Simple Checklist ng Seguridad para sa Mga Site ng WordPress

Simple Checklist ng Seguridad para sa Mga Site ng WordPress

Alam mo ba na higit sa 100,000 mga website ang na-hack araw-araw? Tama iyon, ang cybercrime ay isang malubhang banta sa anumang kumpanya, at ang sinumang may isang WordPress site ay hindi ligtas. Nagkaroon ako ng run-in sa mga hacker (at kailangang mabawi ang aking site sa WordPress), at marahil alam mo na ito ay pangit.


Ang mga hacker ay aktibong naghahanap ng mga masusugatan na mga website upang masira at magnakaw ng data na maaari nilang palayain para sa kita na pananalapi o purong nakakahamak na hangarin. Upang maprotektahan ang iyong sarili at ang iyong mahalagang site, dapat mong seryosong pag-isipan ang pagpapagod ng iyong seguridad sa WordPress.

Isinasaalang-alang na mawawalan ka ng kita, oras, at pagsisikap kapag ang mga hacker ay pumutok sa iyong website, nilikha namin ang sumusunod na listahan ng seguridad na maaari mong magamit upang ma-secure ang iyong website ng WordPress. Ang lahat ng mga item sa seguridad sa post ay medyo madali upang maipatupad kahit para sa mga first-timers:

Tulad ng nakikita mo, sisirain namin ang post sa maraming bahagi na sumasaklaw sa lahat mula sa pagpili ng isang ligtas na host upang patigasin ang iyong lugar ng admin at iba pa. Kailangan mong ulitin ang ilang mga gawain sa seguridad, tulad ng regular na pag-update ng iyong mga tema. Ang iba pang mga gawain ay isang bagay na one-off, ngunit mayroon pa ring makabuluhang epekto sa pagpapanatiling ligtas ang iyong site. Suriin kung ano ang kailangan mong ayusin, at gawin ito kaagad dahil ang mga hacker ay hindi rin nag-aaksaya ng oras.

Simple Checklist ng Seguridad ng WordPress

1. I-update ang WordPress

Ang WordPress core ay regular na na-awdit at sinuri para sa mga kahinaan sa seguridad. Kung ang mga kakulangan sa seguridad at mga bug ay natagpuan, ang mga pangunahing developer ay karaniwang naglalabas ng mga update sa pagpapanatili. Ang mga pag-update ng menor de edad ay awtomatikong naka-install sa iyong website ng WordPress.

Gayunpaman, kakailanganin mong manu-manong i-update ang WordPress para sa lahat ng mga pangunahing paglabas. Ito ay isang medyo tuwid na proseso ng pasulong dahil nakakuha ka ng isang nagging mensahe sa iyong WordPress admin. 22% lamang ng mga website ang tumatakbo sa pinakabagong bersyon ng WordPress, na malungkot na isinasaalang-alang kung gaano kadali ang pag-update.

Huwag maging sa natitirang 78% dahil mahalagang ilantad mo ang iyong site sa lahat ng paraan ng pag-atake sa pamamagitan ng hindi pag-update ng iyong website. Karaniwan, ang mga hacker ay ang unang pangkat ng mga tao na malaman ang tungkol sa anumang mga kahinaan sa mga lumang bersyon, dahil umaasa sila sa mga bahid na maglunsad ng matagumpay na pag-atake.

Bago mo i-update ang WordPress inirerekumenda namin na basahin ang mga tala ng paglabas upang makita kung ano ang nagbago at kumuha ng backup ng iyong website (upang maging ligtas). Sa ganitong paraan ngayon kung ano ang aasahan kapag na-click mo ang pindutan ng pag-update, at mayroon kang isang pagkabigo ay dapat na magising.

2. I-update ang Mga Tema at Plugin

Habang ina-update ang WordPress core, huwag kalimutang i-update ang iyong mga tema at plugin din. Ang mga hacker ay partikular na mahilig sa mga lumang tema at plugin na may mga kilalang butas sa seguridad.

Sinasamantala nila ang mga kahinaan sa seguridad at maaaring itago pa ang isang backdoor sa isang lumang tema o plugin. Kung hindi ka mag-update, maaari nilang mai-hack ang iyong website tuwing naisin ang mga ito.

Upang maiwasan ang pagkawala ng iyong mga pasadyang estilo, inirerekumenda namin ang paggamit ng isang tema ng bata ng WordPress kumpara sa tema ng magulang. Sa ganoong paraan, hindi mo mawawala ang iyong mga pagpapasadya kapag na-update mo ang iyong tema.

Dapat ding alisin ng Yo ang anumang hindi aktibo na mga tema, plugin, at hindi nagamit na pag-install ng WordPress. Hindi lamang mai-save mo ang bandwidth at gawing mas mabilis ang iyong website, ngunit panatilihin mo rin ang mga hacker.

Ang isa pang mabilis na tala, hindi kailanman i-download ang “nulled” premium na tema at plugin. Pumunta lamang sa mga pinagkakatiwalaang mapagkukunan tulad ng WordPress.org, Envato, o iba pang kagalang-galang na shop shop.

3. Gumamit ng Natatanging at Malakas na Mga Password

Magugulat ka na malaman na ang karamihan sa mga website ay na-hack kapag ang mga masasamang tao ay nakawin ang iyong impormasyon sa pag-login. Bilang karagdagan, ang mga pag-atake ng malupit na puwersa ay karaniwang pangkaraniwan at nagsasangkot sa pagbomba sa iyong pahina ng pag-login na may libu-libong mga kumbinasyon ng username-password hanggang sa may nagbibigay.

Kung gumagamit ka ng mga mahina na username at password (tulad ng walang kamali-mali na “admin” o “12345”) ginagawa mo itong hindi kapani-paniwalang madali para sa mga hacker na masira sa iyong website. Maging sa ugali ng paglikha ng natatanging at malakas na mga password na palagi kang nagbabago. Maaari ka ring gumamit ng isang libreng online na generator, tulad nito HulingPass.

Ang pamamahala ng maraming malakas na mga password ay maaaring maging isang problema. Upang matulungan, madalas akong umasa sa mga tagapamahala ng password tulad ng 1Password o LastPass, bukod sa iba pa. Huwag muling gamitin ang parehong password sa maraming mga website, at palaging panatilihing ligtas ang impormasyon ng iyong pag-login. Tiyaking gumamit din ang iyong mga gumagamit ng WordPress ng malakas na mga password.

Habang ikaw ay nasa – tandaan na gumamit ng malakas na mga password para sa iyong email, cPanel, MySQL database, at FTP account pati na rin.

4. Mag-install ng isang Plugin ng Security ng WordPress

Sa tuwing lumikha ako ng isang bagong website ng WordPress, karaniwang mayroon akong maraming mga plugin ng defacto na nag-install ako ng halos awtomatiko. Kumuha ako ng isang anti-spam plugin, Makipag-ugnay sa Form 7, Symple Shortcode, at iThemes Security, ang aking go-to WordPress security plugin.

Pinapayagan ako ng plugin na palakasin ang aking mga panlaban sa WordPress nang hindi masira ang isang pawis. Ito ay may napakaraming mga tampok na nagpapanatili sa mga masamang tao sa labas ng aking mga website ng isang simoy. Ang pag-configure ng plugin ay sobrang duper madali; dapat kang tumayo at tumatakbo nang walang oras.

Ang pinakamahusay na mga plugin ng seguridad ng WordPress ay nag-aalok sa iyo ng iba’t ibang mga tampok, kaya siguraduhing suriin bago i-install upang matiyak na nakakakuha ka ng lahat ng mga tampok na kailangan mo upang ma-secure ang iyong buong website, gaano man ka natatangi. Kasama sa mga karaniwang tampok ang pag-scan ng malware, pag-block sa IP, pag-iwas sa lakas ng brute, pagpapatunay ng dalawang kadahilanan, at marami pa – pagsuri sa marami sa mga kahon para sa checklist ng seguridad na iyong binabasa ngayon!

5. Pumili ng Great WordPress Hosting

Karaniwan, ang mga nagsisimula sa tagsibol para sa unang murang pag-host ng package na kanilang natagpuan. Hindi ko ito pipigilan laban sa iyo mula nang hindi mo alam ang mas mahusay, ngunit ang kaduda-dudang (o kahit libre) na ibinahaging pagho-host ay maaaring ilantad ka sa mga panganib sa seguridad. Alam ko ito sa isang katotohanan mula nang ako ay na-hack sa dalawang magkakaibang kumpanya ng pag-host na nag-aalok ng ibinahaging hosting.

Ang nakabahaging pagho-host ay nagsasangkot ng pagbabahagi ng isang server sa libu-libong iba pang mga website. Pinatataas nito ang panganib ng kontaminasyon sa cross-site. Iyon ay, ang isang hacker ay maaaring makakuha ng access sa iyong site kahit na ang website ng ibang tao ay ang orihinal na punto ng pag-atake.

Ang pinamamahalaang WordPress hosting, sa kabilang banda, ay nakatuon lamang sa mga website ng WordPress. Hindi ka nagbabahagi ng isang server sa iba, at nakakakuha ka ng higit pang mga pagpipilian sa seguridad upang manatiling ligtas. Nag-aalok din sila ng dedikadong suporta, at higit pang mga pagpipilian sa paggaling ay dapat na pinakamasama mangyari.

Kung kailangan mong gumamit ng ibinahaging hosting, sabihin mong nagsisimula ka sa isang blog na hindi pa kumita ng pera, siguraduhin na ang mga site ay ihiwalay, o “nabilanggo.” Kung nagpapatakbo ka ng isang negosyo o website ng eCommerce, binabayaran nito na gamitin ang pinakamahusay na pagho-host ng WordPress maaari kang magkasya sa iyong badyet mula sa salitang go – tulad ng VPS, nakatuon, o pinamamahalaang WordPress hosting.

6. Gumamit ng SSL (HTTPS)

Ngayon, maraming mga kumpanya ng hosting ng WordPress ang nag-aalok ng mga libreng sertipiko ng SSL mula sa salitang go at para sa isang magandang dahilan. Ang mga sertipiko ng SSL ay ginagawang mas ligtas ang iyong website kaysa sa mga site na walang SSL. Inirerekomenda din ng Google na gamitin ang mga sertipiko ng SSL upang maprotektahan ang data sa iyong website (at tiyakin na alam ng mga gumagamit kung gumagamit ka ba ng SSL o hindi).

Ang HTTPS ay mas ligtas kaysa sa nauna nitong HTTP. Ang isang website na gumagamit ng HTTPS ay nai-encrypt ang lahat ng data na lumilipat sa pagitan ng browser ng gumagamit at ng iyong mga server. Kung ang isang hacker ay nakikipag-ugnay sa komunikasyon, makakahanap lamang sila ng naka-encrypt na data na kapaki-pakinabang bilang isang tao na may isang tao sa isang kumpetisyon na sinipa-sipain ��

Ang pag-install ng mga sertipiko ng SSL sa karamihan sa mga web host ay kasing dali ng A, B, C. Karamihan sa mga nag-aalok ng isang-click na installer na ginagawang madali ang buong proseso. Mag-log in lamang sa iyong cPanel at mag-click sa isang solong pindutan upang mai-install at pamahalaan ang iyong mga sertipiko ng SSL. Kung gusto mo ng mas maraming diskarte sa kamay, isaalang-alang ang suriin ang Let’s Encrypt.

7. Lumikha ng isang Buong Backup ng Site

Kapag ang mga hacker ay pinatay ako, kinailangan kong itayo muli ang aking mga website mula sa simula, isang sakit ng ulo ay maiiwasan ko kung maaasahan kong naalaala sa backup na WordPress.

Ngunit hindi, ang mga backup na kasama ng aking web host ay nasira sa pag-atake, at hindi, wala akong pangalawang backup na solusyon. Isang klasikong kaso ng paglalagay ng lahat ng iyong mga itlog sa isang basket na nagturo sa akin ng isang mahirap na aralin.

Ngayon, lumikha ako ng buong website backup na kasama ang aking mga file sa website at mga database. Pangunahin ko ang paggamit PamahalaanWP, ngunit ginagamit ko rin ang Plugin ng duplatorator upang mag-imbak ng mga backup sa aking computer at sa Google Drive.

Hinihiling ko sa iyo na regular na lumikha ng buong backup. Maraming mga solusyon sa backup ng WordPress ang nagpapahintulot sa iyo na i-automate ang buong proseso, makatipid ka ng oras at bibigyan ka ng kapayapaan ng isip.

8. Gumamit ng isang Web Application Firewall (WAF)

Upang magdagdag ng isang dagdag na layer ng seguridad sa iyong site ng WordPress, at matulog nang mas mahusay sa gabi, paganahin ang isang web application firewall (WAF). Pinoprotektahan ng isang WAF ang iyong website sa pamamagitan ng pagharang sa nakakahamak na trapiko nang matagal bago ito makarating sa iyong site. Ito ay isang aktibong hakbang upang matigil ang mga masasamang tao na patay sa kanilang mga track bago sila magdulot ng anumang pinsala.

Sinala ng firewall ang iyong papasok na trapiko, tinatanggal ang mga hacker habang hinahayaan ang mga lehitimong gumagamit. Maraming mga kumpanya ng seguridad ng WordPress ang nag-aalok ng mga firewall ng aplikasyon ng web kasama ang iba pang mga tampok. Ang mga sikat na pagpipilian sa industriya ay kinabibilangan ng Sucuri at Cloudflare.

9. Huwag paganahin ang Pag-edit ng File sa WordPress Admin

Ang WordPress CMS ay may isang kamangha-manghang editor ng code na nagbibigay-daan sa iyo upang i-edit ang mga plugin at mga file ng tema sa loob ng iyong dashboard ng admin ng WordPress. Ang code editor ay isang mahusay na tool na magagamit sa iyong pagtatapon, ngunit sa mga maling kamay, maaaring gamitin ito ng mga hacker upang masira o magdagdag ng malware sa iyong website.

Maaari mong palaging i-edit ang iyong tema at mga file ng plugin (kung kinakailangan iyon) sa pamamagitan ng FTP o file manager sa cPanel, na nangangahulugang maaari mong ganap na hindi paganahin ang code editor sa WordPress. Hindi mo nais ang mga hacker na nakakuha ng access sa iyong lugar ng admin ng WordPress na magkaroon ng access sa editor ng code, dahil maaari silang maging sanhi ng maraming pinsala sa ilang linya ng code.

Anong gagawin? Maaari mong paganahin ang built-in na code ng editor gamit ang libre Seguridad ng Sucuri isaksak. Bilang kahalili, maaari mong idagdag ang sumusunod na code sa iyong wp-config.php file:

// Hindi pinapayagan ang pag-edit ng file
tukuyin ('DISALLOW_FILE_EDIT', totoo);

Kami ay lumipat.

10. I-secure ang Iyong Pag-login

Karaniwan, ang form sa pag-login sa iyong WordPress ay may dalawang larangan; username at password. Sa mga brute na attackers at bots na nakakakuha ng mas matalinhaga sa araw, paano mo hihinto ang mga hacker mula sa pagkakaroon ng pag-access sa iyong WordPress admin area? Ito ay simple; nagdagdag ka ng mga katanungan sa CAPTCHA o seguridad na nagpapahirap sa sinumang makakuha ng hindi awtorisadong pag-access.

At hindi mo kailangang i-edit ang code magdagdag ng CAPTCHA o mga katanungan sa seguridad sa iyong pahina ng pag-login. Mayroong isang tanyag na plugin ng WordPress na kilala bilang Tanong sa WP Security madali itong i-configure at gamitin. Kung nais mong gumamit ng CAPTCHA, maaari mong gamitin Simpleng Pag-login Captcha, WordFence, o isa sa maraming iba pang mga pagpipilian na magagamit nang libre sa WordPress.org.

Sa parehong oras, maaari mong baguhin ang iyong wp-login URL sa isang bagay na natatangi. Sa ganoong paraan, ang mga bot, at mga hacker ay mahihirapan na subukan ang URL sa iyong pahina ng pag-login. Ang wp-login ay sikat na sa mga hacker, kaya’t ginagawang perpekto ang kahulugan upang baguhin ang URL sa ibang bagay. Maaari kang gumamit ng isang plugin tulad ng WPS Itago ang Pag-login.

11. Magdagdag ng Authentication

Bilang karagdagan, isaalang-alang ang pagpapatupad ng two-factor at multi-factor na pagpapatunay. Kung sakaling ang isang hacker ay makakakuha ng access sa iyong mga detalye sa pag-login, hindi nila magawang mag-login sa iyong WordPress site. Maraming mga pagpipilian na magagamit, ngunit Google Authenticator ay isang popular na pagpipilian.

Bukod doon, limitahan ang mga pag-login sa iyong pahina ng pag-login. Kung sinusubukan ng isang bisita na mag-login gamit ang isang account na hindi umiiral o muling nag-log upang mag-log in ng maraming beses, malamang na sila ay isang hacker o bot na nagsisikap na mag-brute-lakas sa kanilang paraan. Maaari kang gumamit ng isang plugin tulad ng Limitahan ang Mga Pagsubok sa Pag-login o Pag-login sa Pag-login upang maiwasan ang mga nakakaabala na elemento na ito.

12. Mag-log Out Mga Di-Aktibong Gumagamit

Kapag mayroon kang isang website na multi-user na WordPress, hindi mo lubos na makontrol kung paano o kung saan mai-access ng mga gumagamit ang iyong website. Maaaring magpasya ang isang may-akda na gumamit ng libreng pampublikong Wi-Fi upang gumawa ng pangwakas na pagpindot sa isang artikulo. Maaaring iwanan ng isang taga-disenyo ng web ang kanilang desk at bumalik mula sa isang oras na pahinga sa tanghalian.

Sa ganitong mga sitwasyon, maaaring mailantad ng iyong gumagamit ang iyong website sa mga panganib sa seguridad na hindi alam. Ang isang taong nakakahamak na tao ay maaaring tumagal sa kanilang sesyon, i-edit ang kanilang mga detalye, at simpleng mapahamak. Kung alam ng hindi awtorisadong partido kung ano ang kanilang ginagawa, madali nilang madala ang account ng gumagamit at makagawa ng pinsala.

Anong gagawin? Maaari mong mai-log out ang mga hindi aktibong gumagamit nang awtomatiko pagkatapos ng isang paunang natukoy na tagal. At ang pinakamagandang bahagi? Mayroong mga plugin para sa eksaktong layunin na ito. Ang isang tanyag na pagpipilian ay ang Hindi Aktibo Logout plugin na kasama ang mga pagpipilian upang ipasadya ang idle oras bago mag-logout, pasadyang popup message o mag-redirect sa logout, at timeout ayon sa papel ng gumagamit.

13. I-scan para sa Malware at Isyu (Regular)

Madalas nakalimutan, ang pag-scan ng iyong website ng WordPress nang regular ay makakatulong sa iyo na makilala ang mga problema sa seguridad nang maaga. Tumatagal lamang ng isang segundo para sa isang hacker na masira sa iyong website at gawin ang lahat ng paraan ng mga bastos na bagay. Ito ay tiyak kung bakit dapat kang manatili sa itaas ng mga bagay sa lahat ng oras.

Maraming mga plugin ng seguridad ng WordPress upang mai-scan para sa mga impeksyon sa malware, kilalang mga kahinaan sa seguridad, lipas na mga script, pag-atake ng lakas ng loob, mga di-umiiral na mga backup, at iba pa. Nagpapadala sa iyo ang mga plugin ng detalyadong mga ulat sa mga kilalang problema, kaya maaari mo itong ayusin o umarkila ng isang propesyonal.

Maraming mga scanner ng website, tulad ng Sucuri SiteCheck, na maaari mong gamitin upang suriin ang iyong site sa isang flash. Ang kailangan mo lang gawin ay ipasok ang iyong URL, at awtomatikong susuriin ng mga tool ang iyong website. Pagkatapos nito, nag-aalok ka sa iyo ng isang ulat sa kung ano ang kailangan mong ayusin. Kapag mayroon ka ng ulat, ayusin agad ang lahat ng kahinaan sa seguridad.

14. Gumamit ng isang VPN

Kung nagpapatakbo ka ng isang website na nagdadala ng sensitibong impormasyon na hindi dapat makuha sa mga kamay ng mga hacker, isaalang-alang ang paggamit ng isang virtual pribadong network (VPN), higit pa kung gumagamit ng libreng pampublikong Wi-Fi. Pinoprotektahan ka ng isang VPN mula sa pag-atake ng tao sa gitna na karaniwan sa mga pampublikong network, kabilang ang sa bahay at trabaho.

Tinitiyak ng isang virtual na pribadong network na kahit na ang mga umaatake ay makakakuha ng access sa system at magnakaw ng iyong mga detalye, wala silang magagawa sa data na kinuha nila sa iyo. Kung mayroon kang isang internet network na ibinabahagi mo sa maraming tao, palaging gumamit ng isang VPN bago ma-access ang iyong WordPress admin area.

Iba pang mga Pagpipilian sa Seguridad sa WordPress

Kailangan mo pa bang gawin? Gusto naming panatilihing ligtas ang iyong website sa lahat ng oras, kaya narito ang mga item sa seguridad ng bonus upang idagdag sa iyong listahan ng tseke:

  • Huwag paganahin ang pagpapatupad ng file ng PHP sa / wp-content / wp-upload /
  • Baguhin ang prefix ng iyong database ng WordPress
  • Protektahan ng password ang iyong mga pahina ng admin at pag-login sa server-side
  • Huwag paganahin ang pag-index ng direktoryo
  • Huwag paganahin ang WP REST API at XML-RPC kung hindi kinakailangan
  • Huwag i-edit / baguhin ang WordPress core – sumulat o gumamit ng isang plugin na nag-aalok ng pag-andar na kailangan mo
  • Tiyaking nagpapatakbo ang iyong website ng pinakabagong bersyon ng PHP
  • Gumamit ng isang antivirus program sa iyong computer
  • Paganahin ang Google Search Console
  • Bawasan ang mga kahinaan sa XSS at SQL Injection (maaaring mangailangan ka ng isang mas taong tech-savvy na makakatulong sa dalawang ito)

Talagang, ang bilang ng mga hakbang na maaari mong gawin upang maprotektahan ang iyong site ay walang hanggan. Ngunit kung maaari mong suriin ang 14 na item na nakalista namin ito ay isang malaking hakbang upang ma-secure ang iyong site.


Ang pag-secure ng iyong website ng WordPress ay mapaghamong ngunit hindi imposible. Gamit ang tamang mga tool at kasanayan, maaari mong mabilis na patigasin ang iyong seguridad sa WordPress at ilayo ang masasamang aktor.

Bilang isang pagbabalik, palaging panatilihing napapanahon ang iyong website. Sa itaas ng iyon, hindi kailanman i-download ang mga tema o plugin mula sa mga hindi mapagkakatiwalaang mga site. At upang maging nasa ligtas na bahagi ay dapat na ang pinakamasama mangyari, palaging magkaroon ng isang maaasahang solusyon sa backup sa lugar.

Inaasahan namin na natagpuan mo ang lahat ng mga tip na kailangan mo upang ma-secure ang iyong website ng WordPress, samakatuwid online na negosyo. Kung mayroon kang isang katanungan o kailangan ng tulong na malaman kung paano ma-secure ang iyong website ng WordPress, mangyaring ipaalam sa amin sa mga komento. Manatiling ligtas!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map