Chcesz przenieść biznes do internetu? Wyceń: Strona www | e-Sklep | B2B |SEO/SEM | Restauracja | napisz: studio@thenewlook.pl

Bezpieczeństwo WordPress

bezpieczeństwo wordpress

Czy Twoja strona WordPress jest bezpieczna? Sprawdź kilka sposobów na zablokowanie i powstrzymanie hakerów.

Jeśli chodzi o bezpieczeństwo WordPressa, istnieje wiele rzeczy, które możesz zrobić, aby tak zabezpieczyć stronę, aby hakerzy i luki w zabezpieczeniach nie wpłynęły na Twoją stronę, sklep lub bloga. Jeżeli posiadasz dobry hosting, nie musisz się martwić o wiele z nich, ponieważ profesjonalny hosting oferuje bezpłatne zabezpieczenia. Ale nawet z tą gwarancją należy zawsze przestrzegać najlepszych praktyk bezpieczeństwa.

W tym tekście przedstawimy Ci kilka praktycznych wskazówek i informacji, których możesz użyć, aby poprawić bezpieczeństwo WordPressa i zachować ochronę strony internetowej. Jako Agencja WordPress bardzo poważnie podchodzimy do bezpieczeństwa i zajmujemy się od wielu lat tą tematyką podczas wdrażania stron WordPress oraz przeprowadzania administracji stron WordPress dla naszych klientów.


Czy WordPress jest bezpieczny?

Prawdopodobnie zastanawiasz się, czy WordPress jest bezpieczny? W przeważającej części tak. WordPress ma dla niektórych złą reputację za podatność na luki w zabezpieczeniach i twierdzą oni, że jest to z natury niebezpieczna platforma. Najczęściej wynika to jednak z faktu, że użytkownicy WordPressa nie przestrzegają sprawdzonych praktyk bezpieczeństwa – Kodeks bezpieczeństwa WordPress

Szczególnym narażeniem na niebezpieczeństwo jest korzystanie z przestarzałego oprogramowania WordPress, niewiadomego pochodzenia wtyczek, nieumiejętna administrowania systemem, złe zarządzania danymi uwierzytelniającymi, braku niezbędnej wiedzy na temat sieci i bezpieczeństwa wśród użytkowników WordPressa. Nawet duże firmy nie zawsze stosują najlepsze praktyki bezpieczeństwa.

Bezpieczeństwo co do zasady nie polega na całkowicie bezpiecznym systemie. Jest to niemożliwe. Bezpieczeństwo polega na redukcji ryzyka, a nie eliminacji ryzyka, czyli zastosowaniu odpowiednich zabezpieczeń i procedur, które pozwolą poprawić bezpieczeństwo strony, zmniejszając szanse, że staniesz się celem, a następnie strona zostanie zhakowana.

Nie oznacza to, że luki w zabezpieczeniach nie istnieją. Według badania Sucuri WordPress prowadzi zainfekowane strony internetowe. Pamiętajmy jednak, że WordPress obsługuje ponad 35% wszystkich stron internetowych, a przy setkach tysięcy kombinacji motywów i wtyczek może nie dziwić fakt, że luki istnieją i są ciągle odkrywane.

Istnieje jednak świetna społeczność wokół platformy WordPress, która reaguje i jak najszybciej naprawić luki i zagrożenia. WordPress ponadto powołał specjalny zespól dedykowany bezpieczeństwu WordPress Seciurity Team, składający się z ekspertów, w tym wiodących programistów i specjalistów bezpieczeństwa z firmy Automattic.

Przewodnik bezpieczeństwa WordPress

Według statystyk codziennie hakowanych jest ponad 100 000 stron internetowych. Dlatego tak ważne jest, aby zapoznać się z poniższymi zaleceniami, w jaki sposób lepiej wzmocnić bezpieczeństwo WordPress.

Bezpieczeństwo WordPress krok po kroku.

  1. Bezpieczny hosting WordPress
  2. Najnowsza wersja PHP
  3. Silne nazwy użytkownika i hasła
  4. Najnowsze wersja WordPress, wtyczek i motywów
  5. Blokowanie dostępu do Admina
  6. Uwierzytelnienie dwuskładnikowe
  7. Certyfikat SSL
  8. Bezpieczeństwo pliku wp-config
  9. Ukrycie wersji WordPress
  10. Wtyczki bezpieczeństwa
  11. Bezpieczeństwo bazy danych
  12. Bezpieczne połączenie
  13. Uprawnienia do plików i serwerów
  14. Edytowanie plików w Dashboard
  15. Kopie zapasowe – backup
  16. Podsumowanie

Pamiętaj, że trendy w bezpieczeństwie w sieci się zmieniają. Zmienia się platformą WordPress i pojawiają się nowe luki w zabezpieczeniach. Nasza lista jest wstępem do bezpiecznego postępowania z WordPressem, którą możesz rozwijać, szukając aktualnych informacji na oficjalnej stronie WordPress.org/security i innych miejscach w sieci.


1. Bezpieczny hosting WordPress

Przede wszystkim zainwestuj w bezpieczny hosting pod WordPree. Bardzo ważne jest, aby wybrać hosting, któremu możesz zaufać. Istnieją zabezpieczenia na poziomie serwera, za które odpowiedzialny jest Twój hosting. Jeżeli hostujesz WordPressa na własnym hostingu VPS, musisz mieć wiedzę techniczną, aby samemu to zrobić. I szczerze mówiąc, próba bycia administratorem systemu, aby zaoszczędzić pieniądze, może być zły pomysłem.

Hosting jest kluczem do utrzymania całkowicie bezpiecznego środowiska WordPress. Potrzeba wielu warstw zabezpieczeń na poziomie sprzętu i oprogramowania, aby infrastruktura, w której znajdują się strona WordPress, była w stanie chronić się przed wyrafinowanymi zagrożeniami wirtualnymi. Serwery obsługujące WordPress muszą być zaktualizowane do najnowszego systemu operacyjnego i bezpiecznego oprogramowanie, a także dokładnie przetestowane i przeskanowane pod kątem luk w zabezpieczeniach i złośliwego oprogramowania.

Dobry hosting ma zabezpieczenia typu Firewall, aktywne i pasywne zabezpieczenia, które na bieżąco kontrolują dostępności oraz szereg innych zaawansowanych funkcji uniemożliwiających atakującym uzyskanie dostępu do Twoich danych. Firewalle i systemy wykrywania włamań na poziomie serwera powinny być zainstalowane przed instalacją WordPress na serwerze, aby zapewnić jego dobrą ochronę nawet podczas instalacji WordPress i podczas projektowania strony. Każde oprogramowanie zainstalowane na komputerze przeznaczone do ochrony treści WordPress powinno być zgodne z najnowszymi systemami zarządzania bazami danych, aby zachować optymalną wydajność. Serwer powinien być również skonfigurowany do korzystania z bezpiecznych protokołów sieciowych i szyfrowania przesyłania plików jak SFTP w celu ukrycia poufnej zawartości przed złośliwymi atakami.

Hosting pod WordPressa jest niezwykle ważnym punktem bezpieczeństwa strony WordPress. Dlatego przed wyborem hostingu przeczytaj nasz specjalny artykuł na temat hostingu dla WordPressa, jak również porozmawiaj z firmami hostingowymi przez telefon lub na imprezach branżowych jak WordCamp.

hosting wordpress

Jaki hosting dla WordPress?

Od jakości hostingu zależy to, jak szybko będzie działał Twój WordPress. Czytaj nasz poradnik na temat hostingów i serwerów pod WordPress.


2. Używaj najnowszej wersji PHP

PHP jest podstawą Twojej strony WordPress, dlatego bardzo ważne jest używanie najnowszej wersji na serwerze. Każda większa wersja PHP jest zazwyczaj w pełni obsługiwana przez dwa lata po jej wydaniu. W tym czasie błędy i problemy z bezpieczeństwem są regularnie naprawiane i łatane. Obecnie każdy, kto korzysta z wersji PHP 7.1 lub niższej, nie ma już obsługi zabezpieczeń i jest narażony na niezałatane luki w zabezpieczeniach.

Według oficjalnych statystyk WordPress ponad 50% użytkowników WordPress nadal korzysta z PHP 5.6 lub nowszej wersji. Jeśli połączyć ten wynik z PHP 7.0 to ponad 70% użytkowników używa obecnie wersji PHP, które nie są już obsługiwane. Czy można za to winić WordPressa?

Jeżeli nie wiesz, której wersji PHP używasz obecnie na Twojej stronie? Najprostszy sposób to stworzenie pliku phpinfo.php – jak zrobić plik phpinfo.php, przesłanie go na serwer i wywołanie w przeglądarce, w której pokaże się informacja o ustawieniach PHP dla serwera.

Jeśli korzystasz z hostingu korzystającego z cPanel, DirectAdmin zwykle możesz przełączać się między wersjami PHP w panelu. Solidny, bezpieczny hosting używa tylko stabilnych i obsługiwanych wersji PHP, w tym 7.2, 7.3 i 7.4. Oficjalnie PHP 5.6, 7.0 i 7.1 zostały wycofane, ale wiele hostingów jak Home.pl i Nazwa.pl nadal chętnie ich używają.

Pamiętaj, nowa wersja PHP wpływa nie tylko bezpieczeństwo, ale ma również ogromny wpływ na wydajność i szybkość WordPressa.


3. Użyj silnej nazw użytkowników i haseł

Jednym z najlepszych i najprostszych sposobów na wzmocnienie bezpieczeństwa WordPressa jest po prostu użycie silnych nazw użytkowników i haseł. Brzmi całkiem prosto, niestety praktyka jest zupełnie inna. Nadal najpopularniejszym hasłem jest „12345”, czy zadziwiające „hasło”. Używanie niebezpiecznych haseł, to jeden z powodów, dla których WordPress próbuje wymuszać stosowanie silnego hasła podczas instalacji.

Bezpieczeństwo w Internecie zaczyna się od silnych haseł. Wykonaj te czynności, aby zapewnić bezpieczeństwo Twojej stronie. Skorzystaj z rekomendacji Google dotyczących wyboru silnego hasła – Tworzenie silnego hasła i bezpieczniejsze konto, lub użyj jednego z narzędzia online, takiego jak Strong Password Generator.

Ważne jest również stosowanie różnych haseł dla każdej witryny. Najlepszym sposobem ich przechowywania zaszyfrowanych haseł na komputerze za pomocą narzędziem jak KeePass. Alternatywą jest menedżery haseł w chmurze, taki jak LastPass.

Jeśli chodzi o instalację WordPress, nigdy nie powinieneś używać domyślnej nazwy użytkownika „admin”. Jeżeli popełniłeś ten błąd, nic się nie stało. Utwórz nowego użytkownika WordPress dla konta administratora i usuń użytkownika „admin”, jeśli istnieje. Możesz to zrobić, dodając nowego użytkownika w sekcji Użytkownicy w pulpicie WordPress i przypisując mu profil Administrator. Po stworzeniu nowego konta roli administratora możesz usunąć pierwotnego użytkownika „admin”. Upewnij się, że po kliknięciu usuń, wybierz opcję „Przypisz całą zawartość do” i wybierz nowy profil administratora. Spowoduje to przypisanie osoby jako autora tych postów.

Możesz również zmienić nazwę użytkownika administratora ręcznie w phpMyAdmin. Przed edycją tabel warto wykonać kopię zapasową bazy danych.


4. Zawsze używaj najnowszej wersji WordPress, wtyczek i motywów

Bardzo ważnym sposobem na wzmocnienie bezpieczeństwa WordPressa jest jego ciągłe aktualizowanie. Obejmuje to tzw. pliki „core” WordPressa, wtyczki i motywy – zarówno te z repozytorium WordPress, jak i premium. Aktualizacje często obejmują ulepszenia bezpieczeństwa i poprawki błędów.

Wiele firm używa przestarzałych wersji WordPress i wtyczek, twierdząc, że aktualizacja zepsuje stronę lub dana wtyczka nie będzie działać. W rzeczywistości strony internetowe przestają działać głównie z powodu błędów w starszych wersjach WordPress. Aktualizacje WordPress obejmują głównie niezbędne poprawki bezpieczeństwa oraz dodatkowe funkcje wymagane do uruchomienia najnowszych wtyczek.

Według WordFence firmy zajmującej się bezpieczeństwem, luki w zabezpieczeniach wtyczek stanowią ponad 50% znanych punktów wejścia hakerów. Zalecane jest instalowanie tylko zaufanych wtyczek z repozytorium WordPress lub wtyczek premium od sprawdzonych sklepów, lub dostawców. Zdecydowanie odradzamy korzystanie z wtyczek z nielegalnych lub wątpliwych źródeł. Nielegalne wtyczki mogą zawierać zmodyfikowany kod, co może doprowadzić do włamania na stronę.

Jak aktualizować WordPressa?
Istnieje kilka prostych sposobów na aktualizację instalacji WordPress. Przed wykonaniem aktualizacji utwórz kopię zapasową bazy danych i plików. Aby uzyskać pomoc dotyczącą aktualizacji, odwiedź stronę Aktualizowanie WordPressa.

Mając kopię zapasowe z opcją przywracania, możesz zaktualizować lub przetestować nową wersję WordPressa i wtyczek bez martwienia się, że coś zepsuje.

  1. Aby zaktualizować rdzeń WordPress, możesz kliknąć Kokpit>Aktualizacje na pulpicie nawigacyjnym WordPress i kliknąć przycisk „Aktualizuj teraz”.
  2. Możesz także ręcznie zaktualizować WordPress, pobierając najnowszą wersję WordPress i przesyłając ją przez SFTP.

Pamiętaj, że niepoprawnie wykonana aktualizacja może spowodować uszkodzenie strony. Jeżeli nie czujesz się, że sam chcesz aktualizować stronę, możesz skorzystać z usługi administracja stroną WordPress.

Jak zaktualizować wtyczki WordPress?
Aktualizacja wtyczek WordPress jest bardzo podobnym procesem do aktualizacji WordPress. Wybierz Kokpit>Aktualizacje, wybierz wtyczki, które chcesz zaktualizować, i kliknij > Aktualizuj wtyczki.

Możesz także ręcznie zaktualizować wtyczki. Wystarczy pobrać najnowszą wersję wtyczki z repozytorium WordPress, lub od twórcy wtyczki i przesłać ją przez FTP, zastępując istniejącą wtyczkę w katalogu /wp-content/plugins. Tym sposobem będziesz aktualizował wtyczki premium, które nie mają opcji automatycznej aktualizacji z poziomu WordPressa.

Nieaktualne wtyczki
Należy również pamiętać, że nie zawsze wtyczki są aktualizowane przez ich twórców. Wiele wtyczek, nawet tych z oficjalnego repozytorium nie jest na bieżąco aktualizowane i kompatybilne z najnowszym WordPressem. Szacuje się, że nawet 50% wtyczek w repozytorium nie było aktualizowanych przez ponad 2 lata.

Nie oznacza to, że wtyczka nie będzie działać z bieżącą wersją WordPress, ale zaleca się wybranie wtyczek, które są aktualizowane na bieżąco. Nieaktualne wtyczki zwiększa prawdopodobieństwo posiadania luk w zabezpieczeniu. Wybierając wtyczki sprawdź, jak są oceniane i recenzje, jaka jest ich data ostatniej aktualizacji. WordPress sam ostrzega, komunikatem na podstronie wtyczki, jeżeli nie były aktualizowane od dłuższego czasu.

Automatyczne aktualizacje WordPress.
WordPress ma kilka wariantów automatycznych aktualizacji, m.in:

  • domyślne – aktualizacja w ramach wersji głównej np. aktualizacja wersji 5.2 do 5.2.1
  • rozszerzone – aktualizacja wersji głównych np. aktualizacja wersji 5.2 do 5.3
  • zaawansowane – realizowane osobno dla wtyczek, motywów i tłumaczeń

5. Blokowanie dostępu do Admina

Zwiększenie bezpieczeństwa WordPress można osiągnąć przez blokowanie dostępu do Admina strony WordPress. Jak utrudnić hakerom znalezienie określonych backdoorów? Dobrym sposobem na zwiększenie bezpieczeństwa jest zablokowanie panelu Admina i logowania. Są na to dwa sposoby: zmiana domyślnego adresu URL logowania wp-admin, a także ograniczenie prób logowania.

Jak zmienić adres URL logowania do WordPress
Domyślnie adres logowania do WordPress jest twojastrona.pl/wp-admin. Jednym z problemów jest to, że wszyscy boty, hakerzy i skrypty również o tym wiedzą. Zmieniając adres URL, możesz stać się mniejszym celem i lepiej chronić się przed atakami. Nie jest rozwiązanie w 100% zabezpieczające, a jednie sztuczka, która zwiększa ochronę. Do zmiany adres logowania do WordPress możesz użyć bezpłatnej wtyczki logowania WPS Hide. Pamiętaj, nowy adres powinien być na tyle trudny, aby boty lub skrypt nie potrafiły go przeskanować.

Jak ograniczyć próby logowania
Powyższe rozwiązanie zmiany adresu logowania może pomóc zmniejszyć złe próby logowania do strony WordPress, ale warto dodatkowo wprowadzić limitu prób logowania do strony. Bezpłatna wtyczka Cerber Limit Login Attempts to dobry sposób na konfigurację czasów blokady, prób logowania oraz białych i czarnych list adresów IP. Innym prostym rozwiązaniem jest darmowa wtyczka Login Lockdown. Login LockDown rejestruje adres IP i znacznik czasu każdej nieudanej próby logowania. Jeżeli w krótkim czasie zostanie wykryta znaczna ilość prób logowania z tego samego adresu IP, funkcja logowania zostanie zablokowana. Jest to rozwiązanie kompatybilny z wcześniej wymienioną wtyczką logowania WPS Hide.


6. Skorzystaj z uwierzytelniania dwuskładnikowego

Bez względu, jak bezpieczne jest Twoje hasło, zawsze istnieje ryzyko, że ktoś je złamie. Uwierzytelnienie dwuskładnikowe, które jest obecne w logowaniu do konta bankowego, możesz też użyć do WordPressa. Uwierzytelnianie obejmuje dwuetapowy proces, w którym do logowania potrzebne jest nie tylko hasło, ale także druga metoda. Zwykle jest to SMS lub jednorazowe hasło czasowe oparte na liczbach jak w Bliku. W większości przypadków jest to skuteczne w zapobieganiu atakom typu brute force na stronę WordPress. Jest prawie niemożliwe, aby atakujący posiadał zarówno hasło, jak i Twój telefon komórkowy.

Uwierzytelnianie dwuskładnikowe. Pierwszym z nich jest twoje konto i / lub pulpit nawigacyjny, które masz u swojego dostawcy usług hostingowych.

Do uwierzytelniania dwuskładnikowego Twojej strony WordPress możesz użyć jednej ze wtyczek:

Two Factor Authentication
Two-Factor

Wtyczki można połączyć z aplikacją Authenticator, które można zainstalować na smartfonie: Androida | iPhone.

Teraz każde logowanie do WordPress będzie wymagać dodatkowego uwierzytelnienia i posiadanie smartfonu z aplikacją, który generuje kod. Koniecznie skorzystaj z uwierzytelniania dwuskładnikowego, może to być łatwy sposób na zwiększenie bezpieczeństwa WordPress.


7. Certyfikat SSL

Do niedawna jednym z najczęściej pomijanych sposobów wzmocnienia bezpieczeństwa WordPressa był brak instalacji certyfikatu SSL. Uruchomienie strony przez HTTPS to mechanizm, który pozwala przeglądarce bezpiecznie łączyć się ze stroną internetową. Wielkim nieporozumieniem jest to, że tylko strony sklepów internetowych potrzebują certyfikat SSL.

Dlaczego połączeń szyfrowanych HTTPS jest tak ważne? Połączenia szyfrowane HTTPS zawsze wpływa pozytywnie na stronę, powodów jest kilka: bezpieczeństwo strony, wymóg SEO, zaufanie i wiarygodność, dane referencyjne, wymagane przez przeglądarkę Chrome, wpływ na wydajność itd.

Pamiętaj, dobra firma hostingowa, oferuje bezpłatne certyfikaty SSL z Let’s Encrypt. Jeżeli Twój hosting nie oferuje takiej możliwości, zastanów się nad tym, czy jest to hosting odpowiedzialny, dbający o bezpieczeństwo.


8. Bezpieczeństwo pliku wp-config.php

Plik wp-config.php jest sercem strony WordPress. Jest to zdecydowanie najważniejszy plik instalacji WordPress, jeśli chodzi o bezpieczeństwo WordPress. Zawiera dane logowania do bazy danych i klucze bezpieczeństwa, które obsługują szyfrowanie informacji w plikach cookie.

Dla lepszej chrony WordPressa warto zabezpieczyć plik wp-config.php. Można zrobić to na kilka sposobów, dwa najprostsze poniżej:

Aktualizowanie kluczy bezpieczeństwa WordPress. Klucze bezpieczeństwa WordPress to zestaw losowych zmiennych, które poprawiają szyfrowanie informacji przechowywanych w plikach cookie użytkownika. Klucze bezpieczeństwa możesz wygenerować za pomocą Generatora kluczy bezpieczeństwa WordPress na stronie: api.wordpress.org

Zmiana uprawnień. Zazwyczaj pliki w katalogu głównym witryny WordPress są ustawione na 644, co oznacza, że ​​pliki są odczytywane i zapisywane przez właściciela pliku oraz odczytywane przez użytkowników. Zgodnie z dokumentacją WordPress uprawnienia do pliku wp-config.php powinny być ustawione na 440 lub 400, aby uniemożliwić innym użytkownikom jego odczytanie. Możesz to zmienić za pomocą klienta FTP, lub skontaktuj się z dostawcą usług hostingowych.


9. Ukrycie wersji WordPress

Ukrycie wersji WordPressa działa według zasady, im mniej intruzów wie o konfiguracji WordPress, tym lepiej. Jeżeli używasz nieaktualną wersję WordPress, może to być znak botów atakujących strony WordPress. Domyślnie wersja WordPress jest wyświetlana w nagłówku kodu źródłowego strony.

Ukryć wersję WordPress możesz także użyć jednym kliknięciem dzięki wtyczce premium, takiej jak Perfmatters. Możesz skorzystać również z inne optymalizacje WordPress w tym celu, choć najlepiej po prostu upewnić się, że najnowszego WordPress, abyś nie musiał się tym martwić.


10. Wtyczki bezpieczeństwa WordPress

WordPress w wielu kwestiach opiera się na wtyczkach. W internecie znajdziesz również wiele wtyczek zabezpieczających WordPressa. Istnieje wielu ciekawych wtyczek, które pomogą lepiej chronić stronę WordPress, ale nie zabezpieczają strony internetowej w pełni i nie są antidotum na zagrożenia.

Wtyczki pomagające lepiej chronić, monitorować stronę WordPress, które powinieneś poznać:

Sucuri Security – audyt strony WordPRess, skaner złośliwego oprogramowania typu Malware i wzmocnienie bezpieczeństwa.
WordFence Security – zapora Firewall, skaner złośliwego oprogramowania typu Malware i wzmocnienie bezpieczeństwa.
iThemes Security, WP fail2ban, SecuPress i inne.

Pamiętaj, wtyczki nie zabezpieczają WordPressa, ale posiadają wiele pomocnych funkcji jak:

  • Generowanie i wymuszanie silnego hasła podczas tworzenia profili użytkowników
  • Wymuszenie wygasanie haseł i regularne resetowanie
  • Rejestrowanie akcji użytkownika
  • Łatwe aktualizacje kluczy bezpieczeństwa WordPress
  • Skanowanie złośliwego oprogramowania
  • Uwierzytelnianie dwuskładnikowe
  • reCAPTCHAs
  • Firewall WordPress
  • Biała i czarna lista IP
  • Listy zmian plików
  • Monitorowanie zmiany DNS
  • Blokowanie złośliwe sieci
  • Informacje WHOIS o odwiedzających

Bardzo ważna cecha, że ​​wielu wtyczek bezpieczeństwa jest narzędzie sumy kontrolnej. Oznacza to, że sprawdzają instalację WordPressa i szukają modyfikacji w podstawowych plikach dostarczonych przez WordPress.org (przez API). Wszelkie zmiany lub modyfikacje tych plików mogą wskazywać na włamanie na stronę WordPress.


11. Bezpieczeństwo bazy danych

Istnieje kilka sposobów na poprawę bezpieczeństwa bazy danych WordPress. Pierwszym z nich jest zmiany nazwy bazy danych w istniejących instalacjach. Domyślnie twoja baza danych WordPress nazywa się wp_nazwastrony. Zmieniając nazwę bazy danych na mniej oczywistą, pomoże to chronić stronę, utrudniając hakerom identyfikację i dostęp do szczegółów bazy danych.

Drugim zaleceniem jest użycie innego prefiksu tabeli bazy danych. Domyślnie WordPress używa wp_. Zmiana tego prefiksu może zwiększyć bezpieczeństwo strony WordPress. Istnieje również możliwość zmiany prefiksu tabeli WordPress w istniejących instalacjach.

12. Bezpieczne połączenia

Zawsze używaj bezpiecznych połączeń z hostingiem (serwerem). Bezpieczne połączenie z hostingiem jest niezmiernie ważne dla bezpieczeństwa strony. Upewnij się, że Twoja firma hostingowa, zachowując środki ostrożności, takie jak oferowanie SFTP lub SSH. SFTP lub Secure File Transfer Protocol (znany również jako protokół przesyłania plików SSH), to protokół sieciowy używany do przesyłania plików. Jest to bezpieczniejsza metoda niż standardowy FTP.

Ważne jest również, aby upewnić się, że router domowy jest poprawnie skonfigurowany. Jeśli ktoś włamie się do Twojej sieci domowej, może uzyskać dostęp do wszelkiego rodzaju informacji, w tym również tam, gdzie przechowywane są ważne informacje na temat strony WordPress.

13. Uprawnienia do plików i serwerów

Uprawnienia do plików, jak i serwerze mają kluczowe znaczenie dla zwiększenia bezpieczeństwa WordPress. Jeśli uprawnienia są zbyt słabe, ktoś może łatwo uzyskać dostęp do Twojej strony WordPress. Z drugiej strony, jeśli twoje uprawnienia są zbyt restrykcyjne, może to utrudnić funkcjonalność Twojej witryny. Dlatego ważne jest, aby mieć ustawione odpowiednie uprawnienia dostępu.

  • Uprawnienia do odczytu, zapisu lub modyfikacji plików
  • Uprawnienia do uruchomienia pliku i / lub wykonania go jako skryptu.
  • Uprawnienia do dostępu do zawartości określonego folderu / katalogu.
  • Uprawnienia do dostępu do katalogu i wykonywania funkcji i poleceń, w tym możliwości usuwania danych w folderze / katalogu.

14. Edytowanie plików w Dashboard

Wiele stron WordPress ma wielu użytkowników i administratorów, co może komplikować utrzymanie bezpieczeństwa WordPress. Bardzo złą praktyką jest udzielanie autorom lub współpracownikom dostępu z poziomu administratora. Ważne jest, żeby dodając nowego użytkownika nadać mu odpowiednią role i uprawnienia.

Warto również wyłączyć możliwość korzystania z „Edytora motywu” w WordPress. Zapobiegnie to celowej lub przypadkowej edycji WordPress i nagłego pokazania się tzw. białego ekranu śmierci. Dobrą praktyką ponadto jest edycja wszystkich plików lokalnie na komputerze i przesłanie ich przez FTP. Oczywiście wszystkie zmiany, najpierw powinieneś testować na instalacji developerskiej, a dopiero potem przenosić na stronę produkcyjną.

Ponadto, jeśli Twoja strona WordPress zostanie zaatakowana przez hakerów, pierwszą rzeczą, którą mogą zrobić, jest próba edycji pliku PHP lub motywu za pomocą Edytora. Jest to szybki sposób na wykonanie złośliwego kodu na stronie.

15. Kopie zapasowe – backup

Kopie zapasowe to jedna rzecz, o której wszyscy wiedzą, że jest ważne dla bezpieczeństwa, ale nie wszyscy je robią. Utarło się nawet powiedzenie, że „ludzie dzielą się na dwa typy – na tych, którzy już robią kopie zapasowe (backupy) i na tych, którzy będą je robić”.

Większość powyższych zaleceń to środki bezpieczeństwa, które możesz podjąć, aby lepiej się zabezpieczyć Twoją stronę WordPress. Bez względu na to, jak skutecznie uda ci się zabezpieczyć stronę, nigdy nie będzie ona w 100% bezpieczna. Dlatego na wypadek najgorszego musisz bezwzględnie posiadać kopię zapasową, zwaną czasem kopią bezpieczeństwa.

Większość poważnych dostawców hostingu WordPress zapewnia teraz kopie zapasowe. Kopię zapasową strony możesz przywrócić samodzielne jednym kliknięciem z poziomu panelu klienta lub musisz poprosić pracownika hostingu o przywrócenie kopii zapasowej. Dzięki takim backupom można przywrócić stronę w wersji przed atakiem hakerskim, wstrzyknięciem wirusa itp. Ważne jest to, żeby backupy były robione przez firmę hostingową przynajmniej przez 30 dni wstecz oraz powinny być tworzone na równoległym serwerze, który nie będzie zainfekowany lub popsuty.

Jeżeli Twój hosting z jakiegoś niezrozumiałego powodu nie robi kopii zapasowych, istnieją popularne usługi WordPress i wtyczki dzięki, którym możesz zautomatyzować proces tworzenia backupów.

Usługi tworzenia kopii zapasowych
Usługi tworzenia kopii zapasowych WordPress zazwyczaj mają niską miesięczną opłatę i przechowują kopie zapasowe w chmurze. Najbardziej znane z nich to: VaultPress, CodeGuard, BlogVault.

Wtyczki do tworzenia kopii zapasowych
Do tworzenia kopii zapasowych możesz używać wtyczek WordPress, które umożliwiają przechwytywanie kopii zapasowych przez FTP lub integrację z zewnętrznym usługodawcami, takim jak Amazon S3, Google Cloud Storage, Dysk Google lub Dropbox. Zdecydowanie lepszym i bezpieczniejszym rozwiązaniem jest korzystanie z usługodawców zewnętrznych do przechowywania kopii zapasowych.

Wtyczki bezpłatne i premium do Backupów: WP Time Capsule, BackupBuddy, UpdraftPlus, BackUpWordPress, BackWPup, WP BackItUp


Podsumowanie

Dla wielu z was strona WordPress jest zarówno waszą firmą, jak i narzędziem do generowania dochodów, dlatego tak ważne jest, aby poświęcić czasu, zdobyć wiedzę i wdrożyć niektóre z najlepszych praktyk bezpieczeństwa WordPress wymienione w naszym tekście. Jeśli podobał Ci się ten artykuł, daj polubienie poniżej.

Istnieje wiele sposobów na wzmocnienie bezpieczeństwa WordPress. Używanie silnych haseł, aktualizowanie WordPress i wtyczek oraz przede wszystkim wybór bezpiecznego hostingu. W powyższym tekście na temat bezpieczeństwa WordPress opisaliśmy tylko te najważniejsze elementy wpływające na prawidłową pracę i bezpieczeństwo WordPressa. Wszystkie informacje na temat zabezpieczenia strony WordPress poznasz poprzez wieloletnią pracę z tą platformą CMS.

Ulepsz swoją stronę internetową lub uzyskaj wsparcie administracyjne nawet 24/7 od naszego doświadczonego zespołu Wsparcia WordPress. Nasze usługi koncentrują się na rozwoju i skalowaniu Twojej strony, zwiększeniu jej wydajności i bezpieczeństwie. Jeżeli potrzebujesz wskazówek dotyczących bezpieczeństwa Twojej strony WordPress, napisz do nas.

sklep wordpress

Agencja WordPress

Chcesz zabezpieczyć Twoją stronę WordPress? Jesteśmy specjalistami WordPress - projektujemy, wdrażamy, administrujemy, wspieramy, pozycjonujemy strony WordPress. Posiadamy wysokiej klasy specjalistów zarówno od administracji, jaki i developerów. Poznaj nas i pracuj z nami!

5/5 - (4 votes)
Agencja interaktywna:
Projektujemy strony internetowe WordPress, sklepy internetowe WooCommerce, pozycjonujemy w Google, dbamy o media społecznościowe. Tworzymy kompleksowe kreacje, projekty graficzne i identyfikacje wizualne. Zadzwoń 730 170 330, wyślij brief, albo napisz do nas, aby otrzymać informację cenową.
Kontakt przez messenger