Bezpieczeństwo WordPress jest często zaniedbywaną kwestią dla nowych użytkowników WordPress. „ włamanie Jest dla nich czymś, co czytają, ale nie wyobrażają sobie, że może się to przydarzyć. Zastrzyki SQL, XSS, eskalacja uprawnień i krytyczne luki w zabezpieczeniach są więc tylko modnymi hasłami w nowych technologiach.
Ale rzeczy muszą być inne. Bezpieczeństwo WordPress jest fundamentalne: każda witryna WordPress musi być w pełni i odpowiednio chroniona.
Dlatego właściciel witryny WordPress musi wiedzieć, co zrobić, aby chronić swojego bloga przed atakami.
Właśnie zacząłem, myślę, że mój blog zostanie oszczędzony
Jeśli tak myślisz, napotkasz poważne trudności, nawet zanim cokolwiek wygrasz na swoim blogu. Hakerzy nie wyszukują ręcznie Twojego bloga ani nie muszą bezpośrednio szkodzić.
Zazwyczaj „hakerzy” używają zautomatyzowanych skryptów przeszukujących blogi. Jeśli odsyłacz do Twojej witryny pojawia się na forum, innym blogu lub nawet w sieci społecznościowej, można go wykorzystać, aby dotrzeć do Twojego bloga.
Ogólnym celem hakerów jest umożliwienie wykorzystania Twoich plików zakwaterowanie zrobić coś innego. Dlatego w Twoim interesie leży, aby nie zaniedbywać tego aspektu.
„Lista TODO” każdego blogera pod względem bezpieczeństwa
Wiesz już, że Twój blog nie zostanie oszczędzony. Co wtedy możesz zrobić?
Przygotowaliśmy listę rekomendacji (jest to również przypomnienie dla wszystkich, którzy śledzą nas tutaj na BlogPasCher), co należy zrobić, aby lepiej chronić swoją blog WordPress.
1 - Zawsze musisz mieć zaktualizowaną wersję WordPress
Raz po raz będziesz czytać komentarze na temat blogerów, którzy odmawiają aktualizacji swojej wersji WordPressa, ponieważ obawiają się, że ta aktualizacja stanowi problem ze zgodnością.
W 2016 niefortunnie jest widzieć, że nadal istnieje taka mentalność.
Gdybyś musiał wybrać między zaatakowaną witryną a wtyczką, która nie działa przez chwilę, co wybierzesz?
Wtyczki, które są niekompatybilne z najnowszymi wersjami WordPress, mogą tak pozostać przez krótki czas, ale z drugiej strony zhakowana strona jest znacznie większym problemem.
Każda aktualizacja WordPress rozwiązuje ostatnio wykryte problemy bezpieczeństwa. Jeśli Twoja wersja WordPress nie zostanie zaktualizowana, twoja strona będzie podatna na wady.
Dowiedz się, jak zarządzać aktualizacjami WordPress
2 - Nie modyfikuj kodu źródłowego WordPressa
Od momentu modyfikacji plików systemowych WordPress przez Ciebie lub programistę WordPress, nie będziesz w stanie łatwo i automatycznie zaktualizować WordPress do najnowszej wersji, ponieważ utracisz zmiany wprowadzone w witrynie.
W ten sposób Twoja witryna będzie narażona na problemy bezpieczeństwa wykryte w używanej wersji WordPress. Więc będziesz potrzebować siebie Patcher - Różne luki i wątpię, żeby dziś wieczorem było to łatwe zadanie. Powiedzenie twórców WordPressa mówi: Nigdy nie zmieniaj kodu źródłowego WordPressa pod żadnym pozorem. Kiedy to zrobisz, mały kotek na ziemi umiera.
To naprawdę nie ma sensu, ale dzięki temu WordPress jest tak elastyczny, że pozwala wtyczce zmienić swoje zachowanie bez dotykania kodu źródłowego.
3 - Upewnij się, że zawsze masz zaktualizowane wtyczki
Podobnie jak w przypadku Twojej wersji WordPressa, luki w zabezpieczeniach często znajdują się w WordPress wtyczki. Było wiele przypadków zhakowania blog WordPress związane z podatnością wtyczek.
Większość oprogramowania jest podatna na te problemy w pewnym momencie swojego istnienia. Sposób radzenia sobie z lukami pokazuje powagę, z jaką niektóre firmy prowadzą swoje firmy.
Zasadniczo, gdy tylko zostanie wykryty problem, twórcy wtyczki szybko go naprawią i zaoferują aktualizację.
Dowiedz się, jak automatycznie aktualizować wtyczki
4 - Usuń nieużywane wtyczki
Im więcej wtyczek zainstalujesz, tym więcej luk w zabezpieczeniach ujawnia Twój blog.
Czasami instalujemy wtyczki w celu przetestowania ich funkcjonalności i zapominamy o ich usunięciu. Jeśli w tych wtyczkach zostanie wykryta luka, twoja witryna będzie automatycznie narażona na atak, nawet jeśli wtyczka nie jest tak naprawdę używana.
Jeśli nie korzystasz z wtyczki, usuń ją. Pamiętaj też, aby zawsze pamiętać, że testowanie wtyczek można przeprowadzić lokalnie.
Jak odinstalować wtyczkę WordPress
5 - Upewnij się, że Twój motyw jest regularnie aktualizowany
Ta sama logika, która dotyczy aktualizacji WordPress i jego wtyczek, dotyczy jego motywów. Zabezpieczenie WordPress oznacza, że wszystkie motywy muszą zostać zaktualizowane do najnowszych wersji. W przeciwnym razie wszelkie usunięte luki w zabezpieczeniach pozostaną problemem.
Teraz możesz prawdopodobnie pomyśleć, że wszystkie zmiany wprowadzone w motywie nie będą już dostępne po aktualizacji. W zasadzie modyfikacje w motywie muszą koniecznie być dokonywane przez motyw potomny, a nie bezpośrednio w motywie nadrzędnym. Umożliwi to pobieranie najnowszych poprawek i aktualizacji zabezpieczeń bez usuwania zmian.
6 - zainstaluj wtyczki i motywy z zaufanego źródła
Czasami, gdy czasy są trudne, możemy ulec pokusie, aby „ominąć” płacenie za dobry motyw lub wtyczkę i pobrać je za darmo ze złego źródła.
W rzeczywistości nie ma nic złego w indeksowaniu źródła tutaj. Piractwo, torrenty i inne źródła oferujące płatne oprogramowanie za darmo to coś, czego absolutnie powinieneś unikać jak zarazy.
Zwykle nie zdajemy sobie jednak sprawy, że wiele zhakowanych motywów pobranych bezpłatnie zostało złośliwie uszkodzonych. Głównie „ tylne drzwi Został zainstalowany w skrypcie. Umożliwia to zdalną kontrolę witryny, w której motyw lub wtyczka są używane.
Musisz więc pobrać jak najwięcej darmowych motywów WordPress.orglub motywy premium w źródłach takich jak „ ThemeForest ".
7 - Użyj silnych haseł
Wielu właścicieli blogów zaniedbuje się na tym poziomie. Jeśli hasło jest łatwe do odgadnięcia, masz poważne kłopoty. Najczęściej używane hasła to:
- 123456
- Admin
- 0000
- Hasło
- Tajemnica
Okropnie to zauważyć. Nie możesz poważnie myśleć o pracy na swoim blogu, jeśli twoje hasło nie jest.
Ochrona blogu ma również niezawodne hasło.
8 - Ogranicz liczbę prób połączenia
Omówiliśmy już przypadki ataków brute force na hasło oraz fakt, że korzystanie z botów jest tanie i bardzo dostępne dla hakerów. Z tego powodu musisz wprowadzić mechanizmy blokujące wszelkie próby ataków siłowych.
Wtyczka « Ogranicz logowanie Dokładnie tak. Jeśli wykryje szereg niepoprawnych prób logowania, uniemożliwi to ponowne zalogowanie się tego użytkownika. To oczywiście utrudnia połączenie ataków siłowych i lepiej chroni Twojego bloga.
9 - Twórz kopie zapasowe
Wymieniłem listę rzeczy, które powinieneś zrobić, aby zabezpieczyć WordPress i rozumiem, że może to być nieco trudne do wprowadzenia w życie. Wiem też, że możesz zapomnieć o złożeniu.
Ale jest jedno zadanie, którego nie powinieneś pomijać: tworzyć kopie zapasowe swojego bloga.
Jedyną rzeczą, której nigdy nie powinieneś zapomnieć, jest plan tworzenia kopii zapasowych WordPress. Nie tylko w przypadku ataków, ale nawet w przypadku wypadków, awarii technicznych i innych wpadek, posiadanie kopii zapasowej zapewnia, że możesz łatwo stanąć na nogi.
Snapshot Pro jest jak wehikuł czasu dla Twojej witryny, umożliwiając tworzenie kopii zapasowych i przywracanie całej witryny, a nawet planowanie regularnych automatycznych kopii zapasowych.
10 - Aktywuj Google Search Console
Chociaż nie jest to ścisła rekomendacja w stosunku do WordPressa, nadal należy to rozważyć jako uzupełnienie różnych zaleceń z tej listy.
Google i inne wyszukiwarki zawsze chcą mieć pewność, że Twoja witryna jest wolna od jakichkolwiek zagrożeń dla użytkowników wyszukiwarek. Z tego powodu Google powiadomi Cię, jeśli zauważy coś nietypowego w Twojej witrynie.
Ta praktyka pozwoli ci poprawnie przywrócić wcześniejszą stronę internetową "Hacked", zwłaszcza, że Google ukrywa w swoich wynikach każdą witrynę, która stanowi zagrożenie dla tych użytkowników.
To wszystko ?
Nie, lista nie jest wyczerpująca. Istnieje wiele rzeczy, które możesz zrobić, aby lepiej chronić swojego bloga. Ale to pierwszy krok.
