Eenvoudige sekerheidslys vir WordPress-webwerwe

Eenvoudige sekerheidslys vir WordPress-webwerwe

Het u geweet dat meer as 100,000 webwerwe daagliks gekap word? Dit is korrek, kubermisdaad is ‘n ernstige bedreiging vir enige onderneming, en iemand met ‘n WordPress-webwerf is ook nie veilig nie. Ek het ‘n aanloop gehad met hackers (en moes my WordPress-webwerf herwin), en jy weet waarskynlik dat dit lelik was.


Hackers is aktief op soek na kwesbare webwerwe om data te breek en te steel wat hulle vir geldelike gewin of bloot kwaadwillige opset kan vrylaat. Om u en u kosbare webwerf te beskerm, moet u ernstig nadink oor die verharding van u WordPress-sekuriteit.

As ons in ag neem dat u inkomste, tyd en moeite sal verloor as hackers op u webwerf inbreek, het ons die volgende veiligheidskontrolelys geskep wat u kan gebruik om u WordPress-webwerf te beveilig. Al die sekuriteitsitems in die pos is relatief maklik om te implementeer, selfs vir eersteling:

Soos u kan sien, sal ons die pos in verskillende dele verdeel, en dit dek alles van die keuse van ‘n veilige gasheer tot die verharding van u administrasiegebied en ander. U moet sekere veiligheidstake herhaal, soos om u temas gereeld op te dateer. Ander take is eenmalig, maar dit het steeds ‘n beduidende invloed op die beveiliging van u webwerf. Kyk wat u moet regmaak, en doen dit dadelik, want hackers mors ook nie tyd nie.

Eenvoudige WordPress-sekuriteitslys

1. Dateer WordPress op

WordPress-kern word gereeld geouditeer en gekontroleer op sekuriteits kwesbaarhede. As sekuriteitsfoute en foute opgespoor word, stel kernontwikkelaars gewoonlik instandhoudingsopdaterings vry. Geringe opdaterings word outomaties op u WordPress-webwerf geïnstalleer.

U sal WordPress egter handmatig moet opdateer vir alle belangrike uitgawes. Dit is ‘n relatiewe reguit proses omdat u ‘n knaende boodskap in u WordPress-admin kry. Slegs 22% van die webwerwe gebruik die nuutste weergawe van WordPress, wat hartseer is as in ag geneem word hoe maklik dit is om op te dateer.

Moenie in die oorblywende 78% wees nie, want u stel u werf bloot aan alle aanvalle deur u webwerf nie op te dateer nie. Gewoonlik is hackers die eerste groep mense wat leer oor enige kwesbaarhede in ou weergawes, omdat hulle op die gebreke reken om suksesvolle aanvalle te loods.

Voordat u WordPress opdateer, beveel ons aan dat u die vrystellingnotas lees om te sien wat is verander en ‘n rugsteun van u webwerf neem (net om veilig te wees). Op hierdie manier kan u nou verwag wat u moet verwag as u op die opdateringsknoppie klik, en u het ‘n mislukte veiligheid as iets verkeerd sou gaan.

2. Dateer temas en inproppe op

Moenie vergeet om u temas en inproppe ook by te werk tydens die opdatering van die WordPress-kern nie. Hackers is veral mal oor ou temas en plugins met bekende veiligheidsgate.

Hulle ontgin hierdie beveiligingslek en kan selfs ‘n agterdeur in ‘n ou tema of inprop verberg. As u nie opdateer nie, kan hulle u webwerf hack as dit u behaag.

Ons beveel aan dat u ‘n WordPress-kindertema gebruik in teenstelling met die ouer-tema om te voorkom dat u u persoonlike style verloor. Op hierdie manier verloor u nie u aanpassings as u u tema opdateer nie.

U moet ook enige onaktiewe temas, plugins en ongebruikte WordPress-installasies uitskakel. U sal nie net bandwydte bespaar en u webwerf vinniger maak nie, maar u sal ook hackers in toom hou.

Nog ‘n vinnige opmerking: laai nooit premium-temas en plugins met “nulled” af nie. Gaan slegs met betroubare bronne soos WordPress.org, Envato of ‘n ander bekende temawinkel.

3. Gebruik unieke en sterk wagwoorde

U sal verbaas wees dat die meeste webwerwe gekap word as die slegte ouens u aanmeldinligting steel. Daarbenewens is brute kragaanvalle redelik algemeen en dit behels die bombardering van u aanmeldbladsy met duisende gebruikersnaam-wagwoordkombinasies totdat iets gee.

As u swak gebruikersname en wagwoorde gebruik (soos die berugte “admin” of “12345”), maak u dit ongelooflik maklik vir hackers om op u webwerf in te breek. Gebruik die gewoonte om unieke en sterk wagwoorde te skep wat u gereeld verander. U kan selfs ‘n gratis aanlynopwekker gebruik, soos hierdie van LastPass.

Die bestuur van baie sterk wagwoorde kan ‘n probleem wees. Om dit te help vertrou ek gereeld op onder andere wagwoordbestuurders soos 1Password of LastPass. Moenie dieselfde wagwoord op verskeie webwerwe hergebruik nie, en hou u aanmeldinligting altyd veilig. Sorg dat u WordPress-gebruikers ook sterk wagwoorde gebruik.

Onthou ook om sterk wagwoorde te gebruik vir u e-pos-, cPanel-, MySQL-databasisse en FTP-rekeninge..

4. Installeer ‘n WordPress Security Plugin

Elke keer as ek ‘n nuwe WordPress-webwerf skep, het ek gewoonlik defacto-plugins wat ek byna outomaties installeer. Ek kry ‘n anti-spam-inprop, kontakvorm 7, eenvoudige kortkodes en iThemes Security, my go-to WordPress-sekuriteitsplugin.

Die plugin laat my toe om my WordPress-verdediging te versterk sonder om ‘n sweet te breek. Dit het soveel funksies wat dit moontlik maak om die slegte ouens van my webwerwe af te hou. Die instel van die inprop is baie maklik; jy moet binnekort aan die gang wees.

Die beste WordPress-sekuriteit-inproppe bied u verskillende funksies, dus moet u eers kyk voordat u installeer om vas te stel of u al die funksies kry wat u benodig om u hele webwerf te beveilig, ongeag hoe uniek. Standaardkenmerke sluit skandering in malware, IP-blokkering, voorkoming van brute-krag, verifikasie van twee faktore en soveel meer in – kyk na baie van die kassies vir hierdie sekerheidslys wat u nou lees.!

5. Kies Groot WordPress Hosting

Beginners is gewoonlik die lente vir die eerste goedkoop pakket wat hulle teëkom. Ek sal dit nie teen u hou nie, omdat u nie van beter weet nie, maar die vraag wat goedkoop (of selfs gratis) gedeelde hosting is, kan u blootstel aan veiligheidsrisiko’s. Ek weet dit vir ‘n feit, want ek is gekap by twee verskillende hosting-ondernemings wat gedeelde hosting aanbied.

Gedeelde hosting behels die deel van ‘n bediener met duisende ander webwerwe. Dit verhoog die risiko van kontaminasie op die perseel. Dit wil sê, ‘n hacker kan toegang tot u webwerf verkry, selfs al is iemand anders se webwerf die oorspronklike aanvalspunt.

WordPress-hosting wat bestuur word, daarenteen, fokus slegs op WordPress-webwerwe. U deel nie ‘n bediener met ander nie, en u kry meer sekuriteitsopsies om veilig te bly. Hulle bied ook toegewyde ondersteuning, en meer herstelopsies sou die ergste sou wees.

As u gedeelde hosting moet gebruik, sê dat u met ‘n blog begin wat nog nie geld verdien nie, maak seker dat die webwerwe geïsoleer is, of ‘tronk toe.’ As u ‘n besigheid- of e-commerce-webwerf bestuur, is dit die moeite werd om die beste WordPress-hosting te gebruik wat u in die begroting kan inpas, soos VPS, toegewyde of beheerde WordPress-hosting.

6. Gebruik SSL (HTTPS)

Tans bied baie WordPress-gasheerondernemings gratis SSL-sertifikate uit die staanspoor en om ‘n goeie rede. SSL-sertifikate maak u webwerf veiliger as webwerwe sonder SSL. Google beveel ook aan om SSL-sertifikate te gebruik om data op u webwerf te beskerm (en maak seker dat gebruikers weet of u SSL gebruik of nie).

HTTPS is veiliger as HTTP se voorganger. ‘N Webwerf wat HTTPS gebruik, kodifiseer al die data wat tussen die gebruiker se blaaier en u bedieners beweeg. As ‘n hacker die kommunikasie onderskep, sal hulle slegs geënkripteerde data vind wat net so bruikbaar is as ‘n eenpotige man in ‘n ass-kicking-kompetisie ��

Die installering van SSL-sertifikate op die meeste webhosters is so maklik soos A, B, C. Die meeste bied installeerders met een klik om die hele proses maklik te maak. Meld eenvoudig aan op u cPanel en klik op ‘n enkele knoppie om u SSL-sertifikate te installeer en te bestuur. As u ‘n meer praktiese benadering wil hê, oorweeg dit om Let’s Encrypt te besoek.

7. Skep ‘n volledige webwerf-rugsteun

Toe hackers my ontstel, moes ek van voor af my webwerwe herbou, ‘n hoofpyn wat ek sou vermy het as ek betroubaar onthou het om WordPress te rugsteun.

Maar nee, die rugsteun wat by my webgasheer was, is tydens die aanval beskadig, en nee, ek het nie ‘n sekondêre rugsteunoplossing gehad nie. ‘N Klassieke geval van al u eiers in een mandjie sit wat my ‘n moeilike les geleer het.

Deesdae skep ek volledige webwerf-rugsteun wat my webwerf-lêers en databasisse insluit. Ek gebruik hoofsaaklik ManageWP, maar ek gebruik ook die Duplicator-inprop om rugsteun op my rekenaar en in Google Drive te stoor.

Ek versoek u om gereeld rugsteunkopies te maak. Met baie WordPress-rugsteunoplossings kan u die hele proses outomatiseer, dit bespaar u tyd en gee u gemoedsrus.

8. Gebruik ‘n webtoepassings firewall (WAF)

Aktiveer ‘n webtoepassings firewall (WAF) om ‘n ekstra laag sekuriteit by u WordPress-webwerf te voeg en snags beter te slaap. ‘N WAF beskerm u webwerf deur kwaadwillige verkeer te blokkeer lank voordat dit by u werf uitkom. Dit is ‘n proaktiewe maatreël om die slegte ouens in hul spore te stop voordat hulle skade berokken.

Die firewall filter u inkomende verkeer en skakel hackers uit terwyl hulle wettige gebruikers deurlaat. Baie WordPress-sekuriteitsondernemings bied firewall-webtoepassings saam met ander funksies aan. Gewilde opsies in die bedryf sluit Sucuri en Cloudflare.

9. Deaktiveer lêerredigering in WordPress Admin

Die WordPress CMS kom met ‘n fantastiese kode-redigeerder waarmee u plugin- en temalêers in u WordPress-beheerdashboard kan redigeer. Die kode-redakteur is ‘n wonderlike instrument om tot u beskikking te hê, maar in die verkeerde hande kan hackers dit gebruik om malware op u webwerf te verwyder of toe te voeg..

U kan altyd u tema- en plugins-lêers (indien nodig) via FTP of lêerbestuurder in cPanel wysig, wat beteken dat u die kode-redigeerder in WordPress heeltemal kan deaktiveer. U wil nie hê dat hackers wat toegang tot u WordPress-beheergebied verkry, toegang tot die kode-redigeerder het nie, want dit kan baie skade veroorsaak met ‘n paar reëls kode.

Wat om te doen? U kan die ingeboude kode-redigeerder met die gratis deaktiveer Sucuri Sekuriteit plugin. Alternatiewelik kan u die volgende kode by u voeg: WP-config.php lêer:

// Laat lêer nie toe nie
definieer ('DISALLOW_FILE_EDIT', waar);

Ons beweeg aan.

10. Beveilig u aanmeldbladsy

Gewoonlik bevat die aanmeldingsvorm op u WordPress twee velde; gebruikersnaam en wagwoord. Hoe aanvallers en bots met brute magte slimmer word vir die dag, hoe keer jy dat hackers toegang tot u WordPress-administreergebied verkry? Dit is eenvoudig; voeg u CAPTCHA of sekuriteitsvrae by wat dit moeiliker maak om ongemagtigde toegang te verkry.

En u hoef nie kode aan te wysig nie voeg CAPTCHA by of Sekuriteitsvrae na u aanmeldbladsy. Daar is ‘n gewilde WordPress-inprop bekend as WP Veiligheidsvraag dit is maklik om op te stel en te gebruik. As u CAPTCHA wil gebruik, kan u dit gebruik Eenvoudige aanmeldkaptcha, WordFence, of een van die vele ander opsies wat gratis beskikbaar is op WordPress.org.

Op dieselfde tyd, kan jy verander u wp-login URL tot iets unieks. Op hierdie manier sal bots en hackers dit moeilik vind om die URL op u aanmeldbladsy te raai. wp-login is al gewild onder hackers, dus dit is die sin om die URL na iets anders te verander. U kan ‘n inprop gebruik soos WPS versteek aanmelding.

11. Voeg verifikasie by

Oorweeg dit ook om twee-faktor- en multifaktor-verifikasie toe te pas. As ‘n hacker toegang tot u aanmeldbesonderhede kry, kan hulle nie op u WordPress-webwerf aanmeld nie. Daar is baie opsies beskikbaar, maar Google Authenticator is ‘n gewilde keuse.

Behalwe dit, moet u aanmeldings op u aanmeldbladsy beperk. As ‘n besoeker probeer om aan te meld met ‘n rekening wat nie bestaan ​​nie, of wat gereeld probeer om aan te meld, is dit waarskynlik ‘n hacker of bot wat probeer om hul weg te dwing. U kan ‘n inprop gebruik soos Beperk aanmeldpogings of Sluit aan om hierdie indringende elemente weg te hou.

12. Meld onaktiewe gebruikers af

As u ‘n WordPress-webwerf met meerdere gebruikers het, kan u nie ten volle beheer oor hoe of waar gebruikers toegang tot u webwerf het nie. ‘N Skrywer kan besluit om gratis openbare Wi-Fi te gebruik om ‘n finale weergawe van ‘n artikel te maak. ‘N Webontwerper kan hul lessenaar verlaat en terugkeer van ‘n uur lange middagete.

In sulke scenario’s kan u gebruiker u webwerf onbewustelik aan veiligheidsrisiko’s blootstel. ‘N Kwaadwillige persoon neem moontlik hul sessie oor, wysig hul besonderhede en verwoes eenvoudig. As die ongemagtigde party weet wat hy doen, kan hy die rekening van die gebruiker maklik oorneem en skade berokken.

Wat om te doen? U kan onaktiewe gebruikers outomaties afmeld na ‘n voorafbepaalde periode. En die beste deel? Daar is plugins vir hierdie presiese doel. Een gewilde opsie is die Onaktiewe afmelding plugin wat opsies bevat om die rustyd voor aanmelding, persoonlike pop-upboodskap of herleiding na afmelding en time-out volgens gebruikerrol aan te pas.

13. Soek na wanware en probleme (gereeld)

As u gereeld u WordPress-webwerf gereeld vergeet, kan u vroegtydig sekuriteitsprobleme identifiseer. Dit neem net ‘n sekonde voordat ‘n hacker by u webwerf inbreek en allerhande nare dinge doen. Juis daarom moet u te alle tye op die hoogte bly van dinge.

Baie WordPress-sekuriteit-inpropinasies om na malware-infeksies, bekende beveiligings kwesbaarhede, verouderde skrifte, brute force-aanvalle, back-ups wat nie bestaan ​​nie, ensovoorts te soek. Die plugins stuur gedetailleerde verslae oor bekende probleme, sodat u dit kan regstel of ‘n professionele persoon kan huur.

Daar is baie webwerf-skandeerders, soos Sucuri SiteCheck, wat u kan gebruik om u webwerf vlugtig na te gaan. Al wat u hoef te doen is om u URL in te voer, en die instrumente sal u webwerf outomaties nagaan. Daarna bied hulle u ‘n verslag aan oor wat u moet regstel. Sodra u die verslag het, moet u alle sekuriteitskwesbaarhede onmiddellik regstel.

14. Gebruik ‘n VPN

As u ‘n webwerf het wat sensitiewe inligting bevat wat nooit in die hande van hackers moet wees nie, oorweeg dit om ‘n virtuele privaat netwerk (VPN) te gebruik, meer so as u gratis openbare Wi-Fi gebruik. ‘N Skynprivaatnetwerk beskerm u teen aanvalle wat gereeld in openbare netwerke voorkom, insluitend tuis en op die werk.

‘N Virtuele privaat netwerk verseker dat selfs as die aanvallers toegang tot die stelsel verkry en u besonderhede steel, hulle niks met die gegewens wat hulle van u neem, kan doen nie. As u ‘n internetnetwerk het wat u met baie mense deel, gebruik dan altyd ‘n VPN voordat u toegang tot u WordPress-beheergebied verkry.

Ander WordPress-sekuriteitsopsies

Het u meer nodig om te doen? Ons wil u webwerf te alle tye veilig hou, dus hier is bonus-sekuriteitsitems om by u kontrolelys te voeg:

  • Skakel die uitvoering van PHP-lêers in / wp-inhoud / wp-uploads /
  • Verander u WordPress-databasisvoorvoegsel
  • Beskerm u admin- en aanmeldbladsye met wagwoord aan die bedienerkant
  • Deaktiveer gidsindeksering
  • Skakel WP REST API en XML-RPC uit indien nie nodig nie
  • Moenie die WordPress-kern wysig / verander nie – skryf of gebruik ‘n inprop wat in plaas daarvan die funksionaliteit bied wat u benodig
  • Maak seker dat u webwerf die nuutste weergawe van PHP het
  • Gebruik ‘n antivirusprogram op u rekenaar
  • Aktiveer Google Search Console
  • Verminder die kwesbaarhede van die XSS- en SQL-inspuiting (u het moontlik ‘n meer kundige persoon nodig om met hierdie twee te help)

Die aantal stappe wat u kan neem om u webwerf te beskerm, is in werklikheid oneindig. Maar as u die 14 items kan sien wat ons gelys het, is dit ‘n groot stap om u webwerf te beveilig.


Die beveiliging van u WordPress-webwerf is uitdagend, maar nie onmoontlik nie. Met die regte gereedskap en vaardighede kan u vinnig u WordPress-veiligheid verhard en die slegte akteurs weghou.

Hou u webwerf as ‘n oorsig altyd op datum. Laai boonop nooit temas of inproppe af van onbetroubare webwerwe nie. En om veilig te wees as die ergste sou gebeur, moet u altyd ‘n betroubare rugsteunoplossing hê.

Ons hoop dat u al die wenke gevind het om u WordPress-webwerf te beveilig, dus aanlynbesighede. Laat weet ons asb. In die kommentaar as u vrae het of hulp nodig het om uit te vind hoe u u WordPress-webwerf kan beveilig. Bly veilig!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map