Wordpress

Einföld öryggisgátlisti fyrir WordPress síður

Vissir þú að yfir 100,000 vefsíður eru brotnar inn daglega? Það er rétt, netglæpir eru alvarleg ógn við hvaða fyrirtæki sem er og hver sem er með WordPress síðu er heldur ekki öruggur. Ég hef lent í tölvuþrjótum (og þurfti að endurheimta WordPress síðuna mína) og þú veist líklega að hún var ljót.

Tölvuþrjótar eru virkir að leita að viðkvæmum vefsíðum til að brjóta og stela gögnum sem þeir geta gefið út fyrir peningalegan ávinning eða hreinan illgjarn ásetning. Til að vernda sjálfan þig og þína dýrmætu síðu ættir þú alvarlega að íhuga að herða WordPress öryggi þitt.

Þar sem þú munt tapa tekjum, tíma og fyrirhöfn þegar tölvuþrjótar brjótast inn á vefsíðuna þína, höfum við búið til eftirfarandi öryggisgátlista sem þú getur notað til að tryggja WordPress vefsíðuna þína. Öll öryggisatriði í færslunni eru tiltölulega auðveld í framkvæmd, jafnvel fyrir nýliða:

  1. Uppfærðu WordPress
  2. Uppfærðu þemu og viðbætur
  3. Notaðu einstök og sterk lykilorð
  4. Settu upp WordPress öryggisviðbót
  5. Veldu frábæra WordPress hýsingu
  6. Notaðu SSL (HTTPS)
  7. Búðu til fullan öryggisafrit af vefnum
  8. Notaðu Web Application Firewall (WAF)
  9. Slökktu á skráavinnslu í WordPress Admin
  10. Tryggðu innskráningarsíðuna þína
  11. Bæta við auðkenningu
  12. Skráðu þig út óvirkir notendur
  13. Leitaðu að spilliforritum og vandamálum
  14. Notaðu VPN

Eins og þú sérð munum við skipta færslunni í marga hluta sem fjalla um allt frá því að velja öruggan gestgjafa til að herða stjórnunarsvæðið þitt og aðra. Þú þarft að endurtaka nokkur öryggisverkefni, eins og að uppfæra þemu þína reglulega. Önnur verkefni eru einskiptisatriði, en hafa samt veruleg áhrif á að halda síðunni þinni öruggri. Athugaðu hvað þú þarft að laga og gerðu það strax því tölvuþrjótar sóa ekki tíma heldur.

Einföld WordPress öryggisgátlisti

1. Uppfærðu WordPress

WordPress kjarni er reglulega endurskoðaður og athugaður með tilliti til öryggisgalla. Ef öryggisgalla og villur finnast gefa kjarnaframleiðendur venjulega út viðhaldsuppfærslur. Minniháttar uppfærslur eru sjálfkrafa settar upp á WordPress vefsíðunni þinni.

Þú þarft hins vegar að uppfæra WordPress handvirkt fyrir allar helstu útgáfur. Það er tiltölulega einfalt ferli þar sem þú færð pirrandi skilaboð í WordPress stjórnandanum þínum. Aðeins 22% vefsíðna keyra á nýjustu útgáfunni af WordPress, sem er sorglegt miðað við hversu auðvelt það er að uppfæra.

Ekki vera í þeim 78% sem eftir eru þar sem þú ert í raun að útsetja síðuna þína fyrir alls kyns árásum með því að uppfæra ekki vefsíðuna þína. Venjulega eru tölvuþrjótar fyrsti hópur fólks til að læra um veikleika í gömlum útgáfum, þar sem þeir treysta á gallana til að hefja árangursríkar árásir.

Áður en þú uppfærir WordPress mælum við með að þú lesir útgáfuskýringarnar til að sjá hvað hefur breyst og taka öryggisafrit af vefsíðunni þinni (bara til öryggis). Þannig geturðu nú hvað á að búast við þegar þú smellir á uppfærsluhnappinn og þú ert með bilunaröryggi ef eitthvað fer úrskeiðis.

2. Uppfærðu þemu og viðbætur

Þegar þú uppfærir WordPress kjarnann, ekki gleyma að uppfæra þemu þína og viðbætur líka. Tölvuþrjótar eru sérstaklega hrifnir af gömlum þemum og viðbótum með þekktum öryggisgötum.

Þeir nýta sér þessa öryggisgalla og geta jafnvel falið bakdyr í gömlu þema eða viðbót. Ef þú uppfærir ekki geta þeir hakkað vefsíðuna þína hvenær sem þeim þóknast.

Til að forðast að tapa sérsniðnum stílum þínum, mælum við með því að nota WordPress barnaþema öfugt við foreldraþema. Þannig muntu ekki missa sérstillingarnar þínar þegar þú uppfærir þemað.

Þú ættir líka að útrýma öllum óvirkum þemum, viðbótum og ónotuðum WordPress uppsetningum. Þú sparar ekki aðeins bandbreidd og gerir vefsíðuna þína hraðari, heldur heldur þú tölvuþrjótum í skefjum.

Önnur fljótleg athugasemd, aldrei hlaðið niður „núlluðum“ úrvalsþemum og viðbótum. Farðu aðeins með traustar heimildir eins og WordPress.org, Envato eða aðra virta þemaverslun.

3. Notaðu einstök og sterk lykilorð

Það kemur þér á óvart að vita að það er brotist inn á flestar vefsíður þegar vondu kallarnir stela innskráningarupplýsingunum þínum. Að auki eru árásir á grimmdarkrafti nokkuð algengar og fela í sér sprengjuárás á innskráningarsíðuna þína með þúsundum notendanafns-lykilorðssamsetninga þar til eitthvað gefur sig.

Ef þú notar veik notendanöfn og lykilorð (eins og hinn frægi „admin“ eða „12345“) ertu að gera það ótrúlega auðvelt fyrir tölvuþrjóta að brjótast inn á vefsíðuna þína. Vendu þig á að búa til einstök og sterk lykilorð sem þú breytir reglulega. Þú getur jafnvel notað ókeypis rafal á netinu, eins og þennan frá LastPass.

Það getur verið vandamál að stjórna mörgum sterkum lykilorðum. Til að hjálpa, treysti ég oft á lykilorðastjóra eins og 1Password eða LastPass, meðal annarra. Ekki endurnota sama lykilorðið á mörgum vefsíðum og haltu alltaf innskráningarupplýsingunum þínum öruggum. Gakktu úr skugga um að WordPress notendur þínir noti líka sterk lykilorð.

Á meðan þú ert að því – mundu að nota sterk lykilorð fyrir tölvupóstinn þinn, cPanel, MySQL gagnagrunna og FTP reikninga líka.

4. Settu upp WordPress öryggistengibúnað

Alltaf þegar ég bý til nýja WordPress vefsíðu, hef ég venjulega nokkur defacto viðbætur sem ég set upp nánast sjálfkrafa. Ég fæ viðbætur gegn ruslpósti, snertingareyðublað 7, Simple Shortcodes og iThemes Security, öryggisviðbót mína sem ég er að fara í WordPress.

Viðbótin gerir mér kleift að styrkja WordPress varnir mínar án þess að svitna. Það kemur með svo marga eiginleika sem gera það auðvelt að halda vondu krökkunum frá vefsíðum mínum. Að stilla viðbótina er frábær duper auðvelt; þú ættir að vera kominn í gang á skömmum tíma.

Bestu WordPress öryggisviðbæturnar bjóða þér upp á mismunandi eiginleika, svo vertu viss um að athuga áður en þú setur upp til að ganga úr skugga um að þú færð alla þá eiginleika sem þú þarft til að tryggja alla vefsíðuna þína, sama hversu einstök þau eru. Staðlaðir eiginleikar fela í sér skönnun á spilliforritum, IP-blokkun, forvarnir gegn grófu krafti, tveggja þátta auðkenningu og svo margt fleira - hakaðu við marga af reitunum fyrir þennan öryggisgátlista sem þú ert að lesa núna!

5. Veldu frábæra WordPress hýsingu

Venjulega leita byrjendur eftir fyrsta ódýra hýsingarpakkanum sem þeir rekast á. Ég myndi ekki halda því á móti þér þar sem þú veist ekki betur, en vafasöm ódýr (eða jafnvel ókeypis) sameiginleg hýsing getur sett þig í öryggisáhættu. Ég veit þetta af eigin raun þar sem ég hef verið tölvusnápur á tvö mismunandi hýsingarfyrirtæki sem bjóða upp á sameiginlega hýsingu.

Sameiginleg hýsing felur í sér að deila netþjóni með þúsundum annarra vefsíðna. Þetta eykur hættuna á mengun milli staða. Það er, tölvuþrjótur getur fengið aðgang að síðunni þinni jafnvel þó að vefsíða einhvers annars hafi verið upphaflegi árásarstaðurinn.

Stýrð WordPress hýsing einbeitir sér aftur á móti eingöngu að WordPress vefsíðum. Þú deilir ekki netþjóni með öðrum og þú færð fleiri öryggisvalkosti til að vera öruggur. Þeir bjóða líka upp á sérstakan stuðning og fleiri endurheimtarmöguleikar ættu það versta að gerast.

Ef þú verður að nota sameiginlega hýsingu, segðu að þú sért að byrja með blogg sem græðir ekki enn, vertu viss um að síðurnar séu einangraðar eða „fangelsaðar“. Ef þú ert að reka fyrirtæki eða eCommerce vefsíðu borgar sig að nota bestu WordPress hýsingu sem þú getur passað inn í kostnaðarhámarkið þitt frá upphafi – eins og VPS, sérstaka eða stýrða WordPress hýsingu.

6. Notaðu SSL (HTTPS)

Nú á dögum bjóða mörg WordPress hýsingarfyrirtæki upp á ókeypis SSL vottorð frá upphafi og af góðri ástæðu. SSL vottorð gera vefsíðuna þína öruggari en síður án SSL. Google mælir líka með því að nota SSL vottorð til að vernda gögn á vefsíðunni þinni (og tryggja að notendur viti hvort þú notar SSL eða ekki).

HTTPS er öruggara en forveri HTTP. Vefsíða sem notar HTTPS dulkóðar öll gögn sem flytjast á milli vafra notandans og netþjónanna þinna. Ef tölvuþrjótur hlerar samskiptin þá finnur hann aðeins dulkóðuð gögn sem eru jafn gagnleg og einfættur maður í rasssparkkeppni 🙂

Að setja upp SSL vottorð á flestum vefþjónum er eins auðvelt og A, B, C. Flestir bjóða upp á uppsetningarforrit með einum smelli sem gera allt ferlið auðvelt. Skráðu þig einfaldlega inn á cPanel og smelltu á einn hnapp til að setja upp og stjórna SSL vottorðunum þínum. Ef þú vilt fá betri nálgun skaltu íhuga að skoða Let's Encrypt.

7. Búðu til fulla öryggisafrit af síðu

Þegar tölvuþrjótar aftrónuðu mig þurfti ég að endurbyggja vefsíðurnar mínar frá grunni, höfuðverkur sem ég hefði forðast ef ég hefði áreiðanlega munað að taka öryggisafrit af WordPress.

En nei, öryggisafritin sem voru hjá vefþjóninum mínum skemmdust við árásina og nei, ég var ekki með aukaafritunarlausn. Klassískt dæmi um að setja öll eggin þín í eina körfu sem kenndi mér erfiða lexíu.

Nú á dögum bý ég til fullt afrit af vefsíðu sem inniheldur vefsíðuskrár mínar og gagnagrunna. Ég nota aðallega ManageWP, en ég nota líka Duplicator viðbótina til að geyma afrit á tölvunni minni og í Google Drive.

Ég hvet þig til að búa til full öryggisafrit reglulega. Margar WordPress öryggisafritunarlausnir gera þér kleift að gera allt ferlið sjálfvirkt, spara þér tíma og gefa þér hugarró.

8. Notaðu eldvegg fyrir vefforrit (WAF)

Til að bæta við auka öryggislagi á WordPress síðuna þína og sofa betur á nóttunni skaltu virkja eldvegg fyrir vefforrit (WAF). WAF verndar vefsíðuna þína með því að loka fyrir skaðlega umferð löngu áður en hún kemst á síðuna þína. Það er fyrirbyggjandi ráðstöfun til að stöðva vondu kallana sem eru dauðir áður en þeir valda skaða.

Eldveggurinn síar komandi umferð þína, útrýmir tölvuþrjótum á sama tíma og lögmætum notendum hleypir í gegn. Mörg WordPress öryggisfyrirtæki bjóða upp á eldveggi á vefforritum ásamt öðrum eiginleikum. Vinsælir valkostir í greininni eru Sucuri og Cloudflare.

9. Slökktu á skráarvinnslu í WordPress Admin

WordPress CMS kemur með frábærum kóðaritara sem gerir þér kleift að breyta viðbótum og þemaskrám inni í WordPress stjórnborðinu þínu. Kóðaritillinn er frábært tæki til að hafa til umráða, en í röngum höndum geta tölvuþrjótar notað hann til að skemma eða bæta við spilliforritum á vefsíðuna þína.

Þú getur alltaf breytt þema- og viðbótaskránum þínum (ef nauðsyn krefur) í gegnum FTP eða skráasafn í cPanel, sem þýðir að þú getur algjörlega slökkt á kóðaritlinum í WordPress. Þú vilt ekki að tölvuþrjótar sem fá aðgang að WordPress stjórnunarsvæðinu þínu hafi aðgang að kóðaritlinum, því þeir geta valdið miklum skaða með nokkrum línum af kóða.

Hvað skal gera? Þú getur slökkt á innbyggða kóðaritlinum með því að nota ókeypis Sucuri Security viðbótina. Að öðrum kosti geturðu bætt eftirfarandi kóða við þinn WP-opnað stillingaskrá file:

// Disallow file edit define( 'DISALLOW_FILE_EDIT', true );

Við höldum áfram.

10. Tryggðu innskráningarsíðuna þína

Venjulega hefur innskráningareyðublaðið á WordPress þínum tvo reiti; notendanafn og lykilorð. Þegar árásarmenn og vélmenni verða snjallari dag frá degi, hvernig kemurðu í veg fyrir að tölvuþrjótar fái aðgang að WordPress stjórnunarsvæðinu þínu? Það er einfalt; þú bætir við CAPTCHA eða öryggisspurningum sem gera það erfiðara fyrir alla að fá óviðkomandi aðgang.

Og þú þarft ekki að breyta kóða í bæta við CAPTCHA or ÖRYGGISSPURNINGAR á innskráningarsíðuna þína. Það er vinsælt WordPress tappi þekkt sem WP öryggisspurning sem auðvelt er að stilla og nota. Ef þú vilt nota CAPTCHA geturðu notað Simple Login Captcha, WordFence eða einn af mörgum öðrum valkostum sem eru ókeypis á WordPress.org.

Á sama tíma getur þú breyttu wp-innskráningarslóðinni þinni að einhverju einstöku. Þannig munu vélmenni og tölvuþrjótar eiga erfitt með að giska á slóðina á innskráningarsíðuna þína. wp-login er nú þegar vinsælt meðal tölvuþrjóta, svo það er fullkomlega skynsamlegt að breyta slóðinni í eitthvað annað. Þú getur notað viðbót eins og WPS Hide Login.

11. Bæta við auðkenningu

Að auki skaltu íhuga að innleiða tvíþætta og fjölþætta auðkenningu. Ef tölvuþrjótur fær aðgang að innskráningarupplýsingunum þínum, mun hann ekki geta skráð sig inn á WordPress síðuna þína. Það eru margir möguleikar í boði, en Google Authenticator er vinsæll kostur.

Fyrir utan það, takmarkaðu innskráningar á innskráningarsíðunni þinni. Ef gestur er að reyna að skrá sig inn með reikningi sem er ekki til eða reynir oft að skrá sig inn aftur, þá er hann líklegast tölvuþrjótur eða vélmenni sem reynir að þvinga sig inn. Þú getur notað viðbót eins og Limit Login Tilraunir eða lokun innskráningar til að halda þessum uppáþrengjandi þáttum í burtu.

12. Útskrá óvirkir notendur

Þegar þú ert með fjölnotenda WordPress vefsíðu geturðu ekki stjórnað að fullu hvernig eða hvar notendur fá aðgang að vefsíðunni þinni. Höfundur gæti ákveðið að nota ókeypis almennings Wi-Fi til að leggja lokahönd á grein. Vefhönnuður gæti yfirgefið skrifborðið sitt og snúið aftur úr klukkutíma hádegishléi.

Í slíkum tilfellum gæti notandinn þinn útsett vefsíðuna þína fyrir öryggisáhættu óafvitandi. Illgjarn manneskja gæti tekið yfir setu þeirra, breytt upplýsingum þeirra og einfaldlega valdið eyðileggingu. Ef óviðkomandi veit hvað hann er að gera getur hann auðveldlega tekið yfir reikning notandans og valdið skaða.

Hvað skal gera? Þú getur skráð þig út óvirka notendur sjálfkrafa eftir fyrirfram ákveðið tímabil. Og það besta? Það eru viðbætur fyrir nákvæmlega þennan tilgang. Einn vinsæll valkostur er Inactive Logout viðbótin sem inniheldur valkosti til að sérsníða aðgerðalausan tíma fyrir útskráningu, sérsniðin sprettigluggaskilaboð eða tilvísun við útskráningu og tímamörk eftir hlutverki notanda.

13. Leitaðu að spilliforritum og vandamálum (reglulega)

Oft gleymist, að skanna WordPress vefsíðuna þína reglulega getur hjálpað þér að greina öryggisvandamál snemma. Það tekur aðeins sekúndu fyrir tölvuþrjóta að brjótast inn á vefsíðuna þína og gera alls kyns viðbjóðslega hluti. Þetta er einmitt ástæðan fyrir því að þú ættir alltaf að fylgjast með hlutunum.

Mörg WordPress öryggisviðbætur til að leita að sýkingum af spilliforritum, þekktum öryggisgöllum, úreltum forskriftum, brute force árásum, afritum sem ekki eru til, og svo framvegis. Viðbæturnar senda þér nákvæmar skýrslur um þekkt vandamál, svo þú getur lagað þau eða ráðið fagmann.

Það eru margir vefsíðuskannar, eins og Sucuri SiteCheck, sem þú getur notað til að athuga síðuna þína í fljótu bragði. Allt sem þú þarft að gera er að slá inn slóðina þína og verkfærin athuga vefsíðuna þína sjálfkrafa. Eftir það bjóða þeir þér skýrslu um það sem þú þarft að laga. Þegar þú hefur skýrsluna skaltu laga alla öryggisgalla strax.

14. Notaðu VPN

Ef þú rekur vefsíðu sem hefur viðkvæmar upplýsingar sem mega aldrei komast í hendur tölvuþrjóta skaltu íhuga að nota sýndar einkanet (VPN), frekar þegar þú notar ókeypis almennings Wi-Fi. VPN verndar þig fyrir árásum á milli manna sem eru algengar á almennum netum, þar á meðal heima og á vinnustaðnum.

Sýndar einkanet tryggir að jafnvel þótt árásarmennirnir fái aðgang að kerfinu og steli upplýsingum þínum, geta þeir ekki gert neitt við gögnin sem þeir taka frá þér. Ef þú ert með netkerfi sem þú ert að deila með mörgum skaltu alltaf nota VPN áður en þú ferð inn á WordPress stjórnunarsvæðið þitt.

Aðrir WordPress öryggisvalkostir

Þarftu meira að gera? Við viljum gjarnan halda vefsíðunni þinni öruggri allan tímann, svo hér eru auka öryggisatriði til að bæta við gátlistann þinn:

  • Slökktu á keyrslu PHP skráar í /wp-content/wp-uploads/
  • Breyttu WordPress gagnagrunnsforskeytinu þínu
  • Lykilorð verndar stjórnanda- og innskráningarsíðurnar þínar á netþjóninum
  • Slökktu á skráningarskráningu
  • Slökktu á WP REST API og XML-RPC ef þess er ekki þörf
  • Ekki breyta/breyta WordPress kjarna – skrifaðu eða notaðu viðbót sem býður upp á þá virkni sem þú þarft í staðinn
  • Gakktu úr skugga um að vefsíðan þín keyri nýjustu útgáfuna af PHP
  • Notaðu vírusvarnarforrit á tölvunni þinni
  • Virkjaðu Google Search Console
  • Dragðu úr XSS og SQL Injection varnarleysi (þú gætir þurft tæknivæddari manneskju til að hjálpa með þetta tvennt)

Í raun er fjöldi skrefa sem þú getur tekið til að vernda síðuna þína endalaus. En ef þú getur hakað við þau 14 atriði sem við höfum skráð þá er það risastórt skref til að tryggja síðuna þína.


Að tryggja WordPress vefsíðuna þína er krefjandi en ekki ómögulegt. Með réttum verkfærum og færni geturðu fljótt hert WordPress öryggi þitt og haldið vondu leikurunum í burtu.

Sem samantekt skaltu alltaf halda vefsíðunni þinni uppfærðri. Ofan á það skaltu aldrei hlaða niður þemum eða viðbótum frá ótraustum síðum. Og til öryggis ef það versta gerist skaltu alltaf vera með áreiðanlega öryggisafritunarlausn.

Við vonum að þú hafir fundið öll ráðin sem þú þarft til að tryggja WordPress vefsíðuna þína, þar af leiðandi vefverslun. Ef þú hefur spurningu eða þarft hjálp við að finna út hvernig á að tryggja WordPress vefsíðuna þína, vinsamlegast láttu okkur vita í athugasemdunum. Vertu öruggur!

tengdar greinar

0 Comments
Inline endurgjöf
Skoða allar athugasemdir
Til baka efst á hnappinn