата данни на вашия уебсайт.

Ако вашият сайт пренасочва посетителите към незаконни или злонамерени сайтове, той вероятно ще се включи в черен списък от Google.

Защо сигурността на WordPress е важна?

Вашият уебсайт представлява вашата марка, вашия бизнес и най-важното първият контакт с вашите клиенти.

Вероятно ви отне няколко години с много усилия, за да устоите на бизнеса си и да увеличите трафика си. Вашата публика обича вашите статии и се доверява на вашите продукти, затова поддържат връзка с вас.

Ако вашият сайт на WordPress не е защитен, има много начини както на вашия сайт, така и на вашите клиенти. Хакерите могат да откраднат личната информация, паролите, данните на кредитната карта, информацията за транзакциите и да разпространяват злонамерен софтуер на потребителите ви.

Ако вашият сайт е хакнат, ще забележите, че трафикът ви намалява драстично. Освен това Google ще постави в черен списък вашия уебсайт.

Според Google блог, броят на хакнатите уебсайтове се увеличава с приблизително 20% през 2016 г. в сравнение с 2015 г..

В проучване, Securi доклади че Google черни списъци над 10 000 уебсайта всеки ден.

Ако се отнасяте сериозно към бизнеса си, трябва да обърнете допълнително внимание на сигурността си в WordPress.

Защита на WordPress

Най-доброто ръководство за сигурност на WordPress

  1. Вземете добър хостинг на WordPress
  2. Поддържайте актуализирана версия на WordPress
  3. Не използвайте нито една тема с нулирани / напукани или приставки
  4. Използвайте силни пароли
  5. Добавете (2FA) Двуфакторна автентификация
  6. Променете URL адреса за вход в WordPress
  7. Ограничете опитите за влизане
  8. Резервно копирайте своя сайт редовно
  9. Използвайте приставка за защита на WordPress
  10. Автоматично излизане от празни потребители
  11. Добавете въпроси за сигурност към страницата за вход в WordPress
  12. Променете потребителското потребителско име по подразбиране
  13. Присвойте потребителите на възможно най-ниската роля
  14. Следете промените във файла и дейностите на потребителя
  15. Инсталирайте SSL сертификат
  16. Изтрийте неизползваните теми и приставки
  17. Деактивиране на редактирането на файлове в таблото за управление на WordPress
  18. Страница за защита на парола за WordPress
  19. Деактивиране на сърфирането в директория
  20. Извадете номера на версията си за WordPress
  21. Промяна на префикса на таблицата за база данни на WordPress
  22. Използвайте само надеждни теми и приставки за WordPress
  23. Деактивирайте отчитането на грешки в PHP
  24. Добавете HTTP Secure Headers в WordPress

Готов? Да започваме.

1. Вземете добър хостинг на WordPress

WordPress хостингът играе основна роля, когато става дума за подобряване на сигурността на WordPress.

Вие плащате за хостинг услугата и уебсайтът ви остава под техен контрол. Затова трябва да внимавате, преди да изберете добър хостинг на WordPress за вашия уебсайт.

Споделен хостинг като A2Hosting, Bluehost и т.н. са най-добрата хостинг опция за провеждане на блог с нисък трафик. Но при споделения хостинг винаги ще има шанс за замърсяване между сайтове.

Замърсяването на различни сайтове се случва, когато хакер има достъп до уеб сървъра чрез уязвим уебсайт и след това използва всички други уебсайтове на същия уеб сървър.

Препоръчваме да използвате управляван хостинг доставчик на WordPress. Управляващите хостинг компании WordPress предоставят многослойни опции за сигурност на уебсайтове. Хостинг платформите им са силно защитени и предлагат ежедневно сканиране на зловреден софтуер и предотвратяват всякакви външни атаки. Ако все пак намерят злонамерен софтуер на сървъра си, те поемат отговорността и го премахват моментално.

Те също предлагат ежедневни резервни копия, безплатен SSL сертификат, 24 × 7 експертна поддръжка.

Препоръчваме хостинг компания WordPress, управлявана от WPEngine. Те предлагат множество слоеве за защита, за да защитят вашия WordPress сайт. С техния план ще получавате ежедневно архивиране, безплатен SSL, глобален CDN и 24 × 7 експертна поддръжка.

посещение WPEngine. [В тази връзка е добавен код за отстъпка]

Върнете се в началото

2. Поддържайте актуализирана версия на WordPress

Актуализирането на вашия WordPress сайт е добра практика за сигурност за втвърдяване на вашата WordPress сигурност. Тази актуализация включва версията на WordPress, плъгините и темите.

В скорошно проучване, Анализирани са Securi че 56% от общите уебсайтове, заразени с WordPress, все още са актуални. Ако сте един от тях, сте в опасност.

Всеки ден се откриват нови уязвимости и няма начин да ги спрат. Остарелият софтуер и приставки може да съдържа уязвимости, които хакерът може да използва за експлоатация на сайт.

С всяка актуализация, разработчиците включват нови функции, закрепват дупки в сигурността, коригират грешки и т.н. Подобно на WordPress софтуер, вие също трябва да актуализирате вашите WordPress теми и приставки.

Хубавото е, че WordPress автоматично разгръща своите актуализации и уведомява своите потребители.

Актуализирането на версията, плъгините и темите за WordPress е много лесно и можете да го направите чрез административното си табло за управление на WordPress.

Как да актуализирате WordPress, приставки и теми?

Първо влезте в таблото за управление на WordPress и отидете на Табло> Актуализациите. Там можете да видите дали има налична нова актуализация.

Забележка: Преди да актуализирате версията си за WordPress, направете пълна резервна копия на вашите файлове и база данни. В случай че възникне грешка, можете лесно да възстановите вашия сайт до предишната версия. Можете лесно да архивирате и възстановите вашия сайт, като използвате BlogVault само с едно кликване.

От страницата можете да видите „Актуализирана версия на WordPress е налична“. Кликнете върху Актуализирайте сега бутон за актуализиране на вашата версия на WordPress, този процес може да отнеме няколко секунди.

След като актуализацията приключи, превъртете надолу, за да актуализирате вашите WordPress приставки. Препоръчваме ви да актуализирате плъгините един по един. Първо изберете приставка и кликнете върху Актуализиране на приставки.

По подобен начин актуализирайте темите си по-долу.

Актуализирайте WordPress от таблото за управление

Процесът на актуализиране обаче е малко труден за някои потребители, особено за тези, които не са достатъчно технични.

Някои управлявани хостинг доставчици на WordPress като SiteGround, Kinsta, FlyWheel предоставят автоматично актуализиране особеност. Така че, ако сте в натоварен график или мързелив за актуализиране, това може да бъде полезно.

Прочетете също, Как да обновите ръчно версията на WordPress, плъгините и темите

Върнете се в началото

3. Никога не използвайте никакви нулирани / напукани теми и приставки

Не е чудно, че премиум плъгините и темите включват повече функционалност и изглеждат професионално. Но нито един от първокласните продукти не е безплатен. Той идва с цена и след закупуване на всякакви премиум продукти, потребителите трябва да въведат продуктовия ключ, за да активират продукта.

Но има много злонамерени уебсайтове, които предоставят безплатни теми и плъгини безплатно. Тези напукани теми и приставки не изискват сериен ключ, за да се активират и никога не се актуализират.

Ето какво имам предвид:

Пример за принудително добавяне на WordPress Plugin

Тези нулирани теми и плъгини са много опасни за вашия сайт. Хакерите специално инжектират злонамерени кодове в него и правят заден план на вашия сайт. Така те могат лесно да имат достъп до вашия уебсайт и да хакнат вашия уебсайт, включително базата данни.

Затова никога не използвайте никакви натрошени или напукани теми и плъгини за WordPress.

Силно препоръчваме да изтегляте безплатни теми или плъгини само от WordPress.org.

Ние разбираме, че безплатната тема или плъгин има много ограничени функции. Но тези безплатни теми или плъгини са безопасни за използване и редовно се актуализират.

Също така прочетете, 7 най-добри премиум теми за блогове за WordPress

Върнете се в началото

4. Използвайте силни пароли

Паролата е основен ключ за достъп до вашия сайт WordPress. Ако е проста и кратка, тогава хакерите могат лесно да взлатят вашата парола. Над 80% на нарушения, свързани с хакване, се случват поради слаба парола или открадната парола.

В скорошно проучване, SplashData разкри 100 най-лоши пароли за 2017 г..

Ето няколко от тях:

  1. 123456
  2. парола
  3. 12345678
  4. QWERTY
  5. 12345
  6. 123456789
  7. Пусни ме вътре
  8. 1234567
  9. футбол
  10. обичам те
  11. администратор
  12. добре дошли
  13. маймуна (хаха)

Ако вашата парола е проста като по-горе, тогава веднага я променете. Паролата за добра сила трябва да е най-малко 10 цифри и да съдържа главни и малки букви, число и специални знаци.

Можете да използвате онлайн инструмент за генериране на пароли незабавно да създадете хиляди защитени пароли.

Също така е необходимо да запазите паролата на вашия компютър.

За да улесните, можете да използвате софтуер за управление на пароли, за да управлявате цялата си парола като LastPass, Dashlane и т.н..

Прилагане на силна парола за потребителите

По подразбиране WordPress не разполага с функция, която не позволява на потребителите да въвеждат слаби пароли. През повечето време потребителите задават слаба парола за акаунта си и едва ли я променят.

Ако използвате блог за WordPress за много потребители, тогава трябва да принудите потребителите да използват силна парола.

За да улесните този процес, можете да използвате плъгин. Инсталирайте и активирайте Принуждавайте силни пароли плъгин и сте готови. Това ще попречи на потребителите и дори администратора да въведат слаба парола.

Върнете се в началото

5. Добавете двуфакторна автентификация (2FA) 

Друг прост метод за втвърдяване на вашата WordPress сигурност е чрез добавяне на двуфакторна автентификация (2FA) към вашата страница за вход в WordPress. По принцип двуфакторното удостоверяване или проверката в две стъпки е процес на защита, който изисква два метода за проверка на вашата самоличност.

По подразбиране обикновено въвеждаме потребителско име и парола за влизане в уебсайт. Добавянето на двуфакторна автентификация ще изисква допълнителен процес на проверка като приложение за смартфон, за да одобрите процеса на удостоверяване.

Така че, ако някой знае вашето потребителско име и парола, той се нуждае от вашия смартфон, за да получи кода за потвърждение за влизане във вашия сайт.

Чрез добавяне на двуфакторна автентификация вие не само осигурявате своята страница за вход в WordPress, но и предотвратявате брутални атаки.

Можете лесно да активирате двуфакторната автентификация с помощта на приставка за двуфакторна автентификация на Google WordPress.

След активиране отидете на Потребители> Потребителски профил и активирайте приставката.

Настройки на Google Удостоверител

След това изтеглете приложението за удостоверяване на Google от телефона си и сканирайте Баркод или въведете Таен код (вижте екранната снимка по-горе) от вашия сайт, за да добавите вашия уебсайт.

След като сте добавени, излезте от сайта си. На страницата за вход ще видите допълнително поле, в което трябва да въведете кода за потвърждение от мобилното приложение на Google Authenticator.

Полето Google Удостоверител

За подробни инструкции вижте ръководството за това как да добавите двуфакторна автентификация на Google на страницата за вход в WordPress.

Върнете се в началото

6. Променете URL адреса на страницата за вход в WordPress

По подразбиране всеки може да получи достъп до вашата страница за вход, като просто добави „wp-admin“ или „wp-login.php“ в края на името на вашия домейн, като: „domain.com/wp-admin“ или „domain.com/ WP-login.php “.

Познай какво! Хакерите могат да извършат груба атака, използвайки вашата страница за вход. Ако използвате много проста парола, тогава хакерите могат лесно да разбият паролата ви и да влязат в уебсайта ви.

Но какво ще стане, ако те не знаят къде да нападнат? Да, добре сте се досетили.

Ако скриете или преименувате URL адреса на страницата за вход, хакерите няма да могат да извършат груба атака.

В WordPress можете лесно да скриете или преименувате своята страница за вход, като използвате плъгин. От галерията на плъгините WordPress инсталирайте и активирайте WPS Скриване на вход плъгин.

След активиране отидете на Настройки> Общ и най-отдолу можете да намерите WP опция за скриване на вход.

WPS Настройки за вход в системата

Просто променете входния URL адрес “Влизане” до нещо друго, което е трудно да се отгатне и щракнете върху Запазите промените.

След като сте готови, отметка на новата страница за вход и сте готови.

Върнете се в началото

7. Ограничете опитите за влизане

По подразбиране WordPress не ограничава броя на опитите за влизане чрез формата за вход. Това означава, че всеки знае, че вашият URL адрес за вход може да изпробва функцията за вход толкова време, колкото иска. По този начин хакерите извършват груба атака, за да взломат вашето потребителско име и парола за достъп до вашия уебсайт.

Ограничавайки опитите за влизане, можете да засилите сигурността на WordPress и да защитите вашата страница за вход от груби атаки.

Можете да зададете максимален брой неправилни опити за влизане, които потребителят може да направи от един и същ IP адрес. Ако потребителят надхвърли ограниченията, IP-то на потребителя ще бъде блокирано за определен период от време.

За да ограничите опитите за влизане в WordPress, инсталирайте Вход LockDown плъгин. След активиране отидете на Настройки> Вход LockDown за конфигуриране на приставката.

Настройки за вход LockDown

За подробни инструкции вижте нашето ръководство за ограничаване на опитите за влизане в WordPress

Върнете се в началото

8. Резервно копирайте сайта си редовно

Резервните копия са като Time Machine. Ако го имате, вашият уебсайт е в безопасност.

Резервните копия на уебсайтове обаче не защитават вашия сайт от хакери, но ви помага да го възстановите.

Например, ако нещо се обърка с вашия сайт по време на актуализацията или уебсайтът ви е хакнат, как ще го поправите отново? Вероятно губите сайта си.

Но ако имате резервни копия на вашия сайт, можете лесно да възстановите вашия сайт преди точката, на която той е бил взломен или сринат.

Ето защо горещо ви препоръчваме да използвате надеждна приставка за архивиране на WordPress. Въпреки това много хостинг компании предлагат безплатно резервно копие на уебсайтове, но те могат да гарантират наличието на вашия сайт, ако има катастрофална повреда. Затова трябва да запазите резервните копия на отдалечено място като Google Drive, Amazon S3, Dropbox и т.н..

За щастие, това може да стане с помощта на BlogVault или BackUpBuddy WordPress Backup Plugin. И двете предлагат ежедневно архивиране и възстановяване с едно щракване. Можете също така да създадете сайт за поставяне без допълнителни разходи.

Върнете се в началото

9. Използвайте WordPress Plugin за сигурност

Следващото нещо, от което се нуждаете за втвърдяване на вашия Сигурност на WordPress е приставка за сигурност. Налични са много приставки за сигурност на WordPress, които ще блокират вашия сайт от хакери и злонамерен софтуер.

Приставките за защита на WordPress ще открият и елиминират зловреден софтуер, ако той присъства на вашия сайт. Освен това те наблюдават активността на потребителите в реално време, уведомяват ви дали нещо се е променило, ако приставка съдържа злонамерен софтуер, блокира спам трафик и много други.

Ние препоръчваме Securi WordPress Plugin за сигурност. Securi Security предлага различен тип функции за сигурност като одит на дейностите по сигурността, наблюдение на уебсайтове, защитна стена на уебсайта,  и много други.

по ценни книжа

Най-хубавото на Securi е, че ако вашият сайт стане хакнат или в черен списък от Google, докато използва тяхната услуга, те гарантират, че те ще коригират вашия сайт.

Повечето експерти по сигурността на WordPress таксуват повече от 300 долара за коригиране на хакнат сайт, докато всички услуги за сигурност ще получите само $ 199 на година. Това е добра инвестиция за укрепване на вашата WordPress сигурност.

Върнете се в началото

10. Автоматично излизане от свободни потребители

Ако потребителят остава неактивен или неактивен на вашия сайт твърде дълго, това може да причини груба атака.

Когато потребителят остава неактивен твърде дълго, хакерите могат да използват бисквитки или метод за отвличане на сесия, за да получат неоторизиран достъп до вашия уебсайт. Ето защо повечето от уебсайтовете, свързани с образованието и финансовите дейности, като уебсайтове за банки и шлюзове, използват функцията за изчакване на сесията на потребителите. Така че, когато потребителят се отдалечи от страницата и не взаимодейства след определен период от време, уебсайтът автоматично изписва неактивния потребител.

Същата функция, която можете да добавите към вашия WordPress сайт за подобряване на вашата WordPress сигурност. Добавянето на автоматично излезли неактивни потребители в WordPress е изключително просто. Всичко, което трябва да инсталирате плъгин.

Първо изтеглете и инсталирайте Неактивно излизане WordPress плъгин След това го активирайте и отидете на Настройки> Неактивно излизане за конфигуриране на приставката.

Настройки на неактивните модули за излизане

От настройките можете да промените времето за празен ход. Така след времето всички потребители във вашия сайт ще бъдат автоматично излезли.

Можете също така да промените съобщението за изчакване на празен ход и да промените други настройки, ако е необходимо.

След като сте готови, кликнете върху Запазите промените за да запаметите настройките.

За подробни инструкции вижте нашето ръководство за това как автоматично да излезете бездействащи потребители в WordPress

Върнете се в началото

11. Добавете въпроси за сигурност към страницата за вход в WordPress

Като добавите въпроси за сигурност към страницата си за вход в WordPress, вие не само ще защитите вашата страница за вход в WordPress, но и ще затвърдите сигурността на WordPress.

Въпросът за сигурност добавя допълнителен слой сигурност, за да удостовери допълнително самоличността ви по време на влизане. Това е много полезно, ако използвате блог за WordPress с много автори.

Ако някой от вашите потребители или паролата ви е бил откраднат, тогава въпросът за сигурността може да спаси живота.

Тъй като потребителското име и паролата могат да бъдат хакнати лесно, но да изберете правилния въпрос за сигурност и отговор е до невъзможно. По този начин можете да запазите вашата страница за вход в WordPress от хакери и груби атаки.

За да добавите въпрос за сигурност на страницата за вход в WordPress, инсталирайте Въпрос за сигурност на WP плъгин.

Настройки за въпроси за сигурност на WP

След активиране отидете на Въпроси за защита на WP > Настройки на приставките за конфигуриране на приставката.

По подразбиране приставката има много общи въпроси, добавени. Но можете да добавите или премахнете всички въпроси за сигурност от списъка.

Най-отдолу можете да активирате въпроса за сигурността на страницата за вход, регистрация и забравена парола. След като приставката е конфигурирана, не забравяйте да кликнете върху Запазване на настройката.

Забележка: Само новите потребители могат да задават своя въпрос за сигурност и отговор по време на регистрацията. Така регистрираните потребители трябва ръчно да зададат своя въпрос за сигурност и отговор. Можете също така да зададете въпрос за сигурност и да отговорите на тях. Това може да стане от Потребителски профил страница.

Много често добавяйте въпроси за сигурност на WP

За подробни инструкции вижте нашето ръководство за това как да добавите въпроси за сигурност към страницата за вход в WordPress

Върнете се в началото

12. Променете потребителското име по подразбиране „Админ“

След като инсталирате WordPress, можете да промените паролата си колкото пъти искате. Но можете ли да промените потребителското си име, след като е зададено? Няма право?

По подразбиране WordPress не позволява на потребителите да променят потребителското име. Но защо трябва да го променяте?

Ако използвате много често срещано потребителско име като „администратор“, хакерите могат да стартират груба прикачване с помощта на вашето потребителско име.

Но не изпадайте в паника. Има няколко начина, по които можете лесно да промените WordPress.

За да улесним процеса обаче, ще използваме плъгин. Първо изтеглете и инсталирайте смяна на потребителско име плъгин. След това отидете на Потребители> Твоят профил и намерете опцията за потребителско име. Там ще намерите опцията „Промени потребителското име“.

Промяна на потребителско име за WordPress

Кликнете върху Промяна на потребителското име бутон и въведете новото си потребителско име. След като сте готови, кликнете върху Актуализиране на потребителския профил.

Ако искате да промените потребителското си име ръчно (без плъгин), вижте в статията 3 различни начина за промяна на потребителското име за WordPress.

Върнете се в началото

13. Определете потребителите на възможно най-ниската роля

Ако управлявате WordPress сайт с много автори, тогава трябва да бъдете внимателни, преди да възложите роля на потребител.

Много пъти собствениците на WordPress сайтове присвояват по-висока потребителска роля на нови потребители, по този начин вие давате всички привилегии на потребителите и в резултат на това всеки потребител може да изпълнява всяка задача, каквото иска.

Например, ако не знаете какво може да изпълнява ролята на редактор на потребителя и вие присвоите ролята на обикновен потребител, тогава потребителят може да изтрие всички ваши публикации, да редактира връзки, да създава спам публикации, да добавя злонамерени връзки във вашия блог мнения. Ето как потребителят може лесно да съсипе уебсайта ви.

По подразбиране WordPress се предлага с 5 различни потребителски роли.

  • администратор
  • Редактор
  • автор
  • сътрудник
  • абонат
  1. администратор: Администраторите са най-мощната потребителска роля в WordPress сайт. Те могат да създават, редактират и изтриват потребителски акаунт, могат да изпълняват всякакви задачи в административния панел на WordPress, да имат контрол над цялата област на съдържанието и също да умеряват коментарите. 
  2. Редактор: Потребителите с ролята на редактора имат пълен контрол върху цялото съдържание. Те могат да създават, редактират и изтриват всякакви публикации, включително публикациите, създадени от други потребители. Те също могат да модерират коментари и да променят връзките.
  3. Автор: Авторите могат само да публикуват, редактират или изтриват свои собствени публикации. Те могат да качват медийни файлове, които да използват в своите публикации. Те могат да преглеждат коментарите, но не могат да ги одобрят или изтрият.
  4. сътрудник: Потребителите с ролята на сътрудник могат само да пишат, редактират или изтрият своя собствена непубликувана публикация, но не могат да публикуват своя собствена публикация.
  5. абонат: Абонатите могат да редактират само информацията за акаунта си, включително паролата, но нямат достъп до настройките на съдържанието или сайта. Те имат най-ниските възможности в WordPress сайт.

Разбирайки ролите на потребителите на WordPress, можете лесно да ги управлявате без никакъв риск.

Също така препоръчваме да зададете Нова потребителска роля по подразбиране като абонат. Отидете в Настройки> Общи настройки и от техния набор Роля по подразбиране за нов потребител абонат и кликнете върху Запазите промените.

Роля по подразбиране за нов потребител в WordPress

За повече подробности прочетете Ръководство за начинаещи за WordPress потребителски роли и възможности

Върнете се в началото

14. Следете промените на файловете и дейностите на потребителите

Друг интелигентен начин за втвърдяване на сигурността на WordPress е чрез наблюдение на потребителските дейности и промените във файловете. 

Ако използвате многопотребителски WordPress сайт, тогава трябва да проследите поведението на потребителя, за да разберете по-добре какви са техните дейности в целия ви WordPress сайт.

Кой знае, ако потребителят върши някаква подозрителна работа или се опитва да хакне вашия уебсайт? Как можеш да знаеш това?

Единственият начин за проследяване на потребителските дейности и промените на файловете е чрез използване на плъгин WordPress за активност на потребителя. Използвайки приставка за активност на потребителя в WordPress, можете да:

  • вижте кой е влязъл и какво правят в реално време
  • когато потребител влезе и излезе
  • колко пъти потребител се опита да влезе, но не успя

Освен това, ако редактор е направил промени в публикация или страница без ваше разрешение, можете лесно да я откриете и да я върнете обратно. Хубавото на приставката за активност на потребителите е, че той незабавно ви изпраща известие по имейл, ако нещо се обърка.

WP Security Audit Log е най-добрият плъгин за наблюдение на потребителските дейности и промяна на файловете в реално време. Ето екранна снимка по-долу как работи приставката.

WordPress Audit Log Viewer

Също така прочетете, 5 най-добри приставки за наблюдение на активността на потребителите в WordPress (алтернативни приставки)

Върнете се в началото

15. Внедрете SSL и HTTPS

Сигурност на WordPress не може да бъде подобрен без SSL сертификат. SSL (Secure Socket Layer) е основата на сигурността на уебсайта.

SSL е стандартна технология за сигурност, която създава криптирани връзки между сървър и уеб браузър в онлайн комуникация, като онлайн транзакция. Така всички чувствителни данни като пароли, данни за кредитна карта и т.н. преминават през криптирани връзки.

Ако управлявате онлайн бизнес или блог, където приемате плащане, SSL сертификатът е задължителен. Това ще запази данните на клиента ви от хакери. За онлайн магазините или сайтовете на WooCommerce разходите за SSL сертификат струват около $ 20 – 170 $.

В случай, че провеждате блог на WordPress, нямате нужда от платен SSL сертификат. Ако използвате хостинг на cPanel като SiteGround, WPEngine, тогава можете да инсталирате SSL сертификат безплатно само с едно щракване.

Първо, влезте в своя хостинг cPanel акаунт и отворете Сигурност.  (Ето екранна снимка по-долу от SiteGround хостинг cPanel.)

SG SSL

Отидете на SSL / TLS Manager и кликнете върху Инсталирайте SSL сертификат. От страницата изберете вашия домейн и щракнете върху Автоматично попълване по домейн. Процесът е автоматичен, така че не е необходимо да редактирате или променяте нищо.

Терена на сайта Инсталирайте SSL сертификат

Сега кликнете върху Инсталирайте сертификат бутон за завършване на процеса на настройка.

След като сте готови, влезте в административното табло на WordPress, за да промените URL адреса на вашия сайт. Отидете на Настройки> Общ и добавете замяна на HTTP с HTTPS преди URL адреса на вашия сайт. Ето екранна снимка по-долу.

WP HTTPS

След като бъде актуализиран, кликнете върху Запазите промените.

Как да пренасочите HTTP към HTTPS в WordPress

Ако правилно инсталирате SSL сертификат, тогава вашият сайт е достъпен с HTTPS.

Но ако някой въведе само името на вашия уебсайт (т.е. domain.com) в адресната лента на браузъра, тогава сайтът може да показва съобщение „Връзката не е защитена“. Това означава, че вашият сайт е достъпен с HTTP.

За да отстраните проблема, трябва да наложите HTTPS в WordPress, така че вашият сайт ще се зарежда само с HTTPS. Можете лесно да принудите HTTPS в WordPress.

Първо влезте във вашия хостинг cPanel и отидете в главната папка на вашия уебсайт и намерете .Htaccess файл. Редактирайте .htaccess файла и в края добавете следния код.

ПренапишетеEngine на
RewriteCond% {HTTPS} изключен
RewriteRule ^ (. *) $ Https: //% {HTTP_HOST}% {REQUEST_URI} [L, R = 301]

Запазете файла и сте готови. Сега вашият уебсайт е достъпен само с HTTPS.

Ако вашият доставчик на уеб хостинг услуги не предоставя безплатен SSL сертификат, можете да инсталирате SSL сертификат ръчно. Ето ръководството за това как да инсталирате безплатен SSL сертификат.

Върнете се в началото

16. Изтрийте неизползваните теми и приставки

Когато става въпрос за засилване на сигурността на WordPress, не трябва да игнорираме малка стъпка, която може да направи вашия сайт уязвим. 

През повечето време собствениците на WordPress сайтове инсталират различни теми и плъгини, за да проверят коя тема изглежда по-добре на техния сайт или кой плъгин има повече функционалност. Това е добре. Но запазването на тези неизползвани теми и приставки прави вашия сайт уязвим.

Тъй като запазването на много теми и плъгини за WordPress трябва редовно да се актуализира като тази, която използвате. Ако не ги актуализирате, те стават уязвими и хакерите могат лесно да експлоатират вашия сайт чрез уязвимите теми и приставки. Освен това запазването на толкова много теми и плъгин прави WordPress сайта по-бавен.

Затова винаги трябва да изтривате неизползвани теми и плъгин за подобряване на производителността на сайта и сигурността на WordPress.

За да изтриете неизползван плъгин, отидете на Plugins> Инсталирани приставки. След това намерете приставката, която вече не ви е необходима. Първо деактивирайте приставката и кликнете върху Изтрий.

WordPress плъгин изтрийте

По същия начин, за да изтриете тема, отидете на Външен вид> Теми и кликнете върху Подробности за темата. След това в долната част на дясната страна кликнете върху Изтрий.

Изтрийте темата

Върнете се в началото

17. Деактивиране на редактирането на файлове в таблото за управление на WordPress

По подразбиране WordPress позволява на потребителите да редактират тема и плъгин файл директно от таблото за управление на WordPress. Това е полезна опция за потребители, които често се нуждаят от редактиране на тема и файл с плъгини.

WordPress редактор на теми

Поддържането на тази функция обаче може да бъде сериозен проблем със сигурността. Ако хакерите имат достъп до вашия уебсайт, те обикновено оставят своя отпечатък чрез инжектиране на злонамерен код във файловете на уебсайта. Ако вашата функция за редактиране на файлове в WordPress е активирана, хакерите могат лесно да инжектират злонамерен код във вашата тема или файл с плъгини, който ще бъде непознат за вас.

За да подобрите сигурността на WordPress, трябва да деактивирате функцията за редактиране на файлове от вашето табло за управление на WordPress. Деактивирането на темата на WordPress и редактора на плъгини в WordPress е много лесен процес.

Първо, трябва да влезете във вашия хостинг cPanel акаунт и да отидете в главната папка на вашия WordPress сайт. Оттам намерете WP-config.php. Кликнете върху редактиране и добавете следния код в края.

define (‘DISALLOW_FILE_EDIT’, вярно);

Сега запазете файла и опреснете информационното табло на WordPress. Ще видите, че опцията за редактор на тема и плъгини е отишла. С този малък трик можете лесно да подобрите сигурността на WordPress.

Прочетете подробното ръководство за това как да деактивирате редактора на теми и приставки в WordPress

Върнете се в началото

18. Страница за защита на парола за вход в WordPress

Друг чудесен начин за подобряване на сигурността на WordPress е защитата с парола за вход в WordPress.

Чрез парола, защитаваща вашата страница за вход в WordPress (/wp-login.php) или администратор (https://cdn.wpmyweb.com/wp-admin), можете да попречите на хакерите да имат достъп до вашата страница за вход, тъй като тя изисква парола за достъп страница за вход. Удостоверяване Задължително изскачащо полеСлед като активирате тази функция, вашият сайт ще подкани всички потребители, които имат достъп до страницата за вход с прозорец за потребителско име и парола. Накратко, всички потребители трябва да влязат два пъти с различни потребителско име и парола, преди да влязат в таблото за управление на WordPress администратор.

По този начин можете да засилите вашата WordPress сигурност и да добавите допълнителен слой сигурност към вашата страница за вход.

Прочетете нашето задълбочено ръководство за това как да защитите паролата за вход в WordPress.

Върнете се в началото

19. Деактивиране на сърфирането в директории в WordPress

По подразбиране повечето от уеб сървърите като Apache, NGINX и LiteSpeed ​​позволяват на всеки потребител да разглежда директории, които съдържат WordPress файлове и папки. Те могат също да видят коя тема и плъгини използвате и да знаете повече за структурата на вашия уебсайт.

Индекс страница на WordPress сайт

Тази информация може да доведе до уязвимост на вашия WordPress сайт и да помогне на хакер, когато се опитвате да компрометирате вашия сайт.

За да подобрите сигурността на WordPress, препоръчваме ви да деактивирате тази опция. За да деактивирате сърфирането в директория в WordPress, просто добавете следния ред към вашия .htacces досие.

Опции Всички -Индекси

За подробни инструкции прочетете нашето ръководство за това как да деактивирате сърфирането в директория в WordPress

Върнете се в началото

20. Премахнете вашата версия на WordPress

По подразбиране WordPress автоматично добавя мета тагове на различни места, които показват версията на WordPress, която използвате.

Ето какво е: ако хакерите знаят, че използвате остаряла версия на WordPress, те могат да експлоатират вашия сайт чрез известните уязвимости, които присъстват в по-старата версия на WordPress.

Така че е по-добре да премахнете версията си за WordPress, за да подобрите сигурността на WordPress. Има няколко места, където WordPress добавя мета таговете като в таблото за управление на WordPress, в заглавката, стила и javascript и в RSS емисията.

Премахване на версията на WordPress от заглавката и RSS

За да премахнете версията от заглавката и RSS, добавете следния ред в края на вашия functions.php досие.

функция Remove_wordpress_version () {
връщане ”;
}
add_filter (‘the_generator’, ‘remove_wordpress_version’);

Премахване на номера на версията на WordPress от Scripts и CSS

За да премахнете версията на WordPress от CSS и скриптове, добавете следния ред в края на вашия functions.php досие.

// Изберете номера на версията от скриптове и стилове
функция Remove_version_from_style_js ($ src) {
if (strpos ($ src, ‘ver =’. get_bloginfo (‘version’)))
$ src = remove_query_arg (‘ver’, $ src);
върнете $ src;
}
add_filter (‘style_loader_src’, ‘remove_version_from_style_js’);
add_filter (‘script_loader_src’, ‘remove_version_from_style_js’);

След като сте готови, запишете файла function.php.

Това е. С този прост трик можете със сигурност да подобрите сигурността си в WordPress. Въпреки това винаги ви препоръчваме редовно да актуализирате вашата версия на WordPress, както и темата и плъгините.

За подробни инструкции прочетете нашето ръководство за това как да скриете или премахнете версията на WordPress

Върнете се в началото

21. Промяна на префикса на таблицата за база данни на WordPress

По време на инсталирането на WordPress той пита дали искате да използвате различен префикс на база данни. Обикновено пропускаме тази стъпка, така че WordPress автоматично се използва (WP_) като префикс на таблицата на базата данни по подразбиране Препоръчваме ви да го промените нещо силно и уникално.

Използването на префикса по подразбиране (WP_) прави вашата база данни на WordPress податлива на SQL инжекционни атаки. Такива атаки могат да бъдат предотвратени чрез промяна на префикса на базата данни (WP_) на нещо уникално.

След като инсталирате WordPress, можете лесно да промените префикса на таблицата на базата данни по подразбиране с помощта на плъгини или ръчно. Приставки като BackupBuddy, Brozzme DB Prefix ви позволява да промените префикса на таблицата само с едно щракване.

За поуката показвам как да го промените с помощта на плъгин за префикс на Brozzme DB Prefix.

Забележка: Преди да направите нещо с вашата база данни, уверете се, че вземете резервно копие на вашия сайт и база данни. В случай че нещо се обърка, можете да възстановите вашия сайт.

Първо инсталирайте и активирайте Brozzme DB Префикс плъгин. От таблото за управление на WordPress отидете на Инструменти> Префикс на DB и въведете ново уникално име за префикса на базата данни.

Brozzme DB Префикс

След като въведете новия си префикс, щракнете върху Промяна на DB Prefix.

За ръчния процес прочетете как да промените префикса на таблицата на базата данни с помощта на phpMyAdmin

Върнете се в началото

22. Използвайте само надеждни приставки за WordPress

WordPress се предлага с повече от 48 000 приставки. Това не означава, че всички приставки са полезни и безопасни за използване.

Тъй като в галерията на приставки за WordPress има много плъгини, които не се актуализират от дълго време и обикновено стават уязвими. Освен това няма да получите никаква поддръжка, ако плъгинът наруши вашия сайт.

Преди да използвате безплатен плъгин, две важни неща, които трябва да проверите,

  • Проверете кога приставката е актуализирана последно: Ако плъгинът не се актуализира често или вече не се поддържа от разработчика на приставката, тогава трябва да избягвате приставката.

Остаряла версия на приставката за WordPress

  • Проверете дали приставката има максимални положителни оценки: Следващото нещо, което трябва да проверите дали плъгинът има максимални положителни или отрицателни оценки. Ако приставката има максимални отрицателни оценки, не трябва да я използвате.

WordPress нискооценен плъгин

Можете също да проверите страницата Отзиви и поддръжка на приставката, за да видите какво казват други потребители за приставката.

Но не се безпокойте Има много подобни плъгини, които можете да намерите от галерията на плъгините WordPress.

Ако искате да използвате първокласен плъгин, няма нужда да се притеснявате за това. Премиум плъгините се актуализират редовно и ще получите 24x поддръжка от разработчика на плъгини.

Върнете се в началото

23. Деактивирайте PHP докладване за грешки

Друг чудесен начин за втвърдяване на сигурността на WordPress е чрез деактивиране на доклада за грешка в PHP в WordPress. Много пъти, когато инсталирате остарял плъгин или тема, може да видите предупреждението за грешка в PHP.

WordPress PHP Предупреждение за грешкаВъпреки това може да доведе до уязвимост на вашия сайт, ако хакерите го получат, тъй като показва кода и местоположението на файла. За да сведете до минимум риска, можете да деактивирате отчитането на PHP грешки в WordPress.

Деактивирането на предупреждение за грешка в PHP в WordPress е много лесно. Първо, редактирайте вашия WP-config.php файл и намерете този ред, който има този код:

define (‘WP_DEBUG’, false);

Може да видите „вярно“ вместо „невярно“. Сега заменете реда със следния код.

ini_set ( “display_errors”, “Off”);
ini_set (‘error_reporting’, E_ALL);
дефиниране („WP_DEBUG“, невярно);
дефинирайте („WP_DEBUG_DISPLAY“, невярно);

Запазете файла и сте готови.

Препоръчваме ви също да използвате актуални и добре оценени приставки, за да избегнете този проблем.

Върнете се в началото

24. Добавете HTTP Secure Headers към WordPress

Друг чудесен начин за втвърдяване на защитата на WordPress е добавянето на защитени HTTP заглавки към вашия WordPress сайт.

Когато някой има достъп до вашия уебсайт, браузърът отправя заявка до вашия уеб сървър. Тогава уеб сървърът отговаря на заявките заедно с HTTP заглавките. Тези HTTP заглавки предават информация като кодиране на съдържание, контрол на кеша, тип съдържание, връзка и т.н..

Чрез добавяне на защитени HTTP заглавки за отговор можете да подобрите вашата WordPress сигурност и също така предотвратявате смекчаването на атаки и уязвимости в сигурността.

Ето по-долу заглавките на HTTP:

  • HTTP строга транспортна сигурност (HSTS): HTTP Strict Transport Security (HSTS) налага на уеб браузъра да използва само защитени връзки (HTTPS), когато комуникира с уебсайт. Това предотвратява хакването на SSL протокол, отвличането на бисквитки, премахването на SSL и т.н..
  • X-Рамкови варианти: Опциите за X-Frame са вид HTTP заглавка, която определя дали на браузъра е разрешено да изобразява уебсайт в рамките. Това предотвратява атаките срещу щракване и гарантира, че уебсайтът ви не е вграден в други уебсайтове, които използват .
  • X-XSS-защита: Защитата X-XSS е вградена функция на браузърите на Internet Explorer, Google Chrome, браузъра Firefox и Safari, които блокират зареждането на страниците, ако от потребителски вход е вмъкнат злонамерен скрипт.
  • X-Content-Type-Options: X-Content-Type-Options е един вид HTTP заглавен отговор със стойността nosniff, който не позволява на уеб браузърите да MIFE да смъркат отговор от декларирания тип съдържание.
  • Referrer-политика: Политиката за препращане е заглавка на HTTP отговор, която предотвратява изтичане на препратки между домейни.

За да добавите защитни заглавия на HTTP в WordPress, просто добавете следните редове от код във вашия .Htaccess досие.

Комплект заглавки Строга транспортна сигурност "макс възраст = 31536000" ENV = HTTPS
Заглавката винаги добавя опции за X-Frame SAMEORIGIN
Комплект заглавки X-XSS-защита "1; режим = блок"
Носов номенклатура на X-Content-Type-Options
Политика за препоръчване на заглавие: без препратка при понижаване

Проверка на заглавките за сигурност

Сега отидете на securityheaders.com за да проверите дали кодовете работят или не. Не сме добавили „Политика за защита на съдържанието“, защото това може да наруши вашия сайт. Достатъчно е обаче да направите сайта си WordPress защитен.

Върнете се в началото

заключение

Има много начини да втвърдите Сигурност на WordPress като например: използване на управляван хостинг на WordPress, използване на силни пароли за акаунти, наблюдение на потребителските дейности, използване на приставка за защита на WordPress, внедряване на SSL и HTTPS и много други.

Трудната сигурност на WordPress не е ракетна наука. Можете лесно да защитите вашия WordPress сайт чрез прилагане на най-добрите практики за сигурност на WordPress, които споделихме в тази статия. Реализирайки ги, вие не само ще защитите вашия WordPress сайт, но и ще попречите на хакерите да имат достъп до вашия сайт.

След като сте готови, няма да е необходимо да се притеснявате за сигурността си в WordPress. Освен това, можете да бъдете по-продуктивни и без напрежение.

Сега е твой ред. Прочетете внимателно статията и ги приложете към вашия сайт. Ще се радваш, че го направи. ��

Пропуснали ли сме някои важни съвети за сигурност на WordPress, които да споменем тук? не се колебайте да ни уведомите в секцията за коментари.

Инфографика за сигурност на WordPress

WordPress-Security-Infographic-малкия размер

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Понравилась статья?
    Комментарии (0)
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector