Kuinka suojata WordPress-sivustoa hakkereilta

WordPress-tietoturvaopas pienyrityksille & yrittäjiä. Opi suojaamaan WordPress-verkkosivustoasi hakkereilta näillä proaktiivisilla vaiheilla.


WordPress-tietoturvavinkit

Siellä on sanonta “Jos rakennat sen, he tulevat.” Ja online-maailmassa tämä tarkoittaa hakkereita. Mutta mitä teet estääksesi heitä? Turvallisuus on tärkeää, ja ennakoiva lähestymistapa on paras tapa suojata sivustoasi. Aivan kuten talosi tai yrityksesi kanssa, haluat pitää omaisuutesi turvassa. Useimmat WordPress-verkkosivustot ovat saastuneet tiedostojen päivityksen puutteen, yhden kirjautumisen rikkomisen tai raa’an hyökkäyksen vuoksi. Vaikein osa on tajuaminen, että haittaohjelma tartunta voi tapahtua mihin tahansa sivustoon. Olen nähnyt raa’an joukkohyökkäyksen testisivustolta, jota Google ei edes indeksoinut ja jolla ei ollut kävijöitä. Vaikka mikään ei ole koskaan 100% täydellistä todistetta, on olemassa tapoja välttää pahin. Tässä ovat yksinkertaiset vaiheet, jotka pienyrityksen omistaja voi tehdä pitääkseen online-liiketoimintansa turvassa, eivätkä vaadi kehittäjää tai koodausta teiltä.

Salasanojen merkitys

Mahtava salasana on ensimmäinen puolustuslinja, joka estää ei-toivotut ihmiset poissa verkkosivustoiltasi. Kun robotti yrittää päästä WordPress-hallintapaneeliin, ensimmäinen asia, jota he yrittävät käyttää kirjautuessaan sisään, on “admin” ja “password”, koska kyseinen yhdistelmä on yleisimmin käytetty sisäänkirjautuminen. Sen muuttaminen “Pa $$ w0rd”: ksi ei tee siitä entistä turvallisempaa, koska se lukee edelleen “salasana”. Nimet tai kaikki, jotka luetaan edelleen luettavana sanana, ovat helpoimpia hakkeroituja salasanoja. Tyypillisesti minkä tahansa salasanan on oltava vähintään 12 merkkiä, jotka eivät ole luettavissa, sisältäen isot ja pienet kirjaimet, numerot ja erikoismerkit. Mitä enemmän salasanassa on merkkejä, sitä vaikeampi on rikkoutua. Jos haluat testata salasanojesi turvallisuuden, tarkista Kuinka turvallinen salasanani on tarkistin. Tämä näyttää sinulle, kuinka kauan tietokoneen robotti vie salasanasi rikkomiseen. Tarkastaja kertoi minulle, että salasanani murtaminen vie noin 377 miljardia vuotta pöytätietokonetta. Silloin tiedät, että sinulla on hieno salasana!

Suojauslaajennukset auttavat

On olemassa erityyppisiä tietoturvalaajennuksia, jotka suorittavat useita toimintoja. Voit käyttää useampaa kuin yhtä suojauslaajennusta sivustossasi, kunhan heillä ei ole asetettu tekemään samoja asioita. Tässä on luettelo hienoista saatavilla olevista WordPress-tietoturvalaajennuksista. Mutta tämän artikkelin suhteen tässä on kuinka määritän kaikki sivustoni maksimaalisen turvallisuuden takaamiseksi.

jetpack – Käytän moni fiktiivistä Jetpack-laajennusta kaikilla sivustoillani. Niissä on muutamia ominaisuuksia, jotka on rakennettu turvatoimiin, jotka otan käyttöön.

  • Monitori – Jetpack ilmoittaa sinulle, kun sivustosi sammuu ja kun se tulee takaisin. Ole aina tietoinen siitä, milloin asiakkaasi eivät pääse sivustoosi.
  • Suojaa – Suojaa käytetään aiemmin itsenäisenä laajennuksena nimeltä BruteProtect. Se oli yksi eniten käytettyjä laajennuksia raa’an voiman hyökkäysten estämiseksi. Automattic osti sen viime vuonna, ja nyt se on rakennettu Jetpackiin.
  • Hallitse – Jetpackin hallinta antaa sinun päivittää plugins, teemat ja kaikkien itse isännöimiesi verkkosivustojen ytimen yhdestä hallintapaneelista ja antaa sinulle mahdollisuuden automaattisiin päivityksiin.

iThemes Security (aiemmin Better WP Security) – Vaikka iThemes Security ei ole tietoturvapalomuuri, se antaa suuria etuja verkkosivuston suojaamiselle ilman, että sinun tarvitsee muuttaa koodia itse. Heillä on ilmainen ja Pro-versio. Tässä on ominaisuuksia, jotka tulisi ottaa käyttöön tämän laajennuksen kanssa Jetpackia käytettäessä.

  • Aina iThemes Security kirjoittaa tiedostoihin wp-config.php ja .htaccess. Näin plugin kertoo verkkosivustolle, kuinka parantaa tietoturvaa.
  • Ota mustan listan toista rikoksentekijä käyttöön
  • Ota 404-tunnistus käyttöön
  • Hyödynnä poistotila, kun tiedät, että kenenkään ei tulisi kirjautua kojelautaan. Jätä loma, jos työskentelet verkkosivustollasi kaikkina vuorokauden aikoina.
  • Ota käyttöön kieltokäyttäjät ja HackRepair.com-sivuston mustan listan ominaisuus. Tämä pitää tunnetut haitalliset IP-osoitteet poissa verkkosivustoltasi.
  • Ota tiedostomuutosten havaitseminen käyttöön ja jaa tiedostojen tarkistaminen palasiksi. iThemes ilmoittaa sinulle, jos jokin tiedostoista on muuttunut, ja ne eivät vastaa arkiston alkuperäisten tiedostojen tiedostoja.
  • Ota piilotettu ominaisuus käyttöön. Tämä muuttaa kirjautumissivustosi sivustossa YourSite.com/wp-login.php valitsemasi mukautetulle sivulle. Älä laita sitä nykyiseksi tai tulevaksi sivuksi tai viestiksi. Hyviä esimerkkejä ovat sisäänpääsy, pää- tai turvataso.
  • iThemes Security tarjoaa nyt Sucuri SiteCheck -tarkistuksia kaikille laajennusten käyttäjille.
  • Ota vahvat salasanat käyttöön kaikille käyttäjille, tilaajat mukaan lukien.
  • Valitse kaikki System Tweaks -ruudut.
  • Älä poista WordPress Tweaks -alueella XML-RPC: tä kokonaan käytöstä, kun käytät Jetpackia, koska tämä saattaa aiheuttaa Jetpackin toimimisen enää kunnolla..
  • Pro-versio antaa sinulle mahdollisuuden käyttää kaksifaktorista todennusta kirjautumiseen muiden ominaisuuksien joukkoon.

WordFence – Rakastan WordFencen skanneria, mutta yleensä se ladataan sivustoon vain, kun tarkistan kaksinkertaisesti, että kaikki haittaohjelmat on poistettu. Jos sinusta tuntuu, että sivustosi on saanut tartunnan, WordFence voi tunnistaa kaikki WordPress-tiedostot, jotka on muutettu alkuperäisistä. WordFence tarjoaa myös välimuistityökalun. Jos päätät käyttää WordFence-sovellusta, voit ottaa kaikki vaihtoehdot käyttöön, mutta et käytä niitä iThemes Security-, Jetpack’s Protect- tai Sucuri Security -sovellusten kanssa, koska ne voivat aiheuttaa ristiriitoja toistensa kanssa..

Sucuri-turvallisuus – Sucurissa on sekä palomuuri että virustorjunta, jotka voivat auttaa estämään pahat pojat sivustostasi. Sucurilla on alan laajimmin käytetty WordPress-palomuuri. Voit suorittaa Sucuri CloudProxy -palomuurin iThemes Security -sovelluksella, mutta saada Sucurilta CloudProxy IP -luetteloiden luettelon IP WhiteList -luetteloon iThemes-suojausasetuksissa.

Kaksitekijäinen todennus

Mikä tahansa sisäänkirjautuminen, jolla voi olla kahden osapuolen todennus, on aina suositeltavaa käyttää. Tämä voidaan asettaa eri tavoilla. Siellä voi olla CAPTCHA, Google-valtuuskoodi tai yksinkertainen matemaattinen kysymys todistaaksesi, että olet ihminen. Jos päätät käyttää jotain näistä, varmista, että jokaisella kojelautaa käyttävällä henkilöllä on oma kirjautumistunnuksensa. Jaetut kirjautumiset voivat aiheuttaa ongelmia, etenkin jos käytetään matkapuhelimeen lähetettyä Google-valtuuskoodia.

  • iThemes Security Pro – siinä on useita kahden tekijän vaihtoehtoja, mukaan lukien CAPTCHA. Google-valtuutus ja yksinkertainen matematiikka.
  • nuottiavain – Clef tarjoaa matkapuhelimellasi salasanattoman lähestymistavan kirjautumiseen WordPress-kojelautaan.
  • Google Authenticator – Käyttää kaksifaktorista todennusta Google Authenticator -sovelluksella Androidille / iPhonelle / Blackberrylle.

Päivitä aina

Suurin syy haitallisen koodin pääsyyn verkkosivustoon johtuu laajennuksen, teeman tai verkkosivuston koodin havaitusta haavoittuvuudesta. Tämä on helppo korjata pitämällä verkkosivustosi päivitysjaksolla. Jotkut omistajat saavat tietyn viikonpäivän päivittääkseen verkkosivustonsa, kun taas toisilla omistajilla on päivitys aina sisäänkirjautumisen yhteydessä. On laajennuksia, jotka voivat auttaa pitämään sivustosi ajan tasalla.

  • jetpack – Käsittele kaikkia Jetpackiin kytkettyjä sivustoja yhdellä WordPress.com-hallintapaneelilla
  • iThemes Sync – Synkronoi jopa 10 sivustoa ilmaiseksi, joten on yksi kojetaulu päivittää, suorittaa BackupBuddy ja avata iThemes Security -katkaisut..

Onko varmuuskopiojärjestelmä

Sitä on hyvin vähän, mikä on tärkeämpää verkkosivustolla, kun varmuuskopiojärjestelmä on paikallaan. Niin kauan kuin verkkosivustosta on täydellinen varmuuskopio tietokannasta, et koskaan menetä verkkosivustoasi. Sivustojen varmuuskopiointi on olemassa lukuisilla tavoilla, jotkut ovat automatisoituja, jotkut ovat manuaalisia. Lähetä aina varmuuskopiot muualle kuin palvelimellesi.

  • Updraft Plus – Heillä on ilmainen ja premium-versio verkkosivustosi varmuuskopioinnista.
  • BackupBuddy – Ensiluokkainen varmuuskopiolaajennus, joka integroituu iThemes Security and Sync -sovellukseen.

Sekalaiset turvallisuusvinkit

Vaikka nämä eivät sovi suurempaan luokkaan, ne ovat yhtä tärkeitä muistaa

  • Käytä aina SFTP: tä, kun käytät tiedostonhallintaa.
  • Pidä hakemistot 755: ssä ja tiedostot 644: ssä. Älä koskaan säilytä niitä 777: llä tai 666: lla, koska se jättää ne kaikkien suoritettaviksi.
  • Varmistaa, että tietokannan käyttäjänimi ja salasana ovat monimutkaisia.
  • Älä lähetä salasanoja sähköpostitse. Liitä ne zip-tekstitekstinä.
  • Pidä kirjautumistietoja salasananhallinnan avulla. LastPass ja 1Password ovat hienoja työkaluja, joita voidaan käyttää missä tahansa selaimessa ja mobiililaitteissasi.
  • Pidä virustentorjunta tietokoneellasi estääksesi automaattisen lataamisen haitallisilta verkkosivustoilta.

Näiden vaiheiden noudattaminen auttaa sinua ja online-yritystäsi pysymään turvassa. Muista, että ennakoiva toiminta on paras tapa WordPress-tietoturvaan!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map