Wordpress

Egyszerű biztonsági ellenőrzőlista a WordPress webhelyekhez

Tudtad, hogy naponta több mint 100,000 XNUMX webhelyet törnek fel? Ez így van, a kiberbűnözés komoly veszélyt jelent minden cégre, és a WordPress-webhellyel rendelkezők sincsenek biztonságban. Összefutottam hackerekkel (és vissza kellett állítanom a WordPress-webhelyemet), és valószínűleg tudod, hogy csúnya volt.

A hackerek aktívan keresnek sebezhető webhelyeket, hogy feltörjék és ellopják azokat az adatokat, amelyeket pénznyereség vagy pusztán rosszindulatú szándékkal kiadhatnak. Saját maga és értékes webhelye védelme érdekében komolyan fontolóra kell vennie a WordPress biztonságának szigorítását.

Figyelembe véve, hogy bevételt, időt és erőfeszítést fog veszíteni, ha hackerek betörnek a webhelyére, elkészítettük a következő biztonsági ellenőrzőlistát, amellyel biztonságossá teheti WordPress-webhelyét. A posztban található összes biztonsági elem viszonylag könnyen megvalósítható még az elsők számára is:

  1. Frissítse a WordPress alkalmazást
  2. Témák és beépülő modulok frissítése
  3. Használjon egyedi és erős jelszavakat
  4. Telepítsen egy WordPress biztonsági bővítményt
  5. Válassza a Nagyszerű WordPress tárhelyet
  6. SSL (HTTPS) használata
  7. Hozzon létre egy teljes webhely biztonsági másolatot
  8. Webalkalmazás tűzfal (WAF) használata
  9. Fájlszerkesztés letiltása a WordPress Admin alkalmazásban
  10. Biztosítsa bejelentkezési oldalát
  11. Hitelesítés hozzáadása
  12. Kijelentkezés az inaktív felhasználókból
  13. Keressen rosszindulatú programokat és problémákat
  14. Használjon VPN-t

Amint láthatja, a bejegyzést több részre bontjuk, és mindent lefed a biztonságos gazdagép kiválasztásától az adminisztrációs terület megszilárdításáig és egyebekig. Néhány biztonsági feladatot meg kell ismételnie, például rendszeresen frissítenie kell a témákat. Az egyéb feladatok egyszeriek, de jelentős hatással vannak webhelye biztonságára. Ellenőrizze, hogy mit kell javítania, és tegye meg azonnal, mert a hackerek sem vesztegetik az időt.

Egyszerű WordPress biztonsági ellenőrzőlista

1. Frissítse a WordPress programot

A WordPress magját rendszeresen auditálják, és ellenőrzik a biztonsági réseket. Ha biztonsági hibákat és hibákat észlelnek, az alapvető fejlesztők általában karbantartási frissítéseket adnak ki. A kisebb frissítések automatikusan települnek a WordPress webhelyére.

A WordPress-t azonban manuálisan kell frissítenie az összes főbb kiadáshoz. Ez egy viszonylag egyszerű folyamat, mivel zsémbes üzenetet kap a WordPress adminisztrátora. A webhelyek mindössze 22%-a fut a WordPress legújabb verzióján, ami szomorú, tekintve, hogy milyen egyszerű a frissítés.

Ne maradjon a maradék 78%-ban, mivel lényegében mindenféle támadásnak teszi ki webhelyét azzal, hogy nem frissíti. Általában a hackerek jelentik az első embercsoportot, aki tudomást szerez a régi verziók sebezhetőségeiről, mivel a hibákra számítanak a sikeres támadások indításakor.

A WordPress frissítése előtt javasoljuk, hogy olvassa el a kiadási megjegyzéseket, hogy megtudja, mi változott, és készítsen biztonsági másolatot a webhelyről (a biztonság kedvéért). Így most megtudhatja, mire számíthat, ha rákattint a frissítés gombra, és megvan a hibabiztos, ha bármi balulna meg.

2. Frissítse a témákat és bővítményeket

A WordPress mag frissítése közben ne felejtse el frissíteni a témákat és a bővítményeket sem. A hackerek különösen kedvelik a régi témákat és az ismert biztonsági résekkel rendelkező bővítményeket.

Kihasználják ezeket a biztonsági réseket, és akár egy hátsó ajtót is elrejthetnek egy régi témában vagy bővítményben. Ha nem frissít, bármikor feltörhetik webhelyét, amikor csak akarja.

Az egyéni stílusok elvesztésének elkerülése érdekében javasoljuk, hogy a szülőtémával szemben egy WordPress alárendelt témát használjon. Így nem veszíti el a testreszabásait a téma frissítésekor.

Ezenkívül el kell távolítania az inaktív témákat, bővítményeket és a nem használt WordPress-telepítéseket. Nemcsak sávszélességet takarít meg, és gyorsabbá teszi webhelyét, hanem a hackereket is távol tartja.

Egy másik gyors megjegyzés: soha ne töltsön le „nulled” prémium témákat és bővítményeket. Csak olyan megbízható forrásokat használjon, mint a WordPress.org, az Envato vagy más jó hírű témabolt.

3. Használjon egyedi és erős jelszavakat

Meg fog lepődni, amikor megtudja, hogy a legtöbb webhelyet feltörik, amikor a rosszfiúk ellopják a bejelentkezési adatait. Ezenkívül a brute force támadások meglehetősen gyakoriak, és magukban foglalják a bejelentkezési oldal több ezer felhasználónév-jelszó kombinációval való bombázását, amíg valami nem ad.

Ha gyenge felhasználóneveket és jelszavakat használ (például a hírhedt „admin” vagy „12345”), akkor hihetetlenül megkönnyíti a hackerek számára, hogy betörjenek a webhelyére. Szokjon rá egyedi és erős jelszavak létrehozására, amelyeket rendszeresen módosít. Akár ingyenes online generátort is használhat, például ezt a LastPass-tól.

Sok erős jelszó kezelése gondot okozhat. A segítségnyújtás érdekében gyakran támaszkodom többek között olyan jelszókezelőkre, mint az 1Password vagy a LastPass. Ne használja újra ugyanazt a jelszót több webhelyen, és mindig tartsa biztonságban bejelentkezési adatait. Győződjön meg róla, hogy a WordPress-felhasználók is erős jelszavakat használnak.

Amíg itt van – ne felejtsen el erős jelszavakat használni az e-mailekhez, a cPanelhez, a MySQL adatbázisokhoz és az FTP-fiókokhoz is.

4. Telepítse a WordPress biztonsági bővítményt

Amikor létrehozok egy új WordPress webhelyet, általában több defacto beépülő modult telepítek szinte automatikusan. Kapok egy levélszemét-ellenes beépülő modult, a 7-es kapcsolatfelvételi űrlapot, a Symple Shortcodes-t és az iThemes Security-t, a WordPress biztonsági bővítményemet.

A beépülő modul segítségével megerősíthetem a WordPress-védelmemet anélkül, hogy izzadnék. Olyan sok funkcióval rendelkezik, amelyek megkönnyítik a rosszfiúk távoltartását a webhelyeimről. A beépülő modul konfigurálása rendkívül egyszerű; rövid időn belül üzembe kell állnia.

A legjobb WordPress biztonsági beépülő modulok különböző szolgáltatásokat kínálnak, ezért telepítés előtt feltétlenül ellenőrizze, hogy minden olyan szolgáltatást megkap-e, amelyre szüksége van a teljes webhely biztonságához, függetlenül attól, hogy mennyire egyedi. A szabványos funkciók közé tartozik a rosszindulatú programok ellenőrzése, az IP-blokkolás, a brute-force megelőzés, a kéttényezős hitelesítés és még sok más – az éppen olvasott biztonsági ellenőrzőlista számos jelölőnégyzetének bejelölése!

5. Válassza a Great WordPress Hosting lehetőséget

A kezdők általában az első olcsó tárhelycsomagot választják, amellyel találkoznak. Nem tartanám ellened, mert nem tudsz jobbat, de a megkérdőjelezhetően olcsó (vagy akár ingyenes) megosztott tárhely biztonsági kockázatoknak teheti ki. Ezt pontosan tudom, mivel két különböző, megosztott tárhelyet kínáló hosting cégen feltörtek.

A megosztott hosting magában foglalja a szerver megosztását több ezer másik webhelytel. Ez növeli a telephelyeken átnyúló szennyeződés kockázatát. Ez azt jelenti, hogy a hacker akkor is hozzáférhet az Ön webhelyéhez, ha valaki más webhelye volt az eredeti támadási pont.

A felügyelt WordPress-tárhely viszont csak a WordPress-webhelyekre összpontosít. Nem osztja meg a szervert másokkal, és több biztonsági lehetőséget kap a biztonság megőrzéséhez. Dedikált támogatást is kínálnak, és több helyreállítási lehetőséget is kínálnak, ha a legrosszabb történne.

Ha megosztott tárhelyet kell használnod, mondjuk, hogy egy olyan bloggal kezdesz, amely még nem hoz pénzt, győződjön meg arról, hogy a webhelyek elszigeteltek vagy „börtönbe vannak zárva”. Ha üzleti vagy e-kereskedelmi webhelyet üzemeltet, megéri a legjobb WordPress tárhelyet használni, amely a kezdetektől fogva belefér a költségvetésébe – például VPS, dedikált vagy menedzselt WordPress tárhely.

6. SSL (HTTPS) használata

Napjainkban sok WordPress hosting cég kínál ingyenes SSL-tanúsítványokat, és jó okkal. Az SSL-tanúsítványok biztonságosabbá teszik webhelyét, mint az SSL nélküli webhelyek. A Google azt is javasolja, hogy SSL-tanúsítványokat használjon a webhelyén lévő adatok védelmére (és annak biztosítására, hogy a felhasználók tudják, használ-e SSL-t vagy sem).

A HTTPS biztonságosabb, mint elődje HTTP. A HTTPS-t használó webhely titkosítja a felhasználó böngészője és az Ön szerverei között mozgó összes adatot. Ha egy hacker elfogja a kommunikációt, akkor csak olyan titkosított adatokat talál, amelyek olyan hasznosak, mint egy féllábú férfi egy szamárrugdosó versenyen 🙂

Az SSL-tanúsítványok telepítése a legtöbb webtárhelyen olyan egyszerű, mint az A, B, C. A legtöbb egy kattintásos telepítőt kínál, amelyek megkönnyítik az egész folyamatot. Egyszerűen jelentkezzen be a cPanelbe, és kattintson egyetlen gombra az SSL-tanúsítványok telepítéséhez és kezeléséhez. Ha gyakorlatiasabb megközelítésre vágyik, fontolja meg a Let's Encrypt lehetőséget.

7. Hozzon létre egy teljes webhely biztonsági másolatot

Amikor a hackerek letaszítottak a trónomról, a semmiből kellett újjáépíteni a webhelyeimet, ami olyan fejfájást okozott volna, amelyet elkerültem volna, ha megbízhatóan emlékeztem volna a WordPress biztonsági mentésére.

De nem, a webtárhelyemnél lévő biztonsági mentések megsérültek a támadás során, és nem, nem volt másodlagos biztonsági mentési megoldásom. Egy klasszikus eset, amikor az összes tojást egy kosárba rakod, ami kemény leckét adott nekem.

Manapság teljes webhely-mentést készítek, amely tartalmazza a webhelyem fájljait és adatbázisait. Elsősorban a ManageWP-t használom, de a Duplicator plugint is használom a biztonsági mentések számítógépen és Google Drive-ban való tárolására.

Arra kérem Önt, hogy rendszeresen készítsen teljes biztonsági másolatot. Számos WordPress biztonsági mentési megoldás lehetővé teszi a teljes folyamat automatizálását, így időt takaríthat meg és nyugalmat biztosít.

8. Használjon webalkalmazási tűzfalat (WAF)

Ha további biztonsági réteget szeretne hozzáadni WordPress webhelyéhez, és jobban szeretne aludni éjszaka, engedélyezze a webalkalmazások tűzfalát (WAF). A WAF megvédi webhelyét azáltal, hogy blokkolja a rosszindulatú forgalmat jóval azelőtt, hogy az eljutna az Ön webhelyére. Ez egy proaktív intézkedés, hogy megállítsuk a rosszfiúkat, mielőtt kárt okoznának.

A tűzfal kiszűri a bejövő forgalmat, kiküszöböli a hackereket, miközben átengedi a jogos felhasználókat. Számos WordPress biztonsági cég kínál webalkalmazások tűzfalát egyéb funkciók mellett. Az iparágban népszerű lehetőségek közé tartozik a Sucuri és a Cloudflare.

9. Tiltsa le a fájlszerkesztést a WordPress Admin alkalmazásban

A WordPress CMS fantasztikus kódszerkesztővel rendelkezik, amely lehetővé teszi a bővítmény- és témafájlok szerkesztését a WordPress adminisztrátori irányítópultján. A kódszerkesztő nagyszerű eszköz, amely a rendelkezésére áll, de rossz kezekben a hackerek felhasználhatják arra, hogy megrontsák vagy rosszindulatú programokat helyezzenek el webhelyén.

A téma és a beépülő modulok fájljait (ha szükséges) bármikor szerkesztheti FTP-n vagy a cPanel fájlkezelőjén keresztül, ami azt jelenti, hogy teljesen letilthatja a WordPress kódszerkesztőjét. Nem szeretné, ha a WordPress adminisztrátori területéhez hozzáférő hackerek hozzáférnének a kódszerkesztőhöz, mert néhány sornyi kóddal rengeteg kárt okozhatnak.

Mit kell tenni? A beépített kódszerkesztőt letilthatja az ingyenes Sucuri Security beépülő modul segítségével. Alternatív megoldásként hozzáadhatja a következő kódot az Önhöz wp-config.php file:

// Fájlszerkesztés letiltása define( 'DISALLOW_FILE_EDIT', true );

Haladunk tovább.

10. Biztosítsa bejelentkezési oldalát

Általában a WordPress bejelentkezési űrlapja két mezőből áll; Felhasználónév és jelszó. Mivel a brute force támadók és botok napról napra okosabbak lesznek, hogyan akadályozhatja meg, hogy a hackerek hozzáférjenek a WordPress adminisztrációs területéhez? Ez egyszerű; CAPTCHA-t vagy biztonsági kérdéseket ad hozzá, amelyek megnehezítik az illetéktelen hozzáférést.

És nem kell szerkesztenie a kódot add hozzá a CAPTCHA-t or biztonsági kérdések bejelentkezési oldalára. Van egy népszerű WordPress-bővítmény, a WP Security Question, amely könnyen konfigurálható és használható. Ha a CAPTCHA-t szeretné használni, használhatja az Egyszerű bejelentkezés Captcha-t, a WordFence-et vagy a WordPress.org webhelyen ingyenesen elérhető számos más lehetőség egyikét.

Ugyanakkor megteheti módosítsa a wp-bejelentkezési URL-t valami egyedire. Így a robotok és a hackerek nehezen tudják kitalálni a bejelentkezési oldal URL-jét. A wp-login már most népszerű a hackerek körében, így teljesen logikus az URL-t valami másra változtatni. Használhat olyan bővítményt, mint például a WPS Hide Login.

11. Adja hozzá a hitelesítést

Ezenkívül fontolja meg a két- és többtényezős hitelesítés megvalósítását. Ha egy hacker hozzáfér az Ön bejelentkezési adataihoz, nem tud majd bejelentkezni a WordPress-webhelyére. Számos lehetőség áll rendelkezésre, de a Google Authenticator népszerű választás.

Ettől eltekintve korlátozza a bejelentkezéseket a bejelentkezési oldalon. Ha egy látogató nem létező fiókkal próbál bejelentkezni, vagy sokszor próbál újra bejelentkezni, akkor valószínűleg egy hacker vagy bot, aki brutális erővel próbálja bejutni. Használhat olyan bővítményt, mint például a Limit Login. Kísérletek vagy bejelentkezési zárolás, hogy távol tartsák ezeket a tolakodó elemeket.

12. Jelentkezzen ki az inaktív felhasználókból

Ha többfelhasználós WordPress webhelye van, nem tudja teljes mértékben szabályozni, hogy a felhasználók hogyan és hol férhessenek hozzá a webhelyéhez. A szerző dönthet úgy, hogy ingyenes nyilvános Wi-Fi-t használ a cikk utolsó simításaihoz. Előfordulhat, hogy egy webdesigner elhagyja az íróasztalát, és visszatér az egyórás ebédszünetből.

Ilyen esetekben a felhasználó tudtukon kívül biztonsági kockázatoknak teheti ki webhelyét. Egy rosszindulatú személy átveheti a munkamenetet, szerkesztheti adatait, és egyszerűen pusztítást végezhet. Ha az illetéktelen fél tudja, mit csinál, könnyen átveheti a felhasználó fiókját és kárt okozhat.

Mit kell tenni? Az inaktív felhasználókat egy előre meghatározott idő elteltével automatikusan kijelentkeztetheti. És a legjobb rész? Pontosan erre a célra vannak bővítmények. Az egyik népszerű lehetőség az Inaktív kijelentkezés beépülő modulja, amely a kijelentkezés előtti üresjárati idő testreszabását, egyéni felugró üzenetet vagy átirányítást kijelentkezéskor, valamint időtúllépést tartalmaz a felhasználói szerepkörök szerint.

13. Rosszindulatú programok és problémák keresése (rendszeresen)

Gyakran elfelejtik, hogy a WordPress webhely rendszeres átvizsgálása segíthet a biztonsági problémák korai felismerésében. Csupán egy másodpercbe telik, amíg egy hacker betör a webhelyére, és mindenféle csúnya dolgot elkövet. Pontosan ezért kell mindig a dolgok tetején maradnia.

Számos WordPress biztonsági beépülő modul keresi a rosszindulatú programfertőzéseket, az ismert biztonsági réseket, az elavult szkripteket, a brute force támadásokat, a nem létező biztonsági másolatokat stb. A beépülő modulok részletes jelentéseket küldenek az ismert problémákról, így kijavíthatja azokat, vagy szakembert kérhet.

Számos webhely-szkenner létezik, például a Sucuri SiteCheck, amelyek segítségével pillanatok alatt ellenőrizheti webhelyét. Mindössze annyit kell tennie, hogy megadja az URL-címét, és az eszközök automatikusan ellenőrzik webhelyét. Ezt követően felajánlanak egy jelentést arról, hogy mit kell javítania. Miután megkapta a jelentést, azonnal javítsa ki az összes biztonsági rést.

14. Használjon VPN-t

Ha olyan webhelyet üzemeltet, amely érzékeny információkat tartalmaz, amelyek soha nem kerülhetnek hackerek kezébe, fontolja meg a virtuális magánhálózat (VPN) használatát, különösen az ingyenes nyilvános Wi-Fi használatakor. A VPN megvédi Önt a köztes támadásoktól, amelyek gyakoriak a nyilvános hálózatokban, beleértve az otthoni és munkahelyi hálózatokat is.

A virtuális magánhálózat biztosítja, hogy még ha a támadók hozzáférnek is a rendszerhez, és ellopják az Ön adatait, semmit sem tudnak kezdeni az Öntől elvett adatokkal. Ha olyan internetes hálózattal rendelkezik, amelyet sok emberrel megoszt, mindig használjon VPN-t, mielőtt hozzáférne a WordPress adminisztrációs területéhez.

Egyéb WordPress biztonsági beállítások

Több teendőre van szüksége? Szeretnénk, ha webhelye mindig biztonságban lenne, ezért a következő biztonsági elemeket kell hozzáadnia az ellenőrzőlistához:

  • A PHP-fájl végrehajtásának letiltása a /wp-content/wp-uploads/ mappában
  • Módosítsa a WordPress adatbázis előtagját
  • Jelszóval védi az adminisztrációs és bejelentkezési oldalakat a szerver oldalon
  • A címtárindexelés letiltása
  • Ha nincs rá szükség, kapcsolja ki a WP REST API-t és az XML-RPC-t
  • Ne szerkessze/módosítsa a WordPress magját – írjon vagy használjon helyette olyan beépülő modult, amely a szükséges funkciókat kínálja
  • Győződjön meg arról, hogy webhelyén a PHP legújabb verziója fut
  • Használjon víruskereső programot a számítógépén
  • A Google Search Console engedélyezése
  • Csökkentse az XSS és SQL Injection sebezhetőségét (lehet, hogy technikában jártasabb személyre van szüksége, aki segít ebben a kettőben)

Valójában végtelen számú lépést tehet webhelye védelme érdekében. De ha ki tudja jelölni az általunk felsorolt ​​14 elemet, az óriási lépés a webhely biztonsága felé.


A WordPress webhely biztonságossá tétele kihívást jelent, de nem lehetetlen. A megfelelő eszközökkel és készségekkel gyorsan megerősítheti a WordPress biztonságát, és távol tarthatja a rossz szereplőket.

Összefoglalva, mindig tartsa naprakészen webhelyét. Ráadásul soha ne töltsön le témákat vagy bővítményeket nem megbízható webhelyekről. És a biztonság kedvéért, ha a legrosszabb történne, mindig rendelkezzen megbízható biztonsági megoldással.

Reméljük, hogy megtalálta a WordPress-webhelye biztonságossá tételéhez szükséges összes tippet, így az online üzletet. Ha kérdése van, vagy segítségre van szüksége a WordPress webhely biztonságosabbá tételéhez, kérjük, ossza meg velünk megjegyzésekben. Maradj biztonságban!

Kapcsolódó cikkek

0 Hozzászólások
Inline visszajelzések
Az összes hozzászólás megtekintése
Vissza a lap tetejére gombra