Jak chránit web WordPress před hackery

Průvodce zabezpečení WordPress pro malé podniky & podnikatelé. Naučte se, jak chránit váš web WordPress před hackery pomocí těchto aktivních kroků.


Tipy pro zabezpečení WordPress

Říká se: „Pokud to postavíte, přijdou.“ A v online světě to znamená hackery. Ale co děláte, abyste je zastavili? Zabezpečení je důležité a proaktivní přístup je nejlepším způsobem ochrany vašeho webu. Stejně jako u vašeho domu nebo firmy, chcete zachovat své prostředky v bezpečí. Většina webů WordPress je infikována kvůli nedostatku aktualizačních souborů, porušení jednoho z přihlášení nebo útoku hrubou silou. Nejtěžší je uvědomit si, že se na jakémkoli webu může vyskytnout malware. Na testovacím webu jsem viděl útok hrubou silou, který nebyl ani indexován společností Google a neměl žádné návštěvníky. I když nic není nikdy stoprocentním důkazem, existují způsoby, jak se vyhnout tomu nejhoršímu. Zde jsou jednoduché kroky, které může majitel malé firmy podniknout, aby zajistil bezpečnost jejich online podnikání, které nevyžadují vývojáře ani kódování z vaší strany.

Význam hesel

Skvělé heslo je první obrannou linií, která zabraňuje nežádoucím lidem dostat se z vašich webových stránek. Když se robot snaží pokusit se dostat do dashboardu WordPress, první věcí, kterou se snaží při přihlášení použít, je „admin“ a „heslo“, protože tato kombinace je nejpoužívanější přihlašovací jméno. Pokud jej změníte na „Pa $$ w0rd“, nebude to bezpečnější ani kvůli tomu, že stále čte „heslo“. Jména nebo cokoli, co bude stále číst jako čitelné slovo, jsou nejjednodušší hackovaná hesla. Každé heslo by obvykle mělo být nejméně 12 znaků, které jsou nečitelné, obsahující velká a malá písmena, čísla a speciální znaky. Čím více znaků v hesle, tím těžší je rozbít. Pokud chcete vyzkoušet, jak jsou vaše hesla bezpečná, zkontrolujte Jak bezpečné je moje heslo dáma. To vám ukáže, jak dlouho bude trvat, než počítač bota zlomit své heslo. Dáma mi řekla, že rozbití mého hesla bude trvat stolní počítač asi 377 miliard let. To je, když víte, že máte skvělé heslo!

Doplňky zabezpečení pomáhají

Existuje mnoho typů bezpečnostních pluginů, které vykonávají řadu funkcí. Na svém webu můžete použít více než jeden zásuvný modul zabezpečení, pokud je nemáte nastaven na to samé. Zde je seznam některých skvělých doplňků zabezpečení WordPress, které jsou k dispozici. Ale pro tento článek, zde je, jak jsem nastavit všechny své weby pro maximální bezpečnost.

Raketový batoh – Používám multi-fiktivní plugin Jetpack na všech svých stránkách. Mají vestavěné několik funkcí pro bezpečnostní opatření, která zapnu.

  • Monitor – Jetpack vás upozorní, když váš web klesne a když se znovu objeví. Vždy, když zákazníci vědí, kdy vaši zákazníci nemají přístup na váš web.
  • Protect – Protect býval samostatným pluginem zvaným BruteProtect. Byl to jeden z nejpoužívanějších pluginů k blokování útoků brutální síly. Automattic jej získal v loňském roce a nyní jej zabudoval do Jetpacku.
  • Správa – Jetpack’s Manage vám umožňuje aktualizovat vaše pluginy, motivy a jádro všech vašich hostovaných webů z jednoho dashboardu a dává vám příležitost mít automatické aktualizace.

iThemes Security (dříve Lepší zabezpečení WP) – Přestože iThemes Security NENÍ bezpečnostní firewall, přináší zabezpečení webové stránky velké výhody, aniž byste museli sami kód měnit. Mají bezplatnou a profesionální verzi. Zde jsou funkce, které by se měly pomocí tohoto pluginu zapnout při používání Jetpacku.

  • Vždy povolte iThemes Security zapisovat do wp-config.php a .htaccess. Takto plugin říká webu, jak zvýšit bezpečnost.
  • Povolit pachatele opakování černé listiny
  • Povolit detekci 404
  • Využijte režim pryč, když víte, že by se nikdo neměl přihlásit do řídicího panelu. Pokud pracujete na svém webu po celou dobu dne, nechte jej.
  • Povolte uživatelům zákazu a funkci černé listiny hackRepair.com. Díky tomu budou známé škodlivé adresy IP chráněny před vaším webem.
  • Povolte detekci změn souborů a rozdělte kontrolu souborů na sklíčidla. iThemes vás upozorní, pokud se některý ze souborů změnil a neodpovídá tomu, co je v původních souborech úložiště.
  • Povolte funkci skrytých záloh. Tím se změní vaše přihlašovací jméno z YourSite.com/wp-login.php na vlastní vybranou stránku. Nedávejte jej jako aktuální nebo budoucí stránku nebo příspěvek. Skvělé příklady jsou vstupní, hlavní nebo zabezpečené.
  • iThemes Security nyní nabízí prohledávání Sucuri SiteCheck pro všechny uživatele pluginů.
  • Povolte silná hesla pro všechny uživatele, včetně odběratelů.
  • Zaškrtněte všechna políčka v vylepšeních systému.
  • V oblasti WordPress Tweaks při použití Jetpacku úplně nezakazujte XML-RPC, protože by to mohlo způsobit, že Jetpack již nebude fungovat správně..
  • Verze Pro vám dává možnost použití dvoufaktorové autentizace k přihlášení mimo jiné funkce.

WordFence – I když miluji skener WordFence, obvykle jej stáhnu na web pouze tehdy, když dvakrát kontroluji, zda byl odstraněn veškerý malware. Pokud máte pocit, že váš web byl infikován, WordFence dokáže detekovat jakýkoli soubor WordPress, který byl změněn z původního. WordFence také nabízí nástroj pro ukládání do mezipaměti. Pokud se rozhodnete používat WordFence, můžete povolit všechny možnosti, ale nespouštějte je s iThemes Security, Jetpack’s Protect nebo Sucuri Security, protože mohou způsobit konflikt mezi sebou.

Sucuri Security – Sucuri má Firewall i AntiVirus, které mohou pomoci blokovat padouchy z vašeho webu. Sucuri má nejpoužívanější WordPress firewall v oboru. Firewall Sucuri CloudProxy můžete spustit s iThemes Security, ale získat seznam IP CloudProxy od Sucuri a vložit svůj IP WhiteList do nastavení iThemes Security.

Dvoufaktorové ověření

Při každém přihlášení, na kterém můžete mít autentizaci dvěma stranami, je vždy vhodné použít. Existují různé způsoby, jak to lze nastavit. Může existovat CAPTCHA, autorizační kód Google nebo jednoduchá matematická otázka dokazující, že jste člověk. Pokud se rozhodnete některou z těchto možností použít, ujistěte se, že každá osoba, která přistupuje na řídicí panel, má své vlastní přihlašovací údaje. Sdílené přihlášení může způsobit problémy, zejména pokud používáte autorizační kód Google, který je odeslán na mobilní telefon.

  • iThemes Security Pro – má více možností dvou faktorů včetně CAPTCHA. Autorizace Google a jednoduchá matematika.
  • Klíč – Pomocí vašeho mobilního telefonu nabízí Clef přístup bez přihlášení k přihlášení do řídicího panelu WordPress.
  • Google Authenticator – Používá dvoufázové ověření aplikací Google Authenticator pro Android / iPhone / Blackberry.

Vždy aktualizovat

Největší důvod, proč se škodlivý kód dostane na web, je způsobená nalezenou zranitelností v kódu pro plugin, motiv nebo web. To lze snadno napravit tím, že vaše webové stránky budou aktualizovány. Někteří majitelé budou mít nastavený den v týdnu na aktualizaci svých webových stránek, zatímco jiní se budou aktualizovat při každém přihlášení. Existují doplňky, které vám pomohou udržovat vaše stránky v aktuálním stavu.

  • Raketový batoh – Zpracovávejte všechny své weby připojené k Jetpack na jednom dashboardu WordPress.com
  • iThemes Sync – Synchronizujte až 10 webů zdarma, takže existuje jeden řídicí panel, který lze aktualizovat, spouštět BackupBuddy a odemykat Blokování zabezpečení iThemes.

Mít záložní systém

Je velmi málo, co je důležitější u webových stránek, které mají záložní systém. Dokud bude úplná záloha webu včetně databáze, nikdy neztratíte. Existuje celá řada způsobů, jak zálohovat web, některé jsou automatické, jiné ruční. Zálohy vždy odesílejte jinam než váš server.

  • Updraft Plus – Mají bezplatnou a prémiovou verzi pro zálohování vašeho webu.
  • BackupBuddy – Prémiový záložní plugin, který se integruje s iThemes Security and Sync.

Různé bezpečnostní tipy

I když se tyto nehodí do větší kategorie, je stejně důležité mít na paměti

  • Při používání správce souborů vždy používejte SFTP.
  • Uchovávejte adresáře na 755 a soubory na 644. Nikdy je nemějte na 777 nebo 666, protože je nechává spustitelné pro všechny.
  • Zajistí komplexní uživatelské jméno a heslo k databázi.
  • Neposílejte hesla v e-mailu. Připojte je jako textový dokument se zipem.
  • Sledujte svá přihlášení pomocí správce hesel. LastPass a 1Password jsou skvělé nástroje, které lze použít v libovolném prohlížeči a na mobilních zařízeních.
  • Chcete-li zastavit automatické stahování ze škodlivého webu, ponechte si v počítači antivirový program.

Následující kroky vám a vašemu online obchodu pomohou zůstat v bezpečí. Pamatujte, že aktivní je nejlepší přístup k zabezpečení WordPress!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me