Co je lepší než dobře vytvořený web? Dobře vytvořený web s robustním zabezpečením.
Držte se mě, protože odhalím některé z nejlepších bezpečnostních postupů pro váš web WordPress. Nejen, že jsou vhodné pro začátečníky, ale tyto postupy jsou cenově dostupné, ne-li zcela zdarma.
Na konci tohoto článku budete mít akční plán na ochranu vašeho webu před všemi druhy kybernetických hrozeb. Tak se připoutejte a můžeme začít!
Table of Contents
Je váš web WordPress bezpečný?
Zatímco WordPress je považován za nejpopulárnější CMS k dnešnímu dni, tato pověst má určité důsledky. Použito přes 35 % webových stránek na internetu se WordPress stává oblíbeným cílem útoků malwaru. Jen v roce 2018 Sucuri oznámil, že kolem 23 000 webů WordPress se stalo obětí narušení bezpečnosti.
Znamená to, že WordPress má hrozný bezpečnostní systém?
Vůbec ne! Naopak, hlavní příčinou narušení bezpečnosti webových stránek je nedostatečné povědomí uživatelů o bezpečnosti.
Jako renomovaný CMS dělá WordPress svůj díl tím, že pravidelně publikuje bezpečnostní záplaty a aktualizace softwaru. Navzdory tomu tyto upgrady budou mít malý rozdíl, pokud nevíte, co si s nimi myslet.
Zkrátka hrajete významnou roli v zabezpečení vašeho webu.
Nyní, když znáte svou roli a odpovědnost webmastera, je čas prozkoumat, co můžete udělat pro zlepšení zabezpečení svých webových stránek. Podívejte se na osvědčené bezpečnostní postupy níže a zkuste je implementovat na svůj web.
Používejte silná uživatelská jména a hesla
Vytvoření silných přihlašovacích údajů může být nejsnazší bezpečnostní praktikou, kterou může kdokoli provést, ale mnoho uživatelů to stále nedokáže. Věř tomu nebo ne, 23,2 milionů účtů stále používat „123456“ jako své heslo. Stejný problém se týká uživatelských jmen, kde mnoho uživatelů používá standardní uživatelská jména jako „admin“ a „administrator“.
Pokud potřebujete pomoc s vymýšlením silných hesel, existuje jich spousta generátory hesel tam můžete používat zdarma. Pokud jde o uživatelská jména, můžete do klíčových slov začlenit čísla a speciální znaky, aby byla jedinečnější.
Použití slabých přihlašovacích údajů způsobí, že váš web bude zranitelný vůči útokům hrubou silou. Tento typ kybernetického útoku využívá k uhodnutí vašich přihlašovacích údajů metodu pokus-omyl. Proto je nejlepší vyhnout se používání běžných klíčových slov pro vaše přihlašovací údaje.
Pokud máte ve zvyku zapomínat heslo, můžete zvážit použití LastPass zapamatovat si a použít jej jedním kliknutím. Pokud jde o uživatelská jména, můžete do klíčových slov začlenit čísla a speciální znaky, aby byla jedinečnější.
Skrýt přihlášení WordPress
Tento jednoduchý trik může ochránit vaše WP stránky před útočníky zaměřujícími se na útoky hrubou silou. Použití WPS Skrýt přihlášení bezplatný plugin pro změnu přihlašovací adresy URL na něco jedinečného.
Povolit dvoufaktorové ověřování
Jakmile zajistíte své přihlašovací údaje správce, můžete proces přihlašování ještě vylepšit povolením dvoufaktorového ověřování. Tento proces zabezpečení vytváří další vrstvu ochrany, která vyžaduje, aby uživatelé získali jedinečný kód z ověřovací aplikace. Pokud jej implementujete na svůj web, mohou se ke svému účtu přihlásit pouze uživatelé se správnými přihlašovacími údaji a kódem.
WordPress má spoustu pluginů pro dvoufaktorovou autentizaci, ze kterých si můžete vybrat. Mezi ty nejlepší patří Google Authenticator, Dvoufaktorová autentizacea Dvoufaktorový.
Změňte předponu databáze WordPress
Databáze webových stránek je nejoblíbenějším cílem útoků SQL injection. Tyto typy kybernetických útoků nutí databázi spouštět škodlivý kód, což hackerům umožňuje volně upravovat nebo eliminovat data v ní. Jako SQL injection útoky zahrnují kolem 80 % pokusů o hackování spuštěna za měsíc, neměli byste tuto hrozbu brát na lehkou váhu.
Jedním z faktorů, kvůli kterým je vaše databáze náchylná k útokům SQL injection, je použití výchozí předpony databáze wp_. Pomocí předvídatelné databáze umožňuje předpona hackerům uhodnout názvy vašich tabulek a způsobit ve vaší databázi zmatek. Proto vřele doporučuji jej při nejbližší příležitosti změnit.
Zde je podrobný průvodce o tom, jak změnit předponu databáze WordPress. Můžete také zkusit Plugin Změnit předponu tabulky.
Zakázat hlášení chyb PHP
Funkce hlášení chyb PHP vám pomůže mnohem rychleji lokalizovat chyby v souborech PHP. Umožňuje však také ostatním lidem vidět zranitelnost vašeho webu. Proto vám doporučuji tuto funkci úplně zakázat.
WordPress ve výchozím nastavení deaktivuje funkci hlášení chyb. Pokud je z nějakého důvodu povolena, měli byste ji deaktivovat ručně pomocí úpravou souboru wp-config.php. V závislosti na vaší webhostingové službě vám několik poskytovatelů hostingu také umožňuje spravovat toto nastavení z jejich ovládacího panelu.
Udržujte WordPress v aktuálním stavu
Aby WordPress držel krok se stále rostoucími typy kybernetických útoků, pravidelně vydává aktualizace spolu s nejnovějšími bezpečnostními záplatami. Toto vylepšení se netýká pouze jádra WordPressu, ale také pluginů a motivů. Jak již bylo řečeno, používání zastaralého softwaru je receptem na katastrofu.
Zatímco WordPress automaticky implementuje drobné aktualizace softwaru, velké aktualizace musíte stále provádět ručně. Nezapomeňte tedy pravidelně hledat nové aktualizace v sekci Aktualizace na panelu administrátora WordPress, abyste se vyhnuli bezpečnostním chybám na vašem webu.
K dispozici je také bezplatný plugin Snadný správce aktualizacípomocí kterého můžete ovládat, jak chcete aktualizovat jádro, motivy a pluginy WordPress.
Zakázat procházení adresářů
Procházení adresářů vám může poskytnout rychlý přístup ke struktuře webu a jednotlivým adresářům. Může se však proměnit v dvousečný meč, pokud k němu mají přístup i ostatní lidé. Hackeři jej často používají k nalezení zranitelných souborů, zásuvných modulů a motivů a poté je používají k získání přístupu na váš web.
Pokud hostujete svůj web WP na prémiové platformě, nemusíte si dělat starosti, protože se o tyto optimalizace postarají. Pokud však hostujete sami nebo jej potřebujete ručně deaktivovat, podívejte se na toto článek vědět, jak zakázat procházení adresářů ve WordPressu.
Odebrat číslo verze WordPress
WordPress průběžně vydává aktualizace, které opravují bezpečnostní zranitelnosti předchozí verze. Starší verze jsou obvykle sužovány více zranitelnostmi. Zveřejnění vaší verze WordPressu proto není nejlepší nápad pro váš systém zabezpečení webu.
Ve výchozím nastavení je vaše verze WordPress viditelná v pravém dolním rohu vašeho administrátorského panelu a zdroje stránky. Objevuje se také na méně zřejmých místech, jako jsou RSS, CSS a skripty webu. Je tam skvělé článek který poskytuje podrobný návod, jak odstranit verzi WordPress z těchto míst.
Zakázat úpravy souborů
Vestavěný editor souborů WordPress vám umožňuje mnohem snadněji upravovat pluginy a skripty motivů. Přesto může tato funkce ohrozit váš web, pokud se dostane do nesprávných rukou. Z tohoto důvodu je nejlepší zakázat úpravy souborů úplně. Můžete tak učinit přidáním níže do souboru wp-config.php.
define('DISALLOW_FILE_EDIT', true);
Provádějte pravidelné zálohy
Vytváření záloh je stejně důležité jako zabezpečení webu. V nejhorším případě vám zálohy mohou ušetřit nutnost přestavovat web od základů.
Tento proces se může zdát zdlouhavý, ale existuje mnoho záložních pluginů, jako je VaultPress a BlogVault díky čemuž to může být bezproblémové. Protip, použijte plugin, který má funkci automatického zálohování, abyste ušetřili čas a předešli tomu, že váš systém zanesou zastaralé zálohy.
Pokud neradi používáte příliš mnoho pluginů, můžete zvážit použití iThemes Security Pro, které se postarají především o další a další.
Zastavte spam a negativní SEO
Spam je všude a nikdo ho nemá rád.
Pokud provozujete populární web a nemáte správný systém prevence spamu, můžete každý den přitahovat tisíce spammerů. Příliš mnoho spamu je špatné pro SEO a uživatelský dojem. Představte si, že máte u příspěvku na blogu stovky irelevantních komentářů.
Řekněte ne spamu pomocí CleanTalk antispam řešení.
Použijte WAF
Jednou z nejlepších investic, které můžete udělat pro zabezpečení svých stránek, je použití WAF (Web Application Firewall). Pomáhá zabezpečit váš web před 10 hlavními zranitelnostmi OWASP, známými i neznámými bezpečnostními chybami, škodlivým kódem, DDoS útoky a mnoha dalšími.
Existuje několik možností – SUCURI, Malcare, mračna.
Správa motivů a pluginů
Jednou z největších výhod používání WordPressu je jeho rozsáhlá sbírka pluginů a témat. Je ironií, že pluginy a motivy WordPress představují největším zdrojem zranitelnosti které by mohly váš web ohrozit. Měli byste si tedy vybrat moudře a pečlivě spravovat ty, které jste nainstalovali.
Nejjednodušší způsob, jak zabránit hackerům v přístupu na váš web prostřednictvím vadného softwaru, je pomocí pluginů a motivů s vynikajícími recenzemi a hodnocením. To jsou skvělé ukazatele, které vám řeknou, že jsou dobře udržované a fungují správně. Kromě toho nezapomeňte pravidelně kontrolovat aktualizace, abyste zlepšili jejich výkon.
Zabalit se
Vzhledem k tomu, že se kybernetické hrozby po celém světě neplánují velmi brzy stáhnout, je nezbytné zabezpečit váš web WordPress před potenciálním nebezpečím. Naštěstí existuje spousta jednoduchých, ale účinných bezpečnostních postupů, kterými můžete zlepšit celkové zabezpečení svého webu.
Tento článek dokazuje, že k provádění některých osvědčených bezpečnostních postupů nepotřebujete velký rozpočet ani pokročilé technické znalosti. Otázkou je, zda jste připraveni na tuto výzvu?
Chcete přijímat platby prostřednictvím svého webu? Zde jsou nejlepší pluginy pro přijímání plateb na webech WordPress.
Příbuzný:
Jak používat Google Cloud SQL s WordPress.