Zadnjič posodobljeno 12. aprila, 2023 by tomaz
Zakaj prispevek o varnostnih nasvetih za WordPress? Ker so vsa spletna mesta ranljiva.
Ne glede na to, koliko dela ste vložili v zagon svojega spletnega mesta, se lahko vedno znajdete v nevarnosti, čeprav morda niste naredili nič narobe. Tako deluje internet in tako se izvajajo naključni napadi.
Ko hekerji vdrejo v naše spletno mesto, smo kaj hitro lahko ob prihodek, svoj čas in ves trud, ob tem pa se nam lahko zgodi tudi padec vidnosti v iskalnikih. Zato je vsekakor pravilno, da svojo WordPress spletno stran ustrezno zaščitimo.
Večino groženj je mogoče preprečiti, če si le vzamemo nekaj časa ter uvedemo teh 10 preprostih varnostnih nasvetov za WordPress:
1. Redno posodabljanje WordPressa
Z vsako novo izdajo se WordPress izboljša in izboljša se tudi njegova varnost. Veliko napak in ranljivosti je odpravljenih vsakič, ko se izda nova različica. Poleg tega, če bo odkrita kakšna posebej zlonamerna napaka, bodo strokovnjaki iz WordPressa takoj poskrbeli za to in nemudoma vsilili novo varno različico. Če ne posodobimo, bomo ogroženi.
Če želimo posodobiti WordPress, gremo najprej na nadzorno ploščo svojega spletnega mesta. Na vrhu strani bomo videli obvestilo vsakič, ko izide nova različica. Kliknemo na posodobiteve in nato sledi klik na modri gumb »Posodobi zdaj«. Traja le nekaj sekund.
Gre za razmeroma enostaven postopek in tudi sporočilo o posodobitvi je težko spregledati. Samo 22 % spletnih mest deluje na najnovejši različici WordPressa, kar je žalostno glede na to, kako preprosto je posodabljanje.
Ne sodite v preostalih 78 %, saj svoje spletno mesto v bistvu izpostavljate vsem vrstam napadov, če svojega spletnega mesta ne posodobite. Običajno so hekerji prva skupina ljudi, ki izve za morebitne ranljivosti v starih različicah, saj računajo na napake pri uspešnih napadih.
Preden pa posodobimo WordPress, pa je priporočljivo, da preverimo opombe ob izdaji in se seznanimo s spremembami. Nato naredimo varnostno kopijo svojega spletnega mesta (zaradi varnosti). Na ta način zdaj vemo, kaj lahko pričakujemo, ko kliknemo ta gumb za posodobitev in imamo varnostno zaščito, če gre karkoli narobe.
2. Posodabljajmo temo in vtičnike
Enako velja za vtičnike in teme. Posodobimo trenutno temo in vtičnike, ki smo jih namestili na svoje spletno mesto. To nam pomaga preprečiti ranljivosti, hrošče in morebitne varnostne točke.
Tako kot pri večini programskih izdelkov se lahko občasno vdrejo nekateri vtičniki ali pa se v njih odkrijejo varnostne luknje. Na primer, v preteklosti so imeli vtičniki, kot sta Ninja Forms in WooCommerce, precej grde težave.
Kako torej posodobiti svoje teme in vtičnike?
Začnimo z vtičniki. Gremo na Vtičniki / Nameščeni vtičniki; prikazal se bo seznam vseh naših vtičnikov. Če določen vtičnik ni v najnovejši različici, nas bo WordPress obvestil:
Na primer, imam dve stari različici vtičnika, tako da moram samo klikniti na »posodobi zdaj« pod vsakim in pripravljena bosta v nekaj sekundah.
Če želimo posodobiti svojo temo, gremo na Videz / Teme in tam bomo videli vse nameščene teme. Zastarele bodo označene tako kot vtičniki. Preprosto kliknemo »Posodobi zdaj«.
Poleg posodobitve vsakega vtičnika in teme ne pozabite odstraniti tudi vtičnikov in tem, ki jih trenutno ne uporabljate. To so samo nepotrebni elementi. Razmislite o tem kot o bonusu med temi varnostnimi nasveti za WordPress.
3. Redno varnostno kopirajmo svoje WordPress spletno mesto
Pri varnostnem kopiranju našega spletnega mesta gre za ustvarjanje kopije vseh podatkov spletnega mesta in njihovo shranjevanje na varno mesto. Tako lahko obnovimo spletno mesto iz te varnostne kopije, če se zgodi kaj slabega.
Za varnostno kopiranje spletnega mesta potrebujemo vtičnik. Tu je na voljo veliko dobrih rešitev za varnostno kopiranje, nekatere so plačljive a obstajajo tudi dobre brezplačne rešitve, npr. UpdraftPlus ali Duplicator.
4. Omejimo poskuse prijave, uporabimo ustrezno geslo in ga pogosto menjajmo
Ne dovolimo, da naš obrazec za prijavo dovoljuje neomejeno število poskusov uporabniškega imena in gesla, ker je prav to tisto, kar hekerju pomaga pri uspehu. Če jim dovolimo, da poskusijo v neomejenem številu, bodo na koncu odkrili vaše podatke za prijavo. Omejitev razpoložljivih poskusov je prva stvar, ki jo moramo storiti, da to preprečimo.
Za omejitev možnih poskusov prijave lahko uporabimo določene specializirane vtičnike. Primer tovrstnega vtičnika je Login LockDown.
Poleg tega s pogostim spreminjanjem gesel dodatno zmanjšamo možnosti hekerjev za vdor v vaše spletno mesto. Na primer enkrat na 2-3 mesece bi bilo dovolj. Raznolikost ubija voljo tistim, ki poskušajo vdreti.
Dodatno : LastPass je odlično orodje, ki varno shranjuje naše podatke o geslih in ustvarja močna gesla, tako da jih ne rabimo izumljati sami.
5. Spremenimo URL povezavo za prijavo
Privzet URL, ki ga uporabljamo za prijavo na svojo nadzorno ploščo, je wp-login.php ali wp-admin, dodan za glavnim URL-jem našega spletnega mesta. Na primer, domena.com/wp-login.php
In uganite, ta dva sta tudi najpogosteje dostopna URL-ja hekerjev, ki želijo priti v našo zbirko podatkov. Če spremenimo ta URL, občutno zmanjšamo možnosti, da se znajdemo v težavah. Ugibanje URL-ja za prijavo po meri je za hekerje veliko težje.
Varnostni vtičnik iThemes naredi ta trik. Naš URL za prijavo se lahko na primer spremeni v nekaj podobnega domena.com/mojaprijava. To je eden tistih nasvetov za varnost WordPressa, ki jih je zelo enostavno narediti.
Prav tako to enostavno naredimo lahko tudi z vtičnikom WPS Hide Login .
6. Namestimo varnostni vtičnik za WordPress
Kadar koli ustvarim novo WordPress spletno mesto, imam spisek vtičnikov, ki jih namestim skoraj samodejno. Dodam vtičnik za zaščito pred neželeno pošto, kontaktni obrazec, vtičnik za dodajanje preproste kratke kode in varnostni vtičnik, kot sta Wordfence in iThemes Security.
Vtičnik mi omogoča, da precej enostavno okrepim obrambo WordPressu strani. Na voljo je s precej funkcij, ki nepovabljenim preprečujejo dostop do spletnih mest. Konfiguracije vtičnikov se bolj ali manj preproste; v hipu bi morali biti pripravljeni.
Najboljši varnostni vtičniki WordPress vam ponujajo različne funkcije, zato pred namestitvijo preverite, ali imate vse funkcije, ki jih potrebujete za zaščito celotnega spletnega mesta, ne glede na to, kako edinstveno je. Standardne funkcije vključujejo požarni zid, skeniranje zlonamerne programske opreme, blokiranje IP-jev, preprečevanje napadov z brutalno silo, dvostopenjsko preverjanje pristnosti in še veliko več.
7. Omejimo uporabniški dostop do naše spletne strani
Če nismo edini uporabnik, ki ima dostop do naše spletne strani, bodimo previdni tudi pri nastavljanju novih uporabniških računov. Vse bi morali imeti pod nadzorom in poskušati omejiti kakršen koli dostop uporabnikom, ki ga nujno ne potrebujejo.
Če imamo več uporabnikov, lahko omejimo njihove funkcije in dovoljenja. Imeti morajo dostop le do funkcij, ki so bistvenega pomena za opravljanje njihovega dela.
8. Uporabimo SSL (https)
Dandanes številni ponudniki spletnega gostovanja za WordPress ponujajo brezplačne certifikate SSL že v osnovi in z dobrim razlogom. SSL certifikati naredijo naše spletno mesto bolj varno kot so to spletna mesta brez SSL. Google priporoča tudi uporabo SSL certifikatov za zaščito podatkov na vašem spletnem mestu.
HTTPS je bolj varen kot njegov predhodnik HTTP. Spletno mesto, ki uporablja HTTPS, šifrira vse podatke, ki se premikajo med uporabnikovim brskalnikom in vašimi strežniki. Če heker prestreže komunikacijo, bo našel samo šifrirane podatke, ki pa kot takšni niso ravno uporabni.
Namestitev certifikatov SSL pri večini spletnih gostiteljev je enostavna. Večina ponuja namestitvene programe z enim klikom, ki olajšajo celoten postopek. Preprosto se prijavite v svoj cPanel in kliknite en sam gumb za namestitev in upravljanje vaših SSL certifikatov, pogosto je to Let’s Encrypt.
9. Omogočimo redne varnostne preglede
Varnostni pregledi so nekaj, kar izvaja specializirana programska oprema/vtičniki, ki pregledajo celotno spletno stran in iščejo kar koli sumljivega. In če kaj odkrijejo, naj se to takoj odstrani. Ti skenerji delujejo tako kot protivirusni programi.
Spet je na voljo kar nekaj rešitev, tako brezplačnih kot premuim, recimo Wordfence, All-In-One Security (AIOS) ali Sucuri SiteCheck.
10. Onemogočimo urejanje datotek preko WordPress nadzorne plošče
WordPress CMS je opremljen s fantastičnim urejevalnikom kode, ki nam omogoča urejanje datotek vtičnikov in tem znotraj skrbniške nadzorne plošče WordPress. Urejevalnik kode je odlično orodje, ki nam je na voljo, vendar ga lahko hekerji v napačnih rokah uporabijo za ponarejanje ali dodajanje zlonamerne programske opreme na naše spletno mesto.
Datoteke s temo in vtičniki lahko vedno uredimo (če je to potrebno) preko FTP ali upravitelja datotek v cPanelu, kar pomeni, da lahko popolnoma onemogočimo urejevalnik kode v WordPressu. Res si ne želimo, da imajo hekerji, ki bi pridobili dostop do našega skrbniškega območja WordPress, dostop do urejevalnika kode, saj lahko z nekaj vrsticami kode povzročijo veliko škode.
Kaj storiti? Vgrajeni urejevalnik kode lahko onemogočimo z varnostnimi vtičniki kot sta All-In-One Security (AIOS) ali Sucuri SiteCheck.. Druga možnost je, da datoteki wp-config.php dodamo to kodo:
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Dejansko je število korakov, ki jih lahko naredimo za zaščito svojega spletnega mesta, neskončno. Če pa lahko obkljukate teh 10 navedenih korakov, pa je že to velik korak k zaščiti našega spletnega mesta.
Zaščita našega spletnega mesta WordPress se zdi zahtevna, a ni nemogoča. S pravimi orodji in veščinami lahko hitro okrepite svojo varnost v WordPressu in preprečite slabe dogodke.
Če povzamemo, imejmo svoje spletno mesto vedno posodobljeno. Poleg tega nikoli ne prenašajmo tem ali vtičnikov s spletnih mest, ki niso vredna zaupanja. In da bomo na varni strani, če se zgodi najhujše, vedno imejmo na voljo zanesljivo rezervno varnostno kopijo.