jak witryny WordPress zostają zhakowane
Z powodu swojej powszechnej popularności jako CMS, WordPress jest również popularnym celem dla hakerów.
Ataki hakerskie są w większości oportunistyczne, a nie ukierunkowane (chociaż duże witryny marek mogą być specjalnie ukierunkowane). Większość ataków jest zautomatyzowana, z boty szukają wysokie i niskie w całym Internecie dla słabych punktów bezpieczeństwa do wykorzystania.
Ataki są często dokonywane za pośrednictwem:
- Niezabezpieczonego hostingu witryny
- Danych logowania – na przykład, poprzez próby wielokrotnych losowych kombinacji nazwy użytkownika i hasła
- Słabości bezpieczeństwa w CMS, wtyczkach lub oprogramowaniu tematycznym – zazwyczaj, gdy nie zostało ono zaktualizowane
Hakerzy mają wiele różnych motywów, ale często chodzi o zysk. Hakowanie witryn w celu rozpowszechniania złośliwego oprogramowania, zdobywania danych użytkowników, wysyłania spamu lub przekierowywania odwiedzających witrynę może być niezwykle lukratywne.
Takie naruszenia bezpieczeństwa mogą mieć bardzo negatywny wpływ na Twoją witrynę i firmę – podważając zaufanie użytkowników, powodując naruszenia prawa i potencjalnie kosztując tysiące funtów. Dlatego tak ważne jest, aby chronić swoją witrynę WordPress przed włamaniami.
Czy moja witryna WordPress jest podatna na włamania?
Początkujący WordPress i właściciele małych witryn często myślą, że nie muszą się martwić o bezpieczeństwo. Zakładają, że ich witryna będzie zbyt mała i nieistotna, aby zainteresować hakerów.
To założenie jest błędne.
Witryny WordPress wszystkich rozmiarów są hakowane. Hakerzy używają zautomatyzowanych botów do skanowania Internetu w poszukiwaniu witryn ze słabymi punktami zabezpieczeń i będą hakować wszędzie tam, gdzie jest okazja.
Inną kluczową rzeczą do zrealizowania jest to, że możesz nawet nie być świadomy, kiedy hakerzy próbują włamać się do Twojej witryny. Jeśli nie otrzymujesz regularnych powiadomień o próbach włamań, prawdopodobnie dowiesz się tylko wtedy, gdy włamanie się powiedzie i coś w Twojej witrynie będzie nie tak.
Wyjątkowym przesłaniem jest to, że wszystkie witryny są podatne na włamania – i lepiej zapobiegać niż leczyć. Upewnij się, że zainstalujesz wtyczkę bezpieczeństwa i podejmiesz inne środki zapobiegawcze, aby Twoja witryna była bezpieczna.
jak pokonać hakerów WordPress
Teraz dzielimy się 10 najlepszymi sposobami, aby Twoja witryna WordPress była bezpieczna i aby zapobiec jej zhakowaniu.
1) Wybierz bezpiecznego dostawcę usług hostingowych
Wszyscy dobrzy dostawcy usług hostingowych będą obejmować ochronę bezpieczeństwa, aby zapewnić, że informacje o Twojej witrynie są bezpieczne na ich serwerach.
Wybierając dostawcę usług hostingowych, upewnij się, aby sprawdzić, jakie środki bezpieczeństwa posiadają (takie jak zapory i bezpieczny FTP), jak monitorują swoją sieć serwerów i jak reagują na wszelkie naruszenia bezpieczeństwa.
Twoja witryna WordPress może być szczególnie narażone na włamania, jeśli masz wspólny plan hostingowy, jak hakerzy mogą potencjalnie korzystać z innych witryn na tym samym serwerze, aby uzyskać dostęp do Twojego.
Najbezpieczniejsze – ale również najbardziej kosztowne – opcja hostingowa jest serwer dedykowany. Jest to warte rozważenia, jeśli masz szczególnie wysoki poziom ruchu lub przechowujesz poufne dane na swojej stronie.
2) Pobierz wtyczkę bezpieczeństwa
Mając wysokiej jakości wtyczkę bezpieczeństwa jest koniecznością, aby zapobiec zhakowaniu witryny WordPress.
Wtyczki bezpieczeństwa zazwyczaj obejmują:
- zaporę ogniową do blokowania podejrzanego ruchu
- brute-force protection against multiple random login attempts
- skaner, który sprawdza twoje pliki, motywy i wtyczki pod kątem problemów bezpieczeństwa
- regularne powiadomienia o bezpieczeństwie
Zalecamy Wordfence – doskonałą, darmową wtyczkę bezpieczeństwa. Po zainstalowaniu, „Wordfence” pojawi się w lewym menu pulpitu nawigacyjnego WordPress. Możesz kliknąć tutaj w dowolnym momencie, aby przeskanować swoją witrynę, zobaczyć najnowsze powiadomienia i uzyskać zalecenia dotyczące poprawy bezpieczeństwa witryny.
3) Wybierz bezpieczny motyw
Wybór odpowiedniego motywu dla Twojej witryny jest kluczowy. Oczywiście, musi on mieć odpowiedni wygląd i funkcje dla Twojej organizacji. Ale musi również być solidny i bezpieczny.
Bezpieczny motyw będzie:
- Był regularnie aktualizowany i łatany
- Podążał za dobrymi standardami kodowania
- Nie będzie związany z błędami lub błędami kompatybilności
Z ponad 7000 dostępnych motywów WordPressa, może być trudno wiedzieć, od czego zacząć!
Najlepszym sposobem na wybranie bezpiecznego motywu jest zajrzenie na stronę WordPress.org. Tam możesz przeglądać recenzje motywów, sprawdzić, ile instalacji miał motyw i sprawdzić, kiedy motyw był ostatnio aktualizowany – wszystkie dobre wskazówki dotyczące bezpieczeństwa.
Możesz również poprosić swoją agencję WordPress o rekomendacje motywów, które spełnią potrzeby Twojej konkretnej witryny i organizacji.
4) Aktualizuj WordPressa
Kontynuowanie aktualizacji WordPressa jest kolejnym ważnym środkiem bezpieczeństwa. Aktualizacje oprogramowania WordPress są dokonywane regularnie, aby zoptymalizować wydajność i załatać wszelkie problemy z bezpieczeństwem, gdy zostaną odkryte.
Możliwe jest zastosowanie automatycznych aktualizacji dla większości podstawowych wydań WordPressa, dzięki czemu Twoja witryna jest aktualizowana w tle bez konieczności robienia czegokolwiek. Jednak nadal musisz ręcznie działać większe wydania – upewnij się, że najpierw wykonasz kopię zapasową swojej witryny!
Wiadomości o aktualizacjach pojawią się na pulpicie nawigacyjnym WordPressa, gdy tylko będą dostępne. Wystarczy kliknąć na nie, aby podjąć działania. To dobry pomysł, aby zaktualizować wtyczki i motywy regularnie too.
5) Użyj bezpiecznych danych logowania
Jak wspomniano powyżej, jednym z kluczowych sposobów hakerzy mogą uzyskać dostęp do witryny WordPress jest poprzez zautomatyzowane „zgadywane” próby logowania. Im bardziej oczywista jest Twoja nazwa użytkownika i hasło, tym bardziej prawdopodobne jest, że próby te zakończą się sukcesem.
Aby zapobiec włamaniom, upewnij się, że wybrałeś nietypową nazwę użytkownika. Oznacza to w zasadzie, że nie używasz 'admin’, która jest tak powszechna, że zazwyczaj jest pierwszą nazwą użytkownika, którą hakerzy będą próbować.
Po drugie, wybierz bezpieczne hasło zawierające mieszankę liter, symboli i cyfr. Dla maksymalnego bezpieczeństwa, powinno to być co najmniej 12 znaków i nie zawierać żadnych słów słownikowych.
Jak również zabezpieczenie logowania do pulpitu WordPress, upewnij się, aby wybrać bezpieczne nazwy użytkowników i hasła dla innych kont związanych z witryną, takich jak niestandardowy adres e-mail. W przeciwnym razie mogą one również zostać wykorzystane do włamania się do witryny.
6) Dodaj uwierzytelnianie dwuskładnikowe
Możesz wzmocnić swoje logowanie WordPress jeszcze bardziej, włączając uwierzytelnianie dwuskładnikowe. Jest to szczególnie przydatne, jeśli masz wielu użytkowników logujących się do back-end swojej witryny.
Z uwierzytelnianiem dwuskładnikowym użytkownicy logują się w dwóch etapach. Po pierwsze, wprowadzają swoją nazwę użytkownika i hasło. Następnie muszą wprowadzić jednorazowy kod dostępu, aby zweryfikować swoją tożsamość.
Wraz z wtyczką bezpieczeństwa Wordfence, którą poleciliśmy powyżej, uwierzytelnianie dwuskładnikowe jest łatwe do włączenia. Wykorzystuje aplikację authenticator do generowania kodów dostępu dla użytkowników.
Aby skonfigurować rzeczy, przejdź do Wordfence > Login Security w pulpicie nawigacyjnym WordPress i skopiuj podany klucz. Następnie pobierz Google Authenticator (lub inną aplikację uwierzytelniającą) i wprowadź ten klucz.
W tym momencie aplikacja dostarczy sześciocyfrowy kod. Po prostu wprowadź go z powrotem na pulpicie nawigacyjnym WordPress i kliknij „Activate”.
Two-factor authentication będzie teraz włączone. Oznacza to, że za każdym razem, gdy spróbujesz zalogować się na WordPressie, zostaniesz poproszony o przejście do aplikacji authenticator i zebranie kodu dostępu.
7) Wyłącz edycję plików
WordPress ma edytor kodu, który pozwala edytować pliki witryny za pośrednictwem pulpitu nawigacyjnego. Podczas gdy jest to oczywiście przydatna funkcja, jest to również ogromna odpowiedzialność w zakresie hackingu. Dlatego zalecamy wyłączenie go.
Innym sposobem na uniemożliwienie edycji plików jest wyłączenie wykonywania plików PHP w folderach /wp-content/uploads/. W tym celu należy otworzyć Notatnik – lub podobny edytor tekstu – i wkleić następujące polecenie:
<Pliki *.php>
deny from all
</Files>
Jeśli zapiszesz to jako .htaccess i prześlij plik do folderów /wp-content/uploads/ na swojej stronie, to również zapobiegnie to atakom hakerów z backdoora na twoje wykonanie PHP.
8) Skanuj swoją stronę i komputer
Ważne jest, aby regularnie skanować swoją stronę w poszukiwaniu złośliwego oprogramowania, wirusów i podejrzanego kodu. Jeśli używasz wtyczki Wordfence, możesz to zrobić przechodząc do Wordfence >Skanuj i klikając 'Rozpocznij nowe skanowanie’.
Jeśli są jakieś problemy, Wordfence zasugeruje jak je naprawić i ponownie zabezpieczyć witrynę. Zalecamy skanowanie co najmniej raz w miesiącu – jeśli możesz robić to częściej, to nawet lepiej!
Jednakże nie ma sensu polegać na posiadaniu bezpiecznej strony, jeśli komputer, z którego ją obsługujesz, jest zainfekowany lub podsłuchany. Pamiętaj więc, aby regularnie skanować swój komputer lub urządzenie.
Powinieneś używać dobrego oprogramowania antywirusowego na swoim urządzeniu i upewnić się, że regularnie aktualizujesz swój system. Zalecamy również sprawdzenie ustawień prywatności w przeglądarce, aby uniknąć włamania podczas przeglądania Internetu.
9) Użyj HTTPS
Mając witrynę HTTPS oznacza, że komunikacja między Twoją witryną a przeglądarkami użytkowników jest szyfrowana. Jest to zatem kolejny kluczowy sposób, aby zapobiec hacking.
Jeśli nie masz HTTPS witryny już, to jest bardzo proste do przeniesienia. Musisz tylko uzyskać certyfikat SSL (Secure Sockets Layer), który jest dostępny dla wszystkich stron internetowych, bezpłatnie, z Let’s Encrypt.
Jeśli masz już certyfikat SSL, a następnie upewnij się, aby ustawić przypomnienie kalendarza, aby odnowić go co dwa lata. W przeciwnym razie, łatwo jest zapomnieć i niech witryny HTTPS status – i dobre referencje bezpieczeństwa – lapse.
10) Backup, backup, backup!
Podczas gdy nasz ostatni wskazówka nie faktycznie zapobiec hacking, to jest prawdopodobnie najważniejszym krokiem do podjęcia w przypadku witryny jest kiedykolwiek hacked.
By zrobić regularne kopie zapasowe witryny, można przywrócić witryny ponownie szybko, jeśli kiedykolwiek potrzebne. Bez backing-up, możesz stać stracić wszystko, co kiedykolwiek zaprojektowane, wysłane lub napisane na swojej stronie.
Jak zrobić kopię zapasową witryny WordPress będzie zależeć od rodzaju hostingu masz. Upewnij się, aby porozmawiać z dostawcą usług hostingowych; mogą one zawierać kopie zapasowe jako część pakietu hostingowego.
Alternatywnie, porozmawiaj z agencją WordPress lub zainstaluj wtyczkę kopii zapasowej. Niezależnie od tego, w jaki sposób to zrobisz, upewnij się, że regularnie tworzysz kopię zapasową swojej witryny WordPress i bezpiecznie przechowujesz pliki kopii zapasowych, abyś wiedział, że są tam, jeśli kiedykolwiek będziesz ich potrzebować.
.