25 jednoduchých triků zabezpečení WordPress, aby byl váš web v roce 2020 v bezpečí

25 jednoduchých triků zabezpečení WordPress, aby byl váš web v roce 2020 v bezpečí

25 jednoduchých triků zabezpečení WordPress, aby byl váš web v roce 2020 v bezpečí
СОДЕРЖАНИЕ
02 июня 2020

Slyšel jsem, že mnoho majitelů webových stránek si stěžuje na zabezpečení WordPress. Předpokládá se, že skript s otevřeným zdrojovým kódem je zranitelný vůči nejrůznějším útokům. Je to fakt? A pokud ano, jak zabezpečíte web WordPress?


Naštěstí nedostatek vestavěného zabezpečení WordPress je mýtus. Ve skutečnosti je to někdy naopak – webové stránky WordPress jsou mnohem bezpečnější než jejich online bratři a sestry.

Dnes plánuji diskutovat o několika jednoduchých trikech, které vám mohou pomoci zabezpečit váš web WordPress ještě více.

Po implementaci těchto taktik a navazujících na průběžné kontroly zabezpečení WordPress budete mít dobrý způsob, jak zabezpečit svůj web WordPress navždy.

Zabezpečení WordPress: Jednoduché triky pro zabezpečení vašeho webu WordPress

Obsah:

�� Zabezpečte svůj webhosting
�� Zabraňte přihlašovacím útokům a hrubé síle
�� Zabezpečte řídicí panel WordPress
�� Zabezpečte svou databázi WordPress
�� Zabezpečte svá témata a doplňky

Contents

Část (a): Zabezpečte svůj web WordPress tím, že se ujistíte, že váš hosting je bezpečný

Téměř všechny hostingové společnosti tvrdí, že poskytují optimalizované prostředí pro WordPress, ale dělají to?

1. Pracujte pouze s dobrými hostiteli

Měli byste pracovat pouze se spolehlivým, kvalitním a bezpečným hostingem. Tato rada se zdá být zřejmá, správně?

Více či méně si každý myslí, že jeho hosting je skvělý, dokud se něco nerozbije poprvé. Ve skutečném světě nejsou všechny hostingové společnosti a hostingové nabídky vytvořeny rovnocenné.

Pokud se podíváte na jeden z našich průzkumů hostingu, uvidíte, jaké jsou zkušenosti různých lidí, pokud jde o celkovou kvalitu hostingu a také jednotlivé aspekty jejich nastavení hostingu, jako je zabezpečení, spolehlivost, rychlost atd..

Někteří hostitelé jsou prostě podobní a nedělají se dobře ve stresu.

Špatnou zprávou je, že většinu času ani nevíte, že váš hostitel nebere zabezpečení vašeho webu dostatečně vážně. Věci jako zvýšené útoky hackerů, časté prostoje, nízký výkon, to vše může být výsledkem nedostatečných bezpečnostních mechanismů.

Realita je taková, že doopravdy nechodíte "opravit svého hostitele." Nejjednodušším a nejlepším řešením je přechod na bezpečnějšího hostitele.

Obecně platí, že čím více zaplatíte, tím lepší bude váš nový hostitel, ale existují i ​​některé možnosti rozpočtu, které můžete zvážit.

Pokud se chcete dostat na konec tématu, máme tam srovnání nejlepších možností hostování a výše uvedené průzkumy, kde můžete vidět, co říkají ostatní lidé.

Zde je krátké doporučení, pokud spěcháte:

  • �� Nejlepší nastavení napájení. Kinsta. Za 100 $ / měsíc můžete hostit až 5 webových stránek a přivítat ~ 100 000 návštěvníků.
  • �� Spravovaný hostitel na vstupní úrovni. Setrvačník. Za 13,00 $ / měsíc můžete hostovat jeden web a přivítat ~ 5 000 návštěvníků.
  • �� Výběr rozpočtu. SiteGround. Již za 3,95 $ / měsíc můžete hostovat jeden web.

2. Chraňte soubor wp-config.php

Soubor wp-config.php obsahuje zásadní informace o instalaci WordPress a je to nejdůležitější soubor v kořenovém adresáři vašeho webu. Ochrana znamená zabezpečení jádra blogu WordPress.

Tato taktika hackerům ztěžuje narušení zabezpečení vašeho webu, protože soubor wp-config.php je pro ně nepřístupný..

Jako bonus je proces ochrany opravdu snadný. Stačí vzít svůj soubor wp-config.php a přesunout jej na vyšší úroveň, než je váš kořenový adresář.

Nyní je otázkou, jestli ji uložíte jinde, jak k ní server přistupuje? V současné architektuře WordPress jsou nastavení konfiguračního souboru nastavena na nejvyšší v seznamu priorit. Takže i když je uložena jedna složka nad kořenovým adresářem, WordPress ji stále uvidí.

3. Zakažte úpravy souborů

Pokud má uživatel přístup k vašemu dashboardu WordPress, může upravovat všechny soubory, které jsou součástí vaší instalace WordPress. To zahrnuje všechny pluginy a témata.

Pokud zakážete úpravy souborů, nikdo nebude moci upravit žádné soubory – i když hacker získá administrátorský přístup k vašemu dashboardu WordPress.

Chcete-li to provést, přidejte do souboru wp-config.php (na samém konci) následující:

define (‘DISALLOW_FILE_EDIT’, true);

4. Opatrně nastavte oprávnění adresáře

Špatná oprávnění adresáře mohou být závažná, zejména pokud pracujete ve sdíleném hostitelském prostředí.

V takovém případě je změna souborů a oprávnění k adresářům dobrý krok k zabezpečení webu na hostitelské úrovni. Nastavení oprávnění adresáře na "755" a soubory do "644" chrání celý systém souborů – adresáře, podadresáře a jednotlivé soubory.

To lze provést buď ručně pomocí Správce souborů uvnitř ovládacího panelu hostitele, nebo prostřednictvím terminálu (propojeného s SSH) – použijte "chmod" příkaz.

Více si můžete přečíst o tom správném schéma oprávnění pro WordPress nebo nainstalujte plugin iThemes Security a zkontrolujte aktuální nastavení oprávnění.

5. Zakažte výpis adresářů pomocí .htaccess

Pokud vytvoříte nový adresář jako součást svého webu a do něj nevložíte soubor index.html, možná budete překvapeni, že vaši návštěvníci mohou získat úplný seznam všech adresářů v tomto adresáři..

Například pokud vytvoříte adresář s názvem "data", vše v tomto adresáři uvidíte jednoduše zadáním adresy http://www.example.com/data/ do prohlížeče. Není potřeba žádné heslo ani nic.

Tomu můžete zabránit přidáním následujícího řádku kódu do souboru .htaccess:

Možnosti Všechny – Indexy

6. Blokujte všechny hotlinking

Řekněme, že najdete obrázek online a chtěli byste ho sdílet na svém webu. Za prvé, potřebujete povolení nebo platit za tento obrázek, jinak existuje dobrá šance, že je nezákonné tak učinit. Pokud ale získáte povolení, můžete přímo stáhnout adresu URL obrázku a použít ji k umístění fotografie do svého příspěvku. Hlavním problémem je, že se obrázek zobrazuje na vašem webu, ale je hostován na serveru jiného webu.

Z tohoto pohledu nemáte žádnou kontrolu nad tím, zda fotka zůstane na serveru. Je však také důležité si uvědomit, že to lidé mohou udělat na vašem webu.

Pokud se pokoušíte zabezpečit svůj web WordPress, hotlinking je v podstatě jiná osoba, která pořizuje vaši fotografii a ukradne šířku pásma vašeho serveru a zobrazí obrázek na svém vlastním webu. Nakonec uvidíte pomalejší rychlost načítání a potenciál vysokých nákladů na server.

I když existují některé manuální techniky pro prevenci hotlinkingu, nejjednodušší metodou je najít bezpečnostní plugin WordPress pro danou úlohu. Například Vše v jednom zabezpečení WP a bráně firewall plugin obsahuje vestavěné nástroje pro blokování všech hotlinků.


Vše v jednom zabezpečení WP a firewall Vše v jednom zabezpečení WP & Firewall

Autor: Tipy a triky, Peter Petreski, Ruhul, Ivy

Aktuální verze: 4.4.3

Poslední aktualizace: 11. března 2020

all-in-one-wp-security-and-firewall.zip


Hodnocení 96%


800 000 + instalace


WP 4,7 + vyžaduje

7. Porozumět a chránit před útoky DDoS

Útok DDoS je běžným typem útoku proti šířce pásma vašeho serveru, kde útočník používá k přetížení serveru více programů a systémů. Ačkoli útok, jako je tento, neohrožuje soubory vašich stránek, ale pokud se nevyřeší, znamená to, že váš web na dlouhou dobu zhroutí. O útokech DDoS obvykle slyšíte jen tehdy, když se to stane velkým společnostem, jako je GitHub nebo Target. Jsou vedeni tím, co mnozí označují jako kybernetičtí teroristé, takže motivem může být prostě způsobit zmatek.

To znamená, že nemusíte být společností Fortune 500, abyste byli ohroženi.

Pokud vás to trápí, doporučujeme se zaregistrovat Sucuri nebo Zataženo prémiové plány. Tato řešení mají brány firewall webových aplikací, které analyzují používanou šířku pásma a zcela blokují útoky DDoS.

Část (b): Zabezpečte svůj web WordPress chráněním přihlašovací stránky a zabráněním útokům hrubou silou

Každý zná standardní adresu URL přihlašovací stránky WordPress. Zadní strana webu je odtud přístupná, a to je důvod, proč se lidé snaží proniknout násilím. Stačí přidat /wp-login.php nebo / wp-admin / na konec svého doménového jména a tam jdete.

Doporučuji přizpůsobit adresu URL přihlašovací stránky a dokonce i interakci stránky. To je první věc, kterou udělám, když začnu zabezpečovat svůj web.

Proč? Protože je to obvykle chyba uživatele, že jejich web napadl. Jako majitel webových stránek se musíte starat o některé povinnosti. Klíčovou otázkou tedy je, jaké jsou vy děláte, abyste zachránili váš web před hackováním? Ochrana přihlašovací stránky a zabránění útokům brutální síly je jednou z nejlepších věcí, které můžete udělat.

Zde je několik návrhů, jak zabezpečit přihlašovací stránku webu WordPress:

8. Nastavte funkci uzamčení webových stránek a zakažte uživatelům

Funkce uzamčení pro neúspěšné pokusy o přihlášení může vyřešit obrovský problém neustálých pokusů o hrubou sílu. Kdykoli dojde k pokusu o hackerství s opakujícími se nesprávnými hesly, bude web uzamčen a vy budete informováni o této neoprávněné činnosti.

Zjistil jsem, že iThemes Security plugin je jedním z nejlepších takových pluginů, které jsem tam používal, a už dlouho to používám. V tomto ohledu má plugin co nabídnout. Spolu s více než 30 dalšími úžasnými bezpečnostními opatřeními WordPress můžete určit určitý počet neúspěšných pokusů o přihlášení dříve, než plugin zakáže IP adresu útočníka.


iThemes Security (dříve Lepší zabezpečení WP) iThemes Security (dříve Lepší zabezpečení WP)

Autor: iThemes

Aktuální verze: 7.7.1

Poslední aktualizace: 20. dubna 2020

better-wp-security.7.7.1.zip


Hodnocení 94%


900 000 + instalace


WP 5.2 + Vyžaduje

9. Pro zabezpečení WordPress použijte dvoufaktorové ověření

Dalším dobrým bezpečnostním opatřením je zavedení dvoufaktorového autentizačního modulu (2FA) na přihlašovací stránce. V tomto případě uživatel poskytne přihlašovací údaje pro dvě různé součásti. Vlastník webových stránek rozhodne, jaké jsou tyto dva. Může se jednat o běžné heslo, po němž následuje tajná otázka, tajný kód, sada znaků nebo populárnější aplikace Google Authenticator, která do vašeho telefonu odesílá tajný kód. Tímto způsobem se na váš web může přihlásit pouze osoba s vaším telefonem (vy).

Dávám přednost použití tajného kódu při nasazení 2FA na kterémkoli z mých webových stránek. Google Authenticator plugin mi s tím pomůže jen pár kliknutí.


Google Authenticator - ověřování dvou faktorů WordPress (2FA, MFA) Google Authenticator – ověřování dvou faktorů WordPress (2FA, MFA)

Autor: miniOrange

Aktuální verze: 5.4.5

Poslední aktualizace: 15. května 2020

miniorange-2-factor-authentication.zip


Hodnocení 90%


20 000 instalací


3.0.1 Požadavky

10. Přihlaste se pomocí e-mailu

Ve výchozím nastavení musíte zadat své uživatelské jméno pro přihlášení do WordPress. Bezpečnější přístup je použití e-mailového ID namísto uživatelského jména. Důvody jsou zcela zřejmé. Uživatelská jména lze snadno předvídat, zatímco ID e-mailů nejsou. Každý uživatelský účet WordPress je také vytvořen s jedinečnou e-mailovou adresou, což z něj činí platný identifikátor pro přihlášení.

Několik doplňků zabezpečení WordPress vám umožňuje nastavit přihlašovací stránky, aby se k přihlášení mohli používat všichni uživatelé.

11. Přejmenujte svou přihlašovací adresu URL, abyste zabezpečili web WordPress

Změna přihlašovací adresy URL je snadná věc. Ve výchozím nastavení je přihlašovací stránka WordPress snadno dostupná přes wp-login.php nebo wp-admin přidaný do hlavní adresy URL webu.

Když hackeři znají přímou adresu URL vaší přihlašovací stránky, mohou se pokusit násilím přinutit se dovnitř. Pokouší se přihlásit pomocí svého GWDb (Guess Work Database, tj. Databáze uhádnutých uživatelských jmen a hesel; např. Uživatelské jméno: admin a heslo: p @ ssword… s miliony takových kombinací).

V tomto okamžiku jsme již omezili pokusy o přihlášení uživatele a vyměnili uživatelská jména za e-mailová ID. Nyní můžeme nahradit přihlašovací URL a zbavit se 99% přímých útoků hrubou silou.

Tento malý trik omezuje neoprávněnou entitu v přístupu na přihlašovací stránku. Může to udělat pouze někdo s přesnou adresou URL.

Nejjednodušší způsob, jak změnit přihlašovací URL, je použít vhodně pojmenovaný plugin WPS Hide Login. Použití je velmi jednoduché; stačí zadat novou adresu URL přihlašovací stránky a změny uložit. URL můžete nastavit na cokoli chcete.


WPS Skrýt přihlášení WPS Skrýt přihlášení

Autor: WPServeur, NicolasKulka, tabrisrp

Aktuální verze: 1.5.6

Poslední aktualizace: 9. března 2020

wps-hide-login.1.5.6.zip


Hodnocení 98%


600 000 + instalace


WP 4.1 + Vyžaduje

12. Upravte svá hesla

Hrajte si s hesly a pravidelně je měňte, abyste zabezpečili web WordPress. Vylepšete jejich sílu přidáním dalších slov a prodloužením hesla.

Všimněte si, že vám nutně nedoporučujeme, abyste do hesel přidávali další velká a malá písmena, čísla a speciální znaky. Mnoho lidí se místo toho rozhodlo pro dlouhé přístupové fráze, protože pro hackery je téměř nemožné předvídat, ale snadněji si je pamatovat, než banda náhodných čísel a písmen.

Je tu populární komiks od xkcd o tom, jak klamat některá zdánlivě bezpečná hesla mohou být:

síla hesla

Ukázalo se, že použití komplikované fráze může být často mnohem bezpečnější a také 10krát snáze zapamatovatelné.

13. Použijte správce hesel

Dobře, všichni víme, že bychom měli často měnit naše hesla a že by mělo být obtížné je prolomit. Víme, co my "by měl" ano, ale není to vždy něco, na co máme čas.

Zde přicházejí do hry někteří kvalitní správci hesel. Budou pro vás nejen generovat bezpečná hesla, ale ukládají je také do bezpečného trezoru, což vám ušetří problémy s pamatováním si jich.

�� Zde je podrobné srovnání našeho pohledu na nejlepší správce hesel na trhu.

14. Automaticky odhlásit nečinné uživatele z vašeho webu

Uživatelé, kteří nechají panel wp-admin vašeho webu otevřený na svých obrazovkách, mohou představovat vážnou bezpečnostní hrozbu WordPress. Kdokoli kolemjdoucí může změnit informace na vašem webu, změnit uživatelský účet osoby nebo dokonce úplně přerušit váš web. Tomu lze zabránit tím, že zajistíte, aby se váš web odhlásil po určité době nečinnosti.

Můžete to nastavit pomocí pluginu jako BulletProof Security. Tento plugin umožňuje nastavit přizpůsobený časový limit pro nečinné uživatele, po kterém budou automaticky odhlášeni.


BulletProof Security BulletProof Security

Autor: Zabezpečení webových stránek AITpro

Aktuální verze: 4.0

Poslední aktualizace: 29. dubna 2020

neprůstřelná bezpečnost.4.0.zip


Hodnocení 96%


60 000 instalací


WP 3.8 + Vyžaduje

Část (c): Zabezpečte svůj web WordPress pomocí řídicího panelu správce

Pro hackera je nejzajímavější částí webu admin dashboard, který je skutečně nejvíce chráněnou částí ze všech. Útok na nejsilnější část je skutečnou výzvou. Je-li toho dosaženo, dává hackerovi morální vítězství a přístup k mnoha škodám.

Zde je postup, jak zabezpečit administrační panel webového serveru WordPress:

15. Chraňte adresář wp-admin

Adresář wp-admin je srdcem každého webu WordPress. Pokud dojde k porušení této části webu, může dojít k poškození celého webu.

Jedním z možných způsobů, jak tomu zabránit, je ochrana adresáře wp-admin heslem. S takovým opatřením zabezpečení WordPress může majitel webu přistupovat na řídicí panel zadáním dvou hesel. Jeden chrání přihlašovací stránku a druhý zajišťuje administrátorskou oblast WordPress.

Toto nastavení obvykle zahrnuje úpravu nastavení hostingu pomocí cPanel. Přesto to není příliš obtížné, pokud vy postupujte podle správných kroků.

16. K šifrování dat použijte SSL

Implementace certifikátu SSL (Secure Socket Layer) je jedním inteligentním krokem k zabezpečení panelu administrátora. SSL zajišťuje bezpečný přenos dat mezi uživatelskými prohlížeči a serverem, což hackerům ztěžuje narušení spojení nebo spoofování vašich informací.

Získání certifikátu SSL pro váš web WordPress je jednoduché. Můžete si koupit jednu od společnosti třetí strany nebo zkontrolovat, zda vaše hostingová společnost poskytuje jednu zdarma.

umožňuje šifrování

Na většině svých webů používám certifikát SSL s kódováním zdarma s otevřeným zdrojovým kódem. Jakákoli dobrá hostingová společnost, jako je SiteGround, nabízí zdarma šifrovací certifikát SSL s jeho hostingovými balíčky.

Certifikát SSL také ovlivňuje hodnocení Google na vašem webu. Google inklinuje hodnotit weby s vyšším SSL než ti bez ní. To znamená větší provoz. Teď, kdo to nechce?

Povolení SSL na vašem webu WordPress je velmi jednoduché. V 99% případů musíte pouze nainstalovat plugin Really Simple SSL a aktivovat jej. Nejsou nutná žádná další nastavení.


Opravdu jednoduchý SSL Opravdu jednoduchý SSL

Autor: Rogier Lankhorst, Mark Wolters

Aktuální verze: 3.3.3

Poslední aktualizace: 18. května 2020

opravdu-simple-ssl.3.3.3.zip


100% hodnocení


4 000 000 + instalace


WP 4.6 + Vyžaduje

17. Opatrně přidávejte uživatelské účty

Pokud provozujete blog WordPress nebo spíše multi-autorský blog, musíte se vypořádat s více lidmi, kteří mají přístup k vašemu administrátorskému panelu. To může způsobit, že váš web bude zranitelnější vůči bezpečnostním hrozbám WordPress.

Můžete použít plugin jako Vynutit silná hesla pokud se chcete ujistit, že všechna hesla, která uživatelé používají, jsou bezpečná. Jedná se pouze o preventivní opatření, ale je to lepší, než mít několik uživatelů se slabými hesly.


Vynutit silná hesla Vynutit silná hesla

Autor: Jason Cosper

Aktuální verze: 1.8.0

Poslední aktualizace: 9. listopadu 2017

force-strong-passwords.1.8.zip


86% Hodnocení


10 000 + instalace


WP 3.7 + Vyžaduje

18. Změňte uživatelské jméno správce

Během instalace WordPress byste si nikdy neměli vybrat "admin" jako uživatelské jméno pro hlavní účet správce. Tak snadno odhadnutelné uživatelské jméno je přístupné hackerům. Vše, co potřebují přijít, je heslo, pak se celý váš web dostane do nesprávných rukou.

změna uživatelského jména správce

Nemohu vám říct, kolikrát jsem procházel protokoly svého webu a našel pokusy o přihlášení s uživatelským jménem "admin".

Doplněk iThemes Security může takové pokusy zastavit okamžitým zákazem jakékoli adresy IP, která se pokusí přihlásit pomocí tohoto uživatelského jména.

19. Sledujte své soubory

Chcete-li přidat další zabezpečení WordPress, sledujte změny v souborech svého webu pomocí pluginů, jako je například Wordfence, nebo znovu, iThemes Security.


Zabezpečení Wordfence - Firewall a skenování malwaru Zabezpečení Wordfence – Firewall & Skenování malwaru

Autor: Wordfence

Aktuální verze: 7.4.7

Poslední aktualizace: 23. dubna 2020

wordfence.7.4.7.zip


Hodnocení 96%


3 000 000 + instalace


WP 3.9 + Vyžaduje

Část (d): Zabezpečte svůj web WordPress prostřednictvím databáze

Všechna data a informace o vašem webu jsou uloženy v databázi. Péče o to je zásadní. Zde je několik věcí, které můžete udělat, aby bylo bezpečnější:

20. Změňte předponu tabulky databáze WordPress

Pokud jste někdy nainstalovali WordPress, jste obeznámeni s předponou wp-tabulky, kterou používá databáze WordPress. Doporučuji to změnit na něco jedinečného.

Použití výchozí předpony způsobí, že databáze vašich stránek bude náchylná k útokům s injekcí SQL. Takovým útokům lze zabránit změnou wp- na jiný termín. Můžete to například udělat mywp- nebo wpnew-.

Pokud jste již nainstalovali web WordPress s výchozí předponou, můžete použít pár pluginů změnit to. Pluginy jako WP-DBManager nebo iThemes Security vám může pomoci udělat práci pouhým kliknutím na tlačítko. (Před provedením čehokoli do databáze se ujistěte, že jste svůj web zálohovali).


WP-DBManager WP-DBManager

Autor: Lester ‘GaMerZ’ Chan

Aktuální verze: 2.80.3

Poslední aktualizace: 20. května 2020

wp-dbmanager.2.80.3.zip


Hodnocení 88%


100 000 instalací


WP 4.0 + Vyžaduje

21. Pravidelně zálohujte, abyste zabezpečili web WordPress

Bez ohledu na to, jak bezpečný je váš web WordPress, vždy existuje prostor pro vylepšení. Ale na konci dne je uchovávání někde mimo server snad nejlepším protijedem bez ohledu na to, co se stane.

Pokud máte zálohu, můžete kdykoli obnovit svůj web WordPress do funkčního stavu. V tomto ohledu vám mohou pomoci některé doplňky. Například, všechny jsou všechny.

Pokud hledáte prémiové řešení, doporučuji VaultPress od Automattic, což je skvělé. Mám ji nastavenou tak, aby vytvořila zálohy každý týden. A pokud by se něco špatného stalo, mohu stránku snadno obnovit jediným kliknutím.

Vím, že některé větší webové stránky zálohují každou hodinu, ale pro většinu organizací je to naprosto zbytečné. Nemluvě o tom, že po vytvoření nové zálohy budete muset odstranit většinu těchto záloh, protože každý záložní soubor zabírá místo na disku. To znamená, že bych doporučil týdenní nebo měsíční zálohy pro většinu organizací.

Kromě záloh zálohuje služba VaultPress na mém webu také malware a upozorní mě, jestli se něco neděje.

22. Nastavte silná hesla pro databázi

Silné heslo pro uživatele hlavní databáze je nutností, protože toto heslo používá WordPress pro přístup k databázi.

Jako vždy použijte pro heslo velká a malá písmena, čísla a speciální znaky. Přístupové fráze jsou také vynikající. Ještě jednou doporučuji LastPass pro náhodné vygenerování a uložení hesla. Bezplatný a rychlý nástroj pro vytváření silných hesel je Zabezpečený generátor hesel.

hesla

23. Sledujte protokoly auditu

Pokud používáte vícesměrný web WordPress nebo pracujete s webem pro více autorů, je důležité pochopit, jaký typ činnosti uživatele se děje. Spisovatelé a přispěvatelé možná mění hesla, ale existují i ​​další věci, které se vám nemusí stát. Například změny motivů a widgetů jsou samozřejmě vyhrazeny pouze pro administrátory. Při kontrole protokolu auditu se můžete ujistit, že se vaši administrátoři a přispěvatelé nesnaží změnit něco na vašem webu bez schválení.

protokol auditu

Protokol auditu zabezpečení WP plugin poskytuje úplný seznam této aktivity spolu s e-mailovými oznámeními a přehledy. Protokol auditu vám může nejjednodušší pomoci zjistit, že spisovatel má potíže s přihlášením. Plugin však může také odhalit škodlivou aktivitu jednoho z vašich uživatelů..


Protokol činnosti WP (dříve Protokol zabezpečení WP) Protokol činnosti WP (dříve Protokol zabezpečení WP)

Autor: WP White Security

Aktuální verze: 4.1.0

Poslední aktualizace: 26. května 2020

wp-security-audit-log.4.1.0.zip


Hodnocení 96%


100 000 instalací


WP 3.6 + Vyžaduje

Část (e): Zabezpečte svůj web WordPress pomocí témat a pluginů

Témata a doplňky jsou základními ingrediencemi každého webu WordPress. Bohužel mohou také představovat vážné bezpečnostní hrozby. Pojďme zjistit, jak můžeme zabezpečit vaše témata WordPress a pluginy správným způsobem:

24. Pravidelně aktualizujte zabezpečení WordPress

Každý dobrý softwarový produkt je podporován jeho vývojáři a je občas aktualizován. Tyto aktualizace jsou určeny k opravě chyb a někdy mají důležité opravy zabezpečení. WordPress a jeho pluginy se neliší.

Neaktualizace motivů a pluginů může znamenat potíže. Mnoho hackerů se spoléhá na pouhou skutečnost, že lidé nemohou být obtěžováni aktualizací svých pluginů a témat. Hackeři častěji využívají chyby, které již byly opraveny.

Pokud tedy používáte jakýkoli produkt WordPress, pravidelně jej aktualizujte. Pluginy, témata, všechno. Dobrou zprávou je, že WordPress automaticky zavádí aktualizace pro své uživatele, takže obdržíte e-mail s upozorněním na aktualizaci a informace o opravách na hlavním panelu.

Pokud jde o pluginy, musí být tyto aktualizovány ručně na stránce Pluginy na palubní desce. Pokud má plugin novou verzi, upozorní vás a poskytne odkaz na aktualizaci.

aktualizace pluginů

Jako alternativu byste se mohli rozhodnout pro spravovaný hostingový plán WordPress. Spolu s mnoha dalšími funkcemi a vylepšeními zabezpečení vašeho WordPress nabízí kvalitní spravovaný hosting automatické aktualizace pro všechny prvky vašeho webu WordPress..

Mezi některé poskytovatele spravovaných hostitelů patří Kinsta, SiteGround a Flywheel. Další informace o nejlépe spravovaném hostování WordPress naleznete zde.

25. Odstraňte číslo verze WordPress

Aktuální číslo verze WordPress lze snadno najít. V zásadě to sedí přímo ve zdrojovém zobrazení vašich stránek. Můžete si ji také prohlédnout ve spodní části řídicího panelu (na tom nezáleží, když se pokoušíte zabezpečit svůj web WordPress).

číslo verze

Zde je věc: pokud hackeři vědí, kterou verzi WordPress používáte, je pro ně snazší přizpůsobit dokonalý útok.

Číslo své verze můžete skrýt téměř každým pluginem zabezpečení WordPress, který jsem zmínil výše.

Chcete-li získat více manuálního přístupu (a také odebrat číslo verze z kanálů RSS), zvažte přidání následující funkce do souboru features.php:

function wpbeginner_remove_version () {
vrátit se ”;
}
add_filter (‘the_generator’, ‘wpbeginner_remove_version’);

Závěrečné úvahy o tom, jak zabezpečit web WordPress

Pokud jste začátečník, pak se toho muselo hodně věnovat. Všechno, co jsem zmínil v tomto článku, je však krok správným směrem. Čím více vám záleží na zabezpečení WordPress, tím těžší se pro hackera dostane.

Nicméně, s tím bylo řečeno, pravděpodobně stejně důležité jako zabezpečení je výkon webových stránek. V zásadě bez webů, které se načítají rychle, vaši návštěvníci nikdy nebudou mít šanci konzumovat váš obsah. Průměrný návštěvník webu počká pouze 2 sekundy, než bude frustrován a odejde.

Zde jsou některé zdroje, které vám mohou pomoci vyhrát výkonnostní hru a ujistit se, že se váš web rychle načítá bleskem:

  • ��️ Používejte kvalitní CDN. Některé z nich jsou dokonce zdarma. Zde je srovnání nejlepších možností: MaxCDN vs CloudFlare vs Amazon CloudFront vs Akamai Edge vs Fastly
  • Some Nalaďte si pár věcí pod kapotou vašeho webu. Zde je 11 způsobů, jak urychlit WordPress

Máte-li jakékoli dotazy, jak zabezpečit svůj web WordPress, dejte nám vědět v komentářích a my na ně odpovíme! Jaké jsou tedy vaše bezpečnostní problémy s WordPress?

Nezapomeňte se připojit k našemu havarijnímu kurzu při urychlení vašeho webu WordPress. Pomocí několika jednoduchých oprav můžete zkrátit dobu načítání až o 50–80%:

Napsal Ahmad Awais, Joe Warnimont, Karol K.

* Tento příspěvek obsahuje přidružené odkazy, což znamená, že pokud kliknete na jeden z odkazů na produkt a poté produkt zakoupíte, dostaneme malý poplatek. Bez obav však budete stále platit standardní částku, takže z vaší strany nevzniknou žádné náklady.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Это интересно
    Adblock
    detector