Wskazówki dotyczące bezpieczeństwa WordPress dla laika: Zabezpiecz swoje logowanie WordPress i inne praktyki bezpieczeństwa

Od czasu, gdy został wprowadzony ponad dwie dekady temu, WordPress rozrósł się (i urósł), teraz jest bezpiecznie nazywany najpopularniejszym na świecie systemem zarządzania treścią. Obecnie ponad jedna czwarta istniejących witryn działa na WordPress.


Jednak od niepamiętnych czasów, im bardziej popularne jest coś, tym więcej ludzi chce wykorzystać to w niecny sposób. Wystarczy spojrzeć na system Microsoft Windows i ogromną liczbę złośliwego oprogramowania, wirusów i innych exploitów zaprojektowanych z myślą o tym konkretnym systemie operacyjnym.

10 wersji WordPress z większością luk (źródło). Badania w 2017 r. Wykazały 74 różne wersje WordPress w Alexa Top 1 milion witryn; 11 z tych wersji jest nieprawidłowych – na przykład wersja 6.6.6 (źródło).

Dlaczego Twój blog WordPress jest cennym celem?

Jeśli zastanawiasz się, dlaczego haker chciałby kontrolować Twojego bloga WordPress, istnieje kilka powodów, w tym;

  • Używanie go do potajemnego wysyłania spamu
  • Kradnij swoje dane, takie jak lista mailingowa lub dane karty kredytowej
  • Dodanie witryny do botnetu, z którego będą mogli skorzystać później

Na szczęście WordPress to platforma, która oferuje wiele możliwości obrony. Pomagając samodzielnie skonfigurować i administrować kilkoma stronami internetowymi i blogami, chciałbym podzielić się z Tobą kilkoma bardziej podstawowymi rzeczami, które możesz zrobić, aby zabezpieczyć swoją witrynę WordPress.

Oto 10 praktycznych wskazówek bezpieczeństwa, z których możesz skorzystać.

Zabezpiecz swoją stronę logowania do WordPress

Ochrona strony logowania nie może być osiągnięta za pomocą żadnej konkretnej techniki, ale z pewnością istnieją kroki i bezpłatne wtyczki bezpieczeństwa, które możesz podjąć, aby wszelkie ataki były znacznie mniej prawdopodobne.

Strona logowania do Twojej witryny jest z pewnością jedną z najbardziej narażonych stron w Twojej witrynie, więc zacznijmy od uczynienia strony logowania do witryny WordPress nieco bardziej bezpieczną.

1. Wybierz dobrą nazwę użytkownika administratora

Użyj nietypowych nazw użytkowników. Wcześniej w WordPress musiałeś zacząć od domyślnej nazwy użytkownika admin, ale już tak nie jest. Mimo to większość nowych administratorów stron internetowych używa domyślnej nazwy użytkownika i musi ją zmienić. Możesz użyć Admin Renamer Extended, aby zmienić nazwę użytkownika administratora.

Brutalne wymuszanie stron logowania jest jedną z najczęstszych form ataków internetowych, z którymi Twoja witryna prawdopodobnie się spotka. Jeśli masz łatwe do odgadnięcia hasło lub nazwę użytkownika, Twoja witryna prawie na pewno nie będzie tylko celem, ale ostatecznie ofiarą. Z doświadczenia wynika, że ​​większość prób włamań do witryny próbuje się zalogować przy użyciu trzech głównych nazw użytkowników. Pierwsze dwa są zawsze „administratorem” lub „administratorem”, a trzeci zwykle opiera się na nazwie domeny.

Na przykład jeśli Twoja witryna to crazymonkey33.com, haker może spróbować zalogować się przy użyciu „crazymonkey33”.

To nie jest dobry pomysł.

2. Upewnij się, że używasz silnego hasła

Do tej pory zapewne pomyślałbyś, że ludzie powinni używać silnych, złożonych haseł do ochrony swojego konta, ale wciąż wielu uważa, że ​​„hasło” jest świetne.

Splash Data opracowało listę często używanych haseł w 2018 r. Hasło według rangi pod względem użytkowania.

  1. 123456
  2. hasło
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. światło słoneczne
  9. qwerty
  10. kocham Cię

Jeśli użyjesz jednego z tych haseł, a Twoja witryna w ogóle odbiera ruch, prawie na pewno zostanie ona wcześniej lub później usunięta.

Silne hasło będzie obejmować:

  • Znaki pisane wielką i dolną literą
  • Być alfanumeryczny (A-Z i a-z)
  • Dołącz znak specjalny (!, @, #, $ Itp.)
  • Długość co najmniej 8 znaków

Im bardziej losowe jest Twoje hasło, tym bardziej będzie bezpieczne. Wypróbuj ten generator losowych haseł, jeśli masz problem z wymyśleniem jednego z nich. https://passwordsgenerator.net/

3. Zaimplementuj reCaptcha

Ściany boty z twojego bloga WP.

Program reCaptcha został zaprojektowany w celu powstrzymania pracy automatycznych narzędzi w witrynie. Oczywiście, biorąc pod uwagę złożoność dzisiejszych narzędzi hakerskich, można je łatwo ominąć, ale przynajmniej istnieje dodatkowa warstwa bezpieczeństwa.

Istnieje wiele wtyczek reCaptcha, których można użyć w instalacji, które będą działać prawie od razu po wyjęciu z pudełka.

4. Użyj uwierzytelniania dwuskładnikowego (2FA)

2FA to metoda uwierzytelniania, która wymaga weryfikacji Twojego loginu. Na przykład po zalogowaniu się przy użyciu nazwy użytkownika i hasła system może wysłać wiadomość SMS na Twój telefon komórkowy lub wysłać wiadomość e-mail z kodem, który należy wprowadzić, aby zweryfikować Twoją tożsamość.

Ta metoda uwierzytelniania zapewnia dobrą ochronę i jest dziś stosowana przez wiele banków i instytucji finansowych. Ponownie tę potrzebę można łatwo zaspokoić za pomocą wtyczki 2FA.

Zobacz, jak miniOrange (wtyczka 2FA) działa z logowaniem WordPress w poniższym filmie.

T.

5. Zmień nazwę swojego adresu URL logowania

Większość hakerów próbuje się zalogować za pomocą domyślnej strony logowania wordpress, co zwykle jest podobne

sample.com/wp-admin.

Aby dodać kolejną warstwę ochrony, zmień adres URL strony logowania szybko i bez wysiłku za pomocą narzędzia takiego jak WPS Hide Login.

6. Ogranicz liczbę prób logowania

Jest to jedna niesamowicie prosta technika, aby zatrzymać ataki brutalnej siły na twoją stronę logowania w ich ślady. Atak typu „brute force” polega na próbie poprawnego podania nazwy użytkownika i hasła poprzez wielokrotne próbowanie wielu kombinacji.

Jeśli śledzone jest konkretne IP, które dokonuje ataku, możesz zablokować powtarzające się brutalne próby wymuszenia i zapewnić bezpieczeństwo swojej stronie. Z tego też powodu występują globalne ataki DDOS z wieloma adresami IP o różnych źródłach ataku, aby zaskoczyć usługi hostingowe i bezpieczeństwo witryny.

Rozwiązanie LockDown i Security Login oferuje zarówno doskonałe rozwiązania do ochrony stron logowania do Twojej witryny. Śledzą adresy IP i ograniczają liczbę prób logowania w celu ochrony Twojej witryny.

Wzmocnij mur bezpieczeństwa

Omówiliśmy różne taktyki związane z zabezpieczaniem strony logowania do WordPress – te wyżej wymienione kroki to podstawy, które możesz zrobić. Należy również pamiętać, że niektóre hosty wymagają od użytkowników niektórych z tych praktyk bezpieczeństwa. Istnieje wiele innych praktyk bezpieczeństwa, które można wdrożyć w swoich witrynach.

7. Chroń swój katalog wp-admin

Dodaj dodatkową warstwę zabezpieczeń do katalogu hosta.

Katalog wp-admin jest sercem instalacji WordPress. Jako dodatkowe zabezpieczenie, chroń ten katalog hasłem.

Aby to zrobić, musisz zalogować się do panelu sterowania konta hostingowego. Bez względu na to, czy korzystasz z cPanel, czy Plesk, szukasz opcji „Katalogi chronione hasłem”.

Alternatywnie możesz zabezpieczyć katalog hasłem, dostosowując swoje pliki .htaccess i .htpasswds. Szczegółowy przewodnik krok po kroku oraz generator kodu są dostępne bezpłatnie na Dynamic Drive.

Pamiętaj, że ochrona hasłem twojego folderu wp-admin spowoduje uszkodzenie publicznego AJAX dla WordPress – musisz zezwolić na administrowanie ajax za pośrednictwem .htaccess, aby uniknąć błędów strony.

8. Użyj SSL do szyfrowania danych

Połączenie HTTP vs HTTPS (źródło: Sucuri)

Oprócz samej witryny będziesz także chciał zabezpieczyć połączenie między tobą a serwerem. To właśnie tutaj przychodzi protokół SSL w celu szyfrowania komunikacji. Dzięki szyfrowanemu połączeniu hakerzy nie będą w stanie przechwycić danych (takich jak hasło) podczas komunikacji z serwerem.

Poza tym dobrą praktyką jest teraz implementowanie protokołu SSL, ponieważ wyszukiwarki coraz częściej karają witryny, które uważają za „niezabezpieczone”.

Dla indywidualnych blogerów i małych firm darmowy, współdzielony SSL – który zwykle można uzyskać od dostawcy usług hostingowych, Let’s Encrypt lub CloudFlare – jest zwykle więcej niż wystarczający. Dla firm przetwarzających płatności klientów – najlepiej kupić dedykowany certyfikat SSL od usługodawcy hostingowego lub urzędu certyfikacji (CA).

Dowiedz się więcej o SSL w naszym obszernym przewodniku po A-Z.

9. Skorzystaj z sieci dystrybucji treści (CDN)

Chociaż może to nie uratować twojej witryny przed włamaniem, pomaga złagodzić złośliwe ataki na nią. Niektórzy hakerzy starają się usunąć strony internetowe, czyniąc je niedostępnymi dla ogółu społeczeństwa. CDN pomoże złagodzić skutki ataku Distributed Denial of Service na twoją stronę.

Poza tym pomaga także trochę przyspieszyć twoją stronę, buforując niektóre treści. Aby zbadać tę opcję, spójrz na CloudFlare jako przykład. CloudFlare oferuje usługi CDN na wielopoziomowych poziomach cenowych, dzięki czemu możesz nawet korzystać z podstawowych funkcji za darmo. https://www.cloudflare.com

10. Upewnij się, że całe oprogramowanie jest aktualne

Bez względu na to, jak dobre lub drogie jest oprogramowanie, zawsze będą w nich znajdować się nowe słabości, które mogą pozostawić je otwarte do wykorzystania. WordPress nie jest wyjątkiem, a zespół stale wydaje nowsze wersje z poprawkami i aktualizacjami.

Hakerzy prawie zawsze starają się wykorzystać słabość, a znany exploit, którego nie naprawiono, po prostu prosi o kłopoty. Dotyczy to dwa razy więcej wtyczek, które są często tworzone przez znacznie mniejsze firmy z mniejszymi zasobami.

Jeśli używasz wtyczek, upewnij się, że aktualizacje są regularnie wydawane, lub rozważ znalezienie popularnych wtyczek o podobnej funkcjonalności, które będą aktualizowane.

Powiedziawszy to, NIE zalecam używania automatycznych aktualizacji WordPress i wtyczek, szczególnie jeśli prowadzisz witrynę na żywo. Niektóre aktualizacje mogą powodować problemy, wewnętrznie lub w wyniku konfliktu z innymi wtyczkami i ustawieniami.

Najlepiej stwórz środowisko testowe, które będzie odzwierciedlać twoją działającą witrynę i przetestuj tam aktualizacje. Gdy upewnisz się, że wszystko działa poprawnie, możesz zastosować aktualizację do działającej witryny.

Panele sterowania, takie jak Plesk, umożliwiają utworzenie klonowania witryny do tego celu.

11. Tworzenie kopii zapasowych, tworzenie kopii zapasowych i tworzenie kopii zapasowych!

Wypadki zdarzają się bez względu na środki bezpieczeństwa i ostrożność. Oszczędź sobie od miażdżącego złamania serca i setek godzin pracy, po prostu upewniając się, że masz odpowiednie usługi tworzenia kopii zapasowych.

Zwykle twój hosting miałby przynajmniej podstawowe funkcje tworzenia kopii zapasowych, ale jeśli jesteś paranoikiem, takim jak ja, zawsze upewnij się, że wykonujesz własne kopie zapasowe. Tworzenie kopii zapasowej nie jest tak proste, jak po prostu skopiowanie niektórych plików, ale również uwzględnienie informacji w bazie danych.

Poszukaj sprawdzonego rozwiązania do tworzenia kopii zapasowych. Nawet niewielka inwestycja jest warta zaoszczędzenia na łzach w nagłych przypadkach. Coś takiego jak BackupBuddy może pomóc Ci zapisać wszystko, w tym bazę danych za jednym razem.

12. Twój hosting ma znaczenie!

Chociaż tradycyjnie firmy hostingowe oferowały nam po prostu miejsce do hostowania naszych stron internetowych, czasy się zmieniły. Dostawcy usług hostingowych, uznając pilną potrzebę zwiększenia bezpieczeństwa, nasilili się, a wielu oferuje usługi o wartości dodanej jako uzupełnienie swojego hostingu.

Weźmy na przykład HostGator, jedną z bardziej znanych nazw w grze. Oprócz podstawowych funkcji Cloudflare, HostGator (w cenie 10 USD + miesięcznie) oferuje również ochronę przed spamem, automatyczne usuwanie złośliwego oprogramowania, automatyczne kopie zapasowe, prywatność domen i wiele innych.

Zarządzany dostawca hostingu WordPress, Kinsta, buduje zapory sprzętowe i aktywnie monitoruje swoje serwery pod kątem złośliwego oprogramowania i ataków DDoS za pomocą niestandardowego systemu.

Jeśli nie przyszło ci to jeszcze do głowy, gorąco zachęcam do zapoznania się z funkcjami bezpieczeństwa udostępnianymi przez Twojego hosta i porównania ich z dostępnymi.

Aby uzyskać pełną listę, możesz sprawdzić tutaj kompilację najlepszych hostów internetowych WHSR.

Co teraz?

Zanim zaczniesz szaleć i zaczniesz przeszukiwać Internet w panice, szukając miliona i jednego rozwiązania bezpieczeństwa – weź głęboki oddech. Jak ze wszystkim innym, ktoś już pomógłby panikować i szukał rozwiązania.

Nawet jeśli wdrożysz tyle rozwiązań bezpieczeństwa, ile możesz znaleźć, jesteś pewien, że jesteś bezpieczny?

Tutaj pojawia się coś takiego jak Security Ninja, który pomaga zbadać witrynę pod kątem słabych punktów.

Szybka prezentacja: Jak działa Security Ninja.

Istnieje kilka istotnych powodów, aby używać czegoś takiego jak Security Ninja, ale powiem, że jest to narzędzie, które poleciłbym używać na wielu etapach podróży, aby zabezpieczyć witrynę.

Najpierw uruchom go w swojej witrynie „tak jak jest” – przed wprowadzeniem jakichkolwiek zmian. Pozwól wtyczce szturchać i sprzedawać swoją stronę, zanim poda wyniki.

Następnie na podstawie tych wyników pracuj nad zabezpieczeniem swojej witryny. Bezpieczeństwo Ninja wykonuje ponad 50 testów, aby zbadać twoją obronę. Nawet po wprowadzeniu zmian uruchom je ponownie (i za każdym razem, gdy będą zmiany w witrynie lub aktualizacje wtyczek), aby przetestować witrynę.

Jeśli wydaje Ci się, że to trochę za dużo pracy, Security Ninja zawiera również szereg dodatkowych modułów (wersja pro, pojedyncza strona 29 USD), które mogą pomóc w rozwiązaniu problemów, które znajdziesz.

Niektóre inne kluczowe funkcje w tych modułach obejmują:

  • Zeskanuj podstawowe pliki WP, aby zidentyfikować problematyczne pliki
  • Przywróć zmodyfikowane pliki jednym kliknięciem
  • Napraw uszkodzone automatyczne aktualizacje WP
  • Zakaz 600 milionów złych adresów IP zebranych z milionów zaatakowanych witryn
  • Lista automatycznych aktualizacji, bez potrzeby konserwacji lub pracy ręcznej
  • Chroń formularz logowania przed atakami siłowymi

Końcowe przemyślenia

Chociaż wszystko to może wydawać się nieco przesadne dla przeciętnego użytkownika WordPressa, zapewniam cię, że wszystko (i więcej) jest konieczne. Ignorując statystyki hakerskie na całym świecie i tak dalej, pozwól, że podzielę się z tobą informacjami osobistymi na jednej z najbardziej niejasnych stron, którym pomagam zarządzać.

Początkowo zaczynałem jako prosta strona biograficzna, stworzyłem www.timothyshim.com. Oczywiście było to po prostu coś, co ustawiłem i przez większość czasu zostawiłem w spokoju, po prostu jako punkt odniesienia. W każdym miesiącu ten serwis, który w zasadzie nic nie robi i nie gromadzi danych, napotyka ponad 30 ataków – połączenie brutalnej siły i złożonych.

Wystarczy, aby jeden z nich odniósł sukces i miałbym naprawdę zły dzień.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me