Pełny przewodnik po poprawieniu bezpieczeństwa WordPress

Podstawowe zasady bezpieczeństwa i wzmacnianie bezpieczeństwa

WordPress, jako najpopularniejszy na świecie system do zarządzania treścią, ma swoją bezpieczeństwo w dużej mierze zależne od tego, czy administratorzy przestrzegają kilku kluczowych zasad. Posłuchanie tych zasad stanowi pierwszą linię obrony przy tworzeniu bezpiecznych stron internetowych.

Podstawowym zasadą jest utrzymywanie najnowszych wersji wszystkich komponentów. To odnosi się nie tylko do samego serca WordPressa, ale także do wszystkich zainstalowanych wtyczek i tematów. Oficjalny zespół bezpieczeństwa regularnie publikuje aktualizacje zawierające kluczowe poprawki, które naprawiają znane problemy. Automatyzacja procesu aktualizacji jest rozsądnym rozwiązaniem, można to uzyskać poprzez… wp-config.php W pliku są definiowane konstanty, które są potrzebne do włączenia tej funkcji.

define( 'WP_AUTO_UPDATE_CORE', true );
add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );

Następnie należy zabezpieczyć proces autentifikacji użytkowników. To obejmuje wykluczenie używania standardowego nazwiska użytkownika “admin”, wymóg stosowania silnych haseł dla wszystkich użytkowników (zaleca się generowanie haseł za pomocą programów do zarządzania hasłami) oraz surowe stosowanie zasady „maksymalnego upoważnienia”. W przypadku kont administratora konieczne jest włączenie dwufaktorowego uwierdzania (2FA), co skutecznie zapobiega atakom na podstawie kradzionych danych autentycznych.

Polecamy lekturę. Kompleksowy przewodnik po hostingu VPS: od zakupu i konfiguracji po wydajne zarządzanie eksploatacją i konserwacją。

Na koniec należy zmienić domyślną ścieżkę logowania. /wp-admin 和 /wp-login.php Zmiana ścieżki na adres dostosowany może znacząco zmniejszyć liczbę automatyzowanych ataków typu „brute-force” skierowanych na stronę logowania. To można osiągnąć za pomocą specjalnych wtyczek lub poprzez napisanie własnego kodu.

UltaHost – hostingu dla stron WordPress

Gwarancja zwrotu pieniędzy w ciągu 30 dni, nieograniczony przepustowość sieci i dostęp do bazy danych, bezpłatna ochrona przed atakami typu DDoS. Promocja: 50% przy zakupie na 3 lata.

strona dostępu

Strategia zarządzania dodatkami (plug-inami) i tematami (tematami)

Dodatki (plug-ins) i tematy (themes) znacznie rozszerzają możliwości WordPress, ale jednocześnie stanowią największe źródło zagrożzeń bezpieczeństwa. Ponad połowa wszystkich problemów z bezpieczeństwem w WordPress wynika z wadliwych dodatków lub tematów.

Przed instalacją jakiegoś nowego wtyczka lub tematu konieczna jest dokładna sprawdzona. Sprawdź, ile razy został on zainstalowany w oficjalnym katalogu, kiedy został ostatnio aktualizowany, jak często developerzy udzielają pomocy użytkownikom oraz jakie są opinie innych użytkowników. Unikaj wtyczek, które nie były aktualizowane przez ponad rok lub które charakteryzują się słabą obsługą ze strony developerów. Nigdy nie pobieraj “kradzionych” wersji płatnych wtyczek z nieoficjalnych lub nieznanych źródeł – to niemalże równoznaczne z wprowadzeniem „backdoora” (złośliwego oprogramowania) do twojego systemu.

Tworzyć regularne listy audytowe dla zainstalowanych komponentów. Usunąć wszystkie nie używane lub wycofane pluginy i tematy – nawet jeśli są tylko wyłączone, ich pliki mogą zawierać zagrożenia, które mogą zostać wykorzystane przez atakujące osoby. Regularnie używać narzędzi do skanowania bezpieczeństwa. WP-CLI komenda wp plugin list --status=inactive Należy sporządzić listę wszystkich nieaktywnych wtyczek.

Jeśli witryna internetowa jest zależna od niewielu kluczowych wtyczek, można rozważyć użycie bibliotek fragmentów kodu (np. GitHub Gist) lub własnych wtyczek realizujących określone funkcje, aby zastąpić niektóre proste moduły dostępne na rynku. To pomogłoby zmniejszyć zależność od kodu pochodzącego od innych dostawców.

Polecamy lekturę. Jak wybrać i skonfigurować serwer dedykowany: przewodnik od początkującego do mistrza。

Wzmocnienie serwerów i systemów plików

Bezpieczna witryna WordPress nie może funkcjonować bez solidnego środowiska serwerowego. Błędy w konfiguracji na poziomie serwera mogą doprowadzić do nieefektywności całego systemu bezpieczeństwa.

Kluczowym pierwszym krokiem jest ustawienie praw dostępu do plików w prawidłowy sposób. Zwykle wszystkie pliki w WordPressie powinny mieć prawa dostępu 644, a wszystkie foldery 755. To jest niezbyt ważne. wp-config.php Plik należy ustawić na poziom bezpieczeństwa 440 lub 400, aby upewnić się, że tylko procesy serwera mogą do niego mieć dostęp. Dzięki temu chronione są takie poufne informacje jak dane do logowania do bazy danych. Można to zrobić za pomocą klienta SFTP lub zaawansowanych poleceń SSH.

find /path/to/your/wordpress/ -type f -exec chmod 644 {} ;
find /path/to/your/wordpress/ -type d -exec chmod 755 {} ;
chmod 400 /path/to/your/wordpress/wp-config.php

Następnie, poprzez konfigurację serwera internetowego (na przykład Apache…) .htaccess Można to zrobić poprzez modyfikację pliku konfiguracji serwera (np. Apache lub Nginx), aby dodać odpowiednie nagłówki bezpieczeństwa oraz zabezpieczyć dostęp do wrażliwych katalogów. Na przykład można wyłączyć możliwość przeglądania zawartości katalogów lub ograniczyć dostęp do niektórych elementów. wp-includes 和 wp-content/uploads Dyrektywna wykonywania plików PHP w katalogu.
W kontekście Apache… .htaccess W pliku można dodać następujące zasady:

hosting.com Hosting współdzielony

Wysoka wydajność dzięki procesorom AMD EPYC, pamięci masowej NVMe SSD i LiteSpeed, wewnętrzne wsparcie ekspertów 24/7, zaawansowane środki bezpieczeństwa, w tym SSL, brute force, ochrona przed złośliwym oprogramowaniem i DDoS, oszczędność do 73%

strona dostępu

# 保护 wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# 禁用目录浏览
Options -Indexes

Ponadto upewnij się, że wykluczono publiczne wyświetlanie raportów o błędach w PHP, aby uniknąć ujawnienia informacji o lokalizacji plików (ich path). php.ini Ustawienia w pliku display_errors = Offlub w wp-config.php Dodaj to do… define( ‘WP_DEBUG_DISPLAY’, false );。

Monitorowanie, tworzenie kopii bezpieczeństwa oraz reagowanie na nagłe sytuacje

Aktywny nadzór oraz wiarygodne kopie danych stanowią najskuteczniejszą formę zapobiegania incydentom związanym z bezpieczeństwem. Nawet gdy środki prewencji są doskonałe, należy mieć na oku najgorszy scenarij.

Wdroż monitorowanie aktywne. Korzystaj z bezpiecznych dodatków (np. Wordfence Security, Sucuri Security lub iThemes Security) do sprawdzania integralności plików. Te narzędzia rejestrują wszystkie zmiany w kluczowych plikach, tematach i dodatkach oraz ostrzegają przed podejrzaną aktywnością (np. nieznanej nazwy plików w formacie PHP lub ich modyfikacjami). .htaccess Wydaje się alarm w momencie otwarcia nieuprawnionego pliku. Ponadto monitoruje nieudane próby logowania i automatycznie dodaje adresy IP, które kilka razy popełniły błąd, do listy blokowanych adresów.

Polecamy lekturę. Dokładne poznanie najlepszych praktyk bezpieczeństwa w WordPress: kompletna ochrona twojego witryny internetowej。

Utworzenie i testowanie strategii automatycznego tworzenia kopii zapasowych. Kompletna kopia zapasowa powinna obejmować bazę danych oraz wszystkie pliki (core WordPress, materiały załadowane, wtyczki, tematy). Proces tworzenia kopii zapasowych musi być automatyzowany i musi spełniać zasadę “3-2-1”: musi być utrzymywanych co najmniej trzy kopie zapasowe, które muszą być przechowywane na dwóch różnych nośnikach (na przykład na dysku serwera i w chmurze), przy czym jedna z kopii musi znajdować się w innej lokalizacji. Konieczne jest również regularne wykonywanie ćwiczeń przywracania danych, aby upewnić się, że kopie zapasowe są kompletnie dostępne i sprawne.

Ustal plan reagowania na nagłe sytuacje. Określ kroki do wykonania po intruzji na stronę internetową: izoluj stronę (na przykład włącz mode konserwacji), przywróć jej stan z czystego kopia, sprawdź logi, by zlokalizować punkt intruzji, aktualizuj wszystkie hasła (włącznie z hasłami do bazy danych, kluczami FTP/SSH oraz hasłami administratora), przeprowadź gruntowne skanowanie w poszukiwaniu pozostałego złośliwego kodu, a na koniec informuj użytkowników o sytuacji w sposób jasny i transparentny.

Hosting współdzielony InterServer

Hosting współdzielony $2.50 USD miesięcznie, pierwszy miesiąc $0.1 USD kod promocyjny tryinterserver, 461 skryptów aplikacji w chmurze, instalacja jednym kliknięciem.

strona dostępu

Podsumowanie.

Poprawienie bezpieczeństwa WordPress jest procesem złożonym, wymagającym ciągłej pielęgnowania. Zaczyna się od stosowania surowych zasad aktualizacji kodu źródłowego, wtyczek oraz tematów, obejmuje dodatkowe działania zmierzające do zabezpieczenia procesów autentifikacji użytkowników i konfiguracji serwerów, a kończy się aktywnym monitorowaniem stanu witryny oraz stosowaniem skutecznych strategii tworzenia i odtwarzania kopii danych. Nie istnieje żadne rozwiązanie, które gwarantuje bezpieczeństwo na zawsze, ale poprzez stosowanie zaleconych w tym przewodniku kroków każdy administrator witryny WordPress może znacząco zmniejszyć ryzyko ataków i stworzyć skuteczne zabezpieczenie dla danych użytkowników oraz reputacji swojej marki.

FAQ – najczęściej zadawane pytania.

Czy bezpieczne jest włączenie automatycznego aktualizowania?

W przypadku drugorzędnych wersji i aktualizacji bezpieczeństwa są one zwykle bezpieczne, ponieważ zespół odpowiedzialny za WordPress przeprowadza dla nich szczegółowe testy. Zaleca się włączyć automatyczne aktualizacje bezpieczeństwa w obrębie core’a WordPress. Jeśli chodzi o pluginy i tematy, należy zachować ostrożność podczas ich instalacji. Można uruchomić je, jeśli pochodzą od autorytetywnych dostawców, którzy często wydają aktualizacje; natomiast w przypadku pluginów mniej popularnych lub tych, które mogą powodować problemy z kompatybilnością, zaleca się najpierw sprawdzić je w środowisku testowym, a dopiero potem dokonać aktualizacji.

Jak sprawdzić, czy moja witryna internetowa została zaatakowana przez hakerów?

Zwykłe oznaki intruzji to: powolne ładowanie witryny lub nieprawidłowe przekierowania, pojawienie się ostrzegawczych znaków w wynikach wyszukiwania na Google, obecność nieznanych plików na serwerze (zwłaszcza plików PHP o nietypowych nazwach), bezpowodowe dodawanie kont administratora, nieobъяснiony wzrost ruchu na witrynie lub nagły przyrost liczby odwiedzających z podejrzanych regionów. Używanie wtyczek do skanowania bezpieczeństwa jest skutecznym sposobem na wykrycie intruzji.

Czy wystarczy tylko używać bezpiecznych wtyczek?

Dodatki bezpieczeństwa to potężne narzędzia, ale nie powinny być widziane jako jedyny sposób zapewnienia bezpieczeństwa. Stanowią jedną z elementów strategii “głębokiej obrony”. Aby zapewnić skuteczne zabezpieczenie, należy je łączyć z dobrą konfiguracją serwera, surowym zarządzaniem uprawnieniami użytkowników, regularnymi audytami kodu oraz zaufanymi procedurami tworzenia kopii bezpieczeństwa.

Czy rzeczywiście jest użyteczne modyfikować prefiksy nazw tabel w bazie danych?

Podczas pierwszej instalacji można zmienić ustawienia domyślne. wp_ Przepisyki są przydatne, ponieważ pomagają chronić witryny internetowe przed automatyzowanymi atakami typu SQL injection, które wykorzystują często występujące nazwy tabel. Jednak w przypadku witryn, które zostały już uruchomione i używają standardowych przepisówek, ich modyfikacja później może być skomplikowana i powodować wysokie ryzyko uszkodzenia funkcjonalności witryny. W takich sytuacjach należy zastanowić się nad innymi, bardziej skutecznymi i bezpiecznymi metodami ochrony, np. stosowaniem firewallów dla aplikacji web (WAF – Web Application Firewalls) oraz pluginów do realizacji zapytań parametryzowanych.