GNU/Linux >> Znalost Linux >  >> Panels >> Plesk

Jak zabezpečit nebo zpevnit svůj web WordPress

Tento článek byl původně napsán v únoru 2014 a dostává pravidelné aktualizace, jak se mění taktika.

Tip:Pokud je váš web aktuálně napaden hackery, toto není průvodce, který chcete. Podívejte se na našeho průvodce čištěním napadeného webu WordPress. Pak se sem vraťte, abyste to vytvrdili po web byl vyčištěn.

Jak a proč jsou webové stránky znehodnoceny, napadeny nebo poškozeny?

Většina webů je ohrožena známými chybami zabezpečení v zastaralých webových skriptech a aplikacích . Jednoduše řečeno to znamená, že pokud používáte zastaralé verze oblíbeného softwaru, jako jsou nástěnky, blogovací software nebo systémy pro správu obsahu, váš web může být ohrožen. Jiné způsoby, jakými jsou webové stránky běžně kompromitovány, jsou způsobeny nezabezpečenými nebo odcizenými hesly a nesprávnými oprávněními k souborům.

Proč by někdo chtěl hacknout můj web? Na svém webu neukládám žádné osobní ani finanční údaje, takže bych se tím neměl bát, ne? Mnoho lidí má pocit, že protože si myslí, že nikdo nechce kompromitovat jejich web, nemusí se starat o jeho bezpečnost. Přestaňte .

I když možná nebudou chtít žádné informace na vašem webu, většinu času budou vaše stránky použity k šíření virů, spywaru nebo klamání vašich návštěvníků, aby s nimi navštívili stránky. Většina napadených stránek, které vidíme, obsahuje do souborů za účelem právě toto vložení škodlivého kódu.

Bezpečnostní pluginy a nástroje

Dejte si pozor na bezpečnostní pluginy a nástroje WordPress. Většina z nich má tendenci se soustředit buď na předcházení dalším škodám po někdo se už na váš web naboural nebo skryl věci, jako je vaše přihlašovací stránka WordPress (což je jako přehodit list přes dveře a doufat, že si toho nikdo nevšimne), než aby ve skutečnosti zabránil průnikům.

Poté, co někdo získal přístup, je výjimečně obtížné zjistit, co udělal, takže je mnohem důležitější ho nejprve zablokovat. Proto se naše tipy zaměřují na druhy změn, které můžete na svém webu provést a které zabrání průnikům .

Možná si říkáte „ale nechybí vám desítky dalších bezpečnostních postupů?!“ Možná jste o nich četli na jiných blozích nebo od jiných poskytovatelů hostingu nebo odborníků na WordPress. Existuje spousta článků s více než 50 bezpečnostními vylepšeními, která můžete na WordPressu provést… podle našeho názoru je cokoliv víc, než co vidíte níže, přehnané. Většina z těchto 50+ vylepšení je navržena tak, aby zabránila automatickým nástrojům způsobovat škody po již získali administrátorský přístup k vašemu webu. Pokud se budete řídit každým krokem této příručky, vyrazíte na cestu k zamezení přístupu na váš web WordPress.

10 způsobů, jak posílit váš web

#1 tip :Pravidelně zálohujte! (Pokud u nás hostujete, zde je návod, jak zálohování zautomatizovat.) Pokud máte zálohu, je obnovení zálohy řádově rychlejší a jednodušší než čištění hacknutého webu WordPress.

1. Nainstalujte plugin Limit Login Attempts

Poznámka:Pokud u nás hostujete, je to nepovinné. Důvod najdete v rámečku níže.

Tento plugin vám umožní omezit počet neúspěšných pokusů o přihlášení pro váš řídicí panel WordPress. To bude chránit před lidmi, kteří se snaží přihlásit na váš web pomocí náhodných hesel znovu a znovu ve snaze „hrubou silou“ systém. Zde si můžete stáhnout plugin, který nastaví limit na 3 pokusy.

Pokud jste použili náš instalátor webových aplikací na jedno kliknutí, měl by být tento plugin nainstalován ve výchozím nastavení. Pokud tomu tak není, můžete jej nainstalovat pomocí výše uvedeného odkazu.

Věděli jste, že náš hosting WordPress přichází s nástroji na úrovni serveru, které automaticky zjišťují více pokusů o přihlášení ze stejné IP adresy a zakazují škodlivé IP adresy? Instalace pluginu neuškodí, ale s naším hostingem to již není nezbytné!

2. Administrátoři:Používejte bezpečná hesla a kontrolujte je

Nikdy nepoužívejte „dočasné“ heslo, které plánujete později změnit – je příliš snadné je zapomenout upravit. Když přejdete na změnu hesla ve WordPressu v části Uživatelé, ve výchozím nastavení poskytuje automaticky vygenerované bezpečné heslo. Použijte prosím to, co nabízí, a nepokoušejte se použít vlastní, která bude pravděpodobně slabší.

Pokud máte potíže s udržováním/pamatováním dlouhých hesel, neobviňujeme vás:použijte správce hesel, jako je LastPass nebo 1Password, který za vás bude sledovat všechna vaše náhodně vygenerovaná hesla a všechna je uzamkne pomocí jednoho silného hlavního hesla.

Doporučuje se také každých několik měsíců auditovat své administrátory tím, že odstraníte administrátory, které nepotřebujete. Nastavte si ve svém softwaru se seznamem úkolů úkol, který budete dělat čtvrtletně.

3. Vždy aktualizujte software

Poznámka:Aktualizace jsou 100% automatizované, pokud u nás hostujete svůj web ve wordpressu, zajistíte, že všechny prémiové pluginy nebo motivy mají aktivované licence a máte povolené automatické aktualizace ve webových aplikacích na jedno kliknutí.

To zahrnuje základní software WordPress, všechny pluginy a všechna témata, která jste nainstalovali. Tento krok v kombinaci se zabezpečenými hesly jsou dva nejdůležitější kroky . WordPress a vývojáři pluginů a motivů vydávají aktualizace, které přidávají funkce a opravují bezpečnostní chyby. Je důležité, abyste aktualizovali svůj software vždy, když je k dispozici nová verze.

Pokud používáte komerční pluginy nebo motivy, řiďte se jejich pokyny a uložte licenční klíč do nastavení pluginu, abyste povolili automatickou aktualizaci. Toto je možnost pro většinu komerčních pluginů, jako je BeaverBuilder, Gravity Forms a rozšíření WooCommerce.

Pokud vaše komerční téma nebo plugin nepodporuje automatickou aktualizaci, budete muset do svého softwaru se seznamem úkolů přidat opakovanou úlohu, abyste pravidelně kontrolovali aktualizace a instalovali je ručně. Když na takové pluginy narazíme, my jako vývojáři přidáme automatickou aktualizaci, a pokud to nemají v úmyslu,najdeme alternativu. Je to proto, že nestojí za čas potřebný k tomu, abyste měli přehled o ručních aktualizacích pluginů nebo motivů.

4. Smazat starý software

Pokud máte na svém webu nainstalovaných více verzí WordPressu (nebo jakéhokoli jiného softwaru) a jednu z nich již nepoužíváte, budete se muset ujistit, že je aktuální, nebo ji zcela odstranit. Zastaralé a zapomenuté instalace softwaru jsou velmi běžnou metodou, jak získat přístup k vašemu webu pomocí automatizovaných hackerských nástrojů.

Totéž platí pro nainstalované pluginy a motivy. Pokud je nepoužíváte, odstraňte je!

5. Povolit a vynutit HTTPS

Použití HTTPS místo nezabezpečeného HTTP je v dnešní době snadné!

  1. Kliknutím sem se dozvíte, jak nainstalovat certifikát Let’s Encrypt do vaší domény
  2. Postupujte podle našeho průvodce a zjistěte, jak vynutit HTTPS na celém webu.

Nyní budou všechna přihlášení do WordPressu plně zabezpečena od začátku do konce. Žádná hesla nelze vyčmuchat přes drát!

6. Použijte bezpečnostní plugin jako WordFence nebo Sucuri

K tomu je třeba poznamenat několik věcí:

  • Pokud jste u nás hostováni, není to nezbytný nástroj. Používáme kombinaci firewallů, které blokují téměř všechny stejné typy pokusů o narušení jako WordFence, od útoků bruteforce až po zkoumání zranitelnosti.
  • Mnoho bezpečnostních pluginů je podvod, který poskytuje pouze doporučení a aktivně váš web nechrání. Zjistili jsme, že WordFence je nejlepší ze všech, přičemž Sucuri je těsně na druhém místě.
  • WordFence je také užitečný při čištění napadených webových stránek, protože má tendenci najít nejvíce infikované soubory a automaticky je vyčistit.
  • Pokud používáte VPS, neuškodí povolit týdenní kontroly WordFence. Pokud používáte sdílený hosting, povolení těchto skenů může zbytečně spotřebovat zdroje, zejména pokud budete implementovat vše ostatní na tomto seznamu a pokud u nás hostujete.

Poznámka:Testovali jsme mnoho těchto nástrojů k dosažení těchto závěrů. Dokonce jsme viděli některé takzvané bezpečnostní pluginy dříve nainstalované na webech, které byly napadeny hackery – udělaly spoustu dobrého!

7. Odepřít přístup k přihlášení komukoli kromě sebe

Tento krok není nezbytný, pokud již máte velmi bezpečná hesla pro všechny uživatele na úrovni správce, ale není na škodu jej použít, pokud rádi nosíte staniolový klobouk.

Přečtěte si naši příručku a zjistěte, jak chránit heslem složku wp-admin pomocí ověřování HTTP. Při postupu podle průvodce bude složka, do které vstoupíte, složka wp-admin.

Po dokončení budete mít dvě úrovně zadávání hesla než se dostanete k administrátorovi, HTTP Auth a vašemu standardnímu WordPress administrátorskému přihlášení. Nezapomeňte změnit hesla; pokud jsou stejné, pak robot, který se je snaží uhodnout, nebude mít po průchodu první vrstvou žádné potíže.

8. Kdykoli je to možné, spusťte nejnovější PHP v režimu Fast-CGI nebo FPM.

Pokud používáte aktuální ovládací panel, budete si moci vybrat mezi spuštěním PHP pomocí FastCGI nebo Apache PHP. Pokud je to možné, zvolte metodu FastCGI nebo FPM.

Ve WordPressu existuje mnoho motivů a pluginů, které si myslí, že potřebují nastavit globální přístupová oprávnění, aby mohli správně zapisovat do složek a nahrávat obsah. Ve většině případů se mýlí. „777“ znamená, že každý hostovaný na tomto serveru může číst, zapisovat a spouštět jakýkoli ze souborů, které mají tato oprávnění.

To je velké bezpečnostní riziko a je to velký problém, pokud používáte prostředí sdíleného webhostingu. Pokud dojde ke kompromitaci jiného webu na stejném serveru, bude mít přístup ke všem vašim souborům a složkám, které mají nastaveno oprávnění 777.

Použití režimu FastCGI nebo FPM přinutí PHP, aby se spustilo jako vaše uživatelské jméno, a zcela se vyhne těmto problémům a bude skvěle fungovat s výchozími oprávněními k souborům a složkám. Pokud u nás hostujete, pak je pro váš web výchozí režim FPM nebo FastCGI.

Ujistěte se, že používáte nejnovější verzi PHP. Vývojáři PHP pravidelně podporují pouze několik posledních hlavních verzí, takže provozování starších verzí, jako je 7.0 nebo starší (od prosince 2019), může pro váš web představovat bezpečnostní rizika.

9. Nikdy neukládejte svá hesla v počítači, pokud nejsou zašifrována

Mnoho programů ve vašem počítači ve skutečnosti ukládá vaše hesla v prostém textu. To znamená, že pokud máte v počítači virus nebo konkrétní spyware, může mít přístup k FTP nebo webovým přihlašovacím údajům pro vaši instalaci WordPressu nebo webu.

Chcete-li uložit svá hesla ve svých aplikacích, ujistěte se, že jsou zašifrována nebo uložena jako prostý text. Například každá aplikace, která ukládá hesla pomocí systému Keychain společnosti Apple, má plně zabezpečené úložiště hesel. FileZilla bohužel není jednu z těchto aplikací, takže uložení hesla v nástroji správce webu FileZilla může být problematické, pokud je váš počítač infikován virem, který ví, že má hledat datové soubory FileZilla.

10. Ujistěte se, že v počítači vždy používáte antimalwarový software

I když by to mělo být samozřejmé, je velmi běžné, že lidé neřídí ani jedno z toho. Nezáleží na tom, jak bezpečný je váš web nebo server, pokud lidé dokážou získat vaše hesla z vašeho osobního počítače .

Pokud se budete řídit těmito tipy, zbývají pouze dvě metody, které lze použít k hacknutí vašeho webu:

  1. Zranitelnosti nultého dne, které nelze předvídat a chránit, ačkoli nejlepší odpověď na ně je rychlá aktualizace, které za vás zpracovává náš nástroj pro webové aplikace jediným kliknutím.
  2. Sociální inženýrství, kdy vás někdo oklame, abyste se vzdali svého hesla. Abyste tomu zabránili, buďte ostražití a neprozrazujte své heslo.

Plesk

  1. Jak přidat Google Analytics na váš web WordPress

  2. Jak přenést web z wordpress.com na WordPress s vlastním hostitelem

  3. Jak klonovat svůj web

  1. Jak provést zálohu vašeho webu v cPanel

  2. Jak opravit napadený web WordPress

  3. Jak zálohovat svůj web

  1. Jak zálohovat svůj web

  2. Jak naklonovat web WordPress v Plesku

  3. Jak povolit HTTPS na vašem webu WordPress