Utrzymanie bezpieczeństwa Twojej strony WordPress to ciągły proces, podobny do dbania o zdrowie. Chociaż WordPress jest zaprojektowany z myślą o bezpieczeństwie, problemy nadal mogą się pojawić. Problemy te mogą być spowodowane przestarzałymi wtyczkami, słabymi hasłami lub nawet ustawieniami Twojego hostingu internetowego.
W WPBeginner uważamy audyty bezpieczeństwa WordPress za przeglądy witryny. Pomagają znaleźć i naprawić słabe punkty, zanim ktoś z nich skorzysta. Utrzymują Twoją witrynę w dobrej kondycji i chronią zawarte w niej informacje.
Ten artykuł pokaże Ci, jak sprawdzić swoją witrynę WordPress pod kątem problemów z bezpieczeństwem, nie powodując żadnych problemów ani przerw.
Czym jest audyt bezpieczeństwa WordPress?
Przeprowadzenie audytu bezpieczeństwa Twojej witryny WordPress oznacza sprawdzenie jej pod kątem oznak naruszenia bezpieczeństwa. Możesz przeprowadzić kontrolę WordPress w celu wyszukania podejrzanej aktywności, złośliwego kodu lub nietypowego spadku wydajności.
Pokażemy Ci, jak przeprowadzić podstawowy audyt bezpieczeństwa, wykonując proste kroki, które możesz wykonać ręcznie. Pokażemy Ci również, jak używać narzędzi i usług do audytu bezpieczeństwa WordPress do automatycznego przeprowadzania kontroli bezpieczeństwa.
Jeśli coś podejrzanego znajdziesz, możesz to wyizolować, usunąć i naprawić.
Kiedy przeprowadzić audyt bezpieczeństwa WordPress
Powinieneś przeprowadzać audyt bezpieczeństwa WordPress co najmniej raz na kwartał. Pozwala to być na bieżąco ze wszystkim i zamykać luki w zabezpieczeniach, zanim spowodują jakiekolwiek problemy.
Jednakże, powinieneś natychmiast przeprowadzić audyt bezpieczeństwa, jeśli zauważysz coś podejrzanego, na przykład:
- Twoja witryna nagle stała się wolna i powolna.
- Obserwujesz spadek ruchu na swojej witrynie.
- W Twojej witrynie znajdują się podejrzane nowe konta, prośby o zresetowanie hasła lub próby logowania.
- Na Twojej stronie pojawiają się podejrzane linki.
Mając to na uwadze, przyjrzyjmy się, jak łatwo przeprowadzić audyt bezpieczeństwa WordPress.
Przeprowadzenie podstawowego ręcznego audytu bezpieczeństwa WordPress
Oto lista kontrolna niektórych kroków, które możesz podjąć, aby przeprowadzić podstawowy ręczny audyt bezpieczeństwa WordPress swojej witryny.
1. Zaktualizuj rdzeń WordPress, wtyczki i motywy
Aktualizacje WordPress są naprawdę ważne dla bezpieczeństwa i stabilności Twojej strony. Poprawiają luki w zabezpieczeniach, wprowadzają nowe funkcje i poprawiają wydajność.
Upewnij się, że oprogramowanie rdzenia WordPress, wszystkie wtyczki i motywy są aktualne. Możesz to łatwo zrobić, odwiedzając stronę Panel » Aktualizacje w obszarze administracyjnym WordPress.
WordPress sprawdzi, czy dostępne są jakieś aktualizacje, a następnie wyświetli je do zainstalowania. Jeśli potrzebujesz więcej pomocy, zapoznaj się z naszymi przewodnikami na temat prawidłowej aktualizacji WordPress i prawidłowej aktualizacji wtyczek WordPress.
2. Sprawdź konta użytkowników i hasła
Następnie musisz przejrzeć konta użytkowników WordPress, odwiedzając stronę Użytkownicy » Wszyscy użytkownicy. Poszukaj podejrzanych kont użytkowników, których nie powinno tam być.
Jeśli prowadzisz sklep internetowy, witrynę członkowską lub sprzedajesz kursy online, możesz mieć konta użytkowników, do których logują się Twoi klienci.
Jednak jeśli prowadzisz bloga lub witrynę biznesową, powinieneś widzieć tylko konta użytkowników dla siebie lub innych użytkowników, których ręcznie dodałeś.
Jeśli widzisz podejrzane konta użytkowników, musisz je usunąć.
Teraz, jeśli Twoja witryna nie wymaga od użytkowników tworzenia konta, musisz przejść na stronę Ustawienia » Ogólne i upewnić się, że pole obok opcji „Każdy może się zarejestrować” jest odznaczone.
Jako dodatkowe zabezpieczenie musisz zmienić hasło administratora WordPress. Zdecydowanie zalecamy dodanie uwierzytelniania dwuskładnikowego, aby wzmocnić bezpieczeństwo haseł na Twojej stronie.
3. Uruchom skanowanie bezpieczeństwa WordPress
Następnym krokiem jest sprawdzenie Twojej witryny pod kątem luk w zabezpieczeniach. Na szczęście istnieje kilka skanerów bezpieczeństwa online, których możesz użyć do wyszukiwania złośliwego oprogramowania.
Zalecamy użycie skanera bezpieczeństwa IsItWP Security Scanner, który sprawdza Twoją witrynę pod kątem złośliwego oprogramowania i innych luk w zabezpieczeniach.
Te narzędzia są dobre, ale mogą skanować tylko publicznie dostępne strony Twojej witryny. Pokażemy Ci, jak przeprowadzić głębsze audyty później w tym artykule.
4. Sprawdź analitykę swojej witryny
Analizy strony internetowej pomagają śledzić ruch na Twojej witrynie. Są one również całkiem dobrym wskaźnikiem kondycji Twojej strony.
Jeśli Twoja witryna została zablokowana przez wyszukiwarki, zobaczysz nagły spadek ruchu na swojej stronie. Jeśli Twoja witryna jest wolna lub nie odpowiada, ogólna liczba wyświetleń stron spadnie.
Zalecamy używanie MonsterInsights do śledzenia ruchu na Twojej witrynie. Pokazuje nie tylko ogólną liczbę wyświetleń stron, ale można go również używać do śledzenia zarejestrowanych użytkowników, klientów WooCommerce, konwersji formularzy i nie tylko.
5. Konfiguracja i sprawdzanie kopii zapasowych WordPress
Jeśli jeszcze tego nie zrobiłeś, musisz natychmiast skonfigurować wtyczkę do tworzenia kopii zapasowych WordPress. Zapewni to, że zawsze będziesz mieć kopię zapasową swojej witryny na wypadek, gdyby coś poszło nie tak.
Wielu początkujących zapomina o swojej wtyczce do tworzenia kopii zapasowych WordPress po jej skonfigurowaniu. Czasami wtyczki do tworzenia kopii zapasowych mogą przestać działać bez żadnego powiadomienia. Dobrym pomysłem jest upewnienie się, że Twoja wtyczka do tworzenia kopii zapasowych nadal działa i zapisuje kopie zapasowe.
Przeprowadzanie automatycznego audytu bezpieczeństwa WordPress
Powyższa lista kontrolna pozwala przejść przez najważniejsze aspekty audytu bezpieczeństwa. Nie jest to jednak bardzo dokładny proces, co oznacza, że Twoja witryna nadal może być narażona na ataki.
Na przykład trudno jest prowadzić ręczny rejestr całej aktywności użytkowników, różnic w plikach, podejrzanych kodów i nie tylko. W tym miejscu potrzebujesz wtyczki do automatyzacji audytu bezpieczeństwa i prowadzenia rejestru wszystkiego.
Możesz zautomatyzować ten proces za pomocą kilku wtyczek bezpieczeństwa WordPress.
1. Automatyczne przeprowadzanie audytu bezpieczeństwa za pomocą WP Activity Log
WP Activity Log to najlepsza wtyczka do monitorowania aktywności w WordPress na rynku.
Pozwala śledzić całą aktywność użytkowników na Twojej stronie internetowej. Możesz przeglądać wszystkie logowania użytkowników, adresy IP i to, co robili na Twojej stronie.
Możesz śledzić użytkowników WooCommerce, redaktorów, autorów i innych członków, którzy mają konto w Twojej witrynie.
Możesz również włączyć dowolne zdarzenia, które chcesz śledzić, i wyłączyć zdarzenia, których nie chcesz monitorować.
Wtyczka pokazuje również podgląd na żywo wszystkich użytkowników zalogowanych do Twojej witryny. Jeśli zobaczysz podejrzane konto, możesz natychmiast zakończyć jego sesję i je zablokować.
Więcej informacji znajdziesz w naszym przewodniku na temat monitorowania aktywności użytkowników w WordPress za pomocą WP Activity Log.
2. Automatyczne przeprowadzanie audytu bezpieczeństwa za pomocą Sucuri
Sucuri to najlepsza wtyczka zapory sieciowej WordPress na rynku, a także najlepsze kompleksowe rozwiązanie bezpieczeństwa WordPress, jakie możesz uzyskać dla swojej witryny.
Zapewnia ochronę w czasie rzeczywistym przed atakami DDoS, blokując podejrzaną aktywność jeszcze zanim dotrze ona do Twojej witryny. Usuwa to obciążenie z Twojego serwera i poprawia szybkość/wydajność Twojej witryny.
Jest wyposażony w wbudowaną wtyczkę bezpieczeństwa, która sprawdza pliki WordPress pod kątem podejrzanego kodu. Otrzymujesz również szczegółowy wgląd w aktywność użytkowników w całej witrynie.
Co najważniejsze, Sucuri oferuje usuwanie złośliwego oprogramowania za darmo ze wszystkimi swoimi płatnymi planami. Oznacza to, że nawet jeśli Twoja witryna jest już zainfekowana, ich eksperci ds. bezpieczeństwa ją dla Ciebie wyczyszczą.
Poradniki ekspertów dotyczące bezpieczeństwa WordPress
Mamy nadzieję, że ten artykuł pomógł Ci dowiedzieć się, jak przeprowadzić audyt bezpieczeństwa WordPress na swojej stronie internetowej. Możesz również zapoznać się z innymi poradnikami dotyczącymi bezpieczeństwa WordPress:
- Jak wymusić silne hasła dla użytkowników w WordPress
- Jak chronić swoją witrynę WordPress przed atakami typu brute force
- Najważniejsze powody, dla których strony WordPress są hakowane (& jak temu zapobiec)
- Oznaki, że Twoja strona WordPress została zhakowana (porady ekspertów)
- Jak przeskanować swoją witrynę WordPress pod kątem potencjalnie złośliwego kodu
- Jak znaleźć tylne drzwi w zhakowanej witrynie WordPress i je naprawić
- Jak stworzyć plan odzyskiwania po awarii WordPress
Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube po samouczki wideo WordPress. Możesz nas również znaleźć na Twitterze i Facebooku.
Dennis Muthomi
Polecasz Sucuri jako kompleksowe rozwiązanie bezpieczeństwa WordPress. Zastanawiam się, czy Sucuri mogłoby zastąpić potrzebę stosowania oddzielnych wtyczek, takich jak WP Activity Log?
Chcę uniknąć zaśmiecania mojej strony zbyt wieloma wtyczkami, jeśli jedna mogłaby wykonać zadanie.
Wsparcie WPBeginner
Zależałoby to od funkcji wtyczki, którą chcesz zastąpić, ale Sucuri oferuje opcję dziennika aktywności.
Admin
Dennis Muthomi
Świetny punkt, że to, czy Sucuri spełni moje potrzeby, zależy od funkcjonalności, której szukam. DZIĘKI za odpowiedź!
Eva
Pierwszym krokiem w walce z codziennymi próbami ataków siłowych jest zmiana domyślnego adresu URL logowania.
Wsparcie WPBeginner
Zamiast zmieniać adres URL logowania, normalnie zalecilibyśmy użycie wtyczki takiej jak limit login attempts, ponieważ zmiana adresu URL logowania ma większe szanse spowodować problemy u początkujących.
Admin
Eva
Cóż, robię jedno i drugie! I wiele więcej. Bezpieczeństwo jest moim priorytetem numer jeden. Rozumiem, co masz na myśli, ale większość słów jest tak samo łatwa do zapamiętania jak /wp-admin lub /wp-login, moim zdaniem, zwłaszcza dla początkujących.
Wsparcie WPBeginner
Chodzi mniej o zapamiętanie adresu URL logowania, a bardziej o to, czy pojawią się jakieś błędy podczas próby zmiany adresu URL. Większość początkujących nie ma narzędzi do naprawy adresu logowania.
Eva
Rozumiem, dobry punkt! W wielu przypadkach samo przemianowanie katalogu wtyczki przez FTP wystarczy, aby ją wyłączyć i ponownie uzyskać dostęp przez /wp-login. Ale rozumiem, to nie jest przyjazne dla początkujących!
DW
Tak, zmiana adresu URI logowania tak naprawdę nic nie daje. Jest to technika znana jako „security by obscurity” – czyli bezpieczeństwo przez „ukrywanie”.
Jeśli ktoś jest zdeterminowany, aby dostać się do Twojej witryny, stosowanie tych technik „security by obscurity” w najlepszym wypadku spowolni go o kilka minut. Nie jest to tak naprawdę substytut prawidłowego zabezpieczenia witryny.
Znacznie lepiej jest odpowiednio zabezpieczyć swoją stronę internetową. Techniki takie jak wtyczki zapobiegające atakom siłowym, wymuszanie silnych haseł, wymuszanie uwierzytelniania wieloskładnikowego przynajmniej dla kont administratorów, a jeśli masz luksus posiadania statycznego adresu IP, tworzenie pliku .htaccess, który zezwala na dostęp do strony administracyjnej tylko z Twojego adresu IP, to znacznie lepsze rozwiązania.